Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EDU 210 10.1a M02 Config Inital FW Settings - En.es
EDU 210 10.1a M02 Config Inital FW Settings - En.es
com
EDU-210 Versión A
PAN-OS®10.1
Este módulo cubre los temas enumerados aquí. Lea la lista antes de continuar.
Esta sección presenta cómo conectarse a un firewall y acceder a una interfaz de administración para que pueda
comenzar a configurar un firewall para su entorno.
• Administrador predefinido:
• Nombre de usuario: administrador
• Contraseña: administrador
Los firewalls de Palo Alto Networks están construidos con una interfaz de administración de red Ethernet fuera de banda dedicada
denominada MGT. Esta interfaz solo pasa tráfico de administración para el firewall y no se puede configurar como una interfaz de
tráfico estándar. Se utiliza para la conectividad directa al plano de gestión del firewall. Puede configurar el firewall para permitir el
tráfico de administración a través de las interfaces de tráfico normales dentro de banda.
Para la mayoría de los modelos de firewalls, el puerto MGT tiene una dirección IP predeterminada de fábrica de 192.168.1.1. Para los firewalls
VM-Series que comienzan con PAN-OS versión 8.0, el puerto MGT está configurado como cliente DHCP. También puede configurar el puerto
MGT de cualquier modelo de firewall para usar DHCP.
La configuración inicial del firewall se realiza conectándose al puerto MGT o al puerto serie de la consola del firewall.
El puerto serie de la consola es una conexión RJ-45 en todos los firewalls. Tiene valores de configuración
predeterminados de 9600-8-N-1.
El valor predeterminado de fábrica para cada firewall es tener una única cuenta administrativa denominada admin con una contraseña de
admin. A partir de PAN-OS 9.0.3, el firewall requiere que cambie la contraseña de la cuenta de administrador predefinida al iniciar sesión por
primera vez. La contraseña del administrador local se almacena en el archivo de configuración XML del firewall, pero se cifra mediante la clave
maestra del firewall.
Hay cuatro formas de acceder a la administración del firewall. Los administradores suelen configurar y monitorear el firewall a través
de la interfaz basada en web, que proporciona herramientas administrativas y de informes detalladas en un formato intuitivo basado
en navegador.
El firewall de Palo Alto Networks se puede configurar y administrar de forma centralizada mediante el dispositivo de
administración Panorama, que es el sistema de administración de seguridad centralizado de Palo Alto Networks. Si tiene
varios firewalls implementados en su red, use Panorama para administrar configuraciones, políticas y actualizaciones de
software y contenido dinámico. Panorama también agregará datos de todos los firewalls administrados y le brindará
visibilidad de la información sobre todo el tráfico en su red.
La CLI de PAN-OS le permite acceder al firewall, mostrar información de estado y configuración y modificar la
configuración. El acceso a la CLI de PAN-OS se proporciona a través de SSH o Telnet, o directamente a través de la
consola serie.
Los sistemas y aplicaciones externos pueden ejecutar comandos de forma remota en un firewall de Palo Alto Networks
mediante la API XML basada en REST. Por ejemplo, puede utilizar la interfaz basada en REST para acceder al estado operativo,
informes y capturas de paquetes, o para configurar el firewall. La API XML de PAN-OS también se puede utilizar para capturar
eventos de inicio de sesión y enviarlos al firewall. La API XML se implementa mediante solicitudes y respuestas HTTP/HTTPS.
Palo Alto Networks también proporciona un navegador API en el firewall en https://<firewall>/api, donde <firewall> es el
nombre de host o la dirección IP del firewall. La documentación de referencia de la API XML de PAN-OS 10.1 está disponible en
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-panoramaapi.html. La información sobre la integración de API XML está
disponible en https://live.paloaltonetworks.com/.
• Mínimo de:
• Ocho personajes
• Un carácter en mayúscula
• Un carácter en minúscula
• Un número o carácter especial
• Estos requisitos:
• No puede ser cambiado
A partir de PAN-OS 9.0.3, el firewall requiere que cambie la contraseña de la cuenta de administrador predefinida al iniciar
sesión por primera vez. Los requisitos de complejidad de la contraseña son una longitud mínima de ocho caracteres y al
menos un carácter en mayúscula, un carácter en minúscula y un carácter numérico o especial. Estos requisitos se aplican solo
a la cuenta de administrador predefinida y no a ninguna cuenta de administrador de firewall adicional.
