Académique Documents
Professionnel Documents
Culture Documents
Versin 7.0
Informacin de contacto
Sede de la empresa:
Palo Alto Networks
4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)
http://www.paloaltonetworks.com/contact/contact/
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
ii
Contenido
Captulo 1
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Contenido
Captulo 4
Configuracin de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
121
Contenido
125
126
128
128
137
142
144
144
145
146
147
148
151
151
152
158
160
161
162
163
163
165
167
172
177
185
189
190
192
199
199
200
200
201
205
206
207
209
210
211
211
213
213
213
214
217
218
219
220
222
222
226
227
Contenido
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
229
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
230
232
233
234
235
235
236
237
245
247
248
250
250
251
252
252
256
256
257
258
260
261
262
263
264
265
266
266
267
268
268
269
269
270
270
271
271
272
272
273
273
274
274
274
275
276
276
277
Contenido
277
279
279
280
281
281
285
289
293
297
298
300
302
303
304
307
308
308
314
317
317
318
319
320
321
322
323
325
326
328
328
329
332
334
335
336
341
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
343
Uso
Vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Informe Supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Contenido
Captulo 7
Configuracin del cortafuegos para el usuario de usuarios . . . . . . . . . .
387
387
388
395
397
397
400
Captulo 8
Configuracin de tneles de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
403
404
404
407
409
409
410
410
412
413
413
414
415
416
Contenido
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
417
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .
455
Captulo 11
Gestin centralizada del dispositivo mediante Panorama . . . . . . . . . . .
467
Contenido
Apndice A
Compatibilidad con los estndares federales de procesamiento de la
informacin/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
519
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
521
Captulo 1
Introduccin
Esta seccin proporciona una descripcin general del cortafuegos:
Caractersticas y ventajas
Caractersticas y ventajas
Los cortafuegos de prxima generacin de Palo Alto Networks ofrecen un control detallado
del trfico que tiene permiso para acceder a su red. Las principales caractersticas y ventajas
incluyen las siguientes:
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL).
Interfaces de gestin
Gestin y Panorama: Puede gestionar cada cortafuegos mediante una interfaz web
intuitiva o una interfaz de lnea de comandos (CLI). Del mismo modo, puede gestionar
todos los dispositivos de manera centralizada mediante el sistema de gestin centralizado
de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
cortafuegos de Palo Alto Networks.
Interfaces de gestin
Los cortafuegos de prxima generacin de Palo Alto Networks admiten las siguientes
interfaces de gestin.
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos.
La interfaz de Panorama es parecida a la interfaz web del cortafuegos pero con funciones
de gestin adicionales (consulte Gestin centralizada del dispositivo mediante
Panorama para obtener informacin sobre el uso de Panorama).
Interfaces de gestin
Captulo 2
Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar el cortafuegos de
Palo Alto Networks:
Elemento
Descripcin
Haga clic en las pestaas de la parte superior para ver los elementos de
configuracin bajo esa categora. El elemento resaltado es el que est seleccionado.
Seleccione una opcin del panel de la izquierda para ver las opciones de una
pestaa. Por ejemplo, en la captura de pantalla anterior, el panel Enrutadores
virtuales est seleccionado en la pestaa Red. Este documento identifica esta
ruta de navegacin en la interfaz web como Red > Enrutadores virtuales.
En el caso de algunas pestaas, las opciones de configuracin estn anidadas.
Haga clic en la
lista desplegable del panel de la izquierda para expandir y
contraer las opciones de configuracin incluidas en el panel.
Elemento
Descripcin
Los botones de accin varan segn la pgina pero la mayora de las pginas
incluyen los botones siguientes:
Aadir: Haga clic en Aadir para crear un nuevo elemento.
Eliminar: Para eliminar uno o ms elementos, seleccione las casillas de
verificacin junto al elemento y haga clic en Eliminar. Haga clic en
ACEPTAR para confirmar la eliminacin o haga clic en Cancelar para
cancelar la operacin.
Modificar: Haga clic en el elemento con hiperenlace en la columna Nombre.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o
Guardar para almacenar los cambios. Cuando haga clic en ACEPTAR,
se actualizar la configuracin candidata. Para guardar los cambios en la
configuracin que se est ejecutando, debe hacer clic en Compilar para
guardar los cambios.
4
Cierre de sesin: Haga clic en el botn Cierre de sesin para cerrar la sesin
de la interfaz web.
Elemento
Descripcin
Tareas: Haga clic en el icono Tareas para ver la lista actual de Todos los
elementos siguientes o aquellos que estn En ejecucin: Tareas, Trabajos y
Peticiones de log. Utilice la lista desplegable Mostrar para filtrar la lista de
tareas. La ventana Gestor de tareas muestra la lista de tareas, junto con los
estados, fechas de inicio, mensajes asociados y acciones.
Idioma: Haga clic en Idioma para seleccionar el idioma que desee en la lista
desplegable de la ventana Preferencia de idioma y, a continuacin, haga clic
en ACEPTAR para guardar el cambio. A menos que especifique una
preferencia de idioma, el idioma de la interfaz web ser el mismo que el
idioma actual del ordenador desde el que inicie sesin. Por ejemplo, si el
ordenador que utiliza para gestionar el cortafuegos tiene el espaol como
configuracin regional, la interfaz web estar en espaol cuando inicie
sesin en el cortafuegos.
Alarmas: Haga clic en Alarmas para ver la lista actual de alarmas en el log
de alarmas. Para habilitar alarmas y notificaciones de alarmas web, vaya a
Dispositivo > Configuracin de log > Alarmas. La lista mostrar las
alarmas no reconocidas y reconocidas. Para reconocer alarmas, seleccione las
casillas de verificacin y haga clic en Reconocer. Esta accin pasa las alarmas
a la lista Alarmas de reconocimiento.
6
Las tablas le permiten ordenar los datos y mostrar u ocultar las columnas que
puede ver en la pgina. Haga clic en el encabezado de una columna para
ordenar segn esa columna y haga clic de nuevo para invertir el orden. Para
mostrar u ocultar columnas, haga clic en la flecha situada a la derecha de
cualquier columna y seleccione o cancele la seleccin de la correspondiente
casilla de verificacin para mostrar u ocultar la columna en la pantalla.
Elemento
Descripcin
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo
Compilar.
Las opciones siguientes estn disponibles en el cuadro de dilogo Compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones siguientes:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (Solamente los cortafuegos con varios
sistemas virtuales) Incluir los cambios de configuracin de objetos compartidos en la
operacin de compilacin.
Incluir polticas y objetos: (Solamente los cortafuegos que no pueden configurarse o
que no estn configurados para permitir varios sistemas virtuales) Incluir los cambios
de configuracin de polticas y objetos en la operacin de compilacin.
Bsqueda de la configuracin
La bsqueda global le permite buscar en la configuracin candidata en un cortafuegos o en
Panorama una cadena especfica, como una direccin IP, un nombre de objeto, un nombre de
poltica, un ID de amenaza o un nombre de aplicacin. Los resultados de bsqueda se agrupan
por categora y proporcionan enlaces a la ubicacin de la configuracin en la interfaz web, de
modo que pueda encontrar fcilmente todos los lugares donde se hace referencia a la cadena.
A continuacin tiene una lista de funciones de bsqueda global que le ayudarn a realizar
bsquedas correctamente:
Los espacios del texto de bsqueda se tratan como operaciones AND. Por ejemplo,
si busca poltica corporativa, tanto la palabra poltica como la palabra corporativa
deben existir en el elemento de configuracin para encontrarlo.
Para acceder a la funcin Bsqueda global desde dentro de un rea de configuracin, haga clic
en la lista desplegable situada junto a un elemento y haga clic en Bsqueda global. La captura
de pantalla siguiente muestra el icono Bsqueda global que aparece cuando hace clic en la
lista desplegable situada a la derecha de un nombre de poltica de seguridad.
El icono Bsqueda global est disponible para todos los campos que permitan la bsqueda.
Por ejemplo, en el caso de una poltica de seguridad, puede buscar los campos siguientes:
Nombre, Etiquetas, Zona, Direccin, Usuario, Perfil HIP, Aplicacin y Servicio. Para
realizar una bsqueda, solamente tiene que hacer clic en la lista desplegable situada junto a
cualquiera de estos campos y hacer clic en Bsqueda global. Por ejemplo, si hace clic en
Bsqueda global en una zona denominada l3-vlan-trust, buscar en toda la configuracin de
ese nombre de zona y devolver resultados de cada ubicacin donde se haga referencia a la
zona. Los resultados de bsqueda se agrupan por categora y puede pasar el cursor por
encima de cualquier elemento para ver informacin detallada o hacer clic en el elemento para
desplazarse a su pgina de configuracin.
La captura de pantalla siguiente muestra los resultados de bsqueda de la zona l3-vlan-trust:
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de
configuracin o compilacin de informacin por otro administrador hasta que se elimine el
bloqueo. Se permiten los siguientes tipos de bloqueo:
aplic el bloqueo compila los cambios actuales; el bloqueo tambin puede liberarse
manualmente por parte del administrador que realiz el bloqueo o por un superusuario
del sistema.
Cualquier administrador puede abrir la ventana de bloqueos para visualizar las transacciones
actuales que estn bloqueadas, junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono Bloqueo desbloqueado
en la barra
superior para abrir el cuadro de dilogo Bloqueos. Haga clic en Aplicacin de un bloqueo,
seleccione el mbito del bloqueo desde la lista desplegable y haga clic en ACEPTAR. Agregue
bloqueos adicionales segn sea necesario y, a continuacin, haga clic en Cerrar para cerrar el
cuadro de dilogo Bloqueo. La transaccin est bloqueada y el icono de la barra superior cambia a
un icono Bloqueo bloqueado que muestra el nmero de elementos bloqueados entre parntesis.
Exploradores compatibles
Las versiones mnimas de los exploradores web compatibles para acceder a la interfaz web del
cortafuegos son las siguientes:
Internet Explorer 7
Firefox 3.6
Safari 5
Chrome 11
Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web
para acceder al sistema de ayuda en lnea.
Asistencia tcnica
Para obtener asistencia tcnica, informacin sobre los programas de asistencia tcnica o
gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.
Captulo 3
Gestin de dispositivos
Utilice las siguientes secciones para obtener referencia de campo sobre la configuracin de
sistema bsica y tareas de mantenimiento en el cortafuegos:
Configuracin general
Configuracin de autenticacin
Ajustes de Panorama: Dispositivo > Configuracin > Gestin (ajustes configurados en
el cortafuegos para la conexin a Panorama)
Descripcin
Configuracin general
Nombre de host
Dominio
Titular de inicio de
sesin
Perfil de servicio
SSL/TLS
Zona horaria
Configuracin regional
Descripcin
Hora
Ubicacin geogrfica
Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0) del
cortafuegos.
Adquirir bloqueo de
compilacin
automticamente
Comprobacin del
vencimiento del
certificado
Capacidad de
cortafuegos virtuales
Configuracin de autenticacin
Perfil de autenticacin
Descripcin
Tiempo de espera
de inactividad
Intentos fallidos
Tiempo de bloqueo
Tiempo de espera de
recepcin para conexin
a Panorama
Tiempo de espera de
envo para conexin a
Panorama
Reintentar recuento de
envos SSL a Panorama
Deshabilitar/Habilitar
objetos y poltica de
Panorama
Descripcin
Deshabilitar/habilitar
plantilla de dispositivo
y red
Reintentar recuento de
envo SSL a dispositivo
Compartir con
dispositivos objetos de
direcciones y servicios
no utilizados
Descripcin
Puerta de enlace
predeterminada
Direccin IPv6/longitud
de prefijo
Velocidad
Servicios
Direcciones IP
permitidas
Descripcin
Direccin IP (IPv4)
Puerta de enlace
predeterminada
Direccin IPv6/longitud
de prefijo
Velocidad
Configure una tasa de datos y una opcin de dplex para la interfaz Eth1.
Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex completo
o medio. Utilice el ajuste de negociacin automtica predeterminado
para que Panorama determine la velocidad de interfaz.
Servicios
Direcciones IP
permitidas
Direccin IP (IPv4)
Puerta de enlace
predeterminada
Descripcin
Direccin IPv6/longitud
de prefijo
Velocidad
Configure una tasa de datos y una opcin de dplex para la interfaz Eth2.
Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex completo
o medio. Utilice el ajuste de negociacin automtica predeterminado
para que Panorama determine la velocidad de interfaz.
Servicios
Direcciones IP
permitidas
Descripcin
Descripcin
Pestaa secundaria
Exportacin e informes
de log
Descripcin
Habilitar log con carga alta: (nicamente cortafuegos) Seleccione esta
casilla de verificacin si desea que se genere una entrada de log del
sistema cuando la carga de procesamiento del paquete del cortafuegos
est al 100% de la utilizacin de la CPU.
Una carga alta de CPU puede degradar el funcionamiento porque la CPU
no tiene suficientes ciclos para procesar todos los paquetes. El log del
sistema le avisa sobre este problema (se genera una entrada de log cada
minuto) y le permite investigar la posible causa.
De forma predeterminada, esta opcin est deshabilitada.
(Solo en Panorama)
Descripcin
Letras en mayscula
mnimas
Letras en minscula
mnimas
Letras numricas
mnimas
Caracteres especiales
mnimos
Bloquear caracteres
repetidos
Bloquear inclusin de
nombre de usuario
(incluida su inversin)
La nueva contrasea
difiere por caracteres
Es necesario cambiar la
contrasea al iniciar
sesin por primera vez
Evitar lmite de
reutilizacin de
contrasea
Bloquear perodo de
cambio de contrasea
(das)
Descripcin
Perodo de advertencia
de vencimiento (das)
Inicio de sesin de
administrador caducado
permitido (recuento)
Perodo de gracia
posterior al vencimiento
(das)
Descripcin
Gestin de
configuracin
Volver a la ltima
configuracin
guardada
Volver a la
configuracin en
ejecucin
Guardar instantnea
de configuracin con
nombre
Guardar
configuracin
candidata
Cargar instantnea
de configuracin con
nombre
Cargar versin de
configuracin
Exportar instantnea
de configuracin con
nombre
Exportar versin de
configuracin
Exportar lote de
configuracin de
dispositivos y
Panorama
(nicamente en
Panorama)
Exportar o insertar
lote de configuracin
de dispositivo
(nicamente en
Panorama)
Descripcin
Exportar estado de
dispositivo
(nicamente
cortafuegos)
Importar
instantnea de
configuracin con
nombre
Importar estado de
dispositivo
(nicamente
cortafuegos)
Descripcin
Importa
configuracin del
dispositivo en
Panorama
(nicamente en
Panorama)
Descripcin
Operaciones de
dispositivo
Reiniciar
Apagar
Reiniciar plano de
datos
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga clic
en Reiniciar plano de datos. Esta opcin no est disponible en el cortafuegos
PA-200 y Panorama.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane.
Descripcin
Varios
Logotipos
personalizados
Configuracin del
servicio de
estadsticas
Descripcin
Proveedor configurado
Alta disponibilidad
Nombre de grupo de
alta disponibilidad.
Direccin de origen de
cortafuegos
Clave maestra
asegurada por HSM
Estado
Descripcin
Proveedor configurado
Nombre de mdulo
Direccin de servidor
Especifique una direccin de IPv4 para cualquier mdulo HSM que est
configurando.
Descripcin
Alta disponibilidad
Solo Luna SA de
Safenet
Reintento de
recuperacin
automtica
Solo Luna SA de Safenet
Nombre de grupo de
alta disponibilidad.
Solo Luna SA de Safenet
Direccin de sistema
de archivos remoto
Solo Thales Nshield
Connect
Descripcin
Nombre de servidor
Contrasea de
administrador
Tabla 6.
Safenet
Campo
Descripcin
Nmero de serie
Particin
Estado de mdulo
Descripcin
Nombre
Direccin IP
Descripcin
Estado de mdulo
Descripcin
Ubicacin fsica
Contacto
Utilizar definiciones de
traps especficas
Versin
Descripcin
Para SNMP V3
Nombre/Vista
Usuarios
En la seccin Servicios, haga clic en el icono Editar para definir las direcciones IP de
destino de los servidores de sistemas de nombres de dominio (DNS), el servidor de
actualizaciones y el servidor proxy. Utilice la pestaa NTP especfica para configurar los
ajustes del protocolo de tiempo de red (NTP). Consulte la Tabla 9 para conocer
descripciones de los campos de las opciones disponibles en la seccin Servicios.
Descripcin
Servicios
DNS
Seleccione el tipo de servicio de DNS: Servidor u Objeto proxy DNS. Este ajuste se utiliza
para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de
direccin FQDN, logs y la gestin de dispositivos. Las opciones incluyen las siguientes:
Servidores DNS principal y secundario para proporcionar resolucin de nombres de
dominio.
Un proxy DNS que se haya configurado en el cortafuegos es otra opcin para configurar
servidores de DNS.
Servidor DNS
principal
Introduzca la direccin IP del servidor DNS primario. El servidor se utiliza para las
consultas de DNS del cortafuegos; por ejemplo, para buscar el servidor de actualizaciones,
para resolver entradas de DNS en logs o para objetos de direccin basados en FDQN.
Servidor de DNS
secundario
Actualizar servidor
Este ajuste representa la direccin IP o el nombre de host del servidor utilizado para
descargar actualizaciones de Palo Alto Networks. El valor actual es
updates.paloaltonetworks.com. No cambie el nombre del servidor a menos que se lo
indique la asistencia tcnica.
Verificar identidad
del servidor de
actualizacin
Si se habilita esta opcin, el cortafuegos o Panorama verificarn que el servidor desde el que
se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado
por una autoridad fiable. Esta opcin aade un nivel de seguridad adicional para la
comunicacin entre el servidor del cortafuegos/Panorama y el servidor de actualizacin.
Puerto
Usuario
Contrasea/
Confirmar
contrasea
NTP
Direccin de
servidor NTP
Introduzca la direccin IP o el nombre de host del servidor NTP que desee usar para
sincronizar el reloj del cortafuegos. De forma optativa, introduzca la direccin IP o nombre
de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el
servidor primario no est disponible.
Descripcin
Tipo de
autenticacin
Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor
NTP. Para cada servidor NTP, seleccione el tipo de autenticacin que debe utilizar el
cortafuegos:
Ninguno: Seleccione esta opcin para desactivar la autenticacin del NTP (predeterminado).
Clave simtrica: Seleccione esta opcin para que el cortafuegos utilice intercambio de clave
simtrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor
NTP. Si selecciona la clave simtrica, contine introduciendo los siguientes campos:
ID de clave: Introduzca el ID de clave (1- 65534).
Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticacin del NTP
(MD5 o SHA1).
Clave de autenticacin/Confirmar clave de autenticacin: Introduzca y confirme la
clave de autenticacin del algoritmo de autenticacin.
Clave automtica: Seleccione esta opcin para que el cortafuegos utilice la clave automtica
(criptografa de clave pblica) para autenticar las actualizaciones de hora del servidor NTP.
Sistema
virtual
Global
IPv4
IPv6
IPv4
IPv6
Sistema
virtual
Global
IPv4
IPv6
IPv4
IPv6
Al personalizar una ruta de servicios global, en la pestaa IPv4 o IPv6, seleccione uno de los
servicios disponibles de la lista, haga clic en Establecer rutas de servicio seleccionadas y
seleccione Interfaz de origen y Direccin de origen del men desplegable. Una interfaz de
origen definida en Cualquiera permite seleccionar una direccin de origen desde cualquiera
de las interfaces disponibles. La direccin de origen muestra la direccin IPv4 o IPv6 asignada
a la interfaz seleccionada; la direccin IP seleccionada ser el origen del trfico de servicios.
No tiene que definir la direccin de destino porque el destino se configura para cada servicio
en cuestin. Por ejemplo, cuando defina sus servidores DNS en la pestaa Dispositivo >
Configuracin > Servicios, dicha accin establecer el destino de las consultas de DNS.
Al configurar rutas de servicio para un sistema virtual, la opcin Heredar configuracin de
ruta de servicios globales significa que todos los servicios del sistema virtual heredarn la
configuracin de ruta de servicios global. O bien puede elegir Personalizar, seleccionar IPv4 o
IPv6, seleccionar un servicio y hacer clic en Establecer rutas de servicio seleccionadas.
La Interfaz de origen tiene las siguientes tres opciones:
Una interfaz del men desplegable: Para los servicios en configuracin, las respuestas del
servidor se enviarn a la interfaz seleccionada porque esta era la interfaz de origen.
Para Direccin de origen, seleccione una direccin del men desplegable. Para los servicios
seleccionados, las respuestas del servidor se enviarn a esta direccin de origen.
Descripcin
Destino
Interfaz de origen
Direccin de origen
Descripcin
Nombre
Ubicacin
Origen de herencia
Comprobar estado
de origen de
herencia
DNS principal
DNS secundario
Ruta de servicio
IPv4
Interfaz de origen
Direccin de origen
Ruta de servicio
IPv6
Interfaz de origen
Direccin de origen
Descripcin
Filtrado de URL
Tiempo de espera de
cach de URL dinmica
Descripcin
Tiempo de espera de
cach de URL dinmica
Tiempo de espera de
cancelacin de
administrador de URL
Tiempo de espera de
bloqueo de
administrador de URL
Servidor PAN-DB
(Necesario para la
conexin a un servidor
PAN-DB privado)
Cancelacin de
administrador de URL
Configuracin de la
cancelacin de
administrador de URL
Configuracin de ID de
contenidos
Longitud de captura de
paquetes extendida
Descripcin
Permitir reenvo de
contenido descifrado
X-Forwarded-For
Headers
Usar X-Forwarded-For
Header en ID de usuario
Strip-X-Forwarded-For
Header
Caractersticas de ID de
contenido
Gestionar proteccin de
datos
Descripcin
Pginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain y
text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida,
se utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de
contenido asociados a un sistema virtual, se utilizar la lista
predeterminada de tipos de contenido.
Descripcin
Configuracin
general
Nube pblica de
WildFire
Nube privada de
WildFire
Descripcin
Tamao de archivo
mximo (MB)
Informar de archivos
benignos
Descripcin
Ajustes de informacin
de sesin
Configuracin
Configuracin de sesin
Tiempos de espera de sesin
Ajustes de descifrado: Comprobacin de revocacin de certificado
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
Configuracin de sesin de VPN
Configuracin de sesin
Tabla 15. Configuracin de sesin
Campo
Descripcin
Reanalizar sesiones
establecidas
Tamao de depsito de
testigo de ICMPv6
Tasa de paquetes de
error de ICMPv6
Habilitar cortafuegos
IPv6
Tamao mnimo de
MTU para NAT64 en
IPv6
Descripcin
Ratio de
sobresuscripcin NAT
Vencimiento acelerado
Utilice las opciones de esta seccin para configurar los ajustes de los tiempos de espera globales:
especficamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la
deteccin de errores.
Descripcin
Valor predeterminado
Tiempo mximo que una sesin que no es TCP/UDP ni ICMP se puede abrir
sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Descartar tiempo de
espera
Descartar valor
predeterminado
Descartar TCP
Descartar UDP
ICMP
Tiempo mximo que una sesin ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.
Analizar
TCP
Tiempo mximo que una sesin TCP permanece abierta sin una respuesta
despus de que una sesin TCP active el estado Establecido (despus de
que se complete el protocolo o la transmisin de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999 segundos.
Protocolo de
enlace TCP
Inicializacin de TCP
TCP semicerrado
Tiempo de espera
de TCP
UDP
Tiempo mximo que una sesin UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Descripcin
Portal cautivo
Descripcin
Habilitar: CRL
Tiempo de espera de
recepcin: CRL
Habilitar: OCSP
Tiempo de espera de
recepcin: OCSP
Bloquear sesin al
agotar el tiempo de
espera de
comprobacin de
estado de certificado
Descripcin
Tabla 18. Caractersticas de sesin: Reenviar los ajustes de certificados del servidor proxy
Campo
Descripcin
Descripcin
Umbral de
activacin de
cookies
SA medio abiertas
mx.
Certificados en
cach mx.
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.
b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PAN-DB
for URL Filtering), tendr que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuacin, hacer clic en Activar.
Tambin puede ejecutar el comando de CLI request url-filtering download
paloaltonetworks region <region name>.
Deshabilitar VM: Esta opcin est disponible en el cortafuegos VM-Series con el modelo
Traiga su propia licencia, que es compatible con licencias perpetuas y temporales;
el modelo de licencias a peticin no es compatible con esta funcionalidad.
Haga clic en Desactivar VM cuando ya no necesite una instancia del cortafuegos
VM-Series. Le permitir liberar todas las licencias activas (licencias de suscripcin,
licencias de capacidad de VM y derecho de asistencia) usando esta opcin. Las licencias se
devuelven a su cuenta y podr aplicarlas a nuevas instancias de un cortafuegos
VM-Series cuando sea necesario.
