Guía de referencia de interfaz web

Versión 7.0

Información de contacto
Sede de la empresa:
Palo Alto Networks
4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía
Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama.
Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos de la
interfaz:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007-2015 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisión: julio 1, 2015

ii

julio 1, 2015 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Contenido
Capítulo 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Interfaces de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Capítulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Uso de la interfaz web del cortafuegos de Palo Alto Networks . . . . . . . . . . 6
Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 14
Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Capítulo 3
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . . 16
Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . 34
Habilitación de supervisión de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Ruta de servicio de destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de la configuración de ID de contenido . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tiempos de espera de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . . 53
Ajustes de descifrado: Reenviar los ajustes de certificados
del servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuración de sesión de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • iii

Contenido

Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comportamiento tras el vencimiento de la licencia . . . . . . . . . . . . . . . . . . . . . 57
Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 63
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Requisitos de nombre de usuario y contraseña . . . . . . . . . . . . . . . . . . . . . . . . 70
Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 72
Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 77
Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes del servidor TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes del servidor Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 83
Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuración del log Configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuración del log Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log Coincidencias HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definición de configuración de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . . 94
Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configuración de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestión de certificados de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Gestión de entidades de certificación de confianza predeterminadas . . . . 100
Creación de un perfil del certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Gestión de perfiles de servicio SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 104
Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 116
Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 117
Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 119

Capítulo 4
Configuración de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

121

Definición de cables virtuales (Virtual Wires) . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . 122
Resumen de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Componentes comunes de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . 124

iv • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Contenido

Componentes comunes de interfaces de cortafuegos de la serie PA-7000 . . . .
Configure la interfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure la interfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de cable virtual (Virtual Wire) . . . . . . . . . . . . .
Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . . . .
Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una subinterfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . . . . .
Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . . . . .
Configuración una interfaz de agregación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de bucle invertido . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Perfiles de redistribución . . . . . . . . . . . . . . . .
Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Multidifusión. . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Más estadísticas de tiempo de ejecución para un enrutador virtual . . . . . .
Configuración de la compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dirección DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplo: Configure un servidor DHCP con opciones personalizadas . . . . . .
Configuración de proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Resumen proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acciones adicionales de proxy DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definiendo perfiles de gestiones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . .
Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuración de la protección de ataques basada en paquetes . . . . . . .
Definición de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

125
126
128
128
137
142
144
144
145
146
147
148
151
151
152
158
160
161
162
163
163
165
167
172
177
185
189
190
192
199
199
200
200
201
205
206
207
209
210
211
211
213
213
213
214
217
218
219
220
222
222
226
227

Guía de referencia de interfaz web, versión 7.0 • v

Contenido

Capítulo 5
Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

229

Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Traslado o duplicación de una política o un objeto . . . . . . . . . . . . . . . . . . .
Cancelación o reversión de una regla de seguridad predeterminada . . . .
Cancelación o reversión de un objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificación de usuarios y aplicaciones para las políticas. . . . . . . . . . . . .
Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloques de creación de una política de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Creación y gestión de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinación de configuración de zona en NAT y política de seguridad . . .
Opciones de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de política NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de cancelación de aplicación . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

vi • Guía de referencia de interfaz web, versión 7.0

230
230
232
233
234
235
235
236
237
245
247
248
250
250
251
252
252
256
256
257
258
260
261
262
263
264
265
266
266
267
268
268
269
269
270
270
271
271
272
272
273
273
274
274
274
275
276
276
277

Palo Alto Networks

Contenido

Acciones en perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cuadro de diálogo Perfil de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de análisis de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de objetos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del explorador de etiquetas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . .
Definición de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . .
Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

277
279
279
280
281
281
285
289
293
297
298
300
302
303
304
307
308
308
314
317
317
318
319
320
321
322
323
325
326
328
328
329
332
334
335
336
341

Capítulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

343

Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Centro de control de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Uso

Palo Alto Networks

Vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Informe Supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Guía de referencia de interfaz web, versión 7.0 • vii

Contenido

Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Interacción con logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 368
Uso del motor de correlación automatizada . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los objetos de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los eventos correlacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Configuración del informe de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Gestión de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 376
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Programación de informes para entrega de correos electrónicos . . . . . . . 378
Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Descripción general de captura de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Componentes de una captura de paquetes personalizada . . . . . . . . . . . . . . . . 382
Habilitación de captura de paquetes de amenazas . . . . . . . . . . . . . . . . . . . . . . 385

Capítulo 7
Configuración del cortafuegos para el usuario de usuarios . . . . . . . . . .

387

Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . .
Pestaña Asignación de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Configuración de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . .

387
388
395
397
397
400

Capítulo 8
Configuración de túneles de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

403

Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Gestión de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General de puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones avanzadas de puerta de enlace de IKE . . . . . . . . . . . . . . . .
Reinicie o actualice una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . .

Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de túneles VPN de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Identificadores proxy de Túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . .
Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . . . .
Reinicie o actualice un túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .

viii • Guía de referencia de interfaz web, versión 7.0

404
404
407
409
409
410
410
412
413
413
414
415
416

Palo Alto Networks

Contenido

Capítulo 9
Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

417

Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . 429
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Configuración del acceso de la puerta de enlace a un gestor
de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña Dispositivo móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Pestaña Administración de parches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Pestaña Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Pestaña Antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Copia de seguridad de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Cifrado de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Pestaña Prevención de pérdida de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . 451
Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Capítulo 10
Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .

455

Definición de un perfil de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Definición de una política de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Habilitación de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . 463
Descripción general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Habilitación de la QoS en una interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Supervisión de una interfaz de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Capítulo 11
Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . .

467

Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . 479
Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Aplicación de políticas a dispositivos específicos de
un grupo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • ix

Contenido

Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 482
Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . 483
Especificación de dominios de acceso de Panorama para administradores . . . 486
Compilación de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 488
Gestión de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . 490
Definición de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Definición de pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Duplicación de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Eliminación o deshabilitación de plantillas o pilas de plantillas . . . . . . . . . . . . . 495
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Habilitación del reenvío de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Cómo añadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Instalación de una actualización de software en un recopilador de logs . . . . . . 504
Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . 504
Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . 508
Gestión de actualizaciones de dispositivos y licencias . . . . . . . . . . . . . . . . 509
Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . 511
Programación de exportaciones de configuración. . . . . . . . . . . . . . . . . . . 512
Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 514

Registro del cortafuegos VM-Series como servicio en
el administrador NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Actualización de información del administrador de servicios VMware . . . . 517

Apéndice A
Compatibilidad con los estándares federales de procesamiento de la
información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

519

Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

x • Guía de referencia de interfaz web, versión 7.0

521

Palo Alto Networks

Para habilitar de forma segura el uso de aplicaciones. cada política de seguridad puede especificar perfiles de seguridad como protección frente a virus. el cortafuegos de nueva generación de Palo Alto Networks utiliza la inspección de paquetes y una biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y puertos idénticos. hasta el cortafuegos de la serie PA-7000. El cortafuegos le permite especificar políticas de seguridad basadas en la identificación precisa de cada una de las aplicaciones que atraviesen su red. que van desde el cortafuegos PA-200. puede definir políticas de seguridad para aplicaciones específicas o grupos de aplicaciones en lugar de utilizar una única política para todas las conexiones al puerto 80. que es un chasis modular diseñado para centros de datos de alta velocidad. diseñado para oficinas remotas de una empresa. A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones por su protocolo y número de puerto. Palo Alto Networks Guía de referencia de interfaz web. Puede especificar una política de seguridad para cada aplicación identificada con el fin de bloquear o permitir el tráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo. así como para identificar aplicaciones potencialmente malintencionadas que no utilicen puertos estándar. mantener una visibilidad y un control absolutos y proteger la organización de las ciberamenazas más recientes.Capítulo 1 Introducción Esta sección proporciona una descripción general del cortafuegos: • “Descripción general del cortafuegos” • “Características y ventajas” • “Interfaces de gestión” Descripción general del cortafuegos Palo Alto Networks® ofrece una gama completa de dispositivos de seguridad de nueva generación.0 • 1 . versión 7. spyware y otras amenazas.

eDirectory. el administrador podría permitir que una organización utilizara una aplicación basada en Internet e impedir que cualquier otra organización de la empresa utilizarla la misma aplicación. El servicio App-ID puede bloquear aplicaciones de alto riesgo. SunOne. que se utilizan a nivel de campo. OpenLDAP y la mayoría de los otros servidores de directorio basados en LDAP. así como comportamientos de alto riesgo. Las velocidades de varios gigabits y la arquitectura de un único paso le ofrecen estos servicios sin apenas afectar a la latencia de red.Características y ventajas Características y ventajas Los cortafuegos de próxima generación de Palo Alto Networks ofrecen un control detallado del tráfico que tiene permiso para acceder a su red. gusanos. El centro de comando de aplicación (ACC) de la interfaz web identifica las aplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes y logs”). o además de estas. en lugar de zonas y direcciones de red. • GlobalProtect: El software GlobalProtect™ protege los sistemas cliente. como Microsoft Active Directory. versión 7. y el tráfico cifrado con el protocolo Secure Sockets Layer (SSL) puede descifrarse e inspeccionarse. como el intercambio de archivos. para proporcionar información de usuarios y grupos al cortafuegos. También puede configurar un control detallado de determinados componentes de una aplicación basándose en usuarios y grupos (consulte “Configuración del cortafuegos para el usuario de usuarios”). Las principales características y ventajas incluyen las siguientes: • Cumplimiento de políticas basadas en aplicaciones (App-ID™): El control de acceso según el tipo de aplicación es mucho más eficaz cuando la identificación de las aplicaciones no se basa únicamente en el protocolo y el número de puerto. • Identificación de usuarios (User-ID™): La identificación de usuarios (User-ID) permite que los administradores configuren y apliquen políticas de cortafuegos basadas en usuarios y grupos de usuarios. • Prevención de amenazas: Los servicios de prevención de amenazas que protegen la red frente a virus. • Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad (HA) ofrece una tolerancia a fallos automática en el caso de cualquier interrupción en el hardware o el software (consulte “Habilitación de HA en el cortafuegos”). y puede instalarse de manera transparente en cualquier red o configurarse para permitir un entorno conmutado o enrutado. como ordenadores portátiles. • Versatilidad de red y velocidad: El cortafuegos de Palo Alto Networks puede añadirse o sustituir a su cortafuegos existente. Por ejemplo. El cortafuegos puede comunicarse con numerosos servidores de directorio. 2 • Guía de referencia de interfaz web. spyware y otro tráfico malintencionado pueden variar según la aplicación y el origen del tráfico (consulte “Perfiles de seguridad”).0 Palo Alto Networks . registros y mecanismos de notificación ofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridad en la red. permitiendo iniciar sesión de manera fácil y segura desde cualquier parte del mundo. A continuación podrá utilizar esta información para una habilitación segura de aplicaciones que puede definirse por usuario o por grupo. • Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios web inadecuados (consulte “Perfiles de filtrado de URL”). • Visibilidad del tráfico: Los extensos informes.

0 • 3 . que cuenta con una interfaz web muy parecida a la interfaz web de los cortafuegos de Palo Alto Networks. Interfaces de gestión Los cortafuegos de próxima generación de Palo Alto Networks admiten las siguientes interfaces de gestión. informes y capturas de paquetes desde el cortafuegos. La interfaz de Panorama es parecida a la interfaz web del cortafuegos pero con funciones de gestión adicionales (consulte “Gestión centralizada del dispositivo mediante Panorama” para obtener información sobre el uso de Panorama). versión 7. • CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet. el estado de funcionamiento. • Cortafuegos de la VM-Series: Un cortafuegos de VM-Series proporciona una instancia virtual de PAN-OS® situada para su uso en un entorno de centro de datos virtualizado y es perfecto para sus entornos de computación en la nube privados. Del mismo modo. • Gestión y Panorama™: Puede gestionar cada cortafuegos mediante una interfaz web intuitiva o una interfaz de línea de comandos (CLI). • Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPS desde un explorador web. una elaboración de informes y un registro basados en Internet para varios cortafuegos. • API XML: Proporciona una interfaz basada en la transferencia de estado representacional (REST) para acceder a la configuración de dispositivos. Este enlace proporciona ayuda sobre los parámetros necesarios para cada tipo de llamada de la API.Interfaces de gestión • Elaboración de análisis e informes sobre software malintencionado: El servicio de seguridad WildFire™ proporciona análisis e informes detallados sobre el software malintencionado que pasa por el cortafuegos. Hay disponible un explorador de API en el cortafuegos en https://cortafuegos/api. Secure Shell (SSH) o el puerto de la consola. puede gestionar todos los dispositivos de manera centralizada mediante el sistema de gestión centralizado de Panorama. donde cortafuegos es el nombre de host o la dirección IP del cortafuegos. públicos e híbridos. • Panorama: Es un producto de Palo Alto Networks que permite una gestión. Palo Alto Networks Guía de referencia de interfaz web.

versión 7.Interfaces de gestión 4 • Guía de referencia de interfaz web.0 Palo Alto Networks .

versión 7.0 • 5 .Capítulo 2 Primeros pasos Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos de Palo Alto Networks: • “Uso de la interfaz web del cortafuegos de Palo Alto Networks” • “Obtención de ayuda para la configuración del cortafuegos” Palo Alto Networks Guía de referencia de interfaz web.

2 Seleccione una opción del panel de la izquierda para ver las opciones de una pestaña. versión 7. 6 • Guía de referencia de interfaz web. En el caso de algunas pestañas.Uso de la interfaz web del cortafuegos de Palo Alto Networks Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 1 Haga clic en las pestañas de la parte superior para ver los elementos de configuración bajo esa categoría.0 Palo Alto Networks . El elemento resaltado es el que está seleccionado. Por ejemplo. el panel Enrutadores virtuales está seleccionado en la pestaña Red. las opciones de configuración están anidadas. Haga clic en la lista desplegable del panel de la izquierda para expandir y contraer las opciones de configuración incluidas en el panel. en la captura de pantalla anterior. Este documento identifica esta ruta de navegación en la interfaz web como Red > Enrutadores virtuales.

se actualizará la configuración candidata. Para guardar los cambios en la configuración que se esté ejecutando. 4 Palo Alto Networks Cierre de sesión: Haga clic en el botón Cierre de sesión para cerrar la sesión de la interfaz web. Haga clic en ACEPTAR para confirmar la eliminación o haga clic en Cancelar para cancelar la operación. haga clic en el icono de la esquina superior derecha de una sección para editar los ajustes. debe hacer clic en ACEPTAR o Guardar para almacenar los cambios. versión 7. seleccione las casillas de verificación junto al elemento y haga clic en Eliminar. – Los campos obligatorios muestran un fondo amarillo claro. – Una vez haya configurado los ajustes. debe hacer clic en Compilar para guardar los cambios. • Eliminar: Para eliminar uno o más elementos. • Modificar: Haga clic en el elemento con hiperenlace en la columna Nombre. Dispositivos > Configuración). Cuando haga clic en ACEPTAR.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 3 Los botones de acción varían según la página pero la mayoría de las páginas incluyen los botones siguientes: • Añadir: Haga clic en Añadir para crear un nuevo elemento.0 • 7 . – Para modificar secciones dentro de una página (por ejemplo. Guía de referencia de interfaz web.

mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas. Trabajos y Peticiones de log. Haga clic en el encabezado de una columna para ordenar según esa columna y haga clic de nuevo para invertir el orden. fechas de inicio. haga clic en la flecha situada a la derecha de cualquier columna y seleccione o cancele la selección de la correspondiente casilla de verificación para mostrar u ocultar la columna en la pantalla. Para mostrar u ocultar columnas. • Alarmas: Haga clic en Alarmas para ver la lista actual de alarmas en el log de alarmas. la interfaz web estará en español cuando inicie sesión en el cortafuegos. 8 • Guía de referencia de interfaz web. • Idioma: Haga clic en Idioma para seleccionar el idioma que desee en la lista desplegable de la ventana Preferencia de idioma y. La ventana Gestor de tareas muestra la lista de tareas. a continuación. el idioma de la interfaz web será el mismo que el idioma actual del ordenador desde el que inicie sesión. versión 7. junto con los estados. si el ordenador que utiliza para gestionar el cortafuegos tiene el español como configuración regional. Para habilitar alarmas y notificaciones de alarmas web.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 5 • Tareas: Haga clic en el icono Tareas para ver la lista actual de Todos los elementos siguientes o aquellos que estén En ejecución: Tareas. Para reconocer alarmas. 6 Las tablas le permiten ordenar los datos y mostrar u ocultar las columnas que puede ver en la página. A menos que especifique una preferencia de idioma. seleccione las casillas de verificación y haga clic en Reconocer. Por ejemplo. vaya a Dispositivo > Configuración de log > Alarmas.0 Palo Alto Networks . Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. La lista mostrará las alarmas no reconocidas y reconocidas. haga clic en ACEPTAR para guardar el cambio.

Las opciones siguientes están disponibles en el cuadro de diálogo Compilar. Haga clic en el enlace Avanzado. Para aplicar un filtro. haga clic en .0 • 9 . para mostrar las opciones siguientes: – Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la operación de compilación. Los resultados de la búsqueda se mostrarán y el número de coincidencias aparecerá como una fracción de los elementos totales mostrados en la esquina izquierda del cuadro de entrada de filtro. Compilación de cambios Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar. versión 7. para borrar un filtro.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 7 Utilice el cuadro de entrada de filtro para buscar términos. 8 Si desea más información sobre Compilar. si es necesario. Palo Alto Networks Guía de referencia de interfaz web. consulte “Compilación de cambios”. nombres o palabras claves de los elementos de la página. consulte “Bloqueo de transacciones”. El número total de elementos de la página se muestra en la esquina izquierda del cuadro de entrada de filtro. Si desea más información sobre Búsqueda. consulte “Búsqueda de la configuración”. Si desea más información sobre Bloqueos. haga clic en . – Incluir políticas y objetos: (Solamente los cortafuegos que no pueden configurarse o que no están configurados para permitir varios sistemas virtuales) Incluir los cambios de configuración de políticas y objetos en la operación de compilación. – Incluir configuración de objeto compartido: (Solamente los cortafuegos con varios sistemas virtuales) Incluir los cambios de configuración de objetos compartidos en la operación de compilación.

La opción Validar está disponible en los perfiles de función de administrador para que pueda controlar quién puede validar las configuraciones. así como perfiles de servidor utilizados para ID de usuario. A partir de PAN-OS 7.Uso de la interfaz web del cortafuegos de Palo Alto Networks Los cambios de configuración que abarcan varias áreas de configuración pueden requerir una compilación completa. a continuación. Esta validación le ayuda a saber si un cambio puede compilarse correctamente antes de realizar dicha compilación. Esto permite que un administrador vea todos los errores inmediatamente tras un fallo de compilación y evita el ciclo de varias compilaciones que devuelven errores adicionales que también deben solucionarse antes de que todos los cambios se compilen correctamente. finaliza la compilación. de modo que pueda encontrar fácilmente todos los lugares donde se hace referencia a la cadena. A continuación tiene una lista de funciones de búsqueda global que le ayudarán a realizar búsquedas correctamente: 10 • Guía de referencia de interfaz web. Puede seleccionar el número de líneas que se mostrarán o mostrar todas las líneas. realice una compilación completa y seleccione las opciones de configuración Incluir configuración de dispositivo y red e Incluir políticas y objetos. un nombre de política. Si desea más información sobre la compilación de cambios. un nombre de objeto. Los resultados de búsqueda se agrupan por categoría y proporcionan enlaces a la ubicación de la configuración en la interfaz web. si hace clic en Compilar y únicamente selecciona la opción Incluir configuración de dispositivo y red. lo que reduce los fallos considerablemente en el momento de la compilación. Esto también puede suceder si realiza una compilación parcial tras importar una configuración. – Vista previa de cambios: Haga clic en Vista previa de cambios para abrir una ventana con dos paneles que muestra los cambios propuestos en la configuración candidata en comparación con la configuración que se está ejecutando actualmente. versión 7. el cortafuegos recopila y muestra todos los errores y. el cortafuegos ya no finaliza una compilación cuando aparece el primer error. modificado o eliminado. Para compilar estos tipos de cambios. un ID de amenaza o un nombre de aplicación. Los cambios están indicados con colores dependiendo de los elementos que se han agregado. no se realizan cambios en la configuración que se está ejecutando. como un perfil de servidor LDAP.0. Por el contrario. consulte “Definición de la configuración de operaciones”.0 y Panorama 7. La función Dispositivo > Auditoría de configuraciones realiza la misma función (consulte “Comparación de archivos de configuración”). Por ejemplo. como una dirección IP. algunos de los elementos que cambió en la pestaña Dispositivo no se compilarán. – Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o más sistemas virtuales.0 Palo Alto Networks . Búsqueda de la configuración La búsqueda global le permite buscar en la configuración candidata en un cortafuegos o en Panorama una cadena específica. – Validar cambios: Haga clic en Validar cambios para realizar una validación sintáctica (comprobar que la sintaxis de la configuración sea correcta) y una validación semántica (comprobar que la configuración está completa y tiene sentido) de la configuración del cortafuegos antes de compilar los cambios. Esto incluye certificados y opciones de ID de usuario. incluidas las advertencias de dependencias de aplicaciones y atenuación de reglas. La respuesta incluirá todos los errores y advertencias que incluiría una compilación completa o una compilación de sistemas virtuales. sin embargo.

tanto la palabra “política” como la palabra “corporativa” deben existir en el elemento de configuración para encontrarlo. Lo mismo ocurre con los grupos de dispositivos de Panorama. haga clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web y aparecerá una lista con las últimas 20 búsquedas. Puede iniciar una búsqueda global haciendo clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web de gestión o haciendo clic en Búsqueda global en cualquier área de la interfaz web que admita las búsquedas globales.0 • 11 . indíquela entre comillas. Palo Alto Networks Guía de referencia de interfaz web. haga clic en la lista desplegable situada junto a un elemento y haga clic en Búsqueda global. En este caso.Uso de la interfaz web del cortafuegos de Palo Alto Networks • Si inicia una búsqueda en un cortafuegos con varios sistemas virtuales habilitados o si hay funciones de administrador definidas. versión 7. • Para volver a ejecutar una búsqueda anterior. Por ejemplo. verá resultados de búsqueda de cualquier grupo de dispositivos para el que tenga permisos. • Los espacios del texto de búsqueda se tratan como operaciones AND. La lista del historial de búsqueda es exclusiva de cada cuenta de administrador. • La búsqueda global buscará la configuración candidata. La captura de pantalla siguiente muestra el icono Búsqueda que es visible desde todas las áreas de la interfaz web. • Para encontrar una frase exacta. si busca política corporativa. la búsqueda global solamente devolverá resultados de las áreas del cortafuegos para las que tenga permisos. Haga clic en un elemento de la lista para volver a ejecutar dicha búsqueda. Para acceder a la función Búsqueda global desde dentro de un área de configuración. La captura de pantalla siguiente muestra el icono Búsqueda global que aparece cuando hace clic en la lista desplegable situada a la derecha de un nombre de política de seguridad.

si hace clic en Búsqueda global en una zona denominada l3-vlan-trust. Etiquetas. Zona. intervalos de direcciones o direcciones individuales de DHPC) asignado a usuarios por parte del cortafuegos. Por ejemplo. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios antes de que finalice el segundo administrador. Otro ejemplo son los nombres de usuarios recopilados cuando la función User-ID está habilitada. Por ejemplo. Para realizar una búsqueda. En este caso. Solamente puede eliminarse por el administrador que configuró el bloqueo o por un superusuario del sistema. Usuario. pero no puede buscar direcciones individuales emitidas para usuarios. Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. La captura de pantalla siguiente muestra los resultados de búsqueda de la zona l3-vlan-trust: Las búsquedas globales no buscarán contenido dinámico (como logs. un nombre de usuario o un grupo de usuarios que exista en la base de datos de User-ID solamente se puede buscar si el nombre o el grupo existe en la configuración. como la entrada DNS. versión 7. Se permiten los siguientes tipos de bloqueo: • Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores. como en la definición de un nombre de grupo de usuarios en una política. Bloqueo de transacciones La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información por otro administrador hasta que se elimine el bloqueo. En el caso de DHCP. puede buscar un atributo de servidor DHCP. El bloqueo se libera cuando el administrador que 12 • Guía de referencia de interfaz web. Los resultados de búsqueda se agrupan por categoría y puede pasar el cursor por encima de cualquier elemento para ver información detallada o hacer clic en el elemento para desplazarse a su página de configuración. solamente tiene que hacer clic en la lista desplegable situada junto a cualquiera de estos campos y hacer clic en Búsqueda global. buscará en toda la configuración de ese nombre de zona y devolverá resultados de cada ubicación donde se haga referencia a la zona.0 Palo Alto Networks . Dirección. Por lo general.Uso de la interfaz web del cortafuegos de Palo Alto Networks El icono Búsqueda global está disponible para todos los campos que permitan la búsqueda. Aplicación y Servicio. puede buscar los campos siguientes: Nombre. Perfil HIP. solamente puede buscar contenido que el cortafuegos escriba en la configuración. en el caso de una política de seguridad. • Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que se liberen todos los bloqueos.

junto con una marca de tiempo para cada una. Para desbloquear una transacción. versión 7. Agregue bloqueos adicionales según sea necesario y. haga clic en el icono Bloqueo bloqueado en la barra superior para abrir la ventana Bloqueos. Para bloquear una transacción. el bloqueo también puede liberarse manualmente por parte del administrador que realizó el bloqueo o por un superusuario del sistema. Haga clic en Aplicación de un bloqueo. Haga clic en el icono del bloqueo que quiera eliminar y haga clic en Sí para confirmar. seleccione el ámbito del bloqueo desde la lista desplegable y haga clic en ACEPTAR. Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo (consulte “Configuración del sistema. haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. Cualquier administrador puede abrir la ventana de bloqueos para visualizar las transacciones actuales que están bloqueadas. Palo Alto Networks Guía de referencia de interfaz web. configuración y gestión de licencias”).Uso de la interfaz web del cortafuegos de Palo Alto Networks aplicó el bloqueo compila los cambios actuales. a continuación. haga clic en el icono Bloqueo desbloqueado en la barra superior para abrir el cuadro de diálogo Bloqueos.0 • 13 . Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. La transacción está bloqueada y el icono de la barra superior cambia a un icono Bloqueo bloqueado que muestra el número de elementos bloqueados entre paréntesis.

• Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web para acceder al sistema de ayuda en línea. vaya a https://support.com.com.paloaltonetworks.0 Palo Alto Networks . vaya a https://live.paloaltonetworks.paloaltonetworks. foros de debate y vídeos. Cómo obtener más información Para obtener más información acerca del cortafuegos.com/documentation.Obtención de ayuda para la configuración del cortafuegos Exploradores compatibles Las versiones mínimas de los exploradores web compatibles para acceder a la interfaz web del cortafuegos son las siguientes: • Internet Explorer 7 • Firefox 3. • Documentación: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos. área de colaboración para la interacción cliente/socio. información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos. Asistencia técnica Para obtener asistencia técnica.paloaltonetworks. 14 • Guía de referencia de interfaz web. consulte: • Información general: Visite http://www.6 • Safari 5 • Chrome 11 Obtención de ayuda para la configuración del cortafuegos Utilice la información que aparece en esta sección para obtener ayuda con el uso del cortafuegos.com. consulte https://www. versión 7. • Base de conocimientos: Para acceder a la base de conocimientos.

perfiles y cuentas de administrador” • “Configuración de perfiles de autenticación” • “Creación de una base de datos de usuario local” • “Cómo añadir grupos de usuarios locales” • “Configuración de ajustes de servidor RADIUS” • “Configuración de ajustes del servidor TACACS+” • “Configuración de ajustes de servidor LDAP” • “Configuración de ajustes del servidor Kerberos” • “Configuración de una secuencia de autenticación” • “Creación de un perfil del certificado” • “Programación de exportaciones de logs” • “Definición de destinos de logs” • “Configuración de ajustes de flujo de red” • “Uso de certificados” • “Cifrado de claves privadas y contraseñas del cortafuegos” • “Habilitación de HA en el cortafuegos” Palo Alto Networks Guía de referencia de interfaz web . configuración y gestión de licencias” • “Definición de orígenes de información de VM” • “Instalación de software” • “Actualización de definiciones de aplicaciones y amenazas” • “Funciones. versión 7.Capítulo 3 Gestión de dispositivos Utilice las siguientes secciones para obtener referencia de campo sobre la configuración de sistema básica y tareas de mantenimiento en el cortafuegos: • “Configuración del sistema.0 • 15 .

utilice la pestaña Dispositivo > Configuración > Gestión para configurar la configuración de gestión. Configure los siguientes ajustes de gestión. versión 7.Configuración del sistema. configuración y gestión de licencias En las siguientes secciones se describe cómo definir la configuración de red para el acceso de gestión (el cual define las rutas de servicio y los servicios). identificación de contenido. Para la gestión de cortafuegos. excepto donde se indique otra cosa. 16 • Guía de referencia de interfaz web . Estos se aplican tanto al cortafuegos como a Panorama. En Panorama.0 Palo Alto Networks . análisis e informes de software malintencionado de WildFire): • “Definición de la configuración de gestión” • “Definición de la configuración de operaciones” • “Definición de módulos de seguridad de hardware” • “Habilitación de supervisión de SNMP” • “Definición de la configuración de servicios” • “Definición de un perfil de servidor de DNS” • “Definición de la configuración de ID de contenido” • “Configuración de ajustes de WildFire” • “Definición de la configuración de sesión” • “Comparación de archivos de configuración” • “Instalación de una licencia” Definición de la configuración de gestión Dispositivo > Configuración > Gestión Panorama > Configuración > Gestión En un cortafuegos. y cómo gestionar las opciones de configuración (como los tiempos de espera de sesión globales. configuración y gestión de licencias • “Definición de sistemas virtuales” • “Definición de páginas de respuesta personalizadas” • “Visualización de información de asistencia técnica” Configuración del sistema. use la pestaña Dispositivo > Configuración > Gestión para configurar los cortafuegos que quiere gestionar con plantillas de Panorama. de forma optativa también puede utilizar la dirección IP de una interfaz de loopback para el puerto de gestión (consulte “Configuración de una interfaz de bucle invertido”). Utilice la pestaña Panorama > Configuración > Gestión para configurar los ajustes para Panorama.

Para obtener una mejor seguridad. Perfil de servicio SSL/TLS Asigne un perfil de servicio SSL/TLS existente o cree uno nuevo para especificar un certificado y los protocolos permitidos para proteger el tráfico entrante en la interfaz de gestión del dispositivo. Consulte las preferencias de idioma en “Uso de la interfaz web del cortafuegos de Palo Alto Networks”. Configuración de gestión Elemento Descripción Configuración general Nombre de host Introduzca un nombre de host (de hasta 31 caracteres). Si selecciona ninguno. versión 7. el dispositivo usa el certificado autofirmado preconfigurado. Palo Alto Networks Guía de referencia de interfaz web . El texto se muestra debajo de los campos Nombre y Contraseña. los informes en PDF seguirán utilizando el idioma especificado en este ajuste de configuración regional. Configuración regional Seleccione un idioma para los informes en PDF de la lista desplegable. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. guiones y guiones bajos.0 • 17 . Zona horaria Seleccione la zona horaria del cortafuegos. Titular de inicio de sesión Introduzca el texto personalizado que aparecerá en la página de inicio de sesión del cortafuegos. Utilice únicamente letras.Definición de la configuración de gestión • “Configuración general” • “Configuración de autenticación” • “Ajustes de Panorama: Dispositivo > Configuración > Gestión” (ajustes configurados en el cortafuegos para la conexión a Panorama) • “Ajustes de Panorama: Panorama > Configuración > Gestión” (ajustes configurados en Panorama para la conexión a los cortafuegos) • “Configuración de interfaz de gestión” • “Ajustes de la interfaz Eth1” (Únicamente en Panorama) • “Ajustes de la interfaz Eth2” (Únicamente en Panorama) • “Configuración de log e informes” • “Complejidad de contraseña mínima” Tabla 1. consulte “Gestión de perfiles de servicio SSL/TLS”. Nota: Se recomienda no usar el certificado predeterminado. Dominio Introduzca el nombre de dominio completo (FQDN) del cortafuegos (de hasta 31 caracteres). Aunque haya establecido una preferencia de idioma específica para la interfaz web. Consulte “Gestión de informes de resumen en PDF”. números. espacios. Para obtener más información. se recomienda que asigne un perfil de servicio SSL/TLS asociado a un certificado que haya firmado una entidad de certificación (CA) de confianza.

que procede de la dirección IPv6 de la dirección MAC de la interfaz. En una configuración activa/ pasiva de alta disponibilidad (HA). Capacidad de cortafuegos virtuales Habilita el uso de varios sistemas virtuales en cortafuegos que admiten esta función (consulte “Definición de sistemas virtuales”). Para obtener más información.0) y la longitud (de -180. Si selecciona Ninguno. Base de datos de filtrado de URL (únicamente en Panorama) Seleccione un proveedor de filtrado de URL en Panorama: brightcloud o paloaltonetworks (PAN-DB). Nota: Si un administrador es local. el ID de la interfaz no debe usar el formato EUI-64. consulte “Configuración de perfiles de autenticación” y “Configuración de ajustes de servidor RADIUS”. Comprobación del vencimiento del certificado Indique al cortafuegos que deberá crear mensajes de advertencia cuando se acerque la fecha de vencimiento de los certificados integrados. Si desea información detallada. el dispositivo usa el perfil de autenticación asociado con la cuenta del administrador para su autenticación (consulte “Creación de cuentas administrativas”). Para permitir la autenticación de administradores externos. • Introduzca la hora actual con el formato de 24 horas (HH:MM:SS).0 a 90. en lugar de generar una dirección MAC usando el esquema personalizado de PAN-OS. Número de serie (solo máquinas virtuales de Panorama) Introduzca el número de serie de Panorama. 18 • Guía de referencia de interfaz web . consulte “Bloqueo de transacciones”. el dispositivo les solicita la información de autenticación (incluido el rol del administrador) desde el servidor RADIUS. Configuración de autenticación Perfil de autenticación Seleccione el perfil de autenticación (o secuencia) para autenticar administradores que tengan cuentas externas (cuentas no definidas en el dispositivo). Cuando los administradores externos inician sesión. versión 7. o bien seleccione la fecha de la lista desplegable. se produce un error de compilación si se usa el formato EUI-64. Use direcciones MAC asignadas por el hipervisor (únicamente cortafuegos VM-Series) Seleccione la casilla de verificación para que el cortafuegos VM-Series use las direcciones MAC asignadas por el hipervisor. Configuración de gestión (Continuación) Elemento Descripción Hora Defina la fecha y hora del cortafuegos: • Introduzca la fecha actual (con el formato AAAA/MM/DD). Este archivo define los atributos de autenticación necesarios para la comunicación entre el dispositivo y el servidor RADIUS.0 a 180. Busque el número de serie en el correo electrónico de ejecución de pedido que se le ha enviado. Para este ajuste solo están disponibles los perfiles de autenticación que tengan un tipo definido en RADIUS y que hagan referencia a un perfil de servidor RADIUS. Ubicación geográfica Introduzca la latitud (de -90. Si habilita esta opción y usa una dirección IPv6 para la interfaz. Adquirir bloqueo de compilación automáticamente Marque la casilla de verificación para aplicar automáticamente un bloqueo de compilación cuando cambie la configuración candidata. Nota: También puede definir un servidor NTP desde Dispositivo > Configuración > Servicios.Definición de la configuración de gestión Tabla 1.0 Palo Alto Networks . el dispositivo no autenticará a los administradores externos y estos no podrán iniciar sesión. Consulte la documentación de software del servidor RADIUS para obtener instrucciones sobre la ubicación de instalación del archivo.0) del cortafuegos. debe instalar también el archivo de diccionario RADIUS de Palo Alto Networks en el servidor RADIUS.

versión 7. Reintentar recuento de envíos SSL a Panorama Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a Panorama (intervalo: 1-64. introduzca la dirección IP del servidor secundario de Panorama en el segundo campo Servidores de Panorama. Para invertir la política de cortafuegos y la gestión de objetos en Panorama. Palo Alto Networks Guía de referencia de interfaz web . En condiciones normales de funcionamiento. Para conservar una copia local de las políticas y objetos del grupo de dispositivos del cortafuegos. Al hacer clic en Desactivar política y objetos de Panorama. Configuración de gestión (Continuación) Elemento Descripción Perfil del certificado Seleccione el perfil del certificado que debe utilizar el administrador para acceder al cortafuegos. Tiempo de espera de recepción para conexión a Panorama Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de Panorama (intervalo: 1-240 segundos. Después de realizar una compilación. predeterminado: 0) que PAN-OS bloquea a un usuario si este alcanza el límite de intentos fallidos. Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos (intervalo: 0-10.Definición de la configuración de gestión Tabla 1. Si Panorama tiene una configuración de alta disponibilidad (HA). haga clic en Habilitar objetos y política de Panorama.0 • 19 . Ajustes de Panorama: Dispositivo > Configuración > Gestión Configure el siguiente ajuste en el cortafuegos o en una plantilla de Panorama. seleccione la casilla de verificación Importar política y objetos de Panorama antes de desactivar. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores de objetos y reglas diferentes a los definidos en el grupo de dispositivos. Un valor de 0 significa que el número de intentos es ilimitado. se deshabilita la propagación de las políticas de grupo de dispositivos y objetos al cortafuegos. desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. Servidores de Panorama Introduzca la dirección IP del servidor de Panorama. También debe configurar los ajustes de conexión y uso compartido del objeto en Panorama. predeterminado: 25). consulte “Creación de un perfil del certificado”. predeterminado: 240). Para obtener instrucciones sobre cómo configurar perfiles de autenticación. Estos ajustes establecen una conexión entre el cortafuegos y Panorama. Deshabilitar/Habilitar objetos y política de Panorama Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. esta acción también elimina estas políticas y objetos del cortafuegos. Tiempo de bloqueo Introduzca el número de minutos (intervalo: 0-60. en el cuadro de diálogo que se abre al hacer clic en el botón. consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”. Tiempo de espera de inactividad Introduzca el intervalo de tiempo de espera en minutos (intervalo: 0-1440. Un valor de 0 significa que el número de intentos es ilimitado. Si el valor es 0. la sesión de gestión. De forma predeterminada. predeterminado: 0). predeterminado: 240). Tiempo de espera de envío para conexión a Panorama Introduzca el tiempo de espera en segundos para enviar mensajes de TCP a Panorama (intervalo: 1-240 segundos. las políticas y objetos pasan a formar parte de la configuración del cortafuegos y Panorama deja de gestionarlos. interfaz web o de CLI no presenta ningún tiempo de espera. predeterminado: 0) que PAN-OS permite para la interfaz web y la CLI antes de bloquear la cuenta.

haga clic en Habilitar plantilla de dispositivo y red. así como los parámetros de uso compartido de los objetos. esta acción también elimina la información de plantilla del cortafuegos. la información de la plantilla pasa a formar parte de la configuración del cortafuegos y Panorama deja de gestionarla. De manera predeterminada. Esta opción reduce el recuento total de objetos asegurándose de que PAN-OS solo envía los objetos necesarios a cortafuegos gestionados. Si quiere configurar el cortafuegos para que vuelva a aceptar plantillas. PAN-OS busca en las políticas de Panorama referencias a direcciones. predeterminado: 240). Esto significa que si realiza una compilación de grupo de dispositivos. Ajustes de Panorama: Panorama > Configuración > Gestión Si usa Panorama para gestionar los cortafuegos.0 Palo Alto Networks . se deshabilita la propagación de información de plantillas (configuraciones de dispositivo y red) al cortafuegos. servicios y objetos de grupo de servicio y no comparte ningún objeto sin referencia. Este ajuste está deshabilitado de manera predeterminada. versión 7. el valor antecesor sustituirá a cualquier valor de cancelación. este ajuste global del sistema está deshabilitado y los objetos que cancele en un grupo sucesor tendrán prioridad en ese grupo sobre los valores heredados de los grupos antecesores. Los objetos antecesores tienen prioridad Seleccione la casilla de verificación para especificar que si los grupos de dispositivos en diferentes niveles de la jerarquía tienen objetos del mismo tipo y nombre pero con valores diferentes. Enviar tiempo de espera de conexión a dispositivo Introduzca el tiempo de espera en segundos para enviar mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. predeterminado: 240). De forma predeterminada. Compartir con dispositivos objetos de direcciones y servicios no utilizados Seleccione esta casilla de verificación para compartir todos los objetos compartidos de Panorama y los objetos específicos de grupos de dispositivos con cortafuegos gestionados. Reintentar recuento de envío SSL a dispositivo Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a cortafuegos gestionados (intervalo: 1-64. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores configuración de dispositivos y red diferentes a los definidos en el grupo de dispositivos. Tiempo de espera de recepción para conexión a dispositivo Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. configure los siguientes ajustes en Panorama.Definición de la configuración de gestión Tabla 1. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. predeterminado: 25). También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla en Panorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”. Si desactiva la casilla de verificación. en el cuadro de diálogo que se abre al hacer clic en el botón seleccione la casilla de verificación Importar plantillas de dispositivo y red antes de deshabilitar. Estos ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones desde Panorama a los cortafuegos gestionados. Configuración de gestión (Continuación) Elemento Descripción Deshabilitar/habilitar plantilla de dispositivo y red Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). Para conservar una copia de la información de la plantilla en el cortafuegos. grupos de direcciones. Al hacer clic en Desactivar dispositivo y plantilla de red. Después de realizar una compilación. desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. 20 • Guía de referencia de interfaz web . En condiciones normales de funcionamiento. los valores de objeto en los grupos antecesores tienen prioridad sobre los valores de los grupos sucesores.

Recomendamos que compile siempre una configuración completa. añada la dirección IP de cada cortafuegos gestionado. debe asignar también una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). De lo contrario. Dirección IP (IPv4) Si la red utiliza IPv4. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz de gestión. si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador. Si compila una configuración parcial (por ejemplo. SNMP. Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz de gestión. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud de prefijo (para IPv6). Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz de gestión. ID de usuario (User-ID). debe asignar también una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). Para indicar la máscara de red. asigne una dirección IPv6 a la interfaz de gestión. versión 7. el cortafuegos no podrá conectarse y reenviar logs a Panorama o recibir actualizaciones de configuración.255. Utilice el ajuste de negociación automática predeterminado para que el dispositivo (Panorama o el cortafuegos) determine la velocidad de interfaz. De forma predeterminada. Al usar esta opción para el dispositivo M-Series de Panorama. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). SSL de escucha de Syslog de ID de usuario. debe introducir también una máscara de red (por ejemplo. El dispositivo virtual de Panorama no admite interfaces separadas. De manera predeterminada. puede asignar la dirección IP de una interfaz de loopback para la gestión de dispositivos.0). UDP de escucha de Syslog de ID de usuario. SSH (Secure Shell). recopilación de logs y comunicación de grupos de recopiladores. Telnet. Configuración de gestión (Continuación) Elemento Descripción Configuración de interfaz de gestión Esta interfaz se aplica al cortafuegos. debe especificar la dirección IP. 255. asigne una dirección IPv4 a la interfaz de gestión.Definición de la configuración de gestión Tabla 1. la dirección IP que introduzca es la dirección de origen para el reenvío de logs.255. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes Eth1 o Eth2. Ping. De forma alternativa. podría omitir la puerta de enlace predeterminada).0 • 21 . opción predeterminada 1500). Servicios Seleccione los servicios que quiere que se habiliten en la dirección de interfaz de gestión especificada: HTTP. 100 Mbps y 1 Gbps con dúplex completo o medio. Palo Alto Networks Guía de referencia de interfaz web . el dispositivo M-Seriesutiliza la interfaz de gestión (MGT) para configuración. HTTPS. solo puede acceder al dispositivo a través del puerto de la consola para futuros cambios de configuración. Las opciones incluyen 10 Mbps. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz de gestión. Dirección IPv6/longitud de prefijo Si su red usa IPv6. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de cortafuegos. Nota: Para completar la configuración de la interfaz de gestión. dispositivo M-Series de Panorama o dispositivo virtual de Panorama. Sin embargo. OCSP de HTTP. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino.

Eth2 Seleccione esta casilla de verificación para activar la interfaz Eth2. Sin embargo. Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP.255. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). el dispositivo M-Series usa la interfaz de gestión para configuración. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. debe asignar también una dirección IPv6 a la interfaz Eth1. asigne una dirección IPv4 a la interfaz Eth1. puede configurarlo para la recopilación de logs o comunicación de grupos de recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados). Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP.0). el dispositivo M-Series usa la interfaz de gestión para configuración.255. asigne una dirección IPv4 a la interfaz Eth2. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que el puerto Eth2). Dirección IP (IPv4) Si su red utiliza IPv4. Sin embargo. De manera predeterminada. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. Dirección IP (IPv4) Si su red utiliza IPv4. 22 • Guía de referencia de interfaz web . introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. debe introducir también una máscara de red (por ejemplo.255. versión 7. recopilación de logs y comunicación de grupos de recopiladores. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth1. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz. Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. 255.255. si habilita Eth1.Definición de la configuración de gestión Tabla 1. 255. Para indicar la máscara de red. Ajustes de la interfaz Eth2 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. recopilación de logs y comunicación de grupos de recopiladores. Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth1. Las opciones incluyen 10 Mbps. Configuración de gestión (Continuación) Elemento Descripción Ajustes de la interfaz Eth1 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. De manera predeterminada. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. 100 Mbps y 1 Gbps con dúplex completo o medio. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth1. Eth1 Seleccione esta casilla de verificación para activar la interfaz Eth1.0 Palo Alto Networks . puede configurarlo para la recopilación de logs o la comunicación de grupos de recopiladores cuando defina los recopiladores gestionados (Panorama > Recopiladores gestionados). también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). debe introducir también una máscara de red (por ejemplo. si habilita Eth2. opción predeterminada 1500).0).

Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. Para indicar la máscara de red. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth2). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth2. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). asigne una dirección IPv6 a la interfaz Eth2.0 • 23 .Definición de la configuración de gestión Tabla 1. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. Las opciones incluyen 10 Mbps. Puerta de enlace IPv6 predeterminada Si ha especificado una dirección IPv6 a la interfaz. opción predeterminada 1500). Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth2. 100 Mbps y 1 Gbps con dúplex completo o medio. Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth2. Configuración de gestión (Continuación) Elemento Descripción Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. versión 7. Palo Alto Networks Guía de referencia de interfaz web .

Definición de la configuración de gestión Tabla 1. Los ajustes se sincronizan a través de alta disponibilidad. En una configuración activa/pasiva de alta disponibilidad (HA). que es el periodo de vencimiento de los logs (intervalo: 1-2000). El dispositivo evalúa los logs a medida que los crea y elimina los logs que superan el periodo de vencimiento o el tamaño de cuota.0 Palo Alto Networks . El dispositivo elimina automáticamente los logs que superan el periodo especificado. no los elimina a menos que se produzca una conmutación por error y se vuelva activo. • Informes predefinidos creados en el cortafuegos/Panorama. 24 • Guía de referencia de interfaz web . La pestaña Almacenamiento de la tarjeta de gestión tiene configuración de cuota para el tráfico de tipo de gestión almacenado en la SMC (por ejemplo. por lo tanto. Si reduce el tamaño de una cuota de log. La pestaña Almacenamiento de log tiene la configuración de la cuota para el tráfico del tipo de datos en la LPC (por ejemplo. Configuración de gestión (Continuación) Elemento Descripción Configuración de log e informes Use esta sección para modificar: • Periodos de vencimiento y cuotas de almacenamiento para los logs e informes que generen los siguientes dispositivos. ajuste los porcentajes de modo que el total quede por debajo del límite del 100%. • Atributos para calcular y exportar informes de actividad de usuarios. lo que significa que los logs no vencen nunca. Al cambiar un valor de cuota. logs de tráfico y amenazas). Si el total de todos los valores supera el 100%. Si esto sucede. aparecerá un mensaje de color rojo en la página y un mensaje de error cuando intente guardar la configuración. en forma de porcentaje. Los ajustes se aplican a todos los sistemas virtuales del cortafuegos. los logs de configuración. la asignación de disco asociada cambia automáticamente. el peer pasivo no recibe logs y. • Días máx. versión 7. el dispositivo empieza a sustituir las entradas del log más antiguas por las nuevas. Cuando una cuota de log alcanza el tamaño máximo. – Logs que genera un cortafuegos (Dispositivo > Configuración > Gestión). consulte “Definición de grupos de recopiladores de logs”. Haga clic en ACEPTAR para guardar los cambios. Pestaña secundaria Almacenamiento de log (Las pestañas Almacenamiento de tarjeta de log y Almacenamiento de tarjeta de gestión solo se aplican a los cortafuegos de las series PA-7000) Especifique para cada tipo de log y tipo de resumen de log: • La cuota asignada en el disco duro para almacenamiento de logs. De manera predeterminada. – Los logs que genera el servidor de gestión de Panorama y sus recopiladores gestionados (Panorama > Configuración > Gestión). Para configurar los ajustes de logs que los cortafuegos envían a un recopilador gestionado. Los cortafuegos de la serie PA-7000 almacenan los logs en la tarjeta de procesamiento de logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y divide las cuotas de registro en estas dos áreas. Haga clic en Restablecer valores predeterminados para recuperar los valores predeterminados. PRECAUCIÓN: Los logs de resumen semanales pueden superar el umbral y continuar hasta la siguiente eliminación si alcanzan el umbral de vencimiento entre dos fechas de eliminación de logs.. no se fija ningún periodo. los logs del sistema y logs de alarmas). el dispositivo elimina los logs más antiguos cuando compila los cambios.

m. de filas en informe de actividad de usuario: Introduzca el número máximo de filas que se admite para los informes de actividad de usuario detallada (intervalo: 1-1048576. Máx. valor predeterminado: 65535). De manera predeterminada. lo que significa que los informes no vencen nunca. El dispositivo elimina los informes que han vencido todas las noches a las 2 a. Esto es así porque no hay forma de determinar durante cuánto tiempo un usuario visualiza una página concreta. Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se considerará una nueva actividad de exploración. Las páginas contenedoras se utilizan como base para este cálculo debido a que muchos sitios cargan contenido de sitios externos que no debería considerarse. El cálculo ignorará los sitios categorizados como anuncios web y redes de entrega de contenido.): Configure esta variable para ajustar cómo se calcula el tiempo de exploración en segundos para “Informe de actividad del usuario” (intervalo: 0-300 segundos. Cualquier solicitud que se produzca entre la primera carga de la página y el umbral de carga de página se considerará que son elementos de la página. El cálculo ignorará las páginas web nuevas que se carguen entre el momento de la primera solicitud (hora de inicio) y el tiempo medio de exploración. Puede utilizar estas versiones guardadas para auditar y comparar cambios en la configuración. El umbral de carga de página también se utiliza en los cálculos para el informe de actividad de usuario. Configuración de gestión (Continuación) Elemento Descripción Pestaña secundaria Exportación e informes de log Número de versiones para auditoría de configuraciones: Introduzca el número de versiones de configuración que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). de filas en exportación CSV: Introduzca el número máximo de filas que aparecerán en los informes CSV generados desde el icono Exportar a CSV de la vista de logs de tráfico (rango 1-1048576. valor predeterminado: 5000).Definición de la configuración de gestión Tabla 1. El ajuste de tiempo medio de exploración es el tiempo medio que el administrador considera que tardará un usuario en explorar una página web. Para obtener más información sobre la página contenedora. Formato de nombre de host de Syslog: Seleccione si desea utilizar el nombre de dominio completo (FQDN). Período de vencimiento del informe: Defina el periodo de vencimiento en días para los informes (intervalo: 1-2000). Este comportamiento se ha diseñado para excluir los sitios externos que se carguen dentro de la página web de interés. (hora del dispositivo). predeterminado: 20). Detener tráfico cuando LogDb esté lleno: (Únicamente cortafuegos) Seleccione la casilla de verificación si desea que se detenga el tráfico a través del cortafuegos cuando la base de datos de logs esté llena (desactivada de manera predeterminada). este encabezado identifica el cortafuegos/Panorama desde el que se origina el mensaje. el nombre de host. no se fija ningún periodo. el tiempo de exploración de dicha página seguirá siendo de 2 minutos. Ejemplo: si el tiempo medio de exploración es de 2 minutos y un usuario abre una página web y visualiza dicha página durante 5 minutos. predeterminado: 60). Número de versiones para Configurar copias de seguridad: (Solo Panorama) Introduzca el número de copias de seguridad de configuraciones que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). la dirección IP (v4 o V6) en el encabezado del mensaje de Syslog. Máx. versión 7. Tiempo medio de exploración (seg.0 • 25 . Palo Alto Networks Guía de referencia de interfaz web . El cálculo del tiempo de exploración se basa en las páginas contenedoras registradas en los logs de filtrado de URL. Cualquier solicitud que se produzca fuera del umbral de carga de página se considerará que es el usuario haciendo clic en un enlace de la página. Umbral de carga de página (seg): Esta opción le permite ajustar el tiempo previsto en segundos que tardan los elementos de una página en cargarse en la página (intervalo: 0-60. consulte “Páginas contenedoras”.

amenazas y filtrado de URL disponibles en el cortafuegos y en Panorama. las entradas más antiguas se eliminarán para permitir el registro de nuevos eventos. esta opción está deshabilitada. Solo logs principales activos al disco local: le permite configurar solo la instancia principal activa para guardar logs en el disco local. Utilice las opciones Seleccionar todo o Anular selección para habilitar o deshabilitar completamente la generación de los informes predefinidos. Debido a que los cortafuegos consumen recursos de memoria para generar resultados cada hora (y enviarlos a Panorama cuando se agrega y se compila para visualización). Configuración de gestión (Continuación) Elemento Descripción Habilitar log con carga alta: (Únicamente cortafuegos) Seleccione esta casilla de verificación si desea que se genere una entrada de log del sistema cuando la carga de procesamiento del paquete del cortafuegos esté al 100% de la utilización de la CPU. versión 7.0 Palo Alto Networks . la entradas de log se reenvían a la aplicación. Obtener únicamente nuevos logs al convertir a principal: Esta opción solo es aplicable cuando Panorama escribe logs en un recurso compartido de archivos de red (NFS). Nota: Antes deshabilitar un informe. Cuando se restaura la conexión con Panorama. reduciendo así el uso de memoria. (Solo en Panorama) Reenvío de log en búfer desde dispositivo: Permite al cortafuegos almacenar en búfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexión con Panorama. Informes predefinidos: Hay informes predefinidos para aplicación. Este comportamiento suele habilitarse para impedir que los cortafuegos envíen grandes volúmenes de logs almacenados en búfer cuando se restablezca la conexión con Panorama después de un período de tiempo significativo. estos informes predefinidos están habilitados. quite la marca de la casilla de verificación de los mismos.Definición de la configuración de gestión Tabla 1. el conjunto de informes al completo dejará de contener datos. puede deshabilitar los informes que no sean relevantes. Con los logs de NFS solo se monta la instancia principal de Panorama en el NFS. Si un informe predefinido forma parte de un conjunto de de informes y se deshabilita. Esta opción permite que un administrador configure los cortafuegos gestionados para que solo envíen los logs recién generados a Panorama cuando se produce un error de HA y la instancia secundaria de Panorama continúa creando logs para el NFS (después de promocionarse como principal). 26 • Guía de referencia de interfaz web . De forma predeterminada. Si se consume el espacio. para deshabilitar un informe. esta opción está habilitada. Esta opción es válida para una máquina virtual de Panorama con un disco virtual y para el dispositivo M-Series en modo Panorama. Una carga alta de CPU puede degradar el funcionamiento porque la CPU no tiene suficientes ciclos para procesar todos los paquetes. El log del sistema le avisa sobre este problema (se genera una entrada de log cada minuto) y le permite investigar la posible causa. De forma predeterminada. asegúrese de que no se incluye en ningún informe de grupos o informe PDF. los cortafuegos solo envían logs en la instancia activa principal de Panorama. tráfico. el espacio en disco disponible para el almacenamiento en búfer depende de la cuota de almacenamiento de logs para la plataforma y el volumen de los logs que quedan por ejecutar. Por lo tanto. De forma predeterminada.

0 • 27 . Por ejemplo. los caracteres deben diferir según el valor especificado. Configuración de gestión (Continuación) Elemento Descripción Complejidad de contraseña mínima Habilitado Habilite los requisitos de contraseña mínimos para cuentas locales. Letras en minúscula mínimas Exija un número mínimo de letras en minúscula de 0-15 caracteres. versión 7.Definición de la configuración de gestión Tabla 1. 10 minúsculas. El intervalo es de 2-15. Consulte “Definición de funciones de administrador” para obtener información sobre los caracteres válidos que pueden utilizarse en las cuentas. puede garantizar que las cuentas de administrador locales del cortafuegos cumplan un conjunto definido de requisitos de contraseña. Bloquear período de cambio de contraseña (días) El usuario no podrá cambiar sus contraseñas hasta que no se haya alcanzado el número de días especificado (rango: 0-365 días). si el valor se fija en 2. Bloquear caracteres repetidos Especifique el número de caracteres duplicados secuenciales permitidos en una contraseña. Evitar límite de reutilización de contraseña Exija que no se reutilice una contraseña anterior basándose en el recuento especificado. porque el número 1 aparece tres veces seguidas. Por ejemplo. Nota: Si tiene configurada la alta disponibilidad (HA). no podrá reutilizar ninguna de sus últimas 4 contraseñas (rango: 0-50). Para obtener más información. Es necesario cambiar la contraseña al iniciar sesión por primera vez Seleccione esta casilla de verificación para pedir a los administradores que cambien sus contraseñas la primera vez que inicien sesión en el dispositivo. Nota: La longitud de contraseña máxima que puede introducirse es de 31 caracteres. La nueva contraseña difiere por caracteres Cuando los administradores cambien sus contraseñas. Letras numéricas mínimas Exija un número mínimo de letras numéricas de 0-15 números. si el valor se establece como 4. ya que esto excedería la longitud máxima de 31. Si establece el valor en 2. utilice siempre el dispositivo principal cuando configure opciones de complejidad de contraseña y compile lo antes posible después de realizar cambios. Caracteres especiales mínimos Exija un número mínimo de caracteres especiales (no alfanuméricos) de 0-15 caracteres. el sistema aceptará la contraseña test11 u 11test11. Bloquear inclusión de nombre de usuario (incluida su inversión) Seleccione esta casilla de verificación para impedir que el nombre de usuario de la cuenta (o la versión invertida del nombre) se utilice en la contraseña. Al ajustar los requisitos. Por ejemplo. Letras en mayúscula mínimas Exija un número mínimo de letras en mayúscula de 0-15 caracteres. consulte “Definición de perfiles de contraseña”. no puede establecer un requisito de 10 mayúsculas. Palo Alto Networks Guía de referencia de interfaz web . pero no test111. Longitud mínima Exija una longitud mínima de 1-15 caracteres. Con esta función. pero si el mismo carácter se usa tres o cuatro veces seguidas. 10 números y 10 caracteres especiales. la contraseña puede contener el mismo carácter dos veces seguidas. la contraseña no está permitida. asegúrese de no crear una combinación que no pueda aceptarse. También puede crear un perfil de contraseña con un subconjunto de estas opciones que cancelará estos ajustes y que puede aplicarse a cuentas específicas.

Inicio de sesión de administrador caducado permitido (recuento) Permita que el administrador inicie sesión el número de veces especificado después de que la cuenta haya vencido. Es conveniente guardar periódicamente los ajustes de configuración que haya introducido haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla. lo que activa todos los cambios de configuración desde la última compilación. si el valor se establece como 90. importar y exportar configuraciones. de 0 a 365 días.Definición de la configuración de operaciones Tabla 1. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). actualizará la configuración activa con el contenido de la configuración candidata. validar. se actualiza la configuración candidata actual. ayudará a evitar estados de configuración no válidos que pueden producirse cuando se aplican cambios en tiempo real. versión 7. mientras que si selecciona Compilar. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que la cuenta haya vencido (rango: 0-30 días). 28 • Guía de referencia de interfaz web . Definición de la configuración de operaciones Dispositivo > Configuración > Operaciones Panorama > Configuración > Operaciones Cuando cambia un ajuste de configuración y hace clic en ACEPTAR. Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña. se creará una copia de la configuración candidata actual. Este método le permite revisar la configuración antes de activarla.0 Palo Alto Networks . Para gestionar configuraciones. Puede guardar y restablecer la configuración candidata con la frecuencia que sea necesario y también cargar. este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). Por ejemplo. se aplica la configuración candidata a la configuración activa. se pedirá a los administradores que cambien su contraseña cada 90 días. Configuración de gestión (Continuación) Elemento Descripción Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. seleccione las funciones de gestión de configuración adecuadas que se describen en la tabla siguiente. Al hacer clic en Compilar en la parte superior de la página. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. Si activa varios cambios simultáneamente. si el valor se ha establecido como 3 y su cuenta ha vencido. Por ejemplo. no la configuración activa. Si pulsa Guardar.

Se producirá un error si no se ha guardado la configuración candidata. Seleccione el archivo de configuración que debe exportarse. Este comando limpia el cortafuegos del mismo modo que la opción Enviar y compilar.xml) o una configuración guardada o importada anteriormente. Volver a la configuración en ejecución Restablece la última configuración en ejecución. use esta opción para limpiarlo. • Exportar la configuración al cortafuegos sin cargarlo. versión 7. Exportar versión de configuración Exporta una versión especificada de la configuración. Guardar configuración candidata Guarda la configuración candidata en la memoria flash (del mismo modo que si hiciera clic en Guardar en la parte superior de la página).Definición de la configuración de operaciones Tabla 2. Guardar instantánea de configuración con nombre Guarda la configuración candidata en un archivo. Tenga en cuenta que el archivo de configuración activa actual (running-config. Para cargar la configuración.0 • 29 . Funciones de gestión de configuración Función Descripción Gestión de configuración Volver a la última configuración guardada Restablece la última configuración candidata guardada desde la unidad local. La configuración candidata actual se sobrescribirá. Exportar instantánea de configuración con nombre Exporta la configuración activa (running-config. de modo que pueda gestionarlo usando Panorama. consulte “Programación de exportaciones de configuración”. Exportar lote de configuración de dispositivos y Panorama (Únicamente en Panorama) Genera y exporta manualmente la versión más reciente de la copia de seguridad de configuración en curso de Panorama y de los cortafuegos gestionados. Cargar instantánea de configuración con nombre Carga una configuración candidata desde la configuración activa (running-config. Exportar o insertar lote de configuración de dispositivo (Únicamente en Panorama) Le indica que seleccione un cortafuegos y realice una de las siguientes acciones en la configuración del cortafuegos almacenada en Panorama: • Enviar y compilar la configuración en el cortafuegos. Seleccione el archivo de configuración que debe cargarse. debe acceder a la CLI del cortafuegos y ejecutar el comando del modo de configuración load device-state.xml) o desde una configuración guardada o importada anteriormente. Cargar versión de configuración Carga una versión especificada de la configuración. Puede abrir el archivo y/o guardarlo en cualquier ubicación de red. consulte “Importa configuración del dispositivo en Panorama”. Después de importar una configuración de cortafuegos. La configuración en ejecución actual se sobrescribirá. La acción limpia el cortafuegos (elimina cualquier configuración local del mismo) y envía la configuración del cortafuegos almacenada en Panorama. Para obtener información relacionada. La configuración candidata actual se sobrescribirá. Para automatizar el proceso de crear y exportar el lote de configuración diariamente a un servidor SCP o FTP. Palo Alto Networks Guía de referencia de interfaz web . Introduzca un nombre de archivo o seleccione un archivo existente para sobrescribirlo.xml) no puede sobrescribirse.

tgz y se guardará en /opt/ pancfg/mgmt/device-state. ejecute save device state. se puede importar el archivo exportado para restablecer la información dinámica y de configuración del portal.com/documentation. consulte el documento “PAN-OS XML-Based Rest API Usage Guide” (Guía de uso de la API Rest basada en XML de PAN-OS. en el modo de configuración.paloaltonetworks. Esto incluye la configuración en ejecución actual. en inglés) en http://www. Si el portal tiene un fallo. Si el dispositivo es un portal de GlobalProtect. plantillas de Panorama y políticas compartidas. Para crear el archivo de estado del dispositivo a partir de la CLI. Importar estado de dispositivo (únicamente cortafuegos) Importa la información de estado del cortafuegos que se exportó mediante la opción Exportar estado de dispositivo. Esto debe hacerse con regularidad. Importar instantánea de configuración con nombre Importa un archivo de configuración desde cualquier ubicación de red. la exportación incluirá la información de la Entidad de certificación (CA) y la lista de los dispositivos satélite con su información de autenticación. servidor y satélite). El comando de operación para exportar el archivo de estado del dispositivo es scp export device-state (también puede utilizar tftp export device-state). versión 7. Importante: Debe realizar manualmente la exportación del estado del dispositivo o crear una secuencia de comandos programada de la API XML para exportar el archivo a un servidor remoto. Funciones de gestión de configuración (Continuación) Función Descripción Exportar estado de dispositivo (únicamente cortafuegos) Exporta la configuración y la información dinámica desde un cortafuegos que esté configurado como portal de GlobalProtect con la función VPN a gran escala (LSVPN) habilitada. 30 • Guía de referencia de interfaz web . La exportación incluye una lista de todos los dispositivos satélite gestionados por el portal. ya que puede que los certificados de satélite cambien a menudo. El archivo se denominará device_state_cfg. la configuración en ejecución en el momento de la exportación y toda la información de los certificados (certificados de CA raíz. Haga clic en Examinar y seleccione el archivo de configuración que debe importarse.0 Palo Alto Networks .Definición de la configuración de operaciones Tabla 2. Para obtener información sobre cómo utilizar la API XML.

este importa el objeto del cortafuegos en cada grupo de dispositivos. – Si un objeto compartido hace referencia a una configuración importada en una plantilla. • Prefijo de nombre de grupo de dispositivo (únicamente cortafuegos vsys múltiple): De manera opcional. versión 7. ADVERTENCIA: Si Panorama tiene una regla que se llama igual que una regla de cortafuegos que está importando. Puede editar los nombres predeterminados. – Si una configuración importada en una plantilla hace referencia a un objeto de cortafuegos compartido. Sin embargo.Definición de la configuración de operaciones Tabla 2. Panorama importa el objeto en un grupo de dispositivos independientemente de que seleccione la casilla de verificación. Para un cortafuegos con vsys múltiple. de lo contrario. – Si el nombre o el valor del objeto compartido del cortafuegos no coinciden con el objeto compartido de Panorama. Panorama copia los objetos del cortafuegos compartidos en grupos de dispositivos en lugar de en Compartidos.0 • 31 . Si anula la selección de la casilla de verificación. el valor predeterminado es el nombre del cortafuegos. pero no puede usar el nombre de un grupo de dispositivo existente. cada grupo de dispositivo tiene un nombre vsys de manera predeterminada. • Nombre de grupo de dispositivo: Para un cortafuegos vsys múltiple. ADVERTENCIA: Las versiones de contenido en Panorama (por ejemplo. aunque puede reasignarlos a un grupo de dispositivos principal diferente cuando finalice la importación (consulte “Definición de grupos de dispositivos”). Funciones de gestión de configuración (Continuación) Función Descripción Importa configuración del dispositivo en Panorama (Únicamente en Panorama) Importa una configuración de cortafuegos en Panorama. Puede seleccionar solamente un cortafuegos completo. el valor predeterminado es el nombre del cortafuegos. Panorama importa reglas de seguridad predeterminadas (predeterminada intrazona y predeterminada entre zonas) en la base de reglas posterior. Para cada sistema virtual (vsys) en el cortafuegos. Para otros cortafuegos. • Nombre de plantilla: Introduzca un nombre para la plantilla que contendrá el dispositivo importado y los ajustes de red. Panorama muestra ambas reglas. Panorama crea automáticamente un grupo de dispositivos que contenga las configuraciones de política y objetos. No puede usar el nombre de una plantilla existente. una cadena de caracteres como prefijo para cada nombre de grupo de dispositivo. base de datos de aplicaciones y amenazas) deben ser iguales o superiores a las versiones del cortafuegos desde el que importa una configuración. el campo estará vacío. lo que significa que Panorama importa objetos de Compartidos en el cortafuegos a Compartidos en Panorama. • Importar objetos compartidos de los dispositivos en el contexto compartido de Panorama: Esta casilla de verificación está seleccionada de manera predeterminada. Para otros cortafuegos. Panorama importa ese objeto en Compartidos independientemente de que seleccione la casilla de verificación. Los grupos de dispositivos estarán un nivel por debajo de la ubicación compartida en la jerarquía. • Ubicación de importación de reglas: Seleccione si Panorama importará las políticas como reglas previas o posteriores. Panorama crea automáticamente una plantilla que contenga las configuraciones de red y dispositivo. Configure las siguientes opciones de importación: • Dispositivo: Seleccione el cortafuegos desde el que Panorama importará las configuraciones. Palo Alto Networks Guía de referencia de interfaz web . Independientemente de su selección. El menú desplegable solo enumera los cortafuegos conectados a Panorama y no asignados a ningún grupo de dispositivos o plantilla. Este ajuste tiene las siguientes excepciones: – Si un objeto de cortafuegos compartido se llama igual y tiene el mismo valor que un objeto de Panorama existente. la compilación fallará. la importación excluye el objeto del cortafuegos. no un vsys individual. los nombres de reglas deben ser exclusivos: elimine una de las reglas antes de realizar una compilación en Panorama.

Deberá desenchufar la fuente de alimentación y volver a enchufarla antes de poder activar el dispositivo. utilice el comando de la CLI request shutdown system . haga clic en Reiniciar plano de datos. • Se cerrarán y registrarán las sesiones existentes. 32 • Guía de referencia de interfaz web . haga clic en Reiniciar dispositivo. Nota: Si la interfaz web no está disponible. vuelve a cargar el software (PAN-OS o Panorama) y la configuración activa.0 Palo Alto Networks . • Se detendrán todos los procesos del sistema. Si no se puede crear esta entrada de log. El dispositivo cierra su sesión. cierra y registra las sesiones existentes y crea un log del sistema que muestra el nombre del administrador que inició el apagado. Reiniciar plano de datos Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo. • Ahora podrá desmontar de manera limpia las unidades de disco y el dispositivo dejará de recibir alimentación. utilice el comando de la CLI request restart dataplane. Todos los cambios de configuración que no se guardasen o compilasen se perderán (consulte “Definición de la configuración de operaciones”). aparecerá una advertencia y el sistema no se apagará. Todos los administradores cerrarán sesión y se producirán los siguientes procesos: • Se cerrarán todas las sesiones de inicio de sesión. versión 7. Apagar Para realizar un apagado correcto del cortafuegos/Panorama. Funciones de gestión de configuración (Continuación) Función Descripción Operaciones de dispositivo Reiniciar Para reiniciar el cortafuegos o Panorama. • Se crearán logs del sistema que mostrarán el nombre del administrador que inició el apagado. a continuación. • Se deshabilitarán las interfaces. Nota: Si la interfaz web no está disponible. Esta opción no está disponible en el cortafuegos PA-200 y Panorama. utilice el comando de la CLI request restart system. haga clic en Sí en el mensaje de confirmación. Todos los cambios de configuración que no se hayan guardado o compilado se perderán.Definición de la configuración de operaciones Tabla 2. haga clic en Apagar dispositivo o Apagar Panorama y. Nota: Si la interfaz web no está disponible.

haga clic en la pestaña Muestra de informe. • El tamaño de imagen máximo para cualquier imagen de logotipo es de 128 KB. gif y jpg. Configuración del servicio de estadísticas La función Servicio de estadísticas permite que el cortafuegos envíe información de aplicaciones anónimas. Este servicio está deshabilitado de manera predeterminada y.0 • 33 . haga clic en el icono de informe . La información recopilada permite que el equipo de investigación mejore continuamente la eficacia de los productos de Palo Alto Networks basándose en información del mundo real. Configuración de SNMP Especifique parámetros de SNMP. los informes no se generan correctamente. Puede permitir que el cortafuegos envíe cualquiera de los siguientes tipos de información: • Informes de aplicación y amenazas • Informes de aplicaciones desconocidas • Informes de URL • Seguimientos de bloqueos de dispositivos Para ver una muestra del contenido de un informe estadístico que se enviará. Consulte “Gestión de informes de resumen en PDF”. la vista previa muestra las dimensiones de imagen recomendadas. Se abrirá la pestaña Muestra de informe para mostrar el código del informe. Consulte “Habilitación de supervisión de SNMP”. se cargará información cada 4 horas. la imagen se mostrará del modo en que se visualizará. Los archivos de imagen con un canal alfa no son compatibles y. Si es necesario. En el caso de informes en PDF. el tamaño de las imágenes se ajustará automáticamente sin recortarlas. Para ver un informe. Funciones de gestión de configuración (Continuación) Función Descripción Varios Logotipos personalizados Utilice esta opción para personalizar cualquiera de los siguientes elementos: • Imagen de fondo de la pantalla de inicio de sesión • Imagen de encabezado de la interfaz de usuario principal • Imagen de la página de título del informe en PDF. amenazas y bloqueos al equipo de investigación de Palo Alto Networks. se recortará la imagen para ajustarla. versión 7. haga clic en la casilla de verificación que aparece junto al informe deseado y. Puede que tenga que ponerse en contacto con el creador de la imagen para eliminar los canales alfa de la imagen o asegurarse de que el software de gráficos que está utilizando no guarda los archivos con la función de canal alfa.Definición de la configuración de operaciones Tabla 2. en para obtener una vista previa o en para eliminar una imagen cargada anteriormente. elimine su entrada y realice una compilación. a continuación. consulte “Gestión de informes de resumen en PDF”. • En el caso de las opciones de la pantalla de inicio de sesión y de la interfaz de usuario principal. En todos los casos. Para obtener información sobre cómo generar informes en PDF. Tenga en cuenta lo siguiente: • Los tipos de archivos admitidos son png. • Para volver al logotipo predeterminado. • Imagen de pie de página del informe en PDF Haga clic en para cargar un archivo de imagen. cuando se utilizan en informes en PDF. al hacer clic en . Palo Alto Networks Guía de referencia de interfaz web . una vez habilitado.

se configura la alta disponibilidad del HSM. Dirección de origen de cortafuegos Dirección del puerto utilizado para el servicio HSM. La siguiente configuración de estado aparece en la sección del proveedor de módulo de seguridad de hardware. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Alta disponibilidad Si se selecciona. Configuración de estado del proveedor de módulo HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. Cree varios nombres de módulos si está definiendo una configuración de alta disponibilidad del HSM.Definición de módulos de seguridad de hardware Definición de módulos de seguridad de hardware Dispositivo > Configuración > HSM La pestaña HSM le permite ver el estado y configurar un módulo de seguridad de hardware (HSM). se puede especificar como un puerto diferente a través de la opción Configuración de ruta de servicios en Dispositivo > Configuración > Servicios. Solo Luna SA de Safenet. Estado Consulte “Configuración del estado del módulo de seguridad de hardware de Luna SA de Safenet” o “Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect” según sea necesario. versión 7. No se necesita otra configuración. Tabla 3. se trata de la dirección del puerto de gestión. De forma predeterminada. Tabla 4. Clave maestra asegurada por HSM Si se activa. Para configurar un módulo de seguridad de hardware (HSM) en el cortafuegos. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. Ajustes de configuración de HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. Nombre de módulo Especifique un nombre de módulo para el HSM.0 Palo Alto Networks . haga clic en el icono Editar de la sección Proveedor de módulo de seguridad de hardware y configure los siguientes ajustes. 34 • Guía de referencia de interfaz web . Solo Luna SA de Safenet. Nombre de grupo configurado en el cortafuegos para la alta disponibilidad del HSM. la clave maestra se asegura en el HSM. Dirección de servidor Especifique una dirección de IPv4 para cualquier módulo HSM que esté configurando. Sin embargo. Nombre de grupo de alta disponibilidad. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos.

0 • 35 . Tabla 5. Rango 0 -500. versión 7. Ajustes de configuración de HSM (Continuación) Campo Descripción Alta disponibilidad Solo Luna SA de Safenet Seleccione esta casilla de verificación si está definiendo módulos HSM en una configuración de alta disponibilidad. Tabla 6. Este ajuste tendrá el valor Autenticado si el HSM aparece en esta tabla. Nombre de grupo de alta disponibilidad. Seleccione Configurar módulo de seguridad de hardware y configure los siguientes ajustes para autenticar el cortafuegos en el HSM. Ajustes de Configurar módulo de seguridad de hardware Campo Descripción Nombre de servidor Seleccione un nombre de servidor HSM en el cuadro desplegable. Palo Alto Networks Guía de referencia de interfaz web . Safenet Configuración del estado del módulo de seguridad de hardware de Luna SA de Campo Descripción Número de serie Se muestra el número de serie de la partición del HSM si la partición de HSM se ha autenticado correctamente.Definición de módulos de seguridad de hardware Tabla 4. Se debe configurar el nombre del módulo y la dirección del servidor de todos los módulos HSM. Dirección IP Dirección IP del HSM que se asignó en el cortafuegos. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Reintento de recuperación automática Solo Luna SA de Safenet Especifique el número de intentos que debe realizar el cortafuegos para recuperar la conexión con HSM antes de conmutarse por error a otro HSM en una configuración de alta disponibilidad del HSM. Partición Nombre de la partición en el HSM que se asignó en el cortafuegos. Tabla 7. Estado de módulo Estado de funcionamiento actual del HSM. Solo Luna SA de Safenet Especifique el nombre de grupo que se debe utilizar para el grupo de alta disponibilidad del HSM. La pantalla mostrará opciones diferentes dependiendo el proveedor HSM configurado. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect Campo Descripción Nombre Nombre del servidor del HSM. La sección Estado de módulo de seguridad de hardware proporciona la siguiente información sobre los HSM que se han autenticado correctamente. Este nombre lo utiliza el cortafuegos de forma interna. Dirección de sistema de archivos remoto Solo Thales Nshield Connect Configure la dirección IPv4 del sistema de archivos remoto utilizado en la configuración de HSM de Thales Nshield Connect. Contraseña de administrador Introduzca la contraseña del administrador de HSM para autenticar el cortafuegos en el HSM.

que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. lo que significa que el dispositivo usa un OID exclusivo para cada trap SNMP en función del tipo de evento. todos los traps tendrán el mismo OID. Si anula la selección de esta casilla de verificación. Este ajuste se indica en la MIB de información del sistema estándar. Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar las estadísticas que recopila de los dispositivos de Palo Alto Networks. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. 36 • Guía de referencia de interfaz web . Configuración de SNMP Campo Descripción Ubicación física Especifique la ubicación física del cortafuegos. Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar. Cuando se genera un log o trap. Se recomienda no usar la cadena de comunidad pública predeterminada. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí cuando intercambian mensajes get (solicitud de estadísticas) y trap SNMP. Utilizar definiciones de traps específicas Esta casilla de verificación está seleccionada de manera predeterminada. Contacto Introduzca el nombre o la dirección de correo electrónico de la persona responsable del mantenimiento del cortafuegos. Haga clic en el enlace Configuración de SNMP y especifique los siguientes ajustes para permitir las solicitudes GET SNMP desde su gestor de SNMP: Tabla 8. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores). esta información le permite identificar (en un gestor de SNMP) el dispositivo que ha generado la notificación. Para SNMP V2c Cadena de comunidad SNMP Introduzca la cadena de comunidad. Un trap SNMP identifica un evento con un ID de objeto único (OID) y los campos individuales se definen como una lista de enlaces de variables (varbind). versión 7.Habilitación de supervisión de SNMP Tabla 7. Los MIB SNMP definen todos los traps SNMP que genera el dispositivo. consulte MIB compatibles. admite todos los caracteres y distingue entre mayúsculas y minúsculas. Esta cadena puede tener hasta 127 caracteres. Para configurar el perfil de servidor que habilita la comunicación del cortafuegos con los destinos trap SNMP en su red (consulte “Configuración de destinos de traps SNMP”). Use la página Operaciones para configurar el dispositivo y usar la versión de SNMP compatible con su gestor de SNMP (SNMPv2c o SNMPv3). Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect (Continuación) Campo Descripción Estado de módulo Estado de funcionamiento actual del HSM. Su selección controla los campos restantes que muestra el cuadro de diálogo.0 Palo Alto Networks . • Autenticado • No autenticado Habilitación de supervisión de SNMP Dispositivo > Configuración > Operaciones SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red.

El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña.1.2 coincide con la máscara y 1. Los objetos no necesitan coincidir con los nodos restantes. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP y respuestas a solicitudes de estadísticas.0 • 37 .3. • Máscara: Especifique la máscara en formato hexadecimal. defina la máscara en 0xf0 y configure la opción de coincidencia en incluir. versión 7. si el OID es 1. use el OID de máximo nivel 1.1. la opción coincidente está fijada en incluir y la máscara es 0xf0. haga clic en Añadir.1. • Contraseña de autenticación: Especifique la contraseña de autenticación del usuario. introduzca un nombre para el grupo y configure lo siguiente en cada vista que añada al grupo: • Ver: Especifique un nombre para una vista.3.6.3.4. El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. Configuración de SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre/Vista Puede asignar un grupo de una o más vistas al usuario de un gestor de SNMP para controlar qué objetos MIB (estadísticas) del dispositivo puede obtener el usuario. respectivamente.6. donde define los servicios que el cortafuegos o sus sistemas virtuales. haga clic en Añadir y configure los siguientes ajustes: • Usuarios: Especifique un nombre de usuario para identificar una cuenta de usuario de SNMP. Nota: Para proporcionar acceso a toda la información de gestión. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. sino simplemente un menú Servicios. Por ejemplo. En este ejemplo. guiones bajos o guiones.1. puntos. Palo Alto Networks Guía de referencia de interfaz web . • Opción: Seleccione la lógica de coincidencia que se aplica al MIB. Definición de la configuración de servicios Dispositivo > Configuración > Servicios En un cortafuegos donde hay múltiples sistemas virtuales habilitados.6.Definición de la configuración de servicios Tabla 8.2 no.3. El dispositivo usa la contraseña para autenticar el gestor SNMP cuando se reenvían traps y se responde a solicitudes de estadísticas. El nombre de usuario puede tener hasta 31 caracteres.6. Para cada usuario. • Ver: Asigne un grupo de vistas al usuario. los objetos que solicite el usuario deberán tener OID que coincidan con los primeros cuatro nodos (f = 1111) de 1.6. Usuarios Las cuentas de usuario SNMP proporcionan autenticación. Para cada grupo de vistas.) Use la pestaña Global para definir servicios para todo el cortafuegos.1. Cada vista es un OID emparejado y una máscara binaria: el OID especifica un MIB y la máscara (en formato hexadecimal) especifica qué objetos son accesibles dentro (incluir coincidencias) o fuera (excluir coincidencias) del MIB. no hay dos pestañas. 1. Estos ajustes también se usan como los valores predeterminados para sistemas virtuales que no tienen un ajuste personalizado para un servicio. usan para operar eficientemente. (Si el cortafuegos es un único sistema virtual o si hay varios sistemas virtuales deshabilitados. privacidad y control de acceso cuando los dispositivos reenvían traps y los gestores SNMP obtienen estadísticas de dispositivos. • Contraseña privada: Especifique la contraseña de privacidad del usuario. la pestaña Servicios se divide en las pestañas Global y Sistemas virtuales. • OID: Especifique el OID del MIB.

) Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas. seleccione IPv4 o IPv6. syslog y mucho más. Para configurar la interfaz de gestión.Definición de la configuración de servicios • En la sección Servicios. La pestaña Destino se muestra en la ventana Configuración de ruta de servicios y se describe en “Ruta de servicio de destino”. La Tabla 9 describe los servicios globales.0 Palo Alto Networks . RADIUS. el servidor de actualizaciones y el servidor proxy. 38 • Guía de referencia de interfaz web . – La opción Personalizar le ofrece un control granular sobre la comunicación del servicio mediante la configuración de una interfaz de origen y una dirección IP específicas que el servicio usará como interfaz de destino y dirección IP de destino en su respuesta. que indica si se puede configurar un servicio para el cortafuegos Global o los sistemas virtuales. y si el servicio es compatible con direcciones de origen IPv4 o IPv6. Use la pestaña Sistemas virtuales para especificar rutas de servicios para un único sistema virtual. Seleccione Heredar configuración de ruta de servicios globales o Personalizar rutas de servicio para un sistema virtual. versión 7. Si selecciona esta opción. puede configurar una IP/interfaz de origen específica para toda la comunicación por correo electrónico entre el cortafuegos y un servidor de correo electrónico y utilizar una interfaz/IP de origen diferente para las actualizaciones de Palo Alto. Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas. Seleccione una ubicación (sistema virtual) y haga clic en Configuración de ruta de servicios. Consulte en la Tabla 10 los servicios que se pueden personalizar. Utilice la pestaña NTP específica para configurar los ajustes del protocolo de tiempo de red (NTP). Estos servicios se enumeran en la Tabla 10. Consulte la Tabla 9 para conocer descripciones de los campos de las opciones disponibles en la sección Servicios. La pestaña Destino es otra función de ruta de servicio global que puede personalizar. LDAP. Para controlar y redirigir solicitudes de DNS entre sistemas virtuales específicos. puede usar un Proxy DNS y un perfil de servidor DNS. Hay dos formas de configurar rutas de servicio globales: – La opción Utilizar interfaz de gestión para todos forzará todas las comunicaciones de servicios de cortafuegos con servidores externos a través de la interfaz de gestión (MGT). haga clic en el icono Editar para definir las direcciones IP de destino de los servidores de sistemas de nombres de dominio (DNS). Si elige personalizar configuraciones. correo electrónico. haga clic en Configuración de ruta de servicios para especificar cómo se comunicará el cortafuegos con otros dispositivos o servidores para servicios como DNS. (Por ejemplo. deberá configurar la interfaz de gestión para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan servicios. • En la sección Características de servicios. desplácese hasta la pestaña Dispositivo > Configuración > Gestión y edite la sección Configuración de interfaz de gestión.

Servidor DNS principal Introduzca la dirección IP del servidor DNS primario. Este ajuste se utiliza para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de dirección FQDN. por ejemplo. Esta opción añade un nivel de seguridad adicional para la comunicación entre el servidor del cortafuegos/Panorama y el servidor de actualización. para resolver entradas de DNS en logs o para objetos de dirección basados en FDQN. el cortafuegos o Panorama verificarán que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable. Guía de referencia de interfaz web .0 • 39 . El servidor se utiliza para las consultas de DNS del cortafuegos. Sección Servidor proxy Servidor Si el dispositivo necesita utilizar un servidor proxy para acceder a los servicios de actualización de Palo Alto Networks. Actualizar servidor Este ajuste representa la dirección IP o el nombre de host del servidor utilizado para descargar actualizaciones de Palo Alto Networks.Definición de la configuración de servicios Tabla 9. Usuario Introduzca el nombre de usuario para acceder al servidor.paloaltonetworks.com. logs y la gestión de dispositivos. El valor actual es updates. introduzca la dirección IP o el nombre de host del servidor. Configuración de servicios Función Descripción Servicios DNS Seleccione el tipo de servicio de DNS: Servidor u Objeto proxy DNS. versión 7. Verificar identidad del servidor de actualización Si se habilita esta opción. para buscar el servidor de actualizaciones. Las opciones incluyen las siguientes: • Servidores DNS principal y secundario para proporcionar resolución de nombres de dominio. introduzca la dirección IP o nombre de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el servidor primario no está disponible. • Un proxy DNS que se haya configurado en el cortafuegos es otra opción para configurar servidores de DNS. Contraseña/ Confirmar contraseña Introduzca y confirme la contraseña para que el usuario acceda al servidor proxy. No cambie el nombre del servidor a menos que se lo indique la asistencia técnica. Servidor de DNS secundario Introduzca la dirección IP de un servidor DNS secundario que deberá utilizarse si el servidor principal no está disponible (opcional). De forma optativa. Puerto Introduzca el puerto para el servidor proxy. NTP Dirección de servidor NTP Palo Alto Networks Introduzca la dirección IP o el nombre de host del servidor NTP que desee usar para sincronizar el reloj del cortafuegos.

