Traducido del inglés al español - www.onlinedoctranslator.

com

CONFIGURAR UN VIAJE DE MIL MILLAS COMIENZA

CORTAFUEGOS INICIAL
AJUSTES CON... CONFIGURANDO SU RED DE
GESTIÓN
• Acceso inicial al sistema

• Configurar los ajustes de la red de administración

• Active un firewall y administre licencias y

software

EDU-210 Versión A
PAN-OS®10.1

© 2017-2021 Palo Alto Networks, Inc. Página 1

 Objetivos de aprendizaje

Después de completar este

módulo, debería poder:

• Identificar las interfaces de administración de firewall disponibles y los

métodos para acceder a ellas.

• Configurar los ajustes y servicios de red de la interfaz de administración de firewall

• Identificar el propósito y la ubicación de las licencias de firewall y cómo administrar las

licencias.

• Identificar cómo actualizar el PAN-OS®software

2|© 2017-2021 Palo Alto Networks, Inc.

Este módulo cubre los temas enumerados aquí. Lea la lista antes de continuar.

Después de completar este módulo, debería poder:

• Identificar las interfaces de administración de firewall disponibles y los métodos para acceder a ellas.

• Configurar los ajustes y servicios de red de la interfaz de administración de firewall

• Identificar el propósito y la ubicación de las licencias de firewall y cómo administrar las licencias.
• Identificar cómo actualizar el software PAN-OS®

© 2017-2021 Palo Alto Networks, Inc. Página 2

 Acceso inicial al sistema

Configurar los ajustes de la red de administración

Active un firewall y administre licencias y software

Esta sección presenta cómo conectarse a un firewall y acceder a una interfaz de administración para que pueda
comenzar a configurar un firewall para su entorno.

© 2017-2021 Palo Alto Networks, Inc. Página 3

 Acceso inicial al firewall
• La configuración inicial se debe realizar usando:
• Interfaz Ethernet (MGT) de gestión fuera de banda dedicada
• Conexión de consola serie

• Dirección IP predeterminada de MGT:

• La mayoría de los modelos de firewall: 192.168.1.1/24

• Cortafuegos de la serie VM: cliente DHCP

• Administrador predefinido:
• Nombre de usuario: administrador

• Contraseña: administrador

4|© 2017-2021 Palo Alto Networks, Inc.

Los firewalls de Palo Alto Networks están construidos con una interfaz de administración de red Ethernet fuera de banda dedicada
denominada MGT. Esta interfaz solo pasa tráfico de administración para el firewall y no se puede configurar como una interfaz de
tráfico estándar. Se utiliza para la conectividad directa al plano de gestión del firewall. Puede configurar el firewall para permitir el
tráfico de administración a través de las interfaces de tráfico normales dentro de banda.

Para la mayoría de los modelos de firewalls, el puerto MGT tiene una dirección IP predeterminada de fábrica de 192.168.1.1. Para los firewalls
VM-Series que comienzan con PAN-OS versión 8.0, el puerto MGT está configurado como cliente DHCP. También puede configurar el puerto
MGT de cualquier modelo de firewall para usar DHCP.

La configuración inicial del firewall se realiza conectándose al puerto MGT o al puerto serie de la consola del firewall.
El puerto serie de la consola es una conexión RJ-45 en todos los firewalls. Tiene valores de configuración
predeterminados de 9600-8-N-1.

El valor predeterminado de fábrica para cada firewall es tener una única cuenta administrativa denominada admin con una contraseña de
admin. A partir de PAN-OS 9.0.3, el firewall requiere que cambie la contraseña de la cuenta de administrador predefinida al iniciar sesión por
primera vez. La contraseña del administrador local se almacena en el archivo de configuración XML del firewall, pero se cifra mediante la clave
maestra del firewall.

© 2017-2021 Palo Alto Networks, Inc. Página 4

 Herramientas de acceso administrativo

Interfaz web Panorama

SSH/CLI de consola API REST/XML

5|© 2017-2021 Palo Alto Networks, Inc.

Hay cuatro formas de acceder a la administración del firewall. Los administradores suelen configurar y monitorear el firewall a través
de la interfaz basada en web, que proporciona herramientas administrativas y de informes detalladas en un formato intuitivo basado
en navegador.