Al desactivar la licencia, la funcionalidad del cortafuegos se deshabilita y se queda sin
licencia; no obstante, la configuracin permanece intacta.
Haga clic en Continuar manualmente si el cortafuegos VM-Series no tiene acceso
directo a Internet. El cortafuegos genera un archivo de token. Haga clic en el enlace
Exportar token de licencia para guardar el archivo de token en su ordenador local y
luego reinicie el cortafuegos. Inicie sesin en el portal de asistencia de
Palo Alto Networks y acceda a la pgina Activos > Dispositivos; haga clic en el enlace
Deshabilitar VM para usar este archivo de token y completar el proceso de
desactivacin.
Haga clic en Continuar si desea desactivar las licencias del cortafuegos VM-Series.
Haga clic en Reiniciar ahora para completar el proceso de desactivacin de licencias.
Haga clic en Cancelar si desea cancelar y cerrar la ventana de desactivacin de VM.
Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos:
Atributos supervisados en un
origen de VMware
Atributos supervisados
en el AWS-VPC
UUID
Arquitectura
Nombre
ID de imagen
ID de instancia
Estado de instancia
Anotacin
Tipo de instancia
Versin
Nombre de clave
zona de disponibilidad
ID de VPC
Aadir: para aadir un nuevo origen para la supervisin de VM, haga clic en Aadir y,
a continuacin, complete los detalles basados en el origen que se est supervisando:
Tabla 20. Activacin de los orgenes de informacin de la VM para los servidores ESXi de
VMware o vCenter
Campo
Descripcin
Nombre
Tipo
Descripcin
Puerto
Habilitado
Conectado
Desconectado
Origen
Nombre de usuario
Contrasea
Intervalo de
actualizacin
Descripcin
Nombre
Tipo
Tabla 21. Activacin de los orgenes de informacin de la VM para AWS VPC (Continuacin)
Campo
Descripcin
Descripcin
Habilitado
Conectado
Desconectado
ID de clave de acceso
Intervalo de actualizacin
Tiempo de espera
ID de VPC
Instalacin de software
Instalacin de software
Dispositivo > Software
Use esta pgina para ver las versiones de software disponibles, descargar o actualizar una
versin, instalar una versin (se requiere una licencia de asistencia), eliminar una imagen de
software del dispositivo o ver las notas de la versin. Siga estas recomendaciones antes de
actualizar o desactualizar la versin de software:
Lea las notas de la versin para ver una descripcin de los cambios de una versin y la
ruta de migracin para instalar el software.
Realice una copia de seguridad de su configuracin actual, ya que una versin con
caractersticas puede migrar determinadas configuraciones para admitir nuevas
caractersticas. (Haga clic en la pestaa Dispositivo > Configuracin > Operaciones y
seleccione Exportar instantnea de configuracin con nombre, seleccione
running-config.xml y, a continuacin, haga clic en ACEPTAR para guardar el archivo de
configuracin en su ordenador.)
Cuando realice una desactualizacin, se recomienda que lo haga a una configuracin que
coincida con la versin del software.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 5.0 a
6.0. o de 6.0 a 6.1), puede que se migre la configuracin para admitir nuevas
caractersticas. Si est habilitada la sincronizacin de sesiones, las sesiones no se
sincronizarn si un dispositivo del clster ejecuta una versin con caractersticas de
PAN-OS diferente.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del dispositivo no est actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
Descripcin
Versin
Tamao
Descripcin
Fecha de versin
Disponible
Instalado actualmente
Accin
Notas de versin
Botn Cargar
Descripcin
Versin
ltima comprobacin
Programacin
Nombre de archivo
Caractersticas
Tipo
Tamao
Fecha de versin
Descargado
Descripcin
Instalado actualmente
Accin
Documentacin
Descripcin
Nombre
Descripcin
Funcin
API XML
Lnea de comandos
Descripcin
Nombre
Perodo necesario
para el cambio de
contrasea (das)
Descripcin
Perodo de
advertencia de
vencimiento (das)
Recuento de inicio
de sesin de
administrador
posterior al
vencimiento
Perodo de gracia
posterior al
vencimiento (das)
Para aplicar un perfil de contrasea a una cuenta, seleccione Dispositivo > Administradores
(para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuacin,
seleccione el perfil en la lista desplegable Perfil de la contrasea.
Restricciones
Conjunto de caracteres de
contrasea
Cuentas de administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario locales:
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Nota: Los nombres de inicio de sesin no pueden empezar por guin (-).
Autenticacin con clave pblica (SSH): El administrador genera un par de claves pblica
y privada en la mquina que requiere acceso al dispositivo y, a continuacin, carga la
clave pblica en el dispositivo para permitir un acceso seguro sin exigir que el
administrador introduzca un nombre de usuario y una contrasea.
Para garantizar la seguridad de la interfaz de gestin del dispositivo, se recomienda cambiar
peridicamente las contraseas administrativas utilizando una mezcla de minsculas, maysculas y
nmeros. Tambin puede aplicar Complejidad de contrasea mnima desde Configuracin >
Gestin.
Para aadir un administrador, haga clic en Aadir y especifique la siguiente informacin.
Tabla 27.
Campo
Descripcin
Nombre
Perfil de autenticacin
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Nueva contrasea
Confirmar nueva contrasea
Tabla 27.
Campo
Descripcin
Funcin
Sistema virtual
(Solo para una funcin de
administrador de sistema
virtual del cortafuegos)
Haga clic en Aadir para seleccionar los sistemas virtuales a los que
puede acceder el administrador.
Perfil de la contrasea
Tabla 28.
Campo
Descripcin
Nombre
Sistemas virtuales
Descripcin
Nombre
Pestaa
Autenticacin
Tipo
Perfil de servidor
Obtener grupo de
usuarios
Atributo de inicio de
sesin
Descripcin
Aviso de caducidad de
contrasea
Dominio de usuario
y
Modificador de
nombre de usuario
Dominio de Kerberos
Descripcin
Keytab de Kerberos
Si su red es compatible con el registro nico (SSO) de Kerberos, haga clic en el enlace
Importar y luego en Examinar para buscar el archivo keytab; a continuacin, haga clic
en ACEPTAR. Un keytab contiene la informacin de cuenta de Kerberos (nombre
principal y contrasea con hash) para el dispositivo, necesaria para la autenticacin SSO.
Cada perfil de autenticacin puede tener un keytab. Durante la autenticacin, el
dispositivo intenta primero usar el keytab para establecer SSO. Si lo logra y el usuario
que intenta acceder est en la Lista de permitidas, la autenticacin es inmediata. De lo
contrario, el proceso de autenticacin se revierte a autenticacin manual (nombre de
usuario/contrasea) del tipo especificado, que no tiene por qu ser Kerberos. Para
obtener ms informacin sobre cmo crear keytabs vlidos para dispositivos
Palo Alto Networks, consulte la Gua del administrador de PAN-OS.
Nota: Si el dispositivo est en modo FIPS (Estndar federal de procesamiento de informacin) o CC
(Criterios comunes), el algoritmo tiene que ser aes128-cts-hmac-sha1-96 o aes256-cts-hmac-sha1-96.
De lo contrario, puede usar tambin des3-cbc-sha1 o arcfour-hmac. El algoritmo en el keytab tiene
que coincidir con el algoritmo del vale de servicio que el servicio de concesin de vales emite para
habilitar a los clientes para SSO. De lo contrario, el proceso de SSO fallar. Su administrador de
Kerberos determina qu algoritmos usan los vales de servicio.
Pestaa Avanzada
Lista de permitidas
Haga clic en Aadir y seleccione todos o seleccione los usuarios y grupos especficos que
tienen permiso para autenticarse con este perfil. Si no aade entradas, ningn usuario se
puede autenticar.
Nota: Si ha introducido un valor de Dominio de usuario, no necesita especificar dominios en la
Lista de permitidas. Por ejemplo, si el Dominio de usuario es businessinc y quiere aadir al
usuario admin1 a la Lista de permitidas, introducir admin1 tiene el mismo efecto que
introducir businessinc\admin1. Puede especificar grupos que ya existen en su servicio de
directorios o especificar grupos personalizados basados en filtros LDAP (consulte Pestaa
secundaria Grupo personalizado).
Para eliminar usuarios o grupos, seleccione las casillas de verificacin correspondientes
y haga clic en Eliminar.
Intentos fallidos
Descripcin
Nombre
Ubicacin
Modo
Habilitar
Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Al configurar el portal cautivo, primero debe crear la cuenta local, aadirla a un grupo de
usuarios y crear un perfil de autenticacin utilizando el nuevo grupo. A continuacin, debe
habilitar el portal cautivo desde Dispositivo > Autenticacin de usuario > Portal cautivo y
seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una poltica
desde Polticas > Portal cautivo. Consulte Configuracin del cortafuegos para la
identificacin de usuarios para obtener ms informacin.
Descripcin
Nombre
Ubicacin
Haga clic en Aadir para seleccionar a los usuarios que desee aadir al
grupo.
Descripcin
Nombre de perfil
Ubicacin
nicamente uso de
administrador
Seleccione esta casilla de verificacin para especificar que solo las cuentas
de administrador puedan usar el perfil para la autenticacin. Para
cortafuegos que tienen varios sistemas virtuales, la casilla de verificacin
aparece solo si la Ubicacin es Compartida.
Tiempo de espera
Reintentos
Descripcin
Servidores
Descripcin
Nombre de perfil
Ubicacin
nicamente uso de
administrador
Seleccione esta casilla de verificacin para especificar que solo las cuentas
de administrador puedan usar el perfil para la autenticacin. Para
cortafuegos de vsys mltiples, la casilla de verificacin aparece solo si la
Ubicacin es Compartida.
Tiempo de espera
Servidores
Descripcin
Nombre de perfil
Ubicacin
nicamente uso de
administrador
Seleccione esta casilla de verificacin para especificar que solo las cuentas
de administrador puedan usar el perfil para la autenticacin. Para
cortafuegos que tienen varios sistemas virtuales, la casilla de verificacin
aparece solo si la Ubicacin es Compartida.
Servidores
Tipo
DN base
Enlazar DN
Contrasea/Confirmar
contrasea
Tiempo de espera
de enlace
Tiempo de espera de
bsqueda
Intervalo de reintento
Solicitar conexin
SSL/TLS protegida
Seleccione esta casilla de verificacin si quiere que el dispositivo use SSL o TLS
para comunicarse con el servidor de directorio. El protocolo depende del
puerto del servidor:
389 (predeterminado): TLS (especficamente, el dispositivo usa la operacin
StartTLS, que actualiza la conexin de texto no cifrado con TLS).
636: SSL
Cualquier otro puerto: El dispositivo intenta primer usar TLS. Si el servidor
de directorio no admite TLS, el dispositivo regresa a SSL.
La casilla de verificacin est seleccionada de manera predeterminada.
Descripcin
Verificar certificado de
servidor para sesiones
SSL
Descripcin
Nombre de perfil
Ubicacin
nicamente uso de
administrador
Seleccione esta casilla de verificacin para especificar que solo las cuentas
de administrador puedan usar el perfil para la autenticacin. Para
cortafuegos que tienen varios sistemas virtuales, la casilla de verificacin
aparece solo si la Ubicacin es Compartida.
Servidores
Descripcin
Nombre
Perfiles de
autenticacin
Descripcin
Nombre
Descripcin
Habilitado
Tipo de log
Hora de inicio de
exportacin
programada (a diario)
Protocolo
Nombre de host
Puerto
Ruta
Nombre de usuario
Contrasea
Descripcin
Panorama
Trap SNMP
Syslog
Correo electrnico
Nota: Para configurar los destinos de los logs de trfico, consulte Reenvo de logs.
Descripcin
Panorama
Trap SNMP
Para generar traps SNMP para entradas del log configuracin, seleccione
el perfil del servidor trap SNMP. Para especificar los nuevos destinos de
traps SNMP, consulte Configuracin de destinos de traps SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log de
configuracin, seleccione un perfil de correo electrnico del men
desplegable. Para especificar un nuevo perfil de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.
Syslog
Descripcin
Panorama
Trap SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin de destinos de traps SNMP.
Configuracin de servidores Syslog.
Configuracin de ajustes de notificaciones por correo electrnico.
En funcin de la gravedad del evento, puede especificar si las entradas del log Sistema se
registran de manera remota con Panorama y se envan como traps SNMP, mensajes de Syslog
o notificaciones por correo electrnico.
Descripcin
Panorama
Trap SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log de correlacin. Para definir nuevos destinos, consulte:
Configuracin de destinos de traps SNMP.
Configuracin de servidores Syslog.
Configuracin de ajustes de notificaciones por correo electrnico.
Descripcin
Panorama
Trap SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar los nuevos destinos
de traps SNMP, consulte Configuracin de destinos de traps SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione el nombre de la configuracin de correo
electrnico que especifica las direcciones de correo electrnico adecuadas.
Para especificar nuevos ajustes de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.
Syslog
Para aadir una alarma, edite la seccin Configuracin de alarma y utilice la siguiente tabla
para definirla:
Descripcin
Habilitar alarmas
Habilitar notificaciones
de alarmas por CLI
Habilitar notificaciones
de alarma web
Habilitar alarmas
audibles
Umbral de fallo de
cifrado/descifrado
Umbral de alarma de
base de datos de log
(% lleno)
Lmites de poltica de
seguridad
Lmites de grupos de
polticas de seguridad
Auditora selectiva
Descripcin
Nombre
Ubicacin
Versin
Gestor SNMP
Comunidad
Descripcin
Para SNMP V3
Nombre
Gestor SNMP
Usuario
EngineID
Contrasea de
autenticacin
Contrasea priv.
Descripcin
Nombre
Ubicacin
Pestaa Servidores
Nombre
Haga clic en Aadir e introduzca un nombre para el servidor Syslog (de hasta
31 caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Servidor
Transporte
Puerto
Introduzca el nmero de puerto del servidor Syslog (el puerto estndar para
UDP es 514; el puerto estndar para SSL es 6514; para TCP debe especificar un
nmero de puerto).
Formato
Instalaciones
Seleccione uno de los valores estndar de Syslog. Seleccione el valor que asigna
al modo en que su servidor Syslog usa el campo Instalaciones para gestionar
mensajes. Para obtener ms informacin sobre el campo Instalaciones, consulte
RFC 3164 (formato BSD) o RFC 5424 (formato IETF).
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Otras cadenas de texto
se pueden editar directamente en el rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin. Ver una descripcin de cada
campo que se pueda usar para logs personalizados.
Para obtener informacin detallada sobre los campos que se pueden utilizar
para logs personalizados, consulte Configuracin de ajustes de
notificaciones por correo electrnico.
Escape
No puede eliminar un servidor que se utilice en algn ajuste del log Sistema o
Configuracin o algn perfil de logs.
Descripcin
Nombre
Ubicacin
Pestaa Servidores
Servidor
Mostrar nombre
De
Para
Destinatario adicional
Puerta de enlace
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin.
Escape
No puede eliminar un ajuste de correo electrnico que se utilice en algn ajuste del
log Sistema o Configuracin o algn perfil de logs.
Descripcin
Nombre
Tasa de actualizacin de
plantilla
Tipos de campos de
PAN-OS
Servidores
Nombre
Servidor
Puerto
Descripcin
Nombre
Ubicacin
Origen de herencia
Comprobar estado
de origen de
herencia
(Opcional) Si elige un servidor DNS desde el que heredar configuraciones, haga clic en este
enlace para ver el estado del origen de herencia.
DNS principal
Especifique la direccin IP del servidor DNS principal, o djelo como heredado si ha elegido
un origen de herencia.
DNS secundario
Ruta de
servicio IPv4
Haga clic en esta casilla de verificacin si quiere especificar que los paquetes dirigidos al
servidor de DNS tienen su origen en una direccin IPv4.
(Opcional) Especifique la interfaz de origen que usarn los paquetes dirigidos al
servidor de DNS.
Especifique la direccin de origen IPv4 desde la que se originan los paquetes dirigidos
al servidor de DNS.
Ruta de
servicio IPv6
Haga clic en esta casilla de verificacin si quiere especificar que los paquetes dirigidos al
servidor de DNS tienen su origen en una direccin IPv6.
(Opcional) Especifique la interfaz de origen que usarn los paquetes dirigidos al
servidor de DNS.
Especifique la direccin de origen IPv6 desde la que se originan los paquetes dirigidos
al servidor de DNS.
Uso de certificados
Dispositivo > Gestin de certificados > Certificados
Los certificados se utilizan para cifrar datos y garantizar la comunicacin en una red.
Uso de certificados
Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.
Descripcin
Nombre comn
Compartido
Uso de certificados
Descripcin
Firmado por
Autoridad del
certificado
OCSP responder
Algoritmo
Resumen
Vencimiento (das)
Uso de certificados
Descripcin
Descripcin
Eliminar
Revocar
Renovar
Uso de certificados
Descripcin
Importar
Generar
Consulte generar.
Exportar
Importar clave de HA
Exportar clave de HA
Descripcin
Habilitar
Deshabilitar
Exportar
Descripcin
Nombre
Ubicacin
Descripcin
Dominio
Certificados de CA
Utilizar CRL
Utilizar OCSP
Tiempo de espera de
recepcin de CRL
Tiempo de espera de
recepcin de OCSP
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Adems de aadir un respondedor OCSP, habilitar un OCSP requiere las siguientes tareas:
Descripcin
Nombre
Ubicacin
Nombre de host
Descripcin
Nombre
Compartido
Certificado
Versin mn.
Versin mx.
Habilitacin de HA en el cortafuegos
Para aadir una clave maestra, haga clic en el botn de edicin en la seccin Clave maestra y
utilice la siguiente tabla para introducir los valores:
Descripcin
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del dispositivo.
Duracin
Tiempo para el
recordatorio
Almacenado en HSM
Criterios comunes
Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Para redundancia, el cortafuegos se puede implementar en una configuracin activa/pasiva o
activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se
reflejan entre s en la configuracin.
En un par de HA, ambos peers deben tener el mismo modelo, deben ejecutar la misma
versin de PAN-OS y deben tener el mismo conjunto de licencias.
Asimismo, para los cortafuegos VM-Series, ambos peers deben estar en el mismo
hipervisor y deben tener el mismo nmero de ncleos de CPU asignados a cada peer.
HA Lite
Los cortafuegos de las series PA-200 y VM-Series edicin NSX admiten una versin lite de
la HA activa/pasiva que no incluye ninguna sincronizacin de sesiones. HA Lite permite la
sincronizacin de la configuracin y la sincronizacin de algunos elementos de tiempo de
Habilitacin de HA en el cortafuegos
ejecucin. Tambin admite la conmutacin por error de tneles de IPSec (las sesiones deben
volver a establecerse), informacin de concesin de servidor DHCP, informacin de concesin
de cliente DHCP, informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos
cuando est configurado en el modo de capa 3.
Para cada seccin de la pgina Alta disponibilidad, haga clic en Editar en el encabezado y
especifique la informacin correspondiente descrita en la tabla siguiente.
Descripcin
Pestaa General
Configuracin
Configuracin
Activa/Pasiva
Habilitacin de HA en el cortafuegos
Descripcin
Configuracin de
eleccin
Habilitacin de HA en el cortafuegos
Descripcin
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
Habilitacin de HA en el cortafuegos
Descripcin
Enlace de datos
(HA2)
Habilitacin de HA en el cortafuegos
Descripcin
Ruta de datos divididos: Esta accin est diseada
para una configuracin de HA activa/activa. En una
configuracin activa/activa, si el administrador o un
fallo de supervisin deshabilita la sincronizacin de
sesiones, la propiedad de sesin y la configuracin de
sesin se establecern como el dispositivo local y las
nuevas sesiones se procesarn localmente durante la
sesin.
Umbral (ms): Tiempo durante el cual los mensajes de
conexin persistente han fallado antes de que se haya
activado una de las acciones anteriores (rango:
5.000-60.000 ms; valor predeterminado: 10.000 ms).
Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producir
una conmutacin por error en el enlace de copia de seguridad si hay un fallo en el
enlace fsico. Con la opcin Conexin persistente de HA2 habilitada, la conmutacin
por error tambin se producir si fallan los mensajes de conexin persistente de HA
basados en el umbral definido.
Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino
especificadas enviando mensajes de ping ICMP para asegurarse de que
responden. Utilice la supervisin de rutas para configuraciones de
Virtual Wire, capa 2 o capa 3 cuando se necesite la supervisin de otros
dispositivos de red en caso de conmutacin por error y la supervisin de
enlaces no sea suficiente por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos al
responder.
Habilitacin de HA en el cortafuegos
Descripcin
Grupo de rutas
Supervisin de
enlaces
Especifique lo siguiente:
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Habilitacin de HA en el cortafuegos
Descripcin
Interfaz de HA3
Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo
Frames) en el cortafuegos y en todos los dispositivos de red intermediarios.
Para habilitar las tramas gigantes (Jumbo Frames), seleccione
Dispositivo > Configuracin < Sesin y la opcin Habilitar trama
gigante en la seccin Configuracin de sesin.
Sincronizacin de VR
Sincronizacin de
QoS
Tiempo de espera de
tentativa (seg.)
Seleccin de
propietario de sesin
Configuracin de
sesin
Habilitacin de HA en el cortafuegos
Descripcin
Direccin virtual
Comandos de operacin
Suspender
dispositivo local
Cambia a Make local
device functional
Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo.
Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen.
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
Sincronice los cortafuegos desde la interfaz web pulsando el botn Introducir configuracin
ubicado en el widget de HA en la pestaa Panel. Tenga en cuenta que la configuracin del
dispositivo desde el que introducir la configuracin sobrescribir la configuracin del
dispositivo del peer. Para sincronizar los cortafuegos desde la CLI del dispositivo activo,
utilice el comando request high-availability sync-to-remote running-config.
En una configuracin activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de
SFP+ de 10 gigabits, cuando se produce una conmutacin por error y el dispositivo activo cambia a un
estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el
puerto, pero no permite la transmisin hasta que el dispositivo vuelve a activarse. Si cuenta con un
software de supervisin en el dispositivo vecino, este ver el puerto como flap debido a su desactivacin y
posterior activacin. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de
1 gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisin, por lo que el dispositivo
vecino no detecta ningn flap.
Los cortafuegos que estn en modo de sistemas virtuales mltiples aceptan configuraciones
especficas de vsys para todos los vsys definidos en la plantilla.
Un administrador de vsys crea y gestiona todos los elementos necesarios para las
polticas.
Las zonas son objetos dentro de vsys. Antes de definir una poltica o un objeto de las
polticas, seleccione el sistema virtual en la lista desplegable de la pestaa Polticas u
Objetos.
Puede configurar rutas de servicios globales (para todos los vsys en un cortafuegos) o
especficas de un vsys (consulte Definicin de la configuracin de servicios).
Antes de definir vsys, debe habilitar primero la capacidad para varios vsys en el cortafuegos:
seleccione Dispositivo > Configuracin > Gestin, modifique la Configuracin general,
seleccione la casilla de verificacin Capacidad de cortafuegos virtuales y haga clic en
ACEPTAR. Esto aade una pgina Dispositivo > Sistemas virtuales. Seleccione la pgina,
haga clic en Aadir y especifique la siguiente informacin.
Descripcin
ID
Nombre
Permitir reenvo de
contenido descifrado
Descripcin
Pestaa General
Pestaa Recurso
Descripcin
ID
Nombre
Proxy DNS
Interfaces
Descripcin
Pgina de bloqueo de
antivirus
Pgina de bloqueo de
aplicacin
Pgina de comodidad de
portal cautivo
Pgina de bienvenida de
GlobalProtect
Pgina de notificacin de
errores de certificado SSL
Descripcin
Pgina de exclusin de
descifrado de SSL
Pgina de continuacin y
cancelacin de filtrado de URL
Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.
Pgina de bloqueo de
aplicacin de bsqueda
segura de filtro de URL
Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del tipo
de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar. Explore
para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se ha realizado
con xito. Para que la importacin tenga xito, el archivo debe estar en formato HTML.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
Asistencia tcnica: Utilice esta seccin para ver la informacin de contacto de la asistencia
tcnica de Palo Alto Networks, el estado de la asistencia tcnica del dispositivo o activar
su contrato usando un cdigo de autorizacin.
Captulo 4
Configuracin de red
Definicin de cables virtuales (Virtual Wires)
Configuracin de la interfaz de un cortafuegos
Configuracin de un enrutador virtual
Configuracin de la compatibilidad de VLAN
Configuracin de DHCP
Configuracin de proxy DNS
Configuracin de LLDP
Definiendo perfiles de gestiones de interfaz
Definicin de perfiles de supervisin
Definicin de perfiles de proteccin de zonas
Definicin de perfiles LLDP
Descripcin
Interfaces
Etiquetas permitidas
Cortafuegos multicast
Qu est buscando?
Consulte
Qu est buscando?
Consulte
Busca ms informacin?