Navegue en la interfaz web paraDispositivo > Configuración > Administración > Complejidad mínima de contraseñapara definir la
complejidad global de la contraseña y los requisitos de antigüedad para cualquier otra cuenta de administrador de firewall que cree.
También puede crear requisitos de antigüedad de contraseña para cada cuenta de administrador navegando a Dispositivo > Perfiles
de contraseñay crear un perfil de contraseña. Cualquier perfil de antigüedad de contraseña que cree se puede asociar con cuentas
de administrador específicas y anulará cualquier configuración global de antigüedad de contraseña.
• Restablece todas las configuraciones, incluidas las direcciones IP, lo que provoca la pérdida de
conectividad.
Puede restablecer un firewall a su configuración predeterminada de fábrica. Si conoce la contraseña de la cuenta de administrador, puede
utilizar el comando operativo CLIsolicitar sistema de restablecimiento de datos privados.
Si no conoce la contraseña de la cuenta de administrador, primero debe iniciar el firewall en modo de mantenimiento. Mientras el firewall se
inicia, escriba el comando operativomantenimientoen la CLI a través del puerto serie de la consola. Después de que haya transcurrido un
tiempo, puede elegir la opción para restablecer el firewall a su configuración predeterminada de fábrica, que incluye la configuración de la
contraseña de administrador predeterminada, o cargar un archivo de configuración anterior si la contraseña de administrador se cambió
inadvertidamente o se ha instalado una configuración no válida. sido cargado.
portal de ayuda
Cerrar sesión
Tareasbotón y
botón Idiomaconfiguración
La interfaz web PAN-OS proporciona una interfaz de administración común en todos los modelos de firewall físico y
virtual de Palo Alto Networks. La interfaz web es compatible con Internet Explorer 7+, Firefox 3.6+, Safari 5+ y Chrome
11+.
Las herramientas de administración están agrupadas según categorías funcionales, que se enumeran como pestañas en la parte
superior de la interfaz para facilitar el cambio entre tareas administrativas.
ElAyudaEl botón abre una versión con formato HTML de una guía del administrador en una pestaña separada del navegador. Haga clic en este
manual con capacidad de búsqueda para obtener información sobre las opciones que se muestran en una ventana o panel.
ElTareasEl botón en la parte inferior derecha de la ventana proporciona una lista de tareas en ejecución y completadas para este
firewall. Este botón es especialmente útil para verificar que se hayan completado los cambios de configuración.
La interfaz web está predeterminada en inglés estadounidense, pero se puede configurar en chino tradicional, chino
simplificado, francés, japonés o español.
Configuración mínima
Restringir el acceso administrativo
requiere dirección IP,
a áreas específicas.
máscara de red y valor predeterminado
Direcciones IP.
puerta.
Puede configurar la interfaz MGT a través de la interfaz web. Para conectar su sistema o computadora portátil al
puerto MGT para poder usar la interfaz web, complete los siguientes pasos:
1. Configure la interfaz Ethernet de su sistema o computadora portátil en la subred 192.168.1.0/24.
2. Conéctese al puerto MGT con un cable Ethernet.
3. Inicie una conexión de navegador web a https://192.168.1.1.
4. Inicie sesión con el nombre de usuario y la contraseña predeterminados del firewall.
HTTPS, SSH y ping están habilitados en el puerto MGT de forma predeterminada. Se requiere HTTPS para acceder y administrar
el firewall a través de la interfaz web, y se requiere SSH para administrar el firewall a través de la CLI. Palo Alto Networks
también recomienda que seleccioneSilbidopara permitirle verificar la conectividad a la interfaz MGT. Selección deSilbido
También permite que dos firewalls implementados en un par de alta disponibilidad envíen latidos periódicos para verificar la
conectividad. De forma predeterminada, HTTP, SNMP y Telnet están deshabilitados en la interfaz MGT. Puede configurar estos
ajustes según corresponda a su entorno.