El firewall de Palo Alto Networks se puede configurar y administrar de forma centralizada mediante el dispositivo de
administración Panorama, que es el sistema de administración de seguridad centralizado de Palo Alto Networks. Si tiene
varios firewalls implementados en su red, use Panorama para administrar configuraciones, políticas y actualizaciones de
software y contenido dinámico. Panorama también agregará datos de todos los firewalls administrados y le brindará
visibilidad de la información sobre todo el tráfico en su red.

La CLI de PAN-OS le permite acceder al firewall, mostrar información de estado y configuración y modificar la
configuración. El acceso a la CLI de PAN-OS se proporciona a través de SSH o Telnet, o directamente a través de la
consola serie.

Los sistemas y aplicaciones externos pueden ejecutar comandos de forma remota en un firewall de Palo Alto Networks
mediante la API XML basada en REST. Por ejemplo, puede utilizar la interfaz basada en REST para acceder al estado operativo,
informes y capturas de paquetes, o para configurar el firewall. La API XML de PAN-OS también se puede utilizar para capturar
eventos de inicio de sesión y enviarlos al firewall. La API XML se implementa mediante solicitudes y respuestas HTTP/HTTPS.
Palo Alto Networks también proporciona un navegador API en el firewall en https://<firewall>/api, donde <firewall> es el
nombre de host o la dirección IP del firewall. La documentación de referencia de la API XML de PAN-OS 10.1 está disponible en
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-panoramaapi.html. La información sobre la integración de API XML está
disponible en https://live.paloaltonetworks.com/.

© 2017-2021 Palo Alto Networks, Inc. Página 5

 Inicio de sesión inicial en la interfaz web

• Requerido para cambiar la contraseña de administrador

predefinida en el primer inicio de sesión

• Requisitos de complejidad de contraseña

de administrador predefinidos:

• Mínimo de:
• Ocho personajes
• Un carácter en mayúscula
• Un carácter en minúscula
• Un número o carácter especial

• Estos requisitos:
• No puede ser cambiado

• No se aplican a otras cuentas de

administrador.

6|© 2017-2021 Palo Alto Networks, Inc.

A partir de PAN-OS 9.0.3, el firewall requiere que cambie la contraseña de la cuenta de administrador predefinida al iniciar
sesión por primera vez. Los requisitos de complejidad de la contraseña son una longitud mínima de ocho caracteres y al
menos un carácter en mayúscula, un carácter en minúscula y un carácter numérico o especial. Estos requisitos se aplican solo
a la cuenta de administrador predefinida y no a ninguna cuenta de administrador de firewall adicional.

Navegue en la interfaz web paraDispositivo > Configuración > Administración > Complejidad mínima de contraseñapara definir la
complejidad global de la contraseña y los requisitos de antigüedad para cualquier otra cuenta de administrador de firewall que cree.
También puede crear requisitos de antigüedad de contraseña para cada cuenta de administrador navegando a Dispositivo > Perfiles
de contraseñay crear un perfil de contraseña. Cualquier perfil de antigüedad de contraseña que cree se puede asociar con cuentas
de administrador específicas y anulará cualquier configuración global de antigüedad de contraseña.

© 2017-2021 Palo Alto Networks, Inc. Página 6

 Restablecer la configuración de fábrica

• Desde la CLI con unconocidocontraseña de usuario administrador:

> solicitar restablecimiento de datos privados del sistema

• Borra todos los registros

• Restablece todas las configuraciones, incluidas las direcciones IP, lo que provoca la pérdida de
conectividad.

• Guarda una configuración predeterminada después de cambiar la dirección IP de MGT

• Durante el arranque con undesconocidocontraseña de usuario administrador:

• Desde el puerto de la consola, escribamantenimientodurante el arranque.

• ElegirRestablecer valores predeterminados de fábrica.

• Cargue un archivo de configuración anterior si la contraseña de administrador ha

cambiado o no es válida.

7|© 2017-2021 Palo Alto Networks, Inc.

Puede restablecer un firewall a su configuración predeterminada de fábrica. Si conoce la contraseña de la cuenta de administrador, puede
utilizar el comando operativo CLIsolicitar sistema de restablecimiento de datos privados.