Interfaces fsicas: El cortafuegos tiene dos tipos de interfaces de Ethernet, cobre coaxial y
fibra ptica, puede enviar y recibir trfico a distintas velocidades de transmisin. Puede
configurar interfaces de Ethernet como los siguientes tipos: Tap, alta disponibilidad (HA),
la tarjeta de log (interfaz y subinterfaz), el reflejo de descifrado, el cable virtual (interfaz y
Interfaces lgicas: Esto incluye interfaces de red de rea local virtual (VLAN), interfaces
de bucle invertido e interfaces de tnel. Debe configurar la interfaz fsica antes de definir
una VLAN o una interfaz de tnel.
Descripcin
Interfaz (nombre
de interfaz)
Tipo de interfaz
Para las interfaces de Ethernet (Red > Interfaces > Ethernet), puede seleccionar el
tipo de interfaz:
Puntear
HA
Reflejo de descifrado (solo cortafuegos de las series PA-7000, PA-5000 y
PA-3000)
Virtual Wire
Capa 2
Capa 3
Tarjeta de log (solo cortafuegos de la serie PA-7000)
Agregar Ethernet
Perfil de gestin
Seleccione un perfil que defina los protocolos (por ejemplo, SSH, Telnet y HTTP)
que puede usar para gestionar el cortafuegos en esta interfaz.
Estado de enlace
Direccin IP
Enrutador
virtual
Descripcin
Etiqueta
VLAN
Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva
VLAN (consulte Configuracin de la compatibilidad de VLAN). Si selecciona
Ninguno, se elimina la asignacin de VLAN de la interfaz. Para permitir el
intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a travs de
una interfaz de VLAN, debe configurar un objeto VLAN.
Sistema virtual
Zona de
seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona
para definir una nueva zona. Si selecciona Ninguno, se elimina la asignacin de
zona actual de la interfaz.
Caractersticas
En las interfaces Ethernet, esta columna indica si se han habilitado las siguientes
caractersticas:
Protocolo de control de agregacin de enlaces (LACP)
Perfil de calidad del servicio (QoS)
Protocolo de deteccin de nivel de enlace (LLDP)
Perfil de flujo de red
Cliente de protocolo de configuracin de host dinmico (DHCP): Esta
interfaz funciona como un cliente DHCP y recibir una direccin IP asignada
dinmicamente.
Comentarios
Descripcin
Ranura
Interfaz (nombre
de interfaz)
Configurado en
Descripcin
Nombre
de interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Seleccione Capa2.
Perfil de flujo
de red
Interfaz
Ethernet
VLAN
Interfaz de
Ethernet >
Configurar
Sistema virtual
Interfaz de
Ethernet >
Configurar
Zona de
seguridad
Interfaz de
Ethernet >
Configurar
Velocidad
de enlace
Interfaz de
Ethernet >
Avanzado
Dplex
de enlace
Interfaz de
Ethernet >
Avanzado
Configurado en
Descripcin
Estado de
enlace
Interfaz de
Ethernet >
Avanzado
Habilitar LLDP
Interfaz de
Ethernet >
Avanzado > LLDP
Perfil
Interfaz de
Ethernet >
Avanzado > LLDP
Descripcin
Nombre de
interfaz
El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz fsica que ha
seleccionado. En el campo adyacente, introduzca un sufijo numrico (1-9999) para identificar la
subinterfaz.
Comentarios
Etiqueta
Perfil de flujo de
red
VLAN
Para permitir el cambio entre las interfaces de capa 2 o para permitir el enrutamiento a travs de
una interfaz VLAN, seleccione una VLAN, o haga clic en el enlace VLAN para definir una
nueva VLAN (consulte Configuracin de la compatibilidad de VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Sistema virtual
Zona de
seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una
nueva zona. Si selecciona Ninguno, se elimina la asignacin de zona actual de la subinterfaz.
Configurado en
Descripcin
Nombre de interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Seleccione Capa3.
Interfaz
Ethernet
Enrutador virtual
Interfaz de
Ethernet >
Configurar
Sistema virtual
Interfaz de
Ethernet >
Configurar
Zona de seguridad
Interfaz de
Ethernet >
Configurar
Velocidad de enlace
Interfaz de
Ethernet >
Avanzado
Dplex de enlace
Interfaz de
Ethernet >
Avanzado
Estado de enlace
Interfaz de
Ethernet >
Avanzado
Perfil de gestin
Interfaz de
Ethernet >
Avanzado >
Otra informacin
MTU
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Configurado en
Descripcin
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Subinterfaz no
etiquetada
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Direccin IP
Interfaz de
Ethernet >
Avanzado >
Entradas de ARP
Interfaz de
Ethernet >
Avanzado >
Entradas de ND
Interfaz de
Ethernet >
Avanzado >
Proxy NDP
Direccin MAC
Direccin IPv6
Direccin MAC
Interfaz de
Ethernet >
Avanzado >
Proxy NDP
Configurado en
Descripcin
Negar
Interfaz de
Ethernet >
Avanzado >
Proxy NDP
Habilitar LLDP
Interfaz de
Ethernet >
Avanzado > LLDP
Perfil
Interfaz de
Ethernet >
Avanzado > LLDP
Interfaz de
Ethernet > IPv4
Interfaz de
Ethernet > IPv4
Interfaz
Ethernet > IPv4 >
PPPoE > General
Nombre de usuario
Interfaz
Ethernet > IPv4 >
PPPoE > General
Contrasea/
Confirmar contrasea
Interfaz
Ethernet > IPv4 >
PPPoE > General
Configurado en
Descripcin
Mostrar informacin
de tiempo de
ejecucin de cliente
PPPoE
Interfaz
Ethernet > IPv4 >
PPPoE > General
Autenticacin
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Direccin esttica
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Crear
automticamente
ruta predeterminada
que apunte al peer
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Mtrica de ruta
predeterminada
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Acceder a
concentrador
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Servicio
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Pasivo
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Interfaz de
Ethernet > IPv4
Configurado en
Descripcin
Crear
automticamente
ruta predeterminada
que apunte a la
puerta de enlace
predeterminada
proporcionada por el
servidor
Interfaz de
Ethernet > IPv4
Mtrica de ruta
predeterminada
Interfaz de
Ethernet > IPv4
Mostrar informacin
de tiempo de ejecucin
de cliente DHCP
Interfaz de
Ethernet > IPv4
Haga clic en este botn para mostrar todos los ajustes recibidos
desde el servidor DHCP, incluidos el estado de concesin de DHCP,
la asignacin de IP dinmica, la mscara de subred, la puerta de
enlace, la configuracin del servidor (DNS, NTP, dominio, WINS,
NIS, POP3 y SMTP).
Interfaz de
Ethernet > IPv6
ID de interfaz
Interfaz de
Ethernet > IPv6
Configurado en
Descripcin
Direccin
Interfaz de
Ethernet > IPv6
Habilitar deteccin
de direcciones
duplicadas
Interfaz de
Ethernet > IPv6
Intentos DAD
Interfaz de
Ethernet > IPv6
Tiempo alcanzable
Interfaz de
Ethernet > IPv6
Intervalo NS
(intervalo de
solicitacin de
vecinos)
Interfaz de
Ethernet > IPv6
Configurado en
Descripcin
Habilitar anuncio
de enrutador
Interfaz de
Ethernet > IPv6
Mn. de intervalo
(segundos)
Interfaz de
Ethernet > IPv6
Mx. de intervalo
(segundos)
Interfaz de
Ethernet > IPv6
Lmite de salto
Interfaz de
Ethernet > IPv6
MTU de enlace
Interfaz de
Ethernet > IPv6
Tiempo alcanzable
(ms)
Interfaz de
Ethernet > IPv6
Tiempo de
retransmisin (ms)
Interfaz de
Ethernet > IPv6
Duracin de
enrutador (segundos)
Interfaz de
Ethernet > IPv6
Configurado en
Descripcin
Preferencia
de enrutador
Interfaz de
Ethernet > IPv6
Configuracin
gestionada
Interfaz de
Ethernet > IPv6
Otras
configuraciones
Interfaz de
Ethernet > IPv6
Comprobacin
de coherencia
Interfaz de
Ethernet > IPv6
Configurado en
Descripcin
Nombre de interfaz
Subinterfaz
de capa3
Comentarios
Subinterfaz
de capa3
Etiqueta
Subinterfaz
de capa3
Subinterfaz
de capa3
Enrutador virtual
Subinterfaz
de capa3 >
Configurar
Sistema virtual
Subinterfaz
de capa3 >
Configurar
Zona de seguridad
Subinterfaz
de capa3 >
Configurar
Perfil de gestin
Subinterfaz
de capa3 >
Avanzado >
Otra informacin
MTU
Subinterfaz
de capa3 >
Avanzado >
Otra informacin
Configurado en
Descripcin
Subinterfaz
de capa3 >
Avanzado >
Otra informacin
Direccin IP
Subinterfaz
de capa3 >
Avanzado >
Entradas de ARP
Subinterfaz
de capa3 >
Avanzado >
Entradas de ND
Subinterfaz
de capa3 >
Avanzado >
Proxy NDP
Direccin MAC
Direccin IPv6
Direccin MAC
Subinterfaz
de capa3 >
Avanzado >
Proxy NDP
Negar
Subinterfaz
de capa3 >
Avanzado >
Proxy NDP
Configurado en
Descripcin
Subinterfaz de
capa3 > IPv4
Subinterfaz de
capa3 > IPv4
Subinterfaz de
capa3 > IPv4
Crear
automticamente
ruta predeterminada
que apunte a la
puerta de enlace
predeterminada
proporcionada por el
servidor
Subinterfaz de
capa3 > IPv4
Mtrica de ruta
predeterminada
Subinterfaz de
capa3 > IPv4
Mostrar informacin
de tiempo de
ejecucin de cliente
DHCP
Subinterfaz de
capa3 > IPv4
Haga clic en este botn para mostrar todos los ajustes recibidos
desde el servidor DHCP, incluidos el estado de concesin de DHCP,
la asignacin de IP dinmica, la mscara de subred, la puerta de
enlace, la configuracin del servidor (DNS, NTP, dominio, WINS,
NIS, POP3 y SMTP).
Configurado en
Descripcin
Subinterfaz de
capa3 > IPv6
ID de interfaz
Subinterfaz de
capa3 > IPv6
Direccin
Subinterfaz de
capa3 > IPv6
Habilitar deteccin
de direcciones
duplicadas
Subinterfaz de
capa3 > IPv6
Intentos DAD
Subinterfaz de
capa3 > IPv6
Configurado en
Descripcin
Tiempo alcanzable
Subinterfaz de
capa3 > IPv6
Intervalo NS
(intervalo de
solicitacin de
vecinos)
Subinterfaz de
capa3 > IPv6
Habilitar anuncio de
enrutador
Subinterfaz de
capa3 > IPv6
Mn. de intervalo
(segundos)
Subinterfaz de
capa3 > IPv6
Mx. de intervalo
(segundos)
Subinterfaz de
capa3 > IPv6
Lmite de salto
Subinterfaz de
capa3 > IPv6
MTU de enlace
Subinterfaz de
capa3 > IPv6
Tiempo alcanzable
(ms)
Subinterfaz de
capa3 > IPv6
Tiempo de
retransmisin (ms)
Subinterfaz de
capa3 > IPv6
Configurado en
Descripcin
Duracin de
enrutador (segundos)
Subinterfaz de
capa3 > IPv6
Preferencia de
enrutador
Subinterfaz de
capa3 > IPv6
Configuracin
gestionada
Subinterfaz de
capa3 > IPv6
Otras
configuraciones
Subinterfaz de
capa3 > IPv6
Comprobacin de
coherencia
Subinterfaz de
capa3 > IPv6
Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
2.
Configurado en
Descripcin
Nombre de
interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Configurado en
Descripcin
Virtual Wire
Interfaz de
Ethernet >
Configurar
Sistema virtual
Interfaz de
Ethernet >
Configurar
Zona de
seguridad
Interfaz de
Ethernet >
Configurar
Velocidad de
enlace
Interfaz de
Ethernet >
Avanzado
Dplex de
enlace
Interfaz de
Ethernet >
Avanzado
Estado de
enlace
Interfaz de
Ethernet >
Avanzado
Habilitar LLDP
Interfaz de
Ethernet >
Avanzado >
LLDP
Perfil
Interfaz de
Ethernet >
Avanzado >
LLDP
Descripcin
Nombre
de interfaz
El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz fsica que ha
seleccionado. En el campo adyacente, introduzca un sufijo numrico (1-9999) para identificar la
subinterfaz.
Comentarios
Etiqueta
Perfil de flujo
de red
Clasificador IP
Haga clic en Aadir para introducir una direccin IP, intervalo IP o subred para clasificar el
trfico en esta subinterfaz de cable virtual.
Virtual Wire
Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo
(consulte Definicin de cables virtuales (Virtual Wires)). Si selecciona Ninguno, se elimina la
asignacin del enrutador virtual actual de la subinterfaz.
Sistema virtual
Zona de
seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una
nueva zona. Si selecciona Ninguno, se elimina la asignacin de zona actual de la subinterfaz.
Configurado
en
Nombre
de interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Seleccione Tap.
Perfil de flujo
de red
Interfaz
Ethernet
Descripcin
Interfaz de
Ethernet >
Configurar
Zona de
seguridad
Interfaz de
Ethernet >
Configurar
Velocidad
de enlace
Interfaz de
Ethernet >
Avanzado
Dplex de
enlace
Interfaz de
Ethernet >
Avanzado
Estado de
enlace
Interfaz de
Ethernet >
Avanzado
Configurado en
Descripcin
Ranura
Interfaz Ethernet
Nombre de
interfaz
Interfaz Ethernet
Comentarios
Interfaz Ethernet
Tipo de interfaz
Interfaz Ethernet
IPv4
Interfaz
Ethernet >
Reenvo de
tarjeta de log
Interfaz
Ethernet >
Reenvo de
tarjeta de log
Velocidad de
enlace
Interfaz de
Ethernet >
Avanzado
Dplex de
enlace
Interfaz de
Ethernet >
Avanzado
Estado de
enlace
Interfaz de
Ethernet >
Avanzado
IPv6
Configurado en
Descripcin
Nombre de
interfaz
Subinterfaz LPC
Comentarios
Subinterfaz LPC
Etiqueta
Subinterfaz LPC
Configurado en
Descripcin
Sistema virtual
Subinterfaz
LPC > Configurar
IPv4
Interfaz
Ethernet >
Reenvo de
tarjeta de log
Interfaz
Ethernet >
Reenvo de
tarjeta de log
IPv6
Descripcin
Nombre de
interfaz
Comentarios
Tipo de interfaz
Velocidad de
enlace
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) o seleccione auto para
que el cortafuegos determine automticamente la velocidad.
Dplex de
enlace
Estado de
enlace
Configurado en
Descripcin
Nombre de
interfaz
Agregar interfaz
Ethernet
Comentarios
Agregar interfaz
Ethernet
Tipo de interfaz
Agregar interfaz
Ethernet
Perfil de flujo de
red
Agregar interfaz
Ethernet
Habilitar LACP
Agregar interfaz
Ethernet > LACP
Modo
Agregar interfaz
Ethernet > LACP
Velocidad de
transmisin
Agregar interfaz
Ethernet > LACP
Conmutacin
rpida
Agregar interfaz
Ethernet > LACP
Configurado en
Descripcin
Prioridad del
sistema
Agregar interfaz
Ethernet > LACP
Puertos mx.
Agregar interfaz
Ethernet > LACP
Misma
direccin MAC
del sistema para
modo ActivoPasivo de HA
Agregar interfaz
Ethernet > LACP
Direccin MAC
Agregar interfaz
Ethernet > LACP
Descripcin
Nombre de
interfaz
Comentarios
Tipo de interfaz
Agregar grupo
Velocidad de
enlace
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) o seleccione auto para
que el cortafuegos determine automticamente la velocidad.
Dplex de
enlace
Estado de
enlace
Prioridad de
puerto LACP
Algunos cortafuegos de Palo Alto Networks incluyen puertos fsicos exclusivos para
su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de
datos). En el caso de cortafuegos que no incluyen puertos exclusivos, debe especificar
los puertos de datos que se utilizarn para HA. Si desea ms informacin sobre HA,
consulte Habilitacin de HA en el cortafuegos.
Para configurar una interfaz de HA, haga clic en el nombre de una interfaz (ethernet1/1,
por ejemplo) que no est configurada y especifique la siguiente informacin.
Descripcin
Nombre de
interfaz
Comentarios
Tipo de interfaz
Seleccione HA.
Velocidad de
enlace
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) o seleccione auto para
que el cortafuegos determine automticamente la velocidad.
Dplex de
enlace
Estado de
enlace
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de VLAN
Comentarios
Interfaz de VLAN
Perfil de flujo
de red
Interfaz de VLAN
Configurado en
Descripcin
VLAN
Interfaz de
VLAN >
Configurar
Seleccione una VLAN o haga clic en el enlace VLAN para definir una
nueva (consulte Configuracin de la compatibilidad de VLAN).
Si selecciona Ninguno, se elimina la asignacin de VLAN de la interfaz.
Enrutador
virtual
Interfaz de
VLAN >
Configurar
Sistema virtual
Interfaz de
VLAN >
Configurar
Zona de
seguridad
Interfaz de
VLAN >
Configurar
Perfil de gestin
Interfaz de
VLAN >
Avanzado >
Otra informacin
MTU
Interfaz de
VLAN >
Avanzado >
Otra informacin
Ajustar TCP
MSS
Interfaz de
VLAN >
Avanzado >
Otra informacin
Direccin IP
Interfaz de
VLAN >
Avanzado >
Entradas de ARP
Interfaz de
VLAN >
Avanzado >
Entradas de ND
Direccin MAC
Interfaz
Direccin IPv6
Direccin MAC
Configurado en
Descripcin
Habilitar
Proxy NDP
Interfaz de
VLAN >
Avanzado >
Proxy NDP
Direccin
Interfaz de
VLAN >
Avanzado >
Proxy NDP
Negar
Interfaz de
VLAN >
Avanzado >
Proxy NDP
Interfaz de
VLAN > IPv4
Interfaz de
VLAN > IPv4
Configurado en
Descripcin
Interfaz de
VLAN > IPv4
Crear
automticament
e ruta
predeterminada
que apunte a la
puerta de enlace
predeterminada
proporcionada
por el servidor
Interfaz de
VLAN > IPv4
Mtrica de ruta
predeterminada
Interfaz de
VLAN > IPv4
Mostrar
informacin de
tiempo de
ejecucin de
cliente DHCP
Interfaz de
VLAN > IPv4
Haga clic en este botn para mostrar todos los ajustes recibidos desde el
servidor DHCP, incluidos el estado de concesin de DHCP, la asignacin
de IP dinmica, la mscara de subred, la puerta de enlace, la
configuracin del servidor (DNS, NTP, dominio, WINS, NIS, POP3
y SMTP).
Interfaz de
VLAN > IPv6
ID de interfaz
Interfaz de
VLAN > IPv6
Configurado en
Descripcin
Direccin
Interfaz de
VLAN > IPv6
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.,
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o hacer clic en Direccin para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de
verificacin para utilizar el ID de interfaz como parte de host de la
direccin IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar RA: active esta casilla de verificacin para habilitar el anuncio de
enrutador (RA) para esta direccin IP. (Tambin puede activar la opcin
Habilitar anuncio de enrutador de forma global en la interfaz.) Si desea
informacin sobre el RA, consulte Habilitar anuncio de enrutador en
esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual o
superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida,
el cortafuegos deja de poder utilizar la direccin para establecer
nuevas conexiones, pero cualquier conexin existente es vlida hasta
que caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Habilitar
deteccin de
direcciones
duplicadas
Interfaz de
VLAN > IPv6
Intentos DAD
Interfaz de
VLAN > IPv6
Tiempo
alcanzable
Interfaz de
VLAN > IPv6
Intervalo NS
(intervalo de
solicitacin de
vecinos)
Interfaz de
VLAN > IPv6
Configurado en
Descripcin
Habilitar
anuncio de
enrutador
Interfaz de
VLAN > IPv6
Mn. de
intervalo
(segundos)
Interfaz de
VLAN > IPv6
Mx. de
intervalo
(segundos)
Interfaz de
VLAN > IPv6
Lmite de salto
Interfaz de
VLAN > IPv6
MTU de enlace
Interfaz de
VLAN > IPv6
Tiempo
alcanzable (ms)
Interfaz de
VLAN > IPv6
Tiempo de
retransmisin
(ms)
Interfaz de
VLAN > IPv6
Duracin de
enrutador
(segundos)
Interfaz de
VLAN > IPv6
Preferencia de
enrutador
Interfaz de
VLAN > IPv6
Configurado en
Descripcin
Configuracin
gestionada
Interfaz de
VLAN > IPv6
Otras
configuraciones
Interfaz de
VLAN > IPv6
Comprobacin
de coherencia
Interfaz de
VLAN > IPv6
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de bucle
invertido
Comentarios
Interfaz de bucle
invertido
Perfil de flujo de
red
Interfaz de bucle
invertido
Enrutador
virtual
Interfaz de bucle
invertido >
Configurar
Sistema virtual
Interfaz de bucle
invertido >
Configurar
Zona de
seguridad
Interfaz de bucle
invertido >
Configurar
Perfil de gestin
Interfaz de
tnel >
Avanzado >
Otra informacin
Configurado en
Descripcin
MTU
Interfaz
de tnel >
Avanzado >
Otra informacin
Ajustar TCP
MSS
Interfaz de
tnel >
Avanzado >
Otra informacin
Interfaz de bucle
invertido > IPv4
Haga clic en Aadir y, a continuacin, realice uno de los siguientes pasos para
especificar una direccin IP y una mscara de red para la interfaz.
Introduzca la entrada en la notacin de enrutamiento entre dominios sin
clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24 para IPv4 o
2001:db8::/32 para IPv6).
Seleccione un objeto de direccin existente de tipo mscara de red IP.
Haga clic en enlace Direccin para crear un objeto de direccin de tipo
mscara de red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base de
informacin de reenvo (FIB) que utiliza su sistema determina el nmero
mximo de direcciones IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en Eliminar.
Interfaz de bucle
invertido > IPv6
ID de interfaz
Interfaz de bucle
invertido > IPv6
Direccin
Interfaz de bucle
invertido > IPv6
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.,
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o hacer clic en Direccin para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de
verificacin para utilizar el ID de interfaz como parte de host de la
direccin IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de tnel
Comentarios
Interfaz de tnel
Perfil de flujo
de red
Interfaz de tnel
Enrutador
virtual
Interfaz de
tnel >
Configurar
Sistema virtual
Interfaz de
tnel >
Configurar
Zona de
seguridad
Interfaz de
tnel >
Configurar
Perfil de gestin
Interfaz de
tnel >
Avanzado >
Otra informacin
MTU
Interfaz de
tnel >
Avanzado >
Otra informacin
Configurado en
Descripcin
Interfaz de
tnel > IPv4
Interfaz de
tnel > IPv6
ID de interfaz
Interfaz de
tnel > IPv6
Direccin
Interfaz de
tnel > IPv6
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.,
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o hacer clic en Direccin para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de
verificacin para utilizar el ID de interfaz como parte de host de la
direccin IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Descripcin
Nombre
Interfaces
Distancias
administrativas
Descripcin
Nombre
Destino
Interfaz
Siguiente salto
Distancia administrativa
Mtrica
No instalar
Descripcin
Nombre
Prioridad
Redistribuir
Interfaz
Destino
Siguiente salto
rea
Etiqueta
Comunidad extendida
Descripcin
Habilitar
Tabla 83.
Campo
Descripcin
Interfaces
Interfaz
Habilitar
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica
Perfil de autenticacin
Seleccione el perfil.
Modo
Descripcin
Temporizadores
Segundos del intervalo
(seg)
Intervalo de
actualizaciones
Intervalos de
vencimiento
Intervalos de
eliminacin
Descripcin
Perfiles de
autenticacin
Nombre de perfil
Tipo de contrasea
Descripcin
Reglas de exportacin
Reglas de exportacin
(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y la
accin, en funcin del comportamiento de red deseado. Consulte
Configuracin de la pestaa Perfiles de redistribucin.
Descripcin
Habilitar
ID del enrutador
Descripcin
reas
ID de rea
Tipo
Intervalo
Descripcin
Interfaz
Descripcin
Enlace virtual
Descripcin
Perfiles de autenticacin
Nombre de perfil
Tipo de contrasea
.Configuracin
Descripcin
Reglas de exportacin
Permitir redistribucin de
ruta predeterminada
Descripcin
Nombre
Nueva etiqueta
Mtrica
Descripcin
Avanzado
Compatibilidad
RFC 1583
Temporizadores
Reinicio correcto
Descripcin
Habilitar
ID del enrutador
Descripcin
Autenticacin
Tipo
Intervalo
Haga clic en Aadir para que la subred aada direcciones IPv6 de destino
LSA en el rea. Habilite o suprima LSA de anuncios que coincidan con la
subred y haga clic en ACEPTAR. Repita esta accin para aadir intervalos
adicionales.