Para mayor seguridad, en elDIRECCIONES IP PERMITIDASEn el panel ingrese solo aquellas direcciones IP desde
las cuales el firewall aceptará acceso administrativo a su puerto MGT.
Puede configurar el firewall con un nombre de host para identificar fácilmente el dispositivo que está administrando. El nombre de host del
firewall debe ser único y puede tener una longitud máxima de 31 caracteres. El nombre de host distingue entre mayúsculas y minúsculas y
puede contener una combinación de caracteres alfanuméricos, guiones y guiones bajos. El nombre de host predeterminado de fábrica es el
nombre del modelo de firewall. El nombre de dominio también puede tener una longitud máxima de 31 caracteres y contener una combinación
de caracteres alfanuméricos, guiones y puntos. El dominio predeterminado de fábrica está vacío.
Si la interfaz MGT está configurada por DHCP, entonces elAceptar el nombre de host proporcionado por el servidor DHCPy el Aceptar el
dominio proporcionado por el servidor DHCPlas opciones están disponibles. Seleccione estas opciones para configurar el firewall para
permitir la configuración del nombre de host y de dominio mediante DHCP.
Un banner de inicio de sesión es un texto opcional que puede agregar a la página de inicio de sesión para que los administradores vean esta información
antes de iniciar sesión. Por ejemplo, puede agregar un mensaje para notificar a los usuarios sobre restricciones relacionadas con el acceso no autorizado
al firewall. El banner de inicio de sesión se muestra debajo de los campos Nombre y Contraseña en la página de inicio de sesión de la interfaz web.
El firewall puede proporcionar varios servicios que incluyen un servidor web para la interfaz web o un portal o puerta de
enlace GlobalProtect. La comunicación entre estos servicios de firewall y sus clientes puede protegerse mediante SSL/TLS.
Cuando se utiliza SSL/TLS, el firewall requiere un certificado digital en el que los clientes confíen. Los clientes y el firewall
también deben negociar las versiones del protocolo SSL/TLS que se utilizarán para la comunicación. Se configura un perfil de
servicio SSL/TLS para especificar el certificado del firewall y las versiones de protocolo aceptables que pueden utilizar los
clientes cuando se conectan a los servicios del firewall.
La información que usted proporciona en elLatitudyLongitudLos campos permiten la ubicación geográfica del firewall en el
CACmapas de la pestaña. Los mapas del ACC incluyenRegiones de origenyRegiones de destino mapas Además de los
mapas del ACC la información geográfica se puede ver enMonitorear > Puntuación de la aplicación > AmenazayTráfico
mapas
Si está configurando la interfaz MGT a través de la interfaz web, debe asignar servidores DNS para la interfaz MGT.
Puede configurar un servidor DNS primario y secundario que se utilizará para todas las consultas de DNS que inicie el
firewall para admitir objetos de dirección FQDN, registros y administración del firewall. También puede configurar
servidores NTP primarios y secundarios para el firewall. El firewall sincroniza el reloj del firewall con la hora del servidor
NTP. Si la interfaz MGT está configurada mediante DHCP, las direcciones de los servidores DNS y NTP pueden asignarse
mediante DHCP.
También puede configurar el nombre de dominio del servidor de actualización utilizado por el firewall para descargar software actualizado o
firmas de malware a la base de datos de amenazas. La entrada predeterminada es actualizaciones.paloaltonetworks.com. Se recomienda que no
cambie la configuración predeterminada a menos que el soporte técnico se lo indique. Si el Verificar la identidad del servidor de
actualizaciónCuando se selecciona la opción, el firewall verifica el certificado digital del servidor de actualización desde el cual se descarga la
actualización del software o de la base de datos de amenazas. Esta opción agrega un nivel de seguridad para la comunicación entre el firewall y
el servidor de actualizaciones.
por defecto
MGT
Servicios externos
• Actualizar servidores
• servidores DNS
opcional • servidores NTP
ethernet n/n • Etc.