Si no conoce la contraseña de la cuenta de administrador, primero debe iniciar el firewall en modo de mantenimiento. Mientras el firewall se
inicia, escriba el comando operativomantenimientoen la CLI a través del puerto serie de la consola. Después de que haya transcurrido un
tiempo, puede elegir la opción para restablecer el firewall a su configuración predeterminada de fábrica, que incluye la configuración de la
contraseña de administrador predeterminada, o cargar un archivo de configuración anterior si la contraseña de administrador se cambió
inadvertidamente o se ha instalado una configuración no válida. sido cargado.

© 2017-2021 Palo Alto Networks, Inc. Página 7

 Interfaz web

Pestañas de categorías funcionales

Confirmar configuración
cambios.

portal de ayuda

Cerrar sesión
Tareasbotón y
botón Idiomaconfiguración

8|© 2017-2021 Palo Alto Networks, Inc.

La interfaz web PAN-OS proporciona una interfaz de administración común en todos los modelos de firewall físico y
virtual de Palo Alto Networks. La interfaz web es compatible con Internet Explorer 7+, Firefox 3.6+, Safari 5+ y Chrome
11+.

Las herramientas de administración están agrupadas según categorías funcionales, que se enumeran como pestañas en la parte
superior de la interfaz para facilitar el cambio entre tareas administrativas.

ElAyudaEl botón abre una versión con formato HTML de una guía del administrador en una pestaña separada del navegador. Haga clic en este
manual con capacidad de búsqueda para obtener información sobre las opciones que se muestran en una ventana o panel.

ElTareasEl botón en la parte inferior derecha de la ventana proporciona una lista de tareas en ejecución y completadas para este
firewall. Este botón es especialmente útil para verificar que se hayan completado los cambios de configuración.

La interfaz web está predeterminada en inglés estadounidense, pero se puede configurar en chino tradicional, chino
simplificado, francés, japonés o español.

© 2017-2021 Palo Alto Networks, Inc. Página 8

 Guía de edición de la interfaz web
Contextual
ayuda

El subrayado rojo muestra las pestañas

Los puntos resaltados en rojo indican
donde se requiere información.
los campos obligatorios.

DE ACUERDOEl botón no está

disponible si falta la información
requerida o no es válida.

9|© 2017-2021 Palo Alto Networks, Inc.

La interfaz web proporciona orientación durante la configuración del firewall:

• Los subrayados o contornos rojos indican pestañas que contienen información que debe completarse.

• Los puntos resaltados en rojo indican los campos obligatorios.

• ElDE ACUERDOEl botón no está disponible si falta la información requerida o no es válida.

© 2017-2021 Palo Alto Networks, Inc. Página 9

 Acceso inicial al sistema

Configurar los ajustes de la red de administración

Active un firewall y administre licencias y software

Esta sección proporciona una descripción general de la configuración de la red de administración.

© 2017-2021 Palo Alto Networks, Inc. Página 10

 Configuración de la interfaz MGT: Interfaz web
Dispositivo > Configuración > Interfaces > Gestión
La interfaz MGT se puede configurar para usar una
dirección estática o ejecutarse como un cliente DHCP.

Configuración mínima
Restringir el acceso administrativo
requiere dirección IP,
a áreas específicas.
máscara de red y valor predeterminado
Direcciones IP.
puerta.

11|© 2017-2021 Palo Alto Networks, Inc.

Puede configurar la interfaz MGT a través de la interfaz web. Para conectar su sistema o computadora portátil al
puerto MGT para poder usar la interfaz web, complete los siguientes pasos:
1. Configure la interfaz Ethernet de su sistema o computadora portátil en la subred 192.168.1.0/24.
2. Conéctese al puerto MGT con un cable Ethernet.
3. Inicie una conexión de navegador web a https://192.168.1.1.
4. Inicie sesión con el nombre de usuario y la contraseña predeterminados del firewall.

5. SeleccioneDispositivo > Configuración > Interfaces.

6. Haga clic enGestión.

7. En la ventana que se abre, configure los ajustes de red para la interfaz MGT.
8. Vuelva a conectarse a la interfaz web, utilizando la nueva configuración de red.