Descripcin
Interfaz
Descripcin
Enlaces virtuales
Configure los ajustes del enlace virtual para mantener o mejorar la conectividad
del rea troncal. Los ajustes se deben definir para enrutadores de borde de rea y
se deben definir en el rea troncal (0.0.0.0). Haga clic en Aadir e introduzca la
siguiente informacin en enlace virtual que se incluir en el rea troncal y haga
clic en ACEPTAR.
Nombre: Introduzca un nombre para el enlace virtual.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace
virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene fsicamente
al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Descripcin
Perfiles de
autenticacin
Nombre de perfil
SPI
Protocolo
Algoritmo criptogrfico
Clave/Confirmar clave
Descripcin
Especifica una de las siguientes opciones:
aes-128-cbc: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 128 bits.
aes-192-cbc: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 192 bits.
aes-256-cbc: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 256 bits.
nulo: No se utiliza ningn cifrado.
No est disponible si no se ha seleccionado el protocolo AH.
Clave/Confirmar clave
Descripcin
Reglas de exportacin
Permitir redistribucin de
ruta predeterminada
Nombre
Nueva etiqueta
Mtrica
Descripcin
Avanzado
Deshabilitar
enrutamiento de trnsito
para el clculo de SPF
Descripcin
Temporizadores
Reinicio correcto
Descripcin
Habilitar
ID del enrutador
Nmero AS
Pestaa Grupo del peer: Consulte Configuracin de la pestaa Grupo del peer.
Pestaa Importar: Consulte Configuracin de las pestaas Importar y Exportar.
Pestaa Exportar: Consulte Configuracin de las pestaas Importar y Exportar.
Pestaa Anuncio condicional: Consulte Configuracin de la pestaa Anuncio
condicional.
Descripcin
Pestaa General
Rechazar ruta por
defecto
Instalar ruta
Agregar MED
Seleccione esta opcin para activar la agregacin de rutas incluso si las rutas
tienen valores diferentes de discriminador de salida mltiple (MED).
Preferencia local
predeterminada
Formato AS
Comparacin
determinista de MED
Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).
Perfiles de autenticacin
Descripcin
Pestaa Avanzado
Reinicio correcto
ID de clster reflector
AS de miembro de
confederacin
Perfiles de
amortiguacin
Descripcin
Habilitar
Ruta AS confederada
agregada
Restablecimiento parcial
con informacin
almacenada
Tipo
Descripcin
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin
IP local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin:
Especifique un intervalo despus del cual las rutas de un peer se
supriman segn el parmetro de tiempo de espera (intervalo
0-1200 segundos; opcin predeterminada: 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predeterminada:
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un
peer antes de cerrar la conexin del peer. (rango: 3-3600 segundos;
valor predeterminado: 90 segundos)
Tiempo de espera de inactividad: Especifique el tiempo de espera en
estado de inactividad antes de volver a intentar la conexin con el
peer (intervalo 1-3600 segundos; opcin predeterminada:
15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Conexiones entrantes/Conexiones salientes: Especifique los nmeros
de puertos entrantes y salientes y seleccione la casilla de verificacin
Permitir para permitir el trfico desde o hacia estos puertos.
Descripcin
Pestaas Importar
reglas/Exportar reglas
Importar reglas/
Exportar reglas
Descripcin
Pestaa Anuncio
condicional
Poltica
Habilitar
Utilizado por
Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Pestaa secundaria
Filtros no existentes
Descripcin
Pestaa secundaria
Anunciar filtros
Descripcin
Pestaa Agregado
Nombre
Suprimir filtros
Defina los atributos que harn que las rutas coincidentes se supriman.
Anunciar filtros
Defina los atributos para los filtros anunciados que asegurarn que
cualquier enrutador que coincida con el filtro definido se publicar en
los peers.
Agregar atributos
de ruta
Defina los atributos que se utilizarn para hacer coincidir las rutas que se
agregarn.
Descripcin
Pestaa Reglas
de redistr.
Nombre
Permitir redistribucin
de ruta predeterminada
Reglas de redistr.
Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla se han
descrito anteriormente en las pestaas Importar reglas y Exportar reglas.
Haga clic en el icono
Descripcin
Habilitar
Descripcin
Pestaa secundaria
Punto de encuentro
Tipo de RP
Punto de encuentro
remoto
Descripcin
Pestaa secundaria
Interfaces
Nombre
Descripcin
Interfaz
Descripcin
Permisos de grupos
IGMP
Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando se
comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes del
grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Configuracin PIM
Descripcin
Pestaa secundaria
Umbral SPT
Nombre
Descripcin
Pestaa secundaria
Espacio de direccin
especfico de origen
Nombre
Descripcin
Nombre
Ubicacin
Tipo
Perfiles de proteccin de
zonas
Ajuste de log
Descripcin
Habilitar identificacin
de usuarios
ACL de identificacin de
usuarios
Lista de permitidos
ACL de identificacin de
usuarios
Lista de excluidos
Equilibre la carga de los flujos (sesiones) al mismo destino en mltiples enlaces del mismo
coste.
Use el ancho de banda disponible en enlaces hacia el mismo destino, en lugar de dejar
algunos enlaces sin usar.
Cambie dinmicamente el trfico a otro miembro de ECMP hacia el mismo destino si falla
un enlace, en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB
seleccione una ruta alternativa. Esto puede ayudar a reducir el tiempo de inactividad
cuando falla el enlace.
El equilibrio de carga de ECMP se realiza a nivel de sesin, no a nivel de paquete. Esto
significa que el cortafuegos selecciona una ruta de igual coste al principio de una nueva
sesin, no cada vez que se recibe un paquete.
Note: La activacin, desactivacin o cambio de funcionalidad de ECMP requiere que
reinicie el cortafuegos, lo que puede provocar que se terminen las sesiones.
Descripcin
Haga clic en Habilitar para habilitar ECMP.
Habilitar
Retorno simtrico
Ruta mx.
Descripcin
Seleccione uno de los siguientes algoritmos de equilibrado de carga ECMP
para usarlo en el enrutador virtual. El equilibrio de carga de ECMP se realiza a
nivel de sesin, no a nivel de paquete. Esto significa que el cortafuegos
(ECMP) selecciona una ruta de igual coste al principio de una nueva sesin, no
cada vez que se recibe un paquete.
Mtodo
Pestaa Enrutamiento
La siguiente tabla describe las Estadsticas de tiempo de ejecucin de enrutamiento del
enrutador virtual.
Descripcin
Destino
Siguiente salto
Mtrica
Mtrica de la ruta.
Marcas
Interfaz
Interfaz de salida del enrutador virtual que deber usarse para llegar al
siguiente salto.
Pestaa RIP
La siguiente tabla describe las Estadsticas de tiempo de ejecucin de RIP del enrutador virtual.
Descripcin
Pestaa secundaria
Resumen
Segundos del intervalo
Intervalo de
actualizaciones
Intervalos de
vencimiento
Intervalos de
eliminacin
Descripcin
Pestaa secundaria
Interfaces
Direccin
Tipo de autenticacin
Enviar permitidos
Recibir permitidos
Anunciar ruta
predeterminada
Mtrica de ruta
predeterminada
ID de clave
Preferido
Pestaa secundaria
Peer
Direccin del peer
ltima actualizacin
Versin de RIP
Paquetes no vlidos
Rutas no vlidas
Pestaa BGP
La siguiente tabla describe las estadsticas de tiempo de ejecucin de BGP del enrutador
virtual.
Descripcin
Pestaa secundaria
Resumen
ID del enrutador
Descripcin
Instalar ruta
Reinicio correcto
Tamao AS
AS local
AS de miembro local
ID de clster
Preferencia local
predeterminada
Agregar MED
independientemente
Procesamiento
determinista de MED
Entradas salientes de
RIB actuales
Entradas salientes de
RIB pico
Pestaa secundaria
Peer
Nombre
Grupo
IP local
IP del peer
Peer AS
Contrasea establecida
Estado
Duracin de estado
(seg.)
Pestaa secundaria
Grupo de peers
Nombre de grupo
Tipo
Descripcin
Agregar AS
confederado
Soporte de
restablecimiento parcial
Prximo salto
automtico
Siguiente salto de
tercero
Eliminar AS privado
Pestaa secundaria
RIB local
Prefijo
Marca
Siguiente salto
Peer
Peso
Preferencia local.
Ruta AS
IP Origen
MED
Recuento de flaps
Pestaa secundaria
RIB saliente
Prefijo
Siguiente salto
Peer
Preferencia local.
Descripcin
Ruta AS
IP Origen
MED
Anunciar estado
Agregar estado
Pestaa Multidifusin
La siguiente tabla describe las estadsticas de tiempo de ejecucin de IP multicast del
enrutador virtual.
Descripcin
Pestaa secundaria
FIB
Grupo
Origen
Interfaces entrantes
Pestaa secundaria
Interfaz IGMP
Interfaz
Versin
Solicitante
Tiempo de activacin
del solicitante
Tiempo de vencimiento
del solicitante
Potencia
Lmite de grupos
Lmite de orgenes
Salida inmediata
Pestaa secundaria
Pertenencia IGMP
Interfaz
Grupo
Descripcin
Origen
Tiempo de activacin
Tiempo de vencimiento
Modo de filtro
Excluir caducidad
Temporizador de
host V1
Tiempo restante hasta que el enrutador local asume que no quedan miembros
de ningn IGMP versin 1 en la subred de IP adjuntada a la interfaz.
Temporizador de
host V2
Tiempo restante hasta que el enrutador local asume que no quedan miembros
de ningn IGMP versin 2 en la subred de IP adjuntada a la interfaz.
Pestaa secundaria
Asignacin de
grupos PIM
Grupo
RP
IP Origen
Modo PIM
ASM o SSM.
Inactivo
Pestaa secundaria
Interfaz PIM
Interfaz
Direccin
Direccin IP de la interfaz.
DR
Intervalo de saludo
Unir/eliminar intervalo
Imponer intervalo
Prioridad de DR
Borde de BSR
S o no.
Pestaa secundaria
Vecino PIM
Interfaz
Direccin
Direccin secundaria
Tiempo de activacin
Tiempo de vencimiento
Descripcin
ID de generacin
Prioridad de DR
Descripcin
Nombre
Interfaz de VLAN
Interfaces
Configuracin de MAC
esttica
Configuracin de DHCP
El protocolo de configuracin de host dinmico (DHCP) es un protocolo estandarizado que
proporciona parmetros de configuracin de capa de enlace y TCP/IP, y direcciones de red a
los hosts configurados dinmicamente en una red TCP/IP. Una interfaz en un cortafuegos
Palo Alto Networks puede actuar como un servidor, cliente o agente de retransmisin de
DHCP. Al asignar esas funciones a distintas interfaces, el cortafuegos puede desempear
mltiples funciones.
Qu est buscando?
Consulte
Qu es el DHCP?
Direccin DHCP
Cmo se configura un
servidor DHCP?
Configuracin de DHCP
Qu est buscando?
Consulte
Busca ms informacin?
Consulte DHCP.
Un dispositivo que funcione como cliente DHCP (host) puede solicitar una direccin IP y
otros ajustes de configuracin al servidor DHCP. Los usuarios de los dispositivos cliente
ahorran el tiempo y esfuerzo de configuracin, y no necesitan conocer el plan de
direcciones de red y otros recursos y opciones que heredan del servidor DHCP.
Un dispositivo que acta como un servidor DHCP puede atender a los clientes. Si se usa
alguno de esos tres mecanismos de direcciones DHCP, el administrador de red ahorra
tiempo y tiene el beneficio de reutilizar un nmero limitado de direcciones IP de clientes
que ya no necesitan una conectividad de red. El servidor puede ofrecer direcciones IP y
muchas opciones DHCP a muchos clientes.
Direccin DHCP
Hay tres formas en que el servidor DHCP asigna o enva una direccin IP a un cliente.
como Concesin. Este mtodo de asignacin de la direccin es til cuando el cliente tiene
un nmero limitado de direcciones IP; pueden asignarse a los clientes que necesitan solo
un acceso temporal a la red.
Configuracin de DHCP
que corresponda con la Direccin MAC del dispositivo cliente. La asignacin DHCP
contina en su lugar aunque el cliente se desconecte (cierre sesin, reinicie, sufra un corte
de alimentacin, etc.).
La asignacin esttica de una direccin IP es til, por ejemplo, si tiene una impresora en
una LAN y no desea que su direccin IP siga cambiando porque se asocia con un nombre
de impresora a travs de DNS. Otro ejemplo es si el dispositivo cliente se usa para una
funcin crucial y debe mantener la misma direccin IP aunque el dispositivo se apague,
desconecte, reinicie o sufra un corte de alimentacin, etc.
Tenga en cuenta los siguientes puntos cuando configure una Direccin reservada:
Es una direccin de Grupos de IP. Puede configurar mltiples direcciones reservadas.
Si no configura ninguna Direccin reservada, los clientes del servidor recibirn
nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se
reinician, etc. (a no ser que haya especificado que una Concesin sea Ilimitada).
Si asigna todas las direcciones de Grupos IP como una Direccin reservada, no hay
direcciones dinmicas libres para asignarlas al siguiente cliente DHCP que solicite una
direccin.
Puede configurar una Direccin reservada sin configurar una Direccin MAC. En este
caso, el servidor DHCP no asignar la Direccin reservada a ningn dispositivo.
Puede reservar unas direcciones del grupo y asignarlas estticamente a un fax e
impresora, por ejemplo, sin usar DHCP.
Vnculo hacia los temas relacionados:
Configuracin de DHCP
Cuando aada un servidor DHCP, puede configurar los ajustes descritos en la tabla siguiente.
Los ajustes del servidor DHCP resultantes tendrn un aspecto similar al siguiente:
Campo
Configurado en
Descripcin
Interfaz
Servidor DHCP
Servidor DHCP
Concesin
Modo
Hacer ping a la
IP al asignar IP
nuevas
Concesin
Grupos de IP
Direccin
reservada
Concesin
Concesin
Ilimitada provoca que el servidor seleccione dinmicamente direcciones IP desde los Grupos IP y los asigne de
forma permanente a los clientes.
Tiempo de espera determina cunto durar esa concesin. Introduzca el nmero de Das y Horas y, opcionalmente, el nmero de Minutos.
Especifique el grupo de direcciones IP de estado desde el
que el servidor DHCP seleccione una direccin y la asigna a
un cliente DHCP.
Puede introducir una nica direccin, una direccin/
<longitud de mscara>, como 192.168.1.0/24, o un intervalo
de direcciones, como 192.168.1.10-192.168.1.20.
Tambin puede especificar una direccin IP (formato
x.x.x.x) desde los grupos de IP que no desee asignar
dinmicamente mediante el servidor DHCP.
Concesin
Configuracin de DHCP
Campo
Configurado en
Descripcin
Seleccione Ninguno (predeterminado) o seleccione una
interfaz de cliente DHCP de origen o una interfaz de cliente
PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Origen de herencia,
seleccione una o varias opciones que desee como heredadas
desde este origen.
Origen de
herencia
Opciones
Opciones
Puerta de enlace
Opciones
Mscara de
subred
Opciones
Comprobar el
estado de origen
de herencia
Configuracin de DHCP
Campo
Configurado en
Descripcin
En los siguientes campos, haga clic en la flecha hacia abajo y
seleccione Ninguno o heredado, o introduzca una direccin
IP de servidor remoto que su servidor DHCP enviar a los
clientes para acceder a ese servicio. Si ha seleccionado
heredado, el servidor DHCP hereda los valores desde el
cliente DHCP de origen, especificado como Origen de
herencia.
El servidor DHCP enva estos ajustes a sus clientes.
Opciones
Opciones
DNS principal, DNS secundario: Direccin IP de los servidores del sistema de nombres de dominio (DNS) preferidos y alternativos.
WINS principal, WINS secundario: Introduzca la direccin IP de los servidores Windows Internet Naming
Service (WINS) preferidos y alternativos.
NIS principal, NIS secundario: Introduzca la direccin
IP de los servidores del Servicio de informacin de la red
(NIS) preferidos y alternativos.
NTP principal, NTP secundario: Direccin IP de los servidores del protocolo de tiempo de redes (NTP) disponibles.
Servidor POP3: Introduzca la direccin IP del servidor
Post Office Protocol de versin 3 (POP3).
Servidor SMTP: Introduzca la direccin IP del servidor
del protocolo simple de transferencia de correo (SMTP).
Sufijo DNS: Sufijo para que el cliente lo use localmente
cuando se introduce un nombre de host sin cualificar que
no puede resolver el cliente.
Configuracin de DHCP
Campo
Configurado en
Descripcin
Haga clic en Aadir e introduzca el Nombre de la opcin
personalizada que desea que el servidor DHCP enve a los
clientes.
Introduzca un Cdigo de opcin (intervalo 1-254).
Opciones de
DHCP
personalizadas
Opciones
Configuracin de DHCP
Configurado en
Descripcin
Interfaz
Retransmisin DHCP
IPv4/IPv6
Retransmisin DHCP
Direccin IP de
servidor DHCP
Retransmisin DHCP
Interfaz
Retransmisin DHCP
Configurado en
Descripcin
Tipo
IPv4
Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Mtrica de ruta
predeterminada
Mostrar informacin de
tiempo de ejecucin de
cliente DHCP
IPv4
IPv4
IPv4
Configuracin de DHCP
2.
3.
4.
Configuracin de DHCP
6.
Escriba las direcciones de los servidores que este servidor DHCP enviar a los clientes.
Para introducir una opcin DHCP personalizada, haga clic en Aadir. En este ejemplo,
escriba un nombre para la opcin, como Nombre de host de telfonos VoIP y el cdigo
de opcin 66. El nombre de la opcin no se enva al cliente y facilita la identificacin del
servidor.
8.
Seleccione ASCIl.
9.
Haga clic en Aadir para introducir el valor de opcin TFTPserver10 y haga clic en
ACEPTAR.
10. Para introducir otra opcin DHCP, haga clic en Aadir. Introduzca un nombre
diferente, como Direccin IP de telfonos VoIP y el cdigo de opcin 150. El nombre
debe ser distinto del primer nombre porque los tipos de datos son diferentes.
11. Seleccione Direccin IP.
12. Haga clic en Aadir para introducir el valor de opcin 10.1.1.1 (la direccin de
servidor TFTP principal) y haga clic en ACEPTAR.
13. Haga clic en ACEPTAR y seleccione Confirmar para guardar la configuracin.
Qu desea saber?
Consulte
Qu desea saber?
Consulte
Reglas de proxy DNS: Le permite configurar los ajustes de nombre, nombre de dominio y
servidor DNS primario y secundario.
Avanzado: Le permite definir los reintentos de consulta TCP, consulta UDP y la cach.
Consulte:
Componentes del proxy DNS
Traslado o duplicacin de una poltica o un objeto
Configurado en
Descripcin
Habilitar
Proxy DNS
Nombre
Proxy DNS
Ubicacin
Proxy DNS
Origen de herencia
Proxy DNS
Comprobar el estado de
origen de herencia
Proxy DNS
Perfil de servidor
Proxy DNS
Principal
Proxy DNS
Secundario
Configurado en
Descripcin
Interfaz
Proxy DNS
Nombre
Activar el
almacenamiento en
cach de dominios
resueltos por esta
asignacin
Nombre de dominio
Primario/Secundario
Nombre
FQDN
Direccin
Cach
Configuracin de LLDP
Configurado en
Descripcin
Consultas TCP
Reintentos de consultas
de UDP
Eliminar: Seleccione una entrada de proxy DNS y haga clic en Eliminar para eliminar la
configuracin de proxy DNS.
Deshabilitar: Para deshabilitar un proxy DNS, haga clic en la entrada del proxy DNS y
cancele la seleccin de Habilitar. Para habilitar un proxy DNS que se haya deshabilitado,
haga clic en el nombre de la entrada de proxy DNS y se seleccione Habilitar.
Configuracin de LLDP
El protocolo de deteccin de nivel de enlace (LLDP) ofrece un mtodo automtico de
deteccin de los dispositivos vecinos y sus funciones en la capa de enlace.
Qu est buscando?
Consulte
Qu es el LLDP?
Busca ms informacin?
Consulte LLDP.
Configuracin de LLDP
de administracin de redes (SNMP). El LLDP permite que los dispositivos de red asignen su
topologa de red y funciones de programacin de los dispositivos conectados. Esto facilita la
solucin de problemas, especialmente para las implementaciones de cable virtual donde el
cortafuegos puede pasar desapercibido en una topologa de red.
Campo
Configurado en o
Mostrado en
Intervalo de
transmisin
(segundos)
LLDP
Retraso de
transmisin
(segundos)
Mltiple tiempo de
espera
Descripcin
Especifica el intervalo en el que se transmiten LLDPDUs. Valor
predeterminado: 30 segundos. Intervalo: 1-3600 segundos.
LLDP
LLDP
Configuracin de LLDP
Campo
Configurado en o
Mostrado en
Descripcin
Intervalo de
notificaciones
LLDP
filtro de catalejo
Estado
Interfaz
Estado
LLDP
Estado
Modo
Estado
Perfil
Estado
Total transmitidos
Estado
Transmisin
descartada
Estado
Total recibidos
Estado
TLV descartado
Estado
Errores
Estado
No reconocido
Estado
Caducado
Estado
Configuracin de LLDP
Campo
Configurado en o
Mostrado en
Descripcin
Borrar estadsticas
LLDP
Estado
filtro de catalejo
Mismos niveles
Interfaz local
Mismos niveles
ID de bastidor
remoto
Mismos niveles
ID de puerto
Mismos niveles
Nombre
Mismos niveles
Ms info
Mismos niveles
Haga clic en este enlace para ver los detalles de peer remoto, que se
basan en TLV obligatorios y opcionales.
Tipo de bastidor
Mismos niveles
Direccin MAC
Mismos niveles
Mismos niveles
Descripcin del
sistema
Mismos niveles
Descripcin de
puerto
Mismos niveles
Tipo de puerto
Mismos niveles
Nombre de interfaz.
ID de puerto
Mismos niveles
Capacidades del
sistema
Mismos niveles
Campo
Configurado en o
Mostrado en
Capacidades
habilitadas
Mismos niveles
Direccin de gestin
Mismos niveles
Descripcin
Funcionalidades habilitadas en el peer.
Direccin de gestin del peer.
Descripcin
Nombre
Ping
Telnet
SSH
HTTP
OCSP de HTTP
HTTPS
SNMP
Pginas de respuesta
ID de usuario
SSL de escucha de
Syslog de ID de usuario
UDP de escucha de
Syslog de ID de usuario
Direcciones IP
permitidas
Tabla 123.
Configuracin de supervisin
Campo
Descripcin
Nombre
Accin
Intervalo
Umbral
Para configurar un perfil Proteccin de zona, haga clic en Aadir y especifique los siguientes
ajustes:
Descripcin
Nombre
Descripcin
Cuando se define un perfil Proteccin de zona, debe configurar los ajustes en la pestaa
General y en cualquiera de las siguientes pestaas, segn lo requiera su topologa de red:
Descripcin
Descripcin
Alerta (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Descripcin
Mximo (paquetes/seg.)
Descripcin
Umbral (eventos)
Accin
Direccin compatible de
IPv4
Direccin de origen
multicast
Direccin de fuente de
difusin por proximidad
Descripcin
Pestaa secundaria
Descarte IP
Direccin IP de rplica
Comprobacin de
direccin IP estricta
Trfico fragmentado
Descartar opciones IP
Enrutamiento de fuente
estricto
Enrutamiento de origen
no estricto
Marca de tiempo
Ruta de log
Seguridad
ID de secuencia
Desconocido
Forma incorrecta
Segmento TCP
superpuesto no
coincidente
Eliminar marca de
tiempo de TCP
Descripcin
Ruta asimtrica
Descripcin
Segmento TCP
superpuesto no
coincidente
Protocolo de enlace
dividido
Descripcin
Ruta asimtrica
Eliminar marca de
tiempo de TCP
Descripcin
Pestaa secundaria
Colocacin de ICMP
ID de 0 de ping de ICMP
Fragmento de ICMP
Descartar ICMP
incrustado con mensaje
de error
Suprimir fragmento de
ICMP necesario
Descripcin
Pestaa secundaria
Descarte de IPv6
Encabezado de
enrutamiento tipo 0
Direccin compatible de
IPv4
Descarta los paquetes IPv6 que se definen como una direccin IPv6
compatible con IPv4 RFC 4291.
Descripcin
Direccin de fuente de
difusin por proximidad
Encabezado de
fragmento innecesario
Descarta los paquetes IPv6 con la etiqueta del ltimo fragmento (M=0) y
un desplazamiento de cero.