 —  — 40 • Guía de referencia de interfaz web .  — — — Kerberos: Servidor de autenticación Kerberos. el DNS se realiza en el perfil de servidor de DNS.     HSM: Servidor de módulo de seguridad de hardware. –Clave de autenticación/Confirmar clave de autenticación: Introduzca y confirme la clave de autenticación del algoritmo de autenticación.   — — Actualizaciones de Palo Alto: Actualizaciones de Palo Alto Networks.0 Palo Alto Networks .     SNMP Trap: Servidor trap de protocolo simple de administración de redes.     NTP: Servidor de protocolo de tiempo de red.     MDM: Servidor de gestión de dispositivos móviles. • Clave simétrica: Seleccione esta opción para que el cortafuegos utilice intercambio de clave simétrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor NTP. • Clave automática: Seleccione esta opción para que el cortafuegos utilice la clave automática (criptografía de clave pública) para autenticar las actualizaciones de hora del servidor NTP. continúe introduciendo los siguientes campos: –ID de clave: Introduzca el ID de clave (1. * Para sistemas virtuales. –Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticación del NTP (MD5 o SHA1).   * * Correo electrónico: Servidor de correo electrónico.  —  — LDAP: Servidor de protocolo ligero de acceso a directorios.   — — Flujo de red: Servidor de flujo de red para la recopilación de estadísticas de tráfico de red. Para cada servidor NTP. versión 7. Ajustes de configuración de ruta de servicios Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Estado de CRL: Servidor de lista de revocación de certificado (CRL).   — — RADIUS: Servidor de servicio de autenticación remota telefónica de usuario.   — — Proxy: Servidor que actúa como proxy para el cortafuegos. Configuración de servicios (Continuación) Función Descripción Tipo de autenticación Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor NTP.65534).  — — — Panorama: Servidor Panorama de Palo Alto Networks. seleccione el tipo de autenticación que debe utilizar el cortafuegos: • Ninguno: Seleccione esta opción para desactivar la autenticación del NTP (predeterminado). Si selecciona la clave simétrica.   — — DNS: Servidor de sistema de nombres de dominio. Tabla 10.Definición de la configuración de servicios Tabla 9.

autorización y contabilidad (AAA. la dirección IP seleccionada será el origen del tráfico de servicios. en la pestaña IPv4 o IPv6.     Agente UID: Servidor de agente de ID de usuarios. seleccionar un servicio y hacer clic en Establecer rutas de servicio seleccionadas. seleccione una dirección del menú desplegable.  — — — Al personalizar una ruta de servicios global. la opción Heredar configuración de ruta de servicios globales significa que todos los servicios del sistema virtual heredarán la configuración de ruta de servicios global.     Tacplus: Servidor de sistema de control de acceso del controlador de acceso a terminales para servicios de autenticación.0 • 41 . Al configurar rutas de servicio para un sistema virtual. seleccione uno de los servicios disponibles de la lista. por sus siglas en inglés). Ajustes de configuración de ruta de servicios (Continuación) Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Syslog: Servidor para registro de mensajes de sistema. haga clic en Establecer rutas de servicio seleccionadas y seleccione Interfaz de origen y Dirección de origen del menú desplegable. Palo Alto Networks Guía de referencia de interfaz web . Para Dirección de origen. • Una interfaz del menú desplegable: Para los servicios en configuración.Definición de la configuración de servicios Tabla 10. seleccionar IPv4 o IPv6. versión 7. cuando defina sus servidores DNS en la pestaña Dispositivo > Configuración > Servicios.     Wildfire Private: Servidor WildFire de Palo Alto Networks privado. La dirección de origen muestra la dirección IPv4 o IPv6 asignada a la interfaz seleccionada.   — — Supervisor de VM: Servidor de supervisor de máquina virtual.  — — — Wildfire Public: Servidor WildFire de Palo Alto Networks público. Una interfaz de origen definida en Cualquiera permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles. La Interfaz de origen tiene las siguientes tres opciones: • Heredar configuración global: Los servicios seleccionados heredarán la configuración global para estos servicios. No tiene que definir la dirección de destino porque el destino se configura para cada servicio en cuestión. Por ejemplo. Para los servicios seleccionados. las respuestas del servidor se enviarán a esta dirección de origen. • Cualquiera: Permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles (interfaces en el sistema virtual específico). O bien puede elegir Personalizar. las respuestas del servidor se enviarán a la interfaz seleccionada porque esta era la interfaz de origen.     Actualizaciones de URL: Servidor de actualizaciones de Localizador de recursos uniforme (URL). dicha acción establecerá el destino de las consultas de DNS.

Configuración de ruta de servicio de destino Campo Descripción Destino Introduzca la dirección IP de destino. No necesita introducir la subred de la dirección de destino. Cualquier configuración en las rutas de servicio de destino cancelan las entradas de tabla de rutas. La pestaña Destino sirve para los siguientes casos de uso: • Cuando un servicio no tiene una ruta de servicio de aplicaciones. 42 • Guía de referencia de interfaz web . no sirve para la ubicación compartida global. así como la interfaz y la dirección de origen (ruta de servicio) que se usará en los paquetes enviados al servidor de DNS. Una ruta de servicio de destino es un modo de configurar la ruta para cancelar la tabla de rutas de base de información de reenvío (FIB). La Tabla 11 define los campos para la ruta de servicio de destino. si hace clic en Configuración de ruta de servicios y luego en Personalizar. Las rutas de servicio de destino están disponibles solo en la pestaña Global (no la pestaña Sistemas virtuales). Dirección de origen Seleccione la dirección de origen que se utilizará para los paquetes que regresan del destino. un perfil de servidor de DNS le permite especificar el sistema virtual que se está configurando. Un perfil de servidor de DNS solo sirve para un sistema virtual. versión 7. Se puede usar una ruta de servicio de destino para añadir una redirección personalizada de un servicio compatible con los servicios de la lista Personalizar (Tabla 10). de modo que la ruta de servicio de un sistema virtual individual no puede cancelar entradas de tabla de rutas que no están asociadas a un sistema virtual. aparece la pestaña Destino. La Tabla 12 describe la configuración del perfil de servidor de DNS.0 Palo Alto Networks . • Dentro de un único sistema virtual. Interfaz de origen Seleccione la interfaz de origen que se utilizará para los paquetes que regresan del destino. La interfaz y la dirección de origen se usan como interfaz y dirección destino en la respuesta desde el servidor de DNS. Definición de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Para simplificar la configuración para un sistema virtual. Tabla 11. un origen de herencia o las direcciones DNS primarias y secundarias para los servidores de DNS. cuando quiere usar varios enrutadores virtuales o una combinación de enrutador virtual y puerto de gestión. Pueden estar relacionadas o no relacionadas con cualquier servicio.Definición de un perfil de servidor de DNS Ruta de servicio de destino Dispositivo > Configuración > Servicios > Global Al regresar a la pestaña Global.

Ruta de servicio IPv4 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. DNS secundario Especifique la dirección IP del servidor DNS secundario. especifique el servidor de DNS desde el que el perfil debería heredar la configuración. Si desea más información sobre el filtrado de URL. DNS principal Especifique la dirección IP del servidor DNS primario. Definición de la configuración de ID de contenido Dispositivo > Configuración > ID de contenido Utilice la pestaña ID de contenido (Content-ID) para definir la configuración del filtrado de URL. Configuración de perfil de servidor de DNS Campo Descripción Nombre Asigne un nombre al perfil de servidor de DNS. De lo contrario.Definición de la configuración de ID de contenido Tabla 12. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. versión 7. Tabla 13. Este valor se utiliza en el filtrado de URL dinámica para determinar la cantidad de tiempo que una entrada permanece en la caché después de ser devuelta por el servicio de filtrado de URL. la protección de datos y las páginas contenedoras. Origen de herencia Seleccione Ninguno si las direcciones del servidor de DNS no son heredadas. Dirección de origen Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. Configuración de ID de contenidos Función Descripción Filtrado de URL Tiempo de espera de caché de URL dinámica Palo Alto Networks Haga clic en Editar e introduzca el tiempo de espera (en horas). Guía de referencia de interfaz web . Comprobar estado de origen de herencia Haga clic para ver la información de origen de herencia. Ubicación Seleccione el sistema virtual al que pertenece el perfil. consulte “Perfiles de filtrado de URL”.0 • 43 . Ruta de servicio IPv6 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Esta opción únicamente es aplicable al filtrado de URL que utilice la base de datos de BrightCloud. Dirección de origen Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS.

predeterminado: 15). Configuración de ID de contenidos Longitud de captura de paquetes extendida Establezca el número de paquetes que se deben capturar cuando la opción de captura extendida se habilita en perfiles de antispyware y vulnerabilidad.Definición de la configuración de ID de contenido Tabla 13. seleccione un perfil de servicio SSL/TLS. haga clic en Añadir y especifique la configuración que se aplica cuando un perfil de bloqueo de URL bloquea una página y la acción Cancelar se especifica (para obtener más información. introduzca la dirección IP para el redireccionamiento. Servidor PAN-DB (Necesario para la conexión a un servidor PAN-DB privado) Especifique la dirección IPv4. Haga clic en para eliminar una entrada. Los cortafuegos acceden a los servidores incluidos en esta lista de servidores de PAN-DB para bases de datos de URL. Si selecciona Redirigir. • Modo: Determina si la página de bloqueo se entrega de manera transparente (parece originarse en el sitio web bloqueado) o redirige al usuario al servidor especificado. versión 7. consulte “Gestión de perfiles de servicio SSL/TLS”. • Contraseña/Confirmar contraseña: Introduzca la contraseña que el usuario debe introducir para cancelar la página de bloque. consulte “Perfiles de filtrado de URL”): • Ubicación: Seleccione el sistema virtual en la lista desplegable (únicamente cortafuegos de VSYS múltiple). dirección IPv6 o FQDN para los servidores PAN-DB privados en su red. Puede introducir hasta 20 entradas. • Perfil de servicio SSL/TLS: Para especificar un certificado y las versiones de protocolo TLS para protección de comunicaciones al redireccionar a través del servidor especificado. actualizaciones de URL y búsquedas de URL para categorizar páginas web. Cancelación de administrador de URL Configuración de la cancelación de administrador de URL Para cada sistema virtual que quiera configurar para la cancelación de administradores de URL. predeterminado: 900). Para obtener más información. La solución PAN-DB privada es para empresas que no permiten que los cortafuegos accedan directamente a los servidores de PAN-DB en la nube pública. predeterminado: 1800). El rango es 1-50 y el valor predeterminado es 5. 44 • Guía de referencia de interfaz web . Configuración de ID de contenidos (Continuación) Función Descripción Tiempo de espera de caché de URL dinámica Especifique en minutos el intervalo que transcurre desde una acción de “continuación” por parte del usuario hasta el momento en que el usuario debe volver a pulsar el botón de continuación para las URL de la misma categoría (intervalo: 1-86400.0 Palo Alto Networks . Tiempo de espera de bloqueo de administrador de URL Especifique en minutos el período que un usuario está bloqueado y no puede utilizar la contraseña de cancelación de administrador de URL después de tres intentos incorrectos (1-86400. El cortafuegos conecta con la nube PAN-DB pública de manera predeterminada. Tiempo de espera de cancelación de administrador de URL Especifique en minutos el intervalo que transcurre desde que el usuario introduce la contraseña de cancelación de administrador hasta que el usuario debe volver a introducir la contraseña de cancelación de administrador para las URL de la misma categoría (intervalo: 1-86400.

introduzca y confirme la nueva contraseña. Configuración de ID de contenidos (Continuación) Función Descripción Permitir reenvío de contenido descifrado Seleccione la casilla de verificación para permitir que el cortafuegos reenvíe contenido descifrado a un servicio externo. Si el encabezado tiene una dirección IP no válida. que contiene las direcciones IP de un cliente que solicita un servicio web cuando se implementa el cortafuegos entre Internet y un servidor proxy. Strip-X-Forwarded-For Header Seleccione esta casilla de verificación para eliminar el encabezado X-Forwarded-For (XFF). Características de ID de contenido Gestionar protección de datos Palo Alto Networks Aumente la protección para acceder a logs que puedan incluir información confidencial. de modo que esas políticas puedan controlar y registrar el acceso a los usuarios y grupos asociados. Si está seleccionada. haga clic en Cambiar contraseña. versión 7. Para dispositivos con capacidad para varios sistemas virtuales. el campo Usuario de origen muestra la dirección IP XFF con el prefijo x-fwd-for. • Para cambiar la contraseña. Si el encabezado tiene varias direcciones IP. a continuación. el cortafuegos puede reenviar contenido descifrado al realizar reflejo de puerto o enviar archivos de WildFire para su análisis. el cortafuegos solamente pone a cero el valor de XFF tras usarlo para atribución de usuarios. Nota: Al seleccionar esta casilla de verificación no se deshabilita el uso de encabezado XFF para atribución de usuarios en políticas (consulte “Usar X-Forwarded-For Header en ID de usuario”). el servicio de ID de usuario usa la primera entrada de la izquierda.Definición de la configuración de ID de contenido Tabla 13. Para habilitar esta configuración en cada sistema virtual. de lo contrario. Si el servicio de ID de usuario no puede realizar la comparación o no tiene permiso en la zona asociada con la dirección IP. esta opción está habilitada para cada sistema virtual. • Para eliminar la contraseña y los datos que se han protegido. Guía de referencia de interfaz web . El servicio de ID de usuario compara los nombres de usuario que lee con los nombres de usuario que menciona su regla. como números de tarjetas de crédito o números de la Seguridad Social. haga clic en Eliminar contraseña. el servicio de ID de usuario usa esa dirección IP como un nombre de usuario para las referencias de asignación de grupos en las políticas. vaya a la pestaña Dispositivo > Sistemas virtuales. ocultaría las direcciones IP a los usuarios.0 • 45 . Haga clic en Gestionar protección de datos y configure lo siguiente: • Para establecer una nueva contraseña si todavía no se ha establecido una. Los logs de URL muestran los nombres de usuario coincidentes en el campo Usuario de origen. Introduzca y confirme la contraseña. haga clic en Establecer contraseña. Introduzca la contraseña anterior y. El cortafuegos pone a cero el valor del encabezado antes de reenviar la solicitud y los paquetes reenviados no contienen información de IP de origen interna. X-Forwarded-For Headers Usar X-Forwarded-For Header en ID de usuario Seleccione esta casilla de verificación para especificar que el servicio de ID de usuario lea las direcciones IP desde el encabezado de X-Forwarded-For (XFF) en las solicitudes del cliente de servicios web cuando se implementa el cortafuegos entre Internet y un servidor proxy que.

Configuración de ID de contenidos (Continuación) Función Descripción Páginas contenedoras Utilice estos ajustes para especificar los tipos de URL que el cortafuegos seguirá o registrará basándose en el tipo de contenido. Ajustes de WildFire en el cortafuegos Campo Descripción Configuración general Nube pública de WildFire Introduzca wildfire.paloaltonetworks. como application/ pdf. text/plain y text/xml. el sistema de la nube de Japón lo reenvía a los servidores de EE. Haga clic en Añadir e introduzca o seleccione un tipo de contenido.jp. application/soap+xml. Si se encuentra en la región de Japón. La adición de nuevos tipos de contenido para un sistema virtual cancela la lista predeterminada de tipos de contenido. Configuración de ajustes de WildFire Dispositivo > Configuración > WildFire Utilice la pestaña WildFire para configurar los ajustes de WildFire en el cortafuegos. 46 • Guía de referencia de interfaz web .. puede especificar qué archivos se reenvían a la nube de WildFire o al dispositivo de WildFire creando un perfil de análisis de WildFire (Objetos > Perfiles de seguridad > Análisis de WildFire). para analizar archivos.Configuración de ajustes de WildFire Tabla 13. el cual puede seleccionar en la lista desplegable Ubicación. Para reenviar contenido descifrado a WildFire. se utilizarán los tipos de contenido predeterminados. Si se detecta que un archivo enviado a la nube de Japón es malintencionado. Puede que desee utilizar el servidor japonés si no desea que se envíen archivos benignos a los servidores de nube estadounidenses.com para usar la nube de WildFire alojada en EE. puede que también experimente una respuesta más rápida en los envíos de muestras y la generación de informes. introduzca wildfire. Tras introducir la configuración de WildFire. Nube privada de WildFire Especifique la dirección IP o FQDN del dispositivo WildFire que se usará para analizar archivos. donde el archivo se vuelve a analizar y se genera una firma.paloaltonetworks. Tabla 14. Las páginas contenedoras se establecen según el sistema virtual. se utilizará la lista predeterminada de tipos de contenido. versión 7. text/html. UU. Puede habilitar tanto la nube de WildFire como un dispositivo WildFire para que se usen para realizar análisis de archivos. Para usar la nube de WildFire alojada en Japón.0 Palo Alto Networks . deberá seleccionar la casilla de verificación “Permitir reenvío de contenido descifrado” del cuadro Configuración de Dispositivo > Configuración > ID de contenido > Filtrado de URL. UU. application/xhtml+. Si un sistema virtual no tiene una página contenedora explícita definida. Si no hay tipos de contenido asociados a un sistema virtual. También puede establecer los límites de tamaño de archivo y la información de sesión sobre la que se informará.

los archivos analizados por WildFire indicados como grayware aparecerán en el log Supervisar > Envíos de WildFire. 500 KB de forma predeterminada Nota: Los valores anteriores pueden variar según la versión de PAN-OS o la versión de contenido instalada. haga clic en el campo Límite de tamaño y aparecerá un mensaje emergente que mostrará el intervalo disponible y el valor predeterminado. 2 MB de forma predeterminada • ms-office (Microsoft Office): 200 KB-10000 KB.Configuración de ajustes de WildFire Tabla 14. los enlaces de correo electrónico que WildFire considera benignos no se registrarán debido a la cantidad potencial de enlaces procesados. Para ver los intervalos válidos. Informar de archivos benignos Cuando esta opción está activada (desactivada de forma predeterminada). Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Tamaño de archivo máximo (MB) Especifique el tamaño de archivo máximo que se reenviará al servidor WildFire. Los rangos disponibles son: • flash (Adobe Flash): 1-10 MB. 200 KB de forma predeterminada • jar (archivo de clase de Java empaquetado): 1-10 MB. Nota: Incluso si esta opción está activada en el cortafuegos. Archivos Grayware del informe Cuando esta opción está activada (desactivada de forma predeterminada). 10 MB de forma predeterminada • pdf (Portable Document Format) 100 KB-1000 KB. 1 MB de forma predeterminada • pe (Portable Executable): 1-10 MB. 5 MB de forma predeterminada • apk (aplicaciones para Android): 1-50 MB. Nota: Incluso si esta opción está activada en el cortafuegos. Palo Alto Networks Guía de referencia de interfaz web .0 • 47 . versión 7. los archivos analizados por WildFire indicados como benignos aparecerán en el log Supervisar > Envíos de WildFire. los enlaces de correo electrónico que WildFire considera grayware no se registrarán debido a la cantidad potencial de enlaces procesados.

versión 7.0 Palo Alto Networks . • Nombre de archivo: Nombre del archivo que se envió. • Usuario: Usuario de destino. Definición de la configuración de sesión Dispositivo > Configuración > Sesión Utilice la pestaña Sesión para configurar los tiempos de vencimiento de las sesiones. • Puerto de destino: Puerto de destino del archivo sospechoso. todo está seleccionado: • IP de origen: Dirección IP de origen que envió el archivo sospechoso. como aplicar cortafuegos al tráfico IPv6 y volver a hacer coincidir la política de seguridad con las sesiones existentes cuando cambia la política. • Remitente de correo electrónico: Proporciona el nombre del remitente en los logs de WildFire e informes de WildFire detallados cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • URL: URL asociada al archivo sospechoso. Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Ajustes de información de sesión Configuración Especifique la información que se reenviará al servidor WildFire. • Vsys: Sistema virtual del cortafuegos que identificó al posible software malintencionado. • Puerto de origen: Puerto de origen que envió el archivo sospechoso. De manera predeterminada. • Asunto de correo electrónico: Proporciona el asunto del correo electrónico en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. la configuración de certificados de descifrado y los ajustes globales relacionados con las sesiones. • Aplicación: Aplicación de usuario que se utilizó para transmitir el archivo. • IP de destino: Dirección IP de destino del archivo sospechoso.Definición de la configuración de sesión Tabla 14. • Destinatario de correo electrónico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. La pestaña presenta las siguientes secciones: • “Configuración de sesión” • “Tiempos de espera de sesión” • “Ajustes de descifrado: Comprobación de revocación de certificado” • “Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy” • “Configuración de sesión de VPN” 48 • Guía de referencia de interfaz web .

Definición de la configuración de sesión

Configuración de sesión
Tabla 15. Configuración de sesión
Campo

Descripción

Reanalizar sesiones
establecidas

Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que
el cortafuegos aplique las políticas de seguridad recién configuradas a las
sesiones que ya están en curso. Esta capacidad está habilitada de manera
predeterminada. Si este ajuste está deshabilitado, cualquier cambio de
política se aplica solo a las sesiones iniciadas después de que se haya
compilado un cambio de política.
Por ejemplo, si se ha iniciado una sesión de Telnet mientras había
configurada una política que permitía Telnet y, en consecuencia, ha
compilado un cambio de política para denegar Telnet, el cortafuegos aplica
la política revisada a la sesión actual y la bloquea.

Tamaño de depósito de
testigo de ICMPv6

Introduzca el tamaño de depósito para la limitación de tasa de mensajes de
error de ICMPv6. El tamaño de depósito de testigo es un parámetro del
algoritmo de depósito de testigo que controla la intensidad de las ráfagas
de transmisión de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).

Tasa de paquetes de
error de ICMPv6

Introduzca el número medio de paquetes de error de ICMPv6 por segundo
que se permiten globalmente a través del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depósito de testigo de
ICMPv6 se utiliza para activar la limitación de mensajes de error de
ICMPv6.

Habilitar cortafuegos
IPv6

Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y
seleccione la casilla de verificación Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se
habilita. Incluso si IPv6 está activado para una interfaz, el ajuste
Cortafuegos IPv6 también debe estar activado para que IPv6 funcione.

Habilitar trama gigante
MTU global

Seleccione esta opción para habilitar la compatibilidad con tramas gigantes
en interfaces de Ethernet. Las tramas gigantes tienen una unidad de
transmisión máxima (MTU) de 9192 bytes y están disponibles en
determinadas plataformas.
• Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
• Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no está
específicamente configurada, estas interfaces heredarán automáticamente
el tamaño de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor. Para configurar la MTU
para la interfaz (Red > Interfaces > Ethernet), consulte “Configuración de
interfaz de capa 3”.

Tamaño mínimo de
MTU para NAT64 en
IPv6

Introduzca la MTU global para el tráfico IPv6 traducido. El valor
predeterminado de 1280 bytes se basa en la MTU mínima estándar para el
tráfico IPv6.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 49

Definición de la configuración de sesión

Tabla 15. Configuración de sesión (Continuación)
Campo

Descripción

Ratio de
sobresuscripción NAT

Seleccione la velocidad de sobresuscripción NAT, es decir, el número de
ocasiones en las que el mismo par de dirección IP y puerto traducido se
pueden usar de forma simultánea. La reducción de la velocidad de
sobresuscripción disminuirá el número de traducciones de dispositivo
origen, pero proporcionará más capacidades de regla de NAT.
• Valor predeterminado de plataforma: La configuración explícita de la
velocidad de sobresuscripción está desactivada; se aplica la velocidad de
sobresuscripción predeterminada para la plataforma. Consulte las
velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
• 1x: 1 vez. Esto significa que no existe ninguna sobresuscripción; cada par
de dirección IP y puerto traducido se puede utilizar solo una vez en cada
ocasión.
• 2x: 2 veces
• 4x: 4 veces
• 8x: 8 veces

Tasa de paquetes (por
segundo) inalcanzable
de ICMP

Define el número máximo de respuestas de ICMP inalcanzable que puede
enviar el cortafuegos por segundo. Este límite es compartido por los
paquetes IPv4 e IPv6.
El valor predeterminado es 200 mensajes por segundo;
intervalo: 1-65535 mensajes por segundo.

Vencimiento acelerado

Activa el vencimiento acelerado de las sesiones inactivas.
Seleccione la casilla de verificación para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesión alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado a
los cálculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces más rápida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera más rápido
(la mitad). Para calcular el vencimiento acelerado de la sesión, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesión) entre
el factor de escala para determinar un tiempo de espera más corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo
general vencería después de 3600 segundos lo hará 10 veces más rápido
(en 1/10 del tiempo), es decir, 360 segundos.

Tiempos de espera de sesión
El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una
sesión en el cortafuegos después de la inactividad en esa sesión. De forma predeterminada,
cuando la sesión agota su tiempo de espera para el protocolo, PAN-OS cierra la sesión.
En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicación en la pestaña Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicación aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP.

50 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Utilice las opciones de esta sección para configurar los ajustes de los tiempos de espera globales:
específicamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mínimos en la red, lo que podría producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podría retrasarse la
detección de errores.

Tabla 16. Tiempos de espera de sesión
Campo

Descripción

Valor predeterminado

Tiempo máximo que una sesión que no es TCP/UDP ni ICMP se puede abrir
sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Descartar tiempo de
espera

PAN-OS aplica el tiempo de espera de descarte cuando se deniega una
sesión debido a las políticas de seguridad configuradas en el cortafuegos.

– Descartar valor
predeterminado

Solo se aplica al tráfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

– Descartar TCP

Se aplica al tráfico de TCP.
El valor predeterminado es 90 segundos; el intervalo es 1-1599999 segundos.

– Descartar UDP

Se aplica al tráfico de UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

ICMP

Tiempo máximo que una sesión ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.

Analizar

Tiempo máximo que cualquier sesión puede permanecer abierta después
de ser considerada inactiva. PAN-OS considera inactiva una aplicación
cuando supera el umbral de generación definido para la misma.
El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos.

TCP

Tiempo máximo que una sesión TCP permanece abierta sin una respuesta
después de que una sesión TCP active el estado Establecido (después de
que se complete el protocolo o la transmisión de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999 segundos.

Protocolo de
enlace TCP

Tiempo máximo entre la recepción de SYN-ACK y la siguiente ACK para
establecer completamente la sesión.
El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos.

Inicialización de TCP

Tiempo máximo entre la recepción de SYN y SYN-ACK antes de iniciar el
temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; intervalo: 1-60 segundos

TCP semicerrado

Tiempo máximo entre la recepción del primer FIN y la recepción del
segundo FIN o RST.
Valor predeterminado: 120 segundos; intervalo: 1-604800 segundos

Tiempo de espera
de TCP

Tiempo máximo después de recibir el segundo FIN o RST.
Valor predeterminado: 15 segundos; intervalo: 1-600 segundos

RST sin verificar

Tiempo máximo después de recibir un RST que no se puede verificar
(el RST está dentro de la ventana TCP pero tiene un número de secuencia
inesperado o el RST procede de una ruta asimétrica).
Valor predeterminado: 30 segundos; intervalo: 1-600 segundos

UDP

Tiempo máximo que una sesión UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 51

Definición de la configuración de sesión

Tabla 16. Tiempos de espera de sesión (Continuación)
Campo

Descripción

Portal cautivo

El tiempo de espera de la sesión de autenticación en segundos para el
formulario web del portal cautivo (predeterminado: 30; intervalo: 1-1599999).
Para acceder al contenido solicitado, el usuario debe introducir las
credenciales de autenticación en este formato y autenticarse correctamente.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, utilice la pestaña Dispositivo > Identificación de
usuario > Configuración de portal cautivo. Consulte “Pestaña
Configuración de portal cautivo”.

Ajustes de descifrado: Comprobación de revocación de certificado
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Comprobación de revocación
de certificado para establecer los parámetros descritos en la siguiente tabla.

Tabla 17. Características de sesión: Comprobación de revocación de certificado
Campo

Descripción

Habilitar: CRL

Seleccione esta casilla de verificación para utilizar el método de la lista de
revocación de certificados (CRL) y verificar el estado de revocación de los
certificados.
Si también activa el protocolo de estado de certificado en línea (OCSP), el
cortafuegos primero prueba con él; si el servidor OCSP no está disponible,
entonces el cortafuegos intenta utilizar el método CRL.
Para obtener más información sobre los certificados de descifrado, consulte
“Políticas de descifrado”.

Tiempo de espera de
recepción: CRL

Si ha activado el método CLR para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.

Habilitar: OCSP

Seleccione la casilla de verificación para utilizar OCSP y verificar el estado
de revocación de los certificados.

Tiempo de espera de
recepción: OCSP

Si ha activado el método OCSP para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.

Bloquear sesión con
estado de certificado
desconocido

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS cuando
el servicio OCSP o CRL devuelva un estado de revocación de certificados
desconocido. De lo contrario, el cortafuegos continuará con la sesión.

Bloquear sesión al
agotar el tiempo de
espera de
comprobación de
estado de certificado

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS
después de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión.

52 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Tabla 17. Características de sesión: Comprobación de revocación de certificado (Continuación)
Campo

Descripción

Tiempo de espera del
estado del certificado

Especifique el intervalo en segundos (1-60 segundos, 5 de forma
predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lógica de bloqueo
de sesión que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepción de OCSP/
CRL de la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud después de que pase el menor de dos intervalos: el
valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de CRL.

Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamaño de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvío SSL/TLS. La siguiente tabla describe los parámetros.

Tabla 18. Características de sesión: Reenviar los ajustes de certificados del servidor proxy
Campo

Descripción

Definido por el host de
destino

Seleccione esta opción si desea que PAN-OS genere certificados basados en
la clave que utiliza el servidor de destino:
• Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS genera
un certificado con ese tamaño de clave y un algoritmo de hash SHA-1.
• Si el servidor de destino utiliza un tamaño de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.

RSA de 1024 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamaño de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificación públicas
(CA) y navegadores más populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
según su configuración de seguridad, cuando el navegador presente dichas
claves, el usuario podría recibir un aviso o se podría bloquear
completamente la sesión SSL/TLS.

RSA de 2048 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamaño de clave que utiliza el servidor de destino.
Las CA públicas y los navegadores más populares admiten claves de
2048 bits, que proporcionan más seguridad que las claves de 1024 bits.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 53

Definición de la configuración de sesión

Configuración de sesión de VPN
En la pestaña Sesión, en la sección Configuración de sesión de VPN, configure los ajustes
globales relacionados con el cortafuegos que establece una sesión de VPN. La siguiente tabla
describe la configuración.

Tabla 19 Configuración de sesión de VPN
Campo

Descripción

Umbral de
activación de
cookies

Especifique un número máximo de asociaciones de seguridad (SA) IKE a
medio abrir IKEv2 permitidas por el cortafuegos, por encima del cual se activa
la validación de cookies. Si el número de SA IKE a medio abrir supera el
umbral de activación de cookies, el respondedor solicita una cookie y el
iniciador debe responder con una IKE_SA_INIT que contenga una cookie. Si la
cookie se valida correctamente, se puede iniciar otra sesión de SA.
Un valor de 0 significa que la validación de cookies está siempre activa.
El Umbral de activación de cookies es una configuración de cortafuegos global
y debería ser inferior a la configuración de SA medio abiertas máx., que
también es global.
Intervalo: 0-65535. Valor predeterminado: 500.

SA medio abiertas
máx.

Especifique el número máximo de SA IKE a medio abrir IKEv2 que los
iniciadores pueden enviar al cortafuegos sin obtener una respuesta. Cuando se
alcance el máximo, el cortafuegos no responderá a nuevos paquetes
IKE_SA_INIT. Intervalo: 1-65535. Valor predeterminado: 65535.

Certificados en
caché máx.

Especifique el número máximo de certificados de autoridades de certificados
(CA) de peer recuperados por HTTP que el cortafuegos puede almacenar en
caché. Este valor solo lo usan las funciones IKEv2 Hash y URL. Intervalo:
1-4000. Valor predeterminado: 500.

54 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Comparación de archivos de configuración

Comparación de archivos de configuración
Dispositivo > Auditoría de configuraciones
Puede ver y comparar archivos de configuración utilizando la página Auditoría de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el número de líneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente ilustración.
La página también incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuración consecutivas. Haga clic en
para
cambiar las configuraciones que se están comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se están
comparando por el conjunto siguiente de configuraciones guardadas.

Ilustración 1. Comparación de configuraciones

Panorama guarda automáticamente todos los archivos de configuración que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a través
de la interfaz de Panorama o localmente en el cortafuegos.

Instalación de una licencia
Dispositivo > Licencias
Use esta página para activar licencias en todas las plataformas del cortafuegos. Al adquirir
una suscripción de Palo Alto Networks, recibirá un código de autorización para activar una o
más claves de licencia.
En el cortafuegos VM-Series, esta página también permite desactivar una máquina virtual (VM).
Las siguientes acciones están disponibles en la página Licencias:

• Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que se han activado en el portal de
asistencia técnica, haga clic en Recuperar claves de licencia del servidor de licencias.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 55

Instalación de una licencia

• Activar característica mediante código de autorización: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que no se han activado anteriormente
en el portal de asistencia técnica, haga clic en Activar característica mediante código de
autorización. Introduzca su código de autorización y haga clic en ACEPTAR.

• Clave de licencia de carga manual: Si el cortafuegos no tiene conexión con el servidor de
licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:

a. Descargue el archivo de clave de licencia en https://support.paloaltonetworks.com y
guárdelo localmente.

b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PAN-DB
for URL Filtering), tendrá que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuación, hacer clic en Activar.
También puede ejecutar el comando de CLI “request url-filtering download
paloaltonetworks region <region name>”.

• Deshabilitar VM: Esta opción está disponible en el cortafuegos VM-Series con el modelo
Traiga su propia licencia, que es compatible con licencias perpetuas y temporales;
el modelo de licencias a petición no es compatible con esta funcionalidad.
Haga clic en Desactivar VM cuando ya no necesite una instancia del cortafuegos
VM-Series. Le permitirá liberar todas las licencias activas (licencias de suscripción,
licencias de capacidad de VM y derecho de asistencia) usando esta opción. Las licencias se
devuelven a su cuenta y podrá aplicarlas a nuevas instancias de un cortafuegos
VM-Series cuando sea necesario.
Al desactivar la licencia, la funcionalidad del cortafuegos se deshabilita y se queda sin
licencia; no obstante, la configuración permanece intacta.
– Haga clic en Continuar manualmente si el cortafuegos VM-Series no tiene acceso
directo a Internet. El cortafuegos genera un archivo de token. Haga clic en el enlace
Exportar token de licencia para guardar el archivo de token en su ordenador local y
luego reinicie el cortafuegos. Inicie sesión en el portal de asistencia de
Palo Alto Networks y acceda a la página Activos > Dispositivos; haga clic en el enlace
Deshabilitar VM para usar este archivo de token y completar el proceso de
desactivación.
– Haga clic en Continuar si desea desactivar las licencias del cortafuegos VM-Series.
Haga clic en Reiniciar ahora para completar el proceso de desactivación de licencias.
– Haga clic en Cancelar si desea cancelar y cerrar la ventana de desactivación de VM.

Comportamiento tras el vencimiento de la licencia
Póngase en contacto con el equipo de operaciones y ventas de Palo Alto Networks para
obtener información sobre cómo renovar sus licencias o suscripciones.

56 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de orígenes de información de VM

• Si vence la suscripción de prevención de amenazas en el cortafuegos, ocurrirá lo siguiente:
– Se genera una entrada de log en el sistema; la entrada indica que la suscripción ha vencido.
– Todas las funciones de prevención de amenazas continuarán funcionado con las
firmas que se instalaron en el momento en que caducó la licencia.
– Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
válida. De igual forma, la capacidad de restablecimiento a una versión anterior de las
firmas no es compatible si la licencia ha caducado.
– Las firmas de App-ID personalizadas continuarán funcionando y se pueden modificar.

• Si la licencia de soporte caduca, la prevención de amenazas y sus actualizaciones
continuarán funcionando normalmente.

• Si los derechos de soporte vencen, las actualizaciones de software dejarán de estar
disponibles. Deberá renovar su licencia para continuar teniendo acceso a las
actualizaciones de software e interactuar con el grupo de soporte técnico.

• Si vence una licencia de capacidad de VM temporal, no podrá obtener software o
actualizaciones de contenido para el cortafuegos hasta que renueve la licencia. Aunque
puede que tenga una suscripción válida (prevención de amenazas o WildFire, por
ejemplo) y una licencia de asistencia, debe tener una licencia de capacidad válida para
obtener el software y las actualizaciones de contenido más recientes.

Definición de orígenes de información de VM
Dispositivo > Orígenes de información de VM
Utilice esta pestaña para registrar cambios activamente en las máquinas virtuales (VM)
implementadas en cualquier de estos orígenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orígenes de información de VM.

• El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de
VMware y los entornos AWS-VPC, así como y recuperar cambios conforme realiza el
abastecimiento o modifica los invitados en estos orígenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orígenes.
Si sus cortafuegos están configurados con alta disponibilidad:
– En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes
de la información de la máquina virtual.
– En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orígenes de la máquina virtual.
Para obtener información sobre cómo funcionan de forma sincronizada los orígenes de
información de la VM y los grupos de direcciones dinámicas, y poder supervisar los
cambios en el entorno virtual, consulte la Guía de implementación de la serie VM.

• Para la dirección IP de la identificación de usuario, puede configurar los orígenes de la
información de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 57

Definición de orígenes de información de VM

realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orígenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.

Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos:

Atributos supervisados en un
origen de VMware

Atributos supervisados
en el AWS-VPC

• UUID

• Arquitectura

• Nombre

• Sistema operativo invitado

• Sistema operativo invitado

• ID de imagen

• Estado de máquina virtual: el estado de

• ID de instancia

alimentación es apagado, encendido,
en espera y desconocido.

• Estado de instancia

• Anotación

• Tipo de instancia

• Versión

• Nombre de clave

• Red: nombre del conmutador virtual,

• Colocación: arrendamiento, nombre de grupo,

nombre del grupo de puerto e ID de
VLAN

• Nombre del contenedor: nombre de
vCenter, nombre del objeto del centro
de datos, nombre del grupo de
recursos, nombre del clúster, host,
dirección IP del host.

zona de disponibilidad

• Nombre de DNS privado
• Nombre de DNS público
• ID de subred
• Etiqueta (clave, valor) (se admiten hasta
5 etiquetas por instancia)

• ID de VPC
Añadir: para añadir un nuevo origen para la supervisión de VM, haga clic en Añadir y,
a continuación, complete los detalles basados en el origen que se está supervisando:

• Para el servidor ESXi de VMware o vCenter, consulte “Activación de los orígenes de
información de la VM para los servidores ESXi de VMware o vCenter”.

• Para AWS-VPC, consulte “Activación de los orígenes de información de la VM para
AWS VPC”.
Actualizar conectados: Haga clic para actualizar el estado de la conexión; se actualiza la
visualización en pantalla. Este botón no actualiza la conexión entre el cortafuegos y los
orígenes supervisados.
Eliminar: Seleccione un origen de información de máquina virtual configurado y haga clic
para eliminar el origen configurado.

58 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Utilice únicamente letras. (de forma predeterminada: 2 horas. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente. (de forma predeterminada. versión 7. si el host no responde. (puerto predeterminado 443). espacios. Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. Tipo Seleccione si el host/origen que se está supervisando es un servidor ESXi o vCenter. Tiempo de espera Introduzca el intervalo en horas después del cual se cierra la conexión al origen supervisado. rango de 2-10 horas) (Optativo) Para cambiar el valor predeterminado. Habilitado De forma predeterminada. números. guiones y guiones bajos. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Activación de los orígenes de información de la VM para AWS VPC Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). espacios. Utilice únicamente letras. Nombre de usuario Especifique el nombre de usuario necesario para autenticar para el origen. Palo Alto Networks Guía de referencia de interfaz web . seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado y especifique el valor.Definición de orígenes de información de VM Tabla 20.0 • 59 . el cortafuegos cerrará la conexión al origen. la comunicación entre el cortafuegos y el origen configurado está activada. el rango es de 5-600 segundos) Tabla 21. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. Cuando se alcanza el límite especificado o si no se puede acceder al host o este no responde. Puerto Especifique el puerto en el que está escuchando el host/origen. 5 segundos. Activación de los orígenes de información de la VM para los servidores ESXi de VMware o vCenter Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). Origen Introduzca el FQDN o la dirección IP del host/origen que se está supervisando. Tipo Seleccione VPC de AWS. números. Contraseña Introduzca la contraseña y confirme la entrada.

el cortafuegos cerrará la conexión al origen.amazonaws. si el host no responde. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen.com ID de clave de acceso Introduzca la cadena de texto alfanumérico que identifica de forma exclusiva al usuario propietario o con autorización de acceso a la cuenta de AWS. (de forma predeterminada. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente.com. ID de VPC Introduzca el ID del AWS-VPC para supervisar. ec2.amazonaws. el ID del VPC predeterminado aparecerá en los atributos de cuenta de AWS.us-west-1. El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de acceso secreto) para firmar digitalmente las llamadas de API realizadas a los servicios de AWS. la comunicación entre el cortafuegos y el origen configurado está activada.<su_región_AWS>. 60 segundos. 60 • Guía de referencia de interfaz web . (valor predeterminado 2 horas) (Optativo) Seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado.Definición de orígenes de información de VM Tabla 21. Activación de los orígenes de información de la VM para AWS VPC (Continuación) Campo Descripción Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen.0 Palo Alto Networks . El estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. La sintaxis es: ec2. Clave de acceso secreto Introduzca la contraseña y confirme la entrada. Origen Añada la URI en la que reside la Virtual Private Cloud. Por ejemplo. versión 7. vpc-1a2b3c4d. Habilitado De forma predeterminada. el rango es de 60-1200 segundos) Tiempo de espera Intervalo en horas después del cual se cierra la conexión al origen supervisado. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. Cuando se alcanza el límite especificado o si no se puede acceder al origen o este no responde. por ejemplo. Esta información es una parte de las credenciales de seguridad de AWS. Solo se supervisan las instancias de EC2 implementadas en este VPC. Si su cuenta se configura para usar un VPC predeterminado.

las sesiones no se sincronizarán si un dispositivo del clúster ejecuta una versión con características de PAN-OS diferente. • Realice una copia de seguridad de su configuración actual. eliminar una imagen de software del dispositivo o ver las notas de la versión.1). se recomienda que lo haga a una configuración que coincida con la versión del software. versión 7. o de 6. debe descargar (sin instalar) PAN-OS 6. Por ejemplo. con código 171072. • Los ajustes de fecha y hora del cortafuegos deben estar actualizados. puede que se migre la configuración para admitir nuevas características. las muestra al principio de la lista. de 5. ej. En la siguiente tabla se proporciona ayuda para utilizar la página de Software. (Haga clic en la pestaña Dispositivo > Configuración > Operaciones y seleccione Exportar instantánea de configuración con nombre. por lo que mostrará el mensaje Error de descifrado: la edición de GnuPG no es cero. Palo Alto Networks Guía de referencia de interfaz web .3. error al cargar en el gestor de software PAN. Tabla 22. seleccione running-config..12 a PAN-OS 6.) • Cuando realice una desactualización. ya que una versión con características puede migrar determinadas configuraciones para admitir nuevas características. El software PAN-OS está firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva versión.3.0 • 61 . Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. Si hay actualizaciones disponibles. a continuación. • Si necesita actualizar el cortafuegos a una versión de mantenimiento de PAN-OS para la cual la versión base es superior al software instalado actualmente. puede que el dispositivo crea equivocadamente que la firma del software es futura. Tamaño Indica el tamaño de la imagen de software. instalar una versión (se requiere una licencia de asistencia). para actualizar un cortafuegos de PAN-OS 5.0. haga clic en Comprobar ahora. Si está habilitada la sincronización de sesiones.0 a 6. debe cargar (sin instalar) la versión base en el cortafuegos antes de cargar e instalar la versión de mantenimiento.0. haga clic en ACEPTAR para guardar el archivo de configuración en su ordenador. Si el ajuste de fecha del dispositivo no está actualizado.xml y. Siga estas recomendaciones antes de actualizar o desactualizar la versión de software: • Lea las notas de la versión para ver una descripción de los cambios de una versión y la ruta de migración para instalar el software.Instalación de software Instalación de software Dispositivo > Software Use esta página para ver las versiones de software disponibles. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones.0. • Al actualizar un par de alta disponibilidad (HA) a una nueva versión con características (en la que cambie el primero o el segundo dígito de la versión de PAN-OS. p. Opciones de software Campo Descripción Versión Muestra las versiones de software que están disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks.0 en el cortafuegos antes de descargar e instalar PAN-OS 6.0 a 6. descargar o actualizar una versión.0.0.

Haga clic en el enlace para instalar el software. visite el sitio de actualizaciones de software desde un ordenador con conexión a Internet. Haga clic en el enlace para iniciar la descarga. Actualización de definiciones de aplicaciones y amenazas Dispositivo > Actualizaciones dinámicas Panorama > Actualizaciones dinámicas Palo Alto Networks publica regularmente actualizaciones para la detección de aplicaciones. Disponible Indica la versión correspondiente de la imagen de software cargada o descargada en el cortafuegos. Se suele utilizar esta opción si el cortafuegos no tiene acceso a Internet. Se necesita reiniciar para completar el proceso de actualización. En una configuración de alta disponibilidad (HA). descargue la actualización en ese ordenador y en la página Dispositivo > Software del cortafuegos haga clic en Cargar para importar la imagen de software.0. Opciones de software (Continuación) Campo Descripción Fecha de versión Indica la fecha y hora en la que Palo Alto Networks publicó la versión.. Botón Comprobar ahora Comprueba si hay nuevas actualizaciones de software en Palo Alto Networks. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Por ejemplo. Botón Cargar Importa una imagen de actualización de software desde un ordenador al que tiene acceso el cortafuegos. Instalado actualmente Indica si la versión correspondiente de la imagen de software está activada y si se ejecuta actualmente en el cortafuegos. si ejecuta 7.1 a menos que crea que pueda necesitar una versión anterior en algún momento. Este enlace solo está disponible para actualizaciones que descargue del servidor de actualizaciones de Palo Alto Networks: no está disponible para actualizaciones cargadas. Los enlaces de Notas de versión no están disponibles para el software cargado. haga clic en el enlace. que es necesario al descargar actualizaciones desde el servidor de actualizaciones de Palo Alto Networks. Elimina la imagen de software cargada o descargada anteriormente del cortafuegos. protección frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones dinámicas para las siguientes funciones: 62 • Guía de referencia de interfaz web . • Reinstalar: Se ha instalado la versión de software correspondiente. Notas de versión Proporciona un enlace a las notas de la versión de la actualización de software correspondiente. puede seleccionar la casilla de verificación Sincronizar en el peer para enviar la imagen de software importada al peer HA. la página de software muestra la misma información (p.Actualización de definiciones de aplicaciones y amenazas Tabla 22. Únicamente puede eliminar la imagen base en el caso de versiones anteriores que no necesiten actualizarse. Para volver a instalar la misma versión. Para realizar una carga. versión y tamaño) y los enlaces Instalar/Reinstalar para software cargado y descargado. puede eliminar la imagen base de 6.0 Palo Alto Networks . versión 7. • Instalar: Se ha descargado o cargado la versión de software correspondiente en el cortafuegos. Una vez cargada. ej.

debe crear una programación para estas actualizaciones antes de que GlobalProtect funcione. Esta opción le permite disfrutar de nuevas firmas de amenazas al instante. Palo Alto Networks Guía de referencia de interfaz web . Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. • WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por un dispositivo de WildFire (WF-500). Si está administrando sus cortafuegos con Panorama y desea programar actualizaciones dinámicas para uno o varios cortafuegos. Además. Esta actualización no requiere suscripciones adicionales. • Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas. posteriormente puede revisar el impacto de la política en las nuevas firmas de aplicaciones y realizar cualquier actualización de políticas antes de habilitarlas. a continuación. Si tiene una licencia de PAN-DB. el cortafuegos y el dispositivo se deben ejecutar en PAN-OS 6.Actualización de definiciones de aplicaciones y amenazas • Antivirus: Incluye firmas de antivirus nuevas y actualizadas. Debe tener una suscripción a una puerta de enlace de GlobalProtect para recibir estas actualizaciones. pero sí un contrato de asistencia/mantenimiento en vigor. También puede revertir a una versión de una actualización instalada anteriormente.0 • 63 . • Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect. Todas las semanas se publican nuevas aplicaciones y amenazas. Esta actualización está disponible si cuenta con una suscripción de prevención de amenazas (y en este caso obtiene esta actualización en lugar de la actualización de aplicaciones). • Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de URL de BrightCloud. Se le muestra esta opción tanto al instalar una versión de contenido como al establecer la programación para instalar automáticamente versiones de publicación de contenido.1 o superior y el cortafuegos debe estar configurado para el uso del dispositivo de WildFire para el análisis de enlaces de correo electrónico/archivos. las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automática. • WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por el servicio de la nube de WildFire. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones. Todas las semanas se publican nuevas actualizaciones de aplicaciones. También puede elegir instalar solamente las nuevas firmas de amenazas en una versión de publicación de contenido. Puede ver las actualizaciones más recientes. Debe contar con una suscripción a prevención de amenazas para obtener estas actualizaciones. incluidas las firmas descubiertas por WildFire. Se publican nuevas firmas de antivirus todos los días. seleccionar la actualización que desee descargar e instalar. leer las notas de versión de cada actualización y. consulte “Programación de actualizaciones dinámicas”. • Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. versión 7. Sin la suscripción. Para recibir actualizaciones de contenido procedentes de un WF-500.

si desea retrasar la instalación de nuevas actualizaciones hasta que haya transcurrido un determinado número de horas desde su publicación. Tabla 23. puede elegir Deshabilitar nuevas aplicaciones en actualización de contenido. las muestra al principio de la lista. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones de publicación de contenido. así como la flexibilidad para habilitar aplicaciones tras preparar actualizaciones de políticas que podrían ser necesarias para aplicaciones recién identificadas y que pueden tratarse de manera diferente tras la actualización. Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. Esta opción ofrece protección contra las amenazas más recientes. Nombre de archivo Muestra el nombre de archivo.0 Palo Alto Networks . introduzca el número de horas que debe esperarse en el campo Umbral (Horas). (Para habilitar posteriormente aplicaciones que tienen deshabilitadas de manera automáticamente las actualizaciones de contenido. Opciones de las actualizaciones dinámicas Campo Descripción Versión Muestra las versiones disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. Para ello. Tamaño Muestra el paquete de actualización de contenido. Tipo Indica si la descarga incluye una actualización completa o una actualización incremental.Actualización de definiciones de aplicaciones y amenazas En la siguiente tabla se proporciona ayuda para utilizar esta página. En las versiones de publicaciones de contenido de Aplicaciones y amenazas. Haga clic en esta opción para ver nuevas firmas de aplicaciones disponibles por primera vez desde la última versión de publicación de contenido instalada en el cortafuegos. incluye información de la versión de contenido. seleccione el enlace Aplicaciones. versión 7. Si hay actualizaciones disponibles. También puede usar el cuadro de diálogo Nuevas aplicaciones para Habilitar/ Deshabilitar nuevas aplicaciones. ya sea solo para la descarga de las actualizaciones o para la descarga e instalación de estas en el cortafuegos. este campo podría mostrar un enlace para revisar Aplicaciones. Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido en el cortafuegos. Al programar descargas e instalaciones periódicas de actualizaciones de contenido. Cuando programa una actualización. 64 • Guía de referencia de interfaz web . Programación Le permite programar la frecuencia de recuperación de actualizaciones. Puede elegir deshabilitar una nueva aplicación incluida en una publicación de contenido si quiere evitar cualquier impacto en la política desde aplicación que se identifique exclusivamente (una aplicación se puede tratar de manera diferente antes y después de una instalación de contenido si una aplicación desconocida anteriormente se identifica y categoriza de manera de diferente). Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. Amenazas. puede especificar el tiempo de espera antes de la actualización de contenidos. Última comprobación Muestra la fecha y hora en la que el cortafuegos se conectó por última vez al servidor de actualizaciones y comprobó si había alguna actualización disponible. haga clic en Comprobar ahora. Características Enumera el tipo de firmas que puede incluir la versión de contenido. Amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). Puede definir la frecuencia y el momento de la descarga de actualizaciones de contenido dinámico (día o fecha y hora).

Haga clic en el enlace para iniciar la descarga. haga clic en el enlace. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de publicación de contenido correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Elimine la versión de publicación de contenido descargada anteriormente del cortafuegos. y al mismo tiempo le concede la flexibilidad de habilitar aplicaciones tras preparar cualquier actualizaciones de políticas. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que se instala la versión de publicación de contenido correspondiente. versión 7. También puede usar el cuadro de diálogo Revisión de políticas para añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) de una política de seguridad existente. Palo Alto Networks Guía de referencia de interfaz web . debido al impacto de nuevas firmas de aplicaciones (para habilitar aplicaciones que ha deshabilitado anteriormente. • Revertir: Anteriormente se ha descargado la versión de publicación de contenido correspondiente. A continuación. Use esta opción para evaluar el tratamiento que recibe una aplicación antes y después de instalar una actualización de contenido. Al instalar una nueva versión de publicación de contenido en Aplicaciones y amenazas. Opciones de las actualizaciones dinámicas (Continuación) Campo Descripción Instalado actualmente Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido que se está ejecutando actualmente en el cortafuegos.Actualización de definiciones de aplicaciones y amenazas Tabla 23.0 • 65 . haga clic en el botón Cargar para cargar manualmente la imagen de software en el cortafuegos. • Revisión de políticas (solamente contenido de aplicaciones y amenazas): Revisa cualquier impacto en políticas de nuevas aplicaciones incluidas en una versión de publicación de contenido. amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). al descargar una versión de publicación de contenido de Aplicaciones y amenazas se habilita la opción de Revisión de políticas afectadas por las nuevas firmas de aplicaciones incluidas en la publicación. Esta opción ofrece protección contra las amenazas más recientes. Si el cortafuegos no tiene acceso a Internet. Asimismo. Para volver a instalar la misma versión. verá la opción de Deshabilitar nuevas aplicaciones en actualización de contenido. Documentación Proporciona un enlace a las notas de la versión de la versión correspondiente. utilice un ordenador conectado a Internet para ir al sitio Actualizaciones dinámicas para buscar y descargar la versión de publicación de contenido en su ordenador local. • Instalar: La versión de publicación de contenido correspondiente se ha descargado en el cortafuegos. seleccione el enlace Aplicaciones. Haga clic en el enlace para instalar la actualización.

podrá iniciar sesión utilizando esas cuentas. consulte: • “Configuración de perfiles de autenticación” • “Definición de funciones de administrador” • “Creación de cuentas administrativas” • “Configuración de GlobalProtect”: Para obtener información sobre autenticación en redes privadas virtuales SSL (VPN) • “Especificación de dominios de acceso para administradores”: Para obtener instrucciones sobre cómo definir dominios de sistemas virtuales para administradores • “Creación de un perfil del certificado”: Para obtener instrucciones sobre la definición de perfiles de certificados para administradores Definición de funciones de administrador Dispositivo > Funciones de administrador Utilice la página Funciones de administrador para definir perfiles de funciones que determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.Funciones. versión 7. perfiles y cuentas de administrador Al crear una cuenta de administrador. La cuenta Superusuario predeterminada en el 66 • Guía de referencia de interfaz web . consulte “Creación de cuentas administrativas”. perfiles y cuentas de administrador Funciones. Una vez se hayan creado las cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas. Puede asignar perfiles de funciones predefinidas o personalizadas. También hay tres funciones de administrador predefinidas que se pueden utilizar con fines de criterios comunes. • Certificado de cliente: Se autentica a los usuarios mediante certificados de cliente existentes. que especifican privilegios detallados. • Perfil de autenticación: Seleccione un servidor externo existente de uno de los siguientes tipos para autenticar a usuarios: – RADIUS (Servidor de servicio de autenticación remota telefónica de usuario) – TACACS+ (Servidor de sistema de control de acceso del controlador de acceso a terminales) – LDAP (Protocolo ligero de acceso a directorios) – Kerberos Las funciones que asigne a las cuentas de administrador determinan las funciones que el cortafuegos permite a los administradores después de que inicien sesión.0 Palo Alto Networks . Primero utiliza la función Superusuario para la configuración inicial del dispositivo y para crear las cuentas de administrador para el administrador de seguridad. el administrador de auditoría y el administrador criptográfico. especifique una de las siguientes opciones para determinar el modo en que el cortafuegos autentica a los usuarios administradores que inician sesión: • Base de datos local: La información de inicio de sesión y contraseña de usuario se introduce directamente en la base de datos del cortafuegos. Para obtener instrucciones sobre cómo añadir cuentas de administrador. Para obtener más información.

haga clic en Añadir y especifique la siguiente información: Palo Alto Networks Guía de referencia de interfaz web . versión 7. perfiles y cuentas de administrador modo CC (Criterios comunes) o FIPS (Estándar federal de procesamiento de información) es admin y la contraseña predeterminada es paloalto..0 • 67 .Funciones. la contraseña predeterminada de admin es admin. Estas funciones de administrador no se pueden modificar y se definen de la manera siguiente: • Administrador de auditoría: El administrador de auditoría es responsable de la revisión regular de los datos de auditoría del cortafuegos. En el modo de funcionamiento estándar. la creación de la política de seguridad del cortafuegos) no asumidas por las otras dos funciones administrativas. • Administrador de seguridad: El administrador de seguridad es responsable del resto de tareas administrativas (p. excepto en que todas tienen un acceso de solo lectura a la traza de auditoría (excepto el administrador de auditoría con acceso de lectura/eliminación completo). Las funciones de administrador predefinidas se han creado donde las capacidades no se solapan. ej. Para añadir una función de administrador. • Administrador criptográfico: El administrador criptográfico es responsable de la configuración y el mantenimiento de los elementos criptográficos relacionados con el establecimiento de conexiones seguras con el cortafuegos.

• devicereader: El acceso a un dispositivo seleccionado es de solo lectura.Definición de perfiles de contraseña Tabla 24. Configuración de funciones de administrador Campo Descripción Nombre Introduzca un nombre para identificar esta función de administrador (de hasta 31 caracteres). 68 • Guía de referencia de interfaz web . si el valor se establece como 90. haga clic en Añadir y especifique la siguiente información. de 0 a 365 días. este perfil de contraseña cancelará esos ajustes. Función Seleccione el ámbito de responsabilidad administrativa: dispositivo o sistema virtual (para dispositivos habilitados para sistemas virtuales múltiples). que proporciona requisitos de contraseña para todas las cuentas locales. • superusuario: El acceso al dispositivo actual es completo. • Deshabilitar: sin acceso a la pestaña seleccionada. se pedirá a los administradores que cambien su contraseña cada 90 días. Si habilita Complejidad de contraseña mínima (consulte “Complejidad de contraseña mínima”). Descripción Introduzca una descripción opcional de la función (de hasta 255 caracteres). Tabla 25. espacios. Línea de comandos Seleccione el tipo de función para el acceso a la CLI: • Ninguno: El acceso a la CLI del dispositivo no está permitido. Configuración de perfil de contraseña Campo Descripción Nombre Introduzca un nombre para identificar el perfil de contraseña (de hasta 31 caracteres). • deviceadmin: El acceso a un dispositivo seleccionado es completo. excepto al definir nuevas cuentas o sistemas virtuales. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. números. guiones y guiones bajos. espacios. Utilice únicamente letras.0 Palo Alto Networks . Utilice únicamente letras. Interfaz de usuario web Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la interfaz web: • Habilitar: acceso de lectura/escritura a la pestaña seleccionada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Definición de perfiles de contraseña Dispositivo > Perfiles de contraseña y Panorama > Perfiles de contraseña Los perfiles de contraseña le permiten establecer requisitos de contraseña básicos para una cuenta local individual. • superlector: El acceso al dispositivo actual es de solo lectura. Por ejemplo. guiones y guiones bajos. Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. números. Para crear un perfil de contraseña. versión 7. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. API XML Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la API XML. • Solo lectura: acceso de solo lectura a la pestaña seleccionada.

podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión).) • Guión (-) Nota: Los nombres de inicio de sesión no pueden empezar por guión (-).0 • 69 . Requisitos de nombre de usuario y contraseña La tabla siguiente enumera los caracteres válidos que se pueden utilizar en nombres de usuario y contraseñas para cuentas de PAN-OS y Panorama. seleccione Dispositivo > Administradores (para cortafuegos) o Panorama > Administradores. Recuento de inicio de sesión de administrador posterior al vencimiento Permita que el administrador inicie sesión el número de veces especificado después de que su cuenta haya vencido.) • Comillas (“ y ”) • Signo del dólar ($) • Paréntesis (“(” y “)”) • Dos puntos (:) Cuentas de administrador locales Los siguientes son los caracteres permitidos para los nombres de usuario locales: • Minúsculas (a-z) • Mayúsculas (A-Z) • Números (0-9) • Guión bajo (_) • Punto (. a continuación. seleccione el perfil en la lista desplegable Perfil de la contraseña. Palo Alto Networks Guía de referencia de interfaz web . este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). seleccione una cuenta y. versión 7. Por ejemplo. si el valor se ha establecido como 3 y su cuenta ha vencido. Administrador remoto. Configuración de perfil de contraseña Campo Descripción Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que su cuenta haya vencido (rango: 0-30 días). VPN SSL o portal cautivo Los siguientes caracteres no están permitidos para el nombre de usuario: • Acento grave (`) • Corchetes angulares (< y >) • Y comercial (&) • Asterisco (*) • Arroba (@) • Signos de interrogación (¿ y ?) • Barra vertical (|) • Comilla simple (‘) • Punto y coma (. Para aplicar un perfil de contraseña a una cuenta.Definición de perfiles de contraseña Tabla 25. Caracteres válidos para nombres de usuario y contraseñas Tipo de cuenta Restricciones Conjunto de caracteres de contraseña No hay ninguna restricción en los conjuntos de caracteres de los campos de contraseña. Tabla 26.

puntos y guiones bajos. Tabla 27. Utilizar únicamente el certificado de autenticación de cliente (web) Seleccione la casilla de verificación para utilizar la autenticación con certificado de cliente para el acceso web. no es necesario ni el nombre de usuario ni la contraseña. Kerberos o la autenticación de base de datos local.Creación de cuentas administrativas Creación de cuentas administrativas Dispositivo > Administradores Las cuentas de administrador controlan el acceso a los dispositivos.) Se admiten las siguientes opciones de autenticación: • Autenticación con contraseña: El administrador introduce un nombre de usuario y una contraseña para iniciar sesión. haga clic en Añadir y especifique la siguiente información.0 Palo Alto Networks . También puede aplicar “Complejidad de contraseña mínima” desde Configuración > Gestión. Un administrador de cortafuegos puede tener acceso completo o de solo lectura a un único cortafuegos o a un sistema virtual en un único cortafuegos. LDAP. • Autenticación con clave pública (SSH): El administrador genera un par de claves pública y privada en la máquina que requiere acceso al dispositivo y. Este ajuste se puede utilizar para RADIUS. 70 • Guía de referencia de interfaz web . (Para obtener más información sobre administradores de Panorama. carga la clave pública en el dispositivo para permitir un acceso seguro sin exigir que el administrador introduzca un nombre de usuario y una contraseña. Si selecciona esta casilla de verificación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. mayúsculas y números. Configuración de cuentas de administrador Campo Descripción Nombre Introduzca un nombre de inicio de sesión para el administrador (de hasta 31 caracteres). Para garantizar la seguridad de la interfaz de gestión del dispositivo. consulte “Creación de cuentas administrativas de Panorama”. • Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de usuario o contraseña. a continuación. TACACS+. Nueva contraseña Confirmar nueva contraseña Introduzca y confirme una contraseña que haga distinción entre mayúsculas y minúsculas para el administrador (de hasta 31 caracteres). Perfil de autenticación Seleccione un perfil de autenticación para la autenticación del administrador. se recomienda cambiar periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas. No se necesitan certificados. el certificado será suficiente para autenticar el acceso al dispositivo. consulte “Configuración de perfiles de autenticación”. También puede aplicar “Contraseña mínima” desde Configuración > Gestión. Puede utilizar este método junto con los perfiles de autenticación o para la autenticación de base de datos local. el certificado es suficiente para autenticar el acceso al dispositivo. guiones. versión 7. Para añadir un administrador. Los cortafuegos tienen una cuenta de administrador predefinida con acceso completo. Utilice únicamente letras. Los nombres de inicio de sesión no pueden empezar por guión (-). números. Para obtener más información.

Haga clic en Importar clave y explore para seleccionar el archivo de clave pública.024 bits) y RSA (768-4096 bits). La clave cargada se muestra en el área de texto de solo lectura. excepto al definir nuevas cuentas o sistemas virtuales. Palo Alto Networks Guía de referencia de interfaz web . Los formatos de archivo de clave admitidos son IETF SECSH y OpenSSH. Para obtener más información. consulte “Definición de perfiles de contraseña”. Si elige Basado en función. puede gestionar dominios de acceso localmente o usando VSA RADIUS (consulte “Especificación de dominios de acceso de Panorama para administradores”). Los algoritmos de clave admitidos son DSA (1. Nota: Si falla la autenticación con clave pública. versión 7. Especificación de dominios de acceso para administradores Dispositivo > Dominio de acceso Panorama > Dominio de acceso Utilice la página Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. • Administrador de dispositivo: El acceso a un cortafuegos seleccionado es completo. • Administrador de Vsys (solo lectura): El acceso a un sistema virtual seleccionado en un cortafuegos específico es de solo lectura. • Administrador de dispositivo (solo lectura): El acceso a un cortafuegos seleccionado es de solo lectura.Especificación de dominios de acceso para administradores Tabla 27. Si selecciona Dinámico. Configuración de cuentas de administrador (Continuación) Campo Descripción Utilizar autenticación de clave pública (SSH) Seleccione la casilla de verificación para utilizar la autenticación con clave pública SSH. consulte “Definición de funciones de administrador”. seleccione un perfil de función personalizado en la lista desplegable. puede seleccionar una de las siguientes funciones preconfiguradas: • Superusuario: El acceso al cortafuegos actual es completo. En el cortafuegos. Función Asigne una función a este administrador. los dominios de acceso están vinculados a atributos específicos del proveedor (VSA) RADIUS y únicamente se admiten si se utiliza un servidor RADIUS para la autenticación del administrador (consulte “Configuración de ajustes de servidor RADIUS”). Perfil de la contraseña Seleccione el perfil de contraseña. se mostrará un mensaje de nombre de usuario y contraseña para el administrador. • Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos específico (si hay varios sistemas virtuales habilitados) es completo. • Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual.0 • 71 . En Panorama. si es aplicable. La función determina lo que el administrador puede ver y modificar. Para crear un nuevo perfil de contraseña. Sistema virtual (Solo para una función de administrador de sistema virtual del cortafuegos) Haga clic en Añadir para seleccionar los sistemas virtuales a los que puede acceder el administrador.

72 • Guía de referencia de interfaz web . de modo que sepa cuál es la configuración correcta antes de compilarla. acceso SSL-VPN y portal cautivo. LDAP y Kerberos. Si no se utiliza RADIUS. Tabla 28. Puede realizar pruebas de autenticación con la configuración del candidato.0 o posterior. Si hay un dominio asociado en el servidor RADIUS. números. los ajustes de dominio de acceso de esta página se ignorarán. TACACS+. versión 7. Sistemas virtuales Seleccione sistemas virtuales en la columna Disponibles y haga clic en Añadir para seleccionarlos. Consejo: Después de configurar un perfil de autenticación. Configuración de dominio de acceso Campo Descripción Nombre Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres). use el comando CLI de autenticación para determinar si su cortafuegos o servidor de gestión Panorama puede comunicarse con el servicio de autenticación de back-end y si la solicitud de autenticación se realizó correctamente. Utilice únicamente letras.Configuración de perfiles de autenticación Cuando un administrador intenta iniciar sesión en el cortafuegos. guiones bajos y puntos. este consulta al servidor RADIUS acerca del dominio de acceso del administrador. guiones. consulte la Guía del administrador de PAN-OS 7. se devuelve y el administrador se restringe a los sistemas virtuales definidos de dentro del dominio de acceso con nombre del dispositivo. Los dominios de acceso únicamente son compatibles en dispositivos que admiten sistemas virtuales. Para obtener más información sobre este comando. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 Palo Alto Networks . Los dispositivos de Palo Alto Networks son compatibles con servicios de autenticación de bases de datos locales RADIUS. Configuración de perfiles de autenticación Dispositivo > Perfil de autenticación Panorama > Perfil de autenticación Utilice la página Perfil de autenticación para configurar ajustes de autenticación que puede aplicar a cuentas de administradores.

Configuración de perfil de autenticación Campo Descripción Nombre Introduzca un nombre para identificar el perfil. Perfil de servidor Si el Tipo de autenticación es RADIUS. TACACS+. si la ubicación del perfil de autenticación es un vsys. PRECAUCIÓN: En un cortafuegos en modo de sistemas virtuales múltiples. • TACACS+: Utilice un servidor RADIUS para la autenticación.0 • 73 . Del mismo modo. espacios. “Configuración de ajustes del servidor TACACS+”. El nombre debe ser exclusivo en la ubicación actual (cortafuegos o sistema virtual) en relación con otros perfiles de autenticación y secuencias de autenticación. Una vez guardado el perfil. • Base de datos local: Utilice la base de datos de autenticación del cortafuegos. • Kerberos: Use Kerberos para autenticación. Consulte “Configuración de ajustes de servidor RADIUS”. • LDAP: Use LDAP para autenticación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). • RADIUS: Utilice un servidor RADIUS para la autenticación. guiones. Se pueden producir errores de referencia mientras compila un perfil de autenticación y una secuencia con los mismos nombres en estos casos. guiones bajos y puntos. El nombre distingue entre mayúsculas y minúsculas. no introduzca el mismo nombre como una secuencia en un vsys. versión 7. o Kerberos. En cualquier otro contexto. si el perfil Ubicación está compartido. Obtener grupo de usuarios Si el tipo de autenticación es RADIUS. seleccione un vsys o Compartido (todos los sistemas virtuales). no puede seleccionar la Ubicación. introduzca un atributo de directorio LDAP que identifique exclusivamente al usuario y que actúe como ID de inicio de sesión para ese usuario. Ubicación Seleccione el ámbito en el que está disponible el perfil.Configuración de perfiles de autenticación Tabla 29. Atributo de inicio de sesión Si el tipo de autenticación es LDAP. puede tener hasta 31 caracteres. no introduzca el mismo nombre como una secuencia de autenticación en la ubicación Compartido. Palo Alto Networks Guía de referencia de interfaz web . LDAP. seleccione la casilla de verificación para utilizar VSA RADIUS para definir el grupo que tiene acceso al cortafuegos. Pestaña Autenticación Tipo Seleccione el tipo de autenticación: • Ninguna: No utilice ninguna autenticación del cortafuegos. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. no puede cambiar su Ubicación. incluidas letras. “Configuración de ajustes de servidor LDAP” y “Configuración de ajustes del servidor Kerberos”. números. seleccione el perfil de autenticación del menú desplegable.

LOCAL. Consejo: Si los usuarios dejan caducar sus contraseñas. Dominio de usuario y Modificador de nombre de usuario El dispositivo combina los valores de Dominio de usuario y Modificador de nombre de usuario para modificar la cadena de dominio/nombre de usuario que introduce un usuario durante el inicio de sesión. se recomienda establecer el modificador de autenticación en la configuración del portal para la autenticación de cookies para la actualización de configuración (de lo contrario. lo que evitará el acceso a la VPN). • Para anexar un dominio a la entrada del usuario. defina con cuántos días de antelación empezarán a mostrarse mensajes de notificación a los usuarios para alertarles de que sus contraseñas vencen en x número de días. Corresponde al nombre de host del nombre de inicio de sesión del usuario. Dominio de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. El dispositivo usa la cadena modificada para la autenticación y usa el valor Dominio de usuario para asignación de grupos de User-ID. introduzca el Dominio de Kerberos (hasta 127 caracteres). en el nombre de cuenta de usuario usuario@EJEMPLO. Esto se aplica tanto para dominios principales como secundarios. Consulte “Configuración de GlobalProtect”para obtener más información sobre la autenticación de cookies y la conexión anterior al inicio de sesión. Los modificadores Dominio de usuario tiene prioridad con respecto a nombres NetBIOS derivados automáticamente. Configuración de perfil de autenticación (Continuación) Campo Descripción Aviso de caducidad de contraseña Si el tipo de autenticación es LDAP y el perfil de autenticación es para usuarios de GlobalProtect. De forma predeterminada. El dispositivo resuelve nombres de dominio con el nombre NetBIOS adecuado para la asignación de grupos de User-ID. 74 • Guía de referencia de interfaz web . Seleccione de entre las siguientes opciones: • Enviar solamente la información de usuario sin modificar. versión 7. Consejo: Se recomienda configurar los agentes para que utilicen el método de conexión anterior al inicio de sesión. Por ejemplo.Configuración de perfiles de autenticación Tabla 29. Si especifica la variable %USERDOMAIN% y deja en blanco Dominio de usuario. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USE-RINPUT%@%USERDO-MAIN%. el valor Dominio de usuario sustituye a cualquier cadena de dominio que introduzcan los usuarios. dejar en blanco el Dominio de usuario (predeterminado) y definir el Modificador de nombre de usuario con la variable %USERINPUT% (predeterminado). Nota: Si el Modificador de nombre de usuario incluye la variable %USERDOMAIN%. el dispositivo elimina todas las cadenas de dominio introducidas por usuarios. Los usuarios no podrán acceder a la VPN si las contraseñas caducan. los mensajes de notificación se mostrarán 7 días antes de la caducidad de la contraseña (de 1-255 días). • Para que un dominio preceda a la entrada del usuario. la contraseña temporal se utilizará para autenticarse en el portal. Esto permitirá a los usuarios conectarse al dominio para cambiar sus contraseñas incluso aunque la contraseña haya caducado. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USERDOMAIN%\%USE-RINPUT%. pero el inicio de sesión de la puerta de enlace fallará. el administrador puede asignar una contraseña de LDAP temporal que permita a los usuarios iniciar sesión en la VPN.LOCAL. el dominio es EJEMPLO.0 Palo Alto Networks . En este flujo de trabajo.

el dispositivo intenta primero usar el keytab para establecer SSO. Cada perfil de autenticación puede tener un keytab. si el Dominio de usuario es businessinc y quiere añadir al usuario admin1 a la Lista de permitidas. Palo Alto Networks Guía de referencia de interfaz web . haga clic en el enlace Importar y luego en Examinar para buscar el archivo keytab. PRECAUCIÓN: Si define Tiempo de bloqueo con un valor diferente de 0 pero deja Intentos fallidos en 0. De lo contrario. seleccione las casillas de verificación correspondientes y haga clic en Eliminar. versión 7. Su administrador de Kerberos determina qué algoritmos usan los vales de servicio. De lo contrario. Un keytab contiene la información de cuenta de Kerberos (nombre principal y contraseña con hash) para el dispositivo. Durante la autenticación. PRECAUCIÓN: Si define Intentos fallidos con un valor diferente de 0 pero deja Tiempo de bloqueo en 0. el proceso de autenticación se revierte a autenticación manual (nombre de usuario/contraseña) del tipo especificado. ningún usuario se puede autenticar. consulte la Guía del administrador de PAN-OS. Puede especificar grupos que ya existen en su servicio de directorios o especificar grupos personalizados basados en filtros LDAP (consulte “Pestaña secundaria Grupo personalizado”). introducir admin1 tiene el mismo efecto que introducir businessinc\admin1. Para obtener más información sobre cómo crear keytabs válidos para dispositivos Palo Alto Networks. puede usar también des3-cbc-sha1 o arcfour-hmac. Si lo logra y el usuario que intenta acceder está en la “Lista de permitidas”. Un valor de 0 (predeterminado) significa que no hay límite.0 • 75 . necesaria para la autenticación SSO. el algoritmo tiene que ser aes128-cts-hmac-sha1-96 o aes256-cts-hmac-sha1-96. Para eliminar usuarios o grupos. se ignora Intentos fallidos y nunca se bloquea al usuario. Si no añade entradas. el proceso de SSO fallará. El algoritmo en el keytab tiene que coincidir con el algoritmo del vale de servicio que el servicio de concesión de vales emite para habilitar a los clientes para SSO. Tiempo de bloqueo Introduzca el número de minutos (0-60) que el dispositivo bloqueará una cuenta de usuario desde que el usuario alcanza el número de intentos fallidos. Un valor de 0 (predeterminado) significa que el bloqueo se aplica hasta que el administrador desbloquee manualmente la cuenta de usuario. a continuación. Por ejemplo. no necesita especificar dominios en la Lista de permitidas. Configuración de perfil de autenticación (Continuación) Campo Descripción Keytab de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. Nota: Si ha introducido un valor de Dominio de usuario. De lo contrario. se ignora el Tiempo de bloqueo y nunca se bloquea al usuario. Nota: Si el dispositivo está en modo FIPS (Estándar federal de procesamiento de información) o CC (Criterios comunes). la autenticación es inmediata. Intentos fallidos Introduzca el número de intentos de inicio de sesión erróneos (1-10) que permite el dispositivo antes de bloquear la cuenta de usuario. Pestaña Avanzada Lista de permitidas Haga clic en Añadir y seleccione todos o seleccione los usuarios y grupos específicos que tienen permiso para autenticarse con este perfil.Configuración de perfiles de autenticación Tabla 29. haga clic en ACEPTAR. que no tiene por qué ser Kerberos.

A continuación. Ubicación Seleccione el ámbito en el que está disponible la cuenta de usuario. Consulte “Configuración del cortafuegos para la identificación de usuarios” para obtener más información. debe habilitar el portal cautivo desde Dispositivo > Autenticación de usuario > Portal cautivo y seleccionar el perfil de autenticación. Una vez haya configurado esto. administradores de dispositivos y usuarios de portal cautivo. primero debe crear la cuenta local.0 Palo Alto Networks . Configuración de usuario local Campo Descripción Nombre Introduzca un nombre para identificar al usuario (de hasta 31 caracteres). espacios. Tabla 30. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Habilitar Seleccione la casilla de verificación para activar la cuenta de usuario. guiones y guiones bajos. 76 • Guía de referencia de interfaz web . añadirla a un grupo de usuarios y crear un perfil de autenticación utilizando el nuevo grupo. Modo Utilice este campo para especificar la opción de autenticación: • Contraseña: Introduzca y confirme una contraseña para el usuario. podrá crear una política desde Políticas > Portal cautivo. Utilice la página Usuarios locales para añadir información de usuario a la base de datos local. de modo que toda la gestión de cuentas se realiza en el cortafuegos o desde Panorama.Creación de una base de datos de usuario local Creación de una base de datos de usuario local Dispositivo > Base de datos de usuario local > Usuarios Puede establecer una base de datos local en el cortafuegos para almacenar información de autenticación para usuarios con acceso remoto. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. No se requiere ningún servidor de autenticación externo con esta configuración. números. Una vez guardada la cuenta de usuario. versión 7. Al configurar el portal cautivo. En cualquier otro contexto. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. no puede seleccionar la Ubicación. Utilice únicamente letras. • Hash de la contraseña: Introduzca una cadena de contraseña con hash. seleccione un vsys o Compartido (todos los sistemas virtuales). no puede cambiar su Ubicación.

Ubicación Seleccione el ámbito en el que está disponible el grupo de usuarios. Una vez guardado el grupo de usuarios. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Tabla 32. números. Una vez guardado el perfil. espacios. Utilice únicamente letras. no puede cambiar su Ubicación. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Configuración de servidor RADIUS Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). predeterminado: 3). Ubicación Seleccione el ámbito en el que está disponible el perfil. seleccione un vsys o Compartido (todos los sistemas virtuales). Configuración de grupo de usuarios local Campo Descripción Nombre Introduzca un nombre para identificar el grupo (de hasta 31 caracteres). Utilice únicamente letras. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Reintentos Introduzca el número de reintentos automáticos tras un tiempo de espera antes de que falle la solicitud (intervalo: 1-5. la casilla de verificación aparece solo si la Ubicación es Compartida. Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (intervalo: 1-30. no puede seleccionar la Ubicación. En cualquier otro contexto. números.0 • 77 . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. En cualquier otro contexto. guiones y guiones bajos. no puede cambiar su Ubicación. guiones y guiones bajos. En el contexto de un cortafuegos con más de un sistema virtual (vsys). versión 7.Cómo añadir grupos de usuarios locales Cómo añadir grupos de usuarios locales Dispositivo > Base de datos de usuario local > Grupos de usuarios Utilice la página Grupos de usuarios para añadir información de grupo de usuarios a la base de datos local. el predeterminado es 3). Tabla 31. espacios. seleccione un vsys o Compartido (todos los sistemas virtuales). Para cortafuegos que tienen varios sistemas virtuales. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Todos los usuarios locales Haga clic en Añadir para seleccionar a los usuarios que desee añadir al grupo. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Palo Alto Networks Guía de referencia de interfaz web . Configuración de ajustes de servidor RADIUS Dispositivo > Perfiles de servidor > RADIUS Panorama > Perfiles de servidor > RADIUS Utilice la página RADIUS para configurar los ajustes de los servidores RADIUS con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). no puede seleccionar la Ubicación.

0 Palo Alto Networks . En el contexto de un cortafuegos con más de un sistema virtual (vsys). • Nombre: Introduzca un nombre para identificar el servidor. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. no puede cambiar su Ubicación. Configuración de servidor RADIUS (Continuación) Campo Descripción Servidores Configure información para cada servidor en el orden preferido. seleccione un vsys o Compartido (todos los sistemas virtuales). Configuración de ajustes del servidor TACACS+ Dispositivo > Perfiles de servidor > TACACS+ Panorama > Perfiles de servidor > TACACS+ Use la página TACACS+ para configurar ajustes para los servidores de sistema de control de acceso del controlador de acceso a terminales (TACACS+) con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). su valor se define previamente como Compartido (para cortafuegos) o como Panorama. espacios. En cualquier otro contexto. • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor RADIUS. no puede seleccionar la Ubicación. Ubicación Seleccione el ámbito en el que está disponible el perfil. guiones y guiones bajos. • Puerto: Introduzca el puerto del servidor (predeterminado: 1812) para solicitudes de autenticación. Configuración de servidor de TACACS+ Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). números. Para cortafuegos de vsys múltiples. Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (el intervalo es de 1-20. Una vez guardado el perfil. • Servidor RADIUS: Introduzca la dirección IP del servidor o FQDN. la casilla de verificación aparece solo si la Ubicación es Compartida. Utilizar conexión única para toda la autenticación Seleccione la casilla de verificación para usar la misma sesión TCP para todas las autenticaciones. el predeterminado es 3). Utilice únicamente letras. versión 7. • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor TACACS+. • Servidor TACACS+: Introduzca la dirección IP o FQDN del servidor TACACS+.Configuración de ajustes del servidor TACACS+ Tabla 32. • Puerto: Introduzca el puerto del servidor (predeterminado: 49) para solicitudes de autenticación. Servidores Haga clic en Añadir y especifique los siguientes parámetros para cada servidor TACACS+: • Nombre: Introduzca un nombre para identificar el servidor. Tabla 33. 78 • Guía de referencia de interfaz web . Esta opción mejora el rendimiento al evitar el procesamiento que requiere iniciar y eliminar una sesión TCP diferente para cada evento de autenticación.

la casilla de verificación aparece solo si la Ubicación es Compartida. Ubicación Seleccione el ámbito en el que está disponible el perfil. seleccione un vsys o Compartido (todos los sistemas virtuales). predeterminado: 30 segundos). El agente guardará la contraseña cifrada en el archivo de configuración. dirección IP o FQDN (servidor LDAP) y puerto (predeterminado: 389). Enlazar DN Especifique el nombre de inicio de sesión (nombre distintivo) del servidor de directorio. predeterminado: 60). haga clic en Añadir e introduzca el nombre de host. El protocolo depende del puerto del servidor: • 389 (predeterminado): TLS (específicamente. Tabla 34. Utilice únicamente letras. Tiempo de espera de búsqueda Especifique el límite de tiempo impuesto al realizar búsquedas de directorio (1-30 segundos. no puede seleccionar la Ubicación. • 636: SSL • Cualquier otro puerto: El dispositivo intenta primer usar TLS. Tipo Seleccione el tipo de servidor de la lista desplegable. La casilla de verificación está seleccionada de manera predeterminada. Palo Alto Networks Guía de referencia de interfaz web . Para cortafuegos que tienen varios sistemas virtuales. En el contexto de un cortafuegos con más de un sistema virtual (vsys). predeterminado: 30 segundos). Si el servidor de directorio no admite TLS.Configuración de ajustes de servidor LDAP Configuración de ajustes de servidor LDAP Dispositivo > Perfiles de servidor > LDAP Panorama > Perfiles de servidor > LDAP Utilice la página LDAP para configurar los ajustes de los servidores LDAP con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). que actualiza la conexión de texto no cifrado con TLS). Servidores Para cada servidor LDAP. Contraseña/Confirmar contraseña Especifique la contraseña de la cuenta de enlace. el dispositivo regresa a SSL. DN base Especifique el contexto raíz del servidor de directorio para acotar la búsqueda de información de usuario o grupo. Una vez guardado el perfil. Configuración de servidor LDAP Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Solicitar conexión SSL/TLS protegida Seleccione esta casilla de verificación si quiere que el dispositivo use SSL o TLS para comunicarse con el servidor de directorio. espacios. versión 7. guiones y guiones bajos. Tiempo de espera de enlace Especifique el límite de tiempo impuesto al conectar con el servidor de directorio (1-30 segundos. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. no puede cambiar su Ubicación. Intervalo de reintento Especifique el intervalo en segundos tras el cual el sistema intentará conectarse al servidor LDAP después de un intento fallido anterior (intervalo: 1-3600. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. números.0 • 79 . En cualquier otro contexto. el dispositivo usa la operación StartTLS.

versión 7.0 Palo Alto Networks . Configuración de servidor LDAP (Continuación) Campo Descripción Verificar certificado de servidor para sesiones SSL Seleccione esta casilla de verificación (está sin marcar de manera predeterminada) si quiere que el dispositivo verifique el certificado que presenta el servidor de directorio para conexiones SSL/TLS. El dispositivo verifica el certificado en dos aspectos: • El certificado es fiable y válido. debe seleccionar también la casilla de verificación Solicitar conexión SSL/TLS protegida. Configuración de ajustes del servidor Kerberos Dispositivo > Perfiles de servidor > Kerberos Panorama > Perfiles de servidor > Kerberos Use la página de Kerberos para configurar un perfil de servidor que permita a los usuarios autenticarse de manera nativa en un controlador de dominio de Active Directory o un servidor de autenticación compatible con Kerberos V5. puede asignarlo a los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). • El nombre del certificado debe coincidir con el Nombre del host del servidor LDAP. la conexión también. Después de configurar un perfil de servidor Kerberos. debe usar FQDN en el campo servidor LDAP para que se consiga la coincidencia de nombre. Si el certificado usa el FQDN del servidor de directorio. Para que el dispositivo confíe en el certificado. El dispositivo comprueba primero la coincidencia del atributo Subject AltName del certificado y. su entidad de certificación (CA) raíz y cualquier certificado intermedio debe estar en la tienda de certificados en Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. 80 • Guía de referencia de interfaz web . Si la verificación falla.Configuración de ajustes del servidor Kerberos Tabla 34. a continuación. Para habilitar esta verificación. prueba el atributo Subject DN.