Cortafuegos
De forma predeterminada, el firewall utiliza la interfaz de administración (MGT) para acceder a servicios externos, como
servidores DNS, servidores de autenticación externos, servicios de Palo Alto Networks como software, actualizaciones de URL,
licencias y AutoFocus. Una alternativa al uso de la interfaz MGT es configurar un puerto de datos (una interfaz normal) para
acceder a estos servicios. La ruta desde la interfaz hasta el servicio en un servidor se conoce como ruta de servicio. Los
paquetes de servicio salen del firewall en el puerto asignado para el servicio externo y el servidor envía su respuesta a la
interfaz de origen configurada y a la dirección IP de origen.
UsarDispositivo > Configuración > Servicios > Configuración de ruta de serviciopara configurar rutas de servicio. Seleccione la
casilla de verificación junto a cualquier servicio externo al que desee que acceda el firewall a través de un puerto dentro de banda y
luego haga clic enEstablecer rutas de servicio seleccionadas. En el cuadro de diálogo que se abre, seleccione elInterfaz de origeny
elDirección de la fuente. Si la interfaz seleccionada tiene varias direcciones IP asignadas a la interfaz, puede seleccionar qué dirección
de origen utilizará la ruta del servicio en el menú desplegable. Después de confirmar la configuración, el firewall utilizará el puerto
dentro de banda para acceder a esos servicios externos.
Esta sección proporciona una descripción general de las licencias de suscripción y las actualizaciones de la base de datos de contenido y
software PAN-OS.
Regístrese con el soporte de Palo Alto Utilice el número de Utilice códigos de autenticación enviados por correo
Activar licencias enDispositivo > Recuperar claves de licencia del servidor de Activar función usando
Licencias. licencias. Código de Autorización.
Verifique la actualización y los servidores DNS. Use la actualización correcta y el servidor DNS enDispositivo > Configuración > Servicios.
Gestionar actualizaciones de contenido. Obtenga las últimas firmas de aplicaciones y amenazas y la base de datos de filtrado de URL.
Instalar actualizaciones de software. Verifique la versión del sistema operativo e instale la versión recomendada.
Antes de poder comenzar a usar su firewall para proteger el tráfico en su red, debe registrar su firewall en Palo Alto Networks,
activar su licencia de soporte y luego activar las licencias para cada suscripción que haya comprado. Antes de poder recuperar
una licencia, el firewall debe estar configurado con una dirección IP, una máscara de red, una puerta de enlace
predeterminada y una dirección IP del servidor DNS.
Para registrar un firewall de hardware, haga clic enActivosen el portal de atención al cliente de Palo Alto Networks, ingrese su
número de serie y haga clic enRegistrar dispositivo. El portal de atención al cliente se encuentra en https://
support.paloaltonetworks.com.
Cuando compra un firewall VM-Series, recibe un conjunto de códigos de autorización por correo electrónico. El correo
electrónico normalmente incluye códigos de autorización para obtener la licencia del modelo VM-Series que se compró. Para
utilizar el código de autorización, primero registre el código en la cuenta de soporte en el portal de soporte al cliente. Si tiene
una cuenta de soporte existente, haga clic en elCódigo de autenticación de la serie VMenlace en el Portal de atención al
cliente para administrar las licencias de firewall de la serie VM y descargar el software. Si no tiene una cuenta de soporte
existente, utilice elcódigo de autenticación de capacidadpara registrarse y crear una cuenta en el Portal de Atención al
Cliente. Una vez verificada la nueva cuenta y completado el registro, puede iniciar sesión y descargar el paquete de software
necesario para instalar el firewall VM-Series.
Después de comprar sus suscripciones, debería haber recibido un correo electrónico del servicio de atención al cliente de Palo
Alto Networks que enumera el código de activación asociado con cada suscripción. Antes de poder activar estas licencias, debe
activar su licencia de soporte. Hacer clicDispositivo > Soportey luego haga clicActivar soporte usando código de
autorización.