HTTPS, SSH y ping están habilitados en el puerto MGT de forma predeterminada. Se requiere HTTPS para acceder y administrar
el firewall a través de la interfaz web, y se requiere SSH para administrar el firewall a través de la CLI. Palo Alto Networks
también recomienda que seleccioneSilbidopara permitirle verificar la conectividad a la interfaz MGT. Selección deSilbido
También permite que dos firewalls implementados en un par de alta disponibilidad envíen latidos periódicos para verificar la
conectividad. De forma predeterminada, HTTP, SNMP y Telnet están deshabilitados en la interfaz MGT. Puede configurar estos
ajustes según corresponda a su entorno.

Para mayor seguridad, en elDIRECCIONES IP PERMITIDASEn el panel ingrese solo aquellas direcciones IP desde
las cuales el firewall aceptará acceso administrativo a su puerto MGT.

© 2017-2021 Palo Alto Networks, Inc. Página 11

 Otros ajustes de configuración inicial
Dispositivo > Configuración > Gestión
• Configure el nombre de host y el nombre de dominio:

• Cada uno tiene por defecto el nombre del modelo de firewall.

• ElAceptar DHCP…Las opciones están

disponibles sólo si MGT está configurado
mediante DHCP.

• (Opcional) Configure un mensaje de

seguridad enBandera de inicio de sesión.

• LatitudyLongitudse utilizan para

colocar el firewall en mapas en elCAC y
Monitorpestañas.

12|© 2017-2021 Palo Alto Networks, Inc.

Puede configurar el firewall con un nombre de host para identificar fácilmente el dispositivo que está administrando. El nombre de host del
firewall debe ser único y puede tener una longitud máxima de 31 caracteres. El nombre de host distingue entre mayúsculas y minúsculas y
puede contener una combinación de caracteres alfanuméricos, guiones y guiones bajos. El nombre de host predeterminado de fábrica es el
nombre del modelo de firewall. El nombre de dominio también puede tener una longitud máxima de 31 caracteres y contener una combinación
de caracteres alfanuméricos, guiones y puntos. El dominio predeterminado de fábrica está vacío.

Si la interfaz MGT está configurada por DHCP, entonces elAceptar el nombre de host proporcionado por el servidor DHCPy el Aceptar el
dominio proporcionado por el servidor DHCPlas opciones están disponibles. Seleccione estas opciones para configurar el firewall para
permitir la configuración del nombre de host y de dominio mediante DHCP.

Un banner de inicio de sesión es un texto opcional que puede agregar a la página de inicio de sesión para que los administradores vean esta información
antes de iniciar sesión. Por ejemplo, puede agregar un mensaje para notificar a los usuarios sobre restricciones relacionadas con el acceso no autorizado
al firewall. El banner de inicio de sesión se muestra debajo de los campos Nombre y Contraseña en la página de inicio de sesión de la interfaz web.

El firewall puede proporcionar varios servicios que incluyen un servidor web para la interfaz web o un portal o puerta de
enlace GlobalProtect. La comunicación entre estos servicios de firewall y sus clientes puede protegerse mediante SSL/TLS.
Cuando se utiliza SSL/TLS, el firewall requiere un certificado digital en el que los clientes confíen. Los clientes y el firewall
también deben negociar las versiones del protocolo SSL/TLS que se utilizarán para la comunicación. Se configura un perfil de
servicio SSL/TLS para especificar el certificado del firewall y las versiones de protocolo aceptables que pueden utilizar los
clientes cuando se conectan a los servicios del firewall.

La información que usted proporciona en elLatitudyLongitudLos campos permiten la ubicación geográfica del firewall en el
CACmapas de la pestaña. Los mapas del ACC incluyenRegiones de origenyRegiones de destino mapas Además de los
mapas del ACC la información geográfica se puede ver enMonitorear > Puntuación de la aplicación > AmenazayTráfico
mapas

© 2017-2021 Palo Alto Networks, Inc. Pagina 12

 Configurar el acceso a los servicios DNS y NTP
Dispositivo > Configuración > Servicios

• Se requiere la configuración del servidor DNS para llegar a

los servidores de actualización.

• La configuración del cliente NTP es opcional pero

se recomienda.

13|© 2017-2021 Palo Alto Networks, Inc.