Las direcciones IPv6 no son compatibles. Configuración de una secuencia de autenticación Dispositivo > Secuencia de autenticación Panorama > Secuencia de autenticación En algunos entornos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. no puede cambiar su Ubicación. la casilla de verificación aparece solo si la Ubicación es Compartida. Utilice únicamente letras. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. versión 7. haga clic en Añadir y especifique los siguientes ajustes: • Nombre: Introduzca un nombre para el servidor.: base de datos local. números. Ubicación Seleccione el ámbito en el que está disponible el perfil. espacios. LDAP y RADIUS). En el contexto de un cortafuegos con más de un sistema virtual (vsys). Servidores En el caso de cada servidor Kerberos. las cuentas de usuario residen en varios directorios (p. registro único de Kerberos. no puede seleccionar la Ubicación. Para cortafuegos que tienen varios sistemas virtuales. Palo Alto Networks Guía de referencia de interfaz web . En cualquier otro contexto. El dispositivo prueba los perfiles de manera secuencial descendente (aplicando la autenticación. • Puerto: Introduzca un número de puerto opcional (predeterminado: 88) para la comunicación con el servidor. guiones y guiones bajos. consulte “Configuración de perfiles de autenticación”.Configuración de una secuencia de autenticación Para usar autenticación de Kerberos. debe poderse acceder a su servidor Kerberos de back-end a través de una dirección IPv4. Para ver información sobre perfiles de autenticación. • Servidor Kerberos: Introduzca la dirección IPv4 del servidor o FQDN. Una vez guardado el perfil. ej. lista de permitidas y valores de bloqueo de cuenta) hasta que un perfil autentica correctamente al usuario. Tabla 35. seleccione un vsys o Compartido (todos los sistemas virtuales). Una secuencia de autenticación es un conjunto de perfiles de autenticación que el dispositivo Palo Alto Networks intenta usar para la autenticación de usuarios cuando estos inician sesión. El dispositivo solo deniega el acceso si la autenticación falla con todos los perfiles de la secuencia. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación.0 • 81 . Configuración de servidor Kerberos Campo Descripción Nombre de perfil Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).

incluidas letras. En cualquier otro contexto. Para eliminar un perfil. PRECAUCIÓN: En un cortafuegos con sistemas virtuales múltiples. Una vez guardada la secuencia. La entrada del usuario que usa el dispositivo para la coincidencia puede ser el texto que precede al nombre de usuario (separado por una barra invertida) o el texto que sigue al nombre de usuario (separado por el símbolo @). Configuración de secuencias de autenticación Campo Descripción Nombre Introduzca un nombre para identificar la secuencia. espacios. no puede cambiar su Ubicación. El nombre debe ser exclusivo en la Ubicación actual (cortafuegos o sistema virtual) en relación con otras secuencias de autenticación y perfiles de autenticación. Si el dispositivo no encuentra una coincidencia. El nombre distingue entre mayúsculas y minúsculas. Para cambiar el orden de la lista. no introduzca el mismo nombre como un perfil en un vsys. Los perfiles de logs contienen la información de programación y servidor FTP. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Por ejemplo. no puede seleccionar la Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). puede tener hasta 31 caracteres. puede que un perfil especifique la recogida de los logs del día anterior cada día a las 3:00 y su almacenamiento en un servidor FTP específico. números. si la Ubicación de la secuencia de autenticación es un sistema virtual (vsys). Usar el dominio para determinar el perfil de autenticación Seleccione esta casilla de verificación (seleccionada de manera predeterminada) si quiere que el dispositivo busque coincidencias con el nombre de dominio que introduce un usuario durante el inicio de sesión con el Dominio de usuario o Dominio de Kerberos de un perfil de autenticación asociado a la secuencia y luego usar el perfil para autenticar el usuario. Del mismo modo. guiones. prueba los perfiles de autenticación en la secuencia en orden descendente. 82 • Guía de referencia de interfaz web . guiones bajos y puntos.0 Palo Alto Networks .Programación de exportaciones de logs Tabla 36. no introduzca el mismo nombre como un perfil de autenticación en la ubicación Compartido. Se pueden producir errores de referencia mientras compila una secuencia de autenticación y un perfil con los mismos nombres en estos casos. versión 7. seleccione un vsys o Compartido (todos los sistemas virtuales). Perfiles de autenticación Haga clic en Añadir y en el menú desplegable seleccione los perfiles de autenticación que quiera añadir a la secuencia. seleccione un perfil y haga clic en Mover hacia arriba o Mover hacia abajo. Ubicación Seleccione el ámbito en el que está disponible la secuencia. selecciónelo y haga clic en Eliminar. Programación de exportaciones de logs Dispositivo > Programación de la exportación de logs Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol (FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura entre el dispositivo y un host remoto. si la secuencia Ubicación está compartida.

guiones y guiones bajos. deberá hacer clic en el botón Conexión de servidor SCP de prueba para probar la conectividad entre el cortafuegos y el servidor SCP. Para cada log. Habilitado Seleccione la casilla de verificación para habilitar la programación de exportaciones de logs. Datos o Coincidencia HIP). Palo Alto Networks Guía de referencia de interfaz web . No se necesita contraseña si el usuario es “anónimo”. Además. espacios. La siguiente tabla describe los destinos de logs remotos. que no es un protocolo seguro. logs de correlación (en algunas plataformas) y para configurar y habilitar alarmas. Configuración de la programación de la exportación de logs Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).Definición de destinos de logs Haga clic en Añadir y especifique los siguientes ajustes: Tabla 37. Nombre de host Introduzca el nombre de host o dirección IP del servidor FTP que se utilizará para la exportación. Utilice únicamente letras. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Descripción Introduzca una descripción opcional (de hasta 255 caracteres). Puede utilizar SCP para exportar logs de manera segura o puede utilizar FTP. Puerto Introduzca el número de puerto que utilizará el servidor FTP. números. URL. y seleccionar un perfil de syslog y de servidor de correo electrónico para enviare mensajes de syslog y notificaciones de correo electrónico. puede habilitar funcionamiento remoto para Panorama. El valor predeterminado es 21. versión 7.23:59). esta opción está seleccionada. Nombre de usuario Introduzca el nombre de usuario para acceder al servidor FTP. Habilitar modo pasivo de FTP Seleccione la casilla de verificación para utilizar el modo pasivo para la exportación. De manera predeterminada. No podrá cambiar el nombre después de crear el perfil. eventos del sistema. El valor predeterminado es anónimo. Si está utilizando SCP. El valor predeterminado es Tráfico. Hora de inicio de exportación programada (a diario) Introduzca la hora del día (hh:mm) a la que comenzará la exportación en el formato de 24 horas (00:00 . Amenaza. logs de coincidencias HIP. y generar traps SNMP. Contraseña Introduzca la contraseña para acceder al servidor FTP. deberá verificar y aceptar la clave de host del servidor SCP. Tipo de log Seleccione el tipo de log (Tráfico. Definición de destinos de logs Dispositivo > Configuración de log Utilice esta página para habilitar el cortafuegos y que registre cambios de configuración. Protocolo Seleccione el protocolo que debe utilizarse para exportar logs desde el cortafuegos a un host remoto. Ruta Especifique la ruta ubicada en el servidor FTP que se utilizará para almacenar la información exportada.0 • 83 .

consulte “Configuración de ajustes de notificaciones por correo electrónico”. consulte “Definición de la configuración de gestión”. Syslog Para generar mensajes de Syslog para entradas del log Configuración.Definición de destinos de logs Tabla 38. Trap SNMP Para generar traps SNMP para entradas del log configuración. así como para las entradas de log de configuración. Para especificar nuevos servidores Syslog. amenazas y tráfico. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Para definir los nuevos destinos de traps SNMP. el dispositivo de gestión central de Palo Alto. consulte “Reenvío de logs”. así como para las entradas de log de configuración. Para definir los servidores y destinatarios de correo electrónico. pero no para entradas del log Configuración. Amenaza y Tráfico. 84 • Guía de referencia de interfaz web . versión 7. Correo electrónico Se pueden enviar notificaciones de correo electrónico según el nivel de gravedad para entradas de los logs de sistema. Configuración del log Configuración Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. Configuración del log Configuración El widget Config le permite definir la configuración de las entradas del log de configuración. consulte “Configuración de servidores Syslog”. seleccione el nombre del servidor Syslog.0 Palo Alto Networks . Para especificar un nuevo perfil de correo electrónico. consulte “Configuración de destinos de traps SNMP”. Syslog Se pueden generar mensajes de Syslog según el nivel de gravedad para entradas de los logs de sistema. Para definir los destinos de syslog. Para especificar la dirección del servidor de Panorama. seleccione el perfil del servidor trap SNMP. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log de configuración. Nota: Para configurar los destinos de los logs de tráfico. consulte “Configuración de servidores Syslog”. amenazas y tráfico. consulte “Configuración de destinos de traps SNMP”. seleccione un perfil de correo electrónico del menú desplegable. Trap SNMP Se pueden generar traps SNMP según el nivel de gravedad para entradas de los logs Sistema. Para especificar los nuevos destinos de traps SNMP. Destinos de logs remotos Destino Descripción Panorama Todas las entradas de logs se pueden reenviar a Panorama. Tabla 39.

Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log Sistema. como servidores Syslog y RADIUS.Definición de destinos de logs Configuración del log Sistema El log Sistema muestra eventos del sistema. Los eventos correlacionados recopilan pruebas de comportamientos sospechosos o inusuales de los usuarios o hosts en la red. • Medio: Notificaciones de nivel medio. • Bajo: Notificaciones de menor gravedad. • “Configuración de servidores Syslog”. incluidas las interrupciones en las conexiones con dispositivos externos. Para obtener más información sobre el motor de correlación. Configuración del log Sistema Campo Descripción Panorama Seleccione la casilla de verificación para cada nivel de gravedad de las entradas del log Sistema que se enviarán al sistema de gestión centralizado de Panorama. • Alto: Problemas graves. consulte: • “Configuración de destinos de traps SNMP”. Para definir nuevos destinos. como cambios de contraseña de usuario. consulte “Uso del motor de correlación automatizada”. mensajes de Syslog o notificaciones por correo electrónico. como actualizaciones de paquetes de antivirus. Tabla 40. cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles de gravedad. • Informativo: Inicios de sesión/cierres de sesión. versión 7. seleccione los ajustes de SNMP. como fallos de HA. En función de la gravedad del evento. lo que incluye la conmutación por error de HA y los fallos de enlaces. Los niveles de gravedad son los siguientes: • Crítico: Fallos de hardware. Configuración del log de correlación Los logs de correlación se generan cuando un objeto de correlación coincide con un patrón o comportamiento y se registra un evento de correlación. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. cambio de nombre o contraseña de administrador. Para especificar la dirección del servidor de Panorama. Palo Alto Networks Guía de referencia de interfaz web . • “Configuración de ajustes de notificaciones por correo electrónico”. cambios de estado de enlaces e inicios de sesión y cierres de sesión de administradores en el cortafuegos. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. consulte “Definición de la configuración de gestión”.0 • 85 .

consulte: • “Configuración de destinos de traps SNMP”. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. Tabla 41.Definición de destinos de logs En función de la gravedad del evento. se registra un evento crítico cuando un host que ha recibido un archivo considerado malintencionado por WildFire muestra la misma actividad de comando y control observada en ese archivo malintencionado dentro del espacio aislado de WildFire. seleccione los ajustes de SNMP. versión 7. como las visitas repetidas a URL consideradas malintencionadas que sugiere la existencia de una actividad de comando y control generada por una secuencia de comandos. Para definir nuevos destinos. • Informativo: Detecta un evento que podría resultar útil en conjunto para identificar una actividad sospechosa. • Bajo: Indica la posibilidad de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. Configuración del log de correlación Campo Descripción Panorama Seleccione la casilla de verificación de cada nivel de gravedad de las entradas del log de correlación que se enviarán a Panorama. • Medio: Indica que hay una probabilidad alta de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos. como una visitas a una URL considerada malintencionada o un dominio DNS dinámico. • Alto: Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad basándose en una correlación entre varios eventos de amenaza. mensajes de Syslog o notificaciones por correo electrónico. 86 • Guía de referencia de interfaz web .0 Palo Alto Networks . un evento por separado no tiene por qué ser significativo en sí. Los niveles de gravedad son los siguientes: • Crítico: Confirma que se ha comprometido la seguridad de un host basándose en eventos correlacionados que indican un patrón en aumento. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de correlación. como el software malicioso detectado en cualquier punto de la red que coincida con la actividad de comando y control generada por un host concreto. Por ejemplo. • “Configuración de servidores Syslog”. • “Configuración de ajustes de notificaciones por correo electrónico”.

Correo electrónico Para generar notificaciones por correo electrónico para entradas del log Configuración.Definición de destinos de logs Configuración del log Coincidencias HIP La configuración del log Coincidencias HIP (perfil de información de host) se utiliza para proporcionar información sobre las políticas de seguridad que se aplican a clientes de GlobalProtect. Para especificar los nuevos destinos de traps SNMP. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Definición de configuración de alarmas La configuración de alarmas le permite habilitar alarmas y notificaciones de alarmas para la CLI y la interfaz web. • La base de datos de logs de cada tipo de log está casi llena. orden de columnas y actualización. La configuración de alarmas permite actuar antes de que se llene el disco y se purguen los logs. • Se ha alcanzado el umbral de fallos de cifrado/descifrado. consulte “Configuración de servidores Syslog”. seleccione el nombre de la configuración de correo electrónico que especifica las direcciones de correo electrónico adecuadas. La ventana Alarmas también incluye controles de páginas. Configuración del log Coincidencias HIP Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. consulte “Configuración de destinos de traps SNMP”. la cuota predeterminada está configurada para notificar que se ha usado el 90% de la capacidad del disco. Para especificar nuevos ajustes de correo electrónico. Palo Alto Networks Guía de referencia de interfaz web . Para especificar nuevos servidores Syslog. Para reconocer alarmas. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas del log de alarmas actual. Tabla 42. También le permite configurar notificaciones para esos eventos: • Se ha encontrado una coincidencia con una regla de seguridad (o grupo de reglas) en un umbral especificado y dentro de un intervalo de tiempo especificado. versión 7. seleccione el nombre del destino de trap. seleccione el nombre del servidor Syslog. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. Trap SNMP Para generar traps SNMP para entradas del log Coincidencias HIP. Syslog Para generar mensajes de Syslog para entradas del log Configuración.0 • 87 . Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas situado en la esquina inferior derecha de la interfaz web cuando la opción Alarma está configurada. seleccione sus casillas de verificación y haga clic en Reconocer.

88 • Guía de referencia de interfaz web . Umbral de alarma de base de datos de log (% lleno) Genere una alarma cuando una base de datos de logs alcance el porcentaje indicado del tamaño máximo.0 Palo Alto Networks . • Logs de inicios de sesión correctos: Registra los inicios de sesión correctos en el cortafuegos por parte del administrador. alarma) que le gustaría borrar. edite la sección Configuración de alarma y utilice la siguiente tabla para definirla: Tabla 43. Los incumplimientos se cuentan cuando una sesión coincide con una política de denegación explícita. Utilice la página Gestionar logs para borrar los logs del dispositivo. Habilitar notificaciones de alarmas por CLI Habilite notificaciones de alarmas por CLI cuando se produzca una alarma. Haga clic en el enlace que corresponde al log (tráfico.Definición de destinos de logs Para añadir una alarma. El botón Alarmas solo es visible cuando la casilla de verificación Habilitar alarmas está seleccionada. • Administradores suprimidos: No genera logs para los cambios que realizan los administradores enumerados en la configuración del cortafuegos. Umbral de fallo de cifrado/descifrado Especifique el número de fallos de cifrado/descifrado tras los cuales se genera una alarma. Especifique los siguientes ajustes: • Logging específico de CC: Permite logs ampulosos necesarios para el cumplimiento de criterios comunes (CC). datos. Límites de grupos de políticas de seguridad Se genera una alarma si el conjunto de reglas alcanza el número de infracciones del límite de reglas especificado en el campo Umbral de infracciones durante el período especificado en el campo Período de tiempo de infracciones. coincidencia HIP. configuración. sistema. Límites de política de seguridad Se genera una alarma si un puerto o una dirección IP en concreto incumple una regla de denegación el número de veces especificado en el ajuste Umbral de infracciones de seguridad dentro del período (segundos) especificado en el ajuste Período de tiempo de infracciones de seguridad. amenazas. Habilitar notificaciones de alarma web Abra una ventana para mostrar alarmas en las sesiones de usuario. • Logs de inicios de sesión incorrectos: Registra los inicios de sesión incorrectos en el cortafuegos por parte del administrador. Auditoría selectiva Nota: Estos ajustes aparecen en la página Alarmas únicamente en el modo Criterios comunes. versión 7. flujos de tráfico y alarmas generadas por el dispositivo. Configuración del log Alarma Campo Descripción Habilitar alarmas Habilite alarmas basándose en los eventos enumerados en esta página. Gestión de configuración de logs Cuando se configura para la creación de logs. Utilice Etiquetas de política de seguridad para especificar las etiquetas con las que los umbrales de límite de reglas generarán alarmas. amenazas de seguridad. Estas etiquetas están disponibles para su especificación al definir políticas de seguridad. Habilitar alarmas audibles El cortafuegos seguirá reproduciendo una alarma sonora cuando existan alarmas no reconocidas en la interfaz web o la CLI. el cortafuegos registra cambios en la configuración. incluyendo el momento en que se producen y cuándo se reconocen. URL. eventos del sistema.

Palo Alto Networks Guía de referencia de interfaz web . Una vez guardado el perfil. seleccione un vsys o Compartido (todos los sistemas virtuales).0 • 89 . Utilice únicamente letras. Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Use la página Trap SNMP para configurar el perfil del servidor que permite al cortafuegos o Panorama enviar traps a los gestores de SNMP. espacios. no puede seleccionar la Ubicación. Para avisarle de eventos o alertas del sistema en su red. debe especificar qué tipos de logs activarán el cortafuegos para que envíe traps SNMP (consulte “Definición de destinos de logs”). El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. Comunidad Introduzca la cadena de comunidad. admite todos los caracteres y distingue entre mayúsculas y minúsculas. No elimine perfiles de servidor usados por configuración de log Sistema o perfiles de logs. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Para habilitar GET SNMP (solicitudes de estadísticas desde un gestor SNMP). los dispositivos supervisados envían traps SNMP a los gestores de SNMP (servidores trap). que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. pude añadir hasta cuatro gestores SNMP. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí durante el reenvío de traps. Tabla 44. consulte “Habilitación de supervisión de SNMP”. Se recomienda no usar la cadena de comunidad pública predeterminada. Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar los traps de Palo Alto Networks. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. En cualquier otro contexto. Configuración de perfil de servidor de Trap SNMP Campo Descripción Nombre Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres). números.Configuración de destinos de traps SNMP Configuración de destinos de traps SNMP Dispositivo > Perfiles de servidor > Trap SNMP Panorama > Perfiles de servidor > Trap SNMP SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. Para cada versión. guiones y guiones bajos. no puede cambiar su Ubicación. consulte MIB compatibles. Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar. puntos. Para SNMP V2c Nombre Especifique un nombre para el gestor SNMP. guiones bajos o guiones. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. Ubicación Seleccione el ámbito en el que está disponible el perfil. versión 7. Tras crear el perfil del servidor. Esta cadena puede tener hasta 127 caracteres. Su selección controla los campos restantes que muestra el cuadro de diálogo. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores).

Contraseña de autenticación Especifique la contraseña de autenticación del usuario SNMP. de lo contrario.0 Palo Alto Networks . Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. con el prefijo 0x.Configuración de destinos de traps SNMP Tabla 44. de modo que el gestor SNMP pueda identificar qué peer HA envió los traps. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. versión 7. los mensajes usan el número de serie del dispositivo como EngineID. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. Si deja este campo en blanco. El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña. EngineID Especifique el ID de motor del dispositivo. El dispositivo usa la contraseña para autenticar el gestor SNMP. puntos. y con otros 10-128 caracteres para representar cualquier número de 5-64 bytes (2 caracteres por byte). Usuario Especifique un nombre de usuario para identificar la cuenta de usuario de SNMP (de hasta 31 caracteres). debe estar en formato hexadecimal. Configuración de perfil de servidor de Trap SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre Especifique un nombre para el gestor SNMP. El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. el valor se sincroniza y ambos peers usarán el mismo EngineID. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. guiones bajos o guiones. deje el campo en blanco. Para dispositivos en configuración de alta disponibilidad (HA). Si introduce un valor. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP. Especifique la privacidad de autenticación del usuario SNMP. Contraseña priv. los mensajes trap usan este valor para identificar exclusivamente el dispositivo. 90 • Guía de referencia de interfaz web . Cuando un gestor SNMP y el dispositivo se autentican entre sí.

Instalaciones Seleccione uno de los valores estándar de Syslog. consulte “Configuración de ajustes de notificaciones por correo electrónico”. En el cuadro de diálogo. Para obtener más información sobre el campo Instalaciones. Escape Especifique secuencias de escape. Formato Especifique el formato de Syslog que se debe utilizar: BSD (valor predeterminado) o IETF. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. versión 7. números. Después de definir los servidores Syslog. Haga clic en ACEPTAR para guardar la configuración. podrá utilizarlos para las entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). consulte RFC 3164 (formato BSD) o RFC 5424 (formato IETF). debe especificar uno o más servidores Syslog. Ubicación Seleccione el ámbito en el que está disponible el perfil. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Servidor Introduzca la dirección IP del servidor Syslog. Configuración. el puerto estándar para SSL es 6514. Otras cadenas de texto se pueden editar directamente en el área Formato de log. no puede seleccionar la Ubicación. Una vez guardado el perfil. no puede cambiar su Ubicación.Configuración de servidores Syslog Configuración de servidores Syslog Dispositivo > Perfiles de servidor > Syslog Panorama > Perfiles de servidor > Syslog Para generar mensajes de Syslog para logs Sistema. Ver una descripción de cada campo que se pueda usar para logs personalizados. Utilice únicamente letras. Seleccione el valor que asigna al modo en que su servidor Syslog usa el campo Instalaciones para gestionar mensajes. guiones y guiones bajos. Palo Alto Networks Guía de referencia de interfaz web . su valor se define previamente como Compartido (para cortafuegos) o como Panorama.0 • 91 . Amenaza o Coincidencias HIP. Puerto Introduzca el número de puerto del servidor Syslog (el puerto estándar para UDP es 514. Tabla 45. Pestaña Servidores Nombre Haga clic en Añadir e introduzca un nombre para el servidor Syslog (de hasta 31 caracteres). Transporte Elija si desea transportar los mensajes de Syslog en UDP. Utilice únicamente letras. para TCP debe especificar un número de puerto). Para obtener información detallada sobre los campos que se pueden utilizar para logs personalizados. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. haga clic en un campo para añadirlo al área Formato de log. Nuevo servidor Syslog Campo Descripción Nombre Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres). espacios. Tráfico. seleccione un vsys o Compartido (todos los sistemas virtuales). TCP o SSL. números. En cualquier otro contexto. Utilice el cuadro Caracteres de escape para enumerar todos los caracteres que se escaparán sin espacios. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. No puede eliminar un servidor que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. guiones y guiones bajos.

Utilice únicamente letras. Para obtener información sobre cómo programar la entrega de informes por correo electrónico. podrá habilitar las notificaciones por correo electrónico para entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). versión 7.Configuración de ajustes de notificaciones por correo electrónico Configuración de ajustes de notificaciones por correo electrónico Dispositivo > Perfiles de servidor > Correo electrónico Panorama > Perfiles de servidor > Correo electrónico Para generar mensajes de correo electrónico para logs. Haga clic en ACEPTAR para guardar la configuración. Después de definir la configuración de correo electrónico. En cualquier otro contexto. Destinatario adicional También puede introducir la dirección de correo electrónico de otro destinatario. Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente. Solo puede añadir un destinatario adicional. 92 • Guía de referencia de interfaz web . haga clic en un campo para añadirlo al área Formato de log. números. guiones y guiones bajos. No puede eliminar un ajuste de correo electrónico que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. Mostrar nombre Introduzca el nombre mostrado en el campo De del correo electrónico. consulte “Programación de informes para entrega de correos electrónicos”. seleccione un vsys o Compartido (todos los sistemas virtuales). Ubicación Seleccione el ámbito en el que está disponible el perfil. En el cuadro de diálogo. De Introduzca la dirección de correo electrónico del remitente. Configuración de notificaciones por correo electrónico Campo Descripción Nombre Introduzca un nombre para el perfil de servidor (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. no puede seleccionar la Ubicación. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado.0 Palo Alto Networks . Para añadir varios destinatarios. espacios. Tabla 46. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Escape Incluya los caracteres de escape y especifique el carácter o los caracteres de escape. Puerta de enlace Introduzca la dirección IP o el nombre de host del servidor Simple Mail Transport Protocol (SMTP) utilizado para enviar el correo electrónico. no puede cambiar su Ubicación. como “alerta_seguridad@empresa. debe configurar un perfil de correo electrónico. añada la dirección de correo electrónico de una lista de distribución. Una vez guardado el perfil. Pestaña Servidores Servidor Introduzca un nombre para identificar el servidor (1-31 caracteres). En el contexto de un cortafuegos con más de un sistema virtual (vsys). Para Introduzca la dirección de correo electrónico del destinatario.com”.

Los cortafuegos solo son compatibles con NetFlow unidireccional. Configuración de Netflow Campo Descripción Nombre Introduzca un nombre para el perfil de servidor Netflow (de hasta 31 caracteres). Puerto Especifique el número de puerto para el acceso al servidor (valor predeterminado: 2. Servidor Especifique el nombre de host o la dirección IP del servidor. versión 7. pero no bidireccional. Tiempo de espera activo Especifique la frecuencia (en minutos) a la que el cortafuegos exporta registros de datos para cada sesión (1-60. números. El cortafuegos es compatible con plantillas de NetFlow estándar y de empresa (específicas de PAN-OS). espacios. Utilice únicamente letras. con o sin NAT y con campos estándar o específicos de empresa. Utilice únicamente letras. Los recopiladores NetFlow requieren plantillas para descifrar los campos exportados. Después de asignar el perfil a una interfaz (consulte “Configuración de la interfaz de un cortafuegos”).055). defina un perfil de servidor NetFlow. utilice el valor del recopilador con la velocidad de actualización más rápida.Configuración de ajustes de flujo de red Configuración de ajustes de flujo de red Dispositivo > Perfiles de servidor > Flujo de red Todos los cortafuegos son compatibles con la versión 9 de NetFlow. el cortafuegos exporta los datos NetFlow para todo el tráfico que atraviesa la interfaz hacia los servidores especificados. de forma predeterminada 20) después de los cuales el cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier cambio en sus campos o un cambio en la selección de plantilla. Puede habilitar NetFlow para que exporte todos los tipos de interfaces. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. tarjeta de log o reflejo de descifrado. El cortafuegos selecciona una plantilla según el tipo de datos que va a exportar: tráfico IPv4 o IPv6. guiones y guiones bajos. Tipos de campos de PAN-OS Exporte campos específicos de PAN-OS para App-ID y el servicio de User-ID en registros de Netflow. 5 de forma predeterminada). que especifique los servidores NetFlow que recibirán los datos y especifique los parámetros de exportación. de forma predeterminada 30) o paquetes (1-600. Servidores Nombre Especifique un nombre para identificar el servidor (de hasta 31 caracteres). guiones y guiones bajos. La frecuencia de actualización necesaria depende del recopilador de flujo de red: Si añade varios recopiladores de flujo de red al perfil del servidor. Para configurar exportaciones de datos NetFlow. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. a excepción de las de alta disponibilidad (HA). Palo Alto Networks Guía de referencia de interfaz web . Establezca la frecuencia basada en cuántas veces quiere que el recopilador del flujo de datos actualice las estadísticas de tráfico. Tabla 47.0 • 93 . Tasa de actualización de plantilla Especifique el número de minutos (1-3600. a excepción de los cortafuegos de las series PA-4000 y PA-7000. Puede añadir un máximo de dos servidores por perfil. números.

haga clic en este enlace para ver el estado del origen de herencia. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. que se aplica a sistemas virtuales para simplificar la configuración. o déjelo como heredado si ha elegido un origen de herencia. – Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. Uso de certificados Dispositivo > Gestión de certificados > Certificados Los certificados se utilizan para cifrar datos y garantizar la comunicación en una red. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. • “Gestión de entidades de certificación de confianza predeterminadas”: Utilice la página Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas para ver. Comprobar estado de origen de herencia (Opcional) Si elige un servidor DNS desde el que heredar configuraciones. DNS principal Especifique la dirección IP del servidor DNS principal. Ubicación Seleccione el sistema virtual al que pertenece el perfil. Ruta de servicio IPv6 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Tabla 48 Perfil de servidor de DNS Campo Descripción Nombre Especifique un nombre para el perfil de servidor SNMP. renovar. versión 7. – Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. También puede exportar e importar la clave de alta disponibilidad (HA) que protege la conexión entre los peers de HA en la red. revocar) los certificados de dispositivos usados para garantizar la comunicación. importar.0 Palo Alto Networks . o déjelo como heredado si ha elegido un origen de herencia. • “Gestión de certificados de dispositivos”: Use la página Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos para gestionar (generar. Ruta de servicio IPv4 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4.Configuración de un perfil de servidor de DNS Configuración de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Configure un perfil de servidor DNS. 94 • Guía de referencia de interfaz web . eliminar. Origen de herencia (Opcional) Especifique el servidor de DNS desde el que el perfil debería heredar la configuración. habilitar y deshabilitar las entidades de certificados (CA) en las que confía el cortafuegos. DNS secundario Especifique la dirección IP del servidor DNS secundario.

En este caso. deberá hacer clic en el nombre del certificado en la página Certificados y seleccionar la casilla de verificación Reenviar certificado fiable. Si se utiliza un certificado autofirmado para el descifrado de proxy de reenvío. Nombre común Introduzca la dirección IP o FQDN que aparecerá en el certificado. versión 7. Para generar un certificado. • CA raíz de confianza: El certificado está marcado como CA de confianza con fines de descifrado de reenvío. haga clic en Generar y especifique la siguiente información. Palo Alto Networks Guía de referencia de interfaz web . espacios.0 • 95 . números. • Certificado de Syslog seguro: Este certificado activa el reenvío seguro de syslogs en un servidor de syslog externo.Uso de certificados Gestión de certificados de dispositivos Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos Panorama > Gestión de certificados > Certificados Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como asegurar el acceso a la interfaz web. El certificado de CA raíz de confianza es para CA adicionales que son fiables para su empresa pero que no forman parte de la lista de CA fiables preinstalada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. utiliza un certificado de CA no fiable especial para firmar el certificado de descifrado. descifrado de SSL o LSVPN. • Exclusión de SSL: Este certificado excluye las conexiones si se encuentran durante el descifrado de proxy de reenvío SSL. Cuando el cortafuegos descifra tráfico. Utilice únicamente letras. Compartido En un cortafuegos que tiene más de un sistema virtual (vsys). Si no es así. seleccione esta casilla de verificación si quiere que el certificado esté disponible en cada vsys. comprueba si el certificado ascendente ha sido emitido por una CA de confianza. guiones y guiones bajos. el usuario verá la página de error de certificado habitual al acceder al cortafuegos y deberá desestimar la advertencia de inicio de sesión. A continuación se mencionan algunos usos de los certificados: • Fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA de la lista de CA de confianza del cortafuegos. El cortafuegos tiene una extensa lista de CA de confianza existentes. Tabla 49. • No fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA que no está en la lista de CA de confianza del cortafuegos. Solo se requiere el nombre. Configuración para generar un certificado Campo Descripción Nombre del certificado Introduzca un nombre (de hasta 31 caracteres) para identificar el certificado.

seleccione una autoridad externa (CSR).Uso de certificados Tabla 49. Vencimiento (días) Especifique el número de días que el certificado será válido. Nota: ECDSA usa tamaños de clave más pequeños que el algoritmo RSA y. Si ha importado certificados de CA o los ha emitido en el propio dispositivo (autofirmados). El valor predeterminado es de 365 días. también tiene la opción de generar un certificado autofirmado para Panorama. SHA1. ECDSA también ofrece una seguridad igual o superior a la de RSA. El nombre de host correspondiente aparece en el certificado. Si el algoritmo es DSA de curva elíptica.0 eliminarán cualquier certificado de ECDSA que envíe desde Panorama. ofrece una mejora del rendimiento para las conexiones SSL/TLS de procesamiento. y ningún certificado RSA firmado por una entidad de certificación (CA) ECDSA será válido en esos cortafuegos. Número de bits Seleccione la longitud de la clave del certificado. Si está utilizando Panorama. 96 • Guía de referencia de interfaz web . SHA256. OCSP responder Seleccione un perfil de respondedor OSCP de la lista desplegable (consulte “Cómo añadir un respondedor OCSP”). Marcar este certificado como CA le permitirá utilizarlo para firmar otros certificados en el cortafuegos. El dispositivo genera el certificado y el par de claves y entonces puede exportar el CSR. De lo contrario. versión 7. Si el algoritmo es DSA de curva elíptica. Las opciones disponibles dependen de la generación de claves de algoritmos: • RSA: MD5. son válidas ambas opciones de longitud (256 y 384). son válidos ambos algoritmos de resumen (SHA256 y SHA384). PRECAUCIÓN: Si especifica un Período de validez en una configuración del satélite de GlobalProtect. Autoridad del certificado Seleccione esta casilla de verificación si quiere que el cortafuegos emita el certificado. ECDSA se recomienda para navegadores de clientes y sistemas operativos compatibles. las claves RSA generadas deben ser de 2048 bits o superiores. ADVERTENCIA: Los cortafuegos que ejecutan versiones anteriores a PAN-OS 7. por lo tanto. ese valor cancelará el valor introducido en este campo. SHA384 o SHA512 • DSA de curva elíptica: SHA256 o SHA384 Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. el menú desplegable incluye los CA disponibles para firmar el certificado que se está creando. Resumen Seleccione el algoritmo de resumen del certificado. seleccione RSA para compatibilidad con navegadores y sistemas operativos antiguos. Para generar una solicitud de firma de certificado (CSR). SHA384 o SHA512 como el algoritmo de resumen.0 Palo Alto Networks . Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. debe seleccionar SHA256. Configuración para generar un certificado (Continuación) Campo Descripción Firmado por Un certificado se puede firmar con una entidad de certificación (CA) importado al cortafuegos o se puede utilizar un certificado autofirmado donde el propio cortafuegos es la CA. Algoritmo Seleccione un algoritmo de generación de claves para el certificado: RSA o DSA de curva elíptica (ECDSA).

Si el cortafuegos es la CA que emitió el certificado. Establezca el periodo de validez (en días) para el certificado y haga clic en Aceptar. Si una entidad de certificación (CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. haga clic en Añadir para especificar atributos del certificado adicionales que se deben utilizar para identificar la entidad para la que está emitiendo el certificado. puede especificar uno de los siguientes campos de nombre alternativo del asunto: Nombre de host (SubjectAltName:DNS). las claves privadas se almacenan en un almacén HSM externo.0 • 97 . Tabla 50. y Correo electrónico alternativo (SubjectAltName:email). Si ha configurado un módulo de seguridad de hardware (HSM). Localidad. Después de generar el certificado. haga clic en la columna Valor para ver los códigos de país ISO 6366. IP (SubjectAltName:IP). Organización. el cortafuegos utilizará información del respondedor OCSP para actualizar el estado del certificado. Departamento. seleccione el certificado correspondiente y haga clic en Renovar. seleccione País en la columna Tipo y. versión 7. No es necesario realizar una compilación. no en el cortafuegos. Otras acciones admitidas Acciones Descripción Eliminar Seleccione el certificado que desea eliminar y haga clic en Eliminar. Nota: Para añadir un país como atributo de certificado. Configuración para generar un certificado (Continuación) Campo Descripción Atributos del certificado De forma alternativa. Correo electrónico. Revocar Seleccione el certificado que desea revocar y haga clic en Revocar. Puede añadir cualquiera de los siguientes atributos: País. Estado. Además.Uso de certificados Tabla 49. los detalles aparecen en la página. a continuación. el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie diferente pero los mismos atributos que el certificado anterior. Palo Alto Networks Guía de referencia de interfaz web . Renovar En caso de que un certificado caduque o esté a punto de caducar. El certificado se establecerá instantáneamente en estado revocado.

Exportar Para exportar un certificado. • Seleccione la casilla La clave privada reside en el módulo de seguridad de hardware si está utilizando un HSM par almacenar la clave privada para este certificado. • Seleccione el formato de archivo para el archivo de certificado. Seleccione la casilla de verificación Exportar clave privada e introduzca una frase de contraseña dos veces para exportar la clave privada además del certificado. este será el único archivo que contiene a ambos objetos.Uso de certificados Tabla 50. este será únicamente el certificado público. seleccione el enlace para el certificado y las casillas de verificación para indicar cómo planea utilizar el certificado. el archivo de clave se seleccionó anteriormente. Para exportar claves para HA. seleccione el certificado que desea exportar y haga clic en Exportar. fecha de vencimiento y estado de validez de cada una de ellas. Para importar claves para alta disponibilidad (HA).0 Palo Alto Networks . busque el archivo de clave privada cifrada (por lo general. Exportar clave de HA Defina el uso del certificado En la columna Nombre. • Utilice la opción Examinar para buscar el archivo de certificado. denominado *.key). Aparece el nombre. haga clic en Exportar clave de HA y especifique una ubicación en la que guardar el archivo. se debe exportar la clave del cortafuegos 1 y. Para obtener una descripción de cada uno de ellos. Generar Consulte generar. haga clic en Importar y especifique los siguientes detalles • Nombre para identificar el certificado. Si utiliza PKCS #12. importarse al cortafuegos 2 y viceversa. Seleccione el formato de archivo que desea que utilice el certificado exportado (. Importar clave de HA Las claves de HA se deben intercambiar entre ambos peers del cortafuegos. consulte “Definición de módulos de seguridad de hardware”. es decir. consulte usos. • Seleccione la casilla de verificación Importar clave privada para cargar la clave privada e introducir la frase de contraseña dos veces. Si utiliza PEM. Si desea más información sobre HSM. versión 7. Otras acciones admitidas Acciones Descripción Importar Para importar un certificado. haga clic en Importar clave de HA y explore para especificar el archivo de clave que se importará. emisor. 98 • Guía de referencia de interfaz web . • Seleccione el sistema virtual al que desea importar el certificado de la lista desplegable. Gestión de entidades de certificación de confianza predeterminadas Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas Utilice esta página para ver. Si está importando un certificado PKCS #12 y una clave privada. Si utiliza PEM. asunto. a continuación.pem para formato de codificación base64).pfx para PKCS#12 o . deshabilitar o exportar las entidades de certificación (CA) preincluidas en las que confía el cortafuegos.

números. no puede seleccionar la Ubicación. GlobalProtect. haga clic en Exportar para exportar el certificado de CA. En cualquier otro contexto. Configuración de perfiles de certificado Tipo de página Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama. versión 7. Palo Alto Networks Guía de referencia de interfaz web . Configure un perfil de certificado para cada aplicación.Creación de un perfil del certificado Esta lista no incluye los certificados de CA generados en el cortafuegos. PAN-OS usa el campo de certificado que ha seleccionado en el menú desplegable Campo de nombre de usuario como el nombre de usuario y busca coincidencias con la dirección IP del servicio User-ID: • Asunto: PAN-OS utiliza el nombre común. Exportar Haga clic en la casilla de verificación junto a la CA y.0 • 99 . guiones y guiones bajos. Una vez guardado el perfil. VPN de sitio a sitio de IPSec. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Deshabilitar Haga clic en la casilla de verificación junto a la CA que desee deshabilitar y. a continuación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado. • Ninguno: Suele destinarse al dispositivo GlobalProtect o a la autenticación anterior al inicio de sesión. haga clic en Habilitar. Los perfiles especifican qué certificados deben utilizarse. Tabla 51 Configuración de entidades de certificación de confianza Campo Descripción Habilitar Si ha deshabilitado una CA y desea habilitarla. Ubicación Seleccione el ámbito en el que está disponible el perfil. Creación de un perfil del certificado Dispositivo > Gestión de certificados > Perfil del certificado Panorama > Gestión de certificados > Perfil del certificado Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo. espacios. no puede cambiar su Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Utilice únicamente letras. haga clic en la casilla de verificación junto a la CA y. Puede realizar esta acción para importar el certificado a otro sistema o si desea verlo fuera de línea. • Asunto alternativo: Seleccione si PAN-OS utiliza el correo electrónico o nombre principal. Campo de nombre de usuario Si GlobalProtect usa solo certificados para autenticación de portal/ puerta de enlace. Puede que le interese esto si solamente desea confiar en determinadas CA o eliminarlas todas para únicamente confiar en su CA local. seleccione un vsys o Compartido (todos los sistemas virtuales). haga clic en Deshabilitar. a continuación. a continuación. Tabla 52.

Tiempo de espera de recepción de CRL Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del servicio CRL. Tiempo de espera de recepción de OCSP Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del respondedor OCSP. si el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. De lo contrario. configure los siguientes campos para cancelar el comportamiento predeterminado. Tiempo de espera del estado del certificado Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina. Configuración de perfiles de certificado (Continuación) Tipo de página Descripción Dominio Introduzca el dominio NetBIOS para que PAN-OS pueda identificar a los usuarios mediante el ID de usuario.Cómo añadir un respondedor OCSP Tabla 52. • De manera predeterminada. Para la mayoría de las implementaciones. el cortafuegos utiliza la URL del respondedor OCSP que estableció en el procedimiento “Cómo añadir un respondedor OCSP”.0 Palo Alto Networks . el cortafuegos continuará con la sesión. el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible. el cortafuegos utiliza el certificado seleccionado en el campo Certificado de CA para validar las respuestas de OCSP. Bloquear sesiones si no se puede recuperar el estado del certificado dentro del tiempo de espera Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones después de registrar un tiempo de espera de la solicitud de OCSP o CRL. • De manera predeterminada. introduzca una URL de OCSP predeterminada (que comience por http:// o https://). Utilizar OCSP Seleccione la casilla de verificación para utilizar OCSP y verificar el estado de revocación de los certificados. Nota: Si selecciona OCSP y CRL. Para cancelar ese ajuste. el cortafuegos continuará con la sesión. Bloquear una sesión si el estado del certificado es desconocido Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva un estado de revocación de certificados desconocido (unknown). Utilizar CRL Seleccione la casilla de verificación para utilizar una lista de revocación de certificados (CRL) para verificar el estado de revocación de los certificados. Opcionalmente. De lo contrario. versión 7. Para utilizar un certificado diferente para la validación. selecciónelo en el campo Verificación de certificado CA con OCSP. Cómo añadir un respondedor OCSP Dispositivo > Gestión de certificados > OCSP responder Utilice la página OCSP responder para definir un respondedor (servidor) del protocolo de estado de certificado en línea (OCSP) que verifique el estado de la revocación de los certificados. estos campos no son aplicables. Certificados de CA Haga clic en Añadir y seleccione un certificado de CA para asignarlo al perfil. 100 • Guía de referencia de interfaz web .

En primer lugar. haga clic en Aceptar.Gestión de perfiles de servicio SSL/TLS Además de añadir un respondedor OCSP. Debe ser exclusivo y utilizar únicamente letras. seleccione un vsys o Compartido (todos los sistemas virtuales). su valor se define previamente como Compartido. a continuación. no puede seleccionar la Ubicación. no puede cambiar su Ubicación. a continuación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Nombre de host Especifique el nombre de host (recomendado) o la dirección IP del respondedor OCSP. números. habilitar un OCSP requiere las siguientes tareas: • Activar la comunicación entre el cortafuegos y el servidor del OCSP: seleccione Dispositivo > Configuración > Gestión. rellene los campos en la siguiente tabla y luego haga clic en ACEPTAR. el nombre de host debe resolverse en una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP. haga clic en Configuración de revocación de certificados de descifrado. versión 7. En cualquier otro contexto. espacios. guiones y guiones bajos. En segundo lugar. El nombre distingue entre mayúsculas y minúsculas. seleccione OCSP de HTTP y. seleccione OCSP de HTTP y. introduzca el tiempo de espera de recepción (intervalo después del cual el cortafuegos deja de esperar una respuesta del OCSP) y.0 • 101 . haga clic en Aceptar. seleccione Red > Interfaces. Tabla 53 Configuración de respondedor OCSP Campo Descripción Nombre Introduzca un nombre para identificar al respondedor (hasta 31 caracteres). Si configura el cortafuegos como respondedor OCSP. a continuación. haga clic en el nombre de la interfaz que utilizará el cortafuegos para los servicios del OCSP. • Opcionalmente. los perfiles le permiten restringir los conjuntos de cifras disponibles para proteger la comunicación con los clientes que solicitan los servicios. A partir de este valor. añada un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. haga clic en Añadir. Palo Alto Networks Guía de referencia de interfaz web . Gestión de perfiles de servicio SSL/TLS Dispositivo > Gestión de certificados > Perfil de servicio SSL/TLS Panorama > Gestión de certificados > Perfil de servicio SSL/TLS Los perfiles de servicio SSL/TLS especifican un certificado y una versión o conjunto de versiones de protocolo para servicios de dispositivos que utilizan SSL/TLS. seleccione Red > Perfiles de red > Gestión de interfaz. seleccione la opción para habilitar en la sección OCSP. para configurar el cortafuegos como respondedor OCSP. • Si el cortafuegos descifra el tráfico SSL/TLS saliente. Mediante la definición de versiones de protocolo. haga clic en Añadir. a continuación. PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando. haga clic en Aceptar. Ubicación Seleccione el ámbito en el que está disponible el respondedor. edite la sección Configuración de interfaz de gestión. configúrelo de forma optativa para verificar el estado de revocación de los certificados del servidor de destino: seleccione Dispositivo > Configuración > Sesiones. seleccione Avanzado > Otra información. seleccione el perfil de gestión de la interfaz que ha configurado y. Para añadir un perfil. haga clic en Aceptar y Compilar. Una vez guardado el respondedor.

en el menú desplegable Ubicación. la clave privada utilizada para autenticar el acceso a la interfaz web del dispositivo y cualquier otra clave cargada en el dispositivo. Versión máx.2 o Máx (la versión más reciente disponible). Seleccione. 102 • Guía de referencia de interfaz web . versión 7. importe o genere un certificado para asociarlo con el perfil. use solo certificados firmados. Si los dispositivos tienen una configuración de alta disponibilidad (HA). Incluso aunque no se especifique una clave maestra nueva. Esta opción de clave maestra ofrece una capa añadida de seguridad. TLSv1. la casilla de verificación no está seleccionada y el perfil está disponible solo en el vsys seleccionado en la pestaña Dispositivo. Versión mín.0 Palo Alto Networks .1 o TLSv1. guiones y guiones bajos. espacios. Consulte “Gestión de certificados de dispositivos”. puede seleccionar esta casilla de verificación para que el perfil esté disponible en todos los sistemas virtuales. Como la clave maestra se utiliza para cifrar el resto de claves. La clave maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar el acceso a la CLI).1. haga clic en Duplicar y luego en ACEPTAR. Cifrado de claves privadas y contraseñas del cortafuegos Dispositivo > Clave maestra y diagnóstico Panorama > Clave maestra y diagnóstico Utilice la página Clave maestra y diagnóstico para especificar una clave maestra para cifrar las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). asegúrese de almacenarla en un lugar seguro.0. Para eliminar un perfil. Seleccione la última versión de TLS que pueden usar los servicios a los que se asigna este perfil: TLSv1. asegúrese de utilizar la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los certificados se cifran con la misma clave. Compartido Si el cortafuegos tiene más de un sistema virtual (vsys).Cifrado de claves privadas y contraseñas del cortafuegos Para duplicar un perfil. selecciónelo y haga clic en Eliminar. las claves privadas siempre se almacenan de forma cifrada en el dispositivo.0. Seleccione la versión de TLS más reciente que pueden usar los servicios a los que se asigna este perfil: TLSv1. selecciónelo. El nombre distingue entre mayúsculas y minúsculas. Certificado PRECAUCIÓN: No use certificados de entidades de certificación (CA) para servicios SSL/TLS. Si las claves maestras son diferentes.2. de forma predeterminada. la sincronización de la configuración de HA no funcionará correctamente. De manera predeterminada. Tabla 54 Configuración de perfil de servicio SSL/TLS Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). TLSv1. Debe ser exclusivo y utilizar únicamente letras. TLSv1. números.

Configuración de clave maestra y diagnóstico Campo Descripción Clave maestra actual Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del dispositivo. ambos peers deben estar en el mismo hipervisor y deben tener el mismo número de núcleos de CPU asignados a cada peer.0 • 103 . Por lo tanto. para los cortafuegos VM-Series. Tiempo para el recordatorio Especifique el número de días y horas antes del vencimiento. HSM no es compatible con los cortafuegos de las series PA-200. Duración Especifique el número de días y horas tras el cual vence la clave maestra (rango: 1-730 días).Habilitación de HA en el cortafuegos Para añadir una clave maestra. PA-500 y PA-2000. versión 7. utilice las plantillas de Panorama para configurar el origen de HSM en los cortafuegos gestionados. HA Lite permite la sincronización de la configuración y la sincronización de algunos elementos de tiempo de Palo Alto Networks Guía de referencia de interfaz web . HA Lite Los cortafuegos de las series PA-200 y VM-Series edición NSX admiten una versión “lite” de la HA activa/pasiva que no incluye ninguna sincronización de sesiones. La configuración HSM no está sincronizada entre dispositivos de peer en modo de alta disponibilidad. Almacenado en HSM Marque esta casilla si la clave maestra se cifra en un módulo de seguridad de hardware (HSM). ambos peers deben tener el mismo modelo. el cortafuegos se puede implementar en una configuración activa/pasiva o activa/pasiva de alta disponibilidad (HA). cada peer del par de HA se puede conectar a un origen HSM diferente. los peers de HA se reflejan entre sí en la configuración. deben ejecutar la misma versión de PAN-OS y deben tener el mismo conjunto de licencias. Para obtener información sobre cómo actualizar claves maestras. Deberá actualizar la clave maestra antes de su vencimiento. En un par de HA. haga clic en el botón de edición en la sección Clave maestra y utilice la siguiente tabla para introducir los valores: Tabla 55. También se incluye un programador para especificar los momentos en los que se ejecutarán las dos pruebas automáticas. Asimismo. consulte “Habilitación de HA en el cortafuegos”. en cuyo momento se notificará al usuario del vencimiento inminente (rango: 1-365 días). introduzca una cadena de 16 caracteres y confirme la nueva clave. Habilitación de HA en el cortafuegos Dispositivo > Alta disponibilidad Para redundancia. Si utiliza Panorama y desea mantener sincronizada la configuración en ambos peers. Nueva clave principal Confirmar clave maestra Para cambiar la clave maestra. No puede utilizar HSM en una interfaz dinámica como un cliente DHCP o PPPoE. Cuando se configura en HA. hay disponibles botones adicionales para ejecutar una prueba automática de algoritmos criptográficos y una prueba automática de integridad del software. Criterios comunes En el modo Criterios comunes.

versión 7. capa 3 y Virtual Wire. disminuyendo la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control. • ID de grupo: Introduzca un número para identificar el par activo/pasivo (de 1 a 63). información de concesión de PPPoE y la tabla de reenvío del cortafuegos cuando está configurado en el modo de capa 3. haga clic en Editar en el encabezado y especifique la información correspondiente descrita en la tabla siguiente. Esta es la opción predeterminada. Supervisar fallo de tiempo de espera descendente (min): Este valor entre 1 y 60 minutos determina el intervalo en el que un cortafuegos estará en un estado no funcional antes de volverse pasivo. El ID debe ser exclusivo cuando hay más de un par de alta disponibilidad residiendo en una red de capa 2.Habilitación de HA en el cortafuegos ejecución. Esta opción es compatible con el modo de capa 2. 104 • Guía de referencia de interfaz web . pero descarta todos los paquetes recibidos. Tabla 56. • Habilitar sincronización de configuración: Sincronice la configuración entre peers. • Automático: Hace que el estado de los enlaces refleje la conectividad física. • Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. • Crear copia de seguridad de la dirección IP de HA del peer: Introduzca la dirección IP del enlace de control de copia de seguridad del peer. • Dúplex de enlace: Seleccione una opción de dúplex para el enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). información de concesión de cliente DHCP. que garantiza que no se creen bucles en la red. Para cada sección de la página Alta disponibilidad. • Descripción: Introduzca una descripción del par activo/pasivo (opcional). Esta opción no está disponible en el cortafuegos VM-Series en AWS. • Dirección IP de HA del peer: Introduzca la dirección IP de la interfaz de HA1 que se especifica en la sección Enlace de control del otro cortafuegos. Permite que varios pares de cortafuegos activos/pasivos residan en la misma red. Esta opción permite que el estado de los enlaces de la interfaz permanezca activo hasta que se produzca una conmutación por error. La opción Automático es conveniente si es viable para su red. información de concesión de servidor DHCP. • ID de dispositivo: Seleccione 0 o 1 para designar el cortafuegos como activo-primario o activo-secundario en una configuración de HA activa/ activa. Configuración Activa/Pasiva Estado de enlace pasivo: apagado o automático. Este temporizador se utiliza cuando faltan latidos o mensajes de saludo debido a un fallo de supervisión de ruta o de enlace. • Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). Configuración de HA Campo Descripción Pestaña General Configuración Especifique los siguientes ajustes: • Habilitar HA: Active las prestaciones de HA.0 Palo Alto Networks . También admite la conmutación por error de túneles de IPSec (las sesiones deben volver a establecerse). • Modo: Seleccione activo-activo o activo-pasivo.

000 ms.): Este intervalo de tiempo se aplica al mismo evento que Supervisar fallo de tiempo de espera ascendente (rango: 0-60. Este temporizador únicamente se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de enlace (rango: 1-60. › Tiempo de espera para ser preferente: Introduzca el tiempo que un dispositivo secundario pasivo o activo esperará antes de tomar el control como dispositivo activo o principal activo (rango: 1-60 min. › Tiempo de espera ascendente tras fallo de supervisor (ms): Especifique el intervalo durante el cual el cortafuegos permanecerá activo tras un fallo de supervisor de ruta o supervisor de enlace..0 • 105 . valor predeterminado: 1 min. valor predeterminado: 1).º máximo de flaps: Se cuenta un flap cuando el cortafuegos deja el estado activo antes de que transcurran 15 minutos desde la última vez que dejó el estado activo. Palo Alto Networks Guía de referencia de interfaz web . Se recomienda este temporizador para evitar una conmutación por error cuando ambos dispositivos experimentan el mismo fallo de supervisor de enlace/ruta simultáneamente. Configuración de HA (Continuación) Campo Descripción Configuración de elección Especifique la cantidad de tiempo (minutos) que un cortafuegos pasará en el estado no funcional antes de volverse pasivo. valor predeterminado: 3). Puede especificar el número máximo de flaps permitidos antes de que se determine suspender el cortafuegos y que el cortafuegos pasivo tome el control (rango: 0-16. versión 7. El intervalo de tiempo adicional únicamente se aplica al dispositivo activo en el modo activo/pasivo y al dispositivo principal activo en el modo activo/activo.). › N.Habilitación de HA en el cortafuegos Tabla 56. valor predeterminado: 0 ms).000 ms. El valor 0 significa que no hay máximo (se necesita un número infinito de flaps antes de que el cortafuegos pasivo tome el control). Se recomienda este ajuste para evitar una conmutación por error de HA debido a los flaps ocasionales de los dispositivos vecinos (rango: 0-60. valor predeterminado: 500 ms). › Tiempo de espera ascendente principal adicional (min.

106 • Guía de referencia de interfaz web . • Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo (milisegundos) que el cortafuegos esperará antes de declarar un fallo de peer debido a un fallo del enlace de control (1. Lo mejor es utilizar los puertos de HA específicos o. • Puerta de enlace: Introduzca la dirección IP de la puerta de enlace predeterminada para las interfaces de HA1 principal y de copia de seguridad. si se produce un fallo en el plano de datos.0 Palo Alto Networks . En el cortafuegos VM-Series en AWS.0”) para las interfaces de HA1 principal y de copia de seguridad. valor predeterminado: 3. Configure este ajuste para la interfaz de HA1 principal. Si está utilizando un puerto HA1 físico para el enlace de HA de enlace de control y un puerto de datos para el enlace de control (copia de seguridad de HA). dado que los mensajes de control tienen que comunicarse desde el plano de datos hasta el plano de gestión. debe tener en cuenta que. El ajuste de copia de seguridad es opcional.000 ms. Al utilizar un puerto de datos para el enlace de control de HA. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos para el puerto de HA1 específico. La clave de HA de este dispositivo también debe exportarse desde este dispositivo e importarse al peer de HA. Como en este caso se está utilizando el puerto de gestión. no necesita habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección.255. debe configurar el puerto de gestión para la conexión de HA del enlace de control y una interfaz de puerto de datos configurada con el tipo HA para la conexión de copia de seguridad de HA1 del enlace de control. El ajuste de copia de seguridad es opcional. • Máscara de red: Introduzca la máscara de red de la dirección IP (como “255. El ajuste de copia de seguridad es opcional. como el cortafuegos PA-200.Habilitación de HA en el cortafuegos Tabla 56.000 ms). La importación/exportación de claves se realiza en la página Certificados (consulte Creación de un perfil del certificado). el puerto de gestión se usa como el enlace HA1.000-60. El ajuste de copia de seguridad es opcional. • Dirección IPv4/IPv6: Introduzca la dirección IPv4 o IPv6 de la interfaz de HA1 para las interfaces de HA1 principal y de copia de seguridad. no es necesario habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección porque las copias de seguridad de latidos ya se realizarán a través de la conexión de interfaz de gestión.255. Configuración de HA (Continuación) Campo Descripción Enlace de control (HA1)/Enlace de control (copia de seguridad de HA1) La configuración recomendada para la conexión del enlace de control de HA es utilizar el enlace HA1 específico entre los dos dispositivos y utilizar el puerto de gestión como interfaz de enlace de control (copia de seguridad de HA). en dispositivos que no tengan ningún puerto de HA específico. versión 7. se recomienda habilitar la opción Copia de seguridad de heartbeat. • Cifrado habilitado: Habilite el cifrado después de exportar la clave de HA desde el peer de HA e importarla a este dispositivo. el puerto de gestión. En este caso. En el caso de dispositivos que no tienen un puerto de HA específico. Especifique los siguientes ajustes para los enlaces de control de HA principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y de copia de seguridad. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos para el puerto de HA1 específico. Esta opción supervisa el estado del enlace físico de los puertos de HA1. la información del enlace de control de HA no podrá comunicarse entre los dispositivos y se producirá una conmutación por error.

ya que no es necesario dividir los datos porque no hay más de un dispositivo activo en un momento concreto. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. • Puerta de enlace: Especifique la puerta de enlace predeterminada de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. se producirá la acción definida (log o ruta de datos divididos). se notificará al otro dispositivo si se produce un fallo y pasará al modo de ruta de datos divididos si se selecciona esa acción. • Conexión persistente de HA2: Seleccione esta casilla de verificación para habilitar la supervisión del enlace de datos de HA2 entre los peers de HA. • Transporte: Seleccione una de las siguientes opciones de transporte: – Ethernet: Utilice esta opción cuando los cortafuegos estén conectados opuesto con opuesto o a través de un conmutador (Ethertype 0x7261). El ajuste de copia de seguridad es opcional. La opción está deshabilitada de manera predeterminada. Palo Alto Networks Guía de referencia de interfaz web . como en la opción IP (puerto UDP 29281). • Máscara de red: Especifique la máscara de red de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. Configuración de HA (Continuación) Campo Descripción Enlace de datos (HA2) Especifique los siguientes ajustes para el enlace de datos principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA.0 • 107 . • Dirección IP: Especifique la dirección IPv4 o IPv6 de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. Si la ruta de HA2 se recupera. Puede configurar la opción Conexión persistente de HA2 en ambos dispositivos o solamente un dispositivo del par de HA. Si las direcciones IP de HA2 de los cortafuegos del par de HA están en la misma subred. Si la opción se establece únicamente en un dispositivo. En una configuración activa/pasiva. Sin embargo. – Acción: Seleccione la acción que debe realizarse si fallan los mensajes de supervisión basándose en el ajuste de umbral. El ajuste de copia de seguridad es opcional. debe utilizar esta acción.Habilitación de HA en el cortafuegos Tabla 56. solamente ese dispositivo enviará los mensajes de conexión persistente. se generará un log informativo. el campo Puerta de enlace debería quedarse en blanco. › Únicamente log: Seleccione esta opción para generar un mensaje del log Sistema de nivel crítico cuando se produzca un fallo de HA2 basándose en el ajuste de umbral. El ajuste de copia de seguridad es opcional. versión 7. El ajuste de copia de seguridad es opcional. Configure este ajuste para las interfaces de HA2 principal y de copia de seguridad. – IP: Utilice esta opción cuando se requiera el transporte de capa 3 (número de protocolo IP: 99). • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. • Habilitar sincronización de sesión: Habilite la sincronización de la información de la sesión con el cortafuegos pasivo y seleccione una opción de transporte. Si se produce un fallo basado en el umbral establecido. – UDP: Utilice esta opción para aprovechar el hecho de que la suma de comprobación se calcula sobre todo el paquete y no solamente el encabezado.

se producirá una conmutación por error en el enlace de copia de seguridad si hay un fallo en el enlace físico.000 ms). • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de rutas supervisados presentan fallos al responder. Nota: Cuando se configura un enlace de copia de seguridad de HA2.000-60. la conmutación por error también se producirá si fallan los mensajes de conexión persistente de HA basados en el umbral definido. Con la opción Conexión persistente de HA2 habilitada. si el administrador o un fallo de supervisión deshabilita la sincronización de sesiones. la propiedad de sesión y la configuración de sesión se establecerán como el dispositivo local y las nuevas sesiones se procesarán localmente durante la sesión. › Umbral (ms): Tiempo durante el cual los mensajes de conexión persistente han fallado antes de que se haya activado una de las acciones anteriores (rango: 5. En una configuración activa/activa. Pestaña Supervisión de enlaces y rutas (no disponible para el cortafuegos VM-Series en AWS) Supervisión de rutas Especifique lo siguiente: • Habilitado: Habilite la supervisión de rutas.000 ms.Habilitación de HA en el cortafuegos Tabla 56. valor predeterminado: 10.0 Palo Alto Networks . Utilice la supervisión de rutas para configuraciones de Virtual Wire. versión 7. 108 • Guía de referencia de interfaz web . La supervisión de rutas permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden. Configuración de HA (Continuación) Campo continuación Descripción › Ruta de datos divididos: Esta acción está diseñada para una configuración de HA activa/activa. capa 2 o capa 3 cuando se necesite la supervisión de otros dispositivos de red en caso de conmutación por error y la supervisión de enlaces no sea suficiente por sí sola.

El enrutador local debe ser capaz de enrutar la dirección al cortafuegos. Supervisión de enlaces Especifique lo siguiente: • Habilitado: Habilite la supervisión de enlaces.Habilitación de HA en el cortafuegos Tabla 56. haga clic en Añadir para el tipo de interfaz (Virtual Wire. Configuración de HA (Continuación) Campo Descripción Grupo de rutas Defina uno o más grupos de rutas para supervisar direcciones de destino específicas. VLAN o enrutador virtual en la lista de selección desplegable (la selección desplegable se rellena dependiendo de si añade un cable virtual. VLAN o Enrutador virtual) y especifique lo siguiente: • Nombre: Seleccione un cable virtual.000 milisegundos. Pestaña Configuración Activa/Activa Reenvío de paquetes Palo Alto Networks Seleccione la casilla de verificación Habilitar para permitir el reenvío de paquetes a través del enlace de HA3. Guía de referencia de interfaz web . versión 7. valor predeterminado: 200 milisegundos). • Condición de fallo: Seleccione si se produce un fallo cuando alguna o todas las direcciones de destino especificadas presentan fallos al responder. • Recuento de pings: Especifique el número de pings fallidos antes de declarar un fallo (rango: 3-10 pings. La supervisión de enlaces permite activar una conmutación por error cuando falla un enlace físico o un grupo de enlaces físicos. VLAN o ruta de enrutador virtual). • IP de origen: En el caso de interfaces de Virtual Wire y de VLAN. introduzca la dirección IP de origen utilizada en los paquetes sonda enviados al enrutador de siguiente salto (dirección IP de destino). valor predeterminado: 10 pings). • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de enlaces supervisados presentan fallos. Para añadir un grupo de enlaces. • Intervalo de ping: Especifique el intervalo entre los pings que se envían a la dirección de destino (rango: 200-60. • Habilitado: Habilite el grupo de enlaces. Esto es obligatorio para sesiones enrutadas asimétricamente que requieren la inspección de capa 7 para inspección de identificación de aplicaciones y usuarios (App-ID y Content-ID). La dirección IP de origen para grupos de rutas asociados a enrutadores virtuales se configurará automáticamente como la dirección IP de interfaz que se indica en la tabla de rutas como la interfaz de salida (egress) para la dirección IP de destino especificada. Para agregar un grupo de rutas. • Interfaces: Seleccione una o más interfaces Ethernet que se supervisarán. • Condición de fallo: Seleccione si se produce un fallo cuando alguno o todos los enlaces seleccionados presentan fallos.0 • 109 . especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre de grupo de enlaces. • IP de destino: Introduzca una o más direcciones de destino (separadas por comas) que se supervisarán. • Habilitado: Habilite el grupo de rutas. Grupos de enlaces Defina uno o más grupos de enlaces para supervisar enlaces Ethernet específicos.

Habilitación de HA en el cortafuegos Tabla 56. • Hash de IP: Determina el cortafuegos de configuración mediante un hash de la dirección IP de origen o dirección IP de origen y destino y un valor de inicialización de hash si se desea una mayor aleatorización.0 Palo Alto Networks . Sincronización de QoS Sincronice la selección de perfil de QoS en todas las interfaces físicas. La sincronización del enrutador virtual se puede utilizar cuando el enrutador virtual no está empleando protocolos de enrutamiento dinámico. Tiempo de espera de tentativa (seg. 110 • Guía de referencia de interfaz web . ya que carecería de las rutas necesarias (de forma predeterminada. • Primer paquete: Seleccione esta opción para que el cortafuegos que reciba el primer paquete de la sesión sea responsable de la inspección de la capa 7 de manera que admita identificación de aplicaciones y usuarios (App-ID y Content-ID). Esta es la configuración recomendada para reducir al mínimo el uso del enlace de reenvío de paquetes de HA3. Sin este temporizador. el cortafuegos de recuperación entraría en estado activo-secundario inmediatamente y bloquearía los paquetes. • Dispositivo principal: Garantiza que todas las sesiones se configuran en el cortafuegos principal. seleccione Dispositivo > Configuración < Sesión y la opción Habilitar trama gigante en la sección Configuración de sesión. Configuración de HA (Continuación) Campo Descripción Interfaz de HA3 Seleccione la interfaz para reenviar paquetes entre peers de HA cuando está configurada en el modo activo/activo. Este ajuste afecta a la sincronización de la configuración de QoS en la pestaña Red. • Módulo de IP: Selecciona un cortafuegos basado en la paridad de la dirección IP de origen. Sincronización de VR Fuerce la sincronización de todos los enrutadores virtuales configurados en los dispositivos de HA. Este temporizador define la duración que tendrá en ese estado. versión 7. Utilice esta opción cuando ambos dispositivos tengan velocidades de enlace similares y requieran los mismos perfiles de QoS en todas las interfaces físicas. Durante el periodo de tentativa.) Cuando falla un cortafuegos en un estado activo/activo de HA. Para habilitar las tramas gigantes (Jumbo Frames). debe activar las tramas gigantes (Jumbo Frames) en el cortafuegos y en todos los dispositivos de red intermediarios. Selección de propietario de sesión Especifique una de las siguientes opciones para seleccionar el propietario de sesión: • Dispositivo principal: Seleccione esta opción para que el cortafuegos principal activo gestione la inspección de capa 7 para todas las sesiones. Ambos dispositivos deben conectarse al mismo enrutador de siguiente salto a través de una red conmutada y deben utilizar únicamente rutas estáticas. el cortafuegos intentará crear adyacencias de ruta y completar su tabla de ruta antes de procesar los paquetes. este entrará en estado de tentativa. Configuración de sesión Seleccione el método para la configuración de sesión inicial. La política de QoS se sincroniza independientemente de este ajuste. Este ajuste se recomienda principalmente para operaciones de solución de problemas. 60 segundos). Cuando utilice la interfaz de HA3.

el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en la paridad de la dirección IP de los solicitantes de ARP. Palo Alto Networks Guía de referencia de interfaz web . a continuación. – Prioridad de dispositivo 0: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. El dispositivo con el valor más bajo tendrá la prioridad. Configuración de HA (Continuación) Campo Descripción Dirección virtual Haga clic en Añadir. – Dirección de conmutación por error si el estado de enlace no está operativo: Utilice la dirección de conmutación por error cuando el estado del enlace esté desactivado en la interfaz. seleccione la pestaña IPv4 o IPv6 y. vuelva a hacer clic en Añadir para introducir opciones para una dirección virtual de HA que utilizará el clúster activo/activo de HA. establezca la prioridad. puede desconectar el cable del dispositivo activo (o activo-principal) o puede hacer clic en este enlace para suspender el dispositivo activo. • Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo. Esta opción únicamente debería utilizarse cuando el cortafuegos y los host se encuentren en el mismo dominio de difusión.Habilitación de HA en el cortafuegos Tabla 56. el otro peer tomará el control. Debe configurar dos direcciones IP flotantes en la interfaz. • Uso compartido de carga de ARP: Introduzca una dirección IP que compartirá el par de HA y proporcionará servicios de puerta de enlace para hosts. Aspectos importantes que hay que tener en cuenta al configurar la HA • La subred utilizada para la IP local y del peer no debe utilizarse en ningún otro lugar del enrutador virtual. • Flotante: Introduzca una dirección IP que se desplazará entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. • Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color ámbar en el cortafuegos pasivo. Puede seleccionar el tipo de dirección virtual para que sea Flotante o Uso compartido de carga de ARP. Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen. CLI Para probar la conmutación por error. Si falla alguno de los cortafuegos. de modo que cada cortafuegos posea una y. También puede mezclar los tipos de direcciones virtuales del clúster: por ejemplo. puede utilizar el uso compartido de carga de ARP en la interfaz de LAN y una IP flotante en la interfaz de WAN. a continuación. – Prioridad de dispositivo 1: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. Seleccione Algoritmo de selección de dispositivo: – Módulo de IP: Si se selecciona esta opción. Si suspende el cortafuegos activo actual. Para volver a poner un dispositivo suspendido en un estado funcional. Comandos de operación Suspender dispositivo local Cambia a Make local device functional Hace que el dispositivo de HA entre en el modo de suspensión y deshabilita temporalmente las prestaciones de HA en el cortafuegos. – Hash de IP: Si se selecciona esta opción. el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en un hash de la dirección IP de los solicitantes de ARP. versión 7. la dirección IP flotante pasará al peer de HA.0 • 111 . El dispositivo con el valor más bajo tendrá la prioridad.

a continuación. Para sincronizar los cortafuegos desde la CLI del dispositivo activo. debe crear/asignar enrutadores virtuales adicionales y asignar interfaces. como el puerto Ethernet de 1 gigabit. utilice el comando request high-availability sync-to-remote running-config. Tenga en cuenta que la configuración del dispositivo desde el que introducirá la configuración sobrescribirá la configuración del dispositivo del peer. por lo que el dispositivo vecino no detecta ningún flap. puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de red. Por ejemplo. Aunque se desactive. Esto permite al administrador de vsys del departamento financiero gestionar las políticas de seguridad únicamente de dicho departamento. este puerto sigue permitiendo la transmisión. 112 • Guía de referencia de interfaz web . Definición de sistemas virtuales Dispositivo > Sistemas virtuales Los sistemas virtuales (vsys) son instancias de cortafuegos (virtuales) independientes que puede gestionar por separado dentro de un cortafuegos físico. pertenecen a todo un cortafuegos y a todos sus vsys. puede definir un vsys financiero y. Para cada vsys puede especificar un conjunto de interfaces de cortafuegos físicas y lógicas (incluidas VLAN y Virtual Wire) y zonas de seguridad. este verá el puerto como flap debido a su desactivación y posterior activación. y crear a su vez cuentas de administrador de vsys que permitan el acceso a vsys individuales. pero no permite la transmisión hasta que el dispositivo vuelve a activarse. En una configuración activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de SFP+ de 10 gigabits. El vsys predeterminado y el modo de sistemas virtuales múltiples determinan si los cortafuegos aceptan configuraciones específicas de vsys durante una compilación de plantilla: • Los cortafuegos que están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para todos los vsys definidos en la plantilla. cuando se produce una conmutación por error y el dispositivo activo cambia a un estado pasivo. definir políticas de seguridad que pertenezcan únicamente a ese departamento. Si cuenta con un software de supervisión en el dispositivo vecino. Si necesita segmentación de rutas para cada vsys. informes y funciones de visibilidad que proporciona el cortafuegos.0 Palo Alto Networks . el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el puerto. los vsys no controlan las funciones de control de dispositivos y niveles de red. Para optimizar la administración de políticas. VLAN y Virtual Wire. Las funciones de red. Este comportamiento es distinto al otros puertos. Cada vsys puede ser un cortafuegos independiente con su propia política de seguridad. interfaces y administradores. Si usa una plantilla de Panorama para definir vsys. • Sincronice los cortafuegos desde la interfaz web pulsando el botón Introducir configuración ubicado en el widget de HA en la pestaña Panel. seleccionando la configuración local deseada en el cuadro de selección de la izquierda y la configuración del peer en el cuadro de selección de la derecha. según corresponda.Definición de sistemas virtuales • Puede comparar la configuración de los cortafuegos local y peer mediante la herramienta Auditoría de configuraciones de la pestaña Dispositivo. puede establecer un vsys como predeterminado. un vsys le permite segmentan la administración de todas las políticas. versión 7. incluidos el enrutamiento estático y dinámico. si desea personalizar las características de seguridad para el tráfico asociado al departamento financiero.

• Las zonas son objetos dentro de vsys. Los cortafuegos PA-500 y PA-200 no admiten varios sistemas virtuales. PA-5000 y PA-7000 Series admiten múltiples sistemas virtuales. Antes de definir vsys. • Puede establecer destinos de logs remotos (SNMP. Nota: Si usa una plantilla de Panorama para enviar configuraciones vsys. guiones y guiones bajos. números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el nombre vsys en la plantilla debe coincidir con el nombre de vsys en el cortafuegos. Utilice únicamente letras. haga clic en Añadir y especifique la siguiente información. Esto añade una página Dispositivo > Sistemas virtuales. espacios. Tabla 57. tenga en cuenta lo siguiente: • Un administrador de vsys crea y gestiona todos los elementos necesarios para las políticas. versión 7. Tenga en cuenta que si no establece un vsys como predeterminado. Para obtener información sobre el reflejo de puertos de descifrado. Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia adecuada. Nombre Introduzca un nombre (de hasta 31 caracteres) para identificar el vsys. syslog y correo electrónico). aplicaciones. este campo no aparece. seleccione la casilla de verificación Capacidad de cortafuegos virtuales y haga clic en ACEPTAR. Configuración de sistemas virtuales Campo Descripción ID Introduzca un identificador que sea un número entero para el vsys. Palo Alto Networks Guía de referencia de interfaz web . debe habilitar primero la capacidad para varios vsys en el cortafuegos: seleccione Dispositivo > Configuración > Gestión. consulte Reflejo de puertos de descifrado. estos cortafuegos aceptan configuraciones no específicas de vsys. modifique la Configuración general. Permitir reenvío de contenido descifrado Seleccione esta casilla de verificación para permitir que el sistema virtual reenvíe el contenido descifrado a un servicio exterior durante el reflejo de puerto o el envío de archivos de WildFire para análisis. Consulte la hoja de datos de su modelo de cortafuegos para obtener información sobre el número de vsys admitidos. Los cortafuegos de las series PA-4000. Antes de habilitar múltiples vsys. Seleccione la página.Definición de sistemas virtuales • Los cortafuegos que no están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para el vsys predeterminado. • Puede configurar rutas de servicios globales (para todos los vsys en un cortafuegos) o específicas de un vsys (consulte “Definición de la configuración de servicios”). Antes de definir una política o un objeto de las políticas. servicios y perfiles para que estén disponibles para todos los vsys (compartido) o con un único vsys. seleccione el sistema virtual en la lista desplegable de la pestaña Políticas u Objetos. Nota: Si usa una plantilla de Panorama para configurar el vsys.0 • 113 .

• Reglas de cancelación de aplicaciones: número máximo de reglas de cancelación de aplicaciones.Configuración de puertas de enlace compartidas Tabla 57. una interfaz de capa 3 debe configurarse como puerta de enlace compartida. VLAN. Puede añadir uno o más objetos de cualquier tipo. Consulte “Configuración de proxy DNS”. • Reglas de portal cautivo: número máximo de reglas de portal cautivo (CP). Las puertas de enlace compartidas utilizan interfaces de capa 3 y. versión 7. Configuración de sistemas virtuales (Continuación) Campo Descripción Pestaña General Seleccione un objeto de proxy de DNS si desea aplicar reglas de proxy de DNS a este vsys.0 Palo Alto Networks . • Túneles VPN de sitio a sitio: número máximo de túneles de VPN de sitio a sitio. Enrutador virtual o Sistema virtual visible). como mínimo. • Reglas de descripción: número máximo de reglas de descifrado. • Reglas de QoS: número máximo de reglas de QoS. Las comunicaciones que se originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace compartida requieren una política similar para las comunicaciones que pasan entre dos sistemas virtuales. Para incluir objetos de un tipo especial. • Túneles de GlobalProtect concurrentes: número máximo de usuarios de GlobalProtect remotos concurrentes. Para eliminar un objeto. 114 • Guía de referencia de interfaz web . • Reglas de reenvío basados en políticas: número máximo de reglas de reenvío basado en políticas (PBF). • Reglas de seguridad: número máximo de reglas de seguridad. • Reglas de protección DoS: número máximo de reglas de denegación de servicio (DoS). haga clic en Añadir y seleccione el objeto del menú desplegable. Se utiliza un único enrutador virtual para enrutar el tráfico de todos los sistemas virtuales a través de la puerta de enlace compartida. selecciónelo y haga clic en Eliminar. Puede configurar una zona “Vsys externa” para definir las reglas de seguridad en el sistema virtual. seleccione la casilla de verificación de ese tipo (Interfaz. Configuración de puertas de enlace compartidas Dispositivo > Puertas de enlace compartidas Las puertas de enlace compartidas permiten a los sistemas virtuales múltiples compartir una única comunicación externa (tradicionalmente conectada a una red ascendente común como un proveedor de servicios de Internet). • Reglas de NAT: número máximo de reglas de NAT. Virtual Wire. Pestaña Recurso Especifique los límites de recursos permitidos para este vsys: • Límite de sesiones: número máximo de sesiones. El resto de sistemas virtuales se comunican con el mundo exterior a través de la interfaz física mediante una única dirección IP.

Tipos de páginas de respuesta personalizadas Tipo de página Descripción Página de bloqueo de antivirus Acceso bloqueado debido a una infección por virus. guiones y guiones bajos. Palo Alto Networks Guía de referencia de interfaz web . Página de bloqueo de aplicación Acceso bloqueado debido a que la aplicación está bloqueada por una política de seguridad. Página de bloqueo de bloqueo de archivo Acceso bloqueado debido a que el acceso al archivo está bloqueado. Página de notificación de errores de certificado SSL Notificación de que un certificado SSL se ha revocado. Página de opción continua de bloqueo de archivo Página para que los usuarios confirmen que la descarga debe continuar. Definición de páginas de respuesta personalizadas Dispositivo > Páginas de respuesta Las páginas de respuesta personalizadas son las páginas web que se muestran cuando un usuario intenta acceder a una URL. Consulte “Perfiles de bloqueo de archivo”. Página de ayuda de portal de GlobalProtect Página de ayuda personalizada para usuarios de GlobalProtect (accesible desde el portal). Página de bienvenida de GlobalProtect Página de bienvenida para los usuarios que intenten iniciar sesión en el portal de GlobalProtect. seleccione qué servidores DNS se deben utilizar para las consultas de nombre de dominio. Interfaces Seleccione casillas de verificación para las interfaces que utilizará la puerta de enlace compartida. Proxy DNS (Optativo) Si hay un proxy DNS configurado. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Puede proporcionar un mensaje HTML personalizado que se descargará y mostrará en lugar del archivo o la página web que ha solicitado. números. Solo se requiere el nombre. versión 7.0 • 115 . Página de inicio de sesión en el portal de GlobalProtect Página para los usuarios que intenten acceder al portal de GlobalProtect. espacios. Cada sistema virtual puede tener sus propias páginas de respuesta personalizadas. La siguiente tabla describe los tipos de páginas de respuesta personalizadas que admiten mensajes del cliente. Esta opción únicamente está disponible si las prestaciones de opción continua están habilitadas en el perfil de seguridad. Configuración de puertas de enlace compartidas Campo Descripción ID Identificador de la puerta de enlace (no utilizado por el cortafuegos). Tabla 59. Nombre Introduzca un nombre para la puerta de enlace compartida (de hasta 31 caracteres). Página de comodidad de portal cautivo Página para que los usuarios verifiquen su nombre de usuario y contraseña para máquinas que no formen parte del dominio.Definición de páginas de respuesta personalizadas Tabla 58. Utilice únicamente letras.

La página de bloque pedirá al usuario que establezca la configuración de búsqueda segura como estricta. • Para usar la página de respuesta predeterminada de una página personalizada cargada anteriormente. el archivo debe estar en formato HTML. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. versión 7.0 Palo Alto Networks . Por ejemplo. Seleccione o cancele la selección de la casilla de verificación Habilitar. haga clic en el enlace Exportar del tipo de página. Explore para ubicar la página. Página de bloqueo de URL Acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por una política de seguridad. Consulte la sección “Cancelación de administrador de URL” de la Tabla 1 para obtener instrucciones sobre cómo configurar la contraseña de cancelación. Google. haga clic en el enlace del tipo de página que desee cambiar y. haga clic en el enlace Habilitar del tipo de página. un usuario que piense que la página se bloqueó de manera inadecuada puede hacer clic en el botón Continuar para ir a la página. • Para exportar una página de respuesta HTML personalizada. Puede realizar cualquiera de las siguientes funciones bajo Páginas de respuesta: • Para importar una página de respuesta HTML personalizada. 116 • Guía de referencia de interfaz web . Tipos de páginas de respuesta personalizadas (Continuación) Tipo de página Descripción Página de exclusión de descifrado de SSL Página de advertencia para el usuario que indica que esta sesión se inspeccionará. Esto establecerá la página de bloqueo predeterminada como la nueva página activa.Definición de páginas de respuesta personalizadas Tabla 59. Se mostrará un mensaje para indicar si la importación se ha realizado con éxito. a continuación. Para que la importación tenga éxito. el usuario necesita una contraseña para cancelar la política que bloquea esta URL. • Para habilitar o deshabilitar la página Bloqueo de aplicación o las páginas Exclusión de descifrado de SSL. Página de continuación y cancelación de filtrado de URL Página con política de bloqueo inicial que permite que los usuarios deriven el bloqueo. Yahoo. Página de bloqueo de aplicación de búsqueda segura de filtro de URL Acceso bloqueado por una política de seguridad con un perfil de filtrado de URL que tiene habilitada la opción Forzaje de búsquedas seguras. El usuario verá esta página si se realiza una búsqueda con Bing. haga clic en Importar o Exportar. Con la página de cancelación. Yandex o YouTube y la configuración de cuenta de su explorador o motor de búsqueda no está establecida como estricta. elimine la página de bloqueo personalizada y realice una compilación.

versión 7. Realice cualquiera de las siguientes funciones en esta página: • Asistencia técnica: Utilice esta sección para ver la información de contacto de la asistencia técnica de Palo Alto Networks. haga clic en el nombre de la alerta. • Alertas de producción/Alertas de aplicación y amenazas: Estas alertas se recuperarán desde los servidores de actualización de Palo Alto Networks cuando se acceda a esta página o se actualice. a continuación. Las alertas de producción se publicarán si hay una recuperación a gran escala o un problema urgente relacionado con una determinada publicación. Tradicionalmente se utiliza como parte del proceso de evaluación. Para ver los detalles de las alertas de producción o las alertas de aplicación y amenazas. • Enlaces: Esta sección proporciona un enlace a la página de inicio de asistencia técnica. Puede ver la información de contacto de Palo Alto Networks. póngase en contacto con el ingeniero de sistemas de Palo Alto Networks o de un socio autorizado.Visualización de información de asistencia técnica Visualización de información de asistencia técnica Dispositivo > Asistencia técnica Panorama > Asistencia técnica La página de asistencia le permite acceder a opciones relacionadas con la asistencia técnica. • Archivo de asistencia técnica: Utilice el enlace Generar archivo de asistencia técnica para generar un archivo del sistema que pueda utilizar el grupo de asistencia técnica para facilitar la resolución de los problemas que pudiera estar experimentando el dispositivo. envíelo al departamento de asistencia técnica de Palo Alto Networks. donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el inicio de sesión de asistencia técnica. haga clic en el enlace Descargar archivo de volcado de estadísticas para recuperar el informe. según el número de serie de su dispositivo (cortafuegos o dispositivo de Panorama). Una vez generado el informe. • Archivo de volcado de estadísticas: Utilice el enlace Generar archivo de volcado de estadísticas para generar un conjunto de informes de XML que resuma el tráfico de red en los últimos 7 días. el estado de la asistencia técnica del dispositivo o activar su contrato usando un código de autorización. El ingeniero de sistemas de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un informe de riesgos y visibilidad de la aplicación (Informe AVR). Después de generar el archivo. haga clic en Descargar archivo de asistencia técnica para recuperarlo y.0 • 117 . El AVR resalta lo que se ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden existir. Para obtener más información sobre el informe AVR. Se publicarán alertas de aplicación y amenazas si se descubren alertas de importancia. la fecha de vencimiento y alertas de producto y seguridad de Palo Alto Networks. Palo Alto Networks Guía de referencia de interfaz web .

versión 7.0 Palo Alto Networks .Visualización de información de asistencia técnica 118 • Guía de referencia de interfaz web .