Después de activar el soporte, haga clic enDispositivo > Licenciaspara activar sus otras suscripciones. Existen varios métodos para
activar sus suscripciones. Para obtener orientación, consulte P.Guía del administrador de AN-OSen https://docs.paloaltonetworks.com/
pan-os/10-1/pan-os-admin.html. Activación de un incendio forestal®la licencia requiere un compromiso.
Recuperar, activar,
cargar, desactivar o
licencias de actualización.
Antes de que pueda comenzar a usar su firewall para proteger el tráfico en su red, debe activar las licencias para cada uno de
los servicios que compró. Las suscripciones desbloquean ciertas funciones del firewall o permiten que el firewall aproveche un
servicio entregado en la nube de Palo Alto Networks, o ambos. Para habilitar una suscripción, debe
Primero active cada licencia de suscripción. Cuando están activos, la mayoría de los servicios de suscripción pueden utilizar actualizaciones de
contenido dinámico para proporcionar funcionalidades nuevas y actualizadas al firewall.
• Seguridad DNS: Proporciona capacidades mejoradas de hundimiento de DNS mediante la consulta de DNS Security, un servicio
extensible basado en la nube capaz de generar firmas de DNS mediante el uso de análisis predictivos avanzados y aprendizaje
automático.
• GlobalProtect: Proporciona soluciones de movilidad y/o capacidades VPN a gran escala. De forma predeterminada, puede implementar
portales y puertas de enlace de GlobalProtect (sin comprobaciones de HIP) sin una licencia. Si desea utilizar comprobaciones HIP, también
necesitará licencias de puerta de enlace (suscripción) para cada puerta de enlace.
• Incendio forestal: La compatibilidad básica con WildFire se incluye como parte de la licencia de Prevención de amenazas. El
servicio de suscripción de WildFire proporciona servicios mejorados para organizaciones que requieren cobertura inmediata contra
amenazas, actualizaciones frecuentes de firmas de WildFire, reenvío avanzado de tipos de archivos (APK, PDF, Microsoft Office y
Java Applet), así como la capacidad de cargar archivos utilizando WildFire. API. También se requiere una suscripción a WildFire si
sus firewalls reenviarán archivos a un dispositivo WF-500.
• Enfoque automático: proporciona un análisis gráfico de los registros de tráfico del firewall e identifica riesgos potenciales para su red
mediante el uso de inteligencia sobre amenazas del portal AutoFocus. Con una licencia activa, también puede abrir una búsqueda de
AutoFocus basada en los registros registrados en el firewall.
• Filtrado de URL: Le permite crear políticas de seguridad para imponer el acceso web según categorías de URL dinámicas.
Para configurar el filtrado de URL, debe comprar e instalar una suscripción para la base de datos de filtrado de URL
compatible, PAN-DB. Con PAN-DB, puede configurar el acceso a la nube pública de PAN-DB o a la nube privada de PAN-
DB.
• Lago de datos Cortex: Proporciona almacenamiento y agregación de registros centralizados y basados en la nube. En
versiones anteriores de PAN-OS, Cortex Data Lake se llamaba Servicio de registro.
• SD-WAN: Le permite utilizar múltiples servicios privados y de Internet para crear una WAN inteligente y
dinámica, lo que ayuda a reducir costos y maximizar la calidad y usabilidad de las aplicaciones. La
superposición SD-WAN admite la selección de rutas dinámica e inteligente basada en aplicaciones y servicios y
las condiciones de los enlaces que cada aplicación o servicio puede utilizar.
2.Descargar
de la actualización
servidor o
Subirde
máquina local.
3.Instalar
software.
El firewall requiere actualizaciones del software PAN-OS y de las bases de datos de amenazas para mantener los niveles de protección más
actualizados. La interfaz MGT se puede utilizar para adquirir estas actualizaciones, o se puede configurar una interfaz de tráfico dentro de
banda para adquirir estas actualizaciones. El firewall requiere la configuración del servidor DNS para conectarse a los servidores de
actualización.
Para actualizar a una nueva versión del software PAN-OS, haga clic enRevisalo ahorapara mostrar la lista de versiones
disponibles del software PAN-OS. Lea las notas de la versión de cada versión y luego seleccione una versión para descargar e
instalar. Se requiere una licencia de soporte para la descarga. Las actualizaciones de software requieren reiniciar el firewall.