Si está configurando la interfaz MGT a través de la interfaz web, debe asignar servidores DNS para la interfaz MGT.
Puede configurar un servidor DNS primario y secundario que se utilizará para todas las consultas de DNS que inicie el
firewall para admitir objetos de dirección FQDN, registros y administración del firewall. También puede configurar
servidores NTP primarios y secundarios para el firewall. El firewall sincroniza el reloj del firewall con la hora del servidor
NTP. Si la interfaz MGT está configurada mediante DHCP, las direcciones de los servidores DNS y NTP pueden asignarse
mediante DHCP.

También puede configurar el nombre de dominio del servidor de actualización utilizado por el firewall para descargar software actualizado o
firmas de malware a la base de datos de amenazas. La entrada predeterminada es actualizaciones.paloaltonetworks.com. Se recomienda que no
cambie la configuración predeterminada a menos que el soporte técnico se lo indique. Si el Verificar la identidad del servidor de
actualizaciónCuando se selecciona la opción, el firewall verifica el certificado digital del servidor de actualización desde el cual se descarga la
actualización del software o de la base de datos de amenazas. Esta opción agrega un nivel de seguridad para la comunicación entre el firewall y
el servidor de actualizaciones.

© 2017-2021 Palo Alto Networks, Inc. Página 13

 Rutas de servicio

• De forma predeterminada, el puerto MGT se utiliza para acceder a servicios externos.

• Configure un puerto dentro de banda para acceder a servicios externos (opcional):

• Esta configuración se denomina "ruta de servicio".

por defecto
MGT
Servicios externos
• Actualizar servidores
• servidores DNS
opcional • servidores NTP
ethernet n/n • Etc.

Cortafuegos

14|© 2017-2021 Palo Alto Networks, Inc.

De forma predeterminada, el firewall utiliza la interfaz de administración (MGT) para acceder a servicios externos, como
servidores DNS, servidores de autenticación externos, servicios de Palo Alto Networks como software, actualizaciones de URL,
licencias y AutoFocus. Una alternativa al uso de la interfaz MGT es configurar un puerto de datos (una interfaz normal) para
acceder a estos servicios. La ruta desde la interfaz hasta el servicio en un servidor se conoce como ruta de servicio. Los
paquetes de servicio salen del firewall en el puerto asignado para el servicio externo y el servidor envía su respuesta a la
interfaz de origen configurada y a la dirección IP de origen.

© 2017-2021 Palo Alto Networks, Inc. Página 14

 Configurar rutas de servicio
Dispositivo > Configuración > Servicios > Configuración de ruta de servicio

15|© 2017-2021 Palo Alto Networks, Inc.

UsarDispositivo > Configuración > Servicios > Configuración de ruta de serviciopara configurar rutas de servicio. Seleccione la
casilla de verificación junto a cualquier servicio externo al que desee que acceda el firewall a través de un puerto dentro de banda y
luego haga clic enEstablecer rutas de servicio seleccionadas. En el cuadro de diálogo que se abre, seleccione elInterfaz de origeny
elDirección de la fuente. Si la interfaz seleccionada tiene varias direcciones IP asignadas a la interfaz, puede seleccionar qué dirección
de origen utilizará la ruta del servicio en el menú desplegable. Después de confirmar la configuración, el firewall utilizará el puerto
dentro de banda para acceder a esos servicios externos.

© 2017-2021 Palo Alto Networks, Inc. Página 15

 Acceso inicial al sistema

Configurar los ajustes de la red de administración

Active un firewall y administre licencias y software

Esta sección proporciona una descripción general de las licencias de suscripción y las actualizaciones de la base de datos de contenido y
software PAN-OS.

© 2017-2021 Palo Alto Networks, Inc. Página 16

 Activar un cortafuegos

Paso Cortafuegos de hardware Cortafuegos basado en VM

Regístrese con el soporte de Palo Alto Utilice el número de Utilice códigos de autenticación enviados por correo

Networks. serie de Panel. electrónico y número de compra/pedido.

Activar licencias enDispositivo > Recuperar claves de licencia del servidor de Activar función usando
Licencias. licencias. Código de Autorización.

Verifique la actualización y los servidores DNS. Use la actualización correcta y el servidor DNS enDispositivo > Configuración > Servicios.

Gestionar actualizaciones de contenido. Obtenga las últimas firmas de aplicaciones y amenazas y la base de datos de filtrado de URL.

Instalar actualizaciones de software. Verifique la versión del sistema operativo e instale la versión recomendada.