Capítulo 4 Configuración de red • “Definición de cables virtuales (Virtual Wires)” • “Configuración de la interfaz de un cortafuegos” • “Configuración de un enrutador virtual” • “Configuración de la compatibilidad de VLAN” • “Configuración de DHCP” • “Configuración de proxy DNS” • “Configuración de LLDP” • “Definiendo perfiles de gestiones de interfaz” • “Definición de perfiles de supervisión” • “Definición de perfiles de protección de zonas” • “Definición de perfiles LLDP” Palo Alto Networks Guía de referencia de interfaz web. versión 7.0 • 119 .

Este nombre aparece en la lista de cables virtuales cuando se configuran interfaces. Las subinterfaces de cable virtual deben utilizar etiquetas que no existen en la lista principal Tags permitidos. Si especifica varias etiquetas o intervalos. Si este ajuste no está activado. Si utiliza subinterfaces de cable virtual. Tabla 60. Si no selecciona esta casilla de verificación. deben estar separados por comas. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de la interfaz de un cortafuegos Las interfaces de cortafuegos (puertos) permiten a un cortafuegos conectar con otros dispositivos de red y con otras interfaces del cortafuegos.Definición de cables virtuales (Virtual Wires) Definición de cables virtuales (Virtual Wires) Red > Cables virtuales Utilice esta página para definir cables virtuales (Virtual Wire) después de especificar dos interfaces de cable virtual en el cortafuegos. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de cable virtual y no se han asignado a otro cable virtual. Utilice únicamente letras. Tenga en cuenta que los valores de etiqueta no se cambian en los paquetes de entrada o de salida. el estado del enlace no se propaga por el cable virtual. guiones y guiones bajos. el tráfico multicast se reenvía por el cable virtual. espacios. Un valor de cero indica tráfico sin etiquetar (opción predeterminada). El tráfico que se excluye del valor de la etiqueta se descarta. ¿qué componentes tienen? “Componentes comunes de las interfaces de cortafuegos” “Componentes comunes de interfaces de cortafuegos de la serie PA-7000” 120 • Guía de referencia de interfaz web. En los siguientes temas se describen los tipos de interfaz y cómo configurarlos: ¿Qué está buscando? Consulte ¿Qué son las interfaces de cortafuegos? “Resumen de las interfaces de cortafuegos” Acabo de empezar con las interfaces de cortafuegos. Interfaces Seleccione dos interfaces Ethernet de la lista de configuración de cable virtual. la lista Tags permitidos causará que todo el tráfico con las etiquetas de la lista se clasifique en el cable virtual principal. versión 7. Configuración de cable virtual (cable virtual) Campo Descripción Nombre de cable virtual Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31 caracteres). Envío del estado del enlace Seleccione esta casilla de verificación si desea desactivar el otro puerto en un cable virtual cuando se detecta un estado de enlace no operativo. Cortafuegos multicast Seleccione esta opción si desea poder aplicar reglas de seguridad al tráfico multicast. Etiquetas permitidas Introduzca el número de etiqueta (0 a 4094) o el intervalo de números de etiqueta (tag1-tag2) del tráfico permitido en el cable virtual.0 Palo Alto Networks . números.

el reflejo de descifrado. ¿dónde puedo encontrar información sobre cómo configurar un tipo de interfaz específico? Interfaces físicas (Ethernet) “Configure la interfaz de capa 2” “Configuración de la subinterfaz de capa 2” “Configure la interfaz de capa 3” “Configuración de la subinterfaz de capa 3” “Configuración de una interfaz de cable virtual (Virtual Wire)” “Configuración de una subinterfaz de cable virtual (Virtual Wire)” “Configuración de una interfaz de Tap” “Configuración de una interfaz de tarjeta de log” “Configuración de una subinterfaz de tarjeta de log” “Configuración de una interfaz de reflejo de descifrado” “Configuración de los grupos de interfaces de agregación” “Configuración una interfaz de agregación” “Configuración de una interfaz HA” Interfaces lógicas “Configuración de una interfaz VLAN” “Configuración de una interfaz de bucle invertido” “Configuración de una interfaz de túnel” ¿Busca más información? Consulte Networking (Redes) Resumen de las interfaces de cortafuegos Las configuraciones de interfaz en los puertos de datos del cortafuegos permiten que entre y salga el tráfico del cortafuegos.Resumen de las interfaces de cortafuegos ¿Qué está buscando? Consulte Sé bastante sobre interfaces de cortafuegos. Puede configurar interfaces de Ethernet como los siguientes tipos: Tap. Un cortafuegos de Palo Alto Networks puede funcionar en múltiples implementaciones de forma simultánea porque puede configurar las interfaces para admitir distintas implementaciones. puede configurar las interfaces de Ethernet en un cortafuegos para implementaciones de cable virtual. cobre coaxial y fibra óptica. versión 7. capa 2. el cable virtual (interfaz y Palo Alto Networks Guía de referencia de interfaz web. puede enviar y recibir tráfico a distintas velocidades de transmisión. Por ejemplo.0 • 121 . Las interfaces que admite el cortafuegos son: • Interfaces físicas: El cortafuegos tiene dos tipos de interfaces de Ethernet. la tarjeta de log (interfaz y subinterfaz). alta disponibilidad (HA). capa 3 y modo tap.

Componentes comunes de las interfaces de cortafuegos subinterfaz). Dirección IP Configure la dirección IPv4 o IPv6 de la interfaz de Ethernet. interfaces VLAN. Componentes comunes de las interfaces de cortafuegos La siguiente tabla describe los componentes de la página Red > Interfaces que son comunes para la mayoría de tipos de interfaz. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. puede seleccionar el tipo de interfaz: • Puntear • HA • Reflejo de descifrado (solo cortafuegos de las series PA-7000. Puede adjuntar un sufijo numérico para subinterfaces. también puede seleccionar el modo de direccionamiento de la interfaz: estático. interfaces agregadas. versión 7. esta columna indica si la interfaz es accesible y puede recibir tráfico a través de la red: • Verde: Configurado y ascendente • Rojo: Configurado pero desactivado o inactivo • Gris: No configurado Pase el ratón sobre un icono para mostrar información sobre herramientas que indique la velocidad de enlace y los ajustes dúplex en la interfaz. Componentes comunes de las interfaces de cortafuegos Campo Descripción Interfaz (nombre de interfaz) El nombre de interfaz viene predefinido y no puede cambiarlo. la capa 2 (interfaz y subinterfaz). de bucle invertido o de túnel. • Interfaces lógicas: Esto incluye interfaces de red de área local virtual (VLAN). 122 • Guía de referencia de interfaz web. protocolo de configuración de host dinámico (DHCP) o el protocolo punto a punto sobre Ethernet (PPPoE). Debe configurar la interfaz física antes de definir una VLAN o una interfaz de túnel. Tipo de interfaz Para las interfaces de Ethernet (Red > Interfaces > Ethernet). la capa 3 (interfaz y subinterfaz) y la Ethernet agregada. Los tipos de interfaz y las velocidades de transmisión disponibles pueden variar por modelo de hardware. PA-5000 y PA-3000) • Virtual Wire • Capa 2 • Capa 3 • Tarjeta de log (solo cortafuegos de la serie PA-7000) • Agregar Ethernet Perfil de gestión Seleccione un perfil que defina los protocolos (por ejemplo. Tabla 61. Para una descripción de componentes que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. VLAN. se elimina la asignación del enrutador virtual actual de la interfaz. Enrutador virtual Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”).0 Palo Alto Networks . SSH. Si selecciona Ninguno. consulte “Componentes comunes de interfaces de cortafuegos de la serie PA-7000”. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. interfaces de bucle invertido e interfaces de túnel. Para una dirección IPv4. interfaces de bucle invertido e interfaces de túnel. Estado de enlace Para interfaces Ethernet.

Si selecciona Ninguno. En los cortafuegos de la serie PA-7000. esta columna indica si se han habilitado las siguientes características: Protocolo de control de agregación de enlaces (LACP) Perfil de calidad del servicio (QoS) Protocolo de detección de nivel de enlace (LLDP) Perfil de flujo de red Cliente de protocolo de configuración de host dinámico (DHCP): Esta interfaz funciona como un cliente DHCP y recibir una dirección IP asignada dinámicamente. Componentes comunes de las interfaces de cortafuegos Campo Descripción Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. debe configurar un objeto VLAN. se elimina la asignación de VLAN de la interfaz. debe “Configuración de una interfaz de tarjeta de log” con un puerto de datos. versión 7. Características En las interfaces Ethernet. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Comentarios Una descripción de la función u objetivo de la interfaz. por ejemplo) para editarla.0 • 123 . Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Palo Alto Networks Guía de referencia de interfaz web. Para permitir el intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a través de una interfaz de VLAN. Si selecciona Ninguno.Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Tabla 61. se elimina la asignación de zona actual de la interfaz. VLAN Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Componentes comunes de interfaces de cortafuegos de la serie PA-7000 La siguiente tabla describe los componentes de la página Red > Interfaces > Ethernet que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. Haga clic en el botón Agregar interfaz para crear una interfaz o haga clic en el nombre de una interfaz existente (ethernet1/1.

Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. se elimina la asignación del servidor NetFlow actual de la interfaz. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Configuración de interfaz de capa 2 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. se elimina la asignación de zona actual de la interfaz. 124 • Guía de referencia de interfaz web. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Si selecciona Ninguno. haga clic en el nombre de una interfaz (ethernet1/1. por ejemplo) que no esté configurado y especifique la siguiente información.Configure la interfaz de capa 2 Tabla 62. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Interfaz (nombre de interfaz) Seleccione el nombre de una interfaz que esté asociada con la Ranura seleccionada. versión 7. Si selecciona Ninguno. VLAN Interfaz de Ethernet > Configurar Para habilitar el cambio entre las interfaces de Capa 2 o para habilitar el enrutamiento a través de una interfaz VLAN. Solo los cortafuegos de la serie PA-7000 tienen múltiples ranuras. seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. dúplex medio (Medio) o negociado automáticamente (Auto). seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Campo Descripción Ranura Seleccione el número de ranura (1-12) de la interfaz.0 Palo Alto Networks . Si selecciona Ninguno. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. se elimina la asignación de VLAN de la interfaz. Si usa Panorama para configurar una interfaz para cualquier otra plataforma de cortafuegos. seleccione la Ranura 1. Configure la interfaz de capa 2 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 2. Tipo de interfaz Interfaz Ethernet Seleccione Capa2. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Tabla 63.

haga clic en Añadir subinterfaz y especifique la siguiente información. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. seleccione una fila de interfaz física asociada. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. “Configure la interfaz de capa 2”. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. versión 7. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Si selecciona Ninguno. asígneles el mismo objeto VLAN a las subinterfaces. Configuración de la subinterfaz de capa 2 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado con una interfaz física de capa 2. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. Tabla 64. Palo Alto Networks Guía de referencia de interfaz web. Si selecciona Ninguno. Configuración de interfaz de capa 2 (Continuación) Campo Configurado en Descripción Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). se elimina la asignación actual de VLAN de la interfaz. Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). seleccione una VLAN. Si selecciona Ninguno. puede definir una interfaz lógica de capa 2 adicional (subinterfaz) para cada etiqueta VLAN asignada al tráfico que recibe el puerto. VLAN Para permitir el cambio entre las interfaces de capa 2 o para permitir el enrutamiento a través de una interfaz VLAN. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Configuración de subinterfaz de capa 2 Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado.Configuración de la subinterfaz de capa 2 Tabla 63. Para permitir el intercambio entre subinterfaces de capa 2. Comentarios Introduzca una descripción opcional para la subinterfaz. desactivada (abajo) o determinado automáticamente (auto). Para configurar una subinterfaz de capa 2. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. En el campo adyacente. se elimina la asignación de zona actual de la subinterfaz.0 • 125 .

Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es habilitado (Activado). Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. versión 7. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de la interfaz en Mbps (10. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande.Configure la interfaz de capa 3 Configure la interfaz de capa 3 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 3. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). se elimina la asignación de perfil actual de la interfaz. SSH. 126 • Guía de referencia de interfaz web. se elimina la asignación del servidor NetFlow actual de la interfaz. Perfil de gestión Interfaz de Ethernet > Avanzado > Otra información Seleccione un perfil que defina los protocolos (por ejemplo. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). dúplex medio (Medio) o negociado automáticamente (Auto). se elimina la asignación del enrutador virtual actual de la interfaz. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Enrutador virtual Interfaz de Ethernet > Configurar Seleccione una enrutador virtual o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Tabla 65. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. 100 o 1000) o modo automático. deshabilitado (Desactivado) o determinado automáticamente (Auto). haga clic en el nombre de una interfaz (ethernet1/1. Si selecciona Ninguno. MTU Interfaz de Ethernet > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado.0 Palo Alto Networks . se elimina la asignación de zona actual de la interfaz. Tipo de interfaz Interfaz Ethernet Seleccione Capa3. Configuración de interfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Si selecciona Ninguno. opción predeterminada 1500). por ejemplo) que no esté configurado y especifique la siguiente información. Si selecciona Ninguno.

Si la dirección es una subred. Palo Alto Networks Guía de referencia de interfaz web. versión 7. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. intervalos de IP. Si la casilla de verificación Habilitar Proxy NDP está seleccionada. Como OSPF utiliza multidifusión. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred.0 • 127 . este parámetro permite ajustarlo. Puede filtrar numerosas direcciones introduciendo una cadena de búsqueda y haciendo clic en el icono Aplicar filtro . El orden de las direcciones es indiferente. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y seleccione la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. una de estas direcciones es la misma que la traducción de origen en NPTv6. no es compatible con subinterfaces sin etiquetar. se asignará a la subinterfaz. Para eliminar una entrada. Otra variable de esta forma de clasificación es que todos los paquetes de multidifusión (multicast) y difusión se asignarán a la interfaz de base en lugar de a cualquiera de las subinterfaces. selecciónela y haga clic en Eliminar. PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de entrada (ingress) basada en el destino del paquete. Subinterfaz no etiquetada Interfaz de Ethernet > Avanzado > Otra información Especifica que todas las interfaces que pertenecen a esta interfaz de capa 3 no se etiqueten. a continuación. Si el destino es la dirección IP de una subinterfaz sin etiquetar. Esto también significa que un paquete que va en dirección inversa debe tener su dirección de origen traducida a la dirección IP de la subinterfaz sin etiquetar. En la respuesta ND. haga clic en Añadir y. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Interfaz de Ethernet > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. introduzca la dirección IP y MAC del vecino. Si un paquete no cabe en el MSS sin fragmentarse. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que seleccione Habilitar Proxy NDP si usa Traducción de prefijo de red IPv6 (NPTv6). Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione esta casilla de verificación para activar el proxy del protocolo de detección de vecinos (ND) para la interfaz.Configure la interfaz de capa 3 Tabla 65. haga clic en Añadir y. Interfaz de Ethernet > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. a continuación. Idealmente. el cortafuegos envía su propia dirección MAC para la interfaz y solicita todos los paquetes destinados para estas direcciones. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Dirección IP Interfaz de Ethernet > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). Dirección Interfaz de Ethernet > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6.

Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP.168. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). Para eliminar una dirección IP. Nombre de usuario Interfaz Ethernet > IPv4 > PPPoE > General Introduzca el nombre de usuario de la conexión de punto a punto. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP.2. 192. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. 128 • Guía de referencia de interfaz web. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Puede introducir múltiples direcciones IP para la interfaz. versión 7.0 Palo Alto Networks .Configure la interfaz de capa 3 Tabla 65. a continuación. • PPPoE: el cortafuegos utilizará la interfaz para el protocolo punto a punto sobre Ethernet (PPPoE). • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. • Seleccione un objeto de dirección existente de tipo máscara de red IP. • Dirección IPv4 Tipo = Estático IP Interfaz de Ethernet > IPv4 Haga clic en Añadir y. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente PPPoE o DHCP.0/24 para IPv4 o 2001:db8::/32 para IPv6). Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Negar Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Contraseña/ Confirmar contraseña Interfaz Ethernet > IPv4 > PPPoE > General Introduzca y confirme la contraseña del nombre de usuario. • Dirección IPv4 Tipo = PPPoE Habilitar Interfaz Ethernet > IPv4 > PPPoE > General Seleccione esta casilla de verificación para activar la interfaz para la terminación PPPoE. Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. seleccione la dirección y haga clic en Eliminar. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Para una dirección IPv4 Tipo Interfaz de Ethernet > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP.

un extremo PPPoE espera a que el concentrador de acceso envíe la primera trama. de forma predeterminada.0 • 129 . Autenticación Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione el protocolo de autenticación para las comunicaciones PPPoE: CHAP (Protocolo de autenticación por desafío mutuo). introduzca la cadena de servicio (no predeterminado). al que se conecta el cortafuegos (no predeterminado).2.0/24 para IPv4 o 2001:db8::/32 para IPv6). PAP (Protocolo de autenticación de contraseña) o. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Mostrar información de tiempo de ejecución de cliente PPPoE Interfaz Ethernet > IPv4 > PPPoE > General De forma opcional. en el proveedor de servicios de Internet.168. Métrica de ruta predeterminada Interfaz Ethernet > IPv4 > PPPoE > Avanzado Para la ruta entre el cortafuegos y el proveedor de servicios de Internet. se elimina la asignación del protocolo actual de la interfaz. Pasivo Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione la casilla de verificación para utilizar el modo pasivo. El nivel de prioridad aumenta conforme disminuye el valor numérico. Guía de referencia de interfaz web. Auto (el cortafuegos determina el protocolo). La información específica depende del ISP. 192. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. • Seleccione Ninguno para eliminar la asignación de dirección actual de la interfaz. Si selecciona Ninguno.Configure la interfaz de capa 3 Tabla 65. Servicio Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. introduzca una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Acceder a concentrador Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. haga clic en este enlace para abrir un cuadro de diálogo que muestre los parámetros que el cortafuegos ha negociado con el proveedor de servicios de Internet (ISP) para establecer una conexión. Dirección estática Interfaz Ethernet > IPv4 > PPPoE > Avanzado Realice uno de los siguientes pasos para especificar la dirección IP que ha asignado el proveedor de servicios de Internet (no predeterminado): Crear automáticamente ruta predeterminada que apunte al peer Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione esta casilla de verificación para crear automáticamente una ruta predeterminada que señale al peer PPPoE cuando se conecta. versión 7. En modo pasivo. optativa). introduzca el nombre del concentrador de acceso. • Dirección IPv4 Tipo = DHCP Habilitar Palo Alto Networks Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz.

incluidos el estado de concesión de DHCP. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. NIS. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. ID de interfaz Interfaz de Ethernet > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. la máscara de subred. Métrica de ruta predeterminada Interfaz de Ethernet > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. dominio. la configuración del servidor (DNS. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. El nivel de prioridad aumenta conforme disminuye el valor numérico. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. POP3 y SMTP). no predeterminada). NTP. Si deja este campo en blanco. 130 • Guía de referencia de interfaz web.0 Palo Alto Networks . versión 7.Configure la interfaz de capa 3 Tabla 65. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de Ethernet > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. la asignación de IP dinámica. 00:26:08:FF:FE:DE:4E:29). la puerta de enlace. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. WINS.

consulte “Habilitar anuncio de enrutador” en esta tabla. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Dirección Interfaz de Ethernet > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. ej. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. predeterminado 1). Habilitar detección de direcciones duplicadas Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y.) Si desea información sobre el RA. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección.Configure la interfaz de capa 3 Tabla 65. Tiempo alcanzable Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. pero cualquier conexión existente es válida hasta que caduque la duración válida.0 • 131 . Los campos restantes solo se aplican si habilita el RA. predeterminado 1). Intentos DAD Interfaz de Ethernet > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. La duración válida debe ser igual o superar la duración preferida. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. configure los otros campos de esta sección. a continuación. versión 7. Palo Alto Networks Guía de referencia de interfaz web. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. Cuando caduca la duración preferida. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. El valor predeterminado es de 2592000. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de Ethernet > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos.. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. 2001:400:f00::1/64). • Enviar anuncio de enrutador: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. predeterminado 30). El valor predeterminado es de 604800.

Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. 132 • Guía de referencia de interfaz web. Si establece las opciones de RA para cualquier dirección IP. Cuando acaba la duración. predeterminado no especificado). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Tiempo de retransmisión (ms) Interfaz de Ethernet > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. predeterminado no especificado).Configure la interfaz de capa 3 Tabla 65. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. consulte “Dirección” en esta tabla). de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Límite de salto Interfaz de Ethernet > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. MTU de enlace Interfaz de Ethernet > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Si desea establecer las opciones de RA para direcciones IP individuales. Mín. predeterminado 64). active esta casilla de verificación y configure los otros campos de esta sección. predeterminado no especificado). predeterminado 1800). Duración de enrutador (segundos) Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Máx. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. predeterminado 200). el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. predeterminado 600). Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de Ethernet > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. Esta opción es un ajuste global de la interfaz. versión 7. Tiempo alcanzable (ms) Interfaz de Ethernet > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Introduzca 0 si no desea ningún límite de salto.0 Palo Alto Networks .

Configure la interfaz de capa 3 Tabla 65.0 • 133 . Media (predeterminada) o Baja en relación con otros enrutadores del segmento. ajustes relacionados con DNS) a través de DHCPv6. Palo Alto Networks Guía de referencia de interfaz web. versión 7. Configuración gestionada Interfaz de Ethernet > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Comprobación de coherencia Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. el cliente utiliza este campo para seleccionar un enrutador preferido. El cortafuegos envía logs sobre cualquier incoherencia. Otras configuraciones Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Preferencia de enrutador Interfaz de Ethernet > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta.

Para configurar una subinterfaz de capa 3.0 Palo Alto Networks . Enrutador virtual Subinterfaz de capa3 > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Tabla 66. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Sistema virtual Subinterfaz de capa3 > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Si selecciona Ninguno. haga clic en Añadir subinterfaz y especifique la siguiente información. Perfil de gestión Subinterfaz de capa3 > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. se elimina la asignación de perfil actual de la interfaz. Si selecciona Ninguno. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. Perfil de flujo de red Subinterfaz de capa3 Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Etiqueta Subinterfaz de capa3 Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. Comentarios Subinterfaz de capa3 Introduzca una descripción opcional para la subinterfaz. Configuración de subinterfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Subinterfaz de capa3 El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys.Configuración de la subinterfaz de capa 3 Configuración de la subinterfaz de capa 3 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado como interfaz física de capa 3. En el campo adyacente. “Configure la interfaz de capa 3”. opción predeterminada 1500). seleccione una fila de interfaz física asociada. se elimina la asignación de zona actual de la subinterfaz. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. SSH. puede definir interfaces adicionales lógicas de capa 3 (subinterfaces). se elimina la asignación del enrutador virtual actual de la interfaz. Zona de seguridad Subinterfaz de capa3 > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. versión 7. MTU Subinterfaz de capa3 > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. 134 • Guía de referencia de interfaz web.

Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. Dirección Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. haga clic en Añadir y. de modo que el cortafuegos recibirá paquetes dirigidos a las direcciones en la lista. Si la dirección es una subred. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Idealmente. el cortafuegos envía su propia dirección MAC para la interfaz. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). El orden de las direcciones es indiferente. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Si un paquete no cabe en el MSS sin fragmentarse. a continuación. a continuación. Negar Palo Alto Networks Subinterfaz de capa3 > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. versión 7. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. Guía de referencia de interfaz web. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. introduzca la dirección IP y MAC del vecino.0 • 135 . intervalos de IP. este parámetro permite ajustarlo. Dirección IP Subinterfaz de capa3 > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). haga clic en Añadir y. selecciónela y haga clic en Eliminar. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Subinterfaz de capa3 > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz.Configuración de la subinterfaz de capa 3 Tabla 66. Si se selecciona la casilla de verificación Habilitar Proxy NDP. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred. Subinterfaz de capa3 > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic para activar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. En la respuesta ND. una de estas direcciones es la misma que la traducción de origen en NPTv6. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha gris). Para eliminar una entrada.

introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. NIS. Mostrar información de tiempo de ejecución de cliente DHCP Subinterfaz de capa3 > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv4 Tipo Subinterfaz de capa3 > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la subinterfaz: • Estática: debe especificar manualmente la dirección IP.2. • Dirección IPv4 Tipo = DHCP Habilitar Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. Para eliminar una dirección IP.0 Palo Alto Networks . • Dirección IPv4 Tipo = Estático IP Subinterfaz de capa3 > IPv4 Haga clic en Añadir y. WINS. Métrica de ruta predeterminada Subinterfaz de capa3 > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. la máscara de subred. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz.0/24 para IPv4 o 2001:db8::/32 para IPv6). La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente DHCP. la asignación de IP dinámica. a continuación. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. • Seleccione un objeto de dirección existente de tipo máscara de red IP. seleccione la dirección y haga clic en Eliminar. • Cliente DHCP: permite a la subinterfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. El nivel de prioridad aumenta conforme disminuye el valor numérico. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Puede introducir múltiples direcciones IP para la interfaz. la configuración del servidor (DNS. versión 7. NTP. la puerta de enlace. no predeterminada). 192. incluidos el estado de concesión de DHCP. dominio.168. Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. 136 • Guía de referencia de interfaz web.Configuración de la subinterfaz de capa 3 Tabla 66. POP3 y SMTP). Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP.

consulte “Habilitar anuncio de enrutador” en esta tabla.0 • 137 . – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. predeterminado 1). La duración válida debe ser igual o superar la duración preferida. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. • Usar ID de interfaz como parte de host: Active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. ej. Los campos restantes solo se aplican si habilita el RA.) Si desea información sobre el RA. Habilitar detección de direcciones duplicadas Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv6 Habilitar IPv6 en la interfaz Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. 2001:400:f00::1/64). • Difusión por proximidad: Haga clic aquí para incluir el enrutador mediante el nodo más cercano. ID de interfaz Subinterfaz de capa3 > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. a continuación. configure los otros campos de esta sección.Configuración de la subinterfaz de capa 3 Tabla 66. – Enlace activo: Haga clic aquí si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. El valor predeterminado es de 604800. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. • Enviar anuncio de enrutador: Haga clic aquí para habilitar el anuncio de enrutador (RA) para esta dirección IP. Si deja este campo en blanco. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. Palo Alto Networks Guía de referencia de interfaz web. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección.. El valor predeterminado es de 2592000. • Habilitar dirección en interfaz: Haga clic aquí para habilitar la dirección IPv6 en la interfaz. 00:26:08:FF:FE:DE:4E:29). Dirección Subinterfaz de capa3 > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Cuando caduca la duración preferida. Intentos DAD Subinterfaz de capa3 > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. – Autónomo: Haga clic aquí si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. pero cualquier conexión existente es válida hasta que caduque la duración válida. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. versión 7.

Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. predeterminado no especificado). 138 • Guía de referencia de interfaz web. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. predeterminado no especificado). MTU de enlace Subinterfaz de capa3 > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Si desea establecer las opciones de RA para direcciones IP individuales. predeterminado 30). predeterminado no especificado). debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Mín. predeterminado 200). El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. active esta casilla de verificación y configure los otros campos de esta sección. Si establece las opciones de RA para cualquier dirección IP. Tiempo alcanzable (ms) Subinterfaz de capa3 > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Habilitar anuncio de enrutador Subinterfaz de capa3 > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Introduzca 0 si no desea ningún límite de salto. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800.0 Palo Alto Networks . Límite de salto Subinterfaz de capa3 > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Tiempo alcanzable Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. Tiempo de retransmisión (ms) Subinterfaz de capa3 > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. predeterminado 1). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Máx. versión 7. predeterminado 64). consulte “Dirección” en esta tabla). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192.Configuración de la subinterfaz de capa 3 Tabla 66. Esta opción es un ajuste global de la interfaz. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. Intervalo NS (intervalo de solicitación de vecinos) Subinterfaz de capa3 > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. predeterminado 600).

ajustes relacionados con DNS) a través de DHCPv6.0 • 139 . 1. El cortafuegos envía logs sobre cualquier incoherencia. Comprobación de coherencia Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. Tipo de interfaz Interfaz Ethernet Seleccione Virtual Wire. Tabla 67. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. Un cable virtual no requiere ningún tipo de cambio en los dispositivos de red adyacentes. predeterminado 1800). Media (predeterminada) o Baja en relación con otros enrutadores del segmento. versión 7. el cliente utiliza este campo para seleccionar un enrutador preferido. Cuando acaba la duración. Palo Alto Networks Guía de referencia de interfaz web. permitiendo que pase todo el tráfico entre los puertos. Haga clic en el nombre de la interfaz y especifique la siguiente información.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 66. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Duración de enrutador (segundos) Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. primero debe definir las interfaces Virtual Wire. Configuración gestionada Subinterfaz de capa3 > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Configuración de una interfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet. También puede crear subinterfaces de cable virtual y clasificar el tráfico en función de una dirección o intervalo IP. tal y como se describe en el siguiente procedimiento y. 2. o una subred. Para configurar un cable virtual (Virtual Wire) en el cortafuegos. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. si la hubiera. Preferencia de enrutador Subinterfaz de capa3 > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. o solo el tráfico con etiquetas VLAN seleccionadas (no hay disponible ningún otro servicio de enrutamiento o conmutación). crear el cable virtual usando las interfaces que ha creado. a continuación. Identifique la interfaz que desee utilizar para el cable virtual en la pestaña Ethernet y elimínela de la zona de seguridad actual. Configuración de interfaces de cable virtual (Virtual Wire) Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Otras configuraciones Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo.

Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”).0 Palo Alto Networks . se elimina la asignación del cable virtual actual de la interfaz.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 67. se elimina la asignación de zona actual de la interfaz. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Si selecciona Ninguno. Configuración de interfaces de cable virtual (Virtual Wire) (Continuación) Campo Configurado en Descripción Virtual Wire Interfaz de Ethernet > Configurar Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. desactivada (abajo) o determinado automáticamente (auto). seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. dúplex medio (Medio) o negociado automáticamente (Auto). Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. versión 7. Si selecciona Ninguno. 140 • Guía de referencia de interfaz web. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba).

Para añadir una subinterfaz de cable virtual. Para configurar una interfaz de Tap. Comentarios Introduzca una descripción opcional para la subinterfaz. Palo Alto Networks Guía de referencia de interfaz web. se elimina la asignación de servidor NetFlow actual de la subinterfaz. por ejemplo) que no esté configurada y especifique la siguiente información. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. aplicar políticas de seguridad para el tráfico que coincida con los criterios definidos. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Si selecciona Ninguno. “Configuración de una interfaz de cable virtual (Virtual Wire)”. Si selecciona Ninguno.Configuración de una subinterfaz de cable virtual (Virtual Wire) Configuración de una subinterfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el tráfico según las etiquetas VLAN o una combinación de etiqueta VLAN y clasificador IP. En el campo adyacente. versión 7. asignar el tráfico etiquetado a una zona y sistema virtual diferentes y. Configuración de subinterfaces de cable virtual (Virtual Wire) Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona.0 • 141 . se elimina la asignación del enrutador virtual actual de la subinterfaz. Virtual Wire Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). Clasificador IP Haga clic en Añadir para introducir una dirección IP. haga clic en el nombre de una interfaz (ethernet1/1. se elimina la asignación de zona actual de la subinterfaz. intervalo IP o subred para clasificar el tráfico en esta subinterfaz de cable virtual. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Si selecciona Ninguno. Configuración de una interfaz de Tap Red > Interfaces > Ethernet Puede usar una interfaz de Tap para supervisar el tráfico en un puerto. haga clic en Añadir subinterfaz y especifique la siguiente información. Tabla 68. seleccione una fila de interfaz física asociada. a continuación. Etiqueta Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow.

Configuración de una interfaz de tarjeta de log Tabla 69. versión 7. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. se elimina la asignación de zona actual de la interfaz. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). haga clic en el nombre de una interfaz (ethernet1/16. Descripción Note: El cortafuegos de la serie PA-4000 no admite esta característica. dúplex medio (Medio) o negociado automáticamente (Auto). se produce un error de compilación. un puerto de datos debe tener un tipo de interfaz Tarjeta de log. desactivada (abajo) o determinado automáticamente (auto). Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Configuración de una interfaz de tarjeta de log Red > Interfaces > Ethernet En un cortafuegos PA-7000. Solo un puerto del cortafuegos puede ser una interfaz de tarjeta de log. correo electrónico. 142 • Guía de referencia de interfaz web. Tipo de interfaz Interfaz Ethernet Seleccione Tap. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Si activa el reenvío de logs pero no configura ninguna interfaz como la tarjeta de log. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Protocolo simple de administración de redes (SNMP) y reenvío de archivos WildFire. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Si selecciona Ninguno. por ejemplo) que no esté configurada y especifique la siguiente información. Si selecciona Ninguno. Un puerto de datos de tarjeta de log realiza el reenvío de logs para syslog. Para configurar una interfaz de tarjeta de log. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Esto se debe a que las funciones de tráfico y logs de esta plataforma superan las del puerto de gestión. Configuración de interfaz de Tap Campo Configurado en Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. se elimina la asignación del servidor NetFlow actual de la interfaz.0 Palo Alto Networks .

Configuración de una subinterfaz de tarjeta de log Tabla 70. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). haga clic en Añadir subinterfaz y especifique la siguiente información. Configuración de la subinterfaz de tarjeta de log Campo Configurado en Descripción Nombre de interfaz Subinterfaz LPC El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz de tarjeta log que ha seleccionado. Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Configuración de una subinterfaz de tarjeta de log Red > Interfaces > Ethernet Para añadir una subinterfaz de tarjeta de log. Lo mejor es hacer que la etiqueta sea igual al número de subinterfaz para una mayor facilidad de uso. Configuración de la interfaz de tarjeta de log Campo Configurado en Descripción Ranura Interfaz Ethernet Seleccione el número de ranura (1-12) de la interfaz. • Puerta de enlace predeterminada: Dirección IPv4 de la puerta de enlace para el puerto. En el campo adyacente. • Máscara de red: Máscara de red para la dirección IPv4 del puerto. • Dirección IP: Dirección IPv6 del puerto. desactivada (abajo) o determinado automáticamente (auto).0 • 143 . IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. defina lo siguiente: Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Tipo de interfaz Interfaz Ethernet Seleccione Tarjeta de log. IPv6 • Dirección IP: Dirección IPv4 del puerto. Palo Alto Networks Guía de referencia de interfaz web. dúplex medio (Medio) o negociado automáticamente (Auto). versión 7. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Comentarios Subinterfaz LPC Introduzca una descripción opcional para la interfaz. Etiqueta Subinterfaz LPC Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. “Configuración de una interfaz de tarjeta de log”. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. • Puerta de enlace predeterminada: Dirección IPv6 de la puerta de enlace predeterminada para el puerto. seleccione una fila de interfaz física asociada. Tabla 71.

IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. puede hacer clic en el enlace Sistemas virtuales para añadir un nuevo vsys. esa interfaz se usa como interfaz fuente para todos los servicios que envía logs (syslog. El reflejo del puerto de descifrado solo está disponible en los cortafuegos de las series PA-7000. Configuración de una interfaz de reflejo de descifrado Red > Interfaces > Ethernet Para utilizar la función Reflejo de puerto de descifrado. SNMP) desde la tarjeta de log. Cuando una subinterfaz LPC se asigna a vsys.Configuración de una interfaz de reflejo de descifrado Tabla 71. Alternativamente. • Puerta de enlace predeterminada: La dirección IPv4 del puerto de enlace predeterminado para el puerto. PA-5000 y PA-3000. por ejemplo) que no esté configurada y especifique la siguiente información. Configuración de la subinterfaz de tarjeta de log (Continuación) Campo Configurado en Descripción Sistema virtual Subinterfaz LPC > Configurar Seleccione el sistema virtual (vsys) al que se asigna la subinterfaz de tarjeta de procesamiento de log (LPC). 144 • Guía de referencia de interfaz web. versión 7. • Puerta de enlace predeterminada: La dirección IPv6 del puerto de enlace predeterminado al puerto.0 Palo Alto Networks . defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. correo electrónico. debe seleccionar el tipo de la interfaz Reflejo de descifrado. haga clic en el nombre de una interfaz (ethernet1/1. Aquellas organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP) necesitan esta función. Para configurar una interfaz de reflejo de descifrado. defina lo siguiente: IPv6 • Dirección IP: Dirección IPv4 del puerto. Esta función permite crear una copia del tráfico descifrado desde un cortafuegos y enviarla a una herramienta de recopilación de tráfico que pueda recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivo o análisis. Para permitir la función. • Dirección IP: Dirección IPv6 del puerto. debe adquirir e instalar la licencia gratuita. • Máscara de red: La máscara de red para la dirección IPv4 del puerto.

0 • 145 . Palo Alto Networks Guía de referencia de interfaz web. Comentarios Introduzca una descripción opcional para la interfaz. una vez creado el grupo. enrutador virtual. Puede agregar XFP de 1 Gbps o 10 Gbps y Ethernet de SPF+. todas las interfaces deben ser del mismo tipo. realice operaciones como configurar parámetros de capa 2 o capa 3 en el grupo de agregación en lugar de en interfaces individuales. PA-4000. cable virtual. perfil de gestión. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). • Un grupo puede tener hasta 8 interfaces. Las siguientes propiedades pertenecen a la interfaz lógica. • Si activa LACP para un grupo de agregación. los enlaces de 1 Gbps deben ser completamente de cobre o de fibra. asigne interfaces al grupo según lo descrito en “Configuración una interfaz de agregación”. Por lo tanto. desactivada (abajo) o determinado automáticamente (auto).1AX. PA-4000 y PA-5000. La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos de las series PA-500. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). A continuación. direcciones IP. PA-3000. Configuración de los grupos de interfaces de agregación Red > Interfaces > Ethernet Un grupo de interfaces de agregación le permite combinar varias interfaces Ethernet usando la agregación de enlace IEEE 802. dúplex medio (Medio) o negociado automáticamente (Auto).Configuración de los grupos de interfaces de agregación Tabla 72. En un grupo. Para configurar un grupo de agregación. la compatibilidad se limita a las interfaces HA3. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. • Puede usar grupos de agregación para el escalado de la redundancia y rendimiento en el enlace HA3 (reenvío de paquetes) en implementaciones de HA Activo/Activo. Configuración de interfaz de reflejo de descifrado Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. entradas de Protocolo de resolución de direcciones (ARP) y entradas de Detección de vecinos (ND). PA-5000 y PA-7000. haga clic en Añadir grupo de agregación y especifique la información en la siguiente tabla. Las siguientes reglas se aplican a los grupos de agregación: • En un grupo. de capa 2 capa 3. cable virtual. interfaces de capa 2 o capa 3. No puede habilitar LACP para interfaces de cable virtual. Tipo de interfaz Seleccione Reflejo de descifrado. La compatibilidad para HA3 está limitada a los cortafuegos de las series PA-500. • Los grupos de agregación admiten HA. no a las interfaces subyacentes físicas: asignaciones de configuración (sistema virtual. VLAN. La interfaz de agregación que cree se convertirá en una interfaz lógica. versión 7. configuración de Protocolo de control de agregación de enlace (LACP). zona de seguridad). PAN-OS valida esto durante la operación de compilación. PA-3000. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad.

IPv4 o IPv6 y Avanzado como se describe en la Tabla 65. Modo Agregar interfaz Ethernet > LACP Seleccione el modo de LACP del cortafuegos.1AX (al menos tres segundos). De lo contrario. • Activo: el cortafuegos consulta de forma activa el estado del LACP (disponible o sin respuesta) de dispositivos de peer. cuando una interfaz tenga un fallo. y configurar las pestañas Configurar y Avanzado tal y como se describe en la Tabla 67. • Capa 2: Puede seleccionar un Perfil de flujo de red. Note: El cortafuegos de la serie PA-4000 no admite esta característica. En el campo adyacente introduzca un sufijo numérico (1-8) para identificar el grupo agregado. que controla los requisitos de configuración y opciones que quedan: • HA: solo debe seleccionar esta opción si la interfaz es un enlace de HA3 entre dos cortafuegos en una implementación activa/activa. configurar las pestañas Configurar. 146 • Guía de referencia de interfaz web. versión 7. Si selecciona Ninguno se eliminará la asignación del servidor actual NetFlow desde el grupo de interfaz agregado.0 Palo Alto Networks . • Pasivo (predeterminado): el cortafuegos responde pasivamente a las consultas de estado del LACP procedentes de los dispositivos peer. quiere que el cortafuegos cambie a una interfaz operativa en 1 segundo. Tipo de interfaz Agregar interfaz Ethernet Seleccione el tipo de interfaz. Agregar configuración de grupo de interfaz Campo Configurado en Descripción Nombre de interfaz Agregar interfaz Ethernet El campo Nombre de interfaz de solo lectura se define como ae. Comentarios Agregar interfaz Ethernet Introduzca una descripción opcional para la interfaz. • Virtual Wire: También puede seleccionar un Perfil de flujo de red. • Rápido: cada segundo • Lento: cada 30 segundos (este es el ajuste predeterminado) Conmutación rápida Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si. también puede configurar la pestaña LACP como se describe a continuación.Configuración de los grupos de interfaces de agregación Tabla 73. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Perfil de flujo de red Agregar interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. LACP está deshabilitada de manera predeterminada. se recomienda que uno sea activo y otro pasivo. así como configurar las pestañas LACP que se describen abajo. • Capa 3: También puede seleccionar un Perfil de flujo de red. Velocidad de transmisión Agregar interfaz Ethernet > LACP Seleccione la velocidad con la que el cortafuegos intercambia consultas y responde a los dispositivos peer. También puede seleccionar un Perfil de flujo de red y configurar la pestaña LACP como se describe abajo. configurar las pestañas Configurar y Avanzado como se en la Tabla 63. LACP no puede funcionar si los dos peers son pasivos. el fallo se produce a la velocidad estándar definida en IEEE 802. Habilitar LACP Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si desea habilitar el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Entre cualquier par de peers LACP.

en una implementación activa/pasiva. el cortafuegos utiliza las prioridades del puerto de las interfaces para determinar cuáles están en modo de espera. Dirección MAC Palo Alto Networks Agregar interfaz Ethernet > LACP Si ha activado Usar la misma dirección MAC del sistema. de forma que PAN-OS las asigne automáticamente. Debe verificar que la dirección es única globalmente. Si el número de interfaces asignadas supera el número de interfaces activas. usando la misma dirección MAC del sistema para los cortafuegos. versión 7. el ID del sistema de cada uno puede ser igual o distinto. Puede establecer prioridades de puerto al configurar interfaces individuales para el grupo. En este caso. dependiendo de si asigna o no la misma dirección MAC. Puertos máx. El valor no puede superar el número de interfaces asignadas al grupo. El intervalo es 1-65535 y el valor predeterminado es 32768. Guía de referencia de interfaz web. Cuando los peers del LACP (también en modo de HA) se virtualizan (apareciendo para la red como un dispositivo único). el LACP utiliza los valores de ID del sistema para determinar qué cancela al otro con respecto a las prioridades del puerto. Observe que cuanto más bajo es el número. (Los cortafuegos de una implementación activa/activa requieren direcciones MAC únicas. usando la dirección MAC única de cada cortafuegos. Si el par del cortafuegos y el par de peers tienen valores de prioridad del sistema idénticos.) LACP utiliza la dirección MAC para derivar un ID de sistema a cada peer del LACP. Sin embargo.0 • 147 . seleccione una dirección MAC generada por el sistema. que aparece a continuación). se recomienda minimizar la latencia durante el fallo. Misma dirección MAC del sistema para modo ActivoPasivo de HA Agregar interfaz Ethernet > LACP Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. Agregar configuración de grupo de interfaz (Continuación) Campo Configurado en Descripción Prioridad del sistema Agregar interfaz Ethernet > LACP Número que determina si el cortafuegos o su peer sobrescribe el otro con respecto a las prioridades del puerto (consulte la descripción del campo Puertos máx. para ambos cortafuegos del par de HA.Configuración de los grupos de interfaces de agregación Tabla 73. Si los cortafuegos no están en modo de HA activo/pasivo. la prioridad de puerto cambia entre los peers del LACP y el cortafuegos que se activa. que será mayor o menor que el ID del sistema de los peers del LACP. PAN-OS ignora este campo. Cuando los peers del LACP no se virtualizan. Si los cortafuegos de HA tienen direcciones MAC únicas. cuando el fallo se produzca en los cortafuegos. se recomienda minimizar la latencia del fallo. más alta es la prioridad. ambos tendrán el mismo ID del sistema. Agregar interfaz Ethernet > LACP Número de interfaces (1-8) que pueden ser activas en cualquier momento en un grupo de agregación del LACP. es posible que uno tenga un ID del sistema mayor que los peers del LACP y el otro un ID del sistema menor. Si ambos cortafuegos tienen la misma dirección MAC. o introduzca la suya propia.

En este caso. “Configuración de los grupos de interfaces de agregación” y haga clic en el nombre de la interfaz que asignará al grupo agregado. Un grupo de agregación podría tener más interfaces de las que admite en los estados activos. Configuración de una interfaz HA Red > Interfaces > Ethernet Todas las interfaces de alta disponibilidad (HA) tienen una función específica: una interfaz se utiliza para la sincronización de la configuración y latidos y la otra interfaz se utiliza para la sincronización del estado. 148 • Guía de referencia de interfaz web. Tabla 74. el parámetro Puertos máx. Configuración de interfaz de Ethernet de agregación Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo.Configuración una interfaz de agregación Configuración una interfaz de agregación Red > Interfaces > Ethernet Para configurar una interfaz Ethernet agregado. la prioridad de puerto asignada a cada interfaz determina si está activa o en espera. versión 7. se recomienda seleccionar la misma Velocidad de enlace y Dúplex de enlace para cada interfaz del grupo. el cortafuegos puede usar una tercera interfaz de HA para reenviar los paquetes. Para los valores que no coinciden. Prioridad de puerto LACP El cortafuegos solo utiliza este campo si ha activado el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Tipo de interfaz Seleccione Agregar Ethernet. Agregar grupo Asigne la interfaz a un grupo de agregación. aunque cambiará el tipo a Agregar Ethernet cuando la configure. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. dúplex medio (Medio) o negociado automáticamente (Auto). Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). determina el número de interfaces activas). Si se activa la alta disponibilidad activa/activa. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). Comentarios Introduzca una descripción opcional para la interfaz. la operación de compilación muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad más alta y dúplex completo. desactivada (abajo) o determinado automáticamente (auto). (En la configuración del grupo de agregación. El intervalo es 1-65535 y el valor predeterminado es 32768. La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregación (por ejemplo. Capa3). Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. más alta es la prioridad. Cuanto más bajo es el valor numérico. Si activa el protocolo de control de agregación de enlaces (LACP) para el grupo de agregación.0 Palo Alto Networks . Especifique la siguiente información para la interfaz.

desactivada (abajo) o determinado automáticamente (auto). En el caso de cortafuegos que no incluyen puertos exclusivos. Comentarios Interfaz de VLAN Introduzca una descripción opcional para la interfaz. Configuración de interfaz HA Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). Perfil de flujo de red Interfaz de VLAN Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Palo Alto Networks Guía de referencia de interfaz web. dúplex medio (Medio) o negociado automáticamente (Auto). En el campo adyacente. Configuración de una interfaz VLAN Red > Interfaces > VLAN Una interfaz VLAN puede proporcionar enrutamiento a una red de capa 3 (IPv4 e IPv6). escriba un sufijo numérico (1-9999) para identificar la interfaz. Para configurar una interfaz de HA. consulte “Habilitación de HA en el cortafuegos”. haga clic en el nombre de una interfaz (ethernet1/1. por ejemplo) que no esté configurada y especifique la siguiente información. Puede añadir uno o más puertos de Ethernet de capa 2 (consulte “Configure la interfaz de capa 2”) a una interfaz VLAN. Si desea más información sobre HA. se elimina la asignación del servidor NetFlow actual de la interfaz.0 • 149 . Tabla 75. Tipo de interfaz Seleccione HA. Note: El cortafuegos de la serie PA-4000 no admite esta característica. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Configuración de interfaz VLAN Campo Configurado en Descripción Nombre de interfaz Interfaz de VLAN El campo Nombre de interfaz de solo lectura se define como vlan. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. versión 7.Configuración de una interfaz VLAN Algunos cortafuegos de Palo Alto Networks incluyen puertos físicos exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de datos). debe especificar los puertos de datos que se utilizarán para HA. Tabla 76. Si selecciona Ninguno. Comentarios Introduzca una descripción opcional para la interfaz. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo).

Zona de seguridad Interfaz de VLAN > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si un paquete no cabe en el MSS sin fragmentarse. Dirección IP Interfaz de VLAN > Avanzado > Entradas de ARP Para añadir una o más entradas de protocolo de resolución de direcciones (ARP) estáticas. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción VLAN Interfaz de VLAN > Configurar Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva (consulte “Configuración de la compatibilidad de VLAN”). Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. haga clic en Añadir y. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. se elimina la asignación del enrutador virtual actual de la interfaz.0 Palo Alto Networks . Ajustar TCP MSS Interfaz de VLAN > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Si selecciona Ninguno. introduzca la dirección IPv6 y MAC del vecino. Interfaz de VLAN > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). se elimina la asignación de VLAN de la interfaz. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. MTU Interfaz de VLAN > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. SSH. Sistema virtual Interfaz de VLAN > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. se elimina la asignación de zona actual de la interfaz. Si selecciona Ninguno. a continuación.Configuración de una interfaz VLAN Tabla 76. Perfil de gestión Interfaz de VLAN > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. versión 7. selecciónela y haga clic en Eliminar. Enrutador virtual Interfaz de VLAN > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). se elimina la asignación de perfil actual de la interfaz. haga clic en Añadir e introduzca una dirección IP y la dirección (Media Access Control o MAC) de su hardware asociado y seleccione una interfaz de capa 3 que pueda acceder a la dirección del hardware. este parámetro permite ajustarlo. Si selecciona Ninguno. opción predeterminada 1500). el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Para eliminar una entrada. Dirección MAC Interfaz Dirección IPv6 Dirección MAC 150 • Guía de referencia de interfaz web. Si selecciona Ninguno.

Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar Proxy NDP Interfaz de VLAN > Avanzado > Proxy NDP Seleccione para habilitar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. a continuación. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz.0/24 para IPv4 o 2001:db8::/32 para IPv6).0 • 151 . El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. una de estas direcciones es la misma que la traducción de origen en NPTv6. 192. • Dirección IPv4 Tipo = Estático IP Interfaz de VLAN > IPv4 Haga clic en Añadir y. Idealmente.168. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. Si se selecciona la casilla de verificación Habilitar Proxy NDP. • Seleccione un objeto de dirección existente de tipo máscara de red IP. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. En la respuesta ND. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Puede introducir múltiples direcciones IP para la interfaz. Dirección Interfaz de VLAN > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/ activo no admiten el cliente DHCP.Configuración de una interfaz VLAN Tabla 76. el cortafuegos envía su propia dirección MAC para la interfaz y básicamente solicita todos los paquetes destinados para estas direcciones. Palo Alto Networks Guía de referencia de interfaz web. seleccione la dirección y haga clic en Eliminar. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha verde). intervalos de IP.2. Si la dirección es una subred. Para eliminar una dirección IP. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Para una dirección IPv4 Tipo Interfaz de VLAN > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. versión 7. El orden de las direcciones es indiferente. Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. Negar Interfaz de VLAN > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección.

el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. NTP. 00:26:08:FF:FE:DE:4E:29). Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción • Dirección IPv4 Tipo = DHCP Habilitar Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. versión 7. POP3 y SMTP). la asignación de IP dinámica. la puerta de enlace. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de VLAN > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. WINS. Crear automáticament e ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. incluidos el estado de concesión de DHCP. ID de interfaz Interfaz de VLAN > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. El nivel de prioridad aumenta conforme disminuye el valor numérico.0 Palo Alto Networks . dominio. NIS. no predeterminada).Configuración de una interfaz VLAN Tabla 76. 152 • Guía de referencia de interfaz web. Si deja este campo en blanco. la configuración del servidor (DNS. la máscara de subred. Métrica de ruta predeterminada Interfaz de VLAN > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP.

(También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. consulte “Habilitar anuncio de enrutador” en esta tabla. • Enviar RA: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. predeterminado 30). predeterminado 1). El valor predeterminado es de 604800. predeterminado 1). Tiempo alcanzable Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos.) Si desea información sobre el RA.0 • 153 . El valor predeterminado es de 2592000. La duración válida debe ser igual o superar la duración preferida. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. Cuando caduca la duración preferida. a continuación. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. 2001:400:f00::1/64). Intentos DAD Interfaz de VLAN > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. Los campos restantes solo se aplican si habilita el RA. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. ej. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de VLAN > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. Palo Alto Networks Guía de referencia de interfaz web. pero cualquier conexión existente es válida hasta que caduque la duración válida. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Dirección Interfaz de VLAN > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. Habilitar detección de direcciones duplicadas Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. versión 7.Configuración de una interfaz VLAN Tabla 76. configure los otros campos de esta sección. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6.. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida.

debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. predeterminado 600). Tiempo alcanzable (ms) Interfaz de VLAN > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Preferencia de enrutador Interfaz de VLAN > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. predeterminado no especificado). MTU de enlace Interfaz de VLAN > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. Mín. Si establece las opciones de RA para cualquier dirección IP. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. predeterminado 1800). Límite de salto Interfaz de VLAN > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. Tiempo de retransmisión (ms) Interfaz de VLAN > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Si desea establecer las opciones de RA para direcciones IP individuales. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. predeterminado no especificado). Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. active esta casilla de verificación y configure los otros campos de esta sección. Duración de enrutador (segundos) Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. Introduzca 0 si no desea ningún límite de salto. 154 • Guía de referencia de interfaz web. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000.0 Palo Alto Networks .Configuración de una interfaz VLAN Tabla 76. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. Esta opción es un ajuste global de la interfaz. Cuando acaba la duración. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de VLAN > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. predeterminado 64). predeterminado 200). Máx. predeterminado no especificado). el cliente utiliza este campo para seleccionar un enrutador preferido. versión 7. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. consulte “Dirección” en esta tabla).

Configuración de una interfaz de bucle invertido Red > Interfaces > Bucle invertido Tabla 77. Si selecciona Ninguno. Palo Alto Networks Guía de referencia de interfaz web. Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo.0 • 155 . se elimina la asignación de perfil actual de la interfaz. Si selecciona Ninguno. Enrutador virtual Interfaz de bucle invertido > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Note: El cortafuegos de la serie PA-4000 no admite esta característica. Si selecciona Ninguno. Perfil de flujo de red Interfaz de bucle invertido Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz.Configuración de una interfaz de bucle invertido Tabla 76. ajustes relacionados con DNS) está disponible a través de DHCPv6. Sistema virtual Interfaz de bucle invertido > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). se elimina la asignación del servidor NetFlow actual de la interfaz. Comprobación de coherencia Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. se elimina la asignación de zona actual de la interfaz. Zona de seguridad Interfaz de bucle invertido > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. versión 7. escriba un sufijo numérico (1-9999) para identificar la interfaz. Si selecciona Ninguno. El cortafuegos envía logs sobre cualquier incoherencia. Comentarios Interfaz de bucle invertido Introduzca una descripción opcional para la interfaz. SSH. Configuración de interfaz de bucle invertido Campo Configurado en Descripción Nombre de interfaz Interfaz de bucle invertido El campo Nombre de interfaz de solo lectura se define como bucle invertido. se elimina la asignación del enrutador virtual actual de la interfaz. En el campo adyacente. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Configuración gestionada Interfaz de VLAN > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Otras configuraciones Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys.

Si un paquete no cabe en el MSS sin fragmentarse. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. Para una dirección IPv4 IP Interfaz de bucle invertido > IPv4 Haga clic en Añadir y. 192. Ajustar TCP MSS Interfaz de túnel > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. este parámetro permite ajustarlo. Puede introducir múltiples direcciones IP para la interfaz. Dirección Interfaz de bucle invertido > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. 00:26:08:FF:FE:DE:4E:29). seleccione la dirección y haga clic en Eliminar. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. Para eliminar una dirección IP. opción predeterminada 1500). el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Si deja este campo en blanco. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. ID de interfaz Interfaz de bucle invertido > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. Configuración de interfaz de bucle invertido (Continuación) Campo Configurado en Descripción MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192.2. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de bucle invertido > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. a continuación. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande.0 Palo Alto Networks ..168. 2001:400:f00::1/64). ej. 156 • Guía de referencia de interfaz web.0/24 para IPv4 o 2001:db8::/32 para IPv6). • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. versión 7.Configuración de una interfaz de bucle invertido Tabla 77.

Sistema virtual Interfaz de túnel > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Comentarios Interfaz de túnel Introduzca una descripción opcional para la interfaz. se elimina la asignación del servidor NetFlow actual de la interfaz. escriba un sufijo numérico (1-9999) para identificar la interfaz. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Si selecciona Ninguno. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. se elimina la asignación de zona actual de la interfaz. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. se elimina la asignación del enrutador virtual actual de la interfaz. Si selecciona Ninguno. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. opción predeterminada 1500). Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. En el campo adyacente. Zona de seguridad Interfaz de túnel > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona.0 • 157 . Palo Alto Networks Guía de referencia de interfaz web. SSH. se elimina la asignación de perfil actual de la interfaz. Enrutador virtual Interfaz de túnel > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Note: El cortafuegos de la serie PA-4000 no admite esta característica. Si selecciona Ninguno. Configuración de interfaz de túnel Campo Configurado en Descripción Nombre de interfaz Interfaz de túnel El campo Nombre de interfaz de solo lectura se define como túnel.Configuración de una interfaz de túnel Configuración de una interfaz de túnel Red > Interfaces > Túnel Tabla 78. versión 7. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Perfil de flujo de red Interfaz de túnel Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow.

el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. 00:26:08:FF:FE:DE:4E:29). según exija su topología de red: 158 • Guía de referencia de interfaz web. Si deja este campo en blanco. Todas las interfaces de capa 3. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. ej.Configuración de un enrutador virtual Tabla 78. Puede introducir múltiples direcciones IP para la interfaz.168. • Seleccione un objeto de dirección existente de tipo máscara de red IP. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un enrutador virtual.2.. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. a continuación. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Dirección Interfaz de túnel > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. ID de interfaz Interfaz de túnel > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. 2001:400:f00::1/64). La definición de enrutadores virtuales permite configurara reglas de reenvío de capa 3 y activar el uso de protocolos de enrutamiento dinámicos. Cada interfaz solo puede pertenecer a un único enrutador virtual. versión 7. 192. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. seleccione la dirección y haga clic en Eliminar.0 Palo Alto Networks . Para eliminar una dirección IP. Configuración de interfaz de túnel (Continuación) Campo Configurado en Descripción Para una dirección IPv4 IP Interfaz de túnel > IPv4 Haga clic en Añadir y. Configuración de un enrutador virtual Red > Enrutadores virtuales Utilice esta página para definir enrutadores virtuales.0/24 para IPv4 o 2001:db8::/32 para IPv6). Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de túnel > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. La definición de un enrutador virtual requiere la configuración de la asignación de los ajustes en la pestaña Configuración de enrutador > General y en cualquiera de las siguientes pestañas.

guiones y guiones bajos. versión 7. • OSPF Ext (10-240.0 • 159 . sus rutas conectadas se añaden automáticamente. • Pestaña ECMP: Consulte “Componentes del ECMP”. • Enlace Más estadísticas de tiempo de ejecución: Consulte “Más estadísticas de tiempo de ejecución para un enrutador virtual”. espacios. Cuando selecciona una interfaz. puede ver información sobre un enrutador virtual concreto haciendo clic en Más estadísticas de tiempo de ejecución en la última columna. números.Pestaña General Campo Descripción Nombre Especifique un nombre para identificar el enrutador virtual (de hasta 31 caracteres).Configuración de un enrutador virtual • Pestaña Rutas estáticas: Consulte “Configuración de la pestaña Rutas estáticas”. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • Pestaña OSPF: Consulte “Configuración de la pestaña OSPF”. opción predefinida 10). Distancias administrativas Palo Alto Networks Especifique las siguientes distancias administrativas: • Rutas estáticas (10-240. Configuración de la pestaña General Red > Enrutador virtual > Configuración de enrutador > General Todas las configuraciones del enrutador virtual exigen que añada interfaces de capa 3 y cifras de distancia administrativa según se describe en la siguiente tabla: Tabla 79. • Pestaña Multidifusión: Consulte “Configuración de la pestaña Multidifusión”. Cuando añade una interfaz. opción predefinida 110). se incluye en el enrutador virtual y se puede utilizar como una interfaz de salida en la pestaña de enrutamiento del enrutador virtual. Utilice únicamente letras. Configuración de enrutador virtual . en la página Red > Enrutadores virtuales. • Pestaña OSPFv3: Consulte “Configuración de la pestaña OSPFv3”. • EBGP (10-240. • IBGP (10-240. opción predefinida 30). Para especificar el tipo de interfaz. consulte “Configuración de la interfaz de un cortafuegos”. • RIP (10-240. opción predefinida 20). • Pestaña Perfil de redistribución: Consulte “Configuración de la pestaña Perfiles de redistribución”. Interfaces Seleccione las interfaces que desea incluir en el enrutador virtual. Cuando ha configurado una porción de un enrutador virtual. Guía de referencia de interfaz web. opción predefinida 200). • Pestaña RIP: Consulte “Configuración de la pestaña RIP”. opción predefinida 120). • Pestaña BGP: Consulte “Configuración de la pestaña BGP”. • OSPF Int (10-240.

0/24 para IPv4 o 2001:db8::/32 para IPv6). Las rutas predefinidas se aplican a destinos que de otro modo no se encontrarían en la tabla de enrutamiento del enrutador virtual. Aplique perfiles de redistribución a los protocolos RIP y OSPF definiendo reglas de exportación. Tabla 80. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Haga clic en la pestaña IP o IPv6 para especificar la ruta mediante direcciones IPv4 o IPv6. espacios. Destino Introduzca una dirección IP y una máscara de red en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Esta opción permite configurar rutas internamente entre enrutadores virtuales en un único cortafuegos. Los perfiles de redistribución se pueden añadir o modificar después de configurar todos los protocolos de enrutamiento y de establecer la topología de red resultante. Los perfiles de redistribución se deben aplicar a los protocolos de enrutamiento para que surtan efecto. Interfaz Seleccione la interfaz para reenviar paquetes al destino o configure el siguiente salto. Utilice únicamente letras.168.0. versión 7. La redistribución de rutas permite a las rutas estáticas y a las rutas adquiridas por otros protocolos anunciarse mediante protocolos de enrutamiento específicos.0 Palo Alto Networks . guiones y guiones bajos. cada uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su ámbito. • Dirección IP: Especifique la dirección IP del siguiente enrutador de salto. Distancia administrativa Especifique la distancia administrativa de la ruta estática (10-240. • Descartar: Seleccione esta opción si desea descartare l tráfico que se dirige a este destino. 160 • Guía de referencia de interfaz web. establecer la prioridad y realizar acciones basadas en el comportamiento de red deseado. 192.Pestaña Rutas estáticas Campo Descripción Nombre Introduzca un nombre para identificar la ruta estática (de hasta 31 caracteres). o ambos. Siguiente salto Especifique los siguientes ajustes de salto: • Ninguno: Seleccione esta opción si no existe el siguiente salto en la ruta.65535). Aquí suele ser necesario configurar las rutas predefinidas (0. • Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como el siguiente salto. opción predefinida 10).0. Sin las reglas de redistribución. Configuración de la pestaña Perfiles de redistribución Red > Enrutador virtual > Perfiles de redistribución Los perfiles de redistribución dirigen el cortafuegos para filtrar. Configuración de enrutador virtual . La ruta se retiene en la configuración para su referencia futura. Consulte la tabla siguiente.2.Configuración de un enrutador virtual Configuración de la pestaña Rutas estáticas Red > Enrutador virtual > Rutas estáticas Opcionalmente puede introducir una o más rutas estáticas. Aplique perfiles de redistribución a BGP en la pestaña Reglas de redistribución.0/0). números. No instalar Seleccione esta opción si no desea instalar la ruta en la tabla de reenvíos. Métrica Especifique una medida para la ruta estática (1 .

Configuración de un enrutador virtual Tabla 81.x o x.x o x. • No hay ninguna redistribución: Seleccione si no se realizará ningún tipo de redistribución. Un valor métrico inferior significa una ruta más preferible. • Redistr. Pestaña Filtro OSPF Tipo de ruta Seleccione las casillas de verificación para especificar los tipos de ruta de candidato OSPF.x. Introduzca el ID de área OSPF (con el formato x.x. Prioridad Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. Para eliminar una entrada. Destino Para especificar el destino de la ruta de candidato.x. Etiqueta Especifique los valores de etiqueta OSPF.x/n) y haga clic en Añadir.x. Si selecciona esta opción. haga clic en el icono asociado con la entrada. Palo Alto Networks Guía de referencia de interfaz web. Para eliminar una entrada. Configuración de enrutador virtual .0 • 161 . Los perfiles se muestran en orden (con los números más bajos primero). haga clic en el icono asociado con la entrada. Siguiente salto Para especificar la puerta de enlace de la ruta de candidato. Para eliminar una entrada. introduzca la dirección IP o la subred de destino (con el formato x. Comunidad extendida Especifique una comunidad extendida para la política de enrutamiento BGP.x/n) que represente el siguiente salto y haga clic en Añadir. Introduzca un valor de etiqueta numérica (1-255) y haga clic Añadir. introduzca la dirección IP o la subred (con el formato x.x).x. haga clic en el icono asociado con la entrada. y haga clic en Añadir. versión 7. Redistribuir Seleccione si la redistribución de la ruta se realizará según los ajustes de esta ventana.: Seleccione si la redistribución se realizará con rutas de candidato coincidentes.x.x.x.x. haga clic en el icono asociado con la entrada. introduzca un nuevo valor métrico.x. Pestaña Filtro general Tipo Seleccione las casillas de verificación para especificar los tipos de ruta de candidato. Pestaña Filtro BGP Comunidad Especifique una comunidad para la política de enrutamiento BGP. Para eliminar una entrada. Interfaz Seleccione las interfaces para especificar las interfaces de reenvío de la ruta de candidato. Área Especifique el identificador de área de la ruta de candidato OSPF.Pestaña Perfiles de redistribución Campo Descripción Nombre Haga clic en Añadir para mostrar la página Perfil de redistribución e introduzca el nombre del perfil.

0 Palo Alto Networks . versión 7. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”.Configuración de un enrutador virtual Configuración de la pestaña RIP Red > Enrutador virtual > RIP La configuración del protocolo de información de enrutamiento (RIP) requiere que se establezcan los siguientes ajustes generales: Tabla 82. Configuración de la pestaña Interfaces Red > Enrutador virtual > RIP > Interfaces En la siguiente tabla se describen los ajustes de la pestaña Interfaces. Este campo solo es visible si se ha seleccionado la casilla de verificación Anunciar.Pestaña RIP Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo RIP. • Pestaña Temporizadores: Consulte “Configuración de la pestaña Temporizadores”. Perfil de autenticación Seleccione el perfil. 162 • Guía de referencia de interfaz web. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante RIP. Configuración de enrutador virtual . Habilitar Seleccione esta opción para habilitar estos ajustes. Modo Seleccione Normal. Anunciar Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor métrico especificado. Pasivo o Enviar únicamente. Métrica Especifique un valor métrico para el anuncio del enrutador. se deben configurar ajustes en las siguientes pestañas: • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. Configuración de RIP – Pestaña Interfaces Campo Descripción Interfaces Interfaz Seleccione la interfaz que ejecuta el protocolo RIP. Tabla 83. Además. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. Es muy recomendable seleccionar esta casilla de verificación.

• Si selecciona Sencillo. aplíquelos a las interfaces en la pestaña RIP. seleccione la opción Preferido. confirme. Intervalo de actualizaciones Introduzca el número de intervalos entre los anuncios de actualización de rutas (1 . primero defina los perfiles de autenticación y a continuación. Haga clic en Añadir en cada entrada y. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. Intervalos de eliminación Introduzca el número de intervalos entre la hora de vencimiento de la ruta hasta su eliminación (1. opcionalmente. Intervalos de vencimiento Introduzca el número de intervalos entre la última hora de actualización de la ruta hasta su vencimiento (1. a continuación. a continuación. • Si selecciona MD5. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > RIP > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Configuración de RIP – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Tipo de contraseña Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP.3600). introduzca la contraseña sencilla y. Configuración de RIP – Pestaña Temporizadores Campo Descripción Temporizadores Segundos del intervalo (seg) Defina la duración del intervalo de tiempo en segundos.3600). Para autenticar mensajes RIP. incluyendo ID de clave (0-255).Configuración de un enrutador virtual Configuración de la pestaña Temporizadores Red > Enrutador virtual > RIP > Temporizadores En la siguiente tabla se describen los ajustes de la pestaña Temporizadores. el estado Preferido. versión 7.0 • 163 . Tabla 85.60). Clave y. Tabla 84. Seleccione el tipo de contraseña (simple o MD5). Esta duración se utiliza para el resto de los campos de temporización de RIP (1 . introduzca una o más entradas de contraseña.3600). haga clic en ACEPTAR. Palo Alto Networks Guía de referencia de interfaz web.

Es muy recomendable seleccionar esta casilla de verificación. versión 7.Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. especialmente en rutas estáticas. • Pestaña Reglas de exportación: Consulte “. Tabla 86. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. • Permitir redistribución de ruta predeterminada: Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predeterminada a los peers. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual. Consulte “Configuración de la pestaña Perfiles de redistribución”. Configuración del enrutador virtual . Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. la prioridad y la acción. Configuración de la pestaña OSPF Red > Enrutador virtual > OSPF La configuración del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los siguientes ajustes generales: Tabla 87. en función del comportamiento de red deseado. Además. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”.Configuración de un enrutador virtual Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > RIP > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación.0 Palo Alto Networks . El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. 164 • Guía de referencia de interfaz web. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Configuración de RIP – Pestaña Reglas de exportación Campo Descripción Reglas de exportación Reglas de exportación (Solo lectura) Muestra las rutas aplicables a las rutas que envía el enrutador virtual a un enrutador de recepción. • Perfil de redistribución: Seleccione un perfil de redistribución que permite modificar la redistribución de la ruta. el filtro.Configuración de la pestaña Reglas de exportación”.

seleccione Aceptar resumen si desea aceptar este tipo de LSA.x. Introduzca un identificador del área en formato x. Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. Para acceder a un destino fuera del área. junto con el valor métrico asociado (1-255). el área puede aceptar todos los tipos de rutas. Si selecciona esta opción. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del área de código auxiliar. • Normal: No hay restricciones.x. Repita esta acción para añadir intervalos adicionales. área no totalmente de código auxiliar): Es posible salir del área directamente. • NSSA (Not-So-Stubby Area. Si selecciona esta opción. Intervalo Palo Alto Networks Haga clic en Añadir para añadir direcciones de destino LSA en el área en subredes. es necesario atravesar el límite. junto con el valor métrico asociado (1-255).0 • 165 . Tipo Seleccione una de las siguientes opciones. Configuración de OSPF – Pestaña Áreas Campo Descripción Áreas ID de área Configure el área en el que los parámetros OSPF se pueden aplicar. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar.Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPF > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. Tabla 88.x. Es el identificador que cada vecino debe aceptar para formar parte de la misma área. Guía de referencia de interfaz web. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. • Código auxiliar: No hay salida desde el área. versión 7. que conecta con el resto de áreas. pero solo mediante rutas que no sean OSPF.

versión 7. Si el temporizador de fallos es demasiado corto. Valor predeterminado: 10 segundos. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz.Configuración de un enrutador virtual Tabla 88.0 Palo Alto Networks . • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Por lo tanto. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. Valor predeterminado: 4. la interfaz se incluirá en la base de datos de LSA. Intervalo: 0-3600 segundos. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. Intervalo: 1-10 segundos. Si el valor es cero. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. • Interfaz: Seleccione la interfaz. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. Valor predeterminado: 1 segundo. Por ejemplo. 166 • Guía de referencia de interfaz web. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. Intervalo: 3-20. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. Durante el reinicio. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/ pasiva. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. si selecciona esta opción. Intervalo: 0-3600 segundos. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. La definición manual de vecino solo se permite en modo p2mp. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no se envían ni reciben. el enrutador no se designará como DR ni BDR. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. Valor predeterminado: 10 segundos. Valor predeterminado: 10 segundos. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. Intervalo: 0-3600 segundos. antes de que OSPF considere que ese vecino tiene un fallo. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. como una interfaz Ethernet.

Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida.Configuración de un enrutador virtual Tabla 88. Haga clic en Añadir en cada entrada y. • Si selecciona Simple.0.0). Guía de referencia de interfaz web. Tipo de contraseña Seleccione el tipo de contraseña (simple o MD5). haga clic en ACEPTAR.Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPF > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. aplíquelos a las interfaces en la pestaña OSPF. Clave y. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. seleccione la opción Preferido.0 • 167 . .0. Para autenticar mensajes OSPF. primero defina los perfiles de autenticación y a continuación. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. introduzca una o más entradas de contraseña. Tabla 89. a continuación. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Enlace virtual Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Tabla 90. introduzca la contraseña. • Nombre: Introduzca un nombre para el enlace virtual. incluyendo ID de clave (0-255). • Si selecciona MD5. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. opcionalmente el estado Preferido. versión 7. • Habilitar: Seleccione para habilitar el enlace virtual. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Palo Alto Networks Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF.

esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. Valor predeterminado: 140 segundos. Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia. Valor predeterminado: 120 segundos. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. • Habilitar modo auxiliar: Habilitado de forma predeterminada. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia.1800 segundos. versión 7. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada.1800 segundos.Configuración de un enrutador virtual Tabla 90. Configuración de OSPF – Pestaña Perfiles de autenticación (Continuación) Campo Descripción Nombre Seleccione el nombre del perfil de redistribución. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador. Tabla 91. Intervalo: 5 . Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Compatibilidad RFC 1583 Selecciona la casilla de verificación para garantizar la compatibilidad con RFC 1583.0 Palo Alto Networks . • Máx. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. mismo tipo. intervalo 1-65535). Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. 168 • Guía de referencia de interfaz web. Es un equivalente de MinLSInterval en RFC 2328. el cortafuegos no entrará en modo auxiliar. mismo ID de LSA). Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. Los valores menores permiten una reconvergencia OSPF más rápida. Intervalo: 5 .

• Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Es muy recomendable seleccionar esta casilla de verificación. especialmente en rutas estáticas. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. versión 7. Configuración del enrutador virtual .Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. Además. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”.0 • 169 . • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. Palo Alto Networks Guía de referencia de interfaz web. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”.Configuración de un enrutador virtual Configuración de la pestaña OSPFv3 Red > Enrutador virtual > OSPFv3 La configuración del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se establezcan los siguientes ajustes generales: Tabla 92. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual.

el área puede aceptar todos los tipos de rutas. Tabla 93. área no totalmente de código auxiliar): Es posible salir del área directamente. • Código auxiliar: No hay salida desde el área. junto con el valor métrico asociado (1-255). es necesario atravesar el límite. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. que conecta con el resto de áreas.Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPFv3 > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen.0 Palo Alto Networks . Intervalo Haga clic en Añadir para que la subred añada direcciones IPv6 de destino LSA en el área. • NSSA (Not-So-Stubby Area. pero solo mediante rutas que no sean OSPF. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. Si selecciona esta opción. • Normal: No hay restricciones. junto con el valor métrico asociado (1-255).Pestaña Áreas Campo Descripción Autenticación Seleccione el nombre del perfil de autenticación que desea especificar para esta área de OSPFarea. seleccione Aceptar resumen si desea aceptar este tipo de LSA. Especifique si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. Repita esta acción para añadir intervalos adicionales. Tipo Seleccione una de las siguientes opciones. 170 • Guía de referencia de interfaz web. Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. Si selecciona esta opción. Configuración del enrutador virtual . versión 7. Para acceder a un destino fuera del área. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas.

ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. Valor predeterminado: 4. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA.Configuración de un enrutador virtual Tabla 93. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. Si el valor es cero. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. antes de que OSPF considere que ese vecino tiene un fallo. Intervalo: 3-20. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Intervalo: 0-3600 segundos. si selecciona esta opción. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. Aunque los paquetes OSPF no se envían ni reciben. Por ejemplo. el enrutador no se designará como DR ni BDR. de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/pasiva. • Interfaz: Seleccione la interfaz. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Palo Alto Networks Guía de referencia de interfaz web. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). Por lo tanto. • Vecinos: En interfaces p2pmp. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos.0 • 171 . Si el retraso de saludo de reinicio correcto se establece en 10 segundos. la interfaz se incluirá en la base de datos de LSA. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Durante el reinicio. Valor predeterminado: 10 segundos. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. introduzca la dirección IP de todos los vecinos accesibles mediante esta interfaz. Configuración del enrutador virtual . La definición manual de vecino solo se permite en modo p2mp. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. versión 7. como una interfaz Ethernet. Intervalo: 1-10 segundos. Intervalo: 0-3600 segundos. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. Valor predeterminado: 10 segundos. Si el temporizador de fallos es demasiado corto. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente.Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. Valor predeterminado: 1 segundo. Intervalo: 0-3600 segundos. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. Valor predeterminado: 10 segundos. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos.

Conjunto de cuatro funciones de hash con un resumen de 256 bits. Para autenticar mensajes OSPF. versión 7. Protocolo Especifique uno de los siguientes protocolos: • ESP: Protocolo de carga de seguridad encapsulada. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. • SHA256: Algoritmo de hash seguro 2. • SHA1: Algoritmo de hash seguro 1. Tabla 94. Algoritmo criptográfico Especifique una de las siguientes opciones: • Ninguno: No se utilizará ningún algoritmo criptográfico. • AH: Protocolo del encabezado de autenticación. 172 • Guía de referencia de interfaz web. • Habilitar: Seleccione para habilitar el enlace virtual. Clave/Confirmar clave Introduzca y confirme una clave de autenticación. primero defina los perfiles de autenticación y a continuación. • SHA512: Algoritmo de hash seguro 2. Configuración de OSPFv3: Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPFv3 > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. • SHA384: Algoritmo de hash seguro 2.Configuración de un enrutador virtual Tabla 93. • MD5: Algoritmo de resumen de mensaje de MD5. Conjunto de cuatro funciones de hash con un resumen de 384 bits. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida.0. • ID de instancia: Introduzca un número de ID de instancia OSPFv3.0). SPI Especifique el índice de parámetros de seguridad (SPI) para los paquetes transversales desde el cortafuegos remoto hasta el peer. aplíquelos a las interfaces en la pestaña OSPF.0 Palo Alto Networks . • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual.0. Configuración del enrutador virtual . Conjunto de cuatro funciones de hash con un resumen de 512 bits. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. • Nombre: Introduzca un nombre para el enlace virtual. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0.Pestaña Áreas (Continuación) Campo Descripción Enlaces virtuales Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal.

Configuración de un enrutador virtual Tabla 94. En este estado. Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Tabla 96. versión 7.0 • 173 . Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. Configuración de OSPFv3: Pestaña Perfiles de autenticación (Continuación) Campo Cifrado Descripción Especifica una de las siguientes opciones: • aes-128-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 128 bits. intervalo 1-65535). • nulo: No se utiliza ningún cifrado. No está disponible si no se ha seleccionado el protocolo AH. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. Cuando está en este estado. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. el tráfico local seguirá reenviándose al dispositivo. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. Guía de referencia de interfaz web. el dispositivo participa en OSPFv3 pero ningún otro enrutador envía tráfico de tránsito. Clave/Confirmar clave Introduzca y confirme una clave de cifrado. Nombre Seleccione el nombre del perfil de redistribución. • aes-256-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 256 bits. Es útil cuando se realiza mantenimiento con una red de dos bases porque el tráfico se puede volver a enrutar en el dispositivo mientras este siga siendo accesible. • aes-192-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 192 bits. Tabla 95. Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Deshabilitar enrutamiento de tránsito para el cálculo de SPF Palo Alto Networks Seleccione esta casilla de verificación si desea establecer el R-bit en los LSA del enrutador enviados desde este dispositivo para indicar que el enrutador no está activo. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional.

de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia. mismo tipo. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. Intervalo: 5 . Además. esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. en función del ID del enrutador (intervalo 1-4294967295). se deben configurar ajustes en las siguientes pestañas: • Pestaña General: Consulte “Configuración de la pestaña General”. Configuración de OSPF – Pestaña Avanzado (Continuación) Campo Descripción Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF.1800 segundos.0 Palo Alto Networks . Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología.Pestaña BGP Campo Descripción Habilitar Seleccione la casilla de verificación para activar funciones de BGP. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. Configuración de enrutador virtual . Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada. Valor predeterminado: 120 segundos. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. Valor predeterminado: 140 segundos. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. ID del enrutador Introduzca la dirección IP para asignarla al enrutador virtual. Es un equivalente de MinLSInterval en RFC 2328. Configuración de la pestaña BGP Red > Enrutador virtual > BGP La configuración del protocolo de puerta de enlace de borde (BGP) requiere que se establezcan los siguientes ajustes: Tabla 97. Los valores menores permiten una reconvergencia OSPF más rápida. mismo ID de LSA). • Máx.1800 segundos.Configuración de un enrutador virtual Tabla 96. Intervalo: 5 . versión 7. 174 • Guía de referencia de interfaz web. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador. • Habilitar modo auxiliar: Habilitado de forma predeterminada. el cortafuegos no entrará en modo auxiliar. Número AS Introduzca el número AS al que pertenece el enrutador virtual. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada.

Comparación determinista de MED Active la comparación MED para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo). Configuración de BGP – Pestaña General Campo Descripción Pestaña General Rechazar ruta por defecto Seleccione la casilla de verificación para ignorar todas las rutas predeterminadas anunciadas por peers BGP. • Pestaña Reglas de redistr.Configuración de un enrutador virtual • Pestaña Grupo del peer: Consulte “Configuración de la pestaña Grupo del peer”. versión 7. • Pestaña Anuncio condicional: Consulte “Configuración de la pestaña Anuncio condicional”. Este ajuste es configurable por motivos de interoperabilidad. Tabla 98. • Pestaña Agregado: Consulte “Configuración de la pestaña Anuncio condicional”. Instalar ruta Seleccione la casilla de verificación para instalar rutas BGP en la tabla de enrutamiento global.: Consulte “Configuración de la pestaña Reglas de distr. Perfiles de autenticación Haga clic en Añadir para incluir un nuevo perfil de autenticación y configurar los siguientes ajustes: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Secreto/Confirmar secreto: Introduzca y confirme la contraseña para comunicaciones de peer BGP. Formato AS Seleccione el formato de 2 (predefinido) o 4 bytes. • Pestaña Exportar: Consulte “Configuración de las pestañas Importar y Exportar”. Preferencia local predeterminada Especifica un valor que se puede asignar para determinar preferencias entre diferentes rutas. Palo Alto Networks Guía de referencia de interfaz web. Configuración de la pestaña General Red > Enrutador virtual > BGP > General La tabla siguiente describe los ajustes de la pestaña General. • Pestaña Importar: Consulte “Configuración de las pestañas Importar y Exportar”. Agregar MED Seleccione esta opción para activar la agregación de rutas incluso si las rutas tienen valores diferentes de discriminador de salida múltiple (MED). Comparar siempre MED Permite comparar MED para rutas de vecinos en diferentes sistemas autónomos.0 • 175 .”. Haga clic en el icono para eliminar un perfil.

opción predefinida 300 segundos). • Máx. opción predeterminada 900 segundos).25). Perfiles de amortiguación Entre los parámetros se incluyen: • Nombre del perfil: Introduzca un nombre para identificar el perfil. opción predefinida 300 segundos). opción predefinida 120 segundos). opción predefinida 120 segundos). • Media vida de disminución alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera alcanzable (intervalo 0-3600 segundos. con independencia de su inestabilidad (intervalo 0-3600 segundos.Configuración de un enrutador virtual Configuración de la pestaña Avanzado Red > Enrutador virtual > BGP > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado: Tabla 99.0.0 Palo Alto Networks . Haga clic en el icono para eliminar un perfil.0. versión 7. • Máx. • Media vida de disminución no alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos. de tiempo de espera: Especifique el tiempo máximo durante el que una ruta se puede suprimir. • Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede permanecer inhabilitada (intervalo 1-3600 segundos. opción predeterminada 5). opción predefinida 1. 176 • Guía de referencia de interfaz web. • Reutilizar: Especifique un umbral de retirada de ruta por debajo del cual una ruta suprimida se vuelve a utilizar (intervalo 0. Configuración de BGP – Pestaña Avanzado Campo Descripción Pestaña Avanzado Reinicio correcto Active la opción de reinicio correcto. • Hora de reinicio local: Especifique el tiempo que el dispositivo local tarda en reiniciar.0-1000. • Corte: Especifique un umbral retirada de ruta por encima del cual. AS de miembro de confederación Especifique el identificador de la confederación AS que se presentará como un AS único a los peers BGP externos. • Habilitar: activa el perfil. se suprime un anuncio de ruta (intervalo 0. opción predefinida 120 segundos). ID de clúster reflector Especifique un identificador IPv4 para representar el clúster reflector.0-1000. Este valor se le comunica a los peers (intervalo 1-3600 segundos. de hora de reinicio del peer: Especifique el tiempo máximo que el dispositivo local acepta como período de gracia para reiniciar los dispositivos peer (intervalo 1-3600 segundos.

• uso-peer: Utilice la dirección IP del peer como la dirección del salto siguiente. versión 7.Configuración de un enrutador virtual Configuración de la pestaña Grupo del peer Red > Enrutador virtual > BGP > Grupo del peer La tabla siguiente describe los ajustes de la pestaña Grupo del peer. • IBGP: Especifique lo siguiente: – Exportar siguiente salto • EBGP confederado: Especifique lo siguiente. Restablecimiento parcial con información almacenada Seleccione la casilla de verificación para ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer. Tabla 100. – Exportar siguiente salto • IBGP confederado: Especifique lo siguiente: – Exportar siguiente salto • EBGP: Especifique lo siguiente: – Importar siguiente salto – Exportar siguiente salto – Eliminar AS privado (seleccione si desea forzar que BGP elimine números AS privados). Habilitar Seleccione para activar el peer. Importar siguiente salto Seleccione una opción para importar el siguiente salto: • original: Utilice la dirección del salto siguiente en el anuncio de la ruta original. • usar mismas: Sustituya la dirección del siguiente salto con la dirección de esta dirección IP del enrutador para garantizar que estará en la ruta de reenvío. Configuración de BGP – Pestaña Grupo del peer Campo Descripción Pestaña Grupo del peer Nombre Introduzca un nombre para identificar el peer. Ruta AS confederada agregada Seleccione la casilla de verificación para incluir una ruta a la AS de confederación agregada configurada. Palo Alto Networks Guía de referencia de interfaz web.0 • 177 . Exportar siguiente salto Seleccione una opción para exportar el siguiente salto: • resolver: Resuelve la dirección del siguiente salto mediante la tabla de reenvío local. Tipo Especifique el tipo o grupo de peer y configure los ajustes asociados (consulte la tabla siguiente para ver las descripciones de Importar siguiente salto y Exportar siguiente salto).

opción predeterminada: 15 segundos). • Opciones avanzadas: Configure los siguientes ajustes: – Cliente reflector: Seleccione el tipo de cliente reflector (No cliente. haga clic en Nuevo y configure los siguientes ajustes: • Nombre: Introduzca un nombre para identificar el peer.Configuración de un enrutador virtual Tabla 100. – Abrir tiempo de retraso: Especifique el tiempo de retraso entre la apertura de la conexión TCP del peer y el envío del primer mensaje abierto de BGP (intervalo 0-240 segundos. Las rutas que se reciben de los clientes reflector se comparten con todos los peers BGP internos y externos. • Dirección del peer: Especifique la dirección IP y el puerto del peer. El valor predeterminado 0 significa 2 para eBGP y 255 para iBGP.100000 o ilimitado). opción predeterminada: 30 segundos). Cliente o Cliente en malla). valor predeterminado: 90 segundos) – Tiempo de espera de inactividad: Especifique el tiempo de espera en estado de inactividad antes de volver a intentar la conexión con el peer (intervalo 1-3600 segundos. de prefijos: Especifique el número máximo de prefijos de IP compatibles (1 . • Habilitar: Seleccione para activar el peer. • As del peer: Especifique el AS del peer.0 Palo Alto Networks . • Conexiones entrantes/Conexiones salientes: Especifique los números de puertos entrantes y salientes y seleccione la casilla de verificación Permitir para permitir el tráfico desde o hacia estos puertos. opción predefinida 0). – Tiempo de espera: Especifique el período de tiempo que puede transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer antes de cerrar la conexión del peer. Configuración de BGP – Pestaña Grupo del peer (Continuación) Campo Descripción Peer Para agregar un nuevo peer. Configuración de las pestañas Importar y Exportar Red > Enrutador virtual > BGP > Importar Red > Enrutador virtual > BGP > Exportar 178 • Guía de referencia de interfaz web. • Dirección local: Seleccione una interfaz de cortafuegos y una dirección IP local. • Opciones de conexión: Especifique las siguientes opciones: – Perfil de autenticación: Seleccione el perfil. – Tipo del peer: Especifique un peer bilateral o déjelo sin especificar. (rango: 3-3600 segundos. – Intervalo entre mensajes de mantenimiento de conexión: Especifique un intervalo después del cual las rutas de un peer se supriman según el parámetro de tiempo de espera (intervalo 0-1200 segundos. versión 7. – Máx. opción predeterminada: 0 segundos). – Salto múltiple: Defina el valor del tiempo de vida (TTL) en el encabezado IP (intervalo 1-255.