Cuando actualiza, normalmente debe descargar elX.0 versión base antes de instalar la versión de mantenimiento
o función. Por ejemplo, para actualizar de 8.1.1 a 9.1.0, primero descargue e instale 8.1.10, luego descargue e
instale 9.0.0 y 9.1.0.
El software se puede descargar directamente desde el servidor de actualización de Palo Alto Networks. O el software se puede
descargar a otro sistema, como el escritorio de un usuario o un dispositivo de administración de Panorama, y luego cargarlo en el
firewall. Después de cargar manualmente una imagen de software en el firewall de Palo Alto Networks, la imagen aparece en la lista
de software disponible enDispositivo > Software.Hacer clicInstalartal como lo haría con el software que se descarga desde el
servidor de actualización.
Antes de actualizar el software del firewall, el firewall debe ejecutar la versión más reciente de las actualizaciones de
Aplicaciones y Amenazas. El proceso de instalación del software falla si no tiene una actualización actual y un mensaje indica
que se requiere una actualización del archivo de Aplicaciones y Amenazas.
Para obtener información sobre cómo actualizar PAN-OS, consulte la documentación en https://docs.paloaltonetworks.com/panos/
10-1/pan-os-upgrade.html.
Palo Alto Networks actualiza periódicamente sus bases de datos de aplicaciones y amenazas. Las actualizaciones incluyen
nuevas definiciones de antivirus y spyware, nuevos dominios y URL maliciosos y nuevas firmas de aplicaciones. Esta nueva
información debe descargarse al firewall para mantener las protecciones más actualizadas. Antes de poder descargar
actualizaciones de aplicaciones y amenazas, debe tener una licencia de Prevención de amenazas. Para proteger completamente
su entorno, también debe comprar y activar las licencias Antivirus y WildFire por separado.
Puede descargar actualizaciones directamente desde el servidor de actualizaciones de Palo Alto Networks. También puede descargar las
actualizaciones a otro sistema, como el escritorio de un usuario o un dispositivo de administración de Panorama, y luego cargarlas en el
firewall. Ya sea que descargue una actualización a través de la web o cargue una actualización desde Panorama, la actualización aparecerá en
la lista de actualizaciones disponibles enDispositivo > Actualizaciones dinámicas. Hacer clicInstalarpara instalar la actualización.
Palo Alto Networks pone a disposición el contenido actualizado según el siguiente calendario:
▪ Antivirus: diario
▪ Aplicaciones y amenazas: actualizaciones semanales, nuevas aplicaciones agregadas mensualmente
Usted configura la frecuencia con la que el firewall busca actualizaciones disponibles. El firewall puede buscar
actualizaciones de antivirus cada hora, actualizaciones de aplicaciones y amenazas cada 30 minutos, y las
actualizaciones de WildFire se pueden descargar en tiempo real, lo que le permite acceder a las firmas tan
pronto como se generan.
Ahora que ha completado el módulo, debería poder realizar las tareas enumeradas.
Preguntas de revisión
1. ¿Cuáles son los dos atributos del puerto de administración de red fuera de banda dedicado en los firewalls de Palo Alto
Networks? (Escoge dos.)
a. etiquetado como MGT por defecto
b. no se puede configurar como un puerto de tráfico estándar
C. solo admite conexiones SSH
d. Requiere una configuración de red estática, sin DHCP.
2. ¿Verdadero o falso? Para registrar un firewall de hardware necesitará el número de serie del firewall.
a. verdadero
b. FALSO
3. En la interfaz web, ¿qué significa cuando un cuadro de texto está resaltado en rojo?
a. El valor en el cuadro de texto es opcional.
b. El valor en el cuadro de texto es obligatorio.
C. El valor en el cuadro de texto es un error.
d. El valor en el cuadro de texto está controlado por Panorama.
4. ¿Verdadero o falso? Las rutas de servicio se pueden utilizar para configurar un puerto dentro de banda para acceder a servicios externos.
a. verdadero
b. FALSO