17|© 2017-2021 Palo Alto Networks, Inc.

Antes de poder comenzar a usar su firewall para proteger el tráfico en su red, debe registrar su firewall en Palo Alto Networks,
activar su licencia de soporte y luego activar las licencias para cada suscripción que haya comprado. Antes de poder recuperar
una licencia, el firewall debe estar configurado con una dirección IP, una máscara de red, una puerta de enlace
predeterminada y una dirección IP del servidor DNS.

Para registrar un firewall de hardware, haga clic enActivosen el portal de atención al cliente de Palo Alto Networks, ingrese su
número de serie y haga clic enRegistrar dispositivo. El portal de atención al cliente se encuentra en https://
support.paloaltonetworks.com.

Cuando compra un firewall VM-Series, recibe un conjunto de códigos de autorización por correo electrónico. El correo
electrónico normalmente incluye códigos de autorización para obtener la licencia del modelo VM-Series que se compró. Para
utilizar el código de autorización, primero registre el código en la cuenta de soporte en el portal de soporte al cliente. Si tiene
una cuenta de soporte existente, haga clic en elCódigo de autenticación de la serie VMenlace en el Portal de atención al
cliente para administrar las licencias de firewall de la serie VM y descargar el software. Si no tiene una cuenta de soporte
existente, utilice elcódigo de autenticación de capacidadpara registrarse y crear una cuenta en el Portal de Atención al
Cliente. Una vez verificada la nueva cuenta y completado el registro, puede iniciar sesión y descargar el paquete de software
necesario para instalar el firewall VM-Series.

Después de comprar sus suscripciones, debería haber recibido un correo electrónico del servicio de atención al cliente de Palo
Alto Networks que enumera el código de activación asociado con cada suscripción. Antes de poder activar estas licencias, debe
activar su licencia de soporte. Hacer clicDispositivo > Soportey luego haga clicActivar soporte usando código de
autorización.

Después de activar el soporte, haga clic enDispositivo > Licenciaspara activar sus otras suscripciones. Existen varios métodos para
activar sus suscripciones. Para obtener orientación, consulte P.Guía del administrador de AN-OSen https://docs.paloaltonetworks.com/
pan-os/10-1/pan-os-admin.html. Activación de un incendio forestal®la licencia requiere un compromiso.

© 2017-2021 Palo Alto Networks, Inc. Página 17

 Administrar licencias de firewall
Dispositivo > Licencias

Recuperar, activar,
cargar, desactivar o
licencias de actualización.

18|© 2017-2021 Palo Alto Networks, Inc.

Antes de que pueda comenzar a usar su firewall para proteger el tráfico en su red, debe activar las licencias para cada uno de
los servicios que compró. Las suscripciones desbloquean ciertas funciones del firewall o permiten que el firewall aproveche un
servicio entregado en la nube de Palo Alto Networks, o ambos. Para habilitar una suscripción, debe
Primero active cada licencia de suscripción. Cuando están activos, la mayoría de los servicios de suscripción pueden utilizar actualizaciones de
contenido dinámico para proporcionar funcionalidades nuevas y actualizadas al firewall.

Las licencias y suscripciones disponibles incluyen lo siguiente:

• Seguridad DNS: Proporciona capacidades mejoradas de hundimiento de DNS mediante la consulta de DNS Security, un servicio
extensible basado en la nube capaz de generar firmas de DNS mediante el uso de análisis predictivos avanzados y aprendizaje
automático.

• GlobalProtect: Proporciona soluciones de movilidad y/o capacidades VPN a gran escala. De forma predeterminada, puede implementar
portales y puertas de enlace de GlobalProtect (sin comprobaciones de HIP) sin una licencia. Si desea utilizar comprobaciones HIP, también
necesitará licencias de puerta de enlace (suscripción) para cada puerta de enlace.

• Incendio forestal: La compatibilidad básica con WildFire se incluye como parte de la licencia de Prevención de amenazas. El
servicio de suscripción de WildFire proporciona servicios mejorados para organizaciones que requieren cobertura inmediata contra
amenazas, actualizaciones frecuentes de firmas de WildFire, reenvío avanzado de tipos de archivos (APK, PDF, Microsoft Office y
Java Applet), así como la capacidad de cargar archivos utilizando WildFire. API. También se requiere una suscripción a WildFire si
sus firewalls reenviarán archivos a un dispositivo WF-500.