únicamente si la acción es Permitir. – Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. haga clic en Añadir y configure los siguientes ajustes: • Pestaña secundaria General: – Nombre: Especifique un nombre para identificar la regla. – Prefijo de dirección: Especifique direcciones o prefijos IP para el filtrado de rutas. • Pestaña secundaria Coincidencia: – Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. – Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Haga clic en Duplicar para añadir un nuevo grupo con los mismos ajustes que el grupo seleccionado. Palo Alto Networks Guía de referencia de interfaz web. únicamente si la acción es Permitir (0. – Peso: Especifique un valor de peso. EGP o incompleta. únicamente si la acción es Permitir. Eliminar Regex. Haga clic en el icono para eliminar un grupo. (0. Eliminar todo. – Amortiguación: Especifique un parámetro de amortiguación.65535). – Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. Anexar o Sobrescribir. únicamente si la acción es Permitir. únicamente si la acción es Permitir. – Ruta AS: Especifique una ruta AS: Ninguna. Para agregar una nueva regla. Preceder. – Comunidad extendida: Especifique una opción de comunidad: Ninguna. únicamente si la acción es Permitir. – Límite de ruta AS: Especifique un límite de ruta AS. Eliminar todo. – MED: Especifique un valor de MED para el filtrado de rutas. • Pestaña secundaria Acción: – Acción: Especifique una acción (Permitir o Denegar) que se realizará cuando se cumplan las condiciones especificadas. – Utilizada por: Seleccione los grupos de peer que utilizarán esta regla. Eliminar Regex. únicamente si la acción es Permitir. únicamente si la acción es Permitir. – MED: Especifique un valor de MED. Anexar o Sobrescribir.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Importar y Exportar: Tabla 101. Eliminar y preceder. – Habilitar: Seleccione para activar la regla. Se añade un sufijo al nombre del nuevo grupo para distinguirlo del original. Configuración de BGP – Pestañas Importar y Exportar Campo Descripción Pestañas Importar reglas/Exportar reglas Importar reglas/ Exportar reglas Haga clic en la pestaña secundaria de BGP Importar reglas o Exportar reglas. Eliminar. – Preferencia local: Especifique un valor de preferencia local únicamente si la acción es Permitir. – Siguiente salto: Especifique un enrutador de siguiente salto.0 • 179 . – Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas.65535). únicamente si la acción es Permitir. versión 7. – Origen: Especifique el tipo de la ruta original: IGP. – Comunidad: Especifique una opción de comunidad: Ninguna.

Esta función es muy útil si desea probar y forzar rutas de un AS a otro. el anuncio se suprimirá. indicando un fallo de peering o alcance. Si se encuentra alguna ruta coincidente con el filtro no existente en la tabla de enrutamiento BGP local. en lugar de a los otros. si está disponible en la tabla de ruta de BGP local. Haga clic en Añadir para crear un filtro no existente. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. A continuación se describe cómo se configuran los valores en los campos. por ejemplo. Con la función de anuncio condicional. Configuración de BGP – Pestañas Anuncio condicional Campo Descripción Pestaña Anuncio condicional La función de anuncio condicional BGP permite controlar la ruta que se anunciará en caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB).0 Palo Alto Networks . • Habilitar: Seleccione para activar el filtro. solo entonces el dispositivo permitirá el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en su filtro de anuncio. Política Especifique el nombre de la política para esta regla de anuncio condicional. • MED: Especifique un valor de MED para el filtrado de rutas. • Filtros no existentes: Especifique un nombre para identificar este filtro. Pestaña secundaria Filtros no existentes Utilice esta pestaña para especificar el prefijo de la ruta preferida. 180 • Guía de referencia de interfaz web. si tiene enlaces a Internet con varios ISP y desea enrutar el tráfico a un único proveedor. Para configurar el anuncio condicional. Especifica la ruta que desea anunciar.Configuración de un enrutador virtual Configuración de la pestaña Anuncio condicional Red > Enrutador virtual > BGP > Anuncio condicional La tabla siguiente describe los ajustes de la pestaña Anuncio condicional: Tabla 102. seleccione la pestaña Anuncio condicional y haga clic en Añadir. Habilitar Seleccione la casilla de verificación para activar el anuncio condicional de BGP. Utilizado por Haga clic en Añadir y seleccione los grupos de peer que utilizarán esta política de anuncio condicional. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. versión 7. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Si un prefijo se va a anunciar y coincide con un filtro no existente. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto de la ruta preferida. puede configurar un filtro no existente que busque el prefijo de la ruta preferida. salvo que se produzca una pérdida de conectividad con el proveedor preferido.

Haga clic en Añadir para crear un filtro de anuncio.0 • 181 . • Anunciar filtros: Especifique un nombre para identificar este filtro. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. versión 7. Palo Alto Networks Guía de referencia de interfaz web. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. Si un prefijo se va a anunciar y no coincide con un filtro no existente. Suprimir filtros Defina los atributos que harán que las rutas coincidentes se supriman. Anunciar filtros Defina los atributos para los filtros anunciados que asegurarán que cualquier enrutador que coincida con el filtro definido se publicará en los peers. Agregar atributos de ruta Defina los atributos que se utilizarán para hacer coincidir las rutas que se agregarán. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. el anuncio se producirá. • Habilitar: Seleccione para activar el filtro.Configuración de un enrutador virtual Tabla 102. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Configuración de BGP – Pestañas Agregado Campo Descripción Pestaña Agregado Nombre Introduzca un nombre para la configuración de agregación. Configuración de la pestaña Agregado Red > Enrutador virtual > BGP > Agregado La tabla siguiente describe los ajustes de la pestaña Agregado: Tabla 103. • MED: Especifique un valor de MED para el filtrado de rutas. Configuración de BGP – Pestañas Anuncio condicional (Continuación) Campo Descripción Pestaña secundaria Anunciar filtros Utilice esta pestaña para especificar el prefijo de la ruta de la tabla de enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté disponible en la tabla de enrutamiento local. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto para anunciar la ruta si la ruta preferida no está disponible.

versión 7.Configuración de un enrutador virtual Configuración de la pestaña Reglas de distr. haga clic en Añadir.0 Palo Alto Networks . Para agregar una nueva regla. Nombre Seleccione el nombre del perfil de redistribución. Los parámetros de esta tabla se han descrito anteriormente en las pestañas Importar reglas y Exportar reglas. Además.Pestaña Multicast Campo Descripción Habilitar Seleccione la casilla de verificación para activar el enrutamiento multicast. Configuración de enrutador virtual .: Tabla 104. Campo Descripción Pestaña Reglas de redistr. Haga clic en el icono para eliminar una regla. Reglas de redistr. Red > Enrutador virtual > BGP > Reglas de distr. Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predefinida a los peers BGP. • Pestaña Umbral SPT: Consulte “Configuración de la pestaña Umbral SPT”. • Pestaña Espacio de dirección específico de origen: Consulte “Configuración de la pestaña Espacio de dirección específico de origen”. configure los siguientes ajustes y haga clic en Listo. En la siguiente tabla se describe la configuración de la pestaña Reglas de redistr. se deben configurar ajustes en las siguientes pestañas: • Pestaña Punto de encuentro: Consulte “Configuración de la pestaña Punto de encuentro”. Configuración de la pestaña Multidifusión Red > Enrutador virtual > Multidifusión La configuración de protocolos multicast necesita que se configuren los siguientes ajustes estándar: Tabla 105. Configuración de BGP – Reglas de distr. • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. Configuración de la pestaña Punto de encuentro Red > Enrutador virtual > Multicast > Punto de encuentro 182 • Guía de referencia de interfaz web.

versión 7. • Estático: Especifique una dirección IP estática para el RP y seleccione las opciones de Interfaz de RP y Dirección de RP en las listas desplegables. Punto de encuentro remoto Haga clic en Añadir y especifique la siguiente información: • Dirección IP: Especifique la dirección IP del RP. Active la casilla de verificación Cancelar RP obtenido para el mismo grupo si desea utilizar el RP especificado del RP elegido para este grupo. – Dirección de RP: Seleccione una dirección IP para el RP. • Cancelar RP obtenido para el mismo grupo: Active esta casilla de verificación si desea utilizar el RP especificado del RP elegido para este grupo. Configuración multicast – Pestaña Interfaces Campo Descripción Pestaña secundaria Interfaces Nombre Introduzca un nombre para identificar un grupo de interfaces.0 • 183 . VLAN. Se debe configurar un RP estático de forma explícita en otros enrutadores PIM. – Intervalo de anuncio: Especifique un intervalo entre anuncios para mensajes RP candidatos. L3. – Prioridad: Especifique una prioridad para los mensajes de RP candidato (opción predefinida 192). • Candidato:: Especifique la siguiente información para el candidato del RP que se ejecuta en este enrutador virtual: – Interfaz de RP: Seleccione una interfaz para el RP. Ethernet agregada y túnel. Los tipos de interfaz válidos incluyen loopback. haga clic en Añadir para especificar una lista de grupos en los que este RP candidato se propone para ser el RP. Palo Alto Networks Guía de referencia de interfaz web. Interfaz Haga clic en Añadir para especificar una o más interfaces de cortafuegos.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Punto de encuentro: Tabla 106. • Grupo: Especifique una lista de grupos en los que la dirección especificada actuará como RP. • Ninguno: Seleccione esta opción si no hay ningún RP ejecutándose en este enrutador virtual. • Lista de grupos: Si selecciona Estático o Candidato. mientras que se elige automáticamente un RP candidato. Descripción Introduzca una descripción opcional. Configuración de la pestaña Interfaces Red > Enrutador virtual > Multicast > Interfaces En la siguiente tabla se describe la configuración de la pestaña Interfaces: Tabla 107. Configuración multicast – Pestaña Punto de encuentro Campo Descripción Pestaña secundaria Punto de encuentro Tipo de RP Seleccione el tipo de Punto de encuentro (RP) que se ejecutará en este enrutador virtual.

– Máx. – Último intervalo de consulta de miembro: Especifique el intervalo entre los mensajes de consulta entre grupos o de origen específico (incluyendo los enviados en respuesta a los mensajes salientes del grupo). de tiempo de respuesta de consulta: Especifique el tiempo máximo entre una consulta general y una respuesta de un host. • Versión IGMP: Seleccione la versión 1. de grupos: Especifique la cantidad máxima de grupos permitidos en esta interfaz. • Potencia: Seleccione un valor entero para las cuentas de pérdida de paquete en una red (intervalo 1-7. Si la pérdida del paquete es común. • Aplicar opción de IP de enrutador-alerta: Seleccione la casilla de verificación para solicitar la opción IP de alerta de enrutador cuando se comunique mediante IGMPv2 o IGMPv3. seleccione un valor mayor. Configuración multicast – Pestaña Interfaces (Continuación) Campo Descripción Permisos de grupos Especifique las reglas generales para el tráfico multicast: • Cualquier fuente: Haga clic en Añadir para especificar una lista de grupos multicast para los que se permite el tráfico PIM-SM. de fuentes: Especifique la cantidad máxima de pertenencias específicas de origen permitido en esta interfaz (0 = ilimitado). versión 7.Configuración de un enrutador virtual Tabla 107. • Habilitar: Active la casilla de verificación para activar la configuración IGMP. • Prioridad de DR: Especifique la prioridad del enrutador que se ha designado para esta interfaz • Borde de BSR: Active la casilla de verificación para utilizar la interfaz como borde de arranque. • Intervalo de saludo: Especifique el intervalo entre mensajes de saludo de PIM. IGMP se debe activar para el host del lado de las interfaces (enrutador IGMP) o para interfaces de host proxy IGMP. – Salida inmediata: Active la casilla de verificación para salir del grupo inmediatamente cuando reciba un mensaje de salida. El valor predeterminado es 60.0 Palo Alto Networks . Configuración PIM Especifique los siguientes ajustes multicast independiente de protocolo (PIM): • Habilitar: Seleccione la casilla de verificación para permitir que esta interfaz reciba y/o reenvíe mensajes PIM • Imponer intervalo: Especifique el intervalo entre mensajes de imposición de PIM. • Máx. opción predefinida 2). 184 • Guía de referencia de interfaz web. 2 o 3 que se ejecutará en la interfaz. IGMP Especifique reglas para el tráfico IGMP. • Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de unión y poda de PIM (segundos). • Vecinos PIM: Haga clic en Añadir para especificar la lista de vecinos que se comunicarán mediante PIM. Esta opción se debe deshabilitar para su compatibilidad con IGMPv1. • Configuración de consultas: Especifique lo siguiente: – Intervalo de consulta: Especifique el intervalo al que se enviarán las consultas generales a todos los hosts. • Origen específico: Haga clic en Añadir para especificar una lista de grupos multicast y pares de origen multicast para los que se permite el tráfico PIM-SSM. • Máx.

• Umbral: Especifique el rendimiento al que se cambiará desde la distribución del árbol compartido a la distribución del árbol de origen.Configuración de un enrutador virtual Configuración de la pestaña Umbral SPT Red > Enrutador virtual > Multicast > Umbral SPT La tabla siguiente describe los ajustes de la pestaña Umbral SPT.0 • 185 . Haga clic en Añadir para especificar los siguientes ajustes de direcciones de origen específico: • Nombre: Introduzca un nombre para identificar este grupo de ajustes. • Incluido: Active esta casilla de verificación para incluir los grupos especificados en el espacio de dirección SSM. Tabla 108. Configuración multicast – Pestaña Umbral SPT Campo Descripción Pestaña secundaria Umbral SPT Nombre El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en kbps) a la que el enrutamiento multicast cambiará desde la distribución del árbol compartido (con origen en el punto de encuentro) a la distribución del árbol de origen. • Grupo: Especifique los grupos del espacio de dirección SSM. Tabla 109. versión 7. Configuración multicast – Pestaña Espacio de dirección específico de origen Campo Descripción Pestaña secundaria Espacio de dirección específico de origen Nombre Define los grupos multicast a los que el cortafuegos proporcionará servicios multicast de origen específico (SSM). Haga clic en Añadir para especificar los siguientes ajustes de SPT: • Grupo/prefijo multicast: Especifique la dirección/prefijo IP para el que SPT se cambiará a la distribución del árbol de origen cuando el rendimiento alcance los umbrales deseados (kbps). Palo Alto Networks Guía de referencia de interfaz web. Configuración de la pestaña Espacio de dirección específico de origen Red > Enrutador virtual > Multicast > Espacio de dirección específico de origen La tabla siguiente describe los ajustes de la pestaña Espacio de dirección específico de origen.

Para añadir nuevos perfiles. versión 7. puntos. se debe asignar a una zona de seguridad. Los tipos de zona de capa 2 y capa 3 enumeran todas las interfaces y subinterfaces Ethernet de ese tipo. Seleccione el vsys que se aplicará a esta zona. Ajuste de log Seleccione un perfil para reenviar logs de protección de zonas a un sistema externo. El tipo de sistema virtual externo es para comunicaciones entre los sistemas virtuales del cortafuegos.0 Palo Alto Networks . Perfiles de protección de zonas Seleccione un perfil que especifique cómo responde la puerta de enlace de seguridad a los ataques en esta zona. haga clic en Nuevo (consulte “Reenvío de logs”). Este nombre aparece en la lista de zonas cuando se definen políticas de seguridad y se configuran interfaces. Ubicación Este campo solo aparece si el dispositivo admite varios sistemas virtuales (vsys) y esa función está activada. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tipo Seleccione un tipo de zona (Capa 2. haga clic en Nueva y especifique la siguiente información: Tabla 110. Tap. guiones y guiones bajos. Si tiene un perfil de reenvío de logs denominado predeterminado. o sistema virtual externo) para enumerar todas las interfaces de ese tipo que no tengan una zona asignada. Para definir zonas de seguridad. 186 • Guía de referencia de interfaz web. consulte “Definición de perfiles de protección de zonas”. este se seleccionará automáticamente para este campo cuando defina una nueva zona de seguridad. Configuración de zona de seguridad Campo Descripción Nombre Introduzca un nombre de una zona (hasta 15 caracteres).Configuración de un enrutador virtual Definición de zonas de seguridad Red > Zonas Para que la interfaz de un cortafuegos pueda procesar el tráfico. números. Para definir o añadir un nuevo perfil de reenvío de logs (y para denominar a un perfil predeterminado y que este campo se rellene automáticamente). Utilice únicamente letras. Cada interfaz puede pertenecer a una zona en un sistema virtual. Cable virtual. Capa 3. Puede cancelar esta configuración predeterminada en cualquier momento seleccionado un perfil de reenvío de logs diferente cuando establezca una nueva zona de seguridad.

Para definir el intervalo supervisado. si no especifica las subredes en esta lista. Para limitar la aplicación de información de asignación de usuario a subredes específicas en la zona después. Componentes del ECMP Red > Enrutadores virtuales > Configuración de enrutador > ECMP El procesamiento de trayectoria múltiple a igual coste (ECMP) es una función de red que permite al cortafuegos usar hasta cuatro rutas de igual coste hacia el mismo destino. el cortafuegos no aplicará la información de asignación de usuario al tráfico de la zona aunque seleccione la casilla de verificación Habilitar identificación de usuarios. Sin esta función. el cortafuegos excluye la información de asignación de usuarios para todas las subredes de la zona. haga clic en Añadir y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP. y excluye información de todas las subredes de zona fuera de 10.1.2.Configuración de un enrutador virtual Tabla 110. no solo las subredes que ha añadido. Para definir el intervalo supervisado.0.0/8 a la Lista de permitidos y 10. para cada subred.50. Configuración de zona de seguridad (Continuación) Campo Descripción Habilitar identificación de usuarios Si ha configurado el ID de usuario para realizar una asignación de dirección IP a nombre de usuario (detección).0.0/22.0. use la Lista de permitidos y la Lista de excluidos. Si añade entradas a la Lista de excluidos pero no la Lista de permitidos. si selecciona esta casilla de verificación. Por defecto.0/8 excepto 10.1/24). ACL de identificación de usuarios Lista de excluidos Para excluir la información de asignación de usuario para un subconjunto de subredes en la Lista de permitidos. haga clic en Agregar y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP (por ejemplo. el cortafuegos aplica la información de asignación de usuario que detecte a todo el tráfico de la zona para usarla en logs. Por ejemplo. no usará ninguna de las demás Palo Alto Networks Guía de referencia de interfaz web. Si la zona está fuera del intervalo. Observe que solo puede incluir subredes que caigan dentro del intervalo de red que supervise el ID de usuario. La exclusión de todas las demás subredes es implícita: no necesita añadirlas a la Lista de excluidos. informes y políticas.50. seleccione esta casilla de verificación para aplicar la información de asignación al tráfico en esta zona. el enrutador virtual selecciona una de estas rutas de la tabla de enrutamiento y la añade a su tabla de envío.0. consulte la Guía del administrador de PAN-OS.0. si hay múltiples rutas del mismo coste al mismo destino. Observe que el ID de usuario realiza una detección de la zona solo si cae dentro del intervalo de red que supervisa el ID de usuario. ACL de identificación de usuarios Lista de permitidos Por defecto.0/8. versión 7.2. si añade 10. informes y políticas excluirán la información de asignación de usuario del tráfico de la zona. el cortafuegos incluirá la información de asignación de usuario a todas las subredes de zona de 10. Si cancela la selección de la casilla de verificación. los logs de cortafuegos. consulte la Guía del administrador de PAN-OS.0 • 187 .1. Para limitar la información a subredes específicas de la zona. el cortafuegos aplica información de asignación de usuario al tráfico de todas las subredes de la zona. para cada subred que vaya a excluir.0. 10. Añada entradas a la Lista de excluidos únicamente para excluir información de asignación de usuario para un subconjunto de redes en la Lista de permitidos.0/22 a la Lista de excluidos.

desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. versión 7. en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB seleccione una ruta alternativa. 3 o 4) a una red de destino que puede copiarse del RIB al FIB.0 Palo Alto Networks . no a nivel de paquete. Este comportamiento solo se produce con flujos de tráfico del servidor al cliente. lo que puede provocar que se terminen las sesiones. • Use el ancho de banda disponible en enlaces hacia el mismo destino. El equilibrio de carga de ECMP se realiza a nivel de sesión. Habilitar La activación. Ruta máx. en lugar de usar la interfaz ECMP. • Cambie dinámicamente el tráfico a otro miembro de ECMP hacia el mismo destino si falla un enlace. Es decir. lo que puede provocar que se terminen las sesiones.Configuración de un enrutador virtual rutas a no ser que se interrumpa la ruta seleccionada. Para configurar ECMP para un enrutador virtual. en lugar de dejar algunos enlaces sin usar. el cortafuegos usará la interfaz de entrada a la que enviar los paquetes de retorno. seleccione la pestaña ECMP y configure lo siguiente: Tabla 111 ECMP Campo Descripción Haga clic en Habilitar para habilitar ECMP. Valor predeterminado: 2. 188 • Guía de referencia de interfaz web. Note: La activación. permitiendo que el cortafuegos: • Equilibre la carga de los flujos (sesiones) al mismo destino en múltiples enlaces del mismo coste. Seleccione el número máximo de rutas de coste igual (2. La habilitación de la funcionalidad ECMP en un enrutador virtual permite que el cortafuegos tenga hasta cuatro rutas del mismo coste a un destino en esta tabla de reenvío. en Configuración de enrutador. Esto significa que el cortafuegos selecciona una ruta de igual coste al principio de una nueva sesión. de modo que el ajuste Retorno simétrico sobrescribe el equilibrio de cargas. Retorno simétrico Tiene la opción se hacer clic en la casilla de verificación Retorno simétrico para provocar que los paquetes de retorno salgan de la misma interfaz a la que llegaron los paquetes de entrada asociados. seleccione un enrutador virtual y. Esto puede ayudar a reducir el tiempo de inactividad cuando falla el enlace. no cada vez que se recibe un paquete. desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos.

• Hash de IP: Tiene la opción de hacer clic en Usar puertos de origen/destino para incluir los puertos en el cálculo de hash. no a nivel de paquete. Haga clic en Añadir y seleccione una Interfaz para incluirla en el grupo de operación por turnos ponderada. • Pestaña BGP: Consulte “Pestaña BGP”. además de las direcciones IP de origen y destino. que usa un hash de las direcciones IP de origen y destino en el encabezado del paquete para determinar qué ruta ECMP se puede usar. versión 7. Esto significa que el cortafuegos (ECMP) selecciona una ruta de igual coste al principio de una nueva sesión. En cada interfaz. El campo Peso es de manera predeterminada 100.Configuración de un enrutador virtual Tabla 111 ECMP (Continuación) Campo Descripción Seleccione uno de los siguientes algoritmos de equilibrado de carga ECMP para usarlo en el enrutador virtual. • Pestaña RIP: Consulte “Pestaña RIP”. Más estadísticas de tiempo de ejecución para un enrutador virtual Haga clic en el enlace Más estadísticas de tiempo de ejecución de una fila de enrutador virtual para que se abra una ventana con información sobre ese enrutador virtual. Al seleccionar este algoritmo se abrirá la ventana Interfaz. escriba el Peso que se usará para esa interfaz. el intervalo 1-255. El equilibrio de carga de ECMP se realiza a nivel de sesión. • Pestaña Multidifusión: Consulte “Pestaña Multidifusión”. para que haya más tráfico ECMP que atraviese el enlace más rápido.0 • 189 . Haga clic en Añadir de nuevo para añadir otra interfaz y peso. Método • Módulo de IP: Por defecto. • Operación por turnos equilibrada: Distribuye las secciones de ECMP entrantes de forma homogénea entre los enlaces. También puede introducir un valor de Valor de inicialización de hash (un entero) para aleatorizar aún más el equilibrio de cargas. Palo Alto Networks Guía de referencia de interfaz web. La ventana muestra las siguientes pestañas: • Pestaña Enrutamiento: Consulte “Pestaña Enrutamiento”. con más frecuencia se seleccionará esa ruta de igual coste en una nueva sesión. Mientras mayor sea el peso de una ruta de coste igual específica. no cada vez que se recibe un paquete. Un enlace de mayor velocidad recibirá un peso más alto que uno más lento. el enrutador virtual equilibra las cargas de sesiones mediante esta opción. • Operación por turnos ponderada: Este algoritmo se puede usar para tener en cuenta distintas capacidades y velocidades de enlace.

Tabla 112 Estadísticas de tiempo de ejecución de enrutamiento Campo Descripción Destino Máscara de red y dirección IPv4 o dirección IPv6 y longitud de prefijo de redes que puede alcanzar el enrutador virtual.Destino = solo host. Interfaz Interfaz de salida del enrutador virtual que deberá usarse para llegar al siguiente salto. 190 • Guía de referencia de interfaz web. Marcas • A?B: Activo y obtenido mediante BGP. Si el siguiente salto es 0.0. • A R: Activo y obtenido mediante RIP.0. Métrica Métrica de la ruta. Intervalos de eliminación Número de intervalos tras el cual una ruta se marca como inutilizable y tras el cual. versión 7.0 Palo Alto Networks . Las rutas estáticas no tienen edad. • A C: Activo y resultado de una interfaz interna (conectada) . Tabla 113 Estadísticas de tiempo de ejecución de RIP Campo Descripción Pestaña secundaria Resumen Segundos del intervalo Número de segundos en un intervalo. • O1: OSPF externo tipo 1. esta valor afecta al Intervalo de actualización. Intervalo de actualizaciones Numero de intervalos entre las actualizaciones de anuncio de enrutamiento RIP que el enrutador virtual envía a los peer. si no se recibe ninguna actualización.Configuración de un enrutador virtual Pestaña Enrutamiento La siguiente tabla describe las Estadísticas de tiempo de ejecución de enrutamiento del enrutador virtual. los Intervalos de vencimiento y el Intervalo de eliminación. • A C: Activo y resultado de una interfaz interna (conectada) . • Oo: OSPF interárea. tras el cual el enrutador virtual marca las rutas del peer como inutilizables.0. se indica la ruta predeterminada. • S: Inactivo (porque esta ruta tiene una métrica más alta) y estático. Siguiente salto Dirección IP del siguiente salto hacia la red de destino. la ruta se elimina de la tabla de enrutamiento. • Oi: OSPF intraárea. • A S: Activo y estático. Intervalos de vencimiento Número de intervalos desde que se recibió la última actualización del enrutador virtual de un peer.Destino = red. Edad Edad de la entrada de la ruta en la tabla de rutas. Pestaña RIP La siguiente tabla describe las Estadísticas de tiempo de ejecución de RIP del enrutador virtual. • O2: OSPF externo tipo 2.

Última actualización Fecha y hora a la que se recibió la última actualización de este peer. Pestaña secundaria Peer Dirección del peer Dirección IP de un peer hacia la interfaz RIP del enrutador virtual. dirección ilegal.0 • 191 . subred incorrecta. Recibir permitidos La marca de verificación indica que esta interfaz tiene permiso para recibir paquetes RIP. fallo de autenticación o no hay suficiente memoria. Paquetes no válidos Recuento de paquetes no válidos recibidos de este peer. versión 7. Enviar permitidos La marca de verificación indica que esta interfaz tiene permiso para enviar paquetes RIP. Tipo de autenticación Tipo de autenticación: contraseña simple. Preferido Clave de autenticación preferida. Versión de RIP Versión RIP que está ejecutando el peer. Posibles causas por las que el cortafuegos no puede procesar el paquete RIP: x bytes por encima del límite de enrutamiento. Rechazar ruta por defecto Indica si se ha configurado la opción Rechazar ruta por defecto. demasiadas rutas en el paquete. Rutas no válidas Recuento de rutas no válidas recibidas de este peer. fallo de importación o memoria insuficiente. Causas posibles: ruta no válida. Anunciar ruta predeterminada La marca de verificación indica que RIP anunciará su ruta predeterminada a sus peers. Mientras menor sea el valor métrico más prioridad tendrá en la tabla de enrutamiento para su selección como ruta preferida.Configuración de un enrutador virtual Tabla 113 Estadísticas de tiempo de ejecución de RIP (Continuación) Campo Descripción Pestaña secundaria Interfaces Dirección Dirección IP de una interfaz en el enrutador virtual donde está activado RIP. Métrica de ruta predeterminada Métrica (recuento de saltos) asignada a la ruta predeterminada. Palo Alto Networks Guía de referencia de interfaz web. MD5 o ninguno. Tabla 114 Estadísticas de tiempo de ejecución de BGP Campo Descripción Pestaña secundaria Resumen ID del enrutador Id de enrutador asignada a la instancia de BGP. Pestaña BGP La siguiente tabla describe las estadísticas de tiempo de ejecución de BGP del enrutador virtual. que provoca que VR ignore cualquier ruta predeterminada anunciada por los peers BGP. ID de clave Clave de autenticación usada con los peers.

IP local Dirección IP de la interfaz BGP en el VR. p. ID de clúster Muestra el ID de clúster reflector configurado. versión 7. Contraseña establecida Sí o No indica si se ha definido la autenticación. que permite comparar entre rutas de vecinos en distintos sistemas autónomos. AS local Número de AS al que pertenece VR. Agregar MED independientemente Indica si se ha configurado la opción Agregar MED. Reinicio correcto Indica si se ha activado o no Reinicio correcto (asistencia). Tamaño AS Indica si el tamaño de Formato AS seleccionado es 2 Byte o 4 Byte. que permite añadir una ruta aunque las rutas tengan valores MED distintos. Duración de estado (seg. Comparar siempre MED Indica si se ha configurado la opción Comparar siempre MED. IP del peer Dirección IP del peer. ej. Peer AS Sistema autónomo al que pertenece el peer. Confirmación abierta o Enviado abierto. Conectar. El campo será 0 si VR no está en una confederación. Instalar ruta Indica si se ha configurado la opción Instalar ruta. Establecido. como EBGP o IBGP. Tipo Tipo del grupo de peers configurados. Estado Estado del peer. Entradas salientes de RIB actuales Número de entradas en la tabla RIB saliente.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Redistribuir ruta por defecto Indica si se ha configurado la opción Permitir redistribución de ruta predeterminada. Grupo Nombre del grupo de peers al que pertenece este peer. que provoca que VR instale las rutas BGP en la tabla de enrutamiento global. Procesamiento determinista de MED Indica si se ha configurado la opción Comparación determinista de MED. que permite a una comparación elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo AS). AS de miembro local Número AS de miembro local (solo válido si el VR está en una confederación). Activo. Entradas salientes de RIB pico Número máximo de rutas Adj-RIB-Salida que se han asignado en un momento dado. Pestaña secundaria Peer Nombre Nombre del peer.) Duración del estado del peer. Pestaña secundaria Grupo de peers Nombre de grupo Nombre del grupo de peers. Preferencia local predeterminada Muestra la preferencia local predeterminada configurada para el VR.0 Palo Alto Networks . Inactivo. 192 • Guía de referencia de interfaz web.

el restablecimiento parcial permite que las tablas de enrutamiento se actualicen sin borrar las sesiones BGP. Peer Nombre del peer. Es preferible una preferencia local más alta en lugar de más baja. las actualizaciones de tabla de enrutamiento pueden verse afectadas. que el AS que anuncia la ruta sugiere a un AS externo. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. Si el cortafuegos tiene más de una ruta hacia el mismo prefijo. Peso Atributo de peso asignado al prefijo. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. Recuento de flaps Número de flaps de la ruta. Atributo de preferencia local para la ruta. Atributo de preferencia local para acceder al prefijo. Próximo salto automático Sí o No indica si se ha configurado esta opción. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. Cuando cambian las políticas de enrutamiento a un peer BGP. Se recomienda un restablecimiento parcial de las sesiones BGP en lugar de uno completo. Palo Alto Networks Guía de referencia de interfaz web. IP Origen Atributo de origen para el prefijo.0 • 193 . Preferencia local. El MED es un atributo métrico para una ruta.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Agregar AS confederado Sí o No indican si se ha configurado la opción Agregar AS confederado. la ruta con el peso más alto se instalará en la tabla de enrutamiento de IP. Ruta AS Lista de sistemas autónomos en la ruta hacia la red Prefijo. Pestaña secundaria RIB saliente Prefijo Entrada de enrutamiento de red en la base de información de enrutamiento. Pestaña secundaria RIB local Prefijo Prefijo de red y máscara de subred en la base de información de enrutamiento local. Siguiente salto de tercero Sí o No indica si se ha configurado esta opción. MED Atributo Discriminador de salida múltiple (MED) de la ruta. la lista se anuncia en las actualizaciones BGP. versión 7. Se prefiere un MED más bajo antes que uno más alto. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. Eliminar AS privado Indica si las actualizaciones eliminarán los números AS privados del atributo AS_PATH antes de que se envíen. Peer Peer al que el VR anunciará esta ruta. Marca * indica que la ruta se seleccionó como la mejor ruta BGP. Es preferible una preferencia local más alta en lugar de más baja. Soporte de restablecimiento parcial Sí o No indica si el grupo de peers admite un restablecimiento parcial. cómo BGP programó la ruta. Preferencia local.

Potencia Potencia variable de la interfaz IGMP. versión 7. Tabla 115 Estadísticas de tiempo de ejecución multicast Campo Descripción Pestaña secundaria FIB Grupo Dirección de grupo multicast que reenviará el VR. Anunciar estado Estado anunciado de la ruta. Tiempo de activación del solicitante Tiempo que el solicitante IGMP ha estado activado. Tiempo de vencimiento del solicitante Tiempo restante para que caduque el cronómetro de presencia de otro solicitante. IP Origen Atributo de origen para el prefijo. cómo BGP programó la ruta.0 Palo Alto Networks . Interfaces entrantes Indica interfaces en las que el tráfico multicast entra en VR. Origen Dirección de origen multicast. Límite de grupos Número de grupos multicast permitidos en la interfaz. Solicitante Dirección IP del solicitante IGMP en esa interfaz. El MED es un atributo métrico para una ruta. Grupo Dirección de grupo multicast de IP. Salida inmediata indica que el enrutador virtual eliminará una interfaz de la entrada de tabla de reenvíos sin enviar las consultas específicas de grupo IGMP de la interfaz. Agregar estado Indica si la ruta se ha agregado con otras rutas. Pestaña secundaria Pertenencia IGMP Interfaz Nombre de una interfaz a la que corresponde la pertenencia. Límite de orígenes Número de orígenes multicast permitidos en la interfaz. que el AS que anuncia la ruta sugiere a un AS externo. MED Atributo Discriminador de salida múltiple (MED) del prefijo. 2 o 3 del Protocolo de administración de grupos de Internet (IGMP). 194 • Guía de referencia de interfaz web. Pestaña Multidifusión La siguiente tabla describe las estadísticas de tiempo de ejecución de IP multicast del enrutador virtual.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Ruta AS Lista de sistemas autónomos en la ruta hacia la red de prefijo. Pestaña secundaria Interfaz IGMP Interfaz Interfaz que tiene activado IGMP. Salida inmediata Sí o No indica si se ha configurado la Salida inmediata. Versión Versión 1. Se prefiere un MED más bajo antes que uno más alto.

Tiempo de activación Tiempo que ha estado activada esta pertenencia. Temporizador de host V1 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 1 en la subred de IP adjuntada a la interfaz.Configuración de un enrutador virtual Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción Origen Dirección de origen del tráfico multicast. Unir/eliminar intervalo Intervalo de unión/eliminación configurado (en segundos).0 • 195 . Pestaña secundaria Interfaz PIM Interfaz Nombre de la interfaz que participa en PIM. VR se ha configurado para incluir todo el tráfico o solo el que procede de este origen (incluir). Inactivo Indica que la asignación del grupo al RP está inactiva. Excluir caducidad Tiempo restante hasta que vence el estado Excluir de la interfaz. Dirección secundaria Dirección IP secundaria del vecino. Tiempo de vencimiento Tiempo que queda antes de que venza la pertenencia. Imponer intervalo Intervalo de imposición configurado (en segundos). Borde de BSR Sí o no. o el tráfico de cualquier origen excepto este (excluir). Dirección Dirección IP del vecino. RP Dirección IP del punto de encuentro del grupo. Tiempo de vencimiento Tiempo restante antes de que expire el vecino porque VR no recibe paquetes de saludo del vecino. Temporizador de host V2 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 2 en la subred de IP adjuntada a la interfaz. Prioridad de DR Prioridad configurada para el enrutador designado. DR Dirección IP del enrutador designado en esa interfaz. versión 7. Pestaña secundaria Asignación de grupos PIM Grupo Dirección IP del grupo asignado a un punto de encuentro. Pestaña secundaria Vecino PIM Interfaz Nombre de la interfaz en el VR. Tiempo de activación Tiempo que el vecino ha estado activado. Modo de filtro Incluir o excluir el origen. Intervalo de saludo Intervalo de saludo configurado (en segundos). Dirección Dirección IP de la interfaz. Palo Alto Networks Guía de referencia de interfaz web. IP Origen Indica dónde identificó VR el RP. Modo PIM ASM o SSM.

Al asignar esas funciones a distintas interfaces. Configuración de la compatibilidad de VLAN Red > VLAN El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802. Una interfaz en un cortafuegos Palo Alto Networks puede actuar como un servidor. Configuración de MAC estática Especifique la interfaz mediante la que una dirección MAC es alcanzable. consulte “Configuración de una interfaz VLAN”. Este nombre aparece en la lista de redes VLAN cuando se configuran interfaces. Configuración de VLAN Campo Descripción Nombre Introduzca un nombre de VLAN (de hasta 31 caracteres). Tabla 116.Configuración de la compatibilidad de VLAN Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción ID de generación Valor que el VR ha recibido del vecino en el último mensaje de saludo PIM que se ha recibido en esta interfaz. Cada una de las interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada.1Q. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. pero cada interfaz solo puede pertenecer a una VLAN. guiones y guiones bajos. Interfaz de VLAN Seleccione una interfaz VLAN para permitir enrutar el tráfico fuera de la VLAN. espacios. versión 7.0 Palo Alto Networks . Prioridad de DR Prioridad de enrutador designado que ha recibido el VR en el último mensaje de saludo PIM de este vecino. y direcciones de red a los hosts configurados dinámicamente en una red TCP/IP. cliente o agente de retransmisión de DHCP. Utilice únicamente letras. La misma VLAN se puede asignar a varias interfaces de capa 2. Configuración de DHCP El protocolo de configuración de host dinámico (DHCP) es un protocolo estandarizado que proporciona parámetros de configuración de capa de enlace y TCP/IP. números. Para definir una interfaz VLAN. Sustituye a todas las asignaciones obtenidas de interfaz a MAC. el cortafuegos puede desempeñar múltiples funciones. Interfaces Especifique interfaces del cortafuegos para VLAN. ¿Qué está buscando? Consulte ¿Qué es el DHCP? “Descripción general de DHCP” ¿Cómo asigna las direcciones un servidor DHCP? “Dirección DHCP” ¿Cómo se configura un servidor DHCP? “Componentes del servidor DHCP” 196 • Guía de referencia de interfaz web.

La asignación DHCP estática es permanente.Configuración de DHCP ¿Qué está buscando? Consulte ¿Cómo se configura un agente de retransmisión DHCP? “Componentes del retransmisión DHCP” ¿Cómo se configura un cliente DHCP? “Componentes del cliente DHCP” Mostrarme un ejemplo básico. Dirección DHCP Hay tres formas en que el servidor DHCP asigna o envía una dirección IP a un cliente. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo de configuración. En el cortafuegos. • Un dispositivo que actúa como un agente de retransmisión DHCP escucha mensajes de transmite mensajes de DHCP de unidifusión y difusión y los transmite entre los clientes y los servidores DHCP. • Ubicación dinámica: El servidor DHCP asigna una dirección IP reutilizable desde Grupos de IP de direcciones a un cliente para un periodo máximo de tiempo. Este modelo consta de tres funciones que puede desempeñar el dispositivo: Cliente DHCP.0 • 197 . Los mensajes DHCP que un cliente envía a un servidor se envían al puerto conocido 67 (UDP. pueden asignarse a los clientes que necesitan solo un acceso temporal a la red. DHCP usa protocolo de datagramas de usuario(UDP). y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que heredan del servidor DHCP. Si se usa alguno de esos tres mecanismos de direcciones DHCP. versión 7. Descripción general de DHCP Red > DHCP DHCP usa un modelo cliente-servidor de comunicación. • Ubicación automática: El servidor DHCP asigna una dirección IP permanente a un cliente desde sus Grupos de IP. “Ejemplo: Configure un servidor DHCP con opciones personalizadas” ¿Busca más información? Consulte DHCP. una Concesión que se especifique como Ilimitada significa que la ubicación es permanente. como protocolo de transporte. se realiza configurando un servidor DHCP y seleccionando una Dirección reservada para Palo Alto Networks Guía de referencia de interfaz web. • Un dispositivo que funcione como cliente DHCP (host) puede solicitar una dirección IP y otros ajustes de configuración al servidor DHCP. protocolo de arranque y DHCP). El servidor puede ofrecer direcciones IP y muchas opciones DHCP a muchos clientes. servidor DHCP y agente de relé DHCP. el administrador de red ahorra tiempo y tiene el beneficio de reutilizar un número limitado de direcciones IP de clientes que ya no necesitan una conectividad de red. Este método de asignación de la dirección es útil cuando el cliente tiene un número limitado de direcciones IP. • Un dispositivo que actúa como un servidor DHCP puede atender a los clientes. conocido como Concesión. • Asignación estática: El administrador de red selecciona la dirección IP para asignarla al cliente y el servidor DHCP se la envía. Los mensajes DHCP que un servidor envía a un cliente se envían al puerto 68. RFC 768.

198 • Guía de referencia de interfaz web.). Vínculo hacia los temas relacionados: • “Componentes del servidor DHCP” • “Componentes del retransmisión DHCP” • “Componentes del cliente DHCP” • “Ejemplo: Configure un servidor DHCP con opciones personalizadas” Componentes del servidor DHCP Red > DHCP > Servidor DHCP La siguiente sección describe cada componente del servidor DHCP. reinicie. por ejemplo. – Si asigna todas las direcciones de Grupos IP como una Dirección reservada.0 Palo Alto Networks .Configuración de DHCP que corresponda con la Dirección MAC del dispositivo cliente. etc. desconecte. por ejemplo. En este caso. Antes de configurar un servidor DHCP. y de que la interfaz se asigna a una zona y un enrutador virtual. – Si no configura ninguna Dirección reservada. Tenga en cuenta los siguientes puntos cuando configure una Dirección reservada: – Es una dirección de Grupos de IP. sufra un corte de alimentación. versión 7. si tiene una impresora en una LAN y no desea que su dirección IP siga cambiando porque se asocia con un nombre de impresora a través de DNS. no hay direcciones dinámicas libres para asignarlas al siguiente cliente DHCP que solicite una dirección. También debería conocer un grupo válido de direcciones IP de su plan de red que pueda designarse para que su servidor DHCP lo asigne a los clientes. asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3. Puede configurar múltiples direcciones reservadas. (a no ser que haya especificado que una Concesión sea Ilimitada). sin usar DHCP. los clientes del servidor recibirán nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se reinician. – Puede configurar una Dirección reservada sin configurar una Dirección MAC. etc. Puede reservar unas direcciones del grupo y asignarlas estáticamente a un fax e impresora. etc. La asignación DHCP continúa en su lugar aunque el cliente se desconecte (cierre sesión. el servidor DHCP no asignará la Dirección reservada a ningún dispositivo. Otro ejemplo es si el dispositivo cliente se usa para una función crucial y debe mantener la misma dirección IP aunque el dispositivo se apague. reinicie o sufra un corte de alimentación. La asignación estática de una dirección IP es útil.

Configuración de DHCP

Cuando añada un servidor DHCP, puede configurar los ajustes descritos en la tabla siguiente.
Los ajustes del servidor DHCP resultantes tendrán un aspecto similar al siguiente:

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción

Interfaz

Servidor DHCP

Nombre de la interfaz que funcionará como servidor DHCP.

Servidor DHCP

Seleccione habilitado o modo Automático. El modo
Automático activa el servidor y lo desactiva si se detecta
otro servidor DHCP en la red. El ajuste habilitado
desactiva el servidor.

Concesión

Si hace clic en Hacer ping a la IP al asignar IP nuevas, el
servidor hará ping a la dirección IP antes de asignarla a su
cliente. Si el ping recibe una respuesta, significará que ya
hay un dispositivo diferente con esa dirección, por lo que
no está disponible. El servidor asigna la siguiente dirección
desde el grupo. Si selecciona esta opción, la columna
Rastrear IP de la pantalla tendrá una marca de selección.

Modo

Hacer ping a la
IP al asignar IP
nuevas

Especifique un tipo de concesión.

Concesión

Grupos de IP

Dirección
reservada

Palo Alto Networks

Concesión

Concesión

• Ilimitada provoca que el servidor seleccione dinámicamente direcciones IP desde los Grupos IP y los asigne de
forma permanente a los clientes.
• Tiempo de espera determina cuánto durará esa concesión. Introduzca el número de Días y Horas y, opcionalmente, el número de Minutos.
Especifique el grupo de direcciones IP de estado desde el
que el servidor DHCP seleccione una dirección y la asigna a
un cliente DHCP.
Puede introducir una única dirección, una dirección/
<longitud de máscara>, como 192.168.1.0/24, o un intervalo
de direcciones, como 192.168.1.10-192.168.1.20.
También puede especificar una dirección IP (formato
x.x.x.x) desde los grupos de IP que no desee asignar
dinámicamente mediante el servidor DHCP.

Concesión

Si también especifica una Dirección MAC (formato
xx:xx:xx:xx:xx:xx), la Dirección reservada se asigna al
dispositivo asociado con la dirección MAC cuando ese
dispositivo solicita una dirección IP a través de DHCP.

Guía de referencia de interfaz web, versión 7.0 • 199

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Seleccione Ninguno (predeterminado) o seleccione una
interfaz de cliente DHCP de origen o una interfaz de cliente
PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Origen de herencia,
seleccione una o varias opciones que desee como heredadas
desde este origen.

Origen de
herencia

Opciones

Una de las ventajas de especificar un origen de herencia es
que las opciones DHCP se transfieren rápidamente desde el
servidor que está antes del cliente DHCP de origen.
También mantiene actualizadas las opciones del cliente si se
cambia una opción en el origen de herencia. Por ejemplo, si
el origen de herencia sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente
heredará automáticamente la nueva dirección como su
nuevo servidor NTP principal.

Opciones

Si ha seleccionado Origen de herencia, al hacer clic en
Comprobar estado de origen de herencia para abrir la
ventana Estado de interfaz de IP dinámica que muestra las
opciones que se han heredado desde el cliente DHCP.

Puerta de enlace

Opciones

Especifique la dirección IP de la puerta de enlace de la red
(una interfaz en el cortafuegos) que se usa para llegar a
cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.

Máscara de
subred

Opciones

Especifique la máscara de red que se aplica a las direcciones
del campo Grupos de IP.

Comprobar el
estado de origen
de herencia

200 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
En los siguientes campos, haga clic en la flecha hacia abajo y
seleccione Ninguno o heredado, o introduzca una dirección
IP de servidor remoto que su servidor DHCP enviará a los
clientes para acceder a ese servicio. Si ha seleccionado
heredado, el servidor DHCP hereda los valores desde el
cliente DHCP de origen, especificado como Origen de
herencia.
El servidor DHCP envía estos ajustes a sus clientes.

Opciones

Palo Alto Networks

Opciones

• DNS principal, DNS secundario: Dirección IP de los servidores del sistema de nombres de dominio (DNS) preferidos y alternativos.
• WINS principal, WINS secundario: Introduzca la dirección IP de los servidores Windows Internet Naming
Service (WINS) preferidos y alternativos.
• NIS principal, NIS secundario: Introduzca la dirección
IP de los servidores del Servicio de información de la red
(NIS) preferidos y alternativos.
• NTP principal, NTP secundario: Dirección IP de los servidores del protocolo de tiempo de redes (NTP) disponibles.
• Servidor POP3: Introduzca la dirección IP del servidor
Post Office Protocol de versión 3 (POP3).
• Servidor SMTP: Introduzca la dirección IP del servidor
del protocolo simple de transferencia de correo (SMTP).
• Sufijo DNS: Sufijo para que el cliente lo use localmente
cuando se introduce un nombre de host sin cualificar que
no puede resolver el cliente.

Guía de referencia de interfaz web, versión 7.0 • 201

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Haga clic en Añadir e introduzca el Nombre de la opción
personalizada que desea que el servidor DHCP envíe a los
clientes.
Introduzca un Código de opción (intervalo 1-254).

Opciones de
DHCP
personalizadas

Opciones

Si se introduce el Código de opción 43, aparece el campo
Identificador de clase de proveedor (VCI). Introduzca un
criterio de coincidencia que se compare con el VCI entrante
desde la opción 60 del cliente. El cortafuegos buscará en el
VCI entrante desde la opción 60 del cliente, busca el VCI
coincidente en su propia tabla de servidor DHCP y
devuelve el valor correspondiente al cliente en la opción 43.
El criterio de coincidencia de VCI es una cadena o valor
hexagonal. Un valor hexagonal debe tener un prefijo “0x”.
Haga clic en Heredado de fuente de herencia de DHCP
para que el servidor herede el valor para ese código de
opción desde el origen de herencia en lugar de introducir
un Valor de opción.
Como alternativa a la casilla de verificación, puede
continuar con lo siguiente:
Tipo de opción: Seleccione Dirección IP, ASCII o
Hexadecimal para especificar el tipo de datos usado para el
Valor de opción.
En Valor de opción, haga clic en Añadir e introduzca el
valor para la opción personalizada.

Componentes del retransmisión DHCP
Red > DHCP > Retransmisión DHCP
Antes de configurar una interfaz de cortafuegos como un agente de retransmisión DHCP,
asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha
asignado la interfaz a una zona y un enrutador virtual. Si quiere que la interfaz pueda pasar
mensajes DHCP entre los clientes y los servidores. La interfaz puede reenviar mensajes a un
máximo de cuatro servidores DHCP externos. Un mensaje de DHCPDISCOVER del cliente se
envía a todos los servidores configurados, y el mensaje DHCPOFFER del primer servidor que
responde se retransmite al cliente que originó la petición.

202 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 118. Configuración de retransmisión DHCP
Campo

Configurado en

Descripción

Interfaz

Retransmisión DHCP

Nombre de la interfaz que será el agente de retransmisión
DHCP.

IPv4/IPv6

Retransmisión DHCP

Seleccione el tipo de servidor DHCP y dirección IP que
especificará.

Dirección IP de
servidor DHCP

Retransmisión DHCP

Introduzca la dirección IP del servidor DHCP desde donde
y hacia donde retransmitirá los mensajes DHCP.

Interfaz

Retransmisión DHCP

Si ha seleccionado IPv6 como el protocolo de dirección IP
para el servidor DHCP y especificado una dirección
multicast, deberá también especificar una interfaz saliente.

Componentes del cliente DHCP
Red > Interfaces > Ethernet > IPv4
Red > Interfaces > VLAN > IPv4
Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegúrese de que ha
configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha asignado la interfaz a
una zona y un enrutador virtual. Realice esta tarea si quiere usar DHCP para solicitar una
dirección IPv4 para una interfaz en un cortafuegos.

Tabla 119. Configuración de cliente DHCP
Campo

Configurado en

Descripción

Tipo

IPv4

Haga clic en el botón de opción para Cliente DHCP y
seleccione Habilitar para configurar la interfaz como un
cliente DHCP.

Crear automáticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor

Métrica de ruta
predeterminada

Mostrar información de
tiempo de ejecución de
cliente DHCP

Palo Alto Networks

IPv4

Esto provoca que el cortafuegos cree una ruta estática a una
puerta de enlace predeterminada que será útil cuando los
clientes intenten acceder a muchos destinos que no
necesitan mantener rutas en una tabla de enrutamiento en
el cortafuegos.

IPv4

Una opción es introducir una Métrica de ruta
predeterminada (nivel de prioridad) para la ruta entre el
cortafuegos y el servidor de actualización. Un ruta con un
número más bajo tiene una prioridad alta durante la
selección de la ruta. Por ejemplo, una ruta con una métrica
de 10 se usa antes que una ruta con una métrica de 100.
El intervalo es de 1-65535. No hay un valor de métrica
predeterminado.

IPv4

Muestra todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesión de DHCP, la
asignación de dirección IP dinámica, la máscara de subred,
la puerta de enlace, la configuración del servidor (DNS,
NTP, dominio, WINS, NIS, POP3 y SMTP).

Guía de referencia de interfaz web, versión 7.0 • 203

Configuración de DHCP

Ejemplo: Configure un servidor DHCP con opciones personalizadas
En el siguiente ejemplo, se configura una interfaz en el cortafuegos como servidor DHCP.
El servidor DHCP se configura con las opciones 66 y 150 para proporcionar información sobre
servidores TFTP que proporciona configuraciones para teléfonos IP de Cisco. Esto significa
que cuando los clientes solicitan las opciones 66 y 150 del servidor, el servidor enviará estos
valores de opción en su respuesta. Los teléfonos IP de Cisco reciben su configuración desde
un servidor TFTP. La opción 66 de DHCP ofrece el nombre de host para un servidor TFTP; la
opción 150 ofrece la dirección IP de un servidor TFTP.

Configuración de un servidor DHCP con opciones personalizadas
1.

Seleccione Red > DHCP > Servidor DHCP.

2.

Seleccione la interfaz que sirve como servidor DHCP.

3.

En la pestaña Concesión, especifique Timeout como 1 día.

4.

Especifique el intervalo de direcciones IP en Grupos de IP que el servidor puede
asignar a los clientes.

204 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Configuración de un servidor DHCP con opciones personalizadas
5.

En la pestaña Opciones, escriba la dirección de puerta de enlace y la máscara de
subred para la red.

6.

Escriba las direcciones de los servidores que este servidor DHCP enviará a los clientes.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 205

Configuración de proxy DNS

Configuración de un servidor DHCP con opciones personalizadas
7.

Para introducir una opción DHCP personalizada, haga clic en Añadir. En este ejemplo,
escriba un nombre para la opción, como Nombre de host de teléfonos VoIP y el código
de opción 66. El nombre de la opción no se envía al cliente y facilita la identificación del
servidor.

8.

Seleccione ASCIl.

9.

Haga clic en Añadir para introducir el valor de opción TFTPserver10 y haga clic en
ACEPTAR.

10. Para introducir otra opción DHCP, haga clic en Añadir. Introduzca un nombre
diferente, como Dirección IP de teléfonos VoIP y el código de opción 150. El nombre
debe ser distinto del primer nombre porque los tipos de datos son diferentes.
11. Seleccione Dirección IP.
12. Haga clic en Añadir para introducir el valor de opción 10.1.1.1 (la dirección de
servidor TFTP principal) y haga clic en ACEPTAR.
13. Haga clic en ACEPTAR y seleccione Confirmar para guardar la configuración.

Configuración de proxy DNS
Los servidores DNS realizan el servicio de resolver un nombre de dominio con una dirección
IP y viceversa. Cuando configura el cortafuegos como un proxy DNS, actúa como un
intermediario entre los clientes y servidores y como un servidor DNS resolviendo consultas
desde su caché DNS. Use esta página para configurar los ajustes que determinan cómo el
cortafuegos sirve como un proxy DNS.

¿Qué desea saber?

Consulte

¿Cómo funciona el cortafuegos
como proxy de las solicitudes
DNS?

“Resumen proxy DNS”

¿Cómo se configura la caché
DHCP?

“Componentes del proxy DNS”

206 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de proxy DNS

¿Qué desea saber?

Consulte

¿Cómo configuro las
asignaciones de FQDN estática a
dirección IP?

“Componentes del proxy DNS”

¿Qué acciones adicionales puedo
realizar para gestionar proxies
DNS?

“Acciones adicionales de proxy DNS”

Resumen proxy DNS
Red > Proxy DNS
Para dirigir las consultas DNS a distintos servidores DNS según los nombres de dominio,
puede configurar el cortafuegos como un proxy DNS y especificar qué servidores DNS usar.
La especificación de múltiples servidores DNS puede garantizar la localización de las
consultas DNS y aumentar la eficiencia. Por ejemplo, puede reenviar todas las consultas DNS
corporativas a un servidor DNS corporativo y reenviar todas las demás consultas a los
servidores DNS ISP.
También puede enviar las consultas DNS a través de un túnel seguro para proteger detalles
sobre la configuración de red interna y le permite usar las funciones de seguridad como una
autenticación y cifrado.
En el caso de todas las consultas DNS que se dirigen a una dirección IP de interfaz, el
cortafuegos admite la dirección selectiva de consultas a diferentes servidores DNS en función
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envían mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un único paquete UDP.
La interfaz incluye las siguientes pestañas para definir el proxy DNS:

• Reglas de proxy DNS: Le permite configurar los ajustes de nombre, nombre de dominio y
servidor DNS primario y secundario.

• Entradas estáticas: Le permite configurar un FQDN estático a las asignaciones de
dirección IP que se distribuirán en respuesta a consultas DNS realizadas por los hosts.

• Avanzado: Le permite definir los reintentos de consulta TCP, consulta UDP y la caché.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 207

Configuración de proxy DNS

Si el nombre de dominio no se encuentra en la caché proxy de DNS, el cortafuegos busca una
coincidencia de configuración de las entradas en el objeto proxy DNS específico (en la interfaz
en la que se recibe la consulta DNS) y se reenvía a un servidor de nombres en función de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. También se admiten entradas estáticas y caché.

Consulte:
“Componentes del proxy DNS”
“Traslado o duplicación de una política o un objeto”

Componentes del proxy DNS
Red > Proxy DNS
La siguiente sección describe cada componente que puede configurar para establecer el
cortafuegos como un proxy DNS.

Tabla 120. Proxy DNS Configuración
Campo

Configurado en

Descripción

Habilitar

Proxy DNS

Seleccione la casilla de verificación para activar proxy DNS.

Nombre

Proxy DNS

Especifique un nombre para identificar el objeto proxy DNS
(hasta 31 caracteres). El nombre hace distinción entre mayúsculas
y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.

Ubicación

Proxy DNS

Especifique el sistema virtual al que se aplique el objeto proxy
DNS. Si quiere seleccionar Compartido, el campo Perfil de
servidor no está disponible. Introduzca los objetos de direcciones
o direcciones IP del servidor DNS Principal y Secundario. Para
que un sistema virtual utilice Proxy DNS, debe configurar uno
previamente. Vaya a Dispositivo > Sistemas virtuales, seleccione
un sistema virtual, y seleccione un Proxy DNS.

Origen de herencia

Proxy DNS

Seleccione un origen para heredar las configuraciones del
servidor DNS predefinido. Se suele utilizar en implementaciones
de sucursales, en las que a la interfaz WAN del cortafuegos se
accede mediante DHCP o PPPoE.

Comprobar el estado de
origen de herencia

Proxy DNS

Haga clic en el enlace para ver la configuración del servidor
asignada actualmente a las interfaces del cliente DHCP y PPoE.
Pueden incluir DNS, WINS, NTP, POP3, SMTP o sufijo DNS.

Perfil de servidor

Proxy DNS

Seleccione o cree un nuevo perfil de servidor DNS. Este campo no
aparece si la ubicación de los sistemas virtuales se especifica como
Compartido.

Principal

Proxy DNS

Especifique las direcciones IP de los servidores DNS primario y
secundario. Si el servidor DNS primario no se encuentra, se
utilizará el secundario.

Secundario

208 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

opción predefinida 1024). Para eliminar una interfaz. “*. versión 7. Dirección Proxy DNS > Entradas estáticas Haga clic en Añadir e introduzca las direcciones IP que se asignan a este dominio. Repita esta acción para añadir más nombres. No se requiere una interfaz si se usa el proxy DNS solo para la funcionalidad de la ruta de servicio. Puede añadir varias interfaces. Palo Alto Networks Guía de referencia de interfaz web. Para eliminar un nombre.Configuración de proxy DNS Tabla 120. Nombre de dominio Proxy DNS > Reglas de proxy DNS Haga clic en Añadir e introduzca el nombre de dominio del servidor proxy. Activar el almacenamiento en caché de dominios resueltos por esta asignación Proxy DNS > Reglas de proxy DNS Seleccione la casilla de verificación para activar el almacenamiento en caché de los dominios que se han resuelto mediante esta asignación. selecciónela y haga clic en Eliminar.0 • 209 . opción predefinida 4 horas). Los valores de tiempo de vida DNS se utilizan para eliminar las entradas de caché cuando se han almacenado durante menos tiempo que el período configurado. Debe usarse una ruta de servicio de destino con un proxy DNS sin interfaz. Repita esta acción para añadir más direcciones. • Tiempo de espera: Especifique la duración (horas) después de la que se eliminarán todas las entradas. En el caso de una regla de proxy DNS. De lo contrario. selecciónela y haga clic en Eliminar. si desea que la dirección IP de origen pueda definirse en la ruta de servicio de destino. las nuevas solicitudes se deben resolver y volver a guardar en la caché (intervalo 4 a 24. Se deben especificar ambos. Caché Proxy DNS > Avanzado Seleccione la casilla de verificación para activar el almacenamiento en caché DNS y especifique la siguiente información: • Tamaño: Especifique el número de entradas que retendrá la caché (intervalo 1024-10240.ingeniería. Tras el tiempo de espera. Por ejemplo. el proxy DNS debe seleccionar una dirección IP de interfaz como origen (cuando no se definen rutas de servicio DNS). Nombre Proxy DNS > Reglas de proxy DNS Se requiere un nombre para poder modificar y hacer referencia a una entrada mediante CLI. Nombre Proxy DNS > Entradas estáticas Introduzca un nombre para la entrada estática.local”. Para eliminar una dirección. selecciónelo y haga clic en Eliminar.local” no coincidirá con “ingeniería. el número de testigos en una cadena comodín debe coincidir con el número de testigos en el dominio solicitado. Primario/Secundario Proxy DNS > Reglas de proxy DNS Introduzca el nombre de host o la dirección IP de los servidores DNS principal y secundario. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Interfaz Proxy DNS Active las casillas de verificación Interfaz para especificar las interfaces del cortafuegos que admiten las reglas de proxy DNS. Seleccione una interfaz de la lista desplegable y haga clic en Añadir. FQDN Proxy DNS > Entradas estáticas Introduzca el nombre de dominio completo (FQDN) que se asignará a las direcciones IP estáticas definidas en el campo Dirección.

• Eliminar: Seleccione una entrada de proxy DNS y haga clic en Eliminar para eliminar la configuración de proxy DNS. haga clic en el nombre de la configuración de proxy DNS. versión 7. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Consultas TCP Proxy DNS > Avanzado Seleccione la casilla de verificación para activar las consultas DNS mediante TCP. • Intentos: Especifique el número máximo de intentos (sin incluir el primer intento) después de los cuales se intentará el siguiente servidor DNS (intervalo 1-30. Para habilitar un proxy DNS que se haya deshabilitado. de solicitudes pendientes.Configuración de LLDP Tabla 120. Reintentos de consultas de UDP Proxy DNS > Avanzado Especifique los ajustes para los reintentos de consulta UDP: • Intervalo: Especifique el tiempo en segundos después del cual se enviará otra solicitud si no se ha recibido respuesta (intervalo 1-30. opción predefinida 5). ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Definición de perfiles LLDP” ¿Busca más información? Consulte LLDP. opción predeterminada: 2 segundos). a la que se puede acceder mediante el protocolo simple 210 • Guía de referencia de interfaz web. haga clic en la entrada del proxy DNS y cancele la selección de Habilitar. Configuración de LLDP El protocolo de detección de nivel de enlace (LLDP) ofrece un método automático de detección de los dispositivos vecinos y sus funciones en la capa de enlace. Acciones adicionales de proxy DNS Tras configurar el cortafuegos como un proxy DNS. opción predeterminada: 64) en el campo Máx. • Deshabilitar: Para deshabilitar un proxy DNS. Especifique el límite superior del número de solicitudes DNS TCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256. puede realizar las siguientes acciones en la página Red > Proxy DNS para gestionar las configuraciones de proxy DNS: • Modificar: Para modificar un proxy DNS. haga clic en el nombre de la entrada de proxy DNS y se seleccione Habilitar. El dispositivo receptor almacena la información en un MIB.0 Palo Alto Networks . Descripción general de LLDP Red > LLDP El LLDP permite el cortafuegos para enviar y recibir las tramas Ethernet que contienen las unidades de datos LLDP (LLDPDUs) desde y hacia los vecinos.

Guía de referencia de interfaz web. haga clic en Editar y después en Habilitar y configure los cuatro ajustes que se muestran en la siguiente tabla. si los ajustes predeterminado no se adapta en su entorno. LLDP Especifique el tiempo de intervalo entre las transmisiones LLDP enviados después de que se realice un cambio en un elemento de Tipo-Longitud-Valor (TLV). Tabla 121. especialmente para las implementaciones de cable virtual donde el cortafuegos puede pasar desapercibido en una topología de red. versión 7. Valor predeterminado: 4. Este intervalo impide la inundación del segmento con LLDPDU si muchos cambios de red aumentan el número de cambios LLDP o si la interfaz provoca flaps. Componentes del LLDP Red > LLDP Para habilitar el LLDP en el cortafuegos. El resto de entradas de la tabla describe las estadísticas de peer y estado. El tiempo de espera TTL máximo es 65535. El tiempo de espera TTL es el tiempo que el cortafuegos conservará la información del peer como válido.0 • 211 . Valor predeterminado: 2 segundos. independientemente del valor de multiplicador. Intervalo: 1-3600 segundos. El Retraso de transmisión debe ser inferior al Intervalo de transmisión. Intervalo: 1-600 segundos. Intervalo: 1-100.Configuración de LLDP de administración de redes (SNMP). El LLDP permite que los dispositivos de red asignen su topología de red y funciones de programación de los dispositivos conectados. LLDP Especifique un valor que se multiplica por el Intervalo de transmisión para determinar el tiempo total de espera TTL. Valor predeterminado: 30 segundos. Esto facilita la solución de problemas. Configuración LLDP e información mostrada Campo Configurado en o Mostrado en Intervalo de transmisión (segundos) LLDP Retraso de transmisión (segundos) Múltiple tiempo de espera Palo Alto Networks Descripción Especifica el intervalo en el que se transmiten LLDPDUs.

por ejemplo. Total transmitidos Estado Número de LLDPDU transmitidos fuera de la interfaz. Valor predeterminado: 5 segundos. información fuera de rango o error de longitud. Perfil Estado Nombre del perfil asignado a la interfaz. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Intervalo de notificaciones LLDP Especifique el intervalo en el que las notificaciones de Trap SNMP y syslog se transmiten cuando se producen los cambios MIB. versión 7. Haga clic en la X roja para borrar el filtro. Interfaz Estado Nombre de las interfaces que tienen asignados perfiles LLDP. porque el tipo TLV está en el intervalo TLV reservado.Configuración de LLDP Tabla 121. LLDP Estado Estado de LLDP: habilitado o deshabilitado. mal funcionamiento. filtro de catalejo Estado También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris. Intervalo: 1-3600 segundos. Por ejemplo. Caducado Estado Número de elementos eliminados desde Recibir MIB por una caducidad TTL adecuada. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. Total recibidos Estado Número de tramas LLDP recibidas de la interfaz. No reconocido Estado Número de TLV recibidos en la interfaz que no reconoce el agente local LLDP. Transmisión descartada Estado Número de LLDPDU que no se han transmitido fuera de la interfaz por un error. 212 • Guía de referencia de interfaz web. Modo Estado Modo LLDP de la interfaz: Tx/Rx. Errores Estado Número de elementos Tiempo-Longitud-Valor (TLV) que se recibieron en la interfaz y contenían errores. TLV descartado Estado Recuento de las tramas LLDP descartadas en la recepción. Entre los tipos de errores de TLV se incluyen: falta de uno o más TLV obligatorios. Tx solo o Rx solo.0 Palo Alto Networks . un error de longitud cuando el sistema construye un LLDPDU para la transmisión.

que provoca que solo las filas que incluyen ese valor de datos se puedan ver. Guía de referencia de interfaz web. Nombre del sistema Mismos niveles Nombre del peer. Interfaz local Mismos niveles Interfaz en el cortafuegos que detectó el dispositivo vecino. B=Puente. W=LAN-Inalámbrico. R=Enrutador. Más info Mismos niveles Haga clic en este enlace para ver los detalles de peer remoto.0 • 213 . que se basan en TLV obligatorios y opcionales. se usa la dirección MAC. Nombre Mismos niveles Nombre del peer. Descripción del puerto del peer. Descripción del sistema Mismos niveles Descripción de puerto Mismos niveles Tipo de puerto Mismos niveles Nombre de interfaz. Haga clic en la X roja para borrar el filtro. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Borrar estadísticas LLDP Estado Haga clic en este botón de la parte inferior de la pantalla para borrar todas las estadísticas LLDP. ID de bastidor remoto Mismos niveles ID de puerto Mismos niveles IP de puerto del peer.Configuración de LLDP Tabla 121. Descripción del peer. filtro de catalejo Mismos niveles También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris. Tipo de bastidor Mismos niveles El tipo de chasis en dirección MAC. T=Teléfono Palo Alto Networks ID de bastidor del peer. versión 7. Dirección MAC Mismos niveles La dirección MAC del peer. ID de puerto Mismos niveles El cortafuegos usa el NombreIf de la interfaz. P=Repetidor. Capacidades del sistema Mismos niveles Funcionalidades del sistema. O=Otro.

consulte “Configure la interfaz de capa 3” y “Configuración de la subinterfaz de capa 3”. Para asignar perfiles de gestión a cada interfaz.0 Palo Alto Networks . Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Capacidades habilitadas Mismos niveles Dirección de gestión Mismos niveles Descripción Funcionalidades habilitadas en el peer. Dirección de gestión del peer. 214 • Guía de referencia de interfaz web. versión 7.Definiendo perfiles de gestiones de interfaz Tabla 121. Definiendo perfiles de gestiones de interfaz Red > Perfiles de red > Gestión de interfaz Utilice esta página para especificar los protocolos que se utilizan para gestionar el cortafuegos.

versión 7. los puertos usados para atender las páginas de respuesta del Portal cautivo quedan abiertos en las interfaces de capa 3: puerto 6080 para NTLM. Ping Seleccione la casilla de verificación para cada servicio que desee activar en las interfaces a las que asigna el perfil. Los perfiles de supervisión son opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para garantizar el cumplimiento de las reglas PBF. Telnet SSH HTTP OCSP de HTTP HTTPS SNMP Páginas de respuesta ID de usuario Si selecciona la casilla de verificación Páginas de respuesta. Configuración del Perfil de gestión de interfaz Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). y 6082 para el Portal cautivo en el modo Redirigir. En ambos casos.Definición de perfiles de supervisión Tabla 122.0 • 215 . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el perfil de supervisión se utiliza para especificar la medida que se adoptará cuando un recurso (túnel de IPSec o dispositivo de siguiente salto) no esté disponible. espacios. SSL de escucha de Syslog de ID de usuario UDP de escucha de Syslog de ID de usuario Direcciones IP permitidas Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la gestión de cortafuegos. consulte “Pestaña Agentes de ID de usuarios”. guiones y guiones bajos. Si selecciona la casilla de verificación ID de usuario permite la comunicación entre cortafuegos donde uno redistribuye la asignación de usuarios y la información de asignación de grupo a los otros. Los siguientes ajustes se utilizan para configurar un perfil de supervisión. Palo Alto Networks Guía de referencia de interfaz web. números. Utilice únicamente letras. Este nombre aparece en la lista de perfiles de gestión de interfaz cuando se configuran interfaces. 6081 para el Portal cautivo en modo transparente. Para obtener información detallada. Definición de perfiles de supervisión Red > Perfiles de red > Supervisar Un perfil de supervisor se utiliza para supervisar las reglas de reenvío basado en políticas (PFB) de túneles de IPSec y dispositivos de siguiente salto.

Utilice únicamente letras. Definición de perfiles de protección de zonas Red > Perfiles de red > Protección de zona Un perfil de protección de zona ofrece protección frente a las inundaciones más comunes. Acción Especifique la acción que se realizará si el túnel no está disponible. espacios. interfaz. opción predefinida 3). guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. números. Note: La protección de zona solo se aplica cuando no hay ninguna coincidencia de sesión para el paquete. haga clic en Añadir y especifique los siguientes ajustes: Tabla 124. utilice la base de reglas de protección DoS para la coincidencia con una zona específica. dirección IP o usuario. la zona donde el tráfico entra al cortafuegos) y no están diseñados para proteger un host de extremo específico o el tráfico que vaya a una zona de destino particular. Umbral Especifique el número de latidos que se perderán antes de que el cortafuegos realice la acción especificada (intervalo 2-100. Intervalo Especifique el tiempo entre latidos (intervalo 2-10.. • Conmutación por error: El tráfico cambiará a una ruta de seguridad. Configuración de supervisión Campo Descripción Nombre Introduzca un nombre para identificar el perfil de supervisión (de hasta 31 caracteres). ataques de reconocimiento y otros ataques basados en paquetes. 216 • Guía de referencia de interfaz web. Si el paquete coincide con una sesión existente.0 Palo Alto Networks . versión 7. Este nombre aparece en la lista de perfiles de protección de zonas cuando se configuran zonas. Los paquetes continuarán enviándose de acuerdo con la regla PBF. Para aumentar las capacidades de protección de zona en el cortafuegos. Para configurar un perfil Protección de zona. • Esperar recuperación: Espera a que el túnel se recupere. En ambos casos. números. el cortafuegos realiza la acción especificada. Está diseñado para proporcionar una protección amplia en la zona de entrada (p. el cortafuegos intentará negociar nuevas claves de IPSec para acelerar la recuperación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.Definición de perfiles de protección de zonas Tabla 123. opción predefinida 5). Descripción Introduzca una descripción opcional para el perfil de protección de zonas. si existe una disponible. espacios y guiones bajos. Si el número de umbral de latidos se pierde. no realiza ninguna acción adicional. Utilice únicamente letras. Configuración de Perfil de protección de zonas Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). sorteará el ajuste de protección de zona. ej. El cortafuegos utiliza la búsqueda de tabla de enrutamiento para determinar el enrutamiento durante la sesión.

se descartan paquetes SYN individuales de forma aleatoria para reducir el flujo. Configuración de la pestaña Protección contra inundaciones Campo Descripción Umbrales de protección contra inundaciones: Inundación SYN Acción Seleccione la acción que se adoptará en respuesta a un ataque de inundación SYN. Palo Alto Networks Guía de referencia de interfaz web. Es el método preferido. versión 7. en una zona externa solo está disponible el descarte aleatorio temprano para la protección frente a inundación SYN Configuración de la protección contra inundaciones Red > Perfiles de red > Protección de zona > Protección contra inundaciones La tabla siguiente describe los ajustes de la pestaña Protección contra inundaciones.Definición de perfiles de protección de zonas Cuando se define un perfil Protección de zona. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6. se descartan todos los paquetes. • Pestaña Protección de reconocimiento: Consulte “Configuración de la protección de reconocimiento”. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. • Cookies SYN: Calcula un número de secuencia de paquetes SYN-ACK que no requieren almacenar las conexiones pendientes en memoria. • Descarte aleatorio temprano: Permite descartar paquetes SYN para mitigar un ataque de inundación: – Si el flujo supera el umbral de tasa de alerta. – Si el flujo supera el umbral de tasa de activación. Para activar la protección frente a inundaciones SYN en una puerta de enlace compartida puede aplicar un perfil de protección de inundación SYN con descarte aleatorio temprano o cookies SYN.0 • 217 . • Pestaña Protección de ataque basada en paquetes: Consulte “Configuración de la protección de ataques basada en paquetes”. debe crear un perfil de protección de zona separado para la puerta de enlace compartida. debe configurar los ajustes en la pestaña General y en cualquiera de las siguientes pestañas. se genera una alarma. – Si el flujo supera el umbral de tasa de máxima. según lo requiera su topología de red: • Pestaña Protección contra inundaciones: Consulte “Configuración de la protección contra inundaciones”. Tabla 125.

Activar (paquetes/seg. Máximo (paquetes/seg. Activar (paquetes/seg. Umbrales de protección contra inundaciones: Otras IP Alerta (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera una alarma de ataque. La respuesta se desactiva si el número de paquetes IP es inferior al umbral.) Introduzca el número de solicitudes de eco ICMPv6 (pings) recibidos por segundo que genera una alarma de ataque.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera una alarma de ataque. Activar (paquetes/seg.) Introduzca el número de paquetes ICMPv6 recibidos por segundo en la zona que causa que se descarten los siguientes paquetes ICMPv6.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes IP. Cualquier número de paquetes que supere el máximo se descartará.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera una alarma de ataque. Activar (paquetes/seg. Activar (paquetes/seg.) Introduzca el número máximo de paquetes ICMP que se pueden recibir por segundo. Máximo (paquetes/seg. Máximo (paquetes/seg.) Introduzca el número de solicitudes de eco ICMP (pings) recibidos por segundo que genera una alarma de ataque. Umbrales de protección contra inundaciones: ICMPv6 Alerta (paquetes/seg.) Introduzca el número máximo de paquetes ICMPv6 que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: UDP Alerta (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: Inundación ICMP Alerta (paquetes/seg.0 Palo Alto Networks .Definición de perfiles de protección de zonas Tabla 125.) Introduzca el número de paquetes ICMP recibidos por la zona (en un segundo) que causa que se descarten los siguientes paquetes ICMP. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Alerta (paquetes/seg. versión 7. Las alarmas se pueden en el panel (consulte “Uso del panel”) y en el log de amenazas (consulte “Realización de capturas de paquetes”). La respuesta se desactiva si el número de paquetes UDP es inferior al umbral. 218 • Guía de referencia de interfaz web.) Introduzca el número máximo de paquetes SYN que se pueden recibir por segundo.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes UDP. Cualquier número de paquetes que supere el máximo se descartará.) Introduzca el número máximo de paquetes UDP que se pueden recibir por segundo. La medición se detiene cuando el número de paquetes ICMPv6 es inferior al umbral.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera la acción especificada. Máximo (paquetes/seg.

Configuración de la pestaña Protección de reconocimiento Campo Descripción Protección de reconocimiento: Examen de puerto TCP.Definición de perfiles de protección de zonas Tabla 125. IPv6 Colocar paquetes con Encabezado de enrutamiento tipo 0 Active la casilla de verificación para colocar los paquetes de IPv6 que incluirán un encabezado de enrutador de tipo 0. • Bloquear IP: Descarta el resto de paquetes durante un período de tiempo especificado. Dirección de origen multicast Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de origen multicast. Palo Alto Networks Guía de referencia de interfaz web. Configuración de la protección de reconocimiento Red > Perfiles de red > Protección de zona > Protección de reconocimiento La tabla siguiente describe los ajustes de la pestaña Protección de reconocimiento. Tabla 126. Acción Introduzca la acción que el sistema adoptará como respuesta a este tipo de evento: • Permitir: Permite la exploración de puerto de reconocimiento de limpieza de host. Limpieza de host Intervalo (seg) Introduzca el intervalo de tiempo para la detección de exámenes puerto y limpieza de host (segundos). Examen de puerto de UDP. Cualquier número de paquetes que supere el máximo se descartará. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Máximo (paquetes/seg. o el de origen y destino. Dirección compatible de IPv4 Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección compatible con IPv4. • Alerta: Genera una alerta para cada exploración o limpieza que coincida con el umbral del intervalo de tiempo especificado. Configuración de la protección de ataques basada en paquetes Red > Perfiles de red > Protección de zona > Protección de ataque basada en paquetes Las siguientes pestañas se utilizan para la configuración de la protección de ataque basada en paquetes: • Descarte IP: Consulte “Configuración de la pestaña Descarte IP”. e introduzca la duración (segundos). Dirección de fuente de difusión por proximidad Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de fuente de difusión por proximidad. destino.) Introduzca el número máximo de paquetes IP que se pueden recibir por segundo. Umbral (eventos) Introduzca el número de puertos explorados en el intervalo de tiempo especificado que activarán este tipo de protección (eventos). versión 7. • Bloquear: Descarta todos los paquetes enviados desde el origen al destino durante el resto del intervalo de tiempo especificado. Seleccione si se bloqueará el tráfico de origen.0 • 219 .

ID de secuencia Descarta paquetes con la opción de ID de secuencia activada. 1393 y 2113. Configuración de la pestaña Protección de ataque basada en paquetes Campo Descripción Pestaña secundaria Descarte IP Dirección IP de réplica Active la casilla de verificación para activar la protección contra replicación de dirección IP. Comprobación de dirección IP estricta Tráfico fragmentado Descarta los paquetes IP fragmentados. Forma incorrecta Descarta paquetes si tienen combinaciones incorrectas de clase. Marca de tiempo Descarta paquetes con la opción de marca de tiempo activada. especifique los siguientes ajustes: Tabla 127. Enrutamiento de origen no estricto Descarta paquetes con la opción de IP de enrutamiento de origen no estricto activada. • ICMPv6: Consulte “Configuración de la pestaña Colocación de ICMPv6”. • El segmento cubre otro segmento. Seguridad Descarta paquetes con la opción de seguridad activada.0 Palo Alto Networks . Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y.Definición de perfiles de protección de zonas • Descarte TCP: Consulte “Configuración de la pestaña Descarte TCP”. Descartar opciones IP Enrutamiento de fuente estricto Descarta paquetes con la opción de IP de enrutamiento de origen estricto activada. • El segmento está superpuesto a parte de otro segmento. Segmento TCP superpuesto no coincidente Este ajuste hará que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. versión 7. Configuración de la pestaña Descarte IP Para configurar Descarte IP. 1108. • Colocación de IPv6: Consulte “Configuración de la pestaña Colocación de IPv6”. la elimina. 220 • Guía de referencia de interfaz web. número y longitud basadas en RFC 791. Ruta de log Descarta paquetes con la opción de ruta de log activada. • Colocación de ICMP: Consulte “Configuración de la pestaña Colocación de ICMP”. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. si es así. Desconocido Descarta paquetes si no se conoce la clase ni el número.

0 • 221 . La presentación dividida de cuatro o cinco direcciones o un procedimiento de establecimiento de sesión abierta simultánea son ejemplos de variaciones que no se permiten. El cortafuegos del última generación Palo Alto Networks gestiona correctamente sesiones y todos los procesos de capa 7 para la presentación de enlace dividido y un establecimiento de sesión abierta simultánea sin configurar Protocolo de enlace dividido. no se permiten las variaciones. • Sí: Rechaza TCP sin SYN. Configuración de la pestaña Protección de ataque basada en paquetes (Continuación) Campo Descripción Rechazar TCP sin SYN Determina si el paquete se rechazará. Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. • El segmento está superpuesto a parte de otro segmento. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. especifique los siguientes ajustes: Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Segmento TCP superpuesto no coincidente Hace que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. • Sí: Rechaza TCP sin SYN. Palo Alto Networks Guía de referencia de interfaz web. Cuando se configura esta opción para un perfil de protección de zona y el perfil se aplica a una zona. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. • El segmento cubre otro segmento. las sesiones TCP para interfaces de esa zona deben establecerse usando una presentación estándar de tres direcciones. • No: Acepta TCP sin SYN. Configuración de la pestaña Descarte TCP Para configurar Descarte TCP. Rechazar TCP sin SYN Determina si el paquete se rechazará. • Derivar: Derive los paquetes que contienen una ruta asimétrica. Protocolo de enlace dividido Evita que una sesión TCP se establezca si el procedimiento de establecimiento de sesión no usa la reconocida presentación de tres direcciones. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. versión 7.Definición de perfiles de protección de zonas Tabla 127. • No: Acepta TCP sin SYN. • Colocar: Descarte los paquetes que contienen una ruta asimétrica.

ICMP de gran tamaño (>1.024) Descarta paquetes ICMP con un tamaño mayor de 1024 bytes. Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y. especifique los siguientes ajustes: Tabla 129. Descartar ICMP incrustado con mensaje de error Descarta los paquetes ICMP que se incrustan con un mensaje de error. Configuración de la pestaña Colocación de IPv6 Campo Descripción Pestaña secundaria Descarte de IPv6 Encabezado de enrutamiento tipo 0 Descarta los paquetes IPv6 que contienen un encabezado de enrutamiento de Tipo 0. Este ajuste interfiere el proceso PMTUD que ejecutan los hosts tras el cortafuegos. 222 • Guía de referencia de interfaz web. la elimina. Fragmento de ICMP Descarta paquetes formados con fragmentos ICMP.0 Palo Alto Networks . Configuración de la pestaña Colocación de ICMP Para configurar Colocación de ICMP. Dirección compatible de IPv4 Descarta los paquetes IPv6 que se definen como una dirección IPv6 compatible con IPv4 RFC 4291. Consulte RFC 5095 para la información de encabezado de enrutamiento de tipo 0.Definición de perfiles de protección de zonas Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. versión 7. especifique los siguientes ajustes: Tabla 130. • Derivar: Derive los paquetes que contienen una ruta asimétrica. Suprimir error caducado ICMP TTL Detiene el envío de mensajes caducados ICMP TTL. Suprimir fragmento de ICMP necesario Detiene el envío de mensajes necesarios por la fragmentación ICMP en respuesta a paquetes que exceden la interfaz MTU y tienen el bit no fragmentar (DF) activado. Configuración de la pestaña Colocación de IPv6 Para configurar Colocación de IPv6. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. Configuración de la pestaña Colocación de ICMP Campo Descripción Pestaña secundaria Colocación de ICMP ID de 0 de ping de ICMP Descarta paquetes si el paquete de ping de ICMP tiene un identificador con el valor de 0. si es así.