Extensin de
enrutamiento
Extensin de destino
Opciones de IPv6 no
vlidas en encabezado
de extensin
Campo reservado
diferente a cero
Descripcin
Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere regla
de seguridad explcita
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad
Tiempo superado de
ICMPv6: requiere
coincidencia explcita de
regla de seguridad
Problema de parmetro de
ICMPv6: requiere
coincidencia explcita de
regla de seguridad
Descripcin
Redireccin de ICMPv6:
requiere coincidencia
explcita de regla de
seguridad
Consulte
Qu es el LLDP?
Busca ms informacin?
Consulte LLDP.
Configurado en
Descripcin
Nombre
Perfil de LLDP
Modo
Perfil de LLDP
Notificacin
Syslog SNMP
Perfil de LLDP
Descripcin de
puerto
Perfil de LLDP
Nombre del
sistema
Perfil de LLDP
Descripcin del
sistema
Perfil de LLDP
Configurado en
Descripcin
Habilita el modo de implementacin (L3, L2 o cable virtual) de la interfaz
que se enviar, a travs de la siguiente asignacin en el TLV Capacidades
del sistema.
Capacidades
del sistema
Perfil de LLDP
Direccin de
gestin
Perfil de LLDP
Nombre
Perfil de LLDP
Interfaz
Perfil de LLDP
Perfil de LLDP
Eleccin de IP
Tipos de polticas
Captulo 5
Tipos de polticas
Traslado o duplicacin de una poltica o un objeto
Perfiles de seguridad
Otros objetos de las polticas
Tipos de polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las
medidas necesarias de forma automtica. Se admiten los siguientes tipos de polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en la aplicacin, las
zonas y direcciones de origen y destino y, opcionalmente, el servicio (puerto y protocolo). Las zonas
identifican interfaces fsicas o lgicas que envan o reciben trfico. Consulte Definicin de polticas de
seguridad
Para obtener informacin sobre cmo utilizar el explorador de etiquetas, consulte Uso del explorador
de etiquetas.
Polticas de traduccin de direccin de red (NAT) para traducir direcciones y puertos, segn sea
necesario. Consulte Polticas NAT y Definicin de polticas de traduccin de direccin de red.
Polticas de reenvo basado en polticas para cancelar la tabla de enrutamiento y especificar una
interfaz de salida para el trfico. Consulte Polticas de reenvo basado en polticas.
Polticas de descifrado para especificar el descifrado del trfico de las polticas de seguridad.
Cada una de las polticas puede especificar las categoras de las URL del trfico que desea descifrar.
El descifrado SSH se utiliza para identificar y controlar los tneles SSH, as como el acceso SSH
(Secure Shell). Consulte Polticas de descifrado.
Polticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el trfico para su
tratamiento, cuando pasa por una interfaz con QoS activado. Consulte Estadsticas de QoS.
Tipos de polticas
Polticas de portal cautivo para solicitar la autenticacin de los usuarios no identificados. Consulte
Definicin de polticas de portal cautivo.
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las medidas de
proteccin en respuesta que coincidan con las reglas. Consulte Definicin de polticas DoS.
Las polticas compartidas introducidas en Panorama se muestran de color verde en la interfaz
web del cortafuegos; estas polticas compartidas no se pueden editar en el cortafuegos.
Descripcin
Reglas/objetos seleccionados
Destino
Tipos de polticas
(la tabla siguiente indica el subconjunto de reglas de seguridad). Para obtener informacin acerca de las
reglas de seguridad predeterminadas, consulte Definicin de polticas de seguridad.
Para cancelar una regla, seleccione Polticas > Seguridad en un cortafuegos o Polticas > Seguridad >
Reglas predeterminadas en Panorama. La columna Nombre muestra el icono de herencia
para las
reglas que puede cancelar. Seleccione la regla, haga clic en Cancelar y edite los ajustes en la tabla siguiente.
Para revertir una regla cancelada a sus ajustes predefinidos o a los ajustes introducidos desde un grupo de
dispositivos de Panorama, seleccione Polticas > Seguridad en un cortafuegos o Polticas > Seguridad >
Reglas predeterminadas en Panorama. La columna Nombre muestra el icono de cancelacin
para las
reglas que tienen valores cancelados. Seleccione la regla, haga clic en Revertir y haga clic en S para
confirmar la operacin.
Descripcin
Pestaa General
Nombre
Tipo de regla
Descripcin
Etiqueta
Pestaa Acciones
Configuracin de accin
Tipos de polticas
Descripcin
Ajuste de perfil
Ajuste de log
Tipos de polticas
Para sustituir todas las cancelaciones de objetos en Panorama con los valores heredados de la ubicacin
compartida o los grupos de dispositivos antecesores, seleccione Panorama > Configuracin > Gestin,
edite los ajustes de Panorama, seleccione la casilla de verificacin Los objetos antecesores tienen
prioridad y haga clic en Aceptar. A continuacin debe compilar en Panorama y en los grupos de
dispositivos que contengan cancelaciones para introducir los valores heredados.
En la pgina de reglas del dispositivo Seguridad o Descifrado, haga clic en la pestaa Usuario para
abrir la ventana de seleccin.
Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de
usuarios no se muestra y deber introducir la informacin del usuario manualmente.
2.
Haga clic en el men desplegable situado encima de la tabla Usuario de origen para seleccionar el
tipo de usuario:
Cualquiera: Incluye todo el trfico independientemente de los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante
GlobalProtect pero que no han iniciado sesin en su sistema. Cuando se configura la opcin
Anterior al inicio de sesin en el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el nombre de usuario Anterior al
inicio de sesin. Puede crear estas polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn autenticados en el dominio
como si hubieran iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de
usuario asignados. Esta opcin es equivalente al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estn
asignadas a un usuario. Por ejemplo, podra usar desconocido para acceso de invitados a alguna
parte porque tendrn una IP en su red, pero no se autenticarn en el dominio y no tendrn ninguna
IP en la informacin de asignacin de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera
aadir a un usuario, una lista de individuos, algunos grupos o aadir usuarios manualmente.
3.
Para aadir grupos de usuarios, seleccione la casilla de verificacin Grupos de usuarios disponibles
y haga clic en Aadir grupo de usuarios. Tambin puede escribir el texto de uno o ms grupos y hacer
clic en Aadir grupo de usuarios.
4.
Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo Usuario y haga
clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir usuario. Tambin puede
introducir los nombres de usuarios individuales en el rea Ms usuarios.
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de
descripcin.
Tipos de polticas
Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se evalan en primer
lugar. Puede utilizar las reglas previas para aplicar la poltica de uso aceptable para una organizacin;
por ejemplo, para bloquear el acceso a categoras de URL especficas o permitir el trfico DNS a todos
los usuarios.
Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan despus de las
reglas previas y de las reglas definidas localmente en el dispositivo. Las reglas posteriores suelen
incluir reglas para impedir el acceso al trfico basado en App-ID, ID de usuario o servicio.
Reglas predeterminadas: Reglas que indican al cortafuegos cmo gestionar el trfico que no coincide
con ninguna regla previa, regla posterior o regla local de un dispositivo. Estas reglas son parte de la
configuracin predefinida de Panorama. Debe cancelarlas para permitir la edicin de determinados
ajustes en ellas: consulte Cancelacin o reversin de una regla de seguridad predeterminada.
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos
gestionados. En cada base de reglas, la jerarqua de las mismas se marca visualmente para cada grupo de
dispositivos (y dispositivo gestionado), lo que permite revisarlas entre un gran nmero de reglas.
Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente, elimine o
deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos.
Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. Panorama supervisa
cada dispositivo, obtiene y agrega la lista de reglas sin coincidencia. Dado que la marca se restablece
cuando se produce un restablecimiento del plano de datos al reiniciar, la prctica recomendada es
supervisar esta lista peridicamente para determinar si la regla ha tenido una coincidencia desde la ltima
comprobacin antes de eliminarla o deshabilitarla.
Para crear polticas, consulte la seccin relevante de cada base de reglas.
Tipos de polticas
Qu desea saber?
Consulte
Qu es una poltica de
seguridad?
Desea obtener ms
informacin?
No encuentra lo busca?
General: Utilice la pestaa General para configurar un nombre y una descripcin para la poltica de
seguridad.
Origen: Utilice la pestaa Origen para definir la zona o direccin de origen donde se origina el trfico.
Usuario: Utilice la pestaa Usuario para aplicar una poltica para usuarios individuales o un grupo de
usuarios. Si est utilizando GlobalProtect con Perfil de informacin del host (HIP) habilitado, tambin
puede basar la poltica en informacin recopilada por GlobalProtect. Por ejemplo, el nivel de acceso
del usuario puede estar determinado por un HIP que informe al cortafuegos acerca de la
Tipos de polticas
configuracin local del usuario. La informacin HIP se puede utilizar para un control de acceso
granular basado en los programas de seguridad en ejecucin en el host, los valores de registro y
muchas ms comprobaciones si el host tiene instalado software antivirus.
Destino: Utilice la pestaa Destino para definir la zona o direccin de destino para el trfico.
Aplicacin: Utilice la pestaa Aplicacin para que la accin de la poltica se produzca basndose en
una aplicacin o un grupo de aplicaciones. Un administrador tambin puede usar una firma de
identificacin de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad
reservada o para detectar atributos especficos de una aplicacin existente. Las aplicaciones
personalizadas se definen en Objetos > Aplicaciones.
Acciones: Utilice la pestaa Acciones para determinar la accin que se realizar basndose en el
trfico que coincida con los atributos de la poltica definida.
Consulte:
Bloques de creacin de una poltica de seguridad
Creacin y gestin de polticas
Tipos de polticas
Campo
Configurado en
Descripcin
Cada regla se numera automticamente y el orden cambia a medida
que se mueven las reglas. Al filtrar reglas para que coincidan con
filtros especficos, cada regla se enumera con su nmero en el
contexto del conjunto de reglas completo de la base de reglas y su
puesto en el orden de evaluacin.
Nmero de regla
Nombre
N/D
General
Etiqueta
General
Tipos de polticas
Campo
Configurado en
Descripcin
Especifica si la regla se aplica al trfico en una zona, entre zonas o
ambas.
Tipo
Zona de origen
Direccin de
origen
General
Origen
Origen
Tipos de polticas
Campo
Configurado en
Descripcin
Haga clic en Aadir para seleccionar los usuarios o grupos de
usuarios de origen sometidos a la poltica. Los siguientes tipos de
usuarios de origen son compatibles:
Usuario de
origen
Perfil HIP de
origen
Usuario
Usuario
Tipos de polticas
Campo
Configurado en
Descripcin
Haga clic en Aadir para seleccionar las zonas de destino
(la opcin predeterminada es Cualquiera). Las zonas deben ser del
mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para
definir nuevas zonas, consulte Definicin de zonas de seguridad.
Zona de destino
Destino
Direccin de
destino
Destino
Aplicacin
Aplicacin
Tipos de polticas
Campo
Configurado en
Descripcin
Seleccione los servicios para limitar nmeros de puertos TCP y/o
UDP concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Servicio
Categora de URL/
servicio
Categora de
URL
Categora de URL/
servicio
Tipos de polticas
Campo
Configurado en
Descripcin
Para especificar la accin para el trfico que coincida con los
atributos definidos en una regla, seleccione una de las acciones
siguientes:
Permitir: (Predeterminado) Permite el trfico.
Denegar: Bloquea el trfico y aplica la accin predeterminada
Denegar definida para la aplicacin que se est denegando.
Para ver la accin de denegacin definida de manera
predeterminada para una aplicacin, consulte la informacin
detallada de la aplicacin en Objetos > Aplicaciones.
Dado que la accin de denegacin predeterminada vara segn
la aplicacin, el cortafuegos podra bloquear la sesin y enviar
un restablecimiento para una aplicacin, mientras que podra
descartar la sesin silenciosamente para otra aplicacin.
Descartar: Descarta la aplicacin silenciosamente. No se enva
un restablecimiento de TCP al host o la aplicacin, a menos
que seleccione Enviar ICMP inalcanzable.
Restablecer cliente: Enva un restablecimiento de TCP al
dispositivo de la parte del cliente.
Accin
Acciones
Tipos de polticas
Campo
Configurado en
Descripcin
Para especificar la comprobacin realizada por los perfiles de
seguridad predeterminados, seleccione los perfiles individuales de
Antivirus, Antispyware, Proteccin de vulnerabilidades, Filtrado
de URL, Bloqueo de archivo y/o Filtrado de datos.
Ajuste de perfil
Acciones
Tipos de polticas
Campo
Configurado en
Descripcin
La pestaa Opciones incluye los ajustes de logs y
una combinacin de otras opciones indicadas a continuacin:
Para generar entradas de trfico en el log de trfico local que cumplan
esta regla, seleccione las siguientes opciones:
Opciones
Acciones
Descripcin
General
Tipos de polticas
Tarea
Aadir
Descripcin
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar la nueva regla y haga clic en Duplicar
regla, o bien seleccione una regla haciendo clic en el espacio en blanco de la
regla y seleccione Duplicar regla en la parte inferior de la pgina (una regla
seleccionada en la interfaz web se muestra con un fondo de color amarillo).
La regla copiada, regla n se inserta debajo de la regla seleccionada, donde n es
el siguiente nmero entero disponible que hace que el nombre de la regla sea
nico. Si desea informacin detallada sobre la duplicacin, consulte Traslado o
duplicacin de una poltica o un objeto.
Modificar
Mover
Eliminar
Seleccione una regla y haga clic en Eliminar para eliminar la regla existente.
Habilitar/
deshabilitar
Para deshabilitar una regla, seleccione la regla y haga clic en Deshabilitar. Para
habilitar una regla que est deshabilitada, seleccinela y haga clic en Habilitar.
Tipos de polticas
Tarea
Descripcin
Visualizar
reglas no
utilizadas
Regla en uso
Mostrar/
ocultar
columnas
Para cambiar (mostrar u ocultar) las columnas que aparecen en cualquiera de las
pginas de Polticas. Seleccione o cancele la seleccin de la casilla de verificacin
junto al nombre de columna para alternar la visualizacin de cada columna.
Aplicar
filtros
Tarea
Descripcin
Puede mostrar el valor actual haciendo clic en la lista desplegable de la entrada y
seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos elementos
directamente desde el men de la columna. Por ejemplo, para ver las direcciones
incluidas en un grupo de direcciones, pase el ratn por encima del objeto en la
columna Direccin, haga clic en la lista desplegable y seleccione Valor. Esto le
permitir ver rpidamente los miembros y las direcciones IP correspondientes del
grupo de direcciones sin tener que navegar a las pestaas Objeto.
Para buscar objetos que se utilicen dentro de una poltica basndose en el nombre
del objeto o la direccin IP, utilice el filtro. La bsqueda rastrear los objetos
incrustados para encontrar una direccin en un objeto de direccin o en un grupo
de direcciones. En la siguiente captura de pantalla, la direccin IP 10.8.10.177 se
ha introducido en la barra de filtros y se muestra la poltica aaa. Esa poltica
utiliza un objeto de grupo de direcciones denominado aaagroup, que contiene la
direccin IP.
Barra de filtros
Resultados de filtros
Reglas de
vista previa
(nicamente
Panorama)
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a
los dispositivos gestionados. En cada base de reglas, la jerarqua de las mismas se
marca visualmente para cada grupo de dispositivos (y dispositivo gestionado),
lo que permite revisarlas entre un gran nmero de reglas.
Las reglas previas o posteriores se pueden definir en un contexto compartido como polticas compartidas
para todos los dispositivos gestionados o, en un grupo de dispositivos, como especficas para un
determinado grupo de dispositivos. Debido a que las reglas previas y posteriores se definen en Panorama
y, a continuacin, se envan de Panorama a los dispositivos gestionados, podr ver las reglas en los
cortafuegos gestionados, pero solo podr editarlas en Panorama.
Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se evalan en primer
lugar. Puede utilizar las reglas previas para aplicar la poltica de uso aceptable para una organizacin;
por ejemplo, para bloquear el acceso a categoras de URL especficas o permitir el trfico DNS a todos
los usuarios.
Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan despus de las
reglas previas y de las reglas definidas localmente en el dispositivo. Las reglas posteriores suelen
incluir reglas para impedir el acceso al trfico basado en App-ID, ID de usuario o servicio.
Reglas predeterminadas: Reglas que indican al cortafuegos cmo gestionar el trfico que no coincide
con ninguna regla previa, regla posterior o regla local de un dispositivo. Estas reglas son parte de la
configuracin predefinida de Panorama. Puede cancelar las reglas predeterminadas para permitir la
edicin de ajustes seleccionados en estas reglas e introducirlas en los dispositivos gestionados de un
grupo de dispositivos o contexto compartido.
Para definir polticas, consulte Bloques de creacin de una poltica de seguridad o Creacin y gestin
de polticas.
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de direccin de red
(NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirn entre pblicos
y privados. Por ejemplo, las direcciones de origen privadas se pueden traducir a direcciones pblicas en el
trfico enviado desde una zona interna (fiable) a una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de cable virtual,
es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se
comunican los dispositivos vecinos. Proxy ARP no es compatible con cables virtuales, por lo que los
dispositivos vecinos solamente podrn resolver solicitudes ARP para direcciones IP que residan en la
interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe configurar una
poltica de seguridad para permitir el trfico NAT. La poltica de seguridad se basar en la direccin de la
zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas direcciones IP
pblicas con diferentes nmeros de puerto de origen. Las reglas de IP dinmica/NAT de puerto permiten
traducir una direccin IP nica, un intervalo de direcciones IP, una subred o una combinacin de todas
ellas. Si una interfaz de salida tiene una direccin IP asignada dinmicamente, puede ser de utilidad
especificar la interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin adquirida por la
interfaz para subsiguientes traducciones.
IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT que
las admitidas por el nmero de puertos y direcciones IP disponibles. El cortafuegos
puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma
simultnea) en los cortafuegos de las series PA-200, PA-500, PA-2000 y PA-3000,
cuatro veces en los cortafuegos PA-4020 y PA-5020 y ocho veces en los cortafuegos
de las series PA-4050, PA-4060, PA-5050, PA-5060 y PA-7000 cuando las
direcciones IP de destino sean exclusivas.
IP dinmica: Para el trfico saliente. Las direcciones de origen privadas se traducen a la siguiente
direccin disponible en el intervalo de direcciones especificado. Las polticas de NAT de IP dinmica
permiten especificar una direccin IP nica, mltiples IP, mltiples intervalos IP o mltiples subredes
como el grupo de direcciones traducidas. Si el grupo de direcciones de origen es mayor que el grupo
de direcciones traducidas, las nuevas direcciones IP que buscan traduccin se vern bloqueadas,
mientras que el grupo de direcciones traducidas se utiliza en su totalidad. Para evitar este problema,
puede especificar un grupo de reserva que se utilizar si el grupo primario agota sus direcciones IP.
IP dinmica: Para el trfico entrante o saliente. Puede utilizar la IP esttica de origen o destino,
mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza para asignar una
direccin IP pblica a mltiples servidores y servicios privados, los puertos de destino pueden ser los
mismos o dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo de
direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros diferentes. N
tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP dinmica en que los puertos
TCP y UDP de origen no se conservan en IP dinmica/puerto, mientras que permanecen inalterables con
NAT de IP dinmica. Tambin existen lmites diferentes del tamao del grupo de IP traducido, tal y como
se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su direccin
traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a M para un grupo de
direcciones IP asignadas una a una.
No
Muchas a
1MaN
No
MaN
Hasta
32.000 direcciones
consecutivas
No
1a1
Ilimitado
Tipos de NAT
de PAN-OS
El puerto de destino
es el mismo
El puerto de
destino puede
cambiar
IP dinmica/
puerto
No
IP dinmica
IP esttica
MaN
MIP
Opcional
1 a muchas
PAT VIP
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas en el intervalo
de las reglas NAT definidas posteriormente en la poltica NAT. Para definir una poltica no NAT,
especifique todos los criterios coincidentes y seleccione Sin traduccin de origen en la columna de
traduccin de origen.
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4.
Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4 acceder a servidores
IPv6. Existen tres mecanismos principales de transicin definidos por IETF: pila doble, tneles y
transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicacin, debe utilizar la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga de una
solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin NAT.
Las siguientes funciones NAT64 son compatibles:
Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4 pueda
asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede compartir con NAT44.
En contraste, Stateless NAT64 asigna una direccin IPv4 a una direccin IPv6.
Traduccin de comunicacin IPv4 iniciada. El enlace esttico de IPv4 asigna una direccin/nmero de
puerto IPv4 a una direccin IP IPv6. PAN-OS tambin admite la reescritura, lo que le permite
conservar an ms direcciones IPv4.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de
hairpinning.
Permite la traduccin de paquetes TCP/UDP/ICMP por RFC, as como otros protocolos sin ALG
(best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traduccin tiene la misma
limitacin que NAT44.
Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamao mximo de segmento) para TCP.
Permite configurar el parmetro IPv6 MTU. El valor predeterminado es 1280, que es el valor mnimo
de MTU para el trfico IPv6. Este ajuste se configura en la pestaa Dispositivo > Configuracin >
Sesiones en Ajustes de sesin.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que es similar al
origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es similar al destino NAT en IPv4.
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Internet IPv4
Fiable
No fiable
Host IPv6
Tabla 137.
IP de origen
IP de destino
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC6052
Traduccin de
origen
IP dinmica y modo
de puerto (usar
direcciones IPv4)
Traduccin de destino
Ninguna
(Extrada de las direcciones IPv6 de
destino)
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Internet IPv4
Fiable
No fiable
Host IPv4
IP de destino
Cualquier
direccin
IPv4
Direccin IPv4
Traduccin de
origen
Modo de IP esttica
(Prefijo IPv6 en
formato RFC 6052)
Traduccin de destino
Direccin simple IPv6 (direccin IP
del servidor real)
Nota: Puede especificar una
reescritura del puerto del servidor.
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta para buscar
la zona de destino antes de buscar en la regla NAT. En NAT64, es importante solucionar la accesibilidad
del prefijo NAT64 para la asignacin de la zona de destino, porque el prefijo NAT64 no debe estar en la
ruta de la puerta de enlace NAT64. Es muy probable que el prefijo NAT64 acierte con la ruta
predeterminada, o que se cancele porque no hay ninguna ruta. Puede configurar una interfaz de tnel sin
punto de finalizacin porque este tipo de interfaz actuar como un puerto de loopback y aceptar otras
mscaras de subred adems de /128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para
garantizar que el trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
IP de
origen
Cualquier
direccin
IPv6
IP de destino
Traduccin de
origen
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Modo de IP
dinmica y
puerto.
Modo de IP
esttica.
Internet IPv4
a una red
IPv6
Cualquier
direccin
IPv4
Direccin IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
direccin
IPv6
Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.
Red IPv4 a
Internet IPv6
No admitida actualmente
Traduccin de destino
Ninguna
(extrada de direcciones
IPv6 de destino)
Usar direccin
IPv4 pblica
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
(extrada de direcciones
IPv6 de destino)
Tabla 139. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuacin)
IP de
origen
Escenario
Red IPv4 a
red IPv6
Red IPv6 a
red IPv4
IP de destino
Traduccin de
origen
Cualquier
direccin
IPv4
Direccin IPv4
simple
Modo de IP
esttica.
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Traduccin de destino
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
(extrada de direcciones
IPv6 de destino)
IP esttica: Para trfico entrante o saliente. Puede utilizar la IP esttica de origen o destino, mientras
que puede dejar el puerto de origen o destino sin modificar. Si se utiliza para asignar una direccin IP
pblica a mltiples servidores y servicios privados, los puertos de destino pueden ser los mismos o
dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo de
direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros diferentes.
N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP dinmica en que los
puertos TCP y UDP de origen no se conservan en IP dinmica/puerto, mientras que permanecen
inalterables con NAT de IP dinmica. Tambin existen lmites diferentes del tamao del grupo de IP
traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su direccin
traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a M para un grupo de
direcciones IP asignadas una a una.
El puerto de
destino es el
mismo
El puerto de
destino puede
cambiar
IP dinmica/
puerto
No
No
Muchas a 1
MaN
S
IP dinmica
Tipo de
asignacin
No
MaN
El puerto de
destino es el
mismo
El puerto de
destino puede
cambiar
Tipo de
asignacin
IP esttica
No
1a1
Ilimitado
MaN
MIP
Opcional
1 a muchas
PAT VIP
Pestaa General
Pestaa Paquete original
Pestaa Paquete traducido
Pestaa General
Utilice la pestaa General para configurar un nombre y una descripcin de la poltica NAT o NPTv6.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando existan
numerosas polticas. Seleccione el tipo de poltica NAT que est creando, lo que influir en los campos que
estarn disponibles en las pestaas Paquete original y Paquete traducido.
Descripcin
Nombre
Descripcin
Etiqueta
Tipo de NAT
Descripcin
Zona de origen
Zona de destino
Interfaz de destino
Descripcin
Servicio
Direccin de origen
Direccin de destino
Descripcin
Traduccin de direccin de
origen
Descripcin
Bidireccional
Traduccin de direccin de
destino: Direccin traducida
Pestaa General
Pestaa Origen
Pestaa Destino/aplicacin/servicio
Pestaa Reenvo
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica PBF. Tambin puede
configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Utilice la pestaa Origen para definir la zona de origen o la direccin de origen que define el trfico de
origen entrante al que se aplicar la poltica de reenvo.