• Enfoque automático: proporciona un análisis gráfico de los registros de tráfico del firewall e identifica riesgos potenciales para su red
mediante el uso de inteligencia sobre amenazas del portal AutoFocus. Con una licencia activa, también puede abrir una búsqueda de
AutoFocus basada en los registros registrados en el firewall.

• Filtrado de URL: Le permite crear políticas de seguridad para imponer el acceso web según categorías de URL dinámicas.
Para configurar el filtrado de URL, debe comprar e instalar una suscripción para la base de datos de filtrado de URL
compatible, PAN-DB. Con PAN-DB, puede configurar el acceso a la nube pública de PAN-DB o a la nube privada de PAN-
DB.

• Prevención de amenazas: Proporciona protección antivirus, antispyware y contra vulnerabilidades.

© 2017-2021 Palo Alto Networks, Inc. Página 18

 • Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con múltiples sistemas virtuales
en los firewalls de las series PA-2000 y PA-3000. Además, debe comprar una licencia de sistemas virtuales si
desea aumentar la cantidad de sistemas virtuales más allá del número base proporcionado de forma
predeterminada en los firewalls de las series PA-4000, PA-5000 y PA-7000 (el número base varía según
plataforma). Los firewalls PA-800, PA-500, PA-200 y VM-Series no admiten sistemas virtuales.

• Lago de datos Cortex: Proporciona almacenamiento y agregación de registros centralizados y basados en la nube. En
versiones anteriores de PAN-OS, Cortex Data Lake se llamaba Servicio de registro.

• SD-WAN: Le permite utilizar múltiples servicios privados y de Internet para crear una WAN inteligente y
dinámica, lo que ayuda a reducir costos y maximizar la calidad y usabilidad de las aplicaciones. La
superposición SD-WAN admite la selección de rutas dinámica e inteligente basada en aplicaciones y servicios y
las condiciones de los enlaces que cada aplicación o servicio puede utilizar.

© 2017-2021 Palo Alto Networks, Inc. Página 18

 Actualizaciones de software PAN-OS

Dispositivo > Software 1.Revisalo ahora

listar nuevo
software.

2.Descargar
de la actualización
servidor o
Subirde
máquina local.

3.Instalar
software.

19|© 2017-2021 Palo Alto Networks, Inc.

El firewall requiere actualizaciones del software PAN-OS y de las bases de datos de amenazas para mantener los niveles de protección más
actualizados. La interfaz MGT se puede utilizar para adquirir estas actualizaciones, o se puede configurar una interfaz de tráfico dentro de
banda para adquirir estas actualizaciones. El firewall requiere la configuración del servidor DNS para conectarse a los servidores de
actualización.

Para actualizar a una nueva versión del software PAN-OS, haga clic enRevisalo ahorapara mostrar la lista de versiones
disponibles del software PAN-OS. Lea las notas de la versión de cada versión y luego seleccione una versión para descargar e
instalar. Se requiere una licencia de soporte para la descarga. Las actualizaciones de software requieren reiniciar el firewall.

Cuando actualiza, normalmente debe descargar elX.0 versión base antes de instalar la versión de mantenimiento
o función. Por ejemplo, para actualizar de 8.1.1 a 9.1.0, primero descargue e instale 8.1.10, luego descargue e
instale 9.0.0 y 9.1.0.

El software se puede descargar directamente desde el servidor de actualización de Palo Alto Networks. O el software se puede
descargar a otro sistema, como el escritorio de un usuario o un dispositivo de administración de Panorama, y luego cargarlo en el
firewall. Después de cargar manualmente una imagen de software en el firewall de Palo Alto Networks, la imagen aparece en la lista
de software disponible enDispositivo > Software.Hacer clicInstalartal como lo haría con el software que se descarga desde el
servidor de actualización.

Antes de actualizar el software del firewall, el firewall debe ejecutar la versión más reciente de las actualizaciones de
Aplicaciones y Amenazas. El proceso de instalación del software falla si no tiene una actualización actual y un mensaje indica
que se requiere una actualización del archivo de Aplicaciones y Amenazas.