MTU en paquete ICMP demasiado grande inferior a 1280 bytes Descarta los paquetes IPv6 que contienen un mensaje Paquete de error de ICMPv6 demasiado grande MTU inferior a 1. Palo Alto Networks Guía de referencia de interfaz web. que contiene opciones buscadas solo para el destino del paquete. que dirige los paquetes a uno o más nodos intermedios a su destino.0 • 223 . Paquete de ICMPv6 demasiado grande: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de paquetes ICMPv6 demasiado grandes incluso con una sesión existente. Opciones de IPv6 no válidas en encabezado de extensión Descarta los paquetes IPv6 que contienen opciones IPv6 no válidas en el encabezado de extensión. Configuración de la pestaña Colocación de ICMPv6 Campo Descripción Pestaña secundaria ICMPv6 Destino ICMPv6 no alcanzable: requiere regla de seguridad explícita Requiere una búsqueda de política de seguridad explícita para errores de destinos ICMPv6 no alcanzables incluso con una sesión existente. especifique los siguientes ajustes: Tabla 131. versión 7. Extensión de salto por salto Descarta los paquetes IPv6 que contienen el encabezado de extensión de salto por salto. Encabezado de fragmento innecesario Descarta los paquetes IPv6 con la etiqueta del último fragmento (M=0) y un desplazamiento de cero. Campo reservado diferente a cero Descarta paquetes IPv6 que tienen un encabezado con un campo reservado no definido a cero. Extensión de destino Descarta los paquetes IPv6 que contienen la extensión de opciones de destino.Definición de perfiles de protección de zonas Tabla 130. Configuración de la pestaña Colocación de ICMPv6 Para configurar Colocación de ICMPv6. Tiempo superado de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de tiempo de ICMPv6 superado incluso con una sesión existente. Configuración de la pestaña Colocación de IPv6 (Continuación) Campo Descripción Dirección de fuente de difusión por proximidad Descarta los paquetes IPv6 con una dirección de origen de difusión. Problema de parámetro de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de problema de parámetro de ICMPv6 incluso con una sesión existente.280. Extensión de enrutamiento Descarta los paquetes IPv6 que contienen el encabezado de extensión de enrutamiento.

Tras configurar el perfil LLDP. Nombre del sistema Perfil de LLDP Permite que el objeto sysName del cortafuegos se envíe en el TLV Nombre de sistema. habilitar las notificaciones de syslog y SNMP y configurar el Tipo-Longitud-Valores (TLV) opcional que desea se transmitan a los peer LLDP. Si se activa. Modo Perfil de LLDP Seleccione el modo en el que funcionará LLDP: transmisión-recepción. Descripción de puerto Perfil de LLDP Permite que el objeto ifAlias del cortafuegos se envíe en el TLV Descripción de puerto. que ocurrirán en el Intervalo de notificaciones global. versión 7. 224 • Guía de referencia de interfaz web. Componentes de perfiles LLDP Red > Perfiles de red > Perfil LLDP Un perfil de Protocolo de detección de nivel de enlace (LLDP) es la forma que le permite configurar el modo LLDP en el cortafuegos. Definición de perfiles LLDP ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Componentes de perfiles LLDP” ¿Busca más información? Consulte LLDP. transmisión-solo o recepción-solo. Notificación Syslog SNMP Perfil de LLDP Permite las notificaciones de syslog y trap SNMP. Configuración de perfil de LLDP Campo Configurado en Descripción Nombre Perfil de LLDP Especifique un nombre para el perfil LLDP.0 Palo Alto Networks . el cortafuegos enviará tanto un evento de syslog y trap SNMP como se configura en Dispositivo > Configuración de log > Sistema > Perfil de Trap SNMP y Perfil de Syslog. Tabla 132. Configuración de la pestaña Colocación de ICMPv6 (Continuación) Campo Descripción Redirección de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de redireccionamiento de ICMPv6 incluso con una sesión existente. Descripción del sistema Perfil de LLDP Permite que el objeto sysDescr del cortafuegos se envíe en el TLV Descripción del sistema. asigna el perfil a una o más interfaces.Definición de perfiles LLDP Tabla 131.

en el campo adyacente. puede introducir una dirección IP en el siguiente campo a la selección de IPv4 o IPv6. • Si el cable virtual.Definición de perfiles LLDP Tabla 132. Puede introducir hasta cuatro direcciones de gestión. versión 7. Nombre Perfil de LLDP Especifique un nombre para Dirección de gestión. Elección de IP Palo Alto Networks Guía de referencia de interfaz web. el cortafuegos anuncia la funcionalidad de puente MAC (bit 3) u el bit Otro (bit 1). el sistema usa la dirección MAC de la interfaz de transmisión a medida que se transmite la dirección de gestión. el cortafuegos anuncia la funcionalidad del Repetidor (bit 2) y el bit Otro (bit 1). Para cambiar el orden. Si no se configura la dirección IP de gestión. a través de la siguiente asignación en el TLV Capacidades del sistema. Configuración de perfil de LLDP (Continuación) Campo Configurado en Descripción Habilita el modo de implementación (L3. seleccione o introduzca que la dirección IP se transmita como la dirección de gestión. L2 o cable virtual) de la interfaz que se enviará. SNMP MIB combina las funcionalidades configuradas en las interfaces en una única entrada.0 • 225 . use los botones Mover hacia arriba o Mover hacia abajo. Capacidades del sistema Perfil de LLDP • Si L3. Interfaz Perfil de LLDP Seleccione una interfaz cuya dirección IP será la Dirección de gestión. Se requiere al menos una dirección de gestión si se ha activado el TLV Dirección de gestión. • Si L2. que se envían en el orden especificado. Si se especifica Ninguno. el cortafuegos anuncia la funcionalidad de enrutador (bit 6) u el bit Otro (bit 1). Dirección de gestión Perfil de LLDP Permite que Dirección de gestión se envíe en el TLV Dirección de gestión. Perfil de LLDP Seleccione IPv4 o IPv6 y.

versión 7.Definición de perfiles LLDP 226 • Guía de referencia de interfaz web.0 Palo Alto Networks .

Las zonas identifican interfaces físicas o lógicas que envían o reciben tráfico. Consulte “Definición de políticas de cancelación de aplicación”.Tipos de políticas Capítulo 5 Políticas y perfiles de seguridad Esta sección describe cómo configurar políticas y perfiles de seguridad: • • • • “Tipos de políticas” “Traslado o duplicación de una política o un objeto” “Perfiles de seguridad” “Otros objetos de las políticas” Tipos de políticas Las políticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las medidas necesarias de forma automática. • Políticas de cancelación para anular las definiciones de la aplicación proporcionadas por el cortafuegos. según sea necesario. consulte “Uso del explorador de etiquetas”. Consulte “Definición de políticas de seguridad” Para obtener información sobre cómo utilizar el explorador de etiquetas. Consulte “Políticas de reenvío basado en políticas”. versión 7. • Políticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el tráfico para su tratamiento. el servicio (puerto y protocolo). cuando pasa por una interfaz con QoS activado. • Políticas de reenvío basado en políticas para cancelar la tabla de enrutamiento y especificar una interfaz de salida para el tráfico. Consulte “Políticas NAT” y “Definición de políticas de traducción de dirección de red”. así como el acceso SSH (Secure Shell). Se admiten los siguientes tipos de políticas: Políticas básicas de seguridad para bloquear o permitir una sesión de red basada en la aplicación. Cada una de las políticas puede especificar las categorías de las URL del tráfico que desea descifrar.0 • 227 . • Políticas de descifrado para especificar el descifrado del tráfico de las políticas de seguridad. Consulte “Estadísticas de QoS”. Palo Alto Networks Guía de referencia de interfaz web. El descifrado SSH se utiliza para identificar y controlar los túneles SSH. las zonas y direcciones de origen y destino y. opcionalmente. • Políticas de traducción de dirección de red (NAT) para traducir direcciones y puertos. Consulte “Políticas de descifrado”.

Consulte “Definición de políticas DoS”. Consulte “Definición de políticas de portal cautivo”. a continuación. el dispositivo buscará todos los errores antes de mostrarlos. estas políticas compartidas no se pueden editar en el cortafuegos. Traslado o duplicación de una política o un objeto Al trasladar o duplicar políticas y objetos. seleccione la regla posterior. El dispositivo o sistema virtual donde realice la cancelación almacena una versión local de la regla en su configuración. El valor predeterminado es el Sistema virtual o Grupo de dispositivos que seleccionó en la pestaña Políticas u Objetos. • Mover a la parte inferior: La regla seguirá al resto de reglas. haga clic en Mover. Para duplicar políticas u objetos. cumplimente los campos de la tabla siguiente y. Por ejemplo. Seleccione la posición de regla con respecto a otras reglas: Orden de regla (únicamente políticas) Error en el primer error detectado en la validación • Mover a la parte superior: La regla precederá al resto de reglas. Si un cortafuegos recibe las reglas predeterminadas de un grupo de dispositivos. puede asignar un Destino (un sistema virtual en un cortafuegos o un grupo de dispositivos en Panorama) para el que tenga permisos de acceso.Tipos de políticas • Políticas de portal cautivo para solicitar la autenticación de los usuarios no identificados. • Regla posterior: En la lista desplegable adyacente.0 Palo Alto Networks . selecciónelos en la pestaña Políticas u Objetos. Cancelación o reversión de una regla de seguridad predeterminada Las reglas de seguridad predeterminadas. Si cancela la selección de la casilla de verificación. Para trasladar políticas u objetos. versión 7. haga clic en Duplicar. Seleccione esta casilla de verificación (seleccionada de manera predeterminada) para que el dispositivo muestre el primer error que encuentre y deje de buscar más errores. Las políticas compartidas introducidas en Panorama se muestran de color verde en la interfaz web del cortafuegos. • Políticas de denegación de servicio (DoS) para proteger de ataques DoS y tomar las medidas de protección en respuesta que coincidan con las reglas. se produce un error si el Destino no incluye un objeto al que se haga referencia en la regla de política que está moviendo. también puede cancelar los ajustes del grupo de dispositivos. seleccione la regla anterior. un grupo de dispositivos o una ubicación compartida. tienen ajustes predefinidos que puede cancelar en un cortafuegos o en Panorama. incluida la ubicación compartida. predeterminada entre zonas y predeterminada intrazona. haga clic en Aceptar. Destino Seleccione la nueva ubicación de la política u objeto: un sistema virtual. haga clic en Aceptar. Los ajustes que puede cancelar son un subconjunto del conjunto completo 228 • Guía de referencia de interfaz web. cumplimente los campos de la tabla siguiente y. seleccione Mover a otro vsys (únicamente cortafuegos) o Mover a otro grupo de dispositivos (únicamente Panorama). Tabla 133 Configuración de traslado/duplicación Campo Descripción Reglas/objetos seleccionados Muestra el nombre y la ubicación actual (sistema virtual o grupo de dispositivos) de las políticas u objetos que ha seleccionado para la operación. a continuación. selecciónelos en la pestaña Políticas u Objetos. • Regla anterior: En la lista desplegable adyacente.

no puede cancelarlo. haga clic en Cancelar y edite los ajustes en la tabla siguiente. haga clic en Revertir y haga clic en Sí para confirmar la operación. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. • Restablecer cliente: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del cliente. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. La columna Nombre muestra el icono de cancelación para las reglas que tienen valores cancelados. Descripción La Descripción es de solo lectura. no puede cancelarla. La columna Nombre muestra el icono de herencia para las reglas que puede cancelar. consulte “Definición de políticas de seguridad”. • Descartar: Descarta la aplicación silenciosamente. políticas de descifrado específicas de etiqueta con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. El cortafuegos no envía un mensaje de restablecimiento de TCP al host o la aplicación. no puede cancelarlo.0 • 229 . Palo Alto Networks Guía de referencia de interfaz web. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. • Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar que se define para la aplicación que el cortafuegos está denegando. Pestaña Acciones Configuración de acción Acción: Seleccione una de las siguientes acciones para el tráfico que coincida con la regla. Seleccione la regla. Para obtener información acerca de las reglas de seguridad predeterminadas. Para ver la acción de denegación definida de manera predeterminada para una aplicación. Para cancelar una regla. • Restablecer ambos: Envía un mensaje de restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. Tabla 134 Cancelación de una regla de seguridad predeterminada Campo Descripción Pestaña General Nombre El Nombre que identifica la regla es de solo lectura. Para revertir una regla cancelada a sus ajustes predefinidos o a los ajustes introducidos desde un grupo de dispositivos de Panorama. • Permitir: (Predeterminado) Permite el tráfico. versión 7. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. • Restablecer servidor: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del servidor. consulte la información detallada de la aplicación en Objetos > Aplicaciones. Tipo de regla El Tipo de regla es de solo lectura. Por ejemplo.Tipos de políticas (la tabla siguiente indica el subconjunto de reglas de seguridad). Seleccione la regla. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Etiqueta Seleccione una etiqueta en la lista desplegable.

– Log al finalizar sesión: Genera una entrada en el log Tráfico al final de una sesión (sin seleccionar de manera predeterminada). seleccione los perfiles individuales de Antivirus. Antispyware. seleccione Perfiles y. Bloqueo de archivo. seleccione las siguientes opciones: – Log al iniciar sesión: Genera una entrada en el log Tráfico al inicio de una sesión (seleccionado de manera predeterminada). Para definir un nuevo perfil de Reenvío de logs. seleccione el Grupo de dispositivos descendiente que tendrá la versión cancelada. versión 7. primarios principales y primarios principales superiores en niveles sucesivamente mayores (lo que en conjunto se denomina antecesores). Filtrado de datos y/o Análisis de WildFire. seleccione la casilla de verificación Deshabilitar anulación y haga clic en Aceptar. Nota: Si configura el cortafuegos para incluir entradas al inicio o al final de una sesión en el log Tráfico. Para cancelar un objeto. Para revertir un objeto cancelado a sus valores heredados. Para deshabilitar las cancelaciones de un objeto. como servidores de Panorama y Syslog. No puede cancelar los ajustes Nombre o Compartido del objeto. En el nivel inferior. no puede cancelar objetos compartidos o predeterminados (preconfigurados). seleccione Grupo y. seleccione el objeto. secundarios de segundo nivel y secundarios de tercer nivel (lo que en conjunto se denomina descendientes). en lugar de perfiles individuales. seleccione el Grupo de dispositivos donde reside el objeto. En el nivel superior.Tipos de políticas Tabla 134 Cancelación de una regla de seguridad predeterminada (Continuación) Campo Descripción Ajuste de perfil Tipo de perfil: Asigne perfiles o grupos de perfiles a la regla de seguridad: • Para especificar la comprobación que realizan los perfiles de seguridad predeterminados. • Para definir nuevos perfiles (consulte “Perfiles de seguridad”) o grupos de perfiles (consulte “Grupos de perfiles de seguridad”). seleccione el objeto. • Para asignar un grupo de perfiles. un grupo de dispositivos puede tener grupos de dispositivos secundarios. seleccione un perfil de reenvío de logs de la lista desplegable. • Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. A continuación. seleccione el Grupo de dispositivos que tiene la versión cancelada. La interfaz web muestra el icono para indicar que un objeto tiene valores heredados y muestra el icono para indicar que un objeto heredado tiene valores cancelados. un grupo de dispositivos puede tener grupos de dispositivos primarios. seleccione la pestaña Objetos. haga clic en Nuevo en la lista desplegable del perfil o grupo correspondiente. Ajuste de log Especifique cualquier combinación de las siguientes opciones: • Reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. Esta capacidad de cancelación está habilitada de manera predeterminada.0 Palo Alto Networks . Protección de vulnerabilidades. haga clic en Cancelar y edite los ajustes. seleccione Perfil en la lista desplegable (consulte “Reenvío de logs”). seleccione un Perfil de grupo en la lista desplegable. las cancelaciones de ese objeto se deshabilitarán en todos los descendientes del Grupo de dispositivos seleccionado. 230 • Guía de referencia de interfaz web. Puede cancelar un objeto en un descendiente de modo que sus valores difieran de los de un antecesor. seleccione la pestaña Objetos. a continuación. haga clic en Revertir y haga clic en Sí para confirmar la operación. Filtrado de URL. a continuación. seleccione la pestaña Objetos. también incluirá entradas de colocación y denegación. haga clic en el nombre del objeto para editarlo. de los cuales hereda políticas y objetos. puede anidar grupos de dispositivos en una jerarquía de árbol de hasta cuatro niveles. Los perfiles de seguridad determinan la generación de entradas en el log Amenaza. Sin embargo. Cancelación o reversión de un objeto En Panorama.

Por ejemplo. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. Para añadir grupos de usuarios. – Usuario conocido: Incluye a todos los usuarios autenticados. seleccione la casilla de verificación Los objetos antecesores tienen prioridad y haga clic en Aceptar. aunque el usuario no haya iniciado sesión directamente. En la página de reglas del dispositivo Seguridad o Descifrado. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. realice los siguientes pasos: 1. es decir. Haga clic en el menú desplegable situado encima de la tabla Usuario de origen para seleccionar el tipo de usuario: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. También puede escribir el texto de uno o más grupos y hacer clic en Añadir grupo de usuarios. Puede seleccionar los usuarios y hacer clic en Añadir usuario. es decir. las direcciones IP que no estén asignadas a un usuario. algunos grupos o añadir usuarios manualmente. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). También puede introducir los nombres de usuarios individuales en el área Más usuarios. edite los ajustes de Panorama. 4. versión 7. 2. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. Para añadir usuarios individuales. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente.0 • 231 . Palo Alto Networks Guía de referencia de interfaz web. introduzca una cadena de búsqueda en el campo Usuario y haga clic en Buscar. Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de descripción. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. Por ejemplo. Especificación de usuarios y aplicaciones para las políticas Políticas > Seguridad Políticas > Descifrado Puede restringir las políticas de seguridad que se deben aplicar a aplicaciones o usuarios seleccionados haciendo clic en el enlace del usuario o aplicación en la página de reglas del dispositivo Seguridad o Descifrado. consulte “Definición de aplicaciones”. puede que quiera añadir a un usuario. seleccione la casilla de verificación Grupos de usuarios disponibles y haga clic en Añadir grupo de usuarios. haga clic en la pestaña Usuario para abrir la ventana de selección. – Desconocido: Incluye a todos los usuarios desconocidos. Para obtener más información sobre cómo restringir las reglas según la aplicación. Para restringir una política a los usuarios/grupos seleccionados. A continuación debe compilar en Panorama y en los grupos de dispositivos que contengan cancelaciones para introducir los valores heredados. seleccione Panorama > Configuración > Gestión. cualquier IP con datos de usuario asignados.Tipos de políticas Para sustituir todas las cancelaciones de objetos en Panorama con los valores heredados de la ubicación compartida o los grupos de dispositivos antecesores. una lista de individuos. 3. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. 5.

para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. la práctica recomendada es supervisar esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. elimine o deshabilite las reglas. Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. se envían de Panorama a los dispositivos gestionados. Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y. obtiene y agrega la lista de reglas sin coincidencia. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. Estas reglas son parte de la configuración predefinida de Panorama. consulte la sección relevante de cada base de reglas. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. Debe cancelarlas para permitir la edición de determinados ajustes en ellas: consulte “Cancelación o reversión de una regla de seguridad predeterminada”. en un grupo de dispositivos. opcionalmente. Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados.Tipos de políticas Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). • “Definición de políticas de seguridad” • “Definición de políticas de traducción de dirección de red” • “Estadísticas de QoS” • “Políticas de reenvío basado en políticas” • “Políticas de descifrado” • “Definición de políticas de cancelación de aplicación” • “Definición de políticas de portal cautivo” • “Definición de políticas DoS” 232 • Guía de referencia de interfaz web. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. En cada base de reglas. regla posterior o regla local de un dispositivo. Panorama supervisa cada dispositivo. a continuación. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo.0 Palo Alto Networks . la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). por ejemplo. como específicas para un determinado grupo de dispositivos. Para crear políticas. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. Debido a que las reglas previas y posteriores se definen en Panorama y. versión 7. lo que permite revisarlas entre un gran número de reglas. podrá ver las reglas en los cortafuegos gestionados. pero solo podrá editarlas en Panorama. ID de usuario o servicio. Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o.

Si está utilizando GlobalProtect con Perfil de información del host (HIP) habilitado. el nivel de acceso del usuario puede estar determinado por un HIP que informe al cortafuegos acerca de la Palo Alto Networks Guía de referencia de interfaz web. una regla de una aplicación simple debe anteceder a una regla para todas las aplicaciones si el resto de configuraciones de tráfico son las mismas. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir todo el tráfico de intrazona (en la zona) y denegar todo el tráfico interzona (entre zonas). puede cancelarlas y cambiar un número limitado de ajustes. también puede basar la política en información recopilada por GlobalProtect. Las reglas de política se comparan con el tráfico entrante en secuencia y al aplicar la primera regla que coincida con el tráfico. Por ejemplo. • Origen: Utilice la pestaña Origen para definir la zona o dirección de origen donde se origina el tráfico. acción (permitir o denegar) configuración de log y perfiles de seguridad. restringir y realizar un seguimiento del tráfico de su red basándose en la aplicación. Descripción general de políticas de seguridad Políticas > Seguridad Las políticas de seguridad le permiten aplicar reglas y realizar acciones. y pueden ser todo lo general o específicas como sea necesario. el usuario o grupo de usuarios y el servicio (puerto y protocolo). Aunque estas reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada. • Usuario: Utilice la pestaña Usuario para aplicar una política para usuarios individuales o un grupo de usuarios. incluidas las etiquetas.Tipos de políticas Definición de políticas de seguridad Políticas > Seguridad Las políticas de seguridad hacen referencia a zonas de seguridad y gracias a ellas puede permitir. las reglas más específicas deben anteceder a las reglas más generales. De manera predeterminada. Por ejemplo.0 • 233 . Para el tráfico que no coincide con ninguna regla definida por el usuario. versión 7. se aplican las reglas predeterminadas. ¿Qué desea saber? Consulte ¿Qué es una política de seguridad? “Descripción general de políticas de seguridad” En el caso de Panorama. consulte “Definición de políticas en Panorama” ¿Qué campos están disponibles para crear una política de seguridad? “Bloques de creación de una política de seguridad” ¿Cómo puedo utilizar la interfaz web para gestionar políticas de seguridad? “Creación y gestión de políticas” ¿Desea obtener más información? ¿No encuentra lo busca? Consulte Security Policy (en inglés). el cortafuegos incluye una regla de seguridad denominada regla1 que permite todo el tráfico desde la zona fiable a la zona no fiable. La interfaz incluye las siguientes pestañas para definir la política de seguridad: • General: Utilice la pestaña General para configurar un nombre y una descripción para la política de seguridad.

Un administrador también puede usar una firma de identificación de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad reservada o para detectar atributos específicos de una aplicación existente.0 Palo Alto Networks . • Acciones: Utilice la pestaña Acciones para determinar la acción que se realizará basándose en el tráfico que coincida con los atributos de la política definida. Consulte: “Bloques de creación de una política de seguridad” “Creación y gestión de políticas” 234 • Guía de referencia de interfaz web. Las aplicaciones personalizadas se definen en Objetos > Aplicaciones. • Aplicación: Utilice la pestaña Aplicación para que la acción de la política se produzca basándose en una aplicación o un grupo de aplicaciones. • Categoría de URL/servicio: Utilice la pestaña Categoría de URL/servicio para especificar un número de puerto TCP y/o UDP específico o una categoría de URL como criterios de coincidencia en la política. La información HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en ejecución en el host. • Destino: Utilice la pestaña Destino para definir la zona o dirección de destino para el tráfico. los valores de registro y muchas más comprobaciones si el host tiene instalado software antivirus. versión 7.Tipos de políticas configuración local del usuario.

o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. Introduzca un nombre para identificar la regla. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Cada regla se numera automáticamente y el orden cambia a medida que se mueven las reglas. También puede añadir etiquetas a las reglas predeterminadas. Al filtrar reglas para que coincidan con filtros específicos. reglas del dispositivo y reglas posteriores dentro de una base de reglas y refleja la secuencia de reglas y su orden de evaluación. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. la numeración de reglas incorpora jerarquía en las reglas previas. podrá configurar las opciones descritas aquí. que pueden ser letras. tal vez quiera etiquetar determinadas reglas con palabras específicas como descifrado y sin descifrado. las reglas previas y las posteriores se enumeran de forma independiente. Haga clic en Añadir para especificar la etiqueta para la política. Tabla 135. guiones y guiones bajos. espacios. en Panorama. Cuando las reglas se envían desde Panorama a un cortafuegos gestionado.0 • 235 .Tipos de políticas Bloques de creación de una política de seguridad La sección siguiente describe cada bloque de creación o componente de una regla de política de seguridad. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Cuando visualice la regla de seguridad predeterminada o cree una nueva regla. versión 7. Número de regla Nombre N/D General En Panorama. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. números. El nombre debe ser exclusivo en un cortafuegos y. cada regla se enumera con su número en el contexto del conjunto de reglas completo de la base de reglas y su puesto en el orden de evaluación. Por ejemplo. Palo Alto Networks Guía de referencia de interfaz web. Etiqueta General Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas.

la regla se aplicará a todo el tráfico dentro de la zona A y a todo el tráfico dentro de la zona B. a todo el tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la A. B. B o C. Grupo de direcciones o Regiones en la parte inferior de la lista desplegable y especifique la configuración. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Especifica si la regla se aplica al tráfico en una zona.Tipos de políticas Tabla 135. si crea una regla universal con las zonas de origen A y B y las zonas de destino A y B. Haga clic en Añadir para seleccionar las zonas de origen (el valor predeterminado es Cualquiera). si establece la zona de origen en A. Por ejemplo. consulte “Definición de zonas de seguridad”. Haga clic en Añadir para añadir las direcciones. esta se aplicará a todo el tráfico dentro de la zona A. la regla se aplicará al tráfico que va de la zona a A a la B. • intrazona: aplica la regla a todo el tráfico coincidente dentro de las zonas de origen especificadas (no puede especificar una zona de destino para las reglas de intrazona).0 Palo Alto Networks . direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Por ejemplo. a todo el tráfico de la zona B. de la zona B a la A. puede crear una regla que cubra todas las clases. • interzona: aplica la regla a todo el tráfico coincidente entre la zona de origen especificada y las zonas de destino. Puede utilizar múltiples zonas para simplificar la gestión. Las zonas deben ser del mismo tipo (capa 2. Por ejemplo. Tipo Zona de origen Dirección de origen General Origen Origen • universal (predeterminado): aplica la regla a todo el tráfico coincidente de interzona e intrazona en las zonas de origen y destino especificadas. 236 • Guía de referencia de interfaz web. capa 3 o de cable virtual. pero no al tráfico dentro de las zonas A. Virtual Wire). si tiene tres zonas internas diferentes (Marketing. Por ejemplo. pero no al tráfico entre las zonas A y B. entre zonas o ambas. Realice su selección en la lista desplegable o haga clic en Dirección. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. de la zona C a la A y de la zona C a la B. Para definir nuevas zonas. y C y la zona de destino en A y B. si establece la zona de origen en A y B. versión 7.

la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Esta opción es equivalente al grupo de usuarios del dominio en un dominio. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios. versión 7. es decir. puede que quiera añadir a un usuario. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. una lista de individuos. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. Haga clic en Añadir para seleccionar los perfiles de información de host (HIP) que identificarán a los usuarios. Por ejemplo. algunos grupos o añadir usuarios manualmente. como por ejemplo si tienen instalados los parches de seguridad y las definiciones de antivirus más recientes.0 • 237 . Por ejemplo. aunque el usuario no haya iniciado sesión directamente. cualquier IP con datos de usuario asignados. es decir. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. las direcciones IP que no estén asignadas a un usuario. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. • Usuario conocido: Incluye a todos los usuarios autenticados. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema.Tipos de políticas Tabla 135. • Desconocido: Incluye a todos los usuarios desconocidos. Guía de referencia de interfaz web. Un HIP le permite recopilar información sobre el estado de seguridad de sus hosts de extremo. Los siguientes tipos de usuarios de origen son compatibles: Usuario de origen Perfil HIP de origen Palo Alto Networks Usuario Usuario • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario.

Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Para definir nuevas zonas. direcciones de grupos o regiones de destino (el valor predeterminado es Cualquiera). Para especificar las zonas que coincidan con una regla de intrazona. versión 7. podrá ver la información detallada de estos objetos pasando el ratón por encima del objeto en la columna Aplicación. sin tener que desplazarse a las pestañas Objeto. en el enlace en la parte inferior de la lista desplegable y especifique la configuración de la dirección. haciendo clic en la flecha hacia abajo y seleccionando Valor. puede seleccionar una aplicación general o aplicaciones individuales. 238 • Guía de referencia de interfaz web. Realice su selección en la lista desplegable o haga clic en Dirección. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. Zona de destino Destino Puede utilizar múltiples zonas para simplificar la gestión. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Por ejemplo. Dirección de destino Destino Haga clic en Añadir para añadir las direcciones. Si selecciona la aplicación general. Las zonas deben ser del mismo tipo (capa 2. si tiene tres zonas internas diferentes (Marketing. puede crear una regla que cubra todas las clases. Si una aplicación tiene múltiples funciones.Tipos de políticas Tabla 135. consulte “Definición de zonas de seguridad”.0 Palo Alto Networks . se incluirán todas las funciones y la definición de la aplicación se actualizará automáticamente a medida que se añadan futuras funciones. capa 3 o de cable virtual. Aplicación Aplicación Si utiliza grupos de aplicaciones. solo necesita establecer la zona de origen. Virtual Wire). Nota: En las reglas de intrazona. no puede definir una zona de destino porque estos tipos de reglas solo pueden hacer coincidir tráfico con un origen y un destino dentro de la misma zona. filtros o contenedores en la regla de seguridad. Seleccione si desea especificar aplicaciones a la regla de seguridad.

el dispositivo sigue comprobando todas las aplicaciones en todos los puertos.Tipos de políticas Tabla 135. que si no es a propósito. con independencia de la categoría URL. Consulte “Servicios” y “Grupos de servicios”. haga clic en Añadir y seleccione una categoría específica (incluyendo una categoría personalizada) de la lista desplegable. Tenga en cuenta que cuando utiliza esta opción. • Selección: Haga clic en Añadir.0 • 239 . Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. las aplicaciones solamente tienen permiso en sus puertos y protocolos predeterminados. Categoría de URL Palo Alto Networks Categoría de URL/ servicio • Seleccione Cualquiera para permitir o denegar todas las sesiones. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. puede ser una señal de comportamiento y uso de aplicaciones no deseados. pero con esta configuración. versión 7. • Para especificar una categoría. Guía de referencia de interfaz web. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos predeterminados por Palo Alto Networks. Esta opción se recomienda para políticas de permiso porque impide que las aplicaciones se ejecuten en puertos y protocolos no habituales. Puede añadir varias categorías. Seleccione las categorías URL de la regla de seguridad. Seleccione una de las siguientes opciones de la lista desplegable: Servicio Categoría de URL/ servicio • Cualquiera: Las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto.

puede habilitar el cortafuegos para enviar una respuesta inalcanzable de ICMP a la dirección IP de origen donde se originó el tráfico.0 Palo Alto Networks . consulte la sección Configuración de sesión en Dispositivo > Configuración > Sesión. Dado que la acción de denegación predeterminada varía según la aplicación. versión 7. Para cancelar la acción predeterminada definida en las reglas de interzona e intrazona predefinidas. consulte la información detallada de la aplicación en Objetos > Aplicaciones. Cuando configura una política de seguridad para descartar tráfico o restablecer la conexión. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la acción para el tráfico que coincida con los atributos definidos en una regla. seleccione una de las acciones siguientes: – Permitir: (Predeterminado) Permite el tráfico. el cortafuegos podría bloquear la sesión y enviar un restablecimiento para una aplicación. En dichos casos. a menos que seleccione Enviar ICMP inalcanzable. – Descartar: Descarta la aplicación silenciosamente. Para ver la tasa de paquetes inalcanzable de ICMP configurada en el cortafuegos. Habilitar este ajuste permite que el origen cierre o borre la sesión correctamente y evita que las aplicaciones fallen. consulte “Cancelación o reversión de una regla de seguridad predeterminada” 240 • Guía de referencia de interfaz web. Para ver la acción de denegación definida de manera predeterminada para una aplicación. • Enviar ICMP inalcanzable: Solamente está disponible para interfaces de capa 3. el tráfico no alcanza el host de destino. para todo el tráfico de UDP y para el tráfico de TCP descartado. No se envía un restablecimiento de TCP al host o la aplicación. – Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar definida para la aplicación que se está denegando.Tipos de políticas Tabla 135. mientras que podría descartar la sesión silenciosamente para otra aplicación. – Restablecer ambos: Envía un restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. – Restablecer cliente: Envía un restablecimiento de TCP al dispositivo de la parte del cliente. Acción Acciones – Restablecer servidor: Envía un restablecimiento de TCP al dispositivo de la parte del servidor.

seleccione los perfiles individuales de Antivirus. Bloqueo de archivo y/o Filtrado de datos. También puede adjuntar perfiles de seguridad (o grupos de perfiles) a las reglas predeterminadas. Palo Alto Networks Guía de referencia de interfaz web. Protección de vulnerabilidades.Tipos de políticas Tabla 135.0 • 241 . Para definir nuevos perfiles o grupos de perfiles. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la comprobación realizada por los perfiles de seguridad predeterminados. a continuación. haga clic en Nuevo junto al perfil o grupo adecuado (consulte “Grupos de perfiles de seguridad”). Ajuste de perfil Acciones Para especificar un grupo de perfiles en lugar de perfiles individuales. seleccione un grupo de perfiles en la lista desplegable Perfil de grupo. versión 7. Antispyware. Filtrado de URL. seleccione Grupo en Tipo de perfil y.

también lo harán las entradas de colocación y denegación. • Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en paquetes que coincidan con la regla.0 Palo Alto Networks .Tipos de políticas Tabla 135. versión 7. Descripción General Introduzca una descripción de la política (hasta 255 caracteres). seleccione una programación de la lista desplegable. consulte “Configuración de la calidad de servicio”. Genera una entrada de log de tráfico al final de la sesión (habilitada de forma predeterminada). • Log al finalizar sesión. Para definir nuevos perfiles de log. como servidores de Panorama y Syslog. seleccione un perfil de logs de la lista desplegable Perfil de reenvío de logs. • Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente. Nota: Si las entradas de inicio o fin de la sesión se registran. 242 • Guía de referencia de interfaz web. Genera una entrada de log de tráfico al inicio de la sesión (deshabilitada de forma predeterminada). seleccione IP DSCP o Precedencia de IP e introduzca el valor de QoS en formato binario o seleccione un valor predeterminado de la lista desplegable. haga clic en Nueva (consulte “Ajustes de descifrado SSL en un perfil de descifrado”). • Perfil de reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. Esta opción puede ser de utilidad en condiciones con gran carga del servidor. haga clic en Nuevo (consulte “Reenvío de logs”). seleccione esta casilla de verificación. Tenga en cuenta que la generación de entradas del log de amenazas está determinada por los perfiles de seguridad. seleccione las siguientes opciones: Opciones Acciones • Log al iniciar sesión. Para obtener más información sobre QoS. Especifique cualquier combinación de las siguientes opciones: • Programación: Para limitar los días y horas en los que la regla está en vigor. También puede cambiar la configuración del log en las reglas predeterminadas. Para definir nuevas programaciones. Bloques de creación de una regla de seguridad Campo Configurado en Descripción La pestaña Opciones incluye los ajustes de logs y una combinación de otras opciones indicadas a continuación: Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla.

• Seleccione una regla en la que basar la nueva regla y haga clic en Duplicar regla. La regla copiada. Para obtener más información. donde n es el siguiente número entero disponible que hace que el nombre de la regla sea único. consulte “Traslado o duplicación de una política o un objeto”. Para obtener más información. Habilitar/ deshabilitar Para deshabilitar una regla. Mover Las reglas se evalúan de arriba a abajo y del modo enumerado en la página Políticas. haga clic en ella. a continuación. Eliminar Seleccione una regla y haga clic en Eliminar para eliminar la regla existente. selecciónela y haga clic en Habilitar. Si la regla se ha introducido desde Panorama. realice una de las siguientes acciones: • Haga clic en Añadir en la parte inferior de la página. Modificar Para modificar una regla. la regla será de solo lectura en el cortafuegos y no podrá editarse localmente. Como son parte de la configuración predefinida. Palo Alto Networks Guía de referencia de interfaz web. versión 7. También puede revertir las reglas predeterminadas.Tipos de políticas Creación y gestión de políticas Utilice la página Políticas > Seguridad para añadir. lo que restaura la configuración predefinida o la configuración enviada a Panorama. consulte “Cancelación o reversión de una regla de seguridad predeterminada”. modificar y gestionar políticas de seguridad: Tarea Añadir Descripción Para añadir una nueva regla de política. seleccione una regla y haga clic en Mover hacia arriba. también puede cancelar las reglas predeterminadas y. Mover hacia abajo. Si desea información detallada sobre la duplicación. Mover a la parte superior o Mover a la parte inferior. Si usa Panorama. o bien seleccione una regla haciendo clic en el espacio en blanco de la regla y seleccione Duplicar regla en la parte inferior de la página (una regla seleccionada en la interfaz web se muestra con un fondo de color amarillo). Estas reglas predefinidas (permitir todo el tráfico de intrazona y denegar todo el tráfico de interzona) indican al cortafuegos cómo debe gestionar el tráfico que no coincida con ninguna otra regla de la base de reglas. Las acciones Cancelar y Revertir únicamente pertenecen a las reglas predeterminadas que se muestran en la parte inferior de la base de reglas de seguridad.0 • 243 . debe cancelarlas con el fin de editar la configuración de políticas seleccionada. seleccione la regla y haga clic en Deshabilitar. Para cambiar el orden en el que las reglas se evalúan con respecto al tráfico de red. “regla n” se inserta debajo de la regla seleccionada. Para habilitar una regla que esté deshabilitada. consulte “Traslado o duplicación de una política o un objeto”. enviarlas a los cortafuegos de un grupo de dispositivos o contexto compartido.

podrá decidir si desea deshabilitar la regla o eliminarla. haga clic en la lista desplegable del elemento y seleccione Filtro. 244 • Guía de referencia de interfaz web. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar. Panorama obtiene y agrega la lista de reglas sin coincidencia. Práctica recomendada: Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. haga clic en la lista desplegable del nombre de regla y seleccione Visor de log. selecciónelo de la lista desplegable Reglas de filtro. A continuación. desde cada dispositivo gestionado.0 Palo Alto Networks . Aplicar filtros Para aplicar un filtro a la lista. En Panorama. Para añadir un valor que defina un filtro. seleccione la casilla de verificación Resaltar reglas no utilizadas. Regla en uso Regla no utilizada (fondo de puntos amarillos) Mostrar/ ocultar columnas Para cambiar (mostrar u ocultar) las columnas que aparecen en cualquiera de las páginas de Políticas.Tipos de políticas Tarea Descripción Visualizar reglas no utilizadas Para buscar reglas no utilizadas actualmente. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. Para ver las sesiones de red registradas como coincidencias con respecto a la política. Seleccione o cancele la selección de la casilla de verificación junto al nombre de columna para alternar la visualización de cada columna. supervise esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. Nota: Las reglas predeterminadas no son parte del filtro de la base de reglas y siempre aparecen en la lista de reglas filtradas. versión 7.

Para buscar objetos que se utilicen dentro de una política basándose en el nombre del objeto o la dirección IP. También puede editar. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. Esto le permitirá ver rápidamente los miembros y las direcciones IP correspondientes del grupo de direcciones sin tener que navegar a las pestañas Objeto. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado).8. Esa política utiliza un objeto de grupo de direcciones denominado aaagroup. Barra de filtros Resultados de filtros Reglas de vista previa (únicamente Panorama) Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. Por ejemplo. la dirección IP 10.10. Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). lo que permite revisarlas entre un gran número de reglas. que contiene la dirección IP. versión 7.177 se ha introducido en la barra de filtros y se muestra la política aaa. La búsqueda rastreará los objetos incrustados para encontrar una dirección en un objeto de dirección o en un grupo de direcciones. para ver las direcciones incluidas en un grupo de direcciones. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. Palo Alto Networks Guía de referencia de interfaz web.0 • 245 . haga clic en la lista desplegable y seleccione Valor. pase el ratón por encima del objeto en la columna Dirección.Definición de políticas en Panorama Tarea Descripción Puede mostrar el valor actual haciendo clic en la lista desplegable de la entrada y seleccionando Valor. utilice el filtro. filtrar o eliminar algunos elementos directamente desde el menú de la columna. En cada base de reglas. En la siguiente captura de pantalla.

podrá ver las reglas en los cortafuegos gestionados. Si una interfaz de salida tiene una dirección IP asignada dinámicamente. PA-5050. por lo que los dispositivos vecinos solamente podrán resolver solicitudes ARP para direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual. El cortafuegos admite los siguientes tipos de traducción de dirección: • IP dinámica/Puerto: Para el tráfico saliente. en un grupo de dispositivos. La política de seguridad se basará en la dirección de la zona posterior y anterior a NAT. puede ser de utilidad especificar la interfaz como la dirección traducida. puede utilizar políticas de traducción de dirección de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirán entre públicos y privados. consulte “Bloques de creación de una política de seguridad” o “Creación y gestión de políticas”. una subred o una combinación de todas ellas. ID de usuario o servicio. como específicas para un determinado grupo de dispositivos. un intervalo de direcciones IP. Proxy ARP no es compatible con cables virtuales. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. es importante tener en cuenta que también se debe configurar una política de seguridad para permitir el tráfico NAT.Definición de políticas en Panorama Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o. es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se comunican los dispositivos vecinos. Políticas NAT Si define interfaces de capa 3 en el cortafuegos. Por ejemplo. regla posterior o regla local de un dispositivo. cuatro veces en los cortafuegos PA-4020 y PA-5020 y ocho veces en los cortafuegos de las series PA-4050. a continuación. Si ejecuta NAT en interfaces de cable virtual. Para definir políticas. Múltiples clientes pueden utilizar las mismas direcciones IP públicas con diferentes números de puerto de origen. las direcciones de origen privadas se pueden traducir a direcciones públicas en el tráfico enviado desde una zona interna (fiable) a una zona pública (no fiable). PA-5060 y PA-7000 cuando las direcciones IP de destino sean exclusivas. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. por ejemplo. versión 7. Puede cancelar las reglas predeterminadas para permitir la edición de ajustes seleccionados en estas reglas e introducirlas en los dispositivos gestionados de un grupo de dispositivos o contexto compartido.0 Palo Alto Networks . El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. PA-500. PA-4060. pero solo podrá editarlas en Panorama. Debido a que las reglas previas y posteriores se definen en Panorama y. la política NAT se actualizará automáticamente para utilizar cualquier dirección adquirida por la interfaz para subsiguientes traducciones. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. Las reglas de IP dinámica/NAT de puerto permiten traducir una dirección IP única. Si configura NAT en el cortafuegos. NAT también es compatible en interfaces de cable virtual. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. se envían de Panorama a los dispositivos gestionados. Estas reglas son parte de la configuración predefinida de Panorama. Si especifica la interfaz en la regla de IP dinámica/ puerto. PA-2000 y PA-3000. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de puertos y direcciones IP disponibles. 246 • Guía de referencia de interfaz web.

Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. mientras que el grupo de direcciones traducidas se utiliza en su totalidad. Las direcciones de origen privadas se traducen a la siguiente dirección disponible en el intervalo de direcciones especificado. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. • IP dinámica: Para el tráfico entrante o saliente. debe definir un nuevo servicio. Tipos de NAT Tipo de asignación Tamaño del grupo de direcciones traducidas No Muchas a 1MaN Hasta 254 direcciones consecutivas Sí No MaN Hasta 32. Tabla 136. La siguiente tabla resume los tipos de NAT. mientras que puede dejar el puerto de origen o destino sin modificar. Para especificar un único puerto.0 • 247 . N también puede ser 1. Con NAT de IP estática. También existen límites diferentes del tamaño del grupo de IP traducido. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. Las políticas de NAT de IP dinámica permiten especificar una dirección IP única. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados. como TCP 80. las nuevas direcciones IP que buscan traducción se verán bloqueadas. tal y como se indica a continuación. múltiples intervalos IP o múltiples subredes como el grupo de direcciones traducidas. existe una asignación de uno a uno entre cada dirección original y su dirección traducida. donde M y N son números diferentes. puede especificar un grupo de reserva que se utilizará si el grupo primario agota sus direcciones IP. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. Si el grupo de direcciones de origen es mayor que el grupo de direcciones traducidas. múltiples IP. no se necesitará una ruta estática para esa dirección en el enrutador. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred).Definición de políticas en Panorama • IP dinámica: Para el tráfico saliente. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. versión 7.000 direcciones consecutivas Sí No 1a1 Ilimitado Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No IP dinámica IP estática MaN MIP Opcional Palo Alto Networks 1 a muchas PAT VIP Guía de referencia de interfaz web. Para evitar este problema. mientras que permanecen inalterables con NAT de IP dinámica. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Si especifica puertos de servicio (TCP o UDP) para NAT. Puede utilizar la IP estática de origen o destino.

0. especifique todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen. utilizando la función bidireccional. NAT puede afectar a las direcciones IP de origen o destino y pueden llegar a modificar la interfaz saliente y la zona. se utilizan dos reglas NAT para crear una traducción de origen del tráfico saliente desde la IP 10. y una traducción de destino para el tráfico destinado de la IP pública 3.10 a la IP pública 3. las zonas de origen y destino serían las mismas.3.1. Si crea políticas de seguridad con direcciones IP específicas.1. versión 7. Este par de reglas se pueden simplificar configurando únicamente la tercera regla NAT.10. La política de seguridad debe permitir de forma explícita el tráfico sujeto a NAT. Para definir una política no NAT. En este caso. es necesario configurar la política NAT mediante la zona en la que reside la dirección IP pública. 248 • Guía de referencia de interfaz web.1. Por ejemplo.3.0 Palo Alto Networks . es necesario configurar la política NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts. La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya modificado el paquete. Opciones de regla NAT El cortafuegos admite reglas no NAT y reglas NAT bidireccionales.3. Reglas NAT bidireccionales El ajuste bidireccional en reglas NAT de origen estáticas crea una regla NAT de destino para el tráfico en los mismo recursos en la dirección opuesta. La política de seguridad es diferente de la política NAT en que las zonas posteriores a NAT se deben utilizar para controlar el tráfico.1 a la IP privada 10. Como ejemplo adicional.3.0. si traduce el tráfico de host saliente a una dirección IP pública.Definición de políticas en Panorama Determinación de configuración de zona en NAT y política de seguridad Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP anteriores a NAT configuradas en la política. Reglas no NAT Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo de las reglas NAT definidas posteriormente en la política NAT. es importante tener en cuenta que las direcciones IP anteriores a NAT se utilizarán en la correspondencia de políticas. si traduce el tráfico entrante a un servidor interno (al que se accede mediante una IP pública de servidores de Internet). En este ejemplo. si el tráfico atraviesa múltiples zonas.

debe añadir una ruta estática al enrutador local para enrutar el tráfico al cortafuegos. por lo tanto. La regla solo se aplica al tráfico recibido en una interfaz Capa 3 en la zona “L3Trust” que se destina a una interfaz en la zona “L3Untrust”. si la dirección pública no está en la dirección de la interfaz del cortafuegos (o en la misma subred).100 en la zona “L3Untrust”) y un número de puerto de origen único (traducción de origen dinámica). Traducción de dirección de origen dinámica En el siguiente ejemplo.0.Definición de políticas en Panorama Ilustración 2. Cree una política de seguridad con zonas y direcciones de origen/destino que coincidan con la regla NAT. Reglas NAT bidireccionales Ejemplos de política NAT La siguiente regla de políticas NAT traduce un intervalo de direcciones de origen privadas (10.0. Palo Alto Networks Guía de referencia de interfaz web. Para el tráfico en dirección opuesta (correo electrónico entrante). Ilustración 3. las sesiones de red no se pueden iniciar desde la red pública.10. Como las direcciones privadas están ocultas.0. la segunda regla traduce la dirección de destino de la dirección pública del servidor a su dirección privada.1 a 10.2. En este caso. La regla 2 utiliza “L3Untrust” para las zonas de origen y destino porque la política NAT se basa en la zona de direcciones anterior a NAT. se encuentra en la zona “L3Untrust”. Ilustración 4.0 • 249 . esa dirección anterior a NAT es una dirección IP Pública y.0. La regla solo se aplica al correo saliente enviado desde la zona “L3Trust” a la zona “L3Untrust”. la primera regla NAT traduce la dirección privada de un servidor de correo interno en una dirección IP pública estática. La política de seguridad debe configurarse explícitamente para permitir el tráfico coincidente con esta regla NAT. versión 7.100 en la zona “L3Trust”) en una dirección IP pública única (200. Si la dirección pública no está en una dirección de interfaz de cortafuegos (o en la misma subred). Origen estático y Traducción de dirección de destino En ambos ejemplos. el enrutador local requiere una ruta estática para dirigir el tráfico de retorno al cortafuegos.

la dirección IPv6 de destino de la regla NAT es un prefijo que sigue al formato RFC 6052 (/32. Las siguientes funciones NAT64 son compatibles: • Stateful NAT64. /48. La dirección IPv4 definida como origen se configura de la misma forma que una traducción de destino NAT44. • Admitido en interfaces y subinterfaces de capa 3. Sin embargo. y a los clientes de IPv4 acceder a servidores IPv6. Stateless NAT64 asigna una dirección IPv4 a una dirección IPv6. debe realizarse una traducción de destino ya que la dirección se extrae de la dirección IPv6 en el paquete. Debe tener en cuenta que en un prefijo /96. túnel e interfaces VLAN. lo que le permite conservar aún más direcciones IPv4. • Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de hairpinning./48. La traducción de origen necesita tener un “puerto e IP dinámicas” para implementar Stateful NAT64. y comunicación IPv4 iniciada con un servidor IPv6. • Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamaño máximo de segmento) para TCP. El enlace estático de IPv4 asigna una dirección/número de puerto IPv4 a una dirección IP IPv6. que permite mantener las direcciones IPv4 para que una dirección IPv4 pueda asignarse a múltiples direcciones IPv6. • Permite configurar el parámetro IPv6 MTU. /64 y /96./64 y /96). El campo de traducción de destino no está definido. /40. Ejemplos de NAT64 Puede configurar dos tipos de traducción con el cortafuegos: comunicación IPv6 iniciada. Por lo tanto. está en los últimos 4 octetos. 250 • Guía de referencia de interfaz web. Si utiliza políticas NAT64 en el cortafuegos de Palo Alto Networks. Existen tres mecanismos principales de transición definidos por IETF: pila doble. Una dirección IPv4 también se puede compartir con NAT44. • Permite la traducción de paquetes TCP/UDP/ICMP por RFC. /40. así como otros protocolos sin ALG (best effort). versión 7. • No requiere que conserve un grupo de direcciones IPv4 específicamente para NAT64. es posible traducir un paquete GRE. Este ajuste se configura en la pestaña Dispositivo > Configuración > Sesiones en Ajustes de sesión./56. • Traducción de comunicación IPv4 iniciada.0 Palo Alto Networks . Por ejemplo. El valor predeterminado es 1280. es necesario que disponga de una solución DNS64 externa para desacoplar la función de consultas de DNS de la función NAT. puede utilizar una dirección IP simple para NAT44 y NAT64. túneles y transición. que es similar al origen NAT en IPv4. Comunicación IPv6 iniciada En este tipo de traducción. PAN-OS también admite la reescritura. Utiliza el prefijo definido en los criterios de coincidencia de IP de destino.Definición de políticas en Panorama NAT64 NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicación. • Traduce el atributo de longitud entre IPv4 e IPv6. • Permite traducir subredes /32. /56. Esta traducción tiene la misma limitación que NAT44. Puede asignar un prefijo NAT64 por regla. que es similar al destino NAT en IPv4. En contraste. La máscara de red de la dirección IPv6 de destino en la regla se utilizaría para extraer la dirección IPv4. que es el valor mínimo de MTU para el tráfico IPv6. pero la ubicación de la dirección IPv4 sería diferente si el prefijo no es /96. • Compatibilidad de varios prefijos. debe utilizar la traducción. Permite a los clientes de IPv6 acceder a los servidores IPv4.

Definición de políticas en Panorama Servidor DNS64 Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv6 Ilustración 5. versión 7. IP de origen IP de destino Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC6052 Traducción de origen IP dinámica y modo de puerto (usar direcciones IPv4) Traducción de destino Ninguna (Extraída de las direcciones IPv6 de destino) Comunicación IPv4 iniciada La dirección IPv4 se asigna a la dirección IPv6 y puede usar el modo de IP estática en la traducción de origen. Es posible reescribir el puerto de destino. La dirección de destino es la dirección IP definida en la columna de traducción de destino. Red de Internet NAT64 IPv4 a cliente IPv6 Palo Alto Networks Guía de referencia de interfaz web. Servidor IPv6 Servidor DNS Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv4 Ilustración 6. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y se adjunta a la dirección IPv4 de origen. Tabla 137.0 • 251 . Red de cliente NAT64 IPv6 a IPv4 La tabla siguiente describe los valores necesarios en esta política NAT64. Este método permite que una única dirección IP comparta múltiples servidores IPv6 mediante una asignación estática en el puerto.

Resumen de implementaciones de escenarios IETF para el uso de PAN-OS Escenario Red IPv6 a Internet IPv4 IP de origen Cualquier dirección IPv6 IP de destino Traducción de origen Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. Aplique el prefijo NAT64 al túnel y aplique la zona adecuada para garantizar que el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. versión 7. porque el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. es importante solucionar la accesibilidad del prefijo NAT64 para la asignación de la zona de destino. Modo de IP estática. El cortafuegos de Palo Alto Networks admite todos los escenarios menos uno de ellos. También podrá cancelar el tráfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia. El motor de procesamiento del paquete del cortafuegos debe realizar una búsqueda en la ruta para buscar la zona de destino antes de buscar en la regla NAT. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) Palo Alto Networks . Internet IPv4 a una red IPv6 Cualquier dirección IPv4 Dirección IPv4 simple Internet IPv6 a una red IPv4 Cualquier dirección IPv6 Prefijo IPv6 enrutable globalmente con máscara de red compatible con RFC 6052. o que se cancele porque no hay ninguna ruta. Puede configurar una interfaz de túnel sin punto de finalización porque este tipo de interfaz actuará como un puerto de loopback y aceptará otras máscaras de subred además de /128. Tabla 138. Red IPv4 a Internet IPv6 No admitida actualmente Traducción de destino Ninguna (extraída de direcciones IPv6 de destino) Usar dirección IPv4 pública Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 252 • Guía de referencia de interfaz web. tal y como se indica en la tabla siguiente.Definición de políticas en Panorama La tabla siguiente describe los valores necesarios en esta política NAT64. Valores de IPv4 iniciada IP de origen IP de destino Cualquier dirección IPv4 Dirección IPv4 Traducción de origen Modo de IP estática (Prefijo IPv6 en formato RFC 6052) Traducción de destino Dirección simple IPv6 (dirección IP del servidor real) Nota: Puede especificar una reescritura del puerto del servidor. Escenarios IETF para la transición IPv4/IPv6 Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. Tabla 139. En NAT64.0 IP dinámica y puerto. Modo de IP dinámica y puerto. Es muy probable que el prefijo NAT64 acierte con la ruta predeterminada.

Traducción de destino Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 IP dinámica y puerto. Con NAT de IP estática. debe definir un nuevo servicio. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. tal y como se indica a continuación. no se necesitará una ruta estática para esa dirección en el enrutador. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una.000 direcciones consecutivas Guía de referencia de interfaz web. versión 7. mientras que permanecen inalterables con NAT de IP dinámica. Tipos de NAT Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No No Palo Alto Networks Muchas a 1 MaN Sí IP dinámica Tipo de asignación No MaN Tamaño del grupo de direcciones traducidas Hasta 254 direcciones consecutivas Hasta 32. existe una asignación de uno a uno entre cada dirección original y su dirección traducida. Tabla 140. La siguiente tabla resume los tipos de NAT. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) • IP estática: Para tráfico entrante o saliente. Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052.0 • 253 . Si especifica puertos de servicio (TCP o UDP) para NAT. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. Puede utilizar la IP estática de origen o destino. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). N también puede ser 1. como TCP 80. mientras que puede dejar el puerto de origen o destino sin modificar. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. donde M y N son números diferentes. También existen límites diferentes del tamaño del grupo de IP traducido. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuación) IP de origen Escenario Red IPv4 a red IPv6 Red IPv6 a red IPv4 IP de destino Traducción de origen Cualquier dirección IPv4 Dirección IPv4 simple Modo de IP estática.Definición de políticas en Panorama Tabla 139. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados. Para especificar un único puerto.

en las direcciones de origen y destino y en el servicio de aplicación (como HTTP). También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando existan numerosas políticas. y se aplica la primera regla que coincida con el tráfico. Al igual que las políticas de seguridad. 254 • Guía de referencia de interfaz web. A medida que sea necesario.Definición de políticas en Panorama Tabla 140. Es posible que también necesite añadir reglas estáticas a la interfaz de destino en el cortafuegos para reducir el tráfico en la dirección privada. Seleccione el tipo de política NAT que está creando. versión 7. lo que influirá en los campos que estarán disponibles en las pestañas Paquete original y Paquete traducido. las reglas de política NAT se comparan con el tráfico entrante en secuencia. Las tablas siguientes describen los ajustes de NAT y NPTv6 (traducción de prefijo de red de IPv6 a IPv6): • “Pestaña General” • “Pestaña Paquete original” • “Pestaña Paquete traducido” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política NAT o NPTv6. Tipos de NAT (Continuación) Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación Tamaño del grupo de direcciones traducidas IP estática Sí No 1a1 Ilimitado MaN MIP Opcional 1 a muchas PAT VIP Definición de políticas de traducción de dirección de red Políticas > NAT Las reglas NAT se basan en las zonas de origen y destino. consulte “Definición de políticas en Panorama”. Para obtener información sobre cómo definir políticas en Panorama.0 Palo Alto Networks . añada rutas estáticas al enrutador local para enrutar el tráfico a todas las direcciones públicas hacia el cortafuegos.

guiones y guiones bajos. espacios. Configuración reglas NAT (pestaña General) Campo Descripción Nombre Introduzca un nombre para identificar la regla. Para definir nuevas zonas. podría etiquetar determinadas políticas de seguridad con Entrante en DMZ. Tabla 142. No puede combinar intervalos de direcciones IPv4 e IPv6 en una única regla NAT. Puede utilizar múltiples zonas para simplificar la gestión. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. consulte “Definición de zonas de seguridad”. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. puede configurar los ajustes para que múltiples direcciones NAT internas se dirijan a la misma dirección IP externa. que pueden ser letras. Etiqueta Si desea añadir una etiqueta a la política.Definición de políticas en Panorama Tabla 141. Interfaz de destino Palo Alto Networks Especifique el tipo de interfaz de traducción. Configuración de reglas NAT (pestaña Paquete original) Campo Descripción Zona de origen Zona de destino Seleccione una o más zonas de origen y destino para el paquete original (no NAT). así como el tipo de interfaz de destino y el tipo de servicio. Virtual Wire). Pestaña Paquete original Utilice la pestaña Paquete original para definir el tráfico de origen y destino que se traducirá. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Tipo de NAT Especifique el tipo de traducción para el que va destinado la regla: • ipv4 para la traducción entre direcciones IPv4. • nat64 para la traducción entre direcciones IPv6 y IPv4. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. en Panorama. • nptv6 para la traducción entre prefijos IPv6. Por ejemplo. haga clic en Añadir para especificar la etiqueta. Por ejemplo. capa 3 o de cable virtual. versión 7. números. La interfaz de destino se puede utilizar para traducir direcciones IP de manera diferente en caso de que la red esté conectada a dos proveedores de Internet con grupos diferentes de direcciones IP. políticas de descifrado con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. Guía de referencia de interfaz web. El nombre debe ser exclusivo en un cortafuegos y. (El valor predeterminado es Cualquiera.) Las zonas deben ser del mismo tipo (capa 2.0 • 255 . Se pueden configurar varias zonas de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o direcciones IP específicas.

versión 7. para la traducción de dirección de origen. Para definir nuevos grupos de servicio. el tipo de traducción que se realizará en el origen y la dirección y/o el puerto al que se traducirá. La traducción de dirección de destino también se puede configurar para un host interno que al que se necesite acceder desde una dirección IP pública. Cuando se acceda a la dirección pública. 256 • Guía de referencia de interfaz web. Dirección de origen Dirección de destino Especifique una combinación de direcciones de origen y destino que se traducirán. Pestaña Paquete traducido Utilice la pestaña Paquete traducido para determinar. El intervalo admitido de longitudes de prefijo es de /32 a /64.0 Palo Alto Networks . y en la pestaña Paquete traducido habilite Traducción de dirección de destino e introduzca la Dirección traducida. En este caso. Para NPTv6. se traducirá a la dirección interna (destino) del host interno. los prefijos configurados para Dirección de origen y Dirección de destino deben tener el formato xxxx:xxxx::/yy. Configuración de reglas NAT (pestaña Paquete original) (Continuación) Campo Descripción Servicio Especifique los servicios para los que las direcciones de origen y destino se traducen. defina una dirección de origen (pública) y una dirección de destino (privada) en la pestaña Paquete original para un host interno. La dirección no puede tener definida una parte de identificador de interfaz (host). consulte “Grupos de servicios”.Definición de políticas en Panorama Tabla 142.

Para una dirección de IP de origen. Por ejemplo. Si crea un grupo de reserva.2.0.1-10. – Avanzado (traducción de IP dinámica de reserva): Utilice esta opción para crear un grupo de reserva que ejecutará la traducción de IP y puerto.000 sesiones simultáneas. El intervalo de dirección es casi ilimitado. PA-4060. Configuración de reglas NAT (pestaña Paquete traducido) Campo Descripción Traducción de dirección de origen Seleccione el tipo de traducción (grupo de direcciones dinámicas o estáticas) e introduzca una dirección IP o un intervalo de direcciones IP (dirección1-dirección2) a las que se traducirá la dirección de origen (Dirección traducida).2 siempre se traduce a 10. Un grupo de direcciones IP dinámicas puede contener varias subredes. – NPTv6 debe utilizar la traducción de IP estática para la traducción de dirección de origen.000 direcciones IP consecutivas.Definición de políticas en Panorama Tabla 143. para interfaces que reciben una dirección IP dinámica.0. IP dinámica y NAT de puerto origen admite aproximadamente 64. • IP dinámica: Se utiliza la siguiente dirección disponible en el intervalo especificado. El tamaño del intervalo de direcciones está limitado por el tipo del grupo de direcciones: • IP dinámica y puerto: La selección de direcciones se basa en un hash de la dirección de IP de origen. El intervalo admitido de longitudes de prefijo es de /32 a /64. • IP estática: Siempre se utiliza la misma dirección para la traducción y el puerto permanece inalterable. pero el número de puerto no se cambia. cuatro veces en los cortafuegos PA-4020 y PAh5020 y ocho veces en los cortafuegos PA-4050. Puede definir las direcciones del grupo utilizando la opción Dirección traducida o Dirección de interfaz. El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. PA-2000 y PA-3000.000 sesiones simultáneas en cada dirección IP en el grupo NAT. los prefijos configurados para Dirección traducida deben tener el formato xxxx:xxxx::/yy. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de direcciones y puertos IP disponibles. La dirección no puede tener definida una parte de identificador de interfaz (host).0. Para NPTv6.1-192. y que se utilizará si el grupo primario agota sus direcciones. la dirección 192. si el intervalo de origen es 192.0. asegúrese de que las direcciones no se solapan con las direcciones del grupo primario. • Ninguna: La traducción no se ejecuta.168. Palo Alto Networks Guía de referencia de interfaz web.0. versión 7.10.0 • 257 .10 y el intervalo de traducción es 10.0.0. por lo que podrá traducir sus direcciones de red internas a dos o más subredes públicas diferentes. En algunas plataformas. Se admiten hasta 32. PAh5050 y PA-5060 cuando las direcciones IP de destino sean exclusivas.168.0. el cortafuegos utilizará la misma dirección de origen traducida para todas las sesiones. PA-500. lo que permite a una única IP albergar más de 64. se permite un exceso de suscripciones.168.0.

la función bidireccional permitirá la traducción automática de paquetes en ambas direcciones. El resto de sesiones de esa dirección IP y puerto de destino de la misma aplicación coincidirán con una regla específica de aplicación.Definición de políticas en Panorama Tabla 143. Traducción de dirección de destino: Dirección traducida Introduzca una dirección o intervalo de direcciones IP y un número de puerto traducido (1 a 65535) al que la dirección y número de puerto de destino se traducirán. las reglas PBF se pueden utilizar para forzar el tráfico mediante un sistema virtual adicional con la acción de reenvío Reenviar a Vsys. Para garantizar el reenvío mediante reglas PBF. El intervalo admitido de longitudes de prefijo es de /32 a /64. no se recomienda el uso de reglas específicas de la aplicación. así como la dirección. versión 7. Para NPTv6. consulte “Políticas y perfiles de seguridad”. consulte “Definición de políticas en Panorama”. En este caso. La sección de direcciones de puerto y host sencillamente se reenvía sin cambios.0 Palo Alto Networks . dirección y usuario de origen. Tenga en cuenta que el puerto traducido no es compatible con NPTv6 porque NPTv6 es una traducción de prefijo estricta. el enrutador virtual de la interfaz de entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de destino basada en la dirección IP de destino. el puerto de destino no se modifica. Configuración de reglas NAT (pestaña Paquete traducido) (Continuación) Campo Descripción Bidireccional (Opcional) Habilite la traducción bidireccional si quiere que el cortafuegos cree una traducción correspondiente (NAT o NPTv6) en la dirección opuesta de la traducción que configure. 258 • Guía de referencia de interfaz web. aplicación y servicio de destino. Para obtener información y directrices de configuración acerca de otros tipos de políticas. La traducción de destino se suele utilizar para permitir un servidor interno. Políticas de reenvío basado en políticas Políticas > Reenvío basado en políticas Normalmente. Gracias al reenvío basado en políticas (PBF). los prefijos configurados para Dirección traducida de prefijo de destino deben tener el formato xxxx:xxxx::/yy. como un servidor de correo electrónico al que se accede desde la red pública. cuando el tráfico entra en el cortafuegos. Si el campo Puerto traducido se deja en blanco. incluyendo la zona. La sesión inicial de una dirección IP y puerto de destino concretos asociados con una aplicación no coincidirá con una regla de aplicación específica y se reenviarán de acuerdo con reglas PBF subsiguientes (que no especifican ninguna aplicación) o la tabla de reenvío del enrutador virtual. algo que quizás no desee. Cuando sea necesario. es extremadamente importante asegurarse de tener establecidas políticas de seguridad para controlar el tráfico en ambas direcciones. puede especificar otra información para determinar la interfaz de salida. Para obtener información sobre cómo definir políticas en Panorama. es necesario definir una regla PBF adicional que reenvíe el paquete desde el sistema virtual de destino mediante una interfaz de salida (egress) concreta en el cortafuegos. Sin dichas políticas. La dirección no puede tener definida una parte de identificador de interfaz (host). Si habilita la traducción bidireccional.

Descripción Introduzca una descripción de la política (hasta 255 caracteres). Campo Descripción Zona de origen Para elegir zonas de origen (el valor predeterminado es cualquiera). guiones y guiones bajos. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. en Panorama. que pueden ser letras. Guía de referencia de interfaz web. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. haga clic en Añadir y seleccione una de la lista desplegable. haga clic en Añadir para especificar la etiqueta. Por ejemplo. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. El nombre debe ser exclusivo en un cortafuegos y. consulte “Definición de zonas de seguridad”. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. espacios. puede crear una regla que cubra todas las clases. si tiene tres zonas internas diferentes (Marketing. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Realice su selección en la lista desplegable o haga clic en Dirección. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. versión 7. Nota: Solo se admiten zonas de tipo Capa 3 para reenvío basado en políticas. Por ejemplo. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable.Definición de políticas en Panorama Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino/aplicación/servicio” • “Pestaña Reenvío” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política PBF. números. Etiqueta Si necesita añadir una etiqueta a la política.0 • 259 . Para definir nuevas zonas. Pestaña Origen Utilice la pestaña Origen para definir la zona de origen o la dirección de origen que define el tráfico de origen entrante al que se aplicará la política de reenvío. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Grupo de direcciones. políticas de descifrado con las palabras descifrado y sin descifrado. Campo Descripción Nombre Introduzca un nombre para identificar la regla. Puede utilizar múltiples zonas para simplificar la gestión.

una lista de individuos. Realice su selección en la lista desplegable o haga clic en Dirección. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red.0 Palo Alto Networks . • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Pestaña Destino/aplicación/servicio Utilice la pestaña Destino/aplicación/servicio para definir la configuración de destino que se aplicará al tráfico que coincida con la regla de reenvío.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Grupo de direcciones. • Desconocido: Incluye a todos los usuarios desconocidos. • Usuario conocido: Incluye a todos los usuarios autenticados. pero no se autenticarán en el dominio y no tendrán ninguna información de asignación de IP a usuario en el cortafuegos. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Por ejemplo. versión 7. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. puede que quiera añadir a un usuario. es decir. Por ejemplo. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. las direcciones IP que no estén asignadas a un usuario. aunque el usuario no haya iniciado sesión directamente. esta regla se aplica a cualquier dirección IP. 260 • Guía de referencia de interfaz web. De manera predeterminada. cualquier IP con datos de usuario asignados. algunos grupos o añadir usuarios manualmente. es decir.

Palo Alto Networks Guía de referencia de interfaz web. Campo Descripción Acción Seleccione una de las siguientes opciones: • Reenviar: Especifique la dirección IP del próximo salto y la interfaz de salida (egress) (la interfaz que toma el paquete para el siguiente salto especificado). Nota: No se recomienda usar las reglas específicas de aplicación con PBF. podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación. filtros o un contenedor en la regla de PBF. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. Pestaña Reenvío Use la pestaña Reenvío para definir la acción y la información de red que se aplicará al tráfico que coincida con la política de reenvío. Cuando sea posible. el cortafuegos usa la tabla de enrutamiento para excluir el tráfico coincidente del puerto redirigido. consulte https://paloaltonetworks. ej. Siguiente salto Si dirige el paquete a una interfaz específica. haciendo clic en la flecha hacia abajo y seleccionando Valor. Interfaz de salida Dirige el paquete a una interfaz de salida específica. Esta opción excluye los paquetes que coincidan con los criterios de origen/destino/aplicación/servicio definidos en la regla. desde la zona de confianza en la LAN a Internet) se reenvía a través de la misma interfaz por la cual el tráfico accede a Internet. Para definir nuevas aplicaciones. • Descartar: descarta el paquete. especifique la dirección IP de Siguiente salto para el paquete. El tráfico se puede reenviar a una dirección IP de siguiente salto o un sistema virtual. Forzar vuelta simétrica (Necesario para entornos de enrutamiento asimétrico) Seleccione Forzar vuelta simétrica e introduzca una o más direcciones IP en la Lista de direcciones de próximo salto.com/documentation/70/pan-os/pan-os/policy/pbf. Supervisar Habilite la supervisión para comprobar la conectividad con una Dirección IP de destino o con la dirección IP de Siguiente salto. • Reenviar a VSYS: Seleccione el sistema virtual de reenvío en la lista desplegable. Al habilitar el retorno simétrico se garantiza que el tráfico de retorno (p.0 • 261 .. use un objeto de servicio. consulte “Definición de aplicaciones”. sin tener que ir hasta las pestañas de objetos. Los paquetes coincidentes usan la tabla de enrutamiento en lugar de PBF. • No hay ningún PBF: No altera la ruta que tomará el paquete. consulte “Definición de grupos de aplicaciones”. versión 7.html Si utiliza grupos de aplicaciones. Si desea información detallada. Seleccione Supervisar y añada un perfil de supervisión (predeterminado o personalizado) que especifique la acción cuando no se pueda alcanzar la dirección IP. Para definir grupos de aplicaciones.Definición de políticas en Panorama Campo Descripción Aplicación/servicio Seleccione aplicaciones o servicios específicos para la regla de PBF. o bien se puede interrumpir el tráfico. que es el puerto de capa 4 (TCP o UDP) usado por el protocolo o la aplicación.

selecciónela y haga clic en Mover hacia arriba. Para evitarlo. Consulte “Gestión de certificados de dispositivos”. El descifrado SSH se puede utilizar para descifrar el tráfico SSH entrante y saliente para asegurar que los protocolos no se están utilizando para túneles de aplicaciones y contenido no permitido. consulte “Perfiles de descifrado”. Ningún tipo de tráfico descifrado sale del dispositivo. por lo que las reglas más específicas deben preceder a las reglas más generales. Las políticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL). Cada una de las políticas de descifrado especifica las categorías o URL para descifrar o no. Para obtener información y directrices de configuración acerca de otros tipos de políticas. Con el descifrado activado. Una política que excluya el tráfico del descifrado (con la acción No hay ningún descifrado) siempre debe tener preferencia para poder entrar en vigor. Filtrado de URL y Bloqueo de archivos al tráfico SSL descifrado antes de volverse a cifrar a medida que el tráfico sale del dispositivo. Políticas de descifrado Políticas > Descifrado Puede configurar el cortafuegos para descifrar el tráfico y ganar en visibilidad. consulte “Definición de políticas en Panorama”. Para obtener información sobre cómo definir políticas en Panorama. a continuación. El cifrado de proxy SSL de reenvío requiere que se le presente al usuario la configuración de un certificado de confianza. Antispyware. consulte el artículo de ayuda ubicado en https:// live. Para configurar este certificado. seleccione una programación de la lista desplegable. y el cortafuegos actúa como un agente externo de confianza durante la conexión. y a tráfico Secure Shell (SSH). Vulnerabilidades. haga clic en el nombre del certificado y active la casilla Reenviar certificado fiable. Para definir nuevas programaciones.Definición de políticas en Panorama Campo Descripción Programación Para limitar los días y horas en los que la regla está en vigor. si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de certificación de confianza del cortafuegos. Las siguientes tablas describen la configuración de políticas de descifrado: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Opciones” 262 • Guía de referencia de interfaz web. control y seguridad granular. PAN-OS no descifrará el tráfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarán. versión 7. Las políticas de descifrado pueden ser tan generales o específicas como sea necesario. POP3(S).paloaltonetworks. Algunas aplicaciones no funcionarán si las descifra el cortafuegos. cree uno en la página Dispositivo > Gestión de certificados > Certificados y. consulte “Políticas y perfiles de seguridad”. incluidos protocolos SSL encapsulados como IMAP(S). Las reglas de las políticas se comparan con el tráfico en secuencias. SMTP(S) y FTP(S). Para mover una regla a la parte superior de las políticas y que tenga preferencia. Para ver una lista de estas aplicaciones.0 Palo Alto Networks . la seguridad de punto a punto entre clientes y servidores se mantiene. El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus.com/docs/DOC-1423. consulte “Ajustes de descifrado SSL en un perfil de descifrado”. Para obtener más información. Puede aplicar perfiles de descifrado a sus políticas con objeto de bloquear y controlar diferentes aspectos del tráfico.

El nombre debe ser exclusivo en un cortafuegos y. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Grupo de direcciones. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. puede crear una regla que cubra todas las clases. Guía de referencia de interfaz web. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Realice su selección en la lista desplegable o haga clic en Dirección. si tiene tres zonas internas diferentes (Marketing. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Por ejemplo. Las zonas deben ser del mismo tipo (capa 2.0 • 263 . direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). que pueden ser letras. Etiqueta Si necesita añadir una etiqueta a la política. Virtual Wire). Por ejemplo. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de descifrado. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). Puede utilizar múltiples zonas para simplificar la gestión. Campo Descripción Nombre Introduzca un nombre para identificar la regla. políticas de descifrado con las palabras descifrado y sin descifrado. espacios. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. en Panorama. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Para definir nuevas zonas. versión 7. capa 3 o de cable virtual. haga clic en Añadir para especificar la etiqueta. consulte “Definición de zonas de seguridad”. números. guiones y guiones bajos.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de descifrado.

Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2. cualquier IP con datos de usuario asignados. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. es decir. • Desconocido: Incluye a todos los usuarios desconocidos. es decir. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. si tiene tres zonas internas diferentes (Marketing. Por ejemplo. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Virtual Wire). Por ejemplo. una lista de individuos. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. capa 3 o de cable virtual. 264 • Guía de referencia de interfaz web. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Realice su selección en la lista desplegable o haga clic en Dirección. puede crear una regla que cubra todas las clases.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Dirección de destino Haga clic en Añadir para añadir las direcciones. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. • Usuario conocido: Incluye a todos los usuarios autenticados. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. consulte “Definición de zonas de seguridad”. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). algunos grupos o añadir usuarios manualmente. puede que quiera añadir a un usuario. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. versión 7. Para definir nuevas zonas. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política.0 Palo Alto Networks . la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. las direcciones IP que no estén asignadas a un usuario. Grupo de direcciones. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). aunque el usuario no haya iniciado sesión directamente.

Consulte “Servicios” y “Grupos de servicios”. • Inspección de entrada SSL: Especifique que la política descifrará el tráfico de inspección entrante SSL. Seleccione un servicio existente o especifique un nuevo Servicio o Grupo de servicios. • Proxy SSH: Especifique que la política descifrará el tráfico SSH. Pestaña Opciones Use la pestaña Opciones para determinar si el tráfico coincidente debería descifrarse o no. Campo Descripción Acción Seleccione Descifrar o No descifrar para el tráfico.Definición de políticas en Panorama Pestaña Categoría de URL/servicio Utilice la pestaña Categoría de URL/servicio para aplicar la política de descifrado al tráfico en función del número de puerto TCP o a cualquier categoría de URL (o una lista de categorías). Perfil de descifrado Palo Alto Networks Seleccione un perfil de descifrado existente o cree uno nuevo. • Seleccione Cualquiera para buscar en todas las sesiones. Guía de referencia de interfaz web. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. • Para especificar una categoría. También puede añadir funciones de descifrado adicionales configurando o seleccionando un perfil de descifrado. Tipo Seleccione el tipo de tráfico para descifrar de la lista desplegable: • Proxy SSL de reenvío: Especifique que la política descifrará el tráfico del cliente destinado a un servidor externo. Si se ha definido Descifrar. Pestaña Categoría de URL Seleccione las categorías URL de la regla de descifrado. Campo Descripción Servicio Aplique la política de descifrado al tráfico en función de números de puertos TCP específicos. Puede añadir varias categorías.0 • 265 . • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se descifrarán (o estarán exentas de descifrado) únicamente en los puertos predeterminados definidos para las aplicaciones por Palo Alto Networks. especifique el tipo de descifrado. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. versión 7. especificando el ID de aplicación (App-ID) de túnel ssh. Esta opción permite controlar los túneles SSH en políticas. con independencia de la categoría URL. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. • Seleccionar: Haga clic en Añadir. Consulte “Perfiles de descifrado”.

consulte “Definición de políticas en Panorama”. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. puerto y protocolo. la definición de aplicación personalizada no puede utilizar un número de puerto para identificar una aplicación. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). guiones y guiones bajos. Campo Descripción Nombre Introduzca un nombre para identificar la regla. Para obtener información y directrices de configuración acerca de otros tipos de políticas. Una política suele incluir la dirección IP del servidor que ejecuta la aplicación personalizada y un conjunto restringido de direcciones IP o una zona de origen. Como el motor App-ID de PAN-OS clasifica el tráfico identificando el contenido específico de la aplicación en el tráfico de red. Use las siguientes tablas para configurar una regla de cancelación de aplicaciones. puede utilizar una política de cancelación de aplicación para identificar el tráfico de esa aplicación en función de la zona. por lo que las reglas más específicas deben preceder a las reglas más generales. números. 2. 266 • Guía de referencia de interfaz web. espacios. las políticas de cancelación de aplicación pueden ser tan generales o específicas como sea necesario. y zona y dirección IP de destino). No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. Defina la aplicación personalizada. en Panorama.0 Palo Alto Networks . Para crear una aplicación personalizada con cancelación de aplicaciones: 1. consulte “Políticas y perfiles de seguridad”. versión 7. • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Protocolo/Aplicación” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política de cancelación de aplicación. Para obtener información sobre cómo definir políticas en Panorama. Consulte “Definición de aplicaciones”. Por ejemplo. que pueden ser letras. Si tiene aplicaciones de red clasificadas como “desconocidas”. si desea controlar una de sus aplicaciones personalizadas. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. puede crear nuevas definiciones de aplicaciones (consulte “Definición de aplicaciones”). El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. La definición de la aplicación también debe incluir el tráfico (restringido por zona y dirección IP de origen. puede especificar políticas de cancelación de aplicación. El nombre debe ser exclusivo en un cortafuegos y. Al igual que las políticas de seguridad. Defina una política de cancelación de aplicación que especifique si la aplicación personalizada se debe activar. dirección de origen y destino.Definición de políticas en Panorama Definición de políticas de cancelación de aplicación Políticas > Cancelación de aplicación Para cambiar la forma en la que el cortafuegos clasifica el tráfico de la red en las aplicaciones. Las reglas de las políticas se comparan con el tráfico en secuencias.

Palo Alto Networks Guía de referencia de interfaz web. Realice su selección en la lista desplegable o haga clic en Dirección. Las zonas deben ser del mismo tipo (capa 2. versión 7. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera).0 • 267 . Virtual Wire). consulte “Definición de zonas de seguridad”. consulte “Definición de zonas de seguridad”. políticas de descifrado con las palabras descifrado y sin descifrado. Dirección de origen Haga clic en Añadir para añadir las direcciones. Las zonas deben ser del mismo tipo (capa 2. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. si tiene tres zonas internas diferentes (Marketing. Para definir nuevas zonas. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Grupo de direcciones.Definición de políticas en Panorama Campo Descripción Etiqueta Si necesita añadir una etiqueta a la política. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. capa 3 o de cable virtual. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de cancelación de aplicación. Virtual Wire). Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. puede crear una regla que cubra todas las clases. si tiene tres zonas internas diferentes (Marketing. Por ejemplo. puede crear una regla que cubra todas las clases. Puede utilizar múltiples zonas para simplificar la gestión. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Por ejemplo. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). haga clic en Añadir para especificar la etiqueta. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Por ejemplo. Puede utilizar múltiples zonas para simplificar la gestión. Para definir nuevas zonas. capa 3 o de cable virtual. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera).

Los usuarios se dirigen hacia el portal y se autentican. puerto y aplicación que definen con mayor exactitud los atributos de la aplicación para que coincida con la política. Definición de políticas de portal cautivo Políticas > Portal cautivo Utilice la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticación de usuarios mediante un perfil de autenticación. no se realizará una inspección de amenazas. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Puerto Introduzca el número de puerto (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) de las direcciones de destino especificadas. Aplicación Seleccione la aplicación de cancelación de los flujos de tráfico que coincidan con los criterios de la regla anterior. tal y como se describe en “Configuración del cortafuegos para el usuario de usuarios”. una secuencia de autenticación o un perfil de certificado. Antes de definir políticas de portal cautivo. Pestaña Protocolo/Aplicación Use la pestaña Protocolo/Aplicación para definir el protocolo (TCP o UDP). Para definir nuevas aplicaciones.Definición de políticas en Panorama Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. creando una asignación de usuario a dirección IP. Las siguientes tablas describen la configuración de políticas de portal cautivo: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Acción” 268 • Guía de referencia de interfaz web. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID) para aumentar las funciones de identificación de usuarios más allá del dominio de Active Directory. La excepción es si cancela una aplicación predeterminada que admite la inspección de amenazas. deben estar separados por comas. Si cancela una aplicación personalizada. consulte “Definición de aplicaciones”. Campo Descripción Protocolo Seleccione el protocolo por el que la aplicación se puede cancelar.0 Palo Alto Networks . Si especifica varios puertos o intervalos. Grupo de direcciones. Realice su selección en la lista desplegable o haga clic en Dirección. consulte “Políticas y perfiles de seguridad”. habilite las funciones y configure los ajustes de portal cautivo en la página Identificación de usuarios. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. versión 7. Para obtener información y directrices de configuración acerca de otros tipos de políticas.

en Panorama. guiones y guiones bajos. versión 7. que pueden ser letras. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Por ejemplo. Haga clic en Añadir para especificar múltiples interfaces o zonas. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Palo Alto Networks Guía de referencia de interfaz web. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de portal cautivo. espacios. • Especifique el parámetro Dirección de origen que se aplicará a la política del portal cautivo desde las direcciones de origen específicas. haga clic en Añadir para especificar la etiqueta. políticas de descifrado con las palabras descifrado y sin descifrado. Campo Descripción Origen Especifique la siguiente información: • Seleccione una zona de origen si necesita aplicar la política al tráfico entrante de todas las interfaces de una zona concreta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Haga clic en Añadir para especificar múltiples interfaces o zonas. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de portal cautivo. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Campo Descripción Nombre Introduzca un nombre para identificar la regla. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. números.0 • 269 . Etiqueta Si necesita añadir una etiqueta a la política. El nombre debe ser exclusivo en un cortafuegos y.

• Selección: Haga clic en Añadir. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. versión 7. • Valor predeterminado de aplicación: Los servicios seleccionados se permiten o deniegan únicamente según los puertos predeterminados por Palo Alto Networks. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Para especificar una categoría. Esta opción es la recomendada para políticas de permiso. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas.0 Palo Alto Networks . Campo Destino Descripción Especifique la siguiente información: • Seleccione una zona de destino si necesita aplicar la política al tráfico de todas las interfaces de una zona concreta. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Especifique el parámetro Dirección de destino que se aplicará a la política del portal cautivo desde las direcciones de destino específicas. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier protocolo o puerto. Campo Descripción Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. 270 • Guía de referencia de interfaz web. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. Pestaña Categoría de URL/servicio Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en función de números de puerto TCP o UDP específicos. Consulte “Servicios” y “Grupos de servicios”. Una categoría de URL también puede usarse como un atributo para la política.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Puede añadir varias categorías. • Seleccione Cualquiera para aplicar las acciones especificadas en la pestaña Servicio/Acción con independencia de la categoría de URL. Categoría de URL Seleccione las categorías URL de la regla de portal cautivo.

Una política DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o paquetes por segundo) que indican un ataque. basadas en sesiones agregadas o direcciones IP de origen y/o destino. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Por ejemplo. Campo Descripción Configuración de acción Seleccione la acción que se realizará: • Formato web: Abre una página de portal cautivo en la que el usuario puede introducir explícitamente las credenciales de autenticación. Etiqueta Si necesita añadir una etiqueta a la política. zonas.0 • 271 . editar o eliminar reglas de políticas DoS. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Use esta página para añadir. haga clic en Añadir para especificar la etiqueta. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. • portal no cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su autenticación. Para añadir una nueva regla de política. Campo Descripción Nombre Introduzca un nombre para identificar la regla. direcciones y países. a continuación. versión 7. Para obtener información sobre cómo definir políticas en Panorama. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. El nombre debe ser exclusivo en un cortafuegos y. políticas de descifrado con las palabras descifrado y sin descifrado. que pueden ser letras. espacios. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. • reto de explorador: Abre una solicitud de autenticación NT LAN Manager (NTLM) en el explorador web del usuario. El explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. Por ejemplo. un cuadro de diálogo de reto de explorador o si no se producirá ningún desafío de portal cautivo. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. cumplimente los siguientes campos. consulte “Definición de políticas en Panorama”. Entonces podrá seleccionar una acción protectora en una política cuando se active una coincidencia. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). guiones y guiones bajos. en Panorama. Palo Alto Networks Guía de referencia de interfaz web. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política DoS. haga clic en Añadir y. Definición de políticas DoS Políticas > Protección DoS Las políticas de protección DoS permiten controlar el número de sesiones entre interfaces. puede controlar el tráfico desde y hacia determinadas direcciones o grupos de direcciones o desde determinados usuarios y para servicios concretos.Definición de políticas en Panorama Pestaña Acción Use la pestaña Acciones para determinar si el usuario verá un formato web. números.