Campo
Descripcin
Zona de origen
Direccin de origen
Campo
Descripcin
Usuario de origen
Pestaa Destino/aplicacin/servicio
Utilice la pestaa Destino/aplicacin/servicio para definir la configuracin de destino que se aplicar al
trfico que coincida con la regla de reenvo.
Campo
Descripcin
Direccin de destino
Campo
Descripcin
Aplicacin/servicio
Pestaa Reenvo
Use la pestaa Reenvo para definir la accin y la informacin de red que se aplicar al trfico que
coincida con la poltica de reenvo. El trfico se puede reenviar a una direccin IP de siguiente salto o un
sistema virtual, o bien se puede interrumpir el trfico.
Campo
Descripcin
Accin
Interfaz de salida
Siguiente salto
Supervisar
Campo
Descripcin
Programacin
Para limitar los das y horas en los que la regla est en vigor, seleccione una
programacin de la lista desplegable. Para definir nuevas programaciones,
consulte Ajustes de descifrado SSL en un perfil de descifrado.
Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y seguridad
granular. Las polticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL), incluidos
protocolos SSL encapsulados como IMAP(S), POP3(S), SMTP(S) y FTP(S), y a trfico Secure Shell (SSH).
El descifrado SSH se puede utilizar para descifrar el trfico SSH entrante y saliente para asegurar que los
protocolos no se estn utilizando para tneles de aplicaciones y contenido no permitido.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no. El descifrado
SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware,
Filtrado de URL y Bloqueo de archivos al trfico SSL descifrado antes de volverse a cifrar a medida que el
trfico sale del dispositivo. Puede aplicar perfiles de descifrado a sus polticas con objeto de bloquear y
controlar diferentes aspectos del trfico. Para obtener ms informacin, consulte Perfiles de descifrado.
Con el descifrado activado, la seguridad de punto a punto entre clientes y servidores se mantiene, y el
cortafuegos acta como un agente externo de confianza durante la conexin. Ningn tipo de trfico
descifrado sale del dispositivo.
Las polticas de descifrado pueden ser tan generales o especficas como sea necesario. Las reglas de las
polticas se comparan con el trfico en secuencias, por lo que las reglas ms especficas deben preceder a
las reglas ms generales. Para mover una regla a la parte superior de las polticas y que tenga preferencia,
seleccinela y haga clic en Mover hacia arriba. Una poltica que excluya el trfico del descifrado (con la
accin No hay ningn descifrado) siempre debe tener preferencia para poder entrar en vigor.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de un certificado
de confianza, si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de
certificacin de confianza del cortafuegos. Para configurar este certificado, cree uno en la pgina
Dispositivo > Gestin de certificados > Certificados y, a continuacin, haga clic en el nombre del
certificado y active la casilla Reenviar certificado fiable. Consulte Gestin de certificados de dispositivos.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas, consulte
Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de polticas en
Panorama.
Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para evitarlo, PAN-OS no
descifrar el trfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el artculo de ayuda ubicado en https://
live.paloaltonetworks.com/docs/DOC-1423.
Las siguientes tablas describen la configuracin de polticas de descifrado:
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Categora de URL/servicio
Pestaa Opciones
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de descifrado. Tambin
puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico de origen
entrante al que se aplicar la poltica de descifrado.
Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Campo
Descripcin
Usuario de origen
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el trfico de
destino al que se aplicar la poltica.
Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de destino
Campo
Descripcin
Servicio
Pestaa Categora
de URL
Pestaa Opciones
Use la pestaa Opciones para determinar si el trfico coincidente debera descifrarse o no. Si se ha
definido Descifrar, especifique el tipo de descifrado. Tambin puede aadir funciones de descifrado
adicionales configurando o seleccionando un perfil de descifrado.
Campo
Descripcin
Accin
Tipo
Perfil de descifrado
2.
Defina una poltica de cancelacin de aplicacin que especifique si la aplicacin personalizada se debe
activar. Una poltica suele incluir la direccin IP del servidor que ejecuta la aplicacin personalizada y
un conjunto restringido de direcciones IP o una zona de origen.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas, consulte
Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de polticas en
Panorama.
Use las siguientes tablas para configurar una regla de cancelacin de aplicaciones.
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Protocolo/Aplicacin
Pestaa General
Utilice la pestaa General para configurar un nombre y una descripcin de la poltica de cancelacin de
aplicacin. Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Campo
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico de origen
entrante al que se aplicar la poltica de cancelacin de aplicacin.
Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el trfico de
destino al que se aplicar la poltica.
Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Campo
Descripcin
Direccin de destino
Pestaa Protocolo/Aplicacin
Use la pestaa Protocolo/Aplicacin para definir el protocolo (TCP o UDP), puerto y aplicacin que
definen con mayor exactitud los atributos de la aplicacin para que coincida con la poltica.
Campo
Descripcin
Protocolo
Puerto
Aplicacin
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Categora de URL/servicio
Pestaa Accin
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de portal cautivo.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son
muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico de origen
entrante al que se aplicar la poltica de portal cautivo.
Campo
Descripcin
Origen
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el trfico de
destino al que se aplicar la poltica.
Campo
Destino
Descripcin
Especifique la siguiente informacin:
Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la poltica
del portal cautivo desde las direcciones de destino especficas. Seleccione la
casilla de verificacin Negar para seleccionar cualquier direccin excepto las
configuradas. Haga clic en Aadir para especificar mltiples interfaces o
zonas.
Campo
Descripcin
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier
protocolo o puerto.
Valor predeterminado de aplicacin: Los servicios seleccionados se
permiten o deniegan nicamente segn los puertos predeterminados por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
Seleccin: Haga clic en Aadir. Seleccione un servicio existente o seleccione
Servicio o Grupo de servicios para especificar una nueva entrada. Consulte
Servicios y Grupos de servicios.
Categora de URL
Pestaa Accin
Use la pestaa Acciones para determinar si el usuario ver un formato web, un cuadro de dilogo de reto
de explorador o si no se producir ningn desafo de portal cautivo.
Campo
Descripcin
Configuracin
de accin
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica DoS. Tambin puede
configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para especificar la
etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar o filtrar
polticas. Es til cuando ha definido muchas polticas y desea revisar las que estn
etiquetadas con una palabra clave especfica. Por ejemplo, tal vez quiera etiquetar
determinadas polticas de seguridad con Entrante en DMZ, polticas de descifrado
con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos
especfico para polticas asociadas con esa ubicacin.
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico de origen
entrante al que se aplicar la poltica DoS.
Campo
Descripcin
Origen
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el trfico de
destino al que se aplicar la poltica.
Campo
Destino
Descripcin
Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica DoS al
trfico entrante en una interfaz o en un grupo de interfaces. Seleccione Zona si la
poltica DoS se debe aplicar al trfico entrante desde todas las interfaces en una
zona concreta. Haga clic en Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la poltica DoS
para el trfico a las direcciones de destino especficas. Seleccione la casilla de verificacin Negar para seleccionar cualquier direccin excepto las configuradas.
Haga clic en Aadir para especificar varias direcciones.
Pestaa Opcin/Proteccin
Use la pestaa Opcin/Proteccin para configurar opciones adicionales de la poltica DoS, como el tipo de
servicio (http o https) o la accin que se realizar y decidir si se activar un reenvo de log para el trfico
coincidente. Tambin puede definir una programacin que determine cundo estar activa la poltica y
seleccionar un perfil DoS agregado o clasificado que defina ms atributos para la proteccin DoS.
Campo
Descripcin
Servicio
Accin
Programacin
Reenvo de
logs
Agregado
Clasificado
Perfiles de seguridad
Perfiles de seguridad
Los perfiles de seguridad proporcionan proteccin ante amenazas en polticas de seguridad. Cada poltica
de seguridad puede incluir uno o ms perfiles de seguridad.
Los siguientes tipos de perfil estn disponibles:
Perfiles de antivirus para proteger contra gusanos, virus y troyanos y bloquear descargas de spyware.
Consulte Perfiles de antivirus.
Perfiles de antispyware para bloquear los intentos del spyware en hosts comprometidos para realizar
llamadas a casa o balizamiento a servidores externos de comando y control (C2). Consulte Perfiles de
antispyware.
Perfiles de proteccin de vulnerabilidades para detener los intentos de explotacin de fallos del sistema y
de acceso no autorizado a los sistemas. Consulte Perfiles de proteccin de vulnerabilidades.
Perfiles de filtrado de URL para restringir el acceso de los usuarios a sitios web especficos y/o
categoras de sitios web, como compras o apuestas. Consulte Perfiles de filtrado de URL.
Perfiles de bloqueo de archivo para bloquear tipos de archivos seleccionados y en la direccin de flujo
de sesin especificada (entrante/saliente/ambas). Consulte Perfiles de bloqueo de archivo.
Perfiles de anlisis de WildFire para especificar que se realice un anlisis de archivos localmente en el
dispositivo WildFire o en la nube de WildFire. Consulte Perfiles de anlisis de WildFire.
Perfiles de filtrado de datos que ayudan a evitar que la informacin confidencial, como los nmeros
de tarjetas de crdito o de la seguridad social, salga de una red protegida. Consulte Perfiles de
filtrado de datos.
Adems de perfiles individuales, puede combinar perfiles que a menudo se aplican en conjunto, y crear
grupos de perfiles de seguridad en Objetos > Grupos de perfiles de seguridad.
Perfiles de seguridad
Accin
Descripcin
Valor predeterminado
Perfil de
Perfil de
antisantivirus
pyware
Permite el trfico de la
aplicacin.
Alerta
Descartar
Descarta el trfico de la
aplicacin.
Restablecer
cliente
Restablecer
ambos
Bloquear IP
Perfiles de seguridad
No puede eliminar un perfil que se utiliza en una poltica de seguridad. Antes debe
quitar el perfil de la poltica de seguridad y luego eliminarlo.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
En la pgina Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus
mediante anlisis del trfico definido. Defina en qu aplicaciones se buscarn virus mediante inspecciones
y la accin que se llevar a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los
descodificadores de protocolo enumerados, genera alertas de Simple Mail Transport Protocol (SMTP),
Internet Message Access Protocol (IMAP), y Post Office Protocol Version 3 (POP3), y toma las medidas
predeterminadas para el resto de las aplicaciones (alerta o denegacin), dependiendo del tipo de virus
detectado. El perfil se adjuntar despus a una poltica de seguridad para determinar la inspeccin del
trfico que atraviese zonas especficas.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el trfico entre
zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de zonas no fiables, como
Internet, as como el trfico enviado a destinos altamente sensibles, como granjas de servidores.
Para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarn al trfico
coincidente, consulte Perfiles de seguridad.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:
Campo
Descripcin
Nombre
Descripcin
Perfiles de seguridad
Campo
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Pestaa Antivirus
Use la pestaa Antivirus para definir el tipo de trfico que se inspeccionar, como ftp y http, y especifique
a continuacin la accin aplicable. Puede definir diferentes acciones para firmas de antivirus estndar
(columna Accin) y firmas generadas por el sistema WildFire (Accin de WildFire). Algunos entornos
pueden requerir pruebas de estabilidad ms largas para firmas de antivirus, por lo que esta opcin
permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por
Palo Alto Networks. Por ejemplo, las firmas de antivirus estndar pasan pruebas de estabilidad ms largas
(24 horas) en comparacin con las firmas de WildFire, que se pueden generar y emitir en 15 minutos o
menos tras la deteccin de la amenaza. Por ello, tal vez prefiera elegir la accin de alerta en las firmas de
WildFire en lugar del bloqueo.
Use la tabla Excepcin de aplicaciones para definir las aplicaciones que no sern inspeccionadas. Por
ejemplo, puede que quiera permitir http pero no inspeccionar el trfico de una aplicacin especfica que
funcione a travs de http.
Campo
Descripcin
Captura de paquetes
Descodificadores y
acciones
Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire.
Excepciones de
aplicaciones y acciones
Perfiles de seguridad
Pestaa Excepciones
Use la pestaa Excepciones para definir la lista de amenazas que ignorar el perfil de antivirus.
Campo
Descripcin
ID de amenaza
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Puede adjuntar un perfil de antispyware a una poltica de seguridad para detectar conexiones de llamada
a casa que se inicien desde spyware instalado en sistemas de su red.
Puede elegir entre dos perfiles de antispyware predefinidos en la poltica de seguridad. Cada uno de estos
perfiles tiene un conjunto de reglas predefinidas (con firmas de amenazas) organizadas por la gravedad de
la amenaza; cada firma de amenaza incluye una accin predeterminada especificada por
Palo Alto Networks.
Predeterminado: El perfil predeterminado utiliza la accin predeterminada para cada firma, tal como
especifica Palo Alto Networks al crear la firma.
Estricto: El perfil estricto cancela la accin definida en el archivo de firma para amenazas de gravedad
crtica, alta y media y la establece como la accin de bloqueo. La accin predeterminada se utiliza con
amenazas de gravedad baja e informativa.
Tambin puede crear perfiles personalizados. Por ejemplo, puede reducir el rigor de la inspeccin del
antispyware del trfico entre zonas de seguridad de confianza y aprovechar al mximo la inspeccin del
trfico recibido de Internet o del trfico enviado a activos protegidos, como granjas de servidores.
Los ajustes de Reglas
Los ajustes de Excepciones le permiten cambiar la accin de una firma especfica. Por ejemplo, puede
generar alertas para un conjunto especfico de firmas y bloquear todos los paquetes que coincidan con el
resto de firmas. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos.
Con objeto de facilitar an ms la gestin de amenazas, puede aadir excepciones de amenazas
directamente desde la lista Supervisar > Logs > Amenazas. Asegrese de obtener las actualizaciones de
contenido ms recientes para estar protegido ante las nuevas amenazas y contar con nuevas firmas para
cualquier falso positivo.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts infectados en una
red. Estas firmas detectan bsquedas DNS concretas de nombres de host asociados con malware.
Las firmas DNS se pueden configurar para permitir, alertar o (por defecto) bloquear cuando se observen
estas consultas, al igual que las firmas de antivirus normales. Adems, los hosts que realizan consultas
DNS en dominios malware aparecern en el informe de botnet. Las firmas DNS se descargan como parte
de las actualizaciones de antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms columnas de
informacin disponibles en el selector de columnas. Haga clic en la flecha a la derecha de un encabezado
de columna y seleccione las columnas en el submen Columnas. Para obtener ms informacin, consulte
Bloqueo de transacciones.
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Seleccione esta casilla de verificacin si quiere que el perfil est disponible para:
Cada sistema virtual (vsys) de un cortafuegos de vsys mltiples. Si cancela la
seleccin de la casilla de verificacin, el perfil nicamente estar disponible
para el Sistema virtual seleccionado en la pestaa Objetos.
Cada grupo de dispositivos en Panorama. Si cancela la seleccin de la casilla
de verificacin, el perfil nicamente estar disponible para el Grupo de
dispositivos seleccionado en la pestaa Objetos.
Deshabilitar anulacin
(solamente Panorama)
Pestaa Reglas
Nombre de regla
Nombre de amenaza
Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para
buscar cualquier firma con el texto indicado como parte del nombre de la
firma.
Gravedad
Accin
Seleccione una accin para cada amenaza. Para ver una lista de las acciones,
consulte Acciones en perfiles de seguridad.
Captura de paquetes
Perfiles de seguridad
Descripcin
Pestaa
Excepciones
Excepciones
Perfiles de seguridad
Descripcin
Captura de paquetes
1.
2.
3.
4.
El cliente infectado intenta entonces iniciar una sesin en el host, pero usa
la direccin IP falsificada en su lugar. La direccin IP falsificada es la
direccin definida en la pestaa Firmas DNS del perfil Antispyware al
seleccionar la accin sinkhole.
5.
Perfiles de seguridad
Descripcin
Habilitar supervisin
de DNS pasivo
El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crtica,
alta y media y utiliza la accin predeterminada para los eventos de proteccin de vulnerabilidad bajos
e informativos.
Los perfiles personalizados se pueden utilizar para minimizar la comprobacin de vulnerabilidades para
el trfico entre zonas de seguridad fiables y para maximizar la proteccin del trfico recibido de zonas no
fiables, como Internet; y el trfico enviado a destinos altamente sensibles, como granjas de servidores. Para
aplicar los perfiles de proteccin de vulnerabilidades a las polticas de seguridad, consulte Definicin de
polticas de seguridad.
Los parmetros de Reglas especifican conjuntos de firmas para habilitar, as como las medidas que se
deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo, puede
bloquear todos los paquetes coincidentes con una firma, excepto el del paquete seleccionado, que genera
una alerta. La pestaa Excepcin admite funciones de filtrado.
La pgina Proteccin de vulnerabilidades muestra un conjunto predeterminado de columnas. Existen
ms columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la derecha de
un encabezado de columna y seleccione las columnas en el submen Columnas. Para obtener ms
informacin, consulte Bloqueo de transacciones.
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Pestaa Reglas
Nombre de regla
Nombre de amenaza
Accin
Host
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Perfiles de seguridad
Descripcin
Seleccione la casilla de verificacin para capturar paquetes identificados.
Seleccione paquete nico para capturar un paquete cuando se detecta,
o bien seleccione la opcin captura extendida para capturar de 1 a
50 paquetes. La captura extendida ofrece mucho ms contexto de la
amenaza al analizar los logs de amenazas. Para ver la captura de
paquetes, desplcese hasta Supervisar > Logs > Amenaza, busque la
entrada del log que le interesa y haga clic en la flecha verde hacia abajo
de la segunda columna. Para definir el nmero de paquetes que deben
capturarse, desplcese hasta Dispositivo > Configuracin > ID de
contenido y, a continuacin, edite la seccin Configuracin de ID de
contenidos.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.
Categora
Lista CVE
ID de proveedor
Gravedad
Perfiles de seguridad
Descripcin
Pestaa Excepciones
Amenazas
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Categoras
(configurable solo para
BrightCloud)
Accin tras el
vencimiento de la
licencia
Perfiles de seguridad
Descripcin
Lista de bloqueadas
Perfiles de seguridad
Descripcin
Lista de permitidas
Perfiles de seguridad
Descripcin
Comprobar categora
de URL
Haga clic para acceder al sitio web donde podr introducir una URL
o direccin IP para ver informacin de categorizacin.
Filtrado de URL
dinmica
Valor predeterminado:
Deshabilitado
Valor predeterminado:
Habilitado
Habilitar forzaje de
bsquedas seguras
Valor predeterminado:
Deshabilitado
Al habilitarla, esta opcin evitar que los usuarios que realicen bsquedas
en Internet usando uno de los tres principales proveedores de bsquedas
(Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de
bsqueda, a menos que tengan definida la opcin de bsqueda segura
estricta en sus exploradores para estos motores de bsqueda. Si un usuario
realiza una bsqueda usando uno de estos motores y su explorador o
motor de bsqueda no tiene configurada la opcin bsqueda segura en la
opcin estricta, los resultados de bsqueda sern bloqueados
(dependiendo de la accin definida en el perfil) y se pedir al usuario que
defina la opcin estricta en la configuracin de bsqueda segura.
Perfiles de seguridad
Descripcin
Logging de la cabecera
HTTP
Descripcin
Nombre
Descripcin
Perfiles de seguridad
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Reglas
Perfiles de seguridad
Descripcin
apk
avi
avi-divx
avi-xvid
bat
bmp-upload
cab
cdr
class
cmd
dll
doc
docx
dpx
dsn
dwf
dwg
edif
email-link
encrypted-doc
encrypted-docx
encrypted-office2007
encrypted-pdf
encrypted-ppt
encrypted-pptx
encrypted-rar
encrypted-xls
encrypted-xlsx
encrypted-zip
exe
Perfiles de seguridad
Descripcin
flash
Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. El archivo
SWF suministra grficos de vector, texto, vdeo y sonido en Internet; este
contenido se ve en el reproductor Adobe Flash. El archivo SWC es un paquete
comprimido de componentes SWF.
flv
gds
gif-upload
gzip
hta
iso
iwork-keynote
iwork-numbers
iwork-pages
jar
Archivo Java
jpeg-upload
lnk
lzh
mdb
mdi
mkv
mov
mp3
mp4
mpeg
msi
msoffice
Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx).
Si quiere que el cortafuegos bloquee/reenve archivos de MS Office, se
recomienda que seleccione el grupo msoffice para asegurarse de que se
identificarn todos los tipos de archivos de MS Office admitidos en lugar de
seleccionar individualmente cada tipo de archivo.
Codificacin multinivel
ocx
PE
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys, drv, tlb)
pgp
pif
pl
Perfiles de seguridad
Descripcin
png-upload
ppt
pptx
psd
rar
reg
rm
rtf
sh
stp
tar
tdb
tif
torrent
Archivo de BitTorrent
wmf
wmv
wri
wsf
xls
xlsx
zcompressed
zip
Archivo Winzip/pkzip
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Reglas
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Captura de datos
Descripcin
Patrn de datos
Aplicaciones
Tipos de archivos
Perfiles de seguridad
Descripcin
Direccin
Umbral de alerta
Umbral de bloqueo
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Los perfiles de proteccin DoS estn diseados para una seleccin muy precisa y los perfiles de proteccin de
zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un
ataque de DoS. Estos perfiles se adjuntan a polticas de proteccin de DoS para permitirle controlar el trfico
entre interfaces, zonas, direcciones y pases segn sesiones agregadas o direcciones IP nicas de origen o o
destino. Para aplicar perfiles DoS a polticas DoS, consulte Definicin de polticas DoS.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:
Zonas externas para permitir la comunicacin entre sistemas virtuales
Puertas de enlace compartidas para permitir que los sistemas virtuales compartan
una interfaz comn y una direccin IP para las comunicaciones externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para activar la fragmentacin IP y la proteccin ICMPv6, debe crear un perfil de
proteccin de zona separado para la puerta de enlace compartida.
Para protegerse contra inundaciones SYN en una puerta de enlace compartida,
puede aplicar un perfil de proteccin Inundacin SYN con Descarte aleatorio
temprano o Cookies SYN; en una zona externa, solo Descarte aleatorio temprano
est disponible para la proteccin contra inundaciones SYN
Perfiles de seguridad
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Descripcin
Tipo
Descripcin
Pestaa Proteccin
contra inundaciones
Pestaa secundaria
Inundacin SYN
Pestaa secundaria
Inundacin de UDP
Pestaa secundaria
Inundacin de ICMP
Otras pestaas
secundarias
Mx. de lmites
simultneos
Aplicaciones y grupos de aplicaciones que permiten especificar cmo se tratan las aplicaciones de
software en las polticas. Consulte Aplicaciones.
Patrones de datos para definir categoras de informacin confidencial para polticas de filtrado de
datos. Consulte Patrones de datos.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo
en perfiles de filtrado URL. Consulte Categoras de URL personalizadas.
Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. Consulte
Grupos de perfiles de seguridad.
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Descripcin
Descripcin
Tipo
Tipo (continuacin)
FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin. Por
tanto, las entradas se actualizan cuando el cortafuegos realiza una
comprobacin cada 30 minutos; todos los cambios en la direccin IP de
las entradas se recogen en el ciclo de actualizacin.
FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy
DNS, si se configura un proxy. Para obtener informacin acerca del proxy
DNS, consulte Configuracin de proxy DNS.
Etiquetas
configuracin de conmutacin por error o incluye nuevas mquinas virtuales con frecuencia y le
gustara aplicar una poltica al trfico que va o que procede de la nueva mquina sin modificar la
configuracin o las reglas del cortafuegos.
A diferencia de los grupos de direcciones estticas, en los que se especifica una direccin de red en un
host, los miembros de un grupo de direcciones dinmicas se cumplimentan definiendo un criterio de
coincidencia. El criterio de coincidencia usa operadores lgicos y u o; cada host que quiera aadir al
grupo de direcciones dinmicas debe incluir la etiqueta o atributo definido en el criterio de
coincidencia. Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama, as como
definirse dinmicamente usando la API XML y registrarse en el cortafuegos. Cuando se registra una
direccin IP y la etiqueta correspondiente (una o ms), cada grupo dinmico evala las etiquetas y
actualiza la lista de miembros de su grupo.
Para registrar una nueva direccin IP y etiquetas o cambios en las direcciones IP o etiquetas actuales,
debe usar secuencias de comandos que activen la API XML en el cortafuegos. Si dispone de un
entorno virtual con VMware, en lugar de usar secuencias de comandos para activar la API XML,
puede usar la funcin Orgenes de informacin de VM (pestaa Dispositivo > Orgenes de
informacin de VM ) para configurar el cortafuegos de modo que supervise el host ESX(i) o
vCenterServer y recuperar informacin (direccin de red y etiquetas correspondientes) de nuevos
servidores/invitados implementados en estas mquinas virtuales.