Para obtener información sobre cómo actualizar PAN-OS, consulte la documentación en https://docs.paloaltonetworks.com/panos/
10-1/pan-os-upgrade.html.

© 2017-2021 Palo Alto Networks, Inc. Página 19

 Actualizaciones dinámicas

Dispositivo > Actualizaciones dinámicas

• Programe la verificación de contenido nuevo y la descarga o descarga e instalación automáticas.

• Las actualizaciones se pueden descargar, instalar o revertir manualmente a la actualización anterior.

20|© 2017-2021 Palo Alto Networks, Inc.

Palo Alto Networks actualiza periódicamente sus bases de datos de aplicaciones y amenazas. Las actualizaciones incluyen
nuevas definiciones de antivirus y spyware, nuevos dominios y URL maliciosos y nuevas firmas de aplicaciones. Esta nueva
información debe descargarse al firewall para mantener las protecciones más actualizadas. Antes de poder descargar
actualizaciones de aplicaciones y amenazas, debe tener una licencia de Prevención de amenazas. Para proteger completamente
su entorno, también debe comprar y activar las licencias Antivirus y WildFire por separado.

Puede descargar actualizaciones directamente desde el servidor de actualizaciones de Palo Alto Networks. También puede descargar las
actualizaciones a otro sistema, como el escritorio de un usuario o un dispositivo de administración de Panorama, y luego cargarlas en el
firewall. Ya sea que descargue una actualización a través de la web o cargue una actualización desde Panorama, la actualización aparecerá en
la lista de actualizaciones disponibles enDispositivo > Actualizaciones dinámicas. Hacer clicInstalarpara instalar la actualización.

Palo Alto Networks pone a disposición el contenido actualizado según el siguiente calendario:

▪ Antivirus: diario
▪ Aplicaciones y amenazas: actualizaciones semanales, nuevas aplicaciones agregadas mensualmente

▪ WildFire: aproximadamente cada cinco minutos

Usted configura la frecuencia con la que el firewall busca actualizaciones disponibles. El firewall puede buscar
actualizaciones de antivirus cada hora, actualizaciones de aplicaciones y amenazas cada 30 minutos, y las
actualizaciones de WildFire se pueden descargar en tiempo real, lo que le permite acceder a las firmas tan
pronto como se generan.

© 2017-2021 Palo Alto Networks, Inc. Página 20

 Resumen del módulo

Ahora que ha completado este módulo,

debería poder:

• Identificar las interfaces de administración de firewall disponibles y los

métodos para acceder a ellas.

• Configurar los ajustes y servicios de red de la interfaz de administración de firewall

• Identificar el propósito y la ubicación de las licencias de firewall y cómo administrar las

licencias.

• Identificar cómo actualizar el PAN-OS®software

21|© 2017-2021 Palo Alto Networks, Inc.

Ahora que ha completado el módulo, debería poder realizar las tareas enumeradas.

© 2017-2021 Palo Alto Networks, Inc. Página 21

 Preguntas

22|© 2017-2021 Palo Alto Networks, Inc.

Preguntas de revisión

1. ¿Cuáles son los dos atributos del puerto de administración de red fuera de banda dedicado en los firewalls de Palo Alto
Networks? (Escoge dos.)
a. etiquetado como MGT por defecto
b. no se puede configurar como un puerto de tráfico estándar
C. solo admite conexiones SSH
d. Requiere una configuración de red estática, sin DHCP.

2. ¿Verdadero o falso? Para registrar un firewall de hardware necesitará el número de serie del firewall.
a. verdadero

b. FALSO

3. En la interfaz web, ¿qué significa cuando un cuadro de texto está resaltado en rojo?
a. El valor en el cuadro de texto es opcional.
b. El valor en el cuadro de texto es obligatorio.
C. El valor en el cuadro de texto es un error.
d. El valor en el cuadro de texto está controlado por Panorama.

4. ¿Verdadero o falso? Las rutas de servicio se pueden utilizar para configurar un puerto dentro de banda para acceder a servicios externos.
a. verdadero

b. FALSO

© 2017-2021 Palo Alto Networks, Inc. Página 22

 Protegiendo nuestro
forma digital
de vida.

23|© 2017-2021 Palo Alto Networks, Inc.

© 2017-2021 Palo Alto Networks, Inc. Página 23