• Especifique el parámetro Usuario de origen que se aplicará a la política DoS para el tráfico procedente de los usuarios específicos. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. es decir. Por ejemplo. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. versión 7. Por ejemplo. 272 • Guía de referencia de interfaz web. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. – Usuario conocido: Incluye a todos los usuarios autenticados.0 Palo Alto Networks . – Desconocido: Incluye a todos los usuarios desconocidos. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. las direcciones IP que no estén asignadas a un usuario. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. algunos grupos o añadir usuarios manualmente. aunque el usuario no haya iniciado sesión directamente. Haga clic en Añadir para especificar múltiples interfaces o zonas. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. cualquier IP con datos de usuario asignados. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). puede que quiera añadir a un usuario. Haga clic en Añadir para especificar varias direcciones. es decir.Definición de políticas en Panorama Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política DoS. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. • Especifique el parámetro Dirección de origen que se aplicará a la política DoS desde las direcciones de origen específicas. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. una lista de individuos. Los siguientes tipos de usuarios de origen son compatibles: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Campo Descripción Origen Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces.

• Dirección: Seleccione si la regla se aplicará al origen. El resultado sería un límite de 100 sesiones en cualquier momento para esa dirección IP de origen en particular. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. versión 7. Clasificado Seleccione la casilla de verificación y especificar los siguientes ajustes: • Perfil: Seleccione un perfil de la lista desplegable. • Especifique el parámetro Dirección de destino que se aplicará a la política DoS para el tráfico a las direcciones de destino específicas. Haga clic en Añadir para especificar varias direcciones. Reenvío de logs Si quiere activar el reenvío de entradas de logs de amenazas a un servicio externo. Campo Descripción Servicio Seleccione en la lista desplegable la política DoS que se aplicará únicamente a los servicios configurados. dirección IP de destino.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. o pares de direcciones IP de origen y destino.0 • 273 . Por ejemplo. Programación Seleccione una programación preconfigurada de la lista desplegable. Palo Alto Networks Guía de referencia de interfaz web. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. puede especificar un perfil clasificado con un límite de sesión de 100 y especificar un parámetro Dirección de “origen” en la regla. como el tipo de servicio (http o https) o la acción que se realizará y decidir si se activará un reenvío de log para el tráfico coincidente. como un servidor syslog o Panorama. Campo Destino Descripción Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. las limitaciones del perfil se aplican a una dirección IP de origen. Esta configuración se aplica al total del tráfico del origen especificado al destino especificado. seleccione un perfil de reenvío de logs de la lista desplegable o haga clic en Perfil para crear uno nuevo. Haga clic en Añadir para especificar múltiples interfaces o zonas. Acción Seleccione la acción en la lista desplegable: • Denegar: Cancela todo el tráfico. destino. o a las direcciones IP de origen y destino. También puede definir una programación que determine cuándo estará activa la política y seleccionar un perfil DoS agregado o clasificado que defina más atributos para la protección DoS. Tenga en cuenta que solo será registrado y reenviado el tráfico que coincida con una acción de la regla. Si se especifica un perfil clasificado. Pestaña Opción/Protección Use la pestaña Opción/Protección para configurar opciones adicionales de la política DoS. • Permitir: Permite todo el tráfico. Agregado Seleccione un perfil de protección DoS de la lista desplegable para determinar la tasa a la que desea adoptar las medidas en respuesta a las amenazas DoS. • Proteger: Aplica las protecciones proporcionadas en los umbrales que se configuran como parte del perfil DoS aplicado a esta regla. que se aplicará a la regla DoS a una fecha/hora concretas.

Consulte “Perfiles de filtrado de datos”. Consulte “Perfiles de protección de vulnerabilidades”. • Perfiles de filtrado de URL para restringir el acceso de los usuarios a sitios web específicos y/o categorías de sitios web. Cada firma de amenaza o virus definida por Palo Alto Networks incluye una acción predeterminada.0 Palo Alto Networks . puede combinar perfiles que a menudo se aplican en conjunto. Cada política de seguridad puede incluir uno o más perfiles de seguridad. que restablece ambas partes de la conexión. salga de una red protegida. Consulte “Perfiles de antispyware”. o como Restablecer ambos. • Perfiles de protección de vulnerabilidades para detener los intentos de explotación de fallos del sistema y de acceso no autorizado a los sistemas. No obstante. puede definir o cancelar la acción en el cortafuegos. como compras o apuestas. como los números de tarjetas de crédito o de la seguridad social. que suele establecerse como Alerta. perfiles de antispyware. Acciones en perfiles de seguridad La acción especifica cómo responde un cortafuegos ante un evento de amenaza. • Perfiles de antispyware para bloquear los intentos del spyware en hosts comprometidos para realizar llamadas a casa o balizamiento a servidores externos de comando y control (C2). Además de perfiles individuales. Consulte “Perfiles de antivirus”. Consulte “Perfiles de análisis de WildFire”.Perfiles de seguridad Perfiles de seguridad Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. y crear grupos de perfiles de seguridad en Objetos > Grupos de perfiles de seguridad. virus y troyanos y bloquear descargas de spyware. 274 • Guía de referencia de interfaz web. Las siguientes acciones son aplicables al definir perfiles de antivirus. Los siguientes tipos de perfil están disponibles: • Perfiles de antivirus para proteger contra gusanos. perfiles de protección de vulnerabilidades. • Perfiles de filtrado de datos que ayudan a evitar que la información confidencial. objetos de spyware personalizados u objetos de vulnerabilidades personalizados. • Perfiles de bloqueo de archivo para bloquear tipos de archivos seleccionados y en la dirección de flujo de sesión especificada (entrante/saliente/ambas). Consulte “Perfiles de filtrado de URL”. • Perfiles de análisis de WildFire para especificar que se realice un análisis de archivos localmente en el dispositivo WildFire o en la nube de WildFire. Consulte “Perfiles de bloqueo de archivo”. que le informa del uso de la opción que ha habilitado para que se realice una notificación. versión 7.

descarta la conexión. realiza la acción predeterminada para la firma de virus. descarta la conexión. restablece la conexión de la parte del cliente. Restablecer ambos Para TCP. La alerta se guarda en el log de amenazas. Restablecer servidor Para TCP.                 Para UDP. Perfil de Perfil de antisantivirus pyware Perfil de proObjeto personalitección de vul.Perfiles de seguridad Acción Descripción Valor predeterminado Realiza la acción predeterminada especificada internamente para cada firma de amenaza.     Restablecer cliente Para TCP. Bloquear IP Esta acción bloquea el tráfico de un par de origen u origendestino. Palo Alto Networks Guía de referencia de interfaz web.     Alerta Genera una alerta para el flujo de tráfico de cada aplicación. configurable durante un período de tiempo especificado. versión 7. restablece la conexión de la parte del servidor. descarta la conexión. Para UDP.zado: spyware y nerabilidades vulnerabilidades     Para perfiles de antivirus. Permitir Permite el tráfico de la aplicación.0 • 275 . Para UDP. restablece la conexión tanto en el extremo del cliente como en el del servidor.     Descartar Descarta el tráfico de la aplicación.

y toma las medidas predeterminadas para el resto de las aplicaciones (alerta o denegación). Para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarán al tráfico coincidente. como Internet. Utilice únicamente letras. Internet Message Access Protocol (IMAP). consulte “Perfiles de seguridad”. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados. dependiendo del tipo de virus detectado. espacios. puntos. genera alertas de Simple Mail Transport Protocol (SMTP). versión 7. Perfiles de antivirus Objetos > Perfiles de seguridad > Antivirus En la página Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus mediante análisis del tráfico definido.0 Palo Alto Networks . Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Cuadro de diálogo Perfil de antivirus” • “Pestaña Antivirus” • “Pestaña Excepciones” Cuadro de diálogo Perfil de antivirus Utilice este cuadro de diálogo para definir un nombre y una descripción del perfil. Defina en qué aplicaciones se buscarán virus mediante inspecciones y la acción que se llevará a cabo si se encuentra uno. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. El perfil se adjuntará después a una política de seguridad para determinar la inspección del tráfico que atraviese zonas específicas. Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables. Este nombre aparece en la lista de perfiles de antivirus cuando se definen políticas de seguridad. como granjas de servidores. 276 • Guía de referencia de interfaz web. Antes debe quitar el perfil de la política de seguridad y luego eliminarlo. guiones y guiones bajos. y Post Office Protocol Version 3 (POP3).Perfiles de seguridad No puede eliminar un perfil que se utiliza en una política de seguridad. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). números. así como el tráfico enviado a destinos altamente sensibles.

en la que podrá realizar una selección. seleccione la acción que se adoptará cuando se detecte la amenaza. Se mostrará una lista con las aplicaciones coincidentes. versión 7. Para buscar una aplicación. Palo Alto Networks Guía de referencia de interfaz web. que se pueden generar y emitir en 15 minutos o menos tras la detección de la amenaza. Si cancela la selección de la casilla de verificación. La aplicación se añade a la tabla y puede asignar una acción. Por ello. por lo que esta opción permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por Palo Alto Networks. consulte “Acciones en perfiles de seguridad”. lo que significa que la cancelación está habilitada. Excepciones de aplicaciones y acciones Identifique aplicaciones que se considerarán excepciones a la regla de antivirus. Bloquear es la acción del descodificador HTTP. las firmas de antivirus estándar pasan pruebas de estabilidad más largas (24 horas) en comparación con las firmas de WildFire. Para ver una lista de las acciones. puede que quiera permitir http pero no inspeccionar el tráfico de una aplicación específica que funcione a través de http. También puede adoptar la medida específica en función de las firmas creadas por WildFire. Por ejemplo. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Por ejemplo. Campo Descripción Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Descodificadores y acciones Para cada tipo de tráfico en el que desee buscar virus. tal vez prefiera elegir la acción de alerta en las firmas de WildFire en lugar del bloqueo. Por ejemplo. Algunos entornos pueden requerir pruebas de estabilidad más largas para firmas de antivirus. Si cancela la selección de la casilla de verificación. y especifique a continuación la acción aplicable. para bloquear todo el tráfico HTTP excepto el de una aplicación específica. • Cada grupo de dispositivos en Panorama. y Permitir es la excepción de la aplicación. seleccione una acción de la lista desplegable. La casilla de verificación no está seleccionada de manera predeterminada.0 • 277 . Pestaña Antivirus Use la pestaña Antivirus para definir el tipo de tráfico que se inspeccionará. Puede definir diferentes acciones para firmas de antivirus estándar (columna Acción) y firmas generadas por el sistema WildFire (Acción de WildFire). Use la tabla Excepción de aplicaciones para definir las aplicaciones que no serán inspeccionadas. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. puede definir un perfil de antivirus para el que la aplicación es una excepción. Para cada excepción de la aplicación. como ftp y http.Perfiles de seguridad Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. comience escribiendo el nombre de la aplicación en el cuadro de texto. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.

Consulte “Visualización de logs”. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos. También puede crear perfiles personalizados. • Estricto: El perfil estricto cancela la acción definida en el archivo de firma para amenazas de gravedad crítica.Perfiles de seguridad Pestaña Excepciones Use la pestaña Excepciones para definir la lista de amenazas que ignorará el perfil de antivirus. El ajuste de firmas DNS proporciona un método adicional de identificación de hosts infectados en una red. puede reducir el rigor de la inspección del antispyware del tráfico entre zonas de seguridad de confianza y aprovechar al máximo la inspección del tráfico recibido de Internet o del tráfico enviado a activos protegidos. Con objeto de facilitar aún más la gestión de amenazas. Puede elegir entre dos perfiles de antispyware predefinidos en la política de seguridad. cada firma de amenaza incluye una acción predeterminada especificada por Palo Alto Networks. Para obtener más información. Por ejemplo. consulte “Bloqueo de transacciones”. 278 • Guía de referencia de interfaz web. Puede añadir amenazas adicionales introduciendo el ID de amenaza y haciendo clic en Añadir.0 Palo Alto Networks . Perfiles de antispyware Objetos > Perfiles de seguridad > Antispyware Puede adjuntar un perfil de antispyware a una política de seguridad para detectar conexiones de “llamada a casa” que se inicien desde spyware instalado en sistemas de su red. Aparecerán las excepciones ya especificadas. como granjas de servidores. alertar o (por defecto) bloquear cuando se observen estas consultas. Existen más columnas de información disponibles en el selector de columnas. Asegúrese de obtener las actualizaciones de contenido más recientes para estar protegido ante las nuevas amenazas y contar con nuevas firmas para cualquier falso positivo. Los ajustes de Reglas Los ajustes de Excepciones le permiten cambiar la acción de una firma específica. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. Campo Descripción ID de amenaza Añada amenazas específicas que deberían ignorarse. Estas firmas detectan búsquedas DNS concretas de nombres de host asociados con malware. Por ejemplo. tal como especifica Palo Alto Networks al crear la firma. • Predeterminado: El perfil predeterminado utiliza la acción predeterminada para cada firma. alta y media y la establece como la acción de bloqueo. Las firmas DNS se descargan como parte de las actualizaciones de antivirus. Las firmas DNS se pueden configurar para permitir. Los ID de amenaza se presentan como parte de la información del log de amenaza. La acción predeterminada se utiliza con amenazas de gravedad baja e informativa. puede añadir excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. Además. al igual que las firmas de antivirus normales. La página Antispyware muestra un conjunto predeterminado de columnas. Cada uno de estos perfiles tiene un conjunto de reglas predefinidas (con firmas de amenazas) organizadas por la gravedad de la amenaza. puede generar alertas para un conjunto específico de firmas y bloquear todos los paquetes que coincidan con el resto de firmas. versión 7. los hosts que realizan consultas DNS en dominios malware aparecerán en el informe de botnet.

Si cancela la selección de la casilla de verificación. Gravedad Seleccione un nivel de gravedad (crítico. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Palo Alto Networks Guía de referencia de interfaz web. números. • Cada grupo de dispositivos en Panorama.0 • 279 . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. lo que significa que la cancelación está habilitada. Para ver la captura de paquetes. Este nombre aparece en la lista de perfiles de antispyware cuando se definen políticas de seguridad. Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Si cancela la selección de la casilla de verificación. bajo o informativo). la sesión finaliza inmediatamente. Para definir el número de paquetes que deben capturarse. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Utilice únicamente letras. guiones y guiones bajos. Configuración de perfil de antispyware Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). a continuación. Seleccione paquete único para capturar un paquete cuando se detecta.Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de antispyware: Tabla 144. Si está definida la opción de bloqueo. desplácese hasta Supervisar > Logs > Amenaza. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. La casilla de verificación no está seleccionada de manera predeterminada. desplácese hasta Dispositivo > Configuración > ID de contenido y. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. Pestaña Reglas Nombre de regla Especifique el nombre de la regla. Solo se producirá captura de paquetes si la acción está permitida o alerta. alto. versión 7. espacios. medio. edite la sección Configuración de ID de contenidos. Acción Seleccione una acción para cada amenaza. consulte “Acciones en perfiles de seguridad”. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. puntos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Para ver una lista de las acciones. Nombre de amenaza Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para buscar cualquier firma con el texto indicado como parte del nombre de la firma.

Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza.Perfiles de seguridad Tabla 144.0 Palo Alto Networks . Si las direcciones IP se añaden a una excepción de amenaza. o seleccionar Todas para responder a todas las amenazas indicadas. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Configuración de perfil de antispyware (Continuación) Campo Descripción Pestaña Excepciones Excepciones Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. Puede añadir hasta 100 direcciones IP por firma. La lista depende del host. Si la lista está vacía. versión 7. categoría y gravedad seleccionada. Pestaña firma DNS 280 • Guía de referencia de interfaz web. no hay amenazas en las selecciones actuales.

por ejemplo) intenten conectarse en su lugar a una dirección IP especificada por el administrador. incluso aunque el cortafuegos esté antes de un servidor de DNS local (es decir. El cliente infectado intenta entonces iniciar una sesión en el host. La consulta DNS coincide con una entrada DNS en la base de datos de firmas DNS. pero usa la dirección IP falsificada en su lugar. bloquear. A continuación se detalla la secuencia de eventos que se sucederán al habilitar la función sinkhole: Captura de paquetes Palo Alto Networks 1. Tras seleccionar la acción sinkhole. Guía de referencia de interfaz web. La acción sinkhole de DNS ofrece a los administradores un método para identificar hosts infectados en la red usando tráfico DNS. Cuando se configura una dirección IP sinkhole. por ejemplo. el log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del host infectado. donde el cortafuegos está antes del servidor DNS local. de modo que la acción sinkhole se llevará a cabo en la consulta. 5. especifique una dirección IPv4 y/o IPv6 que se utilizará como sinkhole (la predeterminada es la IP del loopback. los clientes infectados pueden ser identificados filtrando los logs de tráfico o generando un informe personalizado que compruebe las sesiones de la dirección IP especificada. 4. Es importante seleccionar una dirección IP mediante la cual una sesión tenga que enrutarse a través del cortafuegos para que este pueda ver la sesión. Si tiene instalada una licencia de prevención de amenazas y tiene habilitado un perfil de antispyware en un perfil de seguridad. Las consultas DNS de software malintencionado falsificadas resuelven este problema de visibilidad generando respuestas erróneas a las consultas dirigidas a dominios malintencionados. Los hosts infectados pueden identificarse fácilmente en los logs de tráfico porque cualquier host que intente conectarse a la IP sinkhole está infectado casi con toda seguridad con software malintencionado. Configuración de perfil de antispyware (Continuación) Campo Descripción Acción para consultas de DNS Seleccione la acción que se realizará cuando se hagan búsquedas DNS en sitios conocidos de software malintencionado [permitir. una IP no usada en otra zona interna. que resolverá los dominios al host local). La consulta DNS del cliente se envía a un servidor DNS interno.Perfiles de seguridad Tabla 144. quien puede entonces buscar en los logs de tráfico la dirección IP sinkhole y localizar fácilmente la dirección IP del cliente que intenta iniciar una sesión con la dirección IP sinkhole. El software malintencionado en el ordenador de un cliente infectado envía una consulta DNS para resolver un host malintencionado en Internet. que a su vez realiza una consulta al servidor de DNS público al otro lado del cortafuegos.0 • 281 . En una implementación típica. de modo que los clientes que intenten conectarse a dominios malintencionados (mediante comando y control. las firmas basadas en DNS se activarán en las solicitudes de DNS destinadas a dominios de software malintencionado. sinkhole o predeterminada (alertar)]. versión 7. 2. Seleccione la casilla de verificación para capturar paquetes identificados. La dirección IP falsificada es la dirección definida en la pestaña Firmas DNS del perfil Antispyware al seleccionar la acción sinkhole. que el cortafuegos no puede ver el originador de una solicitud de DNS). Se alerta al administrador de la consulta DNS malintencionada en el log de amenazas. 3.

versión 7. con origen en la resolución recursiva local. consulte “Bloqueo de transacciones”. Para aplicar los perfiles de protección de vulnerabilidades a las políticas de seguridad. alta y media y utiliza la acción predeterminada para los eventos de protección de vulnerabilidad bajos e informativos. Hay dos perfiles predefinidos disponibles para la función de protección de vulnerabilidades: • El perfil predeterminado aplica la acción predeterminada a todas las vulnerabilidades de gravedad crítica. La página Protección de vulnerabilidades muestra un conjunto predeterminado de columnas. Por ejemplo. Configuración de perfil de antispyware (Continuación) Campo Descripción Habilitar supervisión de DNS pasivo Se trata de una función opcional que permite al cortafuegos actuar como un sensor DNS pasivo y enviar información de DNS escogida a Palo Alto Networks para que sea analizada y poder mejorar así las funciones de inteligencia y prevención de amenazas. Los datos recopilados incluyen consultas DNS no recursivas (es decir. La pestaña Excepción admite funciones de filtrado. Existen más columnas de información disponibles en el selector de columnas. puede bloquear todos los paquetes coincidentes con una firma. La información recopilada a través de estos datos se usa para mejorar la precisión y la capacidad para detectar software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB URL filtering). Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. que genera una alerta. alta y media del servidor y del cliente. como Internet. la función de DNS pasivo utilizará la ruta de servicio de WildFire para enviar la información de DNS a Palo Alto Networks. • El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crítica.Perfiles de seguridad Tabla 144. las firmas de comando y control basadas en DNS y WildFire. El equipo de investigación de amenazas de Palo Alto Networks usa esta información para conocer mejor cómo funciona la propagación de software malintencionado y las técnicas de evasión que se aprovechan del sistema DNS. Se recomienda habilitar esta función. Los perfiles personalizados se pueden utilizar para minimizar la comprobación de vulnerabilidades para el tráfico entre zonas de seguridad fiables y para maximizar la protección del tráfico recibido de zonas no fiables. ID de amenaza Introduzca manualmente excepciones de firma DNS (intervalo 4000000-4999999). y el tráfico enviado a destinos altamente sensibles. como granjas de servidores. no en clientes individuales) y cargas de paquetes de respuesta. así como las medidas que se deben adoptar cuando se active una firma de un conjunto. Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Los parámetros de Reglas especifican conjuntos de firmas para habilitar. Para obtener más información. ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema. Cuando el cortafuegos se configura con rutas de servicio personalizadas. excepto el del paquete seleccionado. No detecta los eventos de protección de vulnerabilidad informativos y bajos. consulte “Definición de políticas de seguridad”. La opción está deshabilitada de manera predeterminada.0 Palo Alto Networks . Perfiles de protección de vulnerabilidades Objetos > Perfiles de seguridad > Protección de vulnerabilidades Una política de seguridad puede incluir especificaciones de un perfil de protección de vulnerabilidades que determine el nivel de protección contra desbordamiento de búfer. 282 • Guía de referencia de interfaz web.

puntos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Si cancela la selección de la casilla de verificación. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. • Cada grupo de dispositivos en Panorama. La acción Predeterminada se basa en la acción por defecto que forma parte de cada firma proporcionada por Palo Alto Networks. Nombre de amenaza Especifique una cadena de texto para buscar. guiones y guiones bajos.Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección de vulnerabilidades: Tabla 145. Aparecerá una lista de todas las firmas y verá una columna Acción. números. Para ver una lista de las acciones. Guía de referencia de interfaz web. lado del servidor o (cualquiera). Utilice únicamente letras. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Host Palo Alto Networks Especifique si desea limitar las firmas de la regla a las del lado del cliente. El cortafuegos aplica un conjunto de firmas a la regla buscando nombres de firmas para esta cadena de texto. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. a continuación. lo que significa que la cancelación está habilitada. Pestaña Reglas Nombre de regla Especifique un nombre para identificar la regla. Si cancela la selección de la casilla de verificación. desplácese a Objetos > Perfiles de seguridad > Protección de vulnerabilidades y haga clic en Añadir o seleccione un perfil existente. Configuración del perfil de protección de vulnerabilidades Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). consulte “Acciones en perfiles de seguridad”. espacios. Descripción Introduzca una descripción del perfil (hasta 255 caracteres).0 • 283 . el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Este nombre aparece en la lista de perfiles de protección de vulnerabilidades cuando se definen políticas de seguridad. haga clic en Mostrar todas las firmas. Haga clic en la pestaña Excepciones y. Para ver la acción predeterminada de una firma. versión 7. Acción Seleccione la acción que deberá realizarse cuando se active la regla.

introduzca “MS09”.0 Palo Alto Networks . bajo. Por ejemplo. ID de proveedor Especifique el ID del proveedor si desea limitar las firmas a las coincidentes con la de los Id de los proveedores especificados. Para definir el número de paquetes que deben capturarse. versión 7. Para ver la captura de paquetes. Categoría Seleccione una categoría de vulnerabilidad si desea limitar las firmas a las que coinciden con esa categoría.Perfiles de seguridad Tabla 145. Gravedad Seleccione el nivel de gravedad (informativo. Lista CVE Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea limitar las firmas a las que también coinciden con las CVE especificadas. medio. Seleccione paquete único para capturar un paquete cuando se detecta. Por ejemplo. alto o crítico) si desea limitar las firmas a las coincidentes con los niveles de gravedad especificados. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Cada CVE tiene el formato CVE-aaaa-xxxx. edite la sección Configuración de ID de contenidos. para buscar las vulnerabilidades del año 2011. Solo se producirá captura de paquetes si la acción está permitida o alerta. a continuación. Puede realizar una búsqueda de cadenas en este campo. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Captura de paquetes Descripción Seleccione la casilla de verificación para capturar paquetes identificados. desplácese hasta Dispositivo > Configuración > ID de contenido y. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. donde aa es el año en formato de dos dígitos y xxx es el identificador único. la sesión finaliza inmediatamente. donde aaaa es el año y xxxx es un identificador único. 284 • Guía de referencia de interfaz web. introduzca “2011”. Por ejemplo. Si está definida la opción de bloqueo. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. los ID de proveedor de Microsoft tienen el formato MSaa-xxx. desplácese hasta Supervisar > Logs > Amenaza. para buscar Microsoft en el año 2009.

La columna CVE muestra los identificadores de vulnerabilidades y exposiciones comunes (CVE). Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. Puede añadir hasta 100 direcciones IP por firma. solo se mostrarán las firmas que son excepciones. Los umbrales están preconfigurados para firmas de fuerza bruta y se pueden modificar haciendo clic en el icono de lápiz junto al nombre de la amenaza de la pestaña Vulnerabilidad (con la opción Personalizada seleccionada). o seleccionar Todas para responder a todas las amenazas indicadas. IP de destino o una combinación de IP de origen y destino. Si la casilla de verificación Mostrar todo está seleccionada. aparecerán todas las firmas. Estos identificadores únicos y comunes son para vulnerabilidades de seguridad de información públicamente conocidas.0 • 285 . no hay amenazas en las selecciones actuales. el ID de amenaza 40001 se activa en un ataque de fuerza bruta de FTP. destino u origen-destino. La base de datos de firma de vulnerabilidad contiene firmas que indican un ataque de fuerza bruta.Perfiles de seguridad Tabla 145. Los umbrales se pueden aplicar en una IP de origen. categoría y gravedad seleccionada. Seleccione una acción de la lista desplegable o seleccione una opción de la lista desplegable Acción en la parte superior de la lista para aplicar la misma acción a todas las amenazas. por ejemplo. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. La lista depende del host. Palo Alto Networks Guía de referencia de interfaz web. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Descripción Pestaña Excepciones Amenazas Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Si la lista está vacía. Puede especificar el número de resultados por unidad de tiempo y si se aplicarán los umbrales de origen. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Si la casilla de verificación Mostrar todo no está seleccionada. Seleccione la casilla de verificación Captura de paquetes si desea capturar paquetes identificados. versión 7. La acción predeterminada se muestra entre paréntesis. Si las direcciones IP se añaden a una excepción de amenaza. Las firmas de fuerza bruta se activan cuando se produce una condición en un determinado umbral temporal.

espacios. Nota: Si usa la base de datos BrightCloud y define esta opción para bloquear al vencimiento de la licencia. se bloquearán todas las URL. • Cada grupo de dispositivos en Panorama. • Permitir: Permite el acceso a todos los sitios web. También puede definir una “lista de bloqueo” de sitios web que esté siempre bloqueada (o que generen alertas) y una “lista de permiso” de sitios web que esté siempre permitida. el filtrado de URL seguirá funcionando y las categorías de URL que se encuentran en caché actualmente se usarán para bloquear o permitir en función de su configuración. Utilice únicamente letras. Este nombre aparece en la lista de perfiles de filtrado de URL cuando se definen políticas de seguridad. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.Perfiles de seguridad Perfiles de filtrado de URL Objetos > Perfiles de seguridad > Filtrado de URL Una política de seguridad puede incluir la especificación de un perfil de filtrado de una URL que bloquee el acceso a sitios web y a categorías de sitios web específicas. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. que aplique Safe Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una licencia de filtrado de URL). Para aplicar los perfiles de filtrado de URL a las políticas de seguridad. Categorías (configurable solo para BrightCloud) Acción tras el vencimiento de la licencia Seleccione la medida que se adoptará si vence la licencia de filtrado de URL: • Bloquear: Bloquea el acceso a todos los sitios web.0 Palo Alto Networks . 286 • Guía de referencia de interfaz web. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Configuración de perfil de filtrado de URL Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). lo que significa que la cancelación está habilitada. Las siguientes tablas describen la configuración de perfil de filtrado de URL: Tabla 146. Para crear categorías de URL personalizadas con sus propias listas de URL. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Si cancela la selección de la casilla de verificación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Si elige Permitir. Si cancela la selección de la casilla de verificación. Si usa PAN-DB. consulte “Categorías de URL personalizadas”. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. guiones y guiones bajos. se permitirán todas las URL. consulte “Definición de políticas de seguridad”. versión 7. no solo las categorías de URL definidas para bloquearse. números.

25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña.paloaltonetworks. ww*.219. "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo.0 • 287 .paloaltonetworks.com” y “paloaltonetworks. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”).*. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de bloqueadas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee bloquear o cuyas alertas desee generar. "yahoo" y "com") www. "com".y*.paloaltonetworks.yahoo. Las entradas de la lista de bloqueo deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas.yahoo.com • 198.Perfiles de seguridad Tabla 146. los siguientes patrones son válidos: *. Ejemplos: • www. versión 7. "yahoo". • Bloquear: Bloquea el acceso al sitio web.yahoo. Palo Alto Networks Guía de referencia de interfaz web. "*" and "com") www. Introduzca las URL una a una.com”.com” es diferente de “paloaltonetworks. Por ejemplo.com/search=* (Los testigos son: "www". pero añade una alerta al log de URL.com www. / ? & = . Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista. Por ejemplo.com (Los testigos son: "www".com (Los testigos son: "*".com”. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada. “www. "search". debe incluir “*. • Alertar: Permite al usuario acceder al sitio web.133.com Acción Seleccione la medida que se adoptará cuando se acceda a un sitio web de la lista de bloqueo. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. Si desea bloquear el dominio entero. Los siguientes caracteres se consideran separadores: . + Toda cadena separada por el carácter anterior se considera un testigo.

Los siguientes caracteres se consideran separadores: . Ejemplos: • www. Si desea permitir el dominio entero.com www. pero añade una alerta al log de URL. "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. para cada categoría.com”.*.paloaltonetworks. "com". la medida que se adoptará cuando accede a un sitio web de esa categoría.com (Los testigos son: "*". Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de permitidas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee permitir o cuyas alertas desee generar. • Alertar: Permite al usuario acceder al sitio web. Introduzca una dirección IP o URL en cada línea.com/search=* (Los testigos son: "www".com (Los testigos son: "www". "search". • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada. Por ejemplo. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *.yahoo. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista.yahoo. "yahoo" y "com") www.paloaltonetworks.y*. versión 7. / ? & = .com Esta lista tiene prioridad sobre las categorías de sitios web seleccionados.com” es diferente de “paloaltonetworks.com • 198.com”. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”). ww*. debe incluir “*.Perfiles de seguridad Tabla 146.com” y “paloaltonetworks. • Bloquear: Bloquea el acceso al sitio web. “www.paloaltonetworks. "*" and "com") www. 288 • Guía de referencia de interfaz web.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines.0 Palo Alto Networks . • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña.yahoo.133. Las entradas de la lista de permitidas deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas. "yahoo". • Permitir: Permite al usuario acceder al sitio web. Categoría/Acción Seleccione.219. Por ejemplo. + Toda cadena separada por el carácter anterior se considera un testigo. los siguientes patrones son válidos: *. Nota: Las páginas Continuar y Cancelar no se mostrarán correctamente en máquinas cliente configuradas para utilizar un servidor proxy.

no es necesaria una licencia de filtrado de URL. Yahoo. Valor predeterminado: Habilitado Habilitar forzaje de búsquedas seguras Seleccione esta casilla de verificación para forzar el filtrado de búsquedas seguras estricto.jp) mientras está registrado en su cuenta de Yahoo!. Google.co. Para forzar la búsqueda segura. debe añadirse el perfil a la política de seguridad. Yahoo. Consulte la Guía del administrador de PAN-OS para obtener más información. los resultados de búsqueda serán bloqueados (dependiendo de la acción definida en el perfil) y se pedirá al usuario que defina la opción estricta en la configuración de búsqueda segura. Para usar esta función. Si un proveedor cambia el método de configuración de búsquedas seguras que usa Palo Alto Networks para detectar estas configuraciones. Valor predeterminado: Deshabilitado Al habilitarla. versión 7. Palo Alto Networks Guía de referencia de interfaz web. la opción de bloqueo para el ajuste de búsqueda también debe estar habilitada. Esta opción se activa si la base de datos local no puede categorizar la URL. Yandex o YouTube) vean los resultados de búsqueda. Nota: Si está realizando una búsqueda en Yahoo Japan (yahoo. debe añadirse el perfil a una política de cifrado. Filtrado de URL dinámica Seleccione para activar las búsquedas en la nube y categorizar la URL. configure el perfil de filtrado de URL para que bloquee la categoría de los motores de búsqueda y que se puedan permitir Bing. esta opción evitará que los usuarios que realicen búsquedas en Internet usando uno de los tres principales proveedores de búsquedas (Bing. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Comprobar categoría de URL Haga clic para acceder al sitio web donde podrá introducir una URL o dirección IP para ver información de categorización. Si un usuario realiza una búsqueda usando uno de estos motores y su explorador o motor de búsqueda no tiene configurada la opción búsqueda segura en la opción estricta. para activar la búsqueda segura para los sitios cifrados (HTTPS). (configurable solo para BrightCloud) Con PAN-DB. Para evitar que los usuarios omitan esta función usando otros proveedores de búsquedas.0 • 289 . Página de contenedor de log únicamente Seleccione la casilla de verificación para incluir en el log únicamente las URL que coinciden con el tipo de contenido especificado. Valor predeterminado: Deshabilitado Si la URL no se resuelve después de que aparezca la ventana de tiempo de espera de 5 segundos. se llevará a cabo una actualización de firmas para garantizar que se detecta la configuración adecuadamente. no Palo Alto Networks. esta opción está habilitada de forma predeterminada y no es configurable. a menos que tengan definida la opción de búsqueda segura estricta en sus exploradores para estos motores de búsqueda. Yandex y YouTube. Además. Y. la evaluación para determinar si un sitio se considera seguro o no la realizan los proveedores de búsquedas. La habilidad del cortafuegos para detectar la configuración de búsquedas seguras dentro de estos tres proveedores se actualizará usando la actualización de firma Aplicaciones y amenazas.Perfiles de seguridad Tabla 146. la respuesta aparece como “URL no resuelta”. Google.

El valor de x reenviado para en el log admite hasta 128 caracteres.Perfiles de seguridad Tabla 146. algo que enmascara la dirección IP del usuario de tal forma que todas las solicitudes parecen originarse desde la dirección IP del servidor proxy o una dirección IP común. • X-Forwarded-For: Opción del campo de encabezado que conserva la dirección IP del usuario que ha solicitado la página web. El valor del sitio de referencia en el log admite hasta 256 caracteres. para ver la lista más actualizada. Cuando están activados. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Logging de la cabecera HTTP La activación del logging de la cabecera HTTP proporciona visibilidad sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor. consulte “Definición de políticas de seguridad”. • Sitio de referencia: URL de la página web que enlazaba el usuario a otra página web. se trata del origen que ha redirigido (referencia) al usuario a la página web que se está solicitando. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Para aplicar los perfiles de bloqueo de archivo a las políticas de seguridad. Sin embargo. espacios. números. La Tabla 148 enumera los formatos de archivo compatibles en el momento de esta publicación. donde serán analizados para buscar comportamientos malintencionados. haga clic en Añadir en el campo Tipos de archivo del cuadro de diálogo Perfil de bloqueo de archivo. dado que en una actualización de contenido se puede añadir una nueva compatibilidad con un tipo de archivo. el agente-usuario puede ser Internet Explorer o Firefox. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Si se selecciona la acción Reenviar. El valor Agente-usuario del log admite hasta 1024 caracteres. Configuración de perfil de bloqueo de archivo Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). 290 • Guía de referencia de interfaz web. versión 7. Esta información se envía en la solicitud de HTTP al servidor. uno o varios de los siguientes pares de valores de atributos se graban en el log de filtrado de URL: • Agente-usuario (User-Agent): El navegador web que utilizaba el usuario para acceder a la URL. o que genere una alerta cuando se detecten. Por ejemplo.0 Palo Alto Networks . Utilice únicamente letras. Perfiles de bloqueo de archivo Objetos > Perfiles de seguridad > Bloqueo de archivo Una política de seguridad puede incluir la especificación de un perfil de bloqueo de archivos que impida que los tipos de archivos seleccionados se carguen y/o descarguen. Le permite identificar la dirección IP del usuario. los tipos de archivos compatibles se enviarán a WildFire. guiones y guiones bajos. Es especialmente útil si tiene un servidor proxy en su red o ha implementado NAT de origen. Este nombre aparece en la lista de perfiles de bloqueo de archivos cuando se definen políticas de seguridad. Las siguientes tablas describen la configuración de perfil de bloqueo de archivo: Tabla 147.

• Aplicaciones: Seleccione las aplicaciones a las que afectará la regla o seleccione Cualquiera. • Cada grupo de dispositivos en Panorama. • Dirección: Seleccione la dirección de la transferencia de archivos (Cargar. Esto se debe al hecho de que un usuario debe hacer clic en continuar antes de que el archivo se reenvíe y la opción de página de respuesta de continuación solo está disponible con http/https. Descargar o Ambos). Reglas Defina una o más reglas para especificar la medida que se adoptará (si se especifica alguna) para los tipos de archivos seleccionados. – Continuar y reenviar: Aparece una página de continuación y el archivo se envía a WildFire (combina las acciones Continuar y Reenviar).Perfiles de seguridad Tabla 147. Configuración de perfil de bloqueo de archivo (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. versión 7. el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los usuarios no verán una página que les pregunte si desean continuar. Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el reenvío de WildFire). Esta acción solo funciona con tráfico basado en web. únicamente puede elegir la aplicación navegación web. Si elige cualquier otra aplicación. Si cancela la selección de la casilla de verificación. lo que significa que la cancelación está habilitada. – Continuar: Aparecerá un mensaje para el usuario indicando que se ha solicitado una descarga y le pide confirmación para continuar. La casilla de verificación no está seleccionada de manera predeterminada. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. • Acción: Seleccione la medida que se adoptará cuando se detecten archivos de los tipos seleccionados: – Alertar: Se añade una entrada al log de amenazas. – Reenviar: El archivo se envía automáticamente a WildFire. Si cancela la selección de la casilla de verificación. Para añadir una regla. – Bloquear: El archivo se bloquea. • Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o para los que desee generar alertas.0 • 291 . especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre para la regla (hasta 31 caracteres). el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Palo Alto Networks Guía de referencia de interfaz web. El propósito es advertir al usuario de una posible descarga desconocida (también se conocen como descargas drive-by) y darle al usuario la opción de continuar o detener la descarga. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos.

no se enviará ninguna entrada de log al cortafuegos. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor. Formatos de archivo compatibles con bloqueo de archivos Campo Descripción apk Archivo de paquete de aplicaciones Android avi Archivo de vídeo basado en el formato Microsoft AVI (RIFF) avi-divx Archivo de vídeo AVI codificado con el códec DivX avi-xvid Archivo de vídeo AVI codificado con el códec XviD bat Archivo por lotes MS DOS bmp-upload Archivo de imagen de mapa de bits (carga únicamente) cab Archivo comprimido de Microsoft Windows cdr Archivo de Corel Draw class Archivo bytecode de Java cmd Archivo de comandos de Microsoft dll Biblioteca de vínculos dinámicos de Microsoft Windows doc Documento de Microsoft Office docx Documento de Microsoft Office 2007 dpx Archivo Digital Picture Exchange dsn Archivo Database Source Name dwf Archivo Design Web Format de Autodesk dwg Archivo Autodesk AutoCAD edif Archivo Electronic Design Interchange Format email-link Al enviar el tipo de archivo email-link. el cortafuegos extrae los enlaces de HTTP/ HTTPS contenidos en los mensajes de correo electrónico POP3 y SMTP y los envía a la nube de WildFire para su análisis (esta función no está admitida en el dispositivo WF-5000 WildFire).0 Palo Alto Networks .Perfiles de seguridad Tabla 148. versión 7. reenvía ni ve el mensaje de correo electrónico. Si determina que la página es benigna. Si el enlace es malintencionado. almacena. no recibe. encrypted-doc Documento cifrado de Microsoft Office encrypted-docx Documento cifrado de Microsoft Office 2007 encrypted-office2007 Archivo cifrado de Microsoft Office 2007 encrypted-pdf Documento cifrado de Adobe PDF encrypted-ppt Documento cifrado de Microsoft PowerPoint encrypted-pptx Documento cifrado de Microsoft PowerPoint 2007 encrypted-rar Archivo cifrado rar encrypted-xls Archivo cifrado de Microsoft Office Excel encrypted-xlsx Archivo cifrado de Microsoft Office Excel 2007 encrypted-zip Archivo cifrado zip exe Ejecutable de Microsoft Windows 292 • Guía de referencia de interfaz web. receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos. Después de recibir un enlace de correo electrónico de un cortafuegos. se genera un informe de análisis detallado de WildFire en el log de presentaciones de WildFire y la URL se añade a PAN-DB. WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación.

xls. versión 7. El archivo SWC es un paquete comprimido de componentes SWF. com. el cortafuegos descodifica e identifica los archivos que se han codificado hasta cuatro veces.0 • 293 . docx. texto. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción flash Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. rtf. Si quiere que el cortafuegos bloquee/reenvíe archivos de MS Office. puede utilizar este tipo de archivo para bloquear los archivos que el cortafuegos no descodifique debido a que estén codificados cinco o más veces. pst. De manera predeterminada. este contenido se ve en el reproductor Adobe Flash. pub. vídeo y sonido en Internet. Varios niveles de codificación de archivo pueden indicar un comportamiento sospechoso. tlb) pgp Clave de seguridad o firma digital cifrada con software PGP pif Archivo de información de programas de Windows con instrucciones ejecutables pl Archivo de comandos Perl Palo Alto Networks Guía de referencia de interfaz web. pptx. Los archivos pueden estar comprimidos varias veces con la intención de ocultar el tipo de archivo original y evadir la detección de contenido malintencionado. cpl. sys. scr. flv Archivo de Adobe Flash Video gds Archivo Graphics Data System gif-upload Archivo de imagen GIF (carga únicamente) gzip Archivos comprimidos con la aplicación gzip hta Archivo de aplicación HTML iso Imagen de disco según la normativa ISO-9660 iwork-keynote Documentos de iWork Keynote de Apple iwork-numbers Documentos de iWork Numbers de Apple iwork-pages Documentos de iWork Pages de Apple jar Archivo Java jpeg-upload Archivo de imagen JPG/JPEG (carga únicamente) lnk Acceso directo a archivo de Microsoft Windows lzh Archivo comprimido con la utilidad/algoritmo lha/lhz mdb Archivo Microsoft Access Database mdi Archivo Microsoft Document Imaging mkv Archivo Matroska Video mov Archivo Apple Quicktime Movie mp3 Archivo de audio MP3 mp4 Archivo de audio MP4 mpeg Archivo de audio y vídeo con la compresión MPEG-1 o MPEG-2 msi Archivo paquete de Microsoft Windows Installer msoffice Archivo de Microsoft Office (doc. xlsx). sin embargo.Perfiles de seguridad Tabla 148. Codificación multinivel Archivo que se ha codificado cinco o más veces. se recomienda que seleccione el grupo “msoffice” para asegurarse de que se identificarán todos los tipos de archivos de MS Office admitidos en lugar de seleccionar individualmente cada tipo de archivo. ppt. drv. dll. ocx Archivo Microsoft ActiveX pdf Archivo Adobe Portable Document PE Microsoft Windows Portable Executable (exe. El archivo SWF suministra gráficos de vector. ocx.

tannereda. Después de crear un perfil de análisis de WildFire.com) tif Archivo Windows Tagged Image torrent Archivo de BitTorrent wmf Metaarchivo de Windows para guardar imágenes de vectores wmv Archivo de vídeo Windows Media wri Archivo de documento de Windows Write wsf Archivo de comandos de Windows xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel zcompressed Archivo Z comprimido en Unix. Puede especificar que el tráfico se reenvíe a la nube pública o a la nube privada en función del tipo de archivo. 294 • Guía de referencia de interfaz web. añadir el perfil a una política (Políticas > Seguridad) le permite aplicar los ajustes de perfil a cualquier tráfico que coincida con esa política (por ejemplo.Perfiles de seguridad Tabla 148. la aplicación o la dirección de transmisión del archivo (carga o descarga).0 Palo Alto Networks . una categoría de URL definida en la política). se descomprime con la utilidad uncompress zip Archivo Winzip/pkzip Perfiles de análisis de WildFire Objetos > Perfiles de seguridad > Análisis de WildFire Utilice un perfil de análisis de WildFire para especificar que se realice un análisis de archivos de WildFire localmente en el dispositivo WildFire o en la nube de WildFire. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción png-upload Archivo de imagen PNG (carga únicamente) ppt Presentación en Microsoft Office PowerPoint pptx Presentación en Microsoft Office PowerPoint 2007 psd Documento de Adobe Photoshop rar Archivo comprimido creado con winrar reg Archivo de registro de Windows rm Archivo RealNetworks Real Media rtf Archivo de documento de formato de texto enriquecido de Windows sh Archivo de comandos Shell de Unix stp Archivo de gráficos estándar para el intercambio de datos de modelo de productos en 3D tar Archivo comprimido tar de Unix tdb Archivo Tanner Database (www. versión 7.

el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. puede describir las reglas de perfil o el uso previsto del perfil (hasta 255 caracteres). números. Palo Alto Networks Guía de referencia de interfaz web. Reglas Defina una o más reglas para especificar que el tráfico se reenvíe a la nube pública de WildFire o al dispositivo WildFire (nube privada) para su análisis. Si cancela la selección de la casilla de verificación. Este nombre aparecerá en la lista de perfiles de análisis de WildFire entre los que puede elegir al definir una política de seguridad. • Seleccione un Tipo de archivo para su análisis en el destino de análisis definido para la regla. Utilice únicamente letras. • Añada una Aplicación para que el tráfico de cualquier aplicación coincida con la regla y se reenvíe al destino de análisis especificado. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. – Seleccione la nube privada para que todo el tráfico que coincida con la regla se reenvíe al dispositivo de WildFire para su análisis. Puede aplicar la regla para cargar tráfico. espacios. Descripción Opcionalmente. versión 7. • Seleccione el Destino del tráfico que se reenviará para su análisis: – Seleccione la nube pública para que todo el tráfico que coincida con la regla se reenvíe a la nube pública de WildFire para su análisis. Configuración de perfil de análisis de WildFire Campo Descripción Nombre Introduzca un nombre descriptivo para el perfil de análisis de WildFire (hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Para aplicar los perfiles de filtrado de datos a las políticas de seguridad. Perfiles de filtrado de datos Objetos > Perfiles de seguridad > Filtrado de datos Una política de seguridad puede incluir la especificación de un perfil de filtrado de datos que ayuda a identificar información confidencial como números de tarjetas de crédito o de la seguridad social y que evita que dicha información salga del área protegida por el cortafuegos. consulte “Definición de políticas de seguridad”. • Introduzca un Nombre descriptivo para cada regla que añada al perfil (hasta 31 caracteres). • Cada grupo de dispositivos en Panorama. • Aplique la regla al tráfico dependiendo de la Dirección de la transmisión. guiones y guiones bajos. descargar tráfico o ambas acciones.Perfiles de seguridad Tabla 149.0 • 295 . Si cancela la selección de la casilla de verificación. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.

Esta selección no bloquea todos los posibles tipos de archivo. solo las enumeradas. Tabla 151. Si cancela la selección de la casilla de verificación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Tipos de archivos Especifique los tipos de archivos que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos enumerados. Consulte “Definición de la configuración de gestión”. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. números. guiones y guiones bajos.Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de filtrado de datos: Tabla 150. versión 7. Esta selección no bloquea todas las aplicaciones posibles. • Haga clic en Añadir para especificar aplicaciones individuales. lo que significa que la cancelación está habilitada. espacios. solo los enumerados. Especifique una contraseña para Gestionar protección de datos en la página Configuración para ver sus datos capturados. Configuración de patrones de datos Campo Descripción Patrón de datos Seleccione un patrón de datos existente de la lista desplegable Patrón de datos o configure un nuevo patrón seleccionando Patrón de datos de la lista y especificando la información descrita en “Definición de patrones de datos”. Utilice únicamente letras. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). • Cada grupo de dispositivos en Panorama. Configuración de perfiles de filtrado de datos Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. haga clic en Añadir y especifique la siguiente información. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Captura de datos Seleccione la casilla de verificación para recopilar automáticamente los datos bloqueados por el filtro. Aplicaciones Especifique las aplicaciones que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones enumeradas. La casilla de verificación no está seleccionada de manera predeterminada.0 Palo Alto Networks . Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. 296 • Guía de referencia de interfaz web. • Haga clic en Añadir para especificar tipos de archivos individuales. Para añadir un patrón de datos. Si cancela la selección de la casilla de verificación.

solo Descarte aleatorio temprano está disponible para la protección contra inundaciones SYN Palo Alto Networks Guía de referencia de interfaz web. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5. puede aplicar un perfil de protección Inundación SYN con Descarte aleatorio temprano o Cookies SYN. Configuración de patrones de datos (Continuación) Campo Descripción Dirección Especifique si desea aplicar el filtro en la dirección de la carga. Estos perfiles se adjuntan a políticas de protección de DoS para permitirle controlar el tráfico entre interfaces. zonas. Para protegerse contra inundaciones SYN en una puerta de enlace compartida. consulte “Definición de políticas DoS”.0 • 297 . la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Umbral de bloqueo Especifique el valor que activará el bloqueo. Para aplicar perfiles DoS a políticas DoS. versión 7. descarga o ambas. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un ataque de DoS. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5. Umbral de alerta Especifique el valor que activará la alerta.Perfiles de seguridad Tabla 151. direcciones y países según sesiones agregadas o direcciones IP únicas de origen o o destino. la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Perfiles DoS Objetos > Perfiles de seguridad > Protección DoS Los perfiles de protección DoS están diseñados para una selección muy precisa y los perfiles de protección de zona de aumento. en una zona externa. debe crear un perfil de protección de zona separado para la puerta de enlace compartida.

espacios. o IP de origen y destino). Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. La casilla de verificación no está seleccionada de manera predeterminada. Si cancela la selección de la casilla de verificación. lo que significa que la cancelación está habilitada. Utilice únicamente letras. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. versión 7. Por ejemplo. Tipo Especifique uno de los tipos de perfil siguientes: • Agregar: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplan los criterios de la regla en la que se aplica el perfil. números.Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección DoS: Tabla 152. • Cada grupo de dispositivos en Panorama. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. IP de destino. guiones y guiones bajos. 298 • Guía de referencia de interfaz web. Configuración del perfil de protección DoS Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). una regla de agregación con un umbral de inundación SYN de 10000 paquetes por segundo (pps) cuenta todos los paquetes que cumplen esa regla DoS concreta. Si cancela la selección de la casilla de verificación. • Clasificado: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplen el criterio de clasificación (IP de origen.0 Palo Alto Networks .

Los paquetes que lleguen durante la duración del bloqueo no afectarán al recuento para activar las alertas. Consulte “Etiquetas”. Consulte “Aplicaciones”. Configuración del perfil de protección DoS (Continuación) Campo Descripción Pestaña Protección contra inundaciones Pestaña secundaria Inundación SYN Seleccione la casilla de verificación para activar la protección de inundación SYN y especificar los siguientes ajustes: Pestaña secundaria Inundación de UDP • Acción: (Inundación SYN únicamente) Seleccione entre las siguientes opciones: – Descarte aleatorio temprano: Descarta paquetes de forma aleatoria antes de alcanzar el límite DoS. Pestaña Protección de recursos Sesiones Seleccione la casilla de verificación para habilitar la protección de los recursos. Consulte “Definición de grupos de direcciones”. por defecto. por defecto. este límite se aplica a todo el tráfico entrante que cumple la regla DoS en la que se aplica el perfil DoS. • Etiquetas para ordenar y filtrar objetos. Consulte “Filtros de aplicación”. de forma que no sea necesario cancelar conexiones en presencia de un ataque de inundación SYN. versión 7. Nota: Si define límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas. • Duración del bloqueo: Especifique la duración (en segundos) durante la que los paquetes infractores se denegarán. 10000 pps). programar y buscar políticas. Consulte “Servicios”. • Aplicaciones y grupos de aplicaciones que permiten especificar cómo se tratan las aplicaciones de software en las políticas. • Servicios y grupos de servicios que limitan los números de puertos. Si el tipo de perfil DoS es de clasificación. • Tasa máxima: Especifique la tasa a la que los paquetes se descartarán o se bloquearán. • Filtros de aplicación que permiten simplificar búsquedas. Los siguientes tipos de objetos son compatibles: • Direcciones y grupos de direcciones para determinar el ámbito de la política. 10000 pps). Otros objetos de las políticas Los objetos de las políticas son los elementos que le permiten construir. Si el tipo de perfil DoS es de agregación. Otras pestañas secundarias • Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS (intervalo 0-2000000 pps. de límites simultáneos Especifique el número máximo de sesiones simultáneas. o IP de origen y destino) que cumple la regla DoS en la que se aplica el perfil DoS.0 • 299 . este límite se aplica a todo el tráfico clasificado (IP de origen.Otros objetos de las políticas Tabla 152. Pestaña secundaria Inundación de ICMP – Cookies SYN: Utilice esta opción para generar confirmaciones. Máx. IP de destino. el umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión establecida previamente. Palo Alto Networks Guía de referencia de interfaz web. • Activar tasa: Seleccione la tasa (pps) a la que se activará la respuesta DoS (intervalo 0-2000000 pps.

• Cada grupo de dispositivos en Panorama. lo que significa que la cancelación está habilitada. • Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. subred) o FQDN. Consulte “Categorías de URL personalizadas”. Para definir un objeto de dirección. Si cancela la selección de la casilla de verificación. La casilla de verificación no está seleccionada de manera predeterminada. Compartido Seleccione esta casilla de verificación si quiere que el objeto de dirección esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. • Programaciones para especificar cuándo están las políticas activas. Consulte “Reenvío de logs”. versión 7. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. Consulte “Patrones de datos”. Tabla 153. el objeto de dirección únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Consulte “Ajustes de descifrado SSL en un perfil de descifrado”. Definición de objetos de direcciones Objetos > Direcciones Un objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple. guiones y guiones bajos. • Reenvío de log para especificar configuraciones de log. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la dirección en grupos de dispositivos descendientes cancelando sus valores heredados. haga clic en Añadir y cumplimente los siguientes campos. • Categorías URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo en perfiles de filtrado URL. Le permite reutilizar el mismo objeto como dirección de origen o destino en todas las bases de reglas de políticas sin tener que añadirlas cada vez de forma manual.Otros objetos de las políticas • Patrones de datos para definir categorías de información confidencial para políticas de filtrado de datos. Para trasladar o duplicar objetos. Utilice únicamente letras. Configuración de nuevas direcciones Campo Descripción Nombre Introduzca un nombre que describe las direcciones que se definirán (de hasta 63 caracteres). intervalo.0 Palo Alto Networks . Si cancela la selección de la casilla de verificación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. consulte “Traslado o duplicación de una política o un objeto”. 300 • Guía de referencia de interfaz web. espacios. números. el objeto de dirección únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Consulte “Grupos de perfiles de seguridad”. Se configura usando la interfaz web o la CLI y se requiere una operación de compilación para hacer que el objeto forme parte de la configuración.

168. El formato es: dirección_ip–dirección_ip donde cada dirección puede ser IPv4 o IPv6. Puede definir una etiqueta aquí o usar la pestaña Objetos > Etiquetas para crear etiquetas nuevas. FQDN se resuelve inicialmente en el momento de la compilación. Por ejemplo.255.80.168. Un grupo de direcciones puede ser estático o dinámico. Ejemplo: “2001:db8:123:1::1” o “2001:db8:123:1::/64” Intervalo de IP: Para especificar un intervalo de direcciones. versión 7. Para obtener información acerca del proxy DNS. Etiquetas Seleccione o introduzca etiquetas que desee aplicar a este objeto de dirección. seleccione FQDN e introduzca el nombre de dominio.150/32” indica una dirección y “192. FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy DNS. • Grupos de direcciones dinámicas: Un grupo de direcciones dinámicas cumplimenta sus miembros dinámicamente usando búsquedas de etiquetas y filtros basados en etiquetas.0 hasta 192. e introduzca un intervalo de direcciones. Los grupos de direcciones dinámicas son muy útiles si tiene una infraestructura virtual amplia con cambios frecuentes en la ubicación de la máquina virtual o la dirección IP.Otros objetos de las políticas Tabla 153.2001:db8:123:1::22” Tipo (continuación) FQDN: Para especificar una dirección mediante FQDN.80. Configuración de nuevas direcciones (Continuación) Campo Descripción Tipo Especifique una dirección o intervalo de direcciones IPv4 o IPv6 o FQDN. Si desea más información sobre etiquetas. consulte “Configuración de proxy DNS”. Definición de grupos de direcciones Objetos > Grupos de direcciones Para simplificar la creación de políticas de seguridad.168. las entradas se actualizan cuando el cortafuegos realiza una comprobación cada 30 minutos.168. seleccione Intervalo de IP. si se configura un proxy. las direcciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de direcciones. todos los cambios en la dirección IP de las entradas se recogen en el ciclo de actualización. Ejemplo: “2001:db8:123:1::1 . si tiene una Palo Alto Networks Guía de referencia de interfaz web. consulte “Etiquetas”. Por tanto.80.80. Ejemplo: “192.0/24” indica todas las direcciones desde 192. Máscara de red IP: Introduzca la dirección IPv4 o IPv6 o la el intervalo de la dirección IP con la siguiente notación: dirección_ip/máscara o dirección_ip donde la máscara es el número de dígitos binarios significativos utilizados para la porción de red de la dirección.0 • 301 .

Si dispone de un entorno virtual con VMware. haga clic en Añadir y cumplimente los siguientes campos. Esto se puede hacer usando secuencias de comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware configurando en la pestaña Dispositivo > Orígenes de información de VM en el cortafuegos. puede usar la función Orígenes de información de VM (pestaña Dispositivo > Orígenes de información de VM ) para configurar el cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar información (dirección de red y etiquetas correspondientes) de nuevos servidores/invitados implementados en estas máquinas virtuales. Para usar un grupo de direcciones dinámicas en la política. así como definirse dinámicamente usando la API XML y registrarse en el cortafuegos. este incluirá todos los objetos estáticos y dinámicos que coincidan con las etiquetas. en los que se especifica una dirección de red en un host.Otros objetos de las políticas configuración de conmutación por error o incluye nuevas máquinas virtuales con frecuencia y le gustaría aplicar una política al tráfico que va o que procede de la nueva máquina sin modificar la configuración o las reglas del cortafuegos. • Grupos de direcciones estáticas: Un grupo de direcciones estáticas puede incluir objetos de dirección que sean estáticas. cada host que quiera añadir al grupo de direcciones dinámicas debe incluir la etiqueta o atributo definido en el criterio de coincidencia. Por lo tanto. A diferencia de los grupos de direcciones estáticas. Si crea un objeto de dirección y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinámicas. en lugar de usar secuencias de comandos para activar la API XML. Para registrar una nueva dirección IP y etiquetas o cambios en las direcciones IP o etiquetas actuales. – Defina un grupo de direcciones dinámicas y haga referencia al mismo en la regla de política. los miembros de un grupo de direcciones dinámicas se cumplimentan definiendo un criterio de coincidencia. Para crear un grupo de direcciones. debe realizar las siguientes tareas.0 Palo Alto Networks . Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama. puede usar etiquetas para agrupar objetos tanto dinámicos como estáticos en el mismo grupo de direcciones. 302 • Guía de referencia de interfaz web. cada grupo dinámico evalúa las etiquetas y actualiza la lista de miembros de su grupo. debe usar secuencias de comandos que activen la API XML en el cortafuegos. El criterio de coincidencia usa operadores lógicos y u o. versión 7. – Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan formarse los grupos de direcciones dinámicas. grupos de direcciones dinámicas o puede ser una combinación de objetos de dirección y grupos de direcciones dinámicas. Los grupos de direcciones dinámicas también pueden incluir objetos de direcciones definidas estáticamente. Cuando se registra una dirección IP y la etiqueta correspondiente (una o más).

El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. guiones y guiones bajos. consulte “Etiquetas”. que puede realizar un sondeo de la máquina para recuperar cambios en direcciones IP o en la configuración sin modificaciones en el cortafuegos. Compartido Seleccione esta casilla de verificación si quiere que el grupo de direcciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Para un grupo de direcciones estáticas. Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. Grupo de direcciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de direcciones (de hasta 63 caracteres). el grupo de direcciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. use el criterio de coincidencia para incluir los miembros en el grupo. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de direcciones en grupos de dispositivos descendientes cancelando sus valores heredados. La casilla de verificación no está seleccionada de manera predeterminada. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). debe haber configurado el cortafuegos para acceder y recuperar los atributos desde el origen/host. Haga clic en Añadir para añadir un objeto o un grupo de direcciones al grupo de direcciones. haga clic en Añadir y seleccione una o más direcciones. Tipo Seleccione Estático o Dinámico. Cada máquina virtual en el origen de información configurado se registra en el cortafuegos. versión 7.0 • 303 . El grupo puede contener objetos de direcciones y grupos de direcciones tanto estáticas como dinámicas. Defina el criterio Coincidencia usando los operadores Y u O.Otros objetos de las políticas Tabla 154. • Cada grupo de dispositivos en Panorama. espacios. el grupo de direcciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Nota: Para ver la lista de atributos del criterio de coincidencia. Si desea más información sobre etiquetas. lo que significa que la cancelación está habilitada. Utilice únicamente letras. Guía de referencia de interfaz web. Etiquetas Palo Alto Networks Seleccione o introduzca etiquetas que desee aplicar a este grupo de direcciones. Para usar un grupo de direcciones dinámicas. números.

Direcciones Especifique una dirección IP. utilizando cualquiera de los siguientes formatos: x.x. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Las siguientes tablas describen la configuración regional: Tabla 155. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad.x/n 304 • Guía de referencia de interfaz web. para definir las regiones personalizadas que se incluirán como opciones para reglas de política de seguridad. Configuración de nuevas regiones Campo Descripción Nombre Introduzca un nombre que describe la región (de hasta 31 caracteres).x. La región está disponible como una opción si especifica el origen y el destino de las políticas de seguridad. Utilice únicamente letras. espacios.x x. políticas de descifrado y políticas DoS. versión 7.a.xxxxxx).Otros objetos de las políticas Definición de regiones Objetos > Regiones El cortafuegos permite la creación de reglas de políticas aplicables a países concretos y otras regiones.x.a. Consulte “Uso de Appscope”. Esta información se utiliza en los mapas de tráfico y amenazas de Appscope. seleccione la casilla de verificación y los valores (formato xxx.x. Ubicación geográfica Para especificar la latitud y la longitud. guiones y guiones bajos. un intervalo de direcciones IP o una subred para identificar la región.x-a.x.x. Puede elegir entre una lista estándar de países o usar los ajustes de región que se describen en esta región.0 Palo Alto Networks . números.a x.

Palo Alto Networks Guía de referencia de interfaz web. si es proclive a un uso incorrecto o a intentos de evasión de cortafuegos. El número a la izquierda de cada entrada representa el número total de aplicaciones con ese atributo. “Descripción general de aplicaciones” Añadir una nueva aplicación o modificar una existente. El valor del riesgo se basa en criterios como si la aplicación puede compartir archivos. El área superior de navegación de la aplicación de la página muestra los atributos que puede utilizar para filtrar la vista de la manera siguiente. versión 7. “Definición de aplicaciones” Descripción general de aplicaciones La página Aplicaciones muestra los diferentes atributos de cada definición de aplicación. como el riesgo de seguridad relativo de la aplicación (1 a 5). Los valores mayores indican un mayor riesgo.0 • 305 . Las publicaciones semanales de contenido incluyen periódicamente nuevos descodificadores y contextos para los que puede desarrollar firmas.Otros objetos de las políticas Aplicaciones Objetos > Aplicaciones ¿Qué está buscando? Consulte Comprender los ajustes y atributos de aplicaciones que aparecen en la página Aplicaciones.

aunque no se haya aplicado un filtro Tecnología de manera explícita. Tecnología y Riesgo y. • Para importar una aplicación. Puede decidir deshabilitar una aplicación que esté incluida con una nueva versión de publicación de contenido porque la implementación de la política de la aplicación podría cambiar cuando la aplicación esté identificada de manera exclusiva. Cada vez que aplique un filtro. • Puede Deshabilitar una aplicación (o varias aplicaciones) para que la firma de aplicación no coincida con el tráfico. después de instalar la actualización de contenido. permitir o forzar una aplicación coincidente no se aplican al tráfico de la aplicación cuando la aplicación está deshabilitada. haga clic en colaboración y la lista solamente mostrará las aplicaciones de esta categoría. • Seleccione una aplicación deshabilitada y seleccione Habilitar la aplicación para que pueda implementarse de acuerdo con sus políticas de seguridad configuradas. seleccione una entrada en otra de las columnas. podría decidir deshabilitar la aplicación para que el tráfico que coincida con la firma de aplicación siga estando clasificado como tráfico de exploración web y esté permitido. haga clic en Importar. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. puede escribir reglas que se aplicarán a todas las aplicaciones que coincidan con un filtro guardado. la columna Tecnología se restringe automáticamente a las tecnologías coherentes con la categoría y la subcategoría seleccionadas.0 Palo Alto Networks . Una búsqueda incluye cadenas parciales. • Para filtrar por más columnas. • Para buscar una aplicación concreta. si aplica un filtro Categoría. introduzca el nombre o descripción de la aplicación en el campo Búsqueda y pulse Intro. Estas reglas se actualizan dinámicamente cuando se añade una nueva aplicación mediante una actualización de contenido que coincida con el filtro. finalmente. Por ejemplo. para restringir la lista a la categoría de colaboración. versión 7. haga clic en un elemento que desee utilizar como base para el filtrado. a continuación los filtros Subcategoría. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. una aplicación identificada como tráfico de exploración web está permitida por el cortafuegos antes de una nueva instalación de versión de contenido. la lista de aplicaciones de la parte inferior de la página se actualizará automáticamente. Visualice todos los filtros guardados en Objetos > Filtros de aplicación. Subcategoría y Riesgo. Por ejemplo. los filtros Característica.Otros objetos de las políticas Puede realizar cualquiera de las siguientes funciones en esta página: • Para aplicar filtros de aplicación. En este caso. Se mostrará la aplicación y las columnas de filtrado se actualizarán con las estadísticas de las aplicaciones que coinciden con la búsqueda. Por ejemplo. 306 • Guía de referencia de interfaz web. la aplicación identificada de manera exclusiva ya no coincide con la regla de seguridad que permite el tráfico de exploración web. Las reglas de seguridad definidas para bloquear. Cuando defina políticas de seguridad.

Detalles de la aplicación Elemento Descripción Nombre Nombre de la aplicación. Google o Yahoo!) que contienen más información sobre la aplicación. Utilice el cuadro de diálogo Políticas de revisión para revisar el impacto de la política en las nuevas aplicaciones incluidas en una versión de publicación de contenido descargada. De igual modo. los App-ID deshabilitados aparecerán en los logs como la aplicación como se identificaban anteriormente. Puertos estándar Puertos que utiliza la aplicación para comunicarse con la red. versión 7. las sesiones asociadas a esa aplicación coincidirán con la política como la anteriormente identificada como aplicación. Información adicional Enlaces a sitios web (Wikipedia. o App-ID que han cambiado. Puede cancelar esta acción predeterminada en la política de seguridad. Si un App-ID está deshabilitado. Denegar acción Los App-ID se desarrollan con una acción de denegación predeterminada que determina cómo responde el cortafuegos cuando la aplicación se incluye en una regla de seguridad con una acción de denegación. Las siguientes tablas describen la configuración de la aplicación: Tabla 156.Otros objetos de las políticas • Para exportar una aplicación. Identificado anteriormente como Para nuevos App-ID. También puede acceder al cuadro de diálogo Revisión de políticas al descargar e instalar versiones de publicación de contenido en la página Dispositivo > Actualizaciones dinámicas. • Seleccione Políticas de revisión para evaluar la implementación basada en políticas para aplicaciones antes y después de instalar una versión de publicación de contenido. Un lápiz amarillo sobre el icono que aparece a la izquierda del nombre de la aplicación significa que la aplicación se ha personalizado. Depende de Lista de otras aplicaciones necesarias para el funcionamiento de esta aplicación. El cuadro de diálogo Revisión de políticas le permite añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) desde o hacia una política de seguridad existente. esto indica cómo se identificaba anteriormente la aplicación. Esto le ayuda a evaluar si se requieren cambios de política en función de los cambios en la aplicación.0 • 307 . Siga las instrucciones para guardar el archivo. también debe asegurarse de permitir otras aplicaciones de las que dependa la aplicación. Característica Evasiva Utiliza un puerto o protocolo para cualquier cosa menos su propósito inicial con la intención de atravesar un cortafuegos. Usa implícitamente Otras aplicaciones de las que depende la aplicación seleccionada pero que no necesita añadir a sus reglas de política de seguridad para permitir la aplicación seleccionada porque dichas aplicaciones son compatibles de manera implícita. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. como se describe en la siguiente tabla. Palo Alto Networks Guía de referencia de interfaz web. Ancho de banda excesivo Consume al menos 1 Mbps con regularidad en uso normal. haga clic en el nombre de la aplicación. Al crear una regla de política para permitir la aplicación seleccionada. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que no se instala la versión de publicación de contenido correspondiente. La acción de denegación predeterminada puede especificar un descarte silencioso o un restablecimiento de TCP. • Para ver detalles adicionales sobre la aplicación o personalizar el riesgo y los valores de tiempo de espera. Observe que los ajustes disponibles varían de una aplicación a otra. Descripción Descripción de la aplicación (hasta 255 caracteres).

programas de oficina. actualización de software y copia de seguridad de almacenamiento. empresa general. No obstante.Otros objetos de las políticas Tabla 156. Detalles de la aplicación (Continuación) Elemento Descripción Proclive al uso indebido Habitualmente utilizada para fines nefarios o fácilmente establecida para llegar más allá de las intenciones del usuario. incluido quién puede crear. servidor cliente Una aplicación que utiliza un modelo de servidor cliente donde uno o más clientes se comunican con un servidor en la red. empresas sociales. las aplicaciones SaaS difieren de los servicios web. voip y vídeo y publicación web. el cortafuegos dejará de buscar coincidencias de aplicaciones adicionales después de la primera firma coincidente. las subcategorías de la categoría sistemas empresariales incluyen servicio de autenticación. Tecnología basado en explorador Una aplicación que se basa en un explorador web para funcionar. Las diferentes categorías tienen diferentes subcategorías asociadas a ellas. Categoría La categoría de la aplicación será una de las siguientes: • sistemas empresariales • colaboración • internet general • multimedia • redes • desconocido Subcategoría Subcategoría en la que se clasifica la aplicación. Los servicios web son aplicaciones alojadas en las que el usuario no posee los datos (por ejemplo. ataque o robo de datos o se distribuye con software malintencionado. 308 • Guía de referencia de interfaz web.000 de usuarios. En el cortafuegos. redes sociales. SaaS Recuerde que en el contexto de cómo se caracteriza una aplicación. base de datos.0 Palo Alto Networks . Twitter o Facebook). Continuar buscando otras aplicaciones Indica al cortafuegos que debe seguir intentando buscar coincidencias con otras firmas de aplicaciones. las subcategorías de la categoría colaboración incluyen correo electrónico.000. intercambio de archivos. Tuneliza otras aplicaciones Puede incluir otras aplicaciones en su protocolo. gestión. Por ejemplo. el software como servicio (SaaS) se caracteriza como un servicio en el que el software y la infraestructura son propiedad y están gestionados por el proveedor de servicios de aplicaciones pero en el que conserva el control completo sobre los datos. Utilizada por software malintencionado El software malintencionado es conocido por utilizar la aplicación con fines de propagación. Pandora) o donde el servicio está compuesto principalmente de datos compartidos proporcionados por numerosos suscriptores con fines sociales (por ejemplo. LinkedIn. Si no selecciona esta opción. mensajería instantánea. así como acceder a ellos. videoconferencia por Internet. Archivos de transacción Tiene la capacidad de transferir un archivo de un sistema a otro a través de una red. compartir y transferir los datos. Vulnerabilidades Ha informado públicamente de vulnerabilidades. erp-crm. versión 7. Ampliamente utilizado Probablemente cuente con más de 1.

necesario para agotar el tiempo de espera por inactividad (el intervalo es de 1-604800 segundos). consulte las siguientes filas de esta tabla. Cuando el temporizador caduca. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. Riesgo Riesgo asignado de la aplicación. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. cancela el ajuste global TCP semicerrado. que una sesión permanece en la tabla de la sesión entre la recepción del primer paquete FIN y la recepción del segundo paquete FIN o RST. Palo Alto Networks Guía de referencia de interfaz web. Si este valor se configura en el nivel de aplicación. en segundos. Tiempo máximo. versión 7. que es 3600 segundos para TCP. para finalizar un flujo de aplicación TCP (el intervalo es de 1-604800). En el caso de TCP y UDP. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. Tiempo de espera de TCP (segundos) Tiempo de espera de UDP (segundos): TCP semicerrado (segundos) Para personalizar este ajuste. punto a punto Una aplicación que se comunica directamente con otros clientes para transferir información en vez de basarse en un servidor central para facilitar la comunicación.Otros objetos de las políticas Tabla 156. la sesión se cierra (el intervalo es de 1-604800). Tiempo de espera. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. Para personalizar este ajuste. haga clic en el enlace Personalizar e introduzca un valor (1-5). Para personalizar este ajuste. y haga clic en ACEPTAR. Un valor de 0 indica que se utilizará el temporizador de sesión global. para finalizar un flujo de aplicación UDP (el intervalo es de 1-604800 segundos). Tiempo de espera. en segundos. Opciones Tiempo de espera de sesión Período de tiempo. Detalles de la aplicación (Continuación) Elemento Descripción protocolo de red Una aplicación que se utiliza generalmente para la comunicación entre sistemas y que facilita la operación de red. se utiliza el ajuste global. Eso incluye la mayoría de los protocolos de IP. en segundos. Este tiempo de espera es para protocolos diferentes a TCP o UDP.0 • 309 . en segundos. Para personalizar este ajuste.

Otros objetos de las políticas Tabla 156. versión 7. puede decidir Habilitar el App-ID. el tráfico se clasifica como desconocido: TCP desconocido o UDP desconocido. en segundos. Si el cortafuegos no puede identificar una aplicación utilizando el App-ID. Para obtener más información. consulte “Trabajo con informes de Botnet”. Puede crear nuevas definiciones para aplicaciones desconocidas y a continuación. Si este valor se configura en el nivel de aplicación. En un cortafuegos de vsys múltiples. el tráfico de esa aplicación se tratará como el App-ID Identificado anteriormente como tanto en la política de seguridad como en los logs. cancela el ajuste global Tiempo de espera TCP. definir políticas de seguridad para las nuevas definiciones de la aplicación.0 Palo Alto Networks . las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creación de políticas de seguridad. se utiliza el ajuste global. Este comportamiento se aplica a todas las aplicaciones desconocidas. Detalles de la aplicación (Continuación) Elemento Tiempo de espera TCP (segundos) Descripción Tiempo máximo. Cuando el temporizador caduca. En el caso de aplicaciones añadidas tras la versión de publicación de contenido 490. tendrá la capacidad de deshabilitarlos mientras revisa el impacto de la política de la nueva aplicación. excepto aquellas que emulan HTTP completamente. que una sesión permanece en la tabla de la sesión después de la recepción del segundo paquete FIN o un paquete RST. App-ID habilitado Indica si App-ID está habilitado o deshabilitado. la sesión se cierra (el intervalo es de 1-600). También tiene la capacidad de Deshabilitar una aplicación que haya habilitado anteriormente. Además. puede deshabilitar varios App-ID por separado en cada sistema virtual. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. Si un App-ID está deshabilitado. 310 • Guía de referencia de interfaz web. Tras revisar la política.

Utilice únicamente letras.Otros objetos de las políticas Definición de aplicaciones Objetos > Aplicaciones Utilice la página Aplicaciones para añadir una nueva aplicación a la evaluación del cortafuegos cuando aplique políticas. números. Si cancela la selección de la casilla de verificación. Aplicación primaria Especifique una aplicación principal para esta aplicación. Para ver una descripción de cada característica. como correo electrónico o base de datos. • Cada grupo de dispositivos en Panorama. versión 7. La casilla de verificación no está seleccionada de manera predeterminada. Categoría Seleccione la categoría de la aplicación. El primer carácter debe ser una letra. Compartido Seleccione esta casilla de verificación si quiere que la aplicación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Palo Alto Networks Guía de referencia de interfaz web. Riesgo Seleccione el nivel de riesgo asociado con esta aplicación (1= el más bajo a 5= el más alto). Configuración de nuevas aplicaciones Campo Descripción Pestaña Configuración Nombre Introduzca el nombre de la aplicación (de hasta 31 caracteres). sin embargo. Esta categoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). como correo electrónico o base de datos. Si cancela la selección de la casilla de verificación. espacios. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la aplicación en grupos de dispositivos descendientes cancelando sus valores heredados. Subcategoría Seleccione la subcategoría de la aplicación. puntos. consulte “Característica”. Esta subcategoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). Tabla 157. se registra la aplicación personalizada porque es más específica. Descripción Introduzca una descripción de la aplicación como referencia general (hasta 255 caracteres). la aplicación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.0 • 311 . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. la aplicación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. lo que significa que la cancelación está habilitada. Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. Características Seleccione las características de la aplicación que pueden poner en riesgo la aplicación. Tecnología Seleccione la tecnología de la aplicación. Este ajuste se aplica cuando en una sesión coinciden las aplicaciones principal y personalizadas. guiones y guiones bajos.

cancela el ajuste global TCP semicerrado. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Pestaña Avanzada Puerto Si el protocolo que utiliza la aplicación es TCP y/o UDP. o dinámica para una asignación dinámica de puertos. Este ajuste se aplica si utiliza app-default en la columna Service de una regla de seguridad. TCP semicerrado Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión entre la recepción del primer FIN y la recepción del segundo FIN o RST. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. la sesión se cierra.Otros objetos de las políticas Tabla 157. 312 • Guía de referencia de interfaz web. Ejemplos: TCP/dinámica o UDP/32. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Cuando el temporizador caduca. El rango es 1h604800 segundos. Tipo de ICMP6 Especifique un tipo de protocolo de mensajes de control de Internet versión 6 (ICMPv6). se utiliza el ajuste global. Cuando el temporizador caduca. la sesión se cierra. Protocolo IP Especifique un protocolo IP diferente a TCP o UDP. seleccionando Tipo de ICMP e introduciendo el número (intervalo 0-255). versión 7.0 Palo Alto Networks . se utiliza el ajuste global. seleccione Puerto e introduzca una o más combinaciones del protocolo y número de puerto (una entrada por línea). seleccionando Tipo de ICMP6 e introduciendo el número (intervalo 0-255). cancela el ajuste global Tiempo de espera TCP. Si este valor se configura en el nivel de aplicación. seleccionando Ninguno. Ninguno Especifique firmas independientes de protocolo. Tiempo de espera Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación (intervalo 0-604800 segundos). El formato general es: <protocolo>/<puerto> donde <puerto> es un número de puerto único. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. Tiempo de espera TCP Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión después de la recepción del segundo FIN o RST. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. seleccionando Protocolo IP e introduciendo el número del protocolo (1 a 255). Si este valor se configura en el nivel de aplicación. Este valor se utiliza para protocolos diferentes de TCP y UDP en todos los casos y para tiempos de espera TCP y UDP cuando no se especifican los tiempos de espera TCP y UDP. Tipo de ICMP Especifique un tipo de protocolo de mensajes de control de Internet versión 4 (ICMP). El rango es 1-600 segundos. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Tiempo de espera de TCP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación TCP (intervalo 0-604800 segundos). Tiempo de espera de UDP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación UDP (intervalo 0-604800 segundos).

0xffffff00. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. • Ámbito: Seleccione si desea aplicar esta firma a la transacción actual únicamente o a la sesión completa del usuario. • Importa el orden de las condiciones: Seleccione si el orden en que se definen las condiciones de la firma es importante. especifique las siguientes opciones: – Contexto: Seleccione uno de los contextos disponibles. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Analizando Seleccione las casillas de verificación de los tipos de análisis que desee permitir. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. 0xaabbccdd. por ejemplo. No puede mover condiciones de un grupo a otro. seleccione el grupo y haga clic en Añadir condición. Para exportar la aplicación. por ejemplo. haga clic en Importar.0 • 313 . – Patrón: Especifique una expresión regular. Consulte Tabla 163 para ver reglas de patrones de expresiones regulares. Para mover un grupo. Palo Alto Networks Guía de referencia de interfaz web. especifique las siguientes opciones: – Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o UDP. – Posición: Seleccione los primeros cuatro bytes o los segundos cuatro en la carga. – Máscara: Especifique un valor hexadecimal de 4 bytes. • Comentarios: Introduzca una descripción opcional. versión 7. seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. – Calificador y Valor: Puede añadir pares de calificador/valor. Si selecciona el operador Coincidencia de patrones. • Para mover una condición en un grupo. – Valor: Especifique un valor hexadecimal de 4 bytes. Pestaña Firma Firmas Haga clic en Añadir para agregar una firma nueva y especificar la siguiente información: • Nombre de firma: Introduzca un nombre para identificar la firma. Para importar una aplicación. patrones de datos y virus). • Seleccione un operador entre Coincidencia de patrones e Igual que. • Si selecciona el operador Igual que. Siga las instrucciones para guardar el archivo. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. en función de los perfiles de seguridad (tipos de archivos.Otros objetos de las políticas Tabla 157. seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para añadir una condición en un grupo. Especifique las condiciones para definir las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR.

En el área superior de la ventana. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de aplicaciones en grupos de dispositivos descendientes cancelando sus valores heredados. el grupo de aplicaciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.) Tabla 158. espacios. versión 7. consulte “Definición de aplicaciones”. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. lo que significa que la cancelación está habilitada. filtros de aplicaciones y/o grupos de aplicaciones diferentes que se incluirán en este grupo. haga clic en networking. Compartido Seleccione esta casilla de verificación si quiere que el grupo de aplicaciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. • Cada grupo de dispositivos en Panorama. guiones y guiones bajos. Filtros de aplicación Objetos > Filtros de aplicaciones Puede definir filtros de aplicaciones para simplificar las búsquedas repetidas. 314 • Guía de referencia de interfaz web.0 Palo Alto Networks . Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. haga clic en Añadir e introduzca el nombre del filtro. (Para definir una nueva aplicación. para restringir la lista a la categoría de redes. La casilla de verificación no está seleccionada de manera predeterminada. Aplicaciones Haga clic en Añadir y seleccione las aplicaciones.Otros objetos de las políticas Definición de grupos de aplicaciones Objetos > Grupos de aplicaciones Para simplificar la creación de políticas de seguridad. Si cancela la selección de la casilla de verificación. Por ejemplo. números. Si cancela la selección de la casilla de verificación. el grupo de aplicaciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Para definir filtros de aplicaciones para simplificar las búsquedas repetidas. Utilice únicamente letras. Nuevo grupo de aplicaciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de aplicaciones (de hasta 31 caracteres). haga clic en un elemento que desee utilizar como base para el filtrado.

quepermite todos los puertos TCP y UDP. El servicio predeterminado es Cualquiera.Otros objetos de las políticas Para filtrar por más columnas. Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la creación de políticas de seguridad (consulte “Grupos de servicios”). Tecnología y Riesgo y. Por ejemplo. Servicios Objetos > Servicios Cuando define políticas de seguridad de aplicaciones específicas. versión 7. puede seleccionar uno o más servicios para limitar el número de puertos que las aplicaciones pueden utilizar. pero puede agregar más definiciones de servicios. la lista de aplicaciones de la parte inferior se actualiza automáticamente. Subcategoría y Riesgo. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. los filtros Característica. la siguiente ilustración muestra el resultado de seleccionar un filtro Categoría. aunque no se haya aplicado explícitamente un filtro de tecnología. tal y como se muestra en la ilustración. A medida que selecciona las opciones.0 • 315 . Al aplicar los dos primeros filtros. a continuación los filtros Subcategoría. seleccione una entrada las columnas para mostrar las casillas de verificación. la columna Tecnología se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategoría seleccionadas. Los servicios HTTP y HTTPS son los predefinidos. Palo Alto Networks Guía de referencia de interfaz web. finalmente.

El puerto de origen es opcional. guiones y guiones bajos. números. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. Compartido Seleccione esta casilla de verificación si quiere que el objeto de servicio esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. puede combinar los servicios con los mismos ajustes de seguridad en grupos de servicios. Grupos de servicios Objetos > Grupos de servicios Para simplificar la creación de políticas de seguridad. espacios. consulte “Servicios”. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. La siguiente tabla describe la configuración del grupo de servicios: Tabla 160. deben estar separados por comas. Para definir nuevos servicios. el objeto de servicio únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Si cancela la selección de la casilla de verificación.Otros objetos de las políticas La siguiente tabla describe la configuración del servicio: Tabla 159. Utilice únicamente letras. • Cada grupo de dispositivos en Panorama.0 Palo Alto Networks . Puerto de destino Introduzca el número de puerto de destino (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. versión 7. el objeto de servicio únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Si cancela la selección de la casilla de verificación. Utilice únicamente letras. La casilla de verificación no está seleccionada de manera predeterminada. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del objeto de servicio en grupos de dispositivos descendientes cancelando sus valores heredados. Si especifica varios puertos o intervalos. lo que significa que la cancelación está habilitada. deben estar separados por comas. Descripción Introduzca una descripción del servicio (hasta 255 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Puerto de origen Introduzca el número de puerto de origen (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. El puerto de destino es obligatorio. Configuración de grupos de servicios Campo Descripción Nombre Introduzca el nombre del grupo de servicios (de hasta 63 caracteres). números. guiones y guiones bajos. 316 • Guía de referencia de interfaz web. Configuración de servicios Campo Descripción Nombre Introduzca el nombre del servicio (de hasta 63 caracteres). espacios. Protocolo Seleccione el protocolo que utiliza el servicio (TCP o UDP). Si especifica varios puertos o intervalos.