Para usar un grupo de direcciones dinmicas en la poltica, debe realizar las siguientes tareas.
Defina un grupo de direcciones dinmicas y haga referencia al mismo en la regla de poltica.
Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan
formarse los grupos de direcciones dinmicas. Esto se puede hacer usando secuencias de
comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware
configurando en la pestaa Dispositivo > Orgenes de informacin de VM en el cortafuegos.
Los grupos de direcciones dinmicas tambin pueden incluir objetos de direcciones definidas estticamente. Si crea un
objeto de direccin y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinmicas, este incluir
todos los objetos estticos y dinmicos que coincidan con las etiquetas. Por lo tanto, puede usar etiquetas para agrupar
objetos tanto dinmicos como estticos en el mismo grupo de direcciones.
Grupos de direcciones estticas: Un grupo de direcciones estticas puede incluir objetos de direccin
que sean estticas, grupos de direcciones dinmicas o puede ser una combinacin de objetos de
direccin y grupos de direcciones dinmicas.
Para crear un grupo de direcciones, haga clic en Aadir y cumplimente los siguientes campos.
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Descripcin
Tipo
Etiquetas
Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras regiones.
La regin est disponible como una opcin si especifica el origen y el destino de las polticas de seguridad,
polticas de descifrado y polticas DoS. Puede elegir entre una lista estndar de pases o usar los ajustes de
regin que se describen en esta regin, para definir las regiones personalizadas que se incluirn como
opciones para reglas de poltica de seguridad.
Las siguientes tablas describen la configuracin regional:
Descripcin
Nombre
Ubicacin geogrfica
Direcciones
Aplicaciones
Objetos > Aplicaciones
Qu est buscando?
Consulte
Definicin de aplicaciones
Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base para el
filtrado. Por ejemplo, para restringir la lista a la categora de colaboracin, haga clic en colaboracin y
la lista solamente mostrar las aplicaciones de esta categora.
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado es sucesivo:
en primer lugar se aplican los filtros Categora, a continuacin los filtros Subcategora, Tecnologa y
Riesgo y, finalmente, los filtros Caracterstica. Por ejemplo, si aplica un filtro Categora, Subcategora y
Riesgo, la columna Tecnologa se restringe automticamente a las tecnologas coherentes con la
categora y la subcategora seleccionadas, aunque no se haya aplicado un filtro Tecnologa de manera
explcita. Cada vez que aplique un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualizar automticamente. Visualice todos los filtros guardados en Objetos > Filtros de aplicacin.
Para buscar una aplicacin concreta, introduzca el nombre o descripcin de la aplicacin en el campo
Bsqueda y pulse Intro. Se mostrar la aplicacin y las columnas de filtrado se actualizarn con las
estadsticas de las aplicaciones que coinciden con la bsqueda.
Una bsqueda incluye cadenas parciales. Cuando defina polticas de seguridad, puede escribir reglas
que se aplicarn a todas las aplicaciones que coincidan con un filtro guardado. Estas reglas se
actualizan dinmicamente cuando se aade una nueva aplicacin mediante una actualizacin de
contenido que coincida con el filtro.
Puede Deshabilitar una aplicacin (o varias aplicaciones) para que la firma de aplicacin no coincida
con el trfico. Las reglas de seguridad definidas para bloquear, permitir o forzar una aplicacin
coincidente no se aplican al trfico de la aplicacin cuando la aplicacin est deshabilitada. Puede
decidir deshabilitar una aplicacin que est incluida con una nueva versin de publicacin de
contenido porque la implementacin de la poltica de la aplicacin podra cambiar cuando la
aplicacin est identificada de manera exclusiva. Por ejemplo, una aplicacin identificada como
trfico de exploracin web est permitida por el cortafuegos antes de una nueva instalacin de versin
de contenido; despus de instalar la actualizacin de contenido, la aplicacin identificada de manera
exclusiva ya no coincide con la regla de seguridad que permite el trfico de exploracin web. En este
caso, podra decidir deshabilitar la aplicacin para que el trfico que coincida con la firma de
aplicacin siga estando clasificado como trfico de exploracin web y est permitido.
Seleccione una aplicacin deshabilitada y seleccione Habilitar la aplicacin para que pueda
implementarse de acuerdo con sus polticas de seguridad configuradas.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el sistema
virtual de destino en la lista desplegable Destino.
Para exportar una aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
Seleccione Polticas de revisin para evaluar la implementacin basada en polticas para aplicaciones
antes y despus de instalar una versin de publicacin de contenido. Utilice el cuadro de dilogo
Polticas de revisin para revisar el impacto de la poltica en las nuevas aplicaciones incluidas en una
versin de publicacin de contenido descargada. El cuadro de dilogo Revisin de polticas le permite
aadir o eliminar una aplicacin pendiente (una aplicacin que se descarga con una versin de
publicacin de contenido pero no se instala en el cortafuegos) desde o hacia una poltica de seguridad
existente; los cambios en polticas para aplicaciones pendientes no tienen efecto hasta que no se instala
la versin de publicacin de contenido correspondiente. Tambin puede acceder al cuadro de dilogo
Revisin de polticas al descargar e instalar versiones de publicacin de contenido en la pgina
Dispositivo > Actualizaciones dinmicas.
Para ver detalles adicionales sobre la aplicacin o personalizar el riesgo y los valores de tiempo de
espera, como se describe en la siguiente tabla, haga clic en el nombre de la aplicacin. Un lpiz
amarillo sobre el icono que aparece a la izquierda del nombre de la aplicacin significa que la
aplicacin se ha personalizado. Observe que los ajustes disponibles varan de una aplicacin a otra.
Las siguientes tablas describen la configuracin de la aplicacin:
Descripcin
Nombre
Nombre de la aplicacin.
Descripcin
Informacin adicional
Puertos estndar
Depende de
Usa implcitamente
Identificado anteriormente
como
Para nuevos App-ID, o App-ID que han cambiado, esto indica cmo se
identificaba anteriormente la aplicacin. Esto le ayuda a evaluar si se requieren
cambios de poltica en funcin de los cambios en la aplicacin. Si un App-ID
est deshabilitado, las sesiones asociadas a esa aplicacin coincidirn con la
poltica como la anteriormente identificada como aplicacin. De igual modo,
los App-ID deshabilitados aparecern en los logs como la aplicacin como se
identificaban anteriormente.
Denegar accin
Caracterstica
Evasiva
Descripcin
SaaS
Archivos de transaccin
Vulnerabilidades
Ampliamente utilizado
Indica al cortafuegos que debe seguir intentando buscar coincidencias con otras
firmas de aplicaciones. Si no selecciona esta opcin, el cortafuegos dejar de
buscar coincidencias de aplicaciones adicionales despus de la primera firma
coincidente.
Categora
La categora de la aplicacin ser una de las siguientes:
sistemas empresariales
colaboracin
internet general
multimedia
redes
desconocido
Subcategora
Subcategora en la que se clasifica la aplicacin. Las diferentes categoras tienen
diferentes subcategoras asociadas a ellas. Por ejemplo, las subcategoras de la
categora colaboracin incluyen correo electrnico, intercambio de archivos,
mensajera instantnea, videoconferencia por Internet, empresas sociales, redes
sociales, voip y vdeo y publicacin web. No obstante, las subcategoras de la
categora sistemas empresariales incluyen servicio de autenticacin, base de
datos, erp-crm, empresa general, gestin, programas de oficina, actualizacin
de software y copia de seguridad de almacenamiento.
Tecnologa
basado en explorador
servidor cliente
Descripcin
protocolo de red
punto a punto
Una aplicacin que se comunica directamente con otros clientes para transferir
informacin en vez de basarse en un servidor central para facilitar la
comunicacin.
Riesgo
Riesgo asignado de la aplicacin.
Para personalizar este ajuste, haga clic en el enlace Personalizar e introduzca
un valor (1-5), y haga clic en ACEPTAR.
Opciones
Descripcin
Tiempo mximo, en segundos, que una sesin permanece en la tabla de la
sesin despus de la recepcin del segundo paquete FIN o un paquete RST.
Cuando el temporizador caduca, la sesin se cierra (el intervalo es de 1-600).
Valor predeterminado: Si este temporizador no est configurado en el nivel de
aplicacin, se utiliza el ajuste global.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
Tiempo de espera TCP.
App-ID habilitado
Si el cortafuegos no puede identificar una aplicacin utilizando el App-ID, el trfico se clasifica como
desconocido: TCP desconocido o UDP desconocido. Este comportamiento se aplica a todas las
aplicaciones desconocidas, excepto aquellas que emulan HTTP completamente. Para obtener ms
informacin, consulte Trabajo con informes de Botnet.
Puede crear nuevas definiciones para aplicaciones desconocidas y a continuacin, definir polticas de
seguridad para las nuevas definiciones de la aplicacin. Adems, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creacin de
polticas de seguridad.
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir una nueva aplicacin a la evaluacin del cortafuegos cuando
aplique polticas.
Descripcin
Pestaa
Configuracin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Descripcin
Categora
Subcategora
Tecnologa
Aplicacin primaria
Especifique una aplicacin principal para esta aplicacin. Este ajuste se aplica
cuando en una sesin coinciden las aplicaciones principal y personalizadas; sin
embargo, se registra la aplicacin personalizada porque es ms especfica.
Riesgo
Caractersticas
Descripcin
Pestaa Avanzada
Puerto
Protocolo IP
Tipo de ICMP
Tipo de ICMP6
Ninguno
Tiempo de espera
Tiempo de espera de
TCP
Tiempo de espera de
UDP
TCP semicerrado
Descripcin
Analizando
Seleccione las casillas de verificacin de los tipos de anlisis que desee permitir,
en funcin de los perfiles de seguridad (tipos de archivos, patrones de datos y
virus).
Pestaa Firma
Firmas
Haga clic en Aadir para agregar una firma nueva y especificar la siguiente
informacin:
Nombre de firma: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual nicamente o a la sesin completa del usuario.
Importa el orden de las condiciones: Seleccione si el orden en que se definen
las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga
clic en Aadir condicin.
Seleccione un operador entre Coincidencia de patrones e Igual que. Si selecciona el operador Coincidencia de patrones, especifique las siguientes
opciones:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 163 para ver
reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Si selecciona el operador Igual que, especifique las siguientes opciones:
Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o
UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos cuatro en la
carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Para mover una condicin en un grupo, seleccione la condicin y haga clic en el
flecha Mover hacia arriba o Mover hacia abajo. Para mover un grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo.
No puede mover condiciones de un grupo a otro.
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Aplicaciones
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir filtros de
aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e introduzca el nombre del
filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para el filtrado.
Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas de
verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros Categora, a continuacin los
filtros Subcategora, Tecnologa y Riesgo y, finalmente, los filtros Caracterstica.
Por ejemplo, la siguiente ilustracin muestra el resultado de seleccionar un filtro Categora, Subcategora y
Riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa se restringe automticamente a las
tecnologas que cumplen los requisitos de la categora y subcategora seleccionadas, aunque no se haya
aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno o ms servicios
para limitar el nmero de puertos que las aplicaciones pueden utilizar. El servicio predeterminado es
Cualquiera, quepermite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones de servicios.
Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la
creacin de polticas de seguridad (consulte Grupos de servicios).
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Protocolo
Puerto de destino
Puerto de origen
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los mismos ajustes
de seguridad en grupos de servicios. Para definir nuevos servicios, consulte Servicios.
La siguiente tabla describe la configuracin del grupo de servicios:
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Servicio
Etiquetas
Objetos > Etiquetas
Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Las etiquetas pueden aplicarse a
objetos de direccin, grupos de direcciones (estticas y dinmicas), zonas, servicios, grupos de servicios y
reglas de polticas. Puede utilizar una etiqueta para ordenar o filtrar objetos y para distinguir objetos
visualmente debido a que pueden tener color. Al aplicar un color a una etiqueta, la pestaa Poltica
muestra el objeto con un color de fondo.
Qu desea saber?
Consulte
Crear etiquetas
Qu es el explorador de
etiquetas?
Gestin de etiquetas
Desea obtener ms
informacin?
Crear etiquetas
Objetos > Etiquetas
Utilice esta pestaa para crear una etiqueta, asignar un color y eliminar, renombrar y duplicar etiquetas.
Cada objeto puede tener hasta 64 etiquetas; cuando un objeto tiene varias etiquetas, muestra el color de la
primera etiqueta aplicada.
En el cortafuegos, la pestaa Objetos > Etiquetas muestra las etiquetas que define localmente en el cortafuegos o
enva desde Panorama al cortafuegos; en Panorama, muestra las etiquetas que define en Panorama. Esta pestaa no
muestra las etiquetas que se recuperan dinmicamente de las fuentes de informacin de VM definidas en el
cortafuegos para formar grupos de direcciones dinmicas, o etiquetas que se definen utilizando la API XML.
Cuando crea una nueva etiqueta, la etiqueta se crea automticamente en el sistema virtual o grupo de
dispositivos seleccionado actualmente en el cortafuegos o Panorama.
Aada una etiqueta: Para aadir una nueva pestaa, haga clic en Aadir y, a continuacin,
cumplimente los siguientes campos:
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Color
Comentarios
Tambin puede crear una nueva etiqueta cuando cree o edite una poltica en la pestaa Polticas.
La etiqueta se crea automticamente en el grupo de dispositivos o sistema virtual seleccionado
actualmente.
Edite una etiqueta: Para editar, renombrar o asignar un color a una etiqueta, haga clic en el nombre de
etiqueta que aparezca como enlace y modifique los ajustes.
Elimine una etiqueta: Para eliminar una etiqueta, haga clic en Eliminar y seleccione la etiqueta en la
ventana.
Traslade o duplique una etiqueta: La opcin de trasladar o clonar una etiqueta le permite copiar una
etiqueta o trasladarla a un grupo de dispositivos o sistema virtual diferente en dispositivos
habilitados para varios sistemas virtuales.
Haga clic en Duplicar o Mover y seleccione la etiqueta en la ventana. Seleccione la ubicacin de
Destino (grupo de dispositivos o sistema virtual) de la etiqueta. Cancele la seleccin de la casilla de
verificacin Error en el primer error detectado en la validacin si desea que el proceso de validacin
detecte todos los errores del objeto antes de mostrar los errores. De manera predeterminada, la casilla
de verificacin est habilitada y el proceso de validacin se detiene cuando se detecta el primer error y
solamente muestra ese error.
Cancele o revierta una etiqueta (solamente en Panorama): La opcin Cancelar est disponible si no
seleccion la opcin Deshabilitar anulacin al crear la etiqueta. Le permite cancelar el color asignado a
la etiqueta heredado de un grupo de dispositivos compartido o antecesor. El campo Ubicacin
muestra el grupo de dispositivos actual. Tambin puede seleccionar la opcin Deshabilitar anulacin
para deshabilitar cancelaciones adicionales.
Para deshacer los cambios en una etiqueta, haga clic en Revertir. Cuando revierte una etiqueta, el
campo Ubicacin muestra el grupo de dispositivos o sistema virtual del que se hered la etiqueta.
Descripcin
Etiqueta (n.)
Regla
Orden de regla
Descripcin
Alfabtico
Borrar
Barra de bsquedas
Gestin de etiquetas
La siguiente tabla enumera las acciones que puede realizar mediante el explorador de etiquetas.
Gestin de etiquetas
Etiquete una regla.
1.
2.
1.
2.
3.
Gestin de etiquetas
Visualice reglas que coincidan con las
etiquetas seleccionadas.
Puede filtrar reglas en funcin de etiquetas
con un operador AND u OR.
Haga clic en
en la barra de bsquedas del panel
derecho. Los resultados se muestran con un operador
AND.
Elimine la etiqueta de una regla.
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea someter al
filtrado mediante polticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cmo
configurar patrones de datos, consulte Definicin de patrones de datos.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes, pero no menos.
La coincidencia de cadena puede o no distinguir entre maysculas y minsculas, dependiendo del
descodificador que se est utilizando. Cuando sea necesario distinguir entre maysculas y
minsculas, deber definir patrones de todas las cadenas posibles para hallar coincidencias de todas
las variaciones de un trmino. Por ejemplo, si desea encontrar coincidencias de documentos
denominados como confidenciales, deber crear un patrn para confidencial, Confidencial y
CONFIDENCIAL.
La sintaxis de expresin regular en PAN-OS es similar a la de los motores de expresiones regulares
tradicionales, pero cada motor es nico. La tabla siguiente describe la sintaxis compatible con PAN-OS.
Descripcin
Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.
[]
{}
Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).
&
& es un carcter especial, por lo que para buscar & en una cadena debe utilizar &.
.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
Dependiendo de los requisitos de distincin entre maysculas y minsculas del descodificador,
puede que esto no coincida con confidencial (todo en minsculas)
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra borrador, lo que
puede indicar que el comunicado de prensa no est preparado an para ser emitido.
.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Descripcin
Origen
Repetir
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Descripcin
Peso
Patrones personalizados
Descripcin
Pestaa Configuracin
ID de amenaza
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Comentarios
Gravedad
Accin predeterminada
Direccin
Sistema afectado
CVE
Proveedor
Bugtraq
Referencia
Descripcin
Pestaa Firmas
Firma estndar
Descripcin
Cuando seleccione un operador Igual que, Inferior a o Mayor que,
especifique que lo siguiente sea verdadero para que la firma coincida
con el trfico:
Contexto: Seleccione entre solicitudes desconocidas y respuestas
de TCP o UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos
cuatro en la carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por
ejemplo, 0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Firma de combinacin
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree
un archivo de texto con las URL que se incluirn, con una URL por lnea. Cada URL puede tener el
formato www.ejemplo.com y puede contener * como comodn, como en *.ejemplo.com. Para obtener
informacin adicional sobre comodines, consulte la descripcin del campo Lista de bloqueadas en la tabla
Configuracin de perfil de filtrado de URL.
Las entradas URL aadidas a las categoras personalizadas no distinguen entre
maysculas y minsculas. De igual forma, para eliminar una categora
personalizada despus de que se haya aadido a un perfil de URL y de que se haya
establecido una accin, la accin debe estar establecida en Ninguno para poder
eliminar la categora personalizada.
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles de filtrado
de URL.
La siguiente tabla describe la configuracin de URL personalizada:
Descripcin
Nombre
Descripcin
Compartido
Deshabilitar anulacin
(solamente Panorama)
Sitios
En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Perfiles
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si las entradas de
log de trfico y amenazas se registran de forma remota con Panorama, y/o se envan como traps SNMP,
mensajes de Syslog o notificaciones por correo electrnico. De forma predefinida, solo se realizan logs
locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de amenazas
registran las amenazas o problemas con el trfico de la red, como la deteccin de virus o spyware. Tenga
en cuenta que los perfiles de antivirus, antispyware y proteccin de vulnerabilidades asociados a cada
regla determinan las amenazas que se registran (de forma local o remota). Para aplicar los perfiles de log a
polticas de seguridad, consulte Definicin de polticas de seguridad.
En un cortafuegos de la serie PA-7000, se debe configurar un tipo de interfaz especial
(Tarjeta de log) antes de que el cortafuegos reenve los siguientes tipos de logs:
Syslog, correo electrnico y SNMP. Esto tambin se aplica al reenvo a WildFire.
Una vez configurado el puerto, se usar este puerto automticamente para el reenvo
de logs y de WildFire y no har falta ninguna configuracin especial para ello.
Solamente tiene que configurar el puerto de datos en uno de los NPC de la
serie PA-7000 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a
usar puede establecer contacto con sus servidores de logs. Para reenvo de WildFire,
la red necesitar comunicarse con la nube WildFire o dispositivo WildFire.
Si desea ms informacin sobre cmo configurar esta interfaz, consulte
Configuracin de una interfaz de tarjeta de log.
La siguiente tabla describe la configuracin de reenvo de logs:
Tabla 169.
Campo
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Tabla 169.
Campo
Descripcin
Configuracin de trfico
Panorama
Trap SNMP
Correo electrnico
Syslog
Trap SNMP
Correo electrnico
Syslog
Perfiles de descifrado
Objetos > Perfil de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvo,
inspeccin entrante SSL y trfico SSH. Despus de crear un perfil de descripcin, podr aadir dicho perfil
a una poltica de descifrado; cualquier trfico que coincida con la poltica de descifrado se aplicar de
acuerdo con los ajustes de perfil.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms informacin, consulte
Gestin de entidades de certificacin de confianza predeterminadas.
Un perfil de descifrado predeterminado se configura en el cortafuegos y se incluye automticamente en las
nuevas polticas de descifrado (no puede modificar el perfil de descifrado predeterminado). Haga clic en
Aadir para crear un nuevo perfil de descifrado, o seleccione un perfil existente para duplicarlo mediante
Duplicar o modificarlo.
Las siguientes secciones ofrecen descripciones de ajustes que suelen aplicarse al trfico que coincide con
una poltica de descifrado, as como informacin detallada sobre ajustes que pueden aplicarse
especficamente a trfico SSL descifrado, trfico SSH descifrado y trfico que coincida con una poltica de
no descifrado (excepciones de descifrado):
Descripcin
Nombre
Compartido
Seleccione esta casilla de verificacin si quiere que el perfil est disponible para:
Cada sistema virtual (vsys) de un cortafuegos de vsys mltiples. Si cancela la
seleccin de la casilla de verificacin, el perfil nicamente estar disponible para el
Sistema virtual seleccionado en la pestaa Objetos.
Cada grupo de dispositivos en Panorama. Si cancela la seleccin de la casilla de
verificacin, el perfil nicamente estar disponible para el Grupo de dispositivos
seleccionado en la pestaa Objetos.
Deshabilitar anulacin
(solamente Panorama)
Interfaz de reflejo de
descifrado
Seleccione una Interfaz que debe utilizarse para el reflejo del puerto de descifrado.
(nicamente cortafuegos
de las series PA-3000,
PA-5000 y PA-7000)
Reenviado solo
(nicamente cortafuegos
de las series PA-3000,
PA-5000 y PA-7000)
Pestaas Descifrado
SSL, No hay descifrado
y Proxy SSH
Pestaa secundaria
Proxy SSL de reenvo
Descripcin
Con el descifrado del proxy SSL de reenvo, el cortafuegos funciona como proxy
para una sesin entre un cliente interno y un servidor externo, generando un
certificado de reenvo fiable (o no fiable, si el certificado del servidor original no
est firmado por un CA de confianza) para el servidor externo que, a
continuacin, se presenta al cliente. El cortafuegos se establece como agente
externo de confianza en la sesin.
Seleccione las opciones para limitar o bloquear el trfico SSL descifrado mediante
Proxy SSL de reenvo.
Validacin de
certificado de servidor
Seleccione las opciones para controlar certificados de servidor para el trfico SSL
descifrado.
Finalice la conexin SSL si el certificado del servidor est caducado. De esta forma se
evita que un usuario acepte un certificado caducado y contine con una sesin SSL.
Bloquear sesiones al
agotar el tiempo de
espera de comprobacin
de estado de certificado
Restringir extensiones de
certificado
Comprobaciones de
modo no admitidas
Comprobaciones de
fallos
Bloquear sesiones si no
hay recursos disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para procesar
el descifrado.
Descripcin
Bloquear sesiones si
HSM no est disponible
Nota: En el caso de modos no compatibles y de fallos, la informacin de la sesin se guarda en cach durante 12 horas, por
lo que las futuras sesiones entre los mismos pares de hosts y servidor no se descifran. En su lugar, utilice las casillas de
verificacin para bloquear esas sesiones.
Pestaa secundaria
Inspeccin de entrada
SSL
Comprobaciones de
modo no admitidas
Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. PANOS admite SSLv3, TLS1.0, TLS1.1 y TLS1.2.
Comprobaciones de
fallos
Seleccione la accin que se adoptar si los recursos del sistema no estn disponibles.
Bloquear sesiones si no
hay recursos disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para procesar el
descifrado.
Bloquear sesiones si
HSM no est disponible
Pestaa secundaria
Configuracin de
protocolo SSL
Versiones de protocolo
Versin mn.
Versin mx.
Algoritmos de cifrado
Algoritmos de
autenticacin
Descripcin
Descripcin
Comprobaciones
de modo no
admitidas
Bloquear sesiones
con versiones no
compatibles
Bloquear sesiones
con algoritmos no
compatibles
Comprobaciones
de fallos
Bloquear sesiones
con errores SSH
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para procesar el descifrado.
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas y horas. Para
limitar una poltica de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las
polticas correctas. Para cada programacin puede especificar una fecha y un intervalo horario fijo, o bien
una programacin diaria o semanal recurrente. Para aplicar las programaciones a las polticas de
seguridad, consulte Definicin de polticas de seguridad.
Cuando se activa una poltica de seguridad en una programacin definida, solo se
vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.
Descripcin
Nombre
Compartido
Deshabilitar anulacin
(solamente Panorama)
Periodicidad
Diario
Semanal
Sin repeticin
Captulo 6
Informes y logs
En los siguientes temas se describe cmo usar el panel, el Centro de control de aplicaciones
(ACC), los informes y los logs en el cortafuegos para supervisar la actividad de su red:
Descripcin
Aplicaciones principales
Aplicaciones principales
de alto riesgo
Informacin general
Estado de interfaz
Logs de amenazas
Logs de configuracin
Descripcin
Administradores
registrados
Alta disponibilidad
Bloqueos
Qu desea saber?
Consulte
Acciones
Uso de filtros
Desea obtener ms
informacin?
No encuentra lo que busca?
Pestaas
El ACC incluye tres pestaas o vistas predefinidas que ofrecen visibilidad del
trfico de la red, la actividad de amenazas y la actividad bloqueada. Si desea
ms informacin sobre cada vista, consulte Vistas.
Widgets
Hora
Los grficos en cada widget ofrecen una vista en tiempo real y de historial.
Puede elegir un intervalo personalizado o usar los periodos predefinidos que
van desde 15 minutos hasta los ltimos 30 das o los ltimos 30 das naturales.
El periodo usado de manera predeterminada para representar datos es la
ltima hora. El intervalo de hora y fecha se muestran en la pantalla.
Por ejemplo:
01/12 10:30:00-01/12 11:29:59
Filtros
globales
Los filtros globales le permiten establecer el filtro en todas las pestaas. Los
grficos se aplican a los filtros seleccionados antes de representar los datos.
Para obtener informacin sobre cmo utilizar los filtros, consulte Acciones.
Medidor de
riesgos
Origen
Exportar
Vistas
Actividad de red: Esta pestaa muestra una descripcin general del trfico y la actividad
de los usuarios en su red. Se centra en las aplicaciones principales en uso, los usuarios que
generan ms trfico y una descripcin pormenorizada de los bytes, contenido, amenazas
o URL a las que ha accedido el usuario, as como las reglas de seguridad ms usadas para
comparar el trfico. Asimismo, puede ver la actividad de la red segn la zona de origen o
destino, regin o direcciones IP, por interfaces de acceso o salida y por informacin del
host, como los sistemas operativos de los dispositivos ms usados en la red.
Actividad de amenazas: Esta pestaa muestra una descripcin general de las amenazas
en la red. Se centra en las principales amenazas: vulnerabilidades, spyware, virus, hosts
que visitan dominios o URL malintencionados, principales envos de WildFire por tipo de
archivo y aplicacin y aplicaciones que usan puertos no estndar. El widget Hosts en
riesgo complementa la deteccin con mejores tcnicas de visualizacin. Usa la
informacin de la pestaa de eventos correlacionados (Motor de correlacin
automatizada > Eventos correlacionados) para presentar una vista agregada de hosts en
riesgo en su red por usuarios o direcciones IP de origen, organizadas por nivel de
gravedad.
Actividad bloqueada: Esta pestaa se centra en eltrfico bloqueado para que no entre en
la red. Los widgets de esta pestaa le permiten ver la actividad denegada por nombre de
aplicacin, nombre de usuario, nombre de amenaza, contenido (archivos y datos) y las
principales reglas de seguridad con una accin de denegacin que bloquearon el trfico.
Widgets
Los widgets de cada pestaa estn inactivos. Puede establecer filtros y pormenorizar la vista
para personalizarla y poder centrarse en la informacin que necesita.
Ver
Puede ordenar los datos por bytes, sesiones, amenazas, recuento, contenido,
URL, malintencionados, buenos, archivos, datos, perfiles, objetos.
Las opciones disponibles varan segn el widget.
Grfico
Tabla
Acciones
Si quiere ver una descripcin de cada widget, consulte la informacin sobre el uso del ACC.
Acciones
Para personalizar y refinar la visualizacin de ACC, puede aadir y eliminar pestaas y
widgets, establecer filtros locales y globales e interactuar con los widgets.
1.
Seleccione el icono
pestaas.
de la lista de
2.
1.
1.
2.
1.
2.
3.
widgets.
1.
widget/grupo de widgets.
2.
Restablecer la vista
predeterminada.
Establecer un filtro global desde una tabla: Seleccionar un atributo desde una tabla en
cualquier widget y aplicar el atributo como un filtro global.
Promocionar un filtro local para usarlo como un filtro global: Esta opcin le permite
promocionar un atributo que ha establecido como filtro local para que sea un filtro global.
Promocionar un filtro local a filtro global cambia la visualizacin en todas las vistas del ACC.
Definir un filtro global: Defina un filtro usando el panel Filtros globales en el ACC.
Uso de filtros
1.
2.
3.
1.
2.
una tabla.
Uso de filtros
1.
2.
filtro global.
Eliminar un filtro
Uso de filtros
Invalidar filtros
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope proporcionan visibilidad grfica en los siguientes aspectos
de la red:
Descripcin
Resumen
Informe de resumen
Supervisor de cambios
Supervisor de amenazas
Mapa de amenazas
Supervisor de red
Mapa de trfico
Uso de Appscope
Informe de resumen
El informe Resumen (Ilustracin 7) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y
orgenes.
Para exportar los grficos en el informe de resumen como un PDF, haga clic en
Cada grfico se guarda como una pgina en el PDF creado.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Uso de Appscope
Descripcin
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
Uso de Appscope
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Exporta el grfico como imagen .png o PDF.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Muestra las amenazas entrantes.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
Uso de Appscope
Visualizacin de logs
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.
Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.
Visualizacin de logs
Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de trfico, amenazas, filtrado de URL, filtrado de datos y perfil de informacin de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
especficas, puede aplicar filtros a la mayora de los campos de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos
de administracin basado en funcin. Cuando muestra logs, solo se incluye la
informacin de cuyo permiso dispone. Para obtener informacin acerca de los
permisos de administrador, consulte Definicin de funciones de administrador.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Visualizacin de logs
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas
incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y
puertos, el nombre de la aplicacin, el nombre de la regla de seguridad aplicada
al flujo, la accin de la regla (permitir, denegar o borrar), la interfaz de entrada y
salida, el nmero de bytes y la razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.
Amenaza
filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web.
Puede activar la creacin de logs de las opciones de encabezados HTTP para la
URL. Consulte Perfiles de filtrado de URL para obtener ms informacin sobre
cmo definir perfiles de filtrado de URL.
Envos a WildFire
Visualizacin de logs
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos para obtener ms informacin sobre cmo definir
perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono . Introduzca la contrasea y haga clic en
ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas para
obtener instrucciones acerca de cmo cambiar o eliminar la contrasea de
proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Este log tambin muestra informacin de perfiles de bloqueo de archivos. Por
ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que
estaban bloqueados. Si reenva archivos a WildFire, podr ver los resultados de
dicha accin. En este caso, si reenva archivos PE a WildFire, por ejemplo, el log
mostrar que el archivo fue reenviado y tambin el estado para saber si se carg
correctamente en WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.
Coincidencias
HIP
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Definicin de configuracin de alarmas.
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host
en la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y
la bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para
Visualizacin de logs
agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para
cerrar la ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista
filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha
definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en la
lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar
filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar
filtro, introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo
cualquier filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el
archivo o guardarlo en el disco y seleccione la casilla de verificacin si desea continuar
utilizando la misma opcin. Haga clic en ACEPTAR.
Exportar logs: Para exportar la lista actual de logs en formato CSV, seleccione el icono
Exportar a CSV
. De manera predeterminada, la exportacin de la lista de logs al
formato CSV genera un informe CSV con hasta 2.000 lneas de logs. Para cambiar el lmite
de lnea de los informes CSV generados, utilice el campo Mx. de filas en exportacin
CSV (seleccione Dispositivo > Configuracin > Gestin > Configuracin de log e
informes > Exportacin e informes de logs o consulte Definicin de la configuracin de
gestin).
Cambie las entradas que se muestran por pgina: Las entradas de logs se recuperan en
bloques de 10 pginas. Utilice los controles de pgina en la parte inferior de la pgina
para navegar por la lista de logs. Para cambiar el nmero de entradas de logs por pgina,
seleccione el nmero de filas en el men desplegable Filas. Para ordenar los resultados de
modo ascendente o descendente, use el men desplegable ASC o DESC.
Ver detalles de log adicionales: Para mostrar detalles adicionales, haga clic en el icono de
catalejo
de una entrada.
Visualizacin de logs
Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.
Consulte
Qu es un evento
correlacionado?
Desea obtener ms
informacin?
No encuentra lo que busca?
que es el nmero de veces que se produce una coincidencia con el patrn dentro de un lmite
de tiempo definido. Cuando se produce una coincidencia con un patrn, se registra un evento
de correlacin.
Los orgenes de datos usados para realizar las bsquedas pueden incluir los siguientes logs:
estadsticas de aplicacin, trfico, resumen de trfico, resumen de amenazas, amenazas,
filtrado de datos y filtrado de URL. Por ejemplo, la definicin de un objeto de correlacin
puede incluir un conjunto de patrones que consulta los logs en busca de pruebas de hosts
infectados, patrones de malware, movimiento lateral del malware en el trfico, filtrado de
URL y logs de amenazas.
Palo Alto Networks define los objetos de correlacin, que se incluyen en las actualizaciones de
contenido. Debe contar con una licencia de prevencin de amenazas para obtener
actualizaciones de contenido.
Un objeto de correlacin incluye los siguientes campos:
Campo
Descripcin
Nombre y
ttulo
ID
Categora
Estado
Descripcin
Todos los objetos de correlacin estn habilitados de forma predeterminada. Para deshabilitar
un objeto, seleccione la casilla de verificacin junto al objeto y haga clic en Deshabilitar.
Campo
Descripcin
Hora de
coincidencias
Hora de
actualizacin
Campo
Descripcin
Nombre de objeto
Direccin de origen
Usuario de origen
Gravedad
Una escala que clasifica el riesgo en funcin del alcance de los daos.
Resumen
de una entrada.
Pestaa
Descripcin
Informacin de
coincidencias
Evidencia de
coincidencias
Descripcin
Trfico HTTP
Aplicaciones
desconocidas
IRC
Descripcin
Perodo de ejecucin
del informe
# Filas
Programado
Generador de consultas
Negar
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
en la esquina superior
derecha del cuadro de icono del elemento o elimine la casilla de verificacin del elemento
en el cuadro de lista desplegable correcto junto a la parte superior de la pgina.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo de
informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Descripcin
Nombre
Tipo
Perodo de tiempo
Incluir navegacin
detallada
Tabla 186.
Campo
Descripcin
Nombre
Pgina de ttulo
Ttulo
Descripcin
Nombre
Grupo de informes
Periodicidad
Perfil de correo
electrnico
Cancelar correos
electrnicos del
destinatario
Visualizacin de informes
Supervisar > Informes
El cortafuegos proporciona diversos informes de los 50 principales de las estadsticas de
trfico del da anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior. Para
ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de informe
en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF. Los
archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte superior
de la ventana para imprimir o guardar el archivo.
Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Base de datos
Perodo de tiempo
Ordenar por
Programado
Columnas
Descripcin
Generador de consultas
Qu desea saber?
Consulte
Desea obtener ms
informacin?
No encuentra lo que busca?
Configurado en
Descripcin
Gestionar filtros
Configurar filtrado
Filtrado
Configurar filtrado
Anterior a la
coincidencia
Configurar filtrado
Configurado en
Descripcin
Captura de
paquetes
Configurar captura
Archivos
capturados
Archivos capturados
Borrar toda la
configuracin
Configuracin
Perfil de
seguridad
Antivirus
Antispyware
Proteccin de
vulnerabilidades
Captulo 7
Descripcin
Utilice esta pestaa secundaria para establecer las credenciales de dominio de la cuenta
que utilizar el cortafuegos para acceder a recursos de Windows. Esto es necesario
para supervisar servidores Exchange y controladores de dominio, as como para el
sondeo de WMI.
Nombre de usuario: Especifique la cuenta con permisos para realizar consultas de
WMI en equipos cliente y supervisin de servidor. Introduzca el nombre de usuario
mediante la sintaxis de dominio/nombre de usuario.
Contrasea/Confirmar contrasea: Especifique la contrasea de la cuenta.
Descripcin
Pestaa
Supervisor
del servidor
Descripcin
Pestaa
Sondeo de
cliente
Pestaa
Almacenamiento en
cach
Descripcin
Pestaa
NTLM
Nombre del recopilador: Especifique el nombre del recopilador si desea que este
cortafuegos acte como punto de redistribucin para la asignacin de usuarios para
cada cortafuegos en su red.
El nombre del recopilador y la clave compartida previamente se utilizan cuando se
configuran los agentes del ID de usuario en los cortafuegos que arrastrarn la
informacin de asignacin del usuario.
Para permitir que el cortafuegos acte como un punto de redistribucin, tambin
deber habilitar el servicio ID de usuario en Red > Perfiles de red > Gestin de
interfaz.
Clave preconvertida/Confirmar clave precompartida: Introduzca la clave
precompartida utilizada por otros cortafuegos para establecer una conexin segura
para transferencias de asignacin de usuarios.
Descripcin
Pestaa
Filtrados
de Syslog
Utilice esta pestaa secundaria para especificar cmo debe analizar el cortafuegos los
mensajes de Syslog para extraer informacin de asignacin (direccin IP y nombre de
usuario) a partir de los mensajes de Syslog que recibe. Para aadir un filtro de Syslog,
haga clic en Aadir y, a continuacin, cumplimente los siguientes campos. Puede crear
filtros distintos de diferentes emisores de Syslogs. Debe especificar qu filtro se debe
utilizar cuando agregue al emisor a la lista de servidores supervisados. Adems, antes
de que los mensajes de Syslog sean aceptados en una interfaz, el servicio de escucha de
Syslog debe estar habilitado en el perfil de gestin asociado con la interfaz.
Perfil de anlisis de Syslog: Introduzca un nombre para el perfil de anlisis (hasta
63 caracteres alfanumricos). Palo Alto Networks proporciona varios filtros de Syslog
predefinidos, que se distribuyen como actualizaciones de contenido de aplicacin y,
por lo tanto, se actualizan dinmicamente como filtros nuevos. Los filtros predefinidos
son generales para el cortafuegos, mientras que los filtros manuales solo se aplican a
un sistema virtual.
Descripcin: Introduzca una descripcin para el perfil (hasta 255 caracteres
alfanumricos).
Tipo: Especifique el tipo de anlisis que se debe utilizar para filtrar la informacin de
asignacin de usuario. Se admiten dos tipos: Identificador Regex y Identificador de
campo. Para crear los filtros, debe conocer el formato de los mensajes de autenticacin
en los Syslogs. Las siguientes descripciones de campo muestran ejemplos de cmo
crear filtros para mensajes de Syslog que tengan el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success
User:domain\johndoe_4 Source:192.168.0.212
Descripcin
Regex de nombre de usuario: Introduzca el regex para identificar el principio del
nombre de usuario en los mensajes de autenticaciones realizadas con xito. Por
ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe4 en el mensaje de ejemplo y extraera acme\johndoe1 como
User-ID. Utilice este campo para especificar el campo de direccin IP en los
mensajes de autenticaciones realizadas con xito.
Regex de direccin: Utilice este campo para especificar el campo de direccin IP en los
mensajes de autenticaciones realizadas con xito. Por ejemplo, la siguiente expresin
regular Source:([0-9]{1,3}\.[0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3})
coincidira con la cadena Source:192.168.0.212 en el mensaje de ejemplo y se
extraera y aadira 192.168.0.212 como la direccin IP en la asignacin de nombre que
ha creado.
Identificador de campo: Con este tipo de anlisis se especifica una cadena para que
coincida con el evento de autenticacin y cadenas de prefijo y sufijo para identificar
la informacin de asignacin de usuario en los Syslogs de la siguiente forma:
Cadena de eventos: Especifique la cadena que debe identificar el tipo de log de
evento desde el que extraer la informacin de asignacin de usuario. Por ejemplo,
usando el formato de syslog de ejemplo que aparece anteriormente, debe introducir la cadena authentication success para la coincidencia en los eventos de
autenticacin correctos del log.
Prefijo de nombre de usuario: Introduzca la cadena de coincidencia para identificar el principio del campo del nombre de usuario en el mensaje de Syslog de
autenticacin. Por ejemplo, usando el formato de Syslog del ejemplo anterior, debe
introducir la cadena User: para identificar el principio del nombre de usuario.
Delimitador de nombre de usuario: Introduzca el delimitador utilizado para
marcar el final del campo de nombre de usuario en un mensaje de log de autenticacin. Por ejemplo, en el formato del mensaje de log de ejemplo, al nombre de
usuario le sigue un espacio, por lo que debe introducir \s para indicar que el
campo de nombre de usuario est delimitado por un espacio.
Prefijo de direccin: Especifique una cadena para que coincida Especifique la
cadena que debe extraerse de la direccin IP del mensaje de log. Por ejemplo,
usando el formato de Syslog de ejemplo que aparece anteriormente, debe introducir la cadena Source: para identificar el campo de log del que extraer la
direccin.
Delimitador de direccin: Introduzca la cadena coincidente utilizada para marcar
el final del campo de direccin IP en el mensaje de autenticacin realizada con
xito. Por ejemplo, en el formato del mensaje de log de ejemplo, a la direccin le
sigue un salto de lnea, por lo que debe introducir \n para indicar que el campo de
direccin est delimitado por una nueva lnea.
Descripcin
Supervisin Utilice esta seccin de la pantalla para definir los servidores de Microsoft Exchange,
de servidor controladores de dominio, servidores Novell eDirectory o emisores de Syslog con el fin de
Note: Recuer
de que para
que los eventos
Active
Directory
(AD) se
registren en el
log de
seguridad, el
dominio AD
debe
configurarse
para registrar
eventos de
inicio de sesin
de cuenta
correctos.
Para definir nuevos servidores de supervisin manualmente o emisores de Syslog a los que
escuchar, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos:
Nombre: Introduzca un nombre para el servidor.
Descripcin: Introduzca una descripcin del servidor que se debe supervisar.
Habilitado: Seleccione la casilla de verificacin para habilitar la supervisin de log de
este servidor.
Tipo: Seleccione el tipo de servidor para supervisar. Segn el tipo, aparece uno o varios
de los siguientes campos:
Direccin de red: Introduzca la direccin IP o el nombre de dominio completo
(FQDN) del servidor de Exchange o Active Directory que se debe supervisar.
Perfil de servidor: Seleccione el perfil de servidor LDAP que se debe usar para
conectar al servidor Novell eDirectory.
Tipo de conexin: Especifica si el agente del cortafuegos escuchar los mensajes de
Syslog en el puerto UDP (514) o en el puerto SSL (6514). Si selecciona SSL, el Perfil
de servicio de Syslog que seleccione en los ajustes Configuracin de agente de Id de
usuario (consulte Pestaa Supervisor del servidor) determinar las versiones de
SSL/TLS que se permiten y el certificado que se usa para establecer una conexin
entre el remitente de Syslog y el cortafuegos.
Filtro: Seleccione el filtro de Syslog que se debe usar para extraer nombres de usuario
y direcciones IP a partir de los mensajes de Syslog recibidos desde este servidor.
Nombre de dominio predeterminado: (optativo) Especifique un nombre de dominio
que preceda al nombre de usuario si no hay ningn nombre de dominio presente en la
entrada de log.
Para terminar de aadir el servidor, haga clic en ACEPTAR. El cortafuegos tratar de
conectar al servidor. Cuando se conecte correctamente, el estado aparecer como
Conectado. Si el cortafuegos no puede conectarse, el estado mostrar un error, como
conexin rehusada o la conexin ha agotado el tiempo de espera.
Descripcin
Incluir/excluir redes
Por defecto, si no especifica subredes en esta lista, el agente ID de usuario realizar una
asignacin de direccin IP a nombre de usuario (descubrimiento) de todas las subredes
de los servidores de la lista Supervisin de servidor. Para limitar el descubrimiento a
subredes especficas, haga clic en Agregar y especifique un perfil que incluya un
Nombre, un intervalo de direcciones IP de subred (direccin de red), opcin de
Descubrimiento (Incluir o Excluir) y la opcin Habilitado (por el que activar o
desactivar el perfil). El agente de ID de usuario aplica una exclusin implcita de todas
las reglas a la lista. Por ejemplo, si agrega una subred10.0.0.0/8 con la opcin Incluir, el
agente ID de usuario excluye todas las dems subredes aunque no las aada a la lista.
Aada entradas con la opcin Excluir nicamente si desea que el agente de ID de
usuario excluya un subconjunto de las subredes que ha incluido explcitamente. Por
ejemplo, si aade 10.0.0.0/8 con la opcin Incluir y aade 10.2.50.0/22 a la opcin
Excluir, el agente de ID de usuario realizar el descubrimiento de todas las subredes de
10.0.0.0/8 excepto 10.2.50.0/22, y excluir todas las subredes fuera de 10.0.0.0/8.
Observe que si aade perfiles Excluir sin aadir ningn perfil Incluir, el agente de ID
de usuario excluye todas las subredes, no solo las que ha aadido.
Por defecto, el agente de ID de usuario evala los perfiles en el orden en el que los
aade, desde el de arriba el primero al ltimo de abajo. Para cambiar el orden de
evaluacin, haga clic en Secuencia de red de inclusin exclusin personalizada. En el
cuadro de dilogo que se abre, agregar, eliminar, mover hacia arriba o mover hacia
abajo los perfiles para crear un orden de evaluacin personalizado.
Si configura el cortafuegos para distribuir informacin de asignacin a otros
cortafuegos, los lmites de descubrimiento que especifique en la lista Incluir/excluir
redes se aplicarn a la informacin distribuida.
Para aplicar la informacin de asignacin de usuarios al trfico de cortafuegos de
modo que la informacin est disponible en logs, informes y polticas, debe Habilitar
identificacin de usuarios en cada zona de seguridad (consulte Definicin de zonas
de seguridad).
Para aadir un nuevo agente de identificacin de usuario a la lista de agentes con los que se
comunica este cortafuegos, haga clic en Aadir y, a continuacin, complete los siguientes
campos.
Descripcin
Nombre
Host
Puerto
Utilizar como
Proxy LDAP
Utilizar para
autenticacin NTLM
Habilitado
Descripcin
Nombre
Host
Puerto
Direcciones IP
alternativas
Habilitado
Descripcin
Perfil de servidor
Intervalo de
actualizacin
Dominio de usuario
Objetos de grupo
Filtro de bsqueda: Especifique una consulta LDAP que se puede utilizar para controlar qu grupos se recuperan y siguen.
Clase de objeto: Especifique la definicin de un grupo. Por ejemplo, el
valor predeterminado es objectClass=group, lo que significa que el
sistema recupera todos los objetos en el directorio que coinciden con el
filtro de grupo y cuentan con objectClass=group.
Nombre de grupo: Introduzca el atributo que especifica el nombre del
grupo. Por ejemplo, en Active Directory, este atributo es CN
(Nombre comn).
Miembro del grupo: Especifique el atributo que contiene los miembros
de este grupo. Por ejemplo, en Active Directory, este atributo es
miembro.
Descripcin
Objetos de usuario
Dominios de correo
Habilitado
y,
Descripcin
Habilitar portal
cautivo
Temporizador
de inactividad
(minutos)
Descripcin
Temporizador
(min)
Duracin mxima del TTL, mxima cantidad de tiempo que una sesin del portal
cautivo puede permanecer asignada. Una vez transcurrido el tiempo de
vencimiento, la asignacin se eliminar y los usuario tendrn que volver a
autenticarse incluso aunque la sesin siga activa. Este temporizador se utiliza
para garantizar las asignaciones obsoletas y el valor establecido aqu anula el
tiempo de espera de inactividad. Por lo tanto, se recomienda que establezca el
vencimiento en un valor superior al del temporizador de inactividad (intervalo 1
- 1440 minutos; valor predeterminado: 60 minutos).
Perfil de servicio
SSL/TLS
Perfil de
autenticacin
Modo
Seleccione un modo para definir la forma en que se capturan las solicitudes web
para la autenticacin:
Transparente: El cortafuegos intercepta el trfico del explorador mediante la
regla de portal cautivo y representa la URL de destino original, emitiendo un
HTTP 401 para invocar la autenticacin. Sin embargo, como el cortafuegos no
tiene el certificado real para la URL de destino, el explorador mostrar un error
de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto,
nicamente debera utilizar este modo cuando sea absolutamente necesario,
como en implementaciones de capa 2 o cable virtual (Virtual Wire).
Redirigir: El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y
las redirige a una interfaz de capa 3 en el cortafuegos utilizando una redireccin
HTTP 302 para realizar la autenticacin. Este es el modo preferido porque
proporciona una mejor experiencia de usuario final (sin errores de certificado).
Sin embargo, requiere una configuracin de capa 3 adicional. Otra ventaja del
modo Redirigir es que permite el uso de cookies de sesin, que permiten que el
usuario siga explorando sitios autenticados sin tener que volver a asignar cada
vez que venza el tiempo de espera. Esto es de especial utilidad para los usuarios