Si cancela la selección de la casilla de verificación. servicios. La casilla de verificación no está seleccionada de manera predeterminada.0 • 317 . grupos de servicios y reglas de políticas. Si cancela la selección de la casilla de verificación. zonas. el grupo de servicios únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Servicio Haga clic en Añadir para agregar servicios al grupo. Configuración de grupos de servicios (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el grupo de servicios esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Al aplicar un color a una etiqueta. Guía de referencia de interfaz web. Puede utilizar una etiqueta para ordenar o filtrar objetos y para distinguir objetos visualmente debido a que pueden tener color. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de servicios en grupos de dispositivos descendientes cancelando sus valores heredados. grupos de direcciones (estáticas y dinámicas). Realice su selección en la lista desplegable o haga clic en Servicio. • Cada grupo de dispositivos en Panorama. la pestaña Política muestra el objeto con un color de fondo. Consulte “Servicios” para obtener una descripción de la configuración.Otros objetos de las políticas Tabla 160. en el enlace en la parte inferior de la lista desplegable y especifique la configuración. Etiquetas Objetos > Etiquetas Las etiquetas le permiten agrupar objetos usando palabras clave o frases. ¿Qué desea saber? Consulte ¿Cómo puedo crear etiquetas? “Crear etiquetas” ¿Qué es el explorador de etiquetas? “Uso del explorador de etiquetas” ¿Cómo puedo buscar reglas que estén etiquetadas? “Gestión de etiquetas” ¿Cómo puedo agrupar reglas utilizando etiquetas? ¿Cómo puedo ver etiquetas utilizadas en una política? ¿Cómo puedo aplicar etiquetas a una política? ¿Desea obtener más información? Palo Alto Networks Consulte Policy (en inglés). el grupo de servicios únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Las etiquetas pueden aplicarse a objetos de dirección. lo que significa que la cancelación está habilitada. versión 7.

la etiqueta únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Comentarios Añada una etiqueta o descripción para recordar la función de la etiqueta. haga clic en el nombre de etiqueta que aparezca como enlace y modifique los ajustes. Si cancela la selección de la casilla de verificación.Otros objetos de las políticas Crear etiquetas Objetos > Etiquetas Utilice esta pestaña para crear una etiqueta. versión 7. cumplimente los siguientes campos: Tabla 161. Si cancela la selección de la casilla de verificación. La etiqueta se crea automáticamente en el grupo de dispositivos o sistema virtual seleccionado actualmente. cuando un objeto tiene varias etiquetas. • Cada grupo de dispositivos en Panorama. Esta pestaña no muestra las etiquetas que se recuperan dinámicamente de las fuentes de información de VM definidas en el cortafuegos para formar grupos de direcciones dinámicas. en Panorama. Configuración de etiqueta Campo Descripción Nombre Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres). Compartido Seleccione esta casilla de verificación si quiere que la etiqueta esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. a continuación. • Elimine una etiqueta: Para eliminar una etiqueta. la etiqueta únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. muestra el color de la primera etiqueta aplicada. lo que significa que la cancelación está habilitada. El nombre no distingue entre mayúsculas y minúsculas. haga clic en Eliminar y seleccione la etiqueta en la ventana. muestra las etiquetas que define en Panorama. • Edite una etiqueta: Para editar. o etiquetas que se definen utilizando la API XML. la pestaña Objetos > Etiquetas muestra las etiquetas que define localmente en el cortafuegos o envía desde Panorama al cortafuegos. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la etiqueta en grupos de dispositivos descendientes cancelando sus valores heredados. Cada objeto puede tener hasta 64 etiquetas. En el cortafuegos. asignar un color y eliminar. haga clic en Añadir y. También puede crear una nueva etiqueta cuando cree o edite una política en la pestaña Políticas.0 Palo Alto Networks . • Añada una etiqueta: Para añadir una nueva pestaña. El valor predeterminado es Ninguno. La casilla de verificación no está seleccionada de manera predeterminada. la etiqueta se crea automáticamente en el sistema virtual o grupo de dispositivos seleccionado actualmente en el cortafuegos o Panorama. 318 • Guía de referencia de interfaz web. renombrar y duplicar etiquetas. Cuando crea una nueva etiqueta. Color Seleccione un color de la paleta de colores de la lista desplegable. renombrar o asignar un color a una etiqueta.

examinar. las etiquetas utilizadas en reglas contiguas se muestran agrupadas. Filtrar por primera etiqueta de la regla Muestra solamente la primera etiqueta aplicada a cada regla en la base de reglas. Por ejemplo.) El explorador de etiquetas presenta un resumen de todas las etiquetas utilizadas en una base de reglas (conjunto de políticas). • Cancele o revierta una etiqueta (solamente en Panorama): La opción Cancelar está disponible si no seleccionó la opción Deshabilitar anulación al crear la etiqueta. Orden de regla Palo Alto Networks Clasifica las etiquetas por orden de aparición en la base de reglas seleccionada. la casilla de verificación está habilitada y el proceso de validación se detiene cuando se detecta el primer error y solamente muestra ese error. buscar y filtrar en busca de una etiqueta específica. Uso del explorador de etiquetas Políticas > Fundamento de la regla (seguridad. proxy). También puede seleccionar la opción Deshabilitar anulación para deshabilitar cancelaciones adicionales. La tabla siguiente describe las opciones del explorador de etiquetas: Tabla 162.Otros objetos de las políticas • Traslade o duplique una etiqueta: La opción de trasladar o clonar una etiqueta le permite copiar una etiqueta o trasladarla a un grupo de dispositivos o sistema virtual diferente en dispositivos habilitados para varios sistemas virtuales.. si la primera etiqueta de cada regla indica su función (administración. puede acotar el resultado y examinar las reglas basándose en su función. El campo Ubicación muestra el grupo de dispositivos actual. Para deshacer los cambios en una etiqueta. De manera predeterminada. Uso del explorador de etiquetas Campo Descripción Etiqueta (n. La ubicación puede haberse heredado de la ubicación Compartido. cuando se selecciona. Cuando revierte una etiqueta. haga clic en Revertir. o ver únicamente la primera etiqueta aplicada a cada regla en la base de reglas. QoS. versión 7. Haga clic en Duplicar o Mover y seleccione la etiqueta en la ventana. el campo Ubicación muestra el grupo de dispositivos o sistema virtual del que se heredó la etiqueta. Puede ordenar. NAT. Seleccione la ubicación de Destino (grupo de dispositivos o sistema virtual) de la etiqueta.. acceso al centro de datos. un grupo de dispositivos o un sistema virtual. Guía de referencia de interfaz web. Pase el ratón por encima de la etiqueta para ver la ubicación en la que se definió la regla. Le permite ver una lista de todas las etiquetas y el orden en el que se enumeran en la base de reglas.0 • 319 . Cancele la selección de la casilla de verificación Error en el primer error detectado en la validación si desea que el proceso de validación detecte todos los errores del objeto antes de mostrar los errores. Esta vista es de especial utilidad si desea acotar la lista y ver reglas relacionadas que podrían estar extendidas en la base de reglas.º) Muestra la etiqueta y el número de regla o intervalo de números en los que la etiqueta se utiliza de manera contigua. Cuando se muestran por orden de aparición. El número de regla al que se asocia la etiqueta se muestra junto con el nombre de la etiqueta. Regla Enumera el número de regla o intervalo de números asociados a las etiquetas. acceso web. Le permite cancelar el color asignado a la etiqueta heredado de un grupo de dispositivos compartido o antecesor.

el color (si hay un color asignado) y el número de veces que se utiliza en la base de reglas. La etiqueta Ninguno representa las reglas que no tienen ninguna etiqueta. Para conocer otras acciones. no muestra los números de reglas de aquellas reglas no etiquetadas. Barra de búsquedas Le permite buscar una etiqueta. Cuando suelte las etiquetas. consulte “Gestión de etiquetas”. 3. Gestión de etiquetas Etiquete una regla.Otros objetos de las políticas Tabla 162. Visualice las etiquetas seleccionadas actualmente. 2. Borrar Borra el filtro de las etiquetas seleccionadas actualmente en la barra de búsquedas. introducir el término y hacer clic en el icono de flecha verde para aplicar el filtro. aparecerá un cuadro de diálogo de confirmación. Cuando selecciona Ninguno. 1. en la lista desplegable. seleccione Aplicar etiqueta a las selecciones. 1. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. el panel derecho se filtra para mostrar las reglas que no tienen ninguna etiqueta asignada. La pantalla muestra el nombre de etiqueta. Seleccione una o más etiquetas en el explorador de etiquetas. El panel derecho se actualiza para mostrar las reglas que tengan cualquiera de las etiquetas seleccionadas.0 Palo Alto Networks . Para ver las etiquetas seleccionadas actualmente. Uso del explorador de etiquetas (Continuación) Campo Descripción Alfabético Clasifica las etiquetas por orden alfabético en la base de reglas seleccionada. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. Para ver las etiquetas seleccionadas actualmente. 320 • Guía de referencia de interfaz web. versión 7. Seleccione una regla en el panel derecho. 2. Las etiquetas se filtran utilizando un operador OR. Realice una de las siguientes acciones: – Seleccione una etiqueta en el explorador de etiquetas y. – Arrastre y suelte etiquetas desde el explorador de etiquetas a la columna de etiquetas de la regla. Gestión de etiquetas La siguiente tabla enumera las acciones que puede realizar mediante el explorador de etiquetas. También muestra el número total de etiquetas de la base de reglas y el número de etiquetas seleccionadas.

Seleccione una o más etiquetas.Otros objetos de las políticas Gestión de etiquetas Visualice reglas que coincidan con las etiquetas seleccionadas. seleccione una o más etiquetas en el explorador de etiquetas. versión 7. Los resultados se muestran con un operador AND. Elimine la etiqueta de una regla. Si no se ha seleccionado ninguna regla en el panel derecho. Puede filtrar reglas en función de etiquetas con un operador AND u OR. Palo Alto Networks En el explorador de etiquetas. Añada una nueva regla que aplique las etiquetas seleccionadas. Seleccione una etiqueta de la lista desplegable en la ventana para mover reglas y seleccione si desea aplicar la opción Mover antes de o Mover después de con respecto a la etiqueta seleccionada en la lista desplegable. Haga clic en en la barra de búsquedas del panel derecho. Reordene una regla utilizando etiquetas. Guía de referencia de interfaz web. • Filtro AND: Para ver reglas que tengan todas las etiquetas seleccionadas. Pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Quitar etiquetas a las reglas en la lista desplegable. Confirme que quiere eliminar la etiqueta seleccionada de la regla. la nueva regla se añadirá después de la regla seleccionada. pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Añadir nueva regla en la lista desplegable. • Filtro OR: Para ver reglas que tengan etiquetas específicas. Repita esta acción para añadir más etiquetas. El orden numérico de la nueva regla varía dependiendo de si seleccionó una regla en el panel derecho.0 • 321 . Aparecerán las etiquetas que coincidan con el texto que ha introducido. la nueva regla se añadirá después de la regla a la que pertenezcan las etiquetas seleccionadas. pase el ratón por encima del número de la columna Regla del explorador de etiquetas y seleccione Filtro en la lista desplegable. Seleccione una o más etiquetas y pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Mover reglas en la lista desplegable. Busque una etiqueta. introduzca las primeras letras del nombre de la etiqueta que quiera buscar y haga clic en . El panel derecho mostrará solamente las reglas que incluyan las etiquetas seleccionadas actualmente. De lo contrario.

Otros objetos de las políticas

Patrones de datos
El patrón de datos le permite especificar categorías de información confidencial que desea someter al
filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cómo
configurar patrones de datos, consulte “Definición de patrones de datos”.
Cuando añade un nuevo patrón (expresión regular), se aplican los siguientes requisitos generales:

• El patrón debe tener una cadena de al menos 7 bytes. Puede contener más de 7 bytes, pero no menos.
• La coincidencia de cadena puede o no distinguir entre mayúsculas y minúsculas, dependiendo del
descodificador que se esté utilizando. Cuando sea necesario distinguir entre mayúsculas y
minúsculas, deberá definir patrones de todas las cadenas posibles para hallar coincidencias de todas
las variaciones de un término. Por ejemplo, si desea encontrar coincidencias de documentos
denominados como confidenciales, deberá crear un patrón para “confidencial”, “Confidencial” y
“CONFIDENCIAL”.
La sintaxis de expresión regular en PAN-OS es similar a la de los motores de expresiones regulares
tradicionales, pero cada motor es único. La tabla siguiente describe la sintaxis compatible con PAN-OS.

Tabla 163. Reglas de patrones
Sintaxis

Descripción

.

Busca cualquier carácter único.

?

Busca el carácter o la expresión anterior 0 o 1 veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)?

*

Busca el carácter o la expresión anterior 0 o más veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)*

+

Busca el carácter o la expresión anterior una o más veces. La expresión general DEBE
estar entre paréntesis.
Ejemplo: (abc)+

|

Equivalente a “o”.
Ejemplo: ((bif)|(scr)|(exe)) busca “bif”, “scr” o “exe”. Tenga en cuenta que las
subcadenas deben estar entre paréntesis.

-

Se utiliza para crear expresiones de intervalo.
Ejemplo: [c-z] busca cualquier carácter entre c y z, ambos inclusive.

[]

Busca cualquier carácter.
Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.

^

Busca cualquier carácter excepto.
Ejemplo: [^abz] busca cualquier carácter excepto a, b, o z.

{}

Número mínimo/máximo de bytes.
Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite “-”.

\

Para realizar una búsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carácter de escape precediéndolo de “\” (barra diagonal inversa).

&amp

& es un carácter especial, por lo que para buscar “&” en una cadena debe utilizar “&amp”.

322 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Ejemplos de patrones de datos
A continuación se incluyen algunos ejemplos de patrones personalizados válidos:

• .*((Confidencial)|(CONFIDENCIAL))
– Busca la palabra “Confidencial” o “CONFIDENCIAL” en cualquier parte
– “.*” al principio especifica que se debe buscar en cualquier parte en la secuencia
– Dependiendo de los requisitos de distinción entre mayúsculas y minúsculas del descodificador,
puede que esto no coincida con “confidencial” (todo en minúsculas)

• .*((Privado &amp Confidencial)|(Privado y Confidencial))
– Busca “Privado & Confidencial” o “Privado y Confidencial”
– Es más preciso que buscar “Confidencial”

• .*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
– Busca “Comunicado de prensa” seguido de las diferentes formas de la palabra borrador, lo que
puede indicar que el comunicado de prensa no está preparado aún para ser emitido.

• .*(Trinidad)
– Busca un nombre de código de proyecto, como “Trinidad”

Listas de bloqueos dinámicos
Objetos > Listas de bloqueos dinámicos
Utilice la página Listas de bloqueos dinámicos para crear un objeto de dirección basado en una lista
importada de direcciones IP. Debe crear esta lista como archivo de texto y guardarla en un servidor web al
que el cortafuegos pueda acceder y que pueda importar; el cortafuegos utilizará el puerto de gestión para
recuperar esta lista.
Puede configurar el cortafuegos para que actualice automáticamente la lista del dispositivo cada hora, día,
semana o mes. Una vez haya creado un objeto de lista de bloqueo dinámico, puede utilizar el objeto de la
dirección en los campos de origen y destino en las políticas de seguridad.
Se admite un máximo de diez listas de bloqueos dinámicos en la mayoría de las plataformas; las
excepciones son los cortafuegos de las series PA-5000 y PA-7000, que admiten hasta 50 listas. Cada lista
puede contener hasta 5.000 direcciones IP (IPv4 y/o IPv6), que pueden incluir intervalos y/o subredes de
IP. La lista debe contener una dirección IP, intervalo o subred por línea. A continuación se incluyen varios
ejemplos:
Dirección IP única:
IPv4: 192.168.80.150/32
IPv6: 2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de
direcciones. El formato es:
dirección_ip–dirección_ip
donde cada dirección puede ser IPv4 o IPv6.
IPv4: “192.168.80.0/24” indica todas las direcciones de 192.168.80.0 a 192.168.80.255
IPv6: 2001:db8:123:1::1 - 2001:db8:123:1::22

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 323

Otros objetos de las políticas

La siguiente tabla describe la configuración de lista de bloqueadas dinámicas:

Tabla 164 Listas de bloqueos dinámicos
Campo

Descripción

Nombre

Introduzca un nombre para identificar la lista de bloqueos
dinámicos (de hasta 32 caracteres). Este nombre aparecerá
cuando seleccione el origen o el destino de una política.

Compartido

Seleccione esta casilla de verificación si quiere que la lista de
bloqueos dinámicos esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación, la lista
de bloqueos dinámicos únicamente estará disponible para el
Sistema virtual seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación, la lista de bloqueos dinámicos
únicamente estará disponible para el Grupo de dispositivos
seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la lista de bloqueos
dinámicos en grupos de dispositivos descendientes cancelando
sus valores heredados. La casilla de verificación no está
seleccionada de manera predeterminada, lo que significa que la
cancelación está habilitada.

Descripción

Introduzca una descripción de la lista de bloqueos dinámicos
(hasta 255 caracteres).

Origen

Introduzca una ruta URL HTTP o HTTPS que contenga el archivo
de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.

Repetir

Especifique la frecuencia en la que la lista se debe importar.
Puede elegir cada hora, día, semana o mes. En el intervalo
especificado, la lista se importará a la configuración. No es
necesario realizar una compilación completa para que este tipo
de actualización tenga lugar.

Probar URL de origen
(solamente cortafuegos)

Comprueba que la URL de origen o la ruta del servidor está
disponible. Este botón solamente está disponible en la interfaz
web del cortafuegos, no en Panorama.

324 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Firmas personalizadas de spyware y vulnerabilidades
Esta sección describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de vulnerabilidades.
Objetos > Objetos personalizados > Patrones de datos
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
Objetos > Objetos personalizados > Categoría de URL

Definición de patrones de datos
Objetos > Objetos personalizados > Patrones de datos
Utilice la página Patrones de datos para definir las categorías de información confidencial que desea
someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre
cómo definir perfiles de filtrado de datos, consulte “Perfiles de filtrado de datos”.
La siguiente tabla describe la configuración de patrones de datos:

Tabla 165. Configuración de patrones de datos
Campo

Descripción

Nombre

Introduzca el nombre de patrón de datos (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Descripción

Introduzca una descripción del patrón de datos (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que el patrón de datos esté
disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, el patrón de datos
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el patrón de datos únicamente estará disponible
para el Grupo de dispositivos seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Palo Alto Networks

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del patrón de datos en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Guía de referencia de interfaz web, versión 7.0 • 325

Otros objetos de las políticas

Tabla 165. Configuración de patrones de datos (Continuación)
Campo

Descripción

Peso

Introduzca el peso de los tipos de patrones especificados de forma
predeterminada. El peso es un número entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
función de este peso.
• CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo
0-255).
• SSN#: Especifique un peso para el campo del número de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso máximo).
• SSN# (sin guión): Especifique un peso para el campo del número de la
seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso máximo).

Patrones personalizados

Los patrones predefinidos incluyen el número de la tarjeta de crédito y el
de la seguridad social (con y sin guiones).
Haga clic en Añadir para agregar un patrón nuevo. Especifique un
nombre para el patrón, introduzca la expresión regular que define el
patrón e introduzca un valor de peso para asignarlo al patrón. Añada los
patrones que sean necesarios.

Definición de firmas de spyware y vulnerabilidad
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas del
cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada
a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones de spyware y vulnerabilidades
resultantes están disponibles para su uso en cualquier perfil de vulnerabilidad personalizado.
El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las
medidas especificadas para la explotación de la vulnerabilidad.
Las publicaciones semanales de contenido incluyen periódicamente nuevos
descodificadores y contextos para los que puede desarrollar firmas.
También puede incluir un atributo temporal cuando defina firmas personalizadas especificando un
umbral por intervalo para activar posibles acciones en respuesta a un ataque. Las acciones solo se activan
una vez alcanzado el umbral.
Utilice la página Firma de spyware personalizada para definir firmas de perfiles de antispyware. Utilice la
página Firma de vulnerabilidad personalizada para definir firmas de perfiles de protección de
vulnerabilidades.

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware
Campo

Descripción

Pestaña Configuración
ID de amenaza

Introduzca un identificador numérico para la configuración. En el caso
de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.

Nombre

Especifique el nombre de la amenaza.

326 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Compartido

Seleccione esta casilla de verificación si quiere que la firma
personalizada esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, la firma
personalizada únicamente estará disponible para el Sistema virtual
seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la firma personalizada únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la firma en grupos de
dispositivos descendientes cancelando sus valores heredados.
La casilla de verificación no está seleccionada de manera
predeterminada, lo que significa que la cancelación está habilitada.

Comentarios

Introduzca un comentario opcional.

Gravedad

Asigne un nivel que indique la gravedad de la amenaza.

Acción predeterminada

Asigne la acción predefinida que se activará si se cumplen las
condiciones de la amenaza. Para ver una lista de las acciones, consulte
“Acciones en perfiles de seguridad”.

Dirección

Indique si la amenaza se evaluará desde el cliente al servidor, desde el
servidor al cliente, o ambos.

Sistema afectado

Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos
o a ambos. Se aplica a las firmas de vulnerabilidades, pero no a las
firmas de spyware.

CVE

Especifique las vulnerabilidades y exposiciones comunes (CVE) como
una referencia externa de información y análisis adicional.

Proveedor

Especifique el identificador del proveedor de la vulnerabilidad como
una referencia externa de información y análisis adicional.

Bugtraq

Especifique la bugtraq (similar a CVE) como una referencia externa de
información y análisis adicional.

Referencia

Añada vínculos a la información o al análisis. La información se
muestra cuando un usuario hace clic en la amenaza desde ACC, logs o
el perfil de vulnerabilidad.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 327

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Pestaña Firmas
Firma estándar

Seleccione el botón de opción Estándar y haga clic en Añadir para
añadir una firma nueva. Especifique la siguiente información:
• Estándar: Introduzca un nombre para identificar la firma.
• Comentarios: Introduzca una descripción opcional.
• Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
• Ámbito: Seleccione si desea aplicar esta firma a la transacción actual
únicamente o a la sesión completa del usuario.
Añada una condición haciendo clic en Añadir condición OR o Añadir
condición AND. Para añadir una condición en un grupo, seleccione el
grupo y haga clic en Añadir condición. Añada una condición a una
firma para que la firma se genere para el tráfico cuando los parámetros
que defina para la condición sean verdaderos. Seleccione un Operador
de la lista desplegable. El operador define el tipo de condición que
debe ser verdadera para que la firma personalizada coincida con el
tráfico. Seleccione un operador de entre Inferior a, Igual que, Mayor
que y Coincidencia de patrones.
• Cuando seleccione un operador Coincidencia de patrones,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione uno de los contextos disponibles.
– Patrón: Especifique una expresión regular. Consulte Tabla 163
para ver reglas de patrones de expresiones regulares.
– Calificador y Valor: Puede añadir pares de calificador/valor.
– Negar: Seleccione la casilla de verificación Negar para que la firma
personalizada coincida con el tráfico únicamente cuando la
condición Coincidencia de patrones definida no sea verdadera.
Esto le permite garantizar que la firma personalizada no se active
en ciertas circunstancia.
Nota: Una firma personalizada no se puede crear únicamente con
condiciones Negar; se debe incluir al menos una condición positiva para
poder especificar una condición Negar. Asimismo, si el ámbito de la firma
se establece como Sesión, no se podrá configurar una condición Negar
como la última condición que debe coincidir con el tráfico.
Ahora podrá definir excepciones para firmas de vulnerabilidades o
spyware personalizadas utilizando la nueva opción para negar la
generación de firmas cuando el tráfico coincida tanto con una firma
como con la excepción de la firma. Utilice esta opción para permitir
determinado tráfico en su red que de otro modo se clasificaría como
spyware o una explotación de la vulnerabilidad. En este caso, la firma
se ha generado para el tráfico que coincide con el patrón; el tráfico que
coincide con el patrón pero que también coincide con la excepción del
patrón se excluye de la generación de firmas y cualquier acción de
política asociada (como su bloqueo o denegación). Por ejemplo, puede
definir una firma para que se genere para URL redirigidas; sin
embargo, ahora también puede crear una excepción cuando la firma no
se genere para URL que redirijan a un dominio de confianza.

328 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción
• Cuando seleccione un operador Igual que, Inferior a o Mayor que,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione entre solicitudes desconocidas y respuestas
de TCP o UDP.
– Posición: Seleccione los primeros cuatro bytes o los segundos
cuatro en la carga.
– Máscara: Especifique un valor hexadecimal de 4 bytes, por
ejemplo, 0xffffff00.
– Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.

Firma de combinación

Seleccione el botón de opción Combinación. En el área por encima de
las pestañas secundarias, especifique la siguiente información:
En la pestaña secundaria Firmas de combinación, especifique las
condiciones que definirán las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo,
seleccione el grupo y haga clic en Añadir condición.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.
En la pestaña secundaria Atributo de fecha y hora, especifique la
siguiente información:
• Número de resultados: Especifique el umbral que activará una
acción basada en una política como un número de resultados (1-1000)
en un número especificado de segundos (1-3600)
• Criterios de agregación: Especifique si los resultados los supervisará
la dirección IP de origen, la dirección IP de destino o una
combinación de las direcciones IP de origen y destino.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.

Categorías de URL personalizadas
Objetos > Objetos personalizados > Categoría de URL
La función de categorías URL personalizadas permite crear sus propias listas de URL que puede
seleccionar en cualquier perfil de filtrado de URL. Cada una de las categorías se puede controlar de forma
independiente y tendrá una acción asociada en cada perfil de filtrado URL (permitir, bloquear, continuar,
cancelar, alertar o ninguno). La acción ninguno solo se aplica a las categorías de URL personalizadas.
El objetivo de seleccionar la opción ninguno es garantizar que si existen varios perfiles de URL, la categoría
personalizada no influirá en otros perfiles. Por ejemplo, si tiene dos perfiles URL y la categoría URL
personalizada se establece para bloquear en uno de los perfiles, el otro perfil debería tener la acción
establecida en ninguno si no quiere que se aplique.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 329

Otros objetos de las políticas

Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree
un archivo de texto con las URL que se incluirán, con una URL por línea. Cada URL puede tener el
formato “www.ejemplo.com” y puede contener * como comodín, como en “*.ejemplo.com”. Para obtener
información adicional sobre comodines, consulte la descripción del campo Lista de bloqueadas en la tabla
“Configuración de perfil de filtrado de URL”.
Las entradas URL añadidas a las categorías personalizadas no distinguen entre
mayúsculas y minúsculas. De igual forma, para eliminar una categoría
personalizada después de que se haya añadido a un perfil de URL y de que se haya
establecido una acción, la acción debe estar establecida en Ninguno para poder
eliminar la categoría personalizada.
Para obtener instrucciones sobre cómo configurar perfiles de filtrado URL, consulte “Perfiles de filtrado
de URL”.
La siguiente tabla describe la configuración de URL personalizada:

Tabla 167. Categorías de URL personalizadas
Campo

Descripción

Nombre

Introduzca un nombre para identificar la categoría de URL personalizada
(de hasta 31 caracteres). Este nombre aparece en la lista de categorías
cuando se definen políticas de seguridad. El nombre hace distinción
entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente
letras, números, espacios, guiones y guiones bajos.

Descripción

Introduzca una descripción de la categoría URL (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que la categoría de URL
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, la categoría de URL
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la categoría de URL únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la categoría de URL en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Sitios

En el área Sitios, haga clic en Añadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.

330 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Grupos de perfiles de seguridad
Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que se pueden
tratar como una unidad y añadirse posteriormente a las políticas de seguridad. Por ejemplo, puede crear
un grupo de perfil de seguridad “amenazas” que incluya perfiles de antivirus, antispyware y protección
contra vulnerabilidades y, a continuación, crear una política de seguridad que incluya el perfil
“amenazas”.
Los perfiles de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y bloqueo de archivos
que se suelen asignar juntos pueden combinarse en grupos de perfiles para simplificar la creación de las
políticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte “Definición de políticas de seguridad”.
La siguiente tabla describe la configuración de perfil de seguridad:

Tabla 168. Configuración de grupos de perfiles de seguridad
Campo

Descripción

Nombre

Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles cuando se definen políticas de seguridad.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Compartido

Seleccione esta casilla de verificación si quiere que el grupo de perfiles
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, el grupo de perfiles
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el grupo de perfiles únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del grupo de perfiles en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Perfiles

Seleccione un perfil de antivirus, antispyware, protección de
vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluirá
en este grupo. Los perfiles de filtrado de datos también se pueden
especificar en grupos de perfiles de seguridad. Consulte “Perfiles de
filtrado de datos”.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 331

La siguiente tabla describe la configuración de reenvío de logs: Tabla 169.Otros objetos de las políticas Reenvío de logs Objetos > Reenvío de logs Cada política de seguridad puede especificar un perfil de reenvío de log que determine si las entradas de log de tráfico y amenazas se registran de forma remota con Panorama. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Solamente tiene que configurar el puerto de datos en uno de los NPC de la serie PA-7000 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede establecer contacto con sus servidores de logs. mientras que los logs de amenazas registran las amenazas o problemas con el tráfico de la red. Para aplicar los perfiles de log a políticas de seguridad. Configuración de perfiles de reenvío de logs Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. se debe configurar un tipo de interfaz especial (Tarjeta de log) antes de que el cortafuegos reenvíe los siguientes tipos de logs: Syslog. Utilice únicamente letras. Si cancela la selección de la casilla de verificación. consulte “Configuración de una interfaz de tarjeta de log”. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. correo electrónico y SNMP. Una vez configurado el puerto. solo se realizan logs locales.0 Palo Alto Networks . se usará este puerto automáticamente para el reenvío de logs y de WildFire y no hará falta ninguna configuración especial para ello. como la detección de virus o spyware. Si cancela la selección de la casilla de verificación. la red necesitará comunicarse con la nube WildFire o dispositivo WildFire. consulte “Definición de políticas de seguridad”. En un cortafuegos de la serie PA-7000. números. Los log de tráfico registran información sobre cada flujo de tráfico. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. • Cada grupo de dispositivos en Panorama. lo que significa que la cancelación está habilitada. versión 7. Tenga en cuenta que los perfiles de antivirus. antispyware y protección de vulnerabilidades asociados a cada regla determinan las amenazas que se registran (de forma local o remota). Si desea más información sobre cómo configurar esta interfaz. y/o se envían como traps SNMP. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. espacios. De forma predefinida. 332 • Guía de referencia de interfaz web. Para reenvío de WildFire. mensajes de Syslog o notificaciones por correo electrónico. Esto también se aplica al reenvío a WildFire.

Después de crear un perfil de descripción. seleccione los ajustes de SNMP. consulte: • “Configuración de destinos de traps SNMP”. consulte “Gestión de entidades de certificación de confianza predeterminadas”. incluyendo búsquedas de objeto de ataques informativos. o seleccione un perfil existente para duplicarlo mediante Duplicar o modificarlo. Palo Alto Networks Guía de referencia de interfaz web. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de amenazas. podrá añadir dicho perfil a una política de descifrado. Un perfil de descifrado predeterminado se configura en el cortafuegos y se incluye automáticamente en las nuevas políticas de descifrado (no puede modificar el perfil de descifrado predeterminado). • Informativo: El resto de eventos no incluidos en los niveles de seguridad anteriores. • Bajo: Ataques de advertencias detectados por el motor de seguridad de amenazas. Para obtener más información. Haga clic en Añadir para crear un nuevo perfil de descifrado. inspección entrante SSL y tráfico SSH. Trap SNMP Correo electrónico Syslog En cada nivel de gravedad. versión 7. Perfiles de descifrado Objetos > Perfil de descifrado Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvío. • Alto: Ataques graves detectados por el motor de seguridad de amenazas. Para definir la dirección del servidor de Panorama. También puede controlar las CA de confianza de su dispositivo. cualquier tráfico que coincida con la política de descifrado se aplicará de acuerdo con los ajustes de perfil. Trap SNMP Correo electrónico Syslog Seleccione los ajustes de SNMP. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas de tráfico.Otros objetos de las políticas Tabla 169. Los niveles de gravedad son los siguientes: • Crítico: Ataques muy graves detectados por el motor de seguridad de amenazas. Configuración de perfiles de reenvío de logs (Continuación) Campo Descripción Configuración de tráfico Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log de tráfico al sistema de gestión centralizado de Panorama. Para definir nuevos destinos. • “Configuración de ajustes de notificaciones por correo electrónico” • “Configuración de servidores Syslog” Configuración del log de amenazas Panorama Haga clic en la casilla de verificación de cada nivel de seguridad de las entradas del log de amenazas que se enviarán a Panorama. incluyendo el bloqueo de URL. consulte “Definición de la configuración de gestión”. • Medio: Ataques leves detectados por el motor de seguridad de amenazas.0 • 333 .

espacios. Interfaz de reflejo de descifrado Seleccione una Interfaz que debe utilizarse para el reflejo del puerto de descifrado. Utilice únicamente letras. debe obtener una licencia de reflejo del puerto de descifrado. Tabla 170. La casilla de verificación no está seleccionada de manera predeterminada. números. versión 7. como un dispositivo de DLP u otro sistema de prevención de intrusiones (IPS). Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. tráfico SSH descifrado y tráfico que coincida con una política de no descifrado (excepciones de descifrado): • • • • “Configuración general de perfiles de descifrado” “Ajustes de descifrado SSL en un perfil de descifrado” “Ajustes de ausencia de descifrado en un perfil de descifrado” “Ajustes de proxy SSH en un perfil de descifrado” Antes de poder habilitar el reflejo del puerto de descifrado. Configuración general de perfiles de descifrado Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). guiones y guiones bajos.Otros objetos de las políticas Las siguientes secciones ofrecen descripciones de ajustes que suelen aplicarse al tráfico que coincide con una política de descifrado. lo que le permitirá reproducir eventos y analizar el tráfico que genere una amenaza o active una acción de descarte. • Cada grupo de dispositivos en Panorama. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. PA-5000 y PA-7000) Reenviado solo (únicamente cortafuegos de las series PA-3000. No hay descifrado y Proxy SSH Seleccione la casilla de verificación Reenviado solo si desea reflejar el tráfico descifrado solamente después de la aplicación de la política de seguridad. (únicamente cortafuegos de las series PA-3000. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. No hay descifrado y Proxy SSH. solamente se reflejará el tráfico reenviado a través del cortafuegos. Si cancela la selección de la casilla de verificación. instalar la licencia y reiniciar el cortafuegos. lo que significa que la cancelación está habilitada. Esta opción es de utilidad si está reenviando el tráfico descifrado a otros dispositivos de detección de amenazas. el cortafuegos reflejará todo el tráfico descifrado en la interfaz antes de la búsqueda de políticas de seguridad. Si cancela la selección de la casilla de verificación (el ajuste predeterminado). PA-5000 y PA-7000) Pestañas Descifrado SSL. Con esta opción. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos.0 Palo Alto Networks . Si cancela la selección de la casilla de verificación. Este nombre aparece en la lista de perfiles de descifrado cuando se definen políticas de descifrado. consulte: • “Configuración de la pestaña Descifrado SSL” • “Configuración de la pestaña No hay descifrado” • “Configuración de la pestaña Proxy SSH” 334 • Guía de referencia de interfaz web. Para obtener información detallada sobre ajustes de perfiles adicionales de Descifrado SSL. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. así como información detallada sobre ajustes que pueden aplicarse específicamente a tráfico SSL descifrado.

Bloquear sesiones con versión no compatible Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente.2. Puede configurar el valor de Tiempo de espera del estado del certificado al crear o modificar un perfil de certificado (Dispositivo > Gestión de certificados > Perfil del certificado). Tabla 171. Restringir extensiones de certificado Limita las extensiones de certificados utilizados en el certificado de servidor dinámico al uso de claves y claves extendidas. el uso de conjuntos de cifras o versiones de protocolos no compatibles o la disponibilidad de los recursos del sistema para procesar el descifrado. incluidos el estado del certificado del servidor externo. Bloquear sesiones con autenticación de cliente Finalice las sesiones con autenticación de cliente para el tráfico de proxy de reenvío SSL. PAN-OS admite SSLv3.1 y TLS1. Bloquear sesiones con estado de certificado desconocido Finalice la sesión SSL si un servidor devuelve un estado de revocación de certificado “Desconocido”. Bloquear sesiones al agotar el tiempo de espera de comprobación de estado de certificado Finalice la sesión SSL si el estado del certificado no se puede recuperar en la cantidad de tiempo que el cortafuegos tiene configurado antes de dejar de esperar una respuesta de un servicio de estado de certificado. generando un certificado de reenvío fiable (o no fiable. se presenta al cliente. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles para procesar el descifrado. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado especificado en el protocolo de enlace SSL si no es compatible con PAN-OS. a continuación. TLS1. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Comprobaciones de modo no admitidas Seleccione las opciones para controlar aplicaciones SSL no compatibles. versión 7.0. Validación de certificado de servidor Seleccione las opciones para controlar certificados de servidor para el tráfico SSL descifrado. Configuración de la pestaña Descifrado SSL Campo Pestaña secundaria Proxy SSL de reenvío Descripción Con el descifrado del proxy SSL de reenvío. Puede utilizar estos ajustes para limitar o bloquear sesiones SSL en función de los criterios. si el certificado del servidor original no está firmado por un CA de confianza) para el servidor externo que. Palo Alto Networks Guía de referencia de interfaz web. Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. TLS1. El estado de revocación de certificado indica si se ha revocado o no la fiabilidad del certificado. El cortafuegos se establece como agente externo de confianza en la sesión. Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable.0 • 335 .Otros objetos de las políticas Ajustes de descifrado SSL en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSL que se ha descifrado mediante descifrado del proxy SSL de reenvío o inspección entrante SSL. el cortafuegos funciona como proxy para una sesión entre un cliente interno y un servidor externo.

el cortafuegos reside entre un cliente y un servidor de destino. Establezca la versión de protocolo mínima que se puede utilizar para establecer la conexión SSL. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. Algoritmos de autenticación Aplique el uso de los algoritmos de autenticación seleccionados para la sesión SSL. TLS1. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado utilizado no es compatible con PAN-OS. En su lugar. Puede seleccionar la opción máxima para que no se especifique ninguna versión máxima. Configuración de la pestaña Descifrado SSL (Continuación) Campo Descripción Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para firmar certificados. PANOS admite SSLv3. Versiones de protocolo Aplique el uso de versiones de protocolo mínima y máxima para la sesión SSL. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles. Establezca la versión de protocolo máxima que se puede utilizar para establecer la conexión SSL. Nota: En el caso de modos no compatibles y de fallos. donde el certificado y la clave del servidor de destino se importan al cortafuegos. Bloquear sesiones con versiones no compatibles Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para descifrar la clave de sesión. Versión máx.Otros objetos de las políticas Tabla 171. aunque el cortafuegos no descifre e inspeccione el tráfico de la sesión.2. Versión mín. se admiten las versiones de protocolo que sean equivalentes o posteriores a la versión mínima seleccionada.1 y TLS1. utilice las casillas de verificación para bloquear esas sesiones. Utilice estas opciones para controlar los certificados de servidor de la sesión. versión 7. Pestaña secundaria Inspección de entrada SSL Con Inspección de entrada SSL. por lo que las futuras sesiones entre los mismos pares de hosts y servidor no se descifran. Pestaña secundaria Configuración de protocolo SSL Seleccione los ajustes siguientes para aplicar versiones de protocolo y conjuntos de cifras al tráfico de la sesión SSL. en lugar de funcionar como proxy (como con el descifrado del proxy SSL de reenvío). 336 • Guía de referencia de interfaz web. en este caso. Comprobaciones de modo no admitidas Seleccione opciones para controlar sesiones si se detectan modos no compatibles en el tráfico SSL. Algoritmos de cifrado Aplique el uso de los algoritmos de cifrado seleccionados para la sesión SSL. Esto permite que el cortafuegos acceda a la sesión SSL entre el servidor de destino y el cliente de manera transparente. TLS1. la información de la sesión se guarda en caché durante 12 horas.0. Ajustes de ausencia de descifrado en un perfil de descifrado Puede utilizar la pestaña No hay descifrado para habilitar ajustes que bloqueen el tráfico que coincida con una política de descifrado configurada con la acción No hay ningún descifrado (Políticas > Descifrado > Acción).0 Palo Alto Networks .

puede definir programaciones y aplicarlas a las políticas correctas. Configuración de la pestaña Proxy SSH Campo Descripción Comprobaciones de modo no admitidas Utilice estas opciones para controlar sesiones si se detectan modos no compatibles en el tráfico SSH. Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable. Tabla 173. La versión SSH compatible es la versión 2. cada una de las políticas de seguridad se aplica a todas las fechas y horas.Otros objetos de las políticas Tabla 172. Para cada programación puede especificar una fecha y un intervalo horario fijo. Para aplicar las programaciones a las políticas de seguridad. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. Bloquear sesiones con errores SSH Finalice las sesiones si se producen errores SSH. Las sesiones actuales no se ven afectadas por la política programada. Bloquear sesiones con versiones no compatibles Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible con PAN-OS. la detección de errores SSH o la disponibilidad de recursos para procesar el descifrado del proxy SSH. Cuando se activa una política de seguridad en una programación definida. Palo Alto Networks Guía de referencia de interfaz web. Configuración de la pestaña No hay descifrado Campo Descripción Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. incluidos el uso de algoritmos no compatibles. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones con algoritmos no compatibles Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no es compatible con PAN-OS. Estos ajustes le permiten limitar o bloquear el tráfico SSH de túnel en función de criterios. consulte “Definición de políticas de seguridad”. o bien una programación diaria o semanal recurrente. solo se verán afectadas por la política de seguridad las sesiones nuevas. Para limitar una política de seguridad a una hora concreta.0 • 337 . versión 7. Ajustes de proxy SSH en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSH entrante y saliente descifrado. Comprobaciones de fallos Seleccione las medidas que se adoptarán si se producen errores de aplicación SSH y si no hay recursos del sistema disponibles. Programaciones Objetos > Programaciones De forma predeterminada.

Sin repetición Haga clic en Añadir y especifique una fecha y hora de inicio y de finalización. Utilice únicamente letras. Si cancela la selección de la casilla de verificación. guiones y guiones bajos. Este nombre aparece en la lista de programaciones cuando se definen políticas de seguridad. Ajustes de programación Campo Descripción Nombre Introduzca un nombre de la programación (de hasta 31 caracteres). versión 7. espacios. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la programación en grupos de dispositivos descendientes cancelando sus valores heredados. la programación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos.0 Palo Alto Networks . • Cada grupo de dispositivos en Panorama. números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Diario Haga clic en Añadir y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). Periodicidad Seleccione la periodicidad (Diaria. 338 • Guía de referencia de interfaz web. Compartido Seleccione esta casilla de verificación si quiere que la programación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. lo que significa que la cancelación está habilitada. seleccione un día de la semana y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). Semanal o Sin repetición). Si cancela la selección de la casilla de verificación. Semanal Haga clic en Añadir. La casilla de verificación no está seleccionada de manera predeterminada. la programación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.Otros objetos de las políticas La siguiente tabla describe la configuración de la programación: Tabla 174.

versión 7.0 • 339 .Capítulo 6 Informes y logs En los siguientes temas se describe cómo usar el panel. el Centro de control de aplicaciones (ACC). los informes y los logs en el cortafuegos para supervisar la actividad de su red: • “Uso del panel” • “Centro de control de aplicaciones” • “Uso de Appscope” • “Visualización de logs” • “Uso del motor de correlación automatizada” • “Trabajo con informes de Botnet” • “Gestión de informes de resumen en PDF” • “Gestión de informes de actividad del usuario/grupo” • “Gestión de grupos de informes” • “Programación de informes para entrega de correos electrónicos” • “Visualización de informes” • “Generación de informes personalizados” • “Realización de capturas de paquetes” Palo Alto Networks Guía de referencia de interfaz web.

Solo aparecen las entradas de los logs de los últimos 60 minutos. Información general Muestra el nombre del dispositivo. Configuración y Amenaza. no está operativa (rojo) o en un estado desconocido (gris). el estado operativo de cada interfaz. excepto las que muestran las aplicaciones de mayor riesgo con la mayoría de las sesiones. desde verde (más bajo) a rojo (más alto). la utilización de recursos y hasta 10 entradas en los logs Sistema. El tamaño del bloque indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el riesgo de seguridad.0 Palo Alto Networks . Logs de amenazas Muestra el ID de amenaza. Aparecen las entradas de los logs de los últimos 60 minutos. la aplicación y la fecha y hora de las 10 últimas entradas en el log Amenazas. las amenazas. Todos los widgets disponibles aparecen de forma predeterminada. seleccione una categoría y luego el nombre del widget. el cliente (Web o CLI) y la fecha y hora de las 10 últimas entradas en el log Configuración. Tenga en cuenta que una entrada “Configuración instalada” indica que se han llevado a cabo cambios en la configuración correctamente. El ID de amenaza es una descripción malintencionada de una URL que incumple el perfil de filtro de URL. Haga clic en una aplicación para ver su perfil de aplicación. Solo aparecen las entradas de los últimos 60 minutos.Uso del panel La mayoría de los informes de esta sección admiten la selección opcional de un sistema virtual en la lista desplegable de la parte superior de la página. haga clic en en la barra de títulos. como la versión de software. el modelo. Uso del panel Panel Los widgets de la página Panel muestran información general del dispositivo. Para agregar un widget al panel. Logs de filtrado de URL Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL. Solo aparecen las entradas de los últimos 60 minutos. Logs de configuración Muestra el nombre de usuario del administrador. Para eliminar un widget. 5 min o Manual). Estado de interfaz Indica si cada interfaz está activa (verde). Gráficos del panel Gráfico Descripción Aplicaciones principales Muestra las aplicaciones con la mayoría de sesiones. 2 min. 340 • Guía de referencia de interfaz web. versión 7. pero cada usuario puede eliminar y agregar widgets individuales según sea necesario. haga clic en el menú desplegable Widget. la aplicación. la versión del software de PAN-OS. Tabla 175. Aplicaciones principales de alto riesgo Similar a Aplicaciones principales. Registros del sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema. Haga clic en el icono para actualizar el panel o un widget individual. Logs de filtrado de datos Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos. Para cambiar el intervalo de actualización automática. seleccione un intervalo de la lista desplegable (1 min. la fecha y hora actuales y el período de tiempo transcurrido desde el último reinicio. las versiones de definición del filtro de URL.

Palo Alto Networks Guía de referencia de interfaz web. Para obtener más información sobre la HA. Los valores mayores indican un mayor riesgo. Factor de riesgo de ACC Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada. versión 7. Gráficos del panel (Continuación) Gráfico Descripción Recursos del sistema Muestra el uso de CPU de gestión. el uso de plano de datos y el Número de sesiones que muestra el número de sesiones establecidas a través del cortafuegos. indica el estado de la Alta disponibilidad (HA) del dispositivo local y del peer: Verde (activa).Uso del panel Tabla 175. amarillo (pasiva) o negro (otro). Alta disponibilidad Si la alta disponibilidad (HA) está activada. el tipo de sesión (Web o CLI) y la hora de inicio de sesión para cada administrador actualmente registrado. consulte “Habilitación de HA en el cortafuegos”.0 • 341 . Bloqueos Muestra bloqueos de configuración realizados por los administradores. Administradores registrados Muestra la dirección IP de origen.

El ACC usa los logs del cortafuegos para representar gráficamente las tendencias de su red. La representación gráfica le permite interactuar con los datos y visualizar las relaciones entre eventos en la red. actividades sospechosas y anomalías.Centro de control de aplicaciones Centro de control de aplicaciones ACC El Centro de control de aplicaciones (ACC) es una herramienta analítica que proporciona inteligencia intuitiva sobre la actividad dentro de su red. incluidos los patrones de uso de la red.0 Palo Alto Networks . patrones de tráfico. ¿Qué desea saber? Consulte ¿Cómo se usa el ACC? “Información básica sobre el ACC” “Vistas” “Widgets” ¿Cómo se interactúa con el ACC? “Acciones” “Uso de filtros” ¿Desea obtener más información? ¿No encuentra lo que busca? Consulte Uso del Centro de control de aplicaciones 342 • Guía de referencia de interfaz web. versión 7.

Los widgets le permiten consultar los datos usando los siguientes filtros: bytes (entrada y salida). El periodo usado de manera predeterminada para representar datos es la última hora. consulte “Widgets”. 2 Widgets Cada pestaña incluye un conjunto predeterminado de widgets que representan concretamente los eventos y tendencias asociados a la pestaña.0 • 343 .Centro de control de aplicaciones Información básica sobre el ACC 1 Pestañas El ACC incluye tres pestañas o vistas predefinidas que ofrecen visibilidad del tráfico de la red. 3 Hora Los gráficos en cada widget ofrecen una vista en tiempo real y de historial. Los gráficos se aplican a los filtros seleccionados antes de representar los datos. El medidor de riesgos usa diversos factores como el tipo de aplicaciones vistas en la red y los niveles de riesgo asociados a las aplicaciones. Puede elegir un intervalo personalizado o usar los periodos predefinidos que van desde 15 minutos hasta los últimos 30 días o los últimos 30 días naturales. versión 7. 5=más alto) indica el riesgo de seguridad relativo de su red. Si desea más información sobre cada widget. sesiones. categorías de URL. El intervalo de hora y fecha se muestran en la pantalla. consulte “Acciones”. amenazas (malintencionadas y buenas) y recuento. Para obtener información sobre cómo utilizar los filtros. Por ejemplo: 01/12 10:30:00-01/12 11:29:59 4 Filtros globales Los filtros globales le permiten establecer el filtro en todas las pestañas. consulte “Vistas”. 5 Medidor de riesgos El medidor de riesgos (1=más bajo. así como los hosts en riesgo o el tráfico hacia hosts o dominios malintencionados. la actividad de amenazas y la actividad bloqueada. la actividad de las amenazas y el software malintencionado según el número de amenazas bloqueadas. Si desea más información sobre cada vista. contenido (archivos y datos). Palo Alto Networks Guía de referencia de interfaz web.

Se centra en las principales amenazas: vulnerabilidades. Usa la información de la pestaña de eventos correlacionados (Motor de correlación automatizada > Eventos correlacionados) para presentar una vista agregada de hosts en riesgo en su red por usuarios o direcciones IP de origen. región o direcciones IP. 344 • Guía de referencia de interfaz web. Vistas • Actividad de red: Esta pestaña muestra una descripción general del tráfico y la actividad de los usuarios en su red. hosts que visitan dominios o URL malintencionados. Los widgets de esta pestaña le permiten ver la actividad denegada por nombre de aplicación. nombre de usuario. En el cortafuegos. así como las reglas de seguridad más usadas para comparar el tráfico.Centro de control de aplicaciones Información básica sobre el ACC 6 Origen El origen de los datos usado para la visualización varía entre el cortafuegos y Panorama. si está habilitado para varios sistemas virtuales. El widget Hosts en riesgo complementa la detección con mejores técnicas de visualización. contenido. • Actividad de amenazas: Esta pestaña muestra una descripción general de las amenazas en la red. • Actividad bloqueada: Esta pestaña se centra en eltráfico bloqueado para que no entre en la red. puede ver la actividad de la red según la zona de origen o destino. En Panorama. amenazas o URL a las que ha accedido el usuario.0 Palo Alto Networks . como los sistemas operativos de los dispositivos más usados en la red. puede cambiar la visualización para usar Panorama o Datos de dispositivo remoto. por interfaces de acceso o salida y por información del host. spyware. Se centra en las aplicaciones principales en uso. principales envíos de WildFire por tipo de archivo y aplicación y aplicaciones que usan puertos no estándar. puede usar el menú desplegable Sistema virtual para cambiar la visualización de ACC de modo que incluya todos los sistemas virtuales o solo un sistema virtual seleccionado. versión 7. Si el origen de los datos es Panorama. 7 Exportar Puede exportar los widgets que se muestran en la pestaña actual como un PDF. virus. Asimismo. organizadas por nivel de gravedad. contenido (archivos y datos) y las principales reglas de seguridad con una acción de denegación que bloquearon el tráfico. los usuarios que generan más tráfico y una descripción pormenorizada de los bytes. nombre de amenaza. puede filtrar la visualización para un grupo de dispositivos específico.

0 • 345 . Por ejemplo. Las opciones disponibles varían según el widget. gráfico de líneas.Centro de control de aplicaciones Widgets Los widgets de cada pestaña están inactivos. Para obtener una vista más detalladas. Las opciones disponibles varían según el widget. sesiones. amenazas. versión 7. URL. el widget para aplicaciones que usan puertos no estándar le permite elegir entre un mapa jerárquico y un gráfico de líneas. la experiencia de interacción también varía según el tipo de gráfico. Cada widget está estructurado para mostrar lo siguiente: 1 Ver Puede ordenar los datos por bytes. gráfico de área apilada. Palo Alto Networks Guía de referencia de interfaz web. gráfico de barras horizontales. archivos. recuento. contenido. 2 Gráfico Las opciones de visualización de los gráficos son mapa jerárquico. datos. malintencionados. haga clic en el gráfico. El área en la que haga clic se convierte en un filtro y le permite acercarse a la selección y ver información más granular para esa selección. buenos. objetos. perfiles. Puede establecer filtros y pormenorizar la vista para personalizarla y poder centrarse en la información que necesita. gráfico de barra apilada y mapas.

Con un filtro local. Saltar a logs: Le permite navegar directamente a los logs (pestaña Supervisar > Logs > Tipo de log ). En la vista maximizada. consulte la información sobre el uso del ACC. Con un filtro global. Consulte “Uso de los filtros: Filtros locales y filtros globales”. Los logs se filtran usando el periodo que se muestra en el gráfico. Si quiere ver una descripción de cada widget. Acciones Para personalizar y refinar la visualización de ACC. Configurar filtros locales: Le permite añadir filtros para refinar la visualización dentro del widget.0 Palo Alto Networks .Centro de control de aplicaciones 3 Tabla La vista detallada de los datos usados para representar el gráfico se ofrece en una tabla debajo del gráfico. Puede hacer clic y establecer un filtro local o un filtro global para elementos en la tabla. puede añadir y eliminar pestañas y widgets. la vista de todo el ACC pivota para mostrar solo información que pertenezca a su filtro. versión 7. Si ha establecido filtros locales y globales. • “Uso de las pestañas y widgets” • “Uso de los filtros: Filtros locales y filtros globales” 346 • Guía de referencia de interfaz web. Exportar: Le permite exportar el gráfico como PDF. 4 Acciones Maximizar vista: Le permite aumentar el widget y verlo en una pantalla más grande. los elementos que se muestran no se limitan a los diez principales como en la pantalla predeterminada del widget. la consulta de log concatena el periodo y los filtros y muestra solo logs que cumplan con el filtro establecido. el gráfico se actualiza y la tabla se ordena según ese filtro. establecer filtros locales y globales e interactuar con los widgets.

1. seleccione la pestaña y haga clic en el icono X. Nota: No puede ponerle nombre a los grupos de widgets. 2. Guía de referencia de interfaz web. aparecerá un marcador de posición para que suelte el widget. Puede seleccionar hasta 12 widgets. • Modificar una pestaña 1. modifique la pestaña y haga clic en Restablecer vista. Introduzca un Nombre de vista. como la vista Actividad bloqueada. Seleccione el icono pestañas. Puede arrastrar y soltar los widgets en la vista de dos columnas. Para eliminar una pestaña personalizada. 2. (Opcional) Para crear un diseño de dos columnas. Este nombre se utilizará como el nombre de la pestaña. Cuando arrastre el widget sobre el diseño. Nota: No puede eliminar una pestaña predefinida. 3. Seleccione la vista y haga clic en el icono de lápiz para editar la vista. Para eliminar un widget o grupo de widgets. Si quiere restablecer el diseño para que incluya el conjunto predeterminado de widgets de la pestaña. Puede añadir hasta 5 pestañas. Por ejemplo • Consultar qué widgets están 1. • Añadir un widget a un grupo de . puede eliminar uno o más widgets. Seleccione Añadir widget y marque la casilla de verificación del widget que quiere añadir. • Restablecer la vista predeterminada. incluidos en una vista. Seleccione el menú desplegable Añadir widgets y compruebe los widgets que tienen marcas las casillas de verificación. versión 7. Añadir una nueva pestaña o modificar una pestaña predefinida. Palo Alto Networks En una vista predefinida.0 • 347 . Seleccione la pestaña y haga clic en el icono de lápiz junto al nombre de la pestaña para modificarla.Centro de control de aplicaciones Uso de las pestañas y widgets Uso de las pestañas y widgets • Añadir una pestaña 1. • Eliminar una pestaña o un 1. widgets. seleccione Añadir grupo de widgets. 2. modifique la pestaña y haga clic en el icono [X] de la derecha. widget/grupo de widgets. Esta acción no se puede deshacer. de la lista de 2.

1. versión 7. Filtros globales: Los filtros globales se aplican en todo el ACC. Los filtros globales sí se borran al reiniciar. • Establecer un filtro global desde 1. 2. • Promocionar un filtro local para usarlo como un filtro global: Esta opción le permite promocionar un atributo que ha establecido como filtro local para que sea un filtro global. Filtros locales: Los filtros locales se aplican a un widget específico. Los filtros globales se pueden aplicar de tres formas: • Establecer un filtro global desde una tabla: Seleccionar un atributo desde una tabla en cualquier widget y aplicar el atributo como un filtro global. Puede aplicar un filtro local de dos modos: haciendo clic en un atributo del gráfico o tabla o usando el icono Establecer filtro dentro de un widget. una tabla. . Promocionar un filtro local a filtro global cambia la visualización en todas las vistas del ACC. 2. Pase el ratón sobre un atributo en la siguiente tabla bajo el gráfico y haga clic en el menú desplegable. Haga clic en Filtro para añadir el atributo como un filtro global. puede aplicar la dirección IP del usuario y la aplicación como un filtro global y ver solo información relativa a ese usuario y aplicación a través de todas las pestañas y widgets en el ACC. Haga clic en Aplicar. Estos filtros no se eliminan al reiniciar. Seleccione un widget y haga clic en el icono Nota: También puede hacer clic en un atributo en la siguiente tabla bajo el gráfico para aplicarlo como un filtro local. • Definir un filtro global: Defina un filtro usando el panel Filtros globales en el ACC. Por ejemplo.Centro de control de aplicaciones Uso de los filtros: Filtros locales y filtros globales Para depurar la información y controlar con precisión qué muestra el ACC. y añada los filtros Nota: El número de filtros locales aplicado en un widget se indica junto al nombre del widget. Un filtro local le permite interactuar con el gráfico y personalizar la vista para que puede explorar los datos y acceder a la información que quiere supervisar en un widget específico. Uso de filtros • Establecer un filtro local. Un filtro global le permite pivotar la vista alrededor de la información que necesita instantáneamente y excluir la información irrelevante para la vista actual. 348 • Guía de referencia de interfaz web. para ver todos los eventos relacionados con un usuario y aplicación específicos. Haga clic en el icono que quiere aplicar. El icono Establecer filtro le permite establecer un filtro local que no se elimina al reiniciar. 3.0 Palo Alto Networks . puede usar filtros.

versión 7. • Eliminar un filtro y añada los filtros que Haga clic en el icono para eliminar un filtro. haga clic en el enlace de un atributo. seleccione el filtro y haga clic en el icono de eliminación. Haga clic en el botón Borrar todo en el widget Configurar filtros locales. • Para filtros globales: Se encuentra en el panel Filtros globales. 1. • Para filtros locales: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales. Palo Alto Networks Guía de referencia de interfaz web. 2. En cualquier tabla de un widget. seleccione la flecha a la izquierda del filtro. • Borrar todos los filtros • Para filtros globales: Haga clic en el botón Borrar todo debajo de Filtros globales. Para promocionar el filtro como un filtro global.Centro de control de aplicaciones Uso de filtros • Establecer un filtro global usando el panel Filtros globales • Promocionar un filtro local como Haga clic en el icono quiere aplicar.0 • 349 . • Para filtros locales: Seleccione un widget y haga clic en el icono . filtro global. De este modo se establece el atributo como un filtro local.

versión 7. 350 • Guía de referencia de interfaz web. • Para filtros globales: Se encuentra en el panel Filtros globales. debajo de Filtros globales. Para ver los filtros. añada un filtro y haga clic en el icono de invalidación. haga clic en el icono Establecer filtros locales.0 Palo Alto Networks . • Para filtros locales: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales. • Ver filtros en uso. • Para filtros locales: El número de filtros locales aplicado en un widget se muestra junto al nombre del widget. • Para filtros globales: El número de filtros globales aplicado se muestra en el panel izquierdo.Centro de control de aplicaciones Uso de filtros • Invalidar filtros Seleccione un atributo y haga clic en el icono para invalidar un filtro.

Gráficos del Centro de control de aplicaciones Gráfico Descripción Resumen “Informe de resumen” Supervisor de cambios “Informe del supervisor de cambios” Supervisor de amenazas “Informe del supervisor de amenazas” Mapa de amenazas “Informe del mapa de amenazas” Supervisor de red “Informe Supervisor de red” Mapa de tráfico “Informe del mapa de tráfico” Palo Alto Networks Guía de referencia de interfaz web. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar. puede ver rápidamente si se produce algún comportamiento inusual o inesperado y que la detección de cualquier comportamiento problemático sea más sencilla. Tabla 176. la categoría de la aplicación. Para recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos gestionados tendrá que cambiar el origen de Panorama a Datos de dispositivo remoto. Al pasar el ratón por encima y hacer clic en las líneas o barras de los gráficos. versión 7. en una actualización el origen de datos predeterminado son los datos de dispositivo remoto.0 • 351 . cada informe proporciona una ventana dinámica y personalizable por el usuario en la red.Uso de Appscope Uso de Appscope Supervisar > Appscope Los informes de Appscope proporcionan visibilidad gráfica en los siguientes aspectos de la red: • Cambios en el uso de la aplicación y la actividad del usuario • Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red • Amenazas de red Con los informes de Appscope. se pasa al ACC y se proporciona información detallada sobre la aplicación específica. El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de datos local de Panorama que almacena los logs enviados por los dispositivos remotos. En Panorama puede seleccionar también el origen de datos de la información que se muestra. el usuario o el origen.

Informe de resumen de Appscope 352 • Guía de referencia de interfaz web. usuarios y orígenes. perdedores. versión 7. aplicaciones de consumo de ancho de banda. Ilustración 7. categorías de aplicación. haga clic en Cada gráfico se guarda como una página en el PDF creado.Uso de Appscope Informe de resumen El informe Resumen (Ilustración 7) muestra gráficos de los cinco principales ganadores. .0 Palo Alto Networks . Para exportar los gráficos en el informe de resumen como un PDF.

Ilustración 8 muestra las principales aplicaciones adquiridas en la última hora en comparación con el último período de 24 horas. Categoría de aplicación. Palo Alto Networks Guía de referencia de interfaz web. Ilustración 8. Las principales aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes. Muestra mediciones de elementos que se han suspendido durante el período de medición. Tabla 177. Muestra mediciones de elementos que se han agregado durante el período de medición. Determina el tipo de elemento indicado: Aplicación. Origen o Destino.0 • 353 . versión 7. Opciones del informe del supervisor de cambios Elemento Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra mediciones de elementos que han descendido durante el período de medición. Por ejemplo.Uso de Appscope Informe del supervisor de cambios El informe Supervisor de cambios (Ilustración 8) muestra cambios realizados en un período de tiempo específico. Informe del supervisor de cambios de Appscope Este informe contiene los siguientes botones y las siguientes opciones. Muestra mediciones de elementos que han ascendido durante el período de medición.

Opciones del informe del supervisor de cambios (Continuación) Elemento Descripción Aplica un filtro para mostrar únicamente el elemento seleccionado. Determina si mostrar información de sesión o byte. versión 7.png o PDF. Barra inferior Especifica el período durante el que se realizaron las mediciones de cambio. Exporta el gráfico como imagen . 354 • Guía de referencia de interfaz web. Ninguno muestra todas las entradas.0 Palo Alto Networks .Uso de Appscope Tabla 177. Determina si ordenar entradas por porcentajes o incremento bruto.

Uso de Appscope Informe del supervisor de amenazas El informe del supervisor de amenazas (Ilustración 9) muestra un recuento de las principales amenazas durante el período de tiempo seleccionado. Ilustración 9 muestra los 10 principales tipos de amenaza en las últimas 6 horas. Ilustración 9.0 • 355 . Informe del supervisor de amenazas de Appscope Palo Alto Networks Guía de referencia de interfaz web. Por ejemplo. versión 7.

Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Barra inferior Especifica el período durante el que se realizaron las mediciones. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Origen o Destino. Este informe contiene los siguientes botones y las siguientes opciones. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Tabla 178. incluyendo la gravedad. Categoría de amenaza. Ilustración 10. Determina el tipo de elemento medido: Amenaza. Exporta el gráfico como imagen . Informe del mapa de amenazas El informe del mapa de amenazas (Ilustración 10) muestra una vista geográfica de amenazas.png o PDF.0 Palo Alto Networks . Botones del Informe del supervisor de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. versión 7. Informe de mapa de amenazas de Appscope 356 • Guía de referencia de interfaz web.

Exporta el gráfico como imagen . Muestra las amenazas entrantes.Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Informe Supervisor de red El informe Supervisor de red (Ilustración 11) muestra el ancho de banda dedicado a diferentes funciones de red durante el periodo especificado. Haga clic en un país en el mapa para acercarlo. versión 7. Muestra las amenazas salientes. Cada función de red está indicada con colores como se indica en la leyenda debajo del gráfico. Haga clic en el botón Alejar en la esquina inferior derecha de la pantalla para alejar. Por ejemplo. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico.png o PDF. Acerque y aleje el mapa. Palo Alto Networks Guía de referencia de interfaz web. Este informe contiene los siguientes botones y las siguientes opciones. Barra inferior Indica el período durante el que se realizaron las mediciones. la Ilustración 11 muestra el ancho de banda de aplicación en los 7 últimos días basándose en la información de sesión.0 • 357 . Tabla 179.

0 Palo Alto Networks . Categoría de aplicación. Botones del Informe del supervisor de red Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Origen o Destino. Tabla 180. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. versión 7. 358 • Guía de referencia de interfaz web. Determina el tipo de elemento indicado: Aplicación. Ninguno muestra todas las entradas.png o PDF. Exporta el gráfico como imagen .Uso de Appscope Ilustración 11. Determina si mostrar información de sesión o byte. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. Aplica un filtro para mostrar únicamente el elemento seleccionado. Informe del supervisor de red de Appscope El informe contiene los siguientes botones y opciones.

Uso de Appscope Informe del mapa de tráfico El informe Mapa de tráfico (Ilustración 12) muestra una vista geográfica de los flujos de tráfico según las sesiones o los flujos. Este informe contiene los siguientes botones y las siguientes opciones. Ilustración 12. Informe del mapa de tráfico de Appscope Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. versión 7.0 • 359 . Palo Alto Networks Guía de referencia de interfaz web.

Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. versión 7. Acerque y aleje el mapa. filtrado de URL. configuraciones. haga clic en los tipos de logs en el lado izquierdo de la página en la pestaña Supervisar. amenazas. sistema. Para obtener información acerca de los permisos de administrador. Visualización de logs Supervisar > Logs El cortafuegos mantiene logs de coincidencias de WildFire. Cuando muestra logs. Muestra las amenazas entrantes. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. Para ubicar entradas específicas.Visualización de logs Tabla 181. Muestra las amenazas salientes.0 Palo Alto Networks . solo se incluye la información de cuyo permiso dispone. Determina si mostrar información de sesión o byte. flujos de tráfico. alarmas. filtrado de datos y perfil de información de host (HIP).png o PDF. puede aplicar filtros a la mayoría de los campos de log. 360 • Guía de referencia de interfaz web. Para ver los logs. Exporta el gráfico como imagen . El cortafuegos muestra la información en logs por lo que se respetan los permisos de administración basado en función. consulte “Definición de funciones de administrador”. Puede visualizar los logs actuales en cualquier momento.

” La columna Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL. como cuando una regla asigna todo el tráfico a un servicio específico. como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el valor Recuento será superior a uno). Descripciones del log Gráfico Descripción Tráfico Muestra una entrada para el inicio y el final de cada sesión. Palo Alto Networks Guía de referencia de interfaz web. el nombre de la aplicación. como se indica en la siguiente ilustración. la acción de la regla (permitir. Amenaza Muestra una entrada para cada alarma de seguridad generada por el cortafuegos.Visualización de logs Tabla 182. el nombre de la regla de seguridad aplicada al flujo. Tenga en cuenta que la columna Tipo indica el tipo de amenaza. los datos de logs se reenvían al dispositivo después del análisis junto con los resultados del análisis. Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión. versión 7. la interfaz de entrada y salida.0 • 361 . Consulte “Perfiles de filtrado de URL” para obtener más información sobre cómo definir perfiles de filtrado de URL. como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y destino (el valor Recuento será superior a uno). como “virus” o “spyware. denegar o borrar). Una “asignación” indica que la regla de seguridad que ha bloqueado el tráfico ha especificado una aplicación “cualquiera”. Para activar las capturas de paquetes locales. las zonas de origen y destino. la aplicación aparece como “no aplicable”. Puede activar la creación de logs de las opciones de encabezados HTTP para la URL. las zonas de origen y destino. Si las capturas de paquetes locales están activadas. Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza. las direcciones y puertos. Envíos a WildFire Muestra logs de archivos que se han cargado y actualizado por el servidor WildFire. filtrado de URL Muestra logs de filtros de URL que bloquean el acceso a sitios web y categorías de sitio web específicos o generan una alerta cuando se accede a un sitio web. el número de bytes y la razón para finalizar la sesión. Si se asigna el tráfico antes de identificar la aplicación. Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha denegado o asignado la sesión. mientras que “denegación” indica que la regla ha identificado una aplicación específica. Todas las entradas incluyen la fecha y la hora. haga clic en junto a una entrada para acceder a los paquetes capturados. direcciones. un nombre de amenaza o URL. consulte las subdivisiones en “Perfiles de seguridad”. Cada entrada incluye la fecha y hora. el nombre de aplicación y la acción de alarma (permitir o bloquear) y la gravedad. puertos.

Alarmas El log Alarmas registra información detallada sobre las alarmas que genera el sistema. Consulte “Definición de configuración de alarmas”. haga clic en el icono . si reenvía archivos PE a WildFire. el operador asociado y los valores de la coincidencia. el nombre de usuario del administrador.Visualización de logs Tabla 182. Por ejemplo. Coincidencias HIP Muestra información acerca de las políticas de seguridad aplicadas a clientes de GlobalProtect. – Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una opción de filtro de logs. la gravedad del evento y una descripción del evento. el log mostrará que el archivo fue reenviado y también el estado para saber si se cargó correctamente en WildFire. el tipo de comando ejecutado. – Para definir otro criterio de búsqueda. Por ejemplo. La información de este log también se indica en la ventana Alarmas. Cada entrada incluye la fecha y hora. el log le mostrará los archivos que estaban bloqueados. Si reenvía archivos a WildFire. Este log también muestra información de perfiles de bloqueo de archivos. consulte “Configuración del portal de GlobalProtect”. Descripciones del log (Continuación) Gráfico Descripción Filtrado de datos Muestra logs para las políticas de seguridad que ayudan a evitar que informaciones confidenciales como números de tarjetas de crédito o de la seguridad social abandonen el área protegida por el cortafuegos.0. Para obtener más información. Consulte “Perfiles de filtrado de datos” para obtener más información sobre cómo definir perfiles de filtrado de datos. si el comando se ha ejecutado correctamente o ha fallado. si hace clic en el enlace Host en la entrada de log de 10. Interacción con logs • Use los filtros: Los filtros le permiten analizar los archivos de logs en función de sus necesidades. Configuración Muestra una entrada para cada cambio de configuración.0.252 y Explorador web. Seleccione el tipo de búsqueda (y/o). versión 7. Por ejemplo. En este caso. puede ver logs de un atributo específico. la dirección IP desde la cual se ha realizado el cambio. Cada página de log cuenta con una área de filtro en la parte superior de la página. el atributo a incluir en la búsqueda. Cada entrada incluye la fecha y hora. podrá ver los resultados de dicha acción. Haga clic en Añadir para 362 • Guía de referencia de interfaz web. el tipo de cliente (Web o CLI). Sistema Muestra una entrada para cada evento del sistema. se agregarán ambos elementos y la búsqueda encontrará entradas que coinciden con ambos (búsqueda Y). Para configurar la protección de contraseña para el acceso a detalles de una entrada de log. Introduzca la contraseña y haga clic en ACEPTAR. Consulte “Definición de páginas de respuesta personalizadas” para obtener instrucciones acerca de cómo cambiar o eliminar la contraseña de protección de datos. Nota: El sistema le solicitará introducir la contraseña solo una vez por sesión. por ejemplo. como una dirección IP dentro de un periodo específico. haga clic en el icono Añadir filtro de log. si es necesario.0 Palo Alto Networks .exe. si está bloqueando archivos . la ruta de configuración y los valores anteriores y posteriores al cambio.

la exportación de la lista de logs al formato CSV genera un informe CSV con hasta 2. seleccione el número de filas en el menú desplegable Filas. Para cambiar el límite de línea de los informes CSV generados. • Cambiar el intervalo de actualización automático: Seleccione un intervalo en el menú desplegable (1 min. – Para eliminar filtros y volver a mostrar la lista sin filtrar. haga clic en el icono de catalejo Palo Alto Networks de una entrada. use el menú desplegable ASC o DESC. haga clic en el botón Guardar filtro. Utilice los controles de página en la parte inferior de la página para navegar por la lista de logs. 30 segundos. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. Haga clic en ACEPTAR. Para ordenar los resultados de modo ascendente o descendente. • Cambie las entradas que se muestran por página: Las entradas de logs se recuperan en bloques de 10 páginas. haga clic en el botón Borrar filtro. luego haga clic en Cerrar para cerrar la ventana emergente. – Para guardar sus selecciones como un nuevo filtro. Para cambiar el número de entradas de logs por página. • Exportar logs: Para exportar la lista actual de logs en formato CSV. incluyendo cualquier filtro aplicado). versión 7. – Para exportar la lista actual de logs (como se muestra en la página. Guía de referencia de interfaz web. utilice el campo Máx. Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos.Visualización de logs agregar el criterio al área de filtro en la página de log. de filas en exportación CSV (seleccione Dispositivo > Configuración > Gestión > Configuración de log e informes > Exportación e informes de logs o consulte “Definición de la configuración de gestión”). seleccione el icono Exportar a CSV . • Ver detalles de log adicionales: Para mostrar detalles adicionales. De manera predeterminada. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.0 • 363 . • Resolver direcciones IP a los nombres de dominio: Seleccione la casilla de verificación Resolver nombre de host para iniciar la resolución de direcciones IP externas en nombres de dominio. introduzca un nombre para el filtro y haga clic en ACEPTAR.000 líneas de logs. algunos enlaces de la página en el visor de logs podrían no mostrar resultados ya que el número de páginas puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada. haga clic en el botón Guardar filtro. Cada uno se agrega como una entrada en la línea Filtro de la página de log. Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha definido en la ventana emergente Expresión. 10 segundos o Manual).

Para obtener información acerca de las opciones de filtrado en esta página. se presentará el nombre en lugar de la dirección IP. mueva su cursor sobre el nombre.Visualización de logs Si el origen o el destino cuentan con una dirección IP para la asignación de nombres definida en la página Direcciones. versión 7. Para ver la dirección IP asociada. Visualización de la información del sistema Supervisar > Explorador de sesión Abra la página Explorador de sesión para explorar y filtrar sesiones actualmente en ejecución en el cortafuegos. 364 • Guía de referencia de interfaz web.0 Palo Alto Networks . consulte “Visualización de logs”.

solicita los datos de patrones específicos y analiza la información obtenida para que pueda disponer de información procesable. Un objeto de correlación es un archivo de definición que especifica patrones para la búsqueda de coincidencias. El motor de correlación usa objetos de correlación que generan eventos correlacionados. Un patrón es una estructura booleana de condiciones que consulta los orígenes de datos y a cada patrón se le asigna un nivel de gravedad y un umbral. El motor de correlación automatizada solo es compatible con las siguientes plataformas: • Panorama: M-Series y el dispositivo virtual • Cortafuegos de la serie PA-3000 • Cortafuegos de la serie PA-5000 • Cortafuegos de la serie PA-7000 ¿Qué desea saber? Consulte ¿Qué son los objetos de correlación? “Visualización de los objetos de correlación” ¿Qué es un evento correlacionado? “Visualización de los eventos correlacionados” ¿Dónde puedo ver una prueba de coincidencia para una coincidencia de correlación? ¿Cómo puedo ver una vista gráfica de coincidencias de correlación? ¿Desea obtener más información? ¿No encuentra lo que busca? Consulte el widget de hosts en riesgo en “Centro de control de aplicaciones”. El motor funciona como su analista de seguridad personal. los objetos de correlación amplían las funciones de detección de malware basadas en firmas en el cortafuegos. orígenes de datos que se usarán para las búsquedas y el periodo durante el que buscarán dichos patrones. versión 7. Ofrecen la inteligencia para identificar patrones de comportamiento sospechosos en diferentes conjuntos de logs y recopilan las pruebas necesarias para investigar y dar respuestas rápidas a los eventos. Palo Alto Networks Guía de referencia de interfaz web.0 • 365 .Uso del motor de correlación automatizada Uso del motor de correlación automatizada El motor de correlación automatizada realiza un seguimiento de los patrones de su red y correlaciona eventos que indican un aumento de los comportamientos o eventos sospechosos que se convierten en actividad malintencionada. que escudriña eventos aislados en los diferentes conjuntos de logs en el cortafuegos. Consulte Use el motor de correlación automatizada Visualización de los objetos de correlación Supervisar > Motor de correlación automatizada > Objetos de correlación Para contrarrestar los avances en los métodos de explotación y distribución de malware. además. Los eventos correlacionados cotejan las pruebas para ayudarle a llevar un seguimiento de eventos comunes entre eventos de red no relacionados a primera vista. le permite centrarse en la respuesta a incidentes.

patrones de malware. Este número pertenece a la serie 6000. El objeto de correlación permite pivotar en ciertas condiciones o comportamientos y seguir la pista de eventos comunes en múltiples orígenes de logs. seleccione la casilla de verificación junto al objeto y haga clic en Deshabilitar. resumen de amenazas. Estado Indica si el objeto de correlación está habilitado (activo) o deshabilitado (inactivo). se registra un evento de correlación. Hora de actualización La marca de tiempo a la que se actualizó la última coincidencia. Debe contar con una licencia de prevención de amenazas para obtener actualizaciones de contenido. Palo Alto Networks define los objetos de correlación. Describe el patrón de aumento o ruta de progresión que se usará para identificar la actividad malintencionada o el comportamiento sospechoso del host. Todos los objetos de correlación están habilitados de forma predeterminada. los eventos correlacionados recopilan pruebas o sospechas de comportamiento inusual en los hosts en la red.0 Palo Alto Networks . Un objeto de correlación incluye los siguientes campos: Campo Descripción Nombre y título La etiqueta indica el tipo de actividad que detecta el objeto de correlación. filtrado de URL y logs de amenazas. amenazas. Cuando se observa un conjunto de condiciones especificadas en un objeto de correlación en la red. filtrado de datos y filtrado de URL. Por ejemplo. Descripción Especifica las condiciones de coincidencia con las que el cortafuegos o Panorama analizará los logs. que se incluyen en las actualizaciones de contenido. Categoría Resumen del tipo de amenaza o riesgo para la red. El evento correlacionado incluye los siguientes detalles: Campo Descripción Hora de coincidencias La hora a la que el objeto de correlación activó una coincidencia. Para deshabilitar un objeto.Uso del motor de correlación automatizada que es el número de veces que se produce una coincidencia con el patrón dentro de un límite de tiempo definido. ID Un número exclusivo que identifica el objeto de correlación. usuario o host. tráfico. la definición de un objeto de correlación puede incluir un conjunto de patrones que consulta los logs en busca de pruebas de hosts infectados. Cuando se produce una coincidencia con un patrón. 366 • Guía de referencia de interfaz web. cada coincidencia se registra como un evento correlacionado. movimiento lateral del malware en el tráfico. Los orígenes de datos usados para realizar las búsquedas pueden incluir los siguientes logs: estadísticas de aplicación. Visualización de los eventos correlacionados Supervisar > Motor de correlación automatizada > Eventos correlacionados Los eventos correlacionados amplían las funciones de detección de amenazas en el cortafuegos y Panorama. versión 7. resumen de tráfico.

uso de aplicaciones desconocidas y la existencia de tráfico de Internet Relay Chat (IRC). Detalles de coincidencia: Un resumen de los detalles de coincidencia que incluye la hora de la coincidencia. Para configurar notificaciones al registrar un evento de correlación. Mediante el uso de logs de filtrado de datos. Trabajo con informes de Botnet La función Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar posibles hosts infectados por Botnet en la red. En el widget Hosts en riesgo. vaya a la pestaña Dispositivo > Configuración de log o Panorama > Configuración de log. Para mostrar detalles adicionales. el cortafuegos asigna a cada posible host infectado un margen de confianza del 1 al 5 para indicar la probabilidad de infección del botnet (1 indica la probabilidad de infección más baja y 5 la probabilidad más alta). Consulte una vista gráfica de la información en la pestaña Eventos correlacionados.Trabajo con informes de Botnet Campo Descripción Nombre de objeto El nombre del objeto de correlación que activó la coincidencia. URL. Enumera la información detallada en las pruebas recopiladas de cada sesión. Pestaña Descripción Información de coincidencias Detalles de objeto: Presenta la información del objeto de correlación que activó la coincidencia. Gravedad Una escala que clasifica el riesgo en función del alcance de los daños. el cortafuegos genera un informe cada 24 horas con una lista de hosts ordenada basándose en un nivel de confianza. consulte “Visualización de los objetos de correlación”. consulte el widget Hosts en riesgo en la pestaña ACC > Actividad de amenazas. Para obtener más información sobre los objetos de correlación. Como los mecanismos de detección basados en el comportamiento requieren realizar una correlación de tráfico entre varios logs durante un periodo de 24 horas. el cortafuegos evalúa las amenazas según criterios que incluyen visitas a sitios de malware y sitios de DNS dinámicos. Usuario de origen La información del usuario y grupo de usuario del servidor de directorios si se habilita el User-ID.0 • 367 . visitas a dominios registrados recientemente (en los 30 últimos días). Después de establecer una correlación e identificación de los hosts que coinciden con un comportamiento de botnet infectado. la última hora de actualización de la prueba de coincidencia. la gravedad del evento y un resumen de eventos. Resumen Una descripción que resume las pruebas recopiladas en el evento correlacionado. Dirección de origen La dirección IP del usuario desde el que se originó el tráfico. Palo Alto Networks Guía de referencia de interfaz web. amenazas y red. la vista se compone de usuarios y direcciones IP de origen ordenados por nivel de gravedad. Evidencia de coincidencias Esta pestaña incluye todas las pruebas que corroboran el evento correlacionado. versión 7. haga clic en la vista de log detallada Este log detallado incluye todas las pruebas de una coincidencia: de una entrada.

Ajustes de configuración de Botnet Campo Descripción Tráfico HTTP Seleccione la casilla de verificación Habilitar para los eventos que desea incluir en los informes: • Visita a URL de software malintencionado: Identifica a los usuarios que se están comunicando con URL con software malintencionado conocidas basándose en las categorías de filtrado de URL de software malintencionado y Botnet. • Navegación por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL. • Bytes mínimos: Tamaño mínimo de carga • Bytes máximos: Tamaño máximo de carga. Para configurar los ajustes. 368 • Guía de referencia de interfaz web. Tabla 183.0 Palo Alto Networks . IRC Seleccione la casilla de verificación para incluir servidores IRC como sospechosos. versión 7. • Destinos por hora: Número de destinos por hora asociados a la aplicación desconocida.Trabajo con informes de Botnet Configuración del informe de Botnet Supervisar > Botnet Utilice estos ajustes para especificar tipos de tráfico sospechoso (tráfico que puede indicar actividad de botnet). Aplicaciones desconocidas Seleccione las casillas de verificación para marcar TCP desconocidos o aplicaciones de UDP desconocidas como sospechosas y especifique las siguiente información: • Sesiones por hora: Número de sesiones de aplicación por hora asociadas a la aplicación desconocida. haga clic en el botón Configuración en el lado derecho de la página Botnet. • Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL desconocidas. • Uso de DNS dinámica: Busca tráfico de consultas DNS dinámicas que pueden indicar una comunicación de botnet. • Navegación en dominios registrados recientemente: Busca tráfico en dominios que se han registrado en los últimos 30 días.

También puede generar y mostrar informes a petición haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. # Filas Especifique el número de filas en el informe. Puede incluir o excluir direcciones IP de origen o destino. El informe generado aparece en la página Botnet. Programado Seleccione la casilla de verificación para ejecutar el informe diariamente. • Valor: Especifique el valor para coincidir. lo que significa que el informe contendrá toda la información que no sea resultado de la consulta definida. Tabla 184. Guía de referencia de interfaz web. Generador de consultas Cree la consulta de informe especificando lo siguiente y luego haga clic en Añadir para agregar la expresión configurada a la consulta. seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV. interfaces.0 • 369 . haga clic en el botón Ajuste de informe en el lado derecho de la página Botnet. • Atributo: Especifique la zona. Negar Palo Alto Networks Seleccione la casilla de verificación para aplicar la negación a la consulta especificada. Repita las veces que sean necesarias para crear la consulta completa: • Conector: Especifique un conector lógico (Y/O). versión 7. regiones o países. • Operador—: Especifique el operador para relacionar el atributo con un valor. Si no se selecciona la casilla de verificación. Para gestionar informes de botnet. Para exportar un informe. Los informes están basados en los ajustes de configuración de botnet (consulte“Configuración del informe de Botnet”). zonas.Trabajo con informes de Botnet Gestión de informes de Botnet Supervisar > Botnet > Configuración de informes Puede especificar consultas de informes y luego generar y ver informes de análisis de botnet. Configuración de informe de Botnet Campo Descripción Período de ejecución del informe Seleccione el intervalo de tiempo para el informe (últimas 24 horas o último día del calendario). Los informes programadas solo se ejecutan una vez al día. la dirección o el usuario de origen o destino. usuarios. puede ejecutar el informe manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.

basándose en datos de los 5 principales de cada categoría (en vez de los 50 principales). Ilustración 13. Informe de resumen en PDF 370 • Guía de referencia de interfaz web. También pueden contener gráficos de tendencias que no están disponibles en otros informes.Gestión de informes de resumen en PDF Gestión de informes de resumen en PDF Supervisar > Informes en PDF > Gestionar resumen de PDF Los informes de resumen en PDF contienen información recopilada de informes existentes. versión 7.0 Palo Alto Networks .

Se permite un máximo de 18 elementos de informe. Es posible que necesite elementos existentes para agregar otros adicionales.0 • 371 . Haga clic en Guardar. introduzca un nombre para el informe. • Seleccione elementos adicionales seleccionándolos de los cuadros de la lista desplegable junto a la parte superior de la página. La página Gestionar informes de resumen en PDF se abre para mostrar todos los elementos de informe disponibles. Para mostrar informes en PDF. versión 7. Palo Alto Networks Guía de referencia de interfaz web. haga clic en Añadir. Gestión de informes en PDF Use una o más de estas opciones para diseñar el informe: • Para eliminar un elemento del informe. Haga clic en el enlace de informe subrayado para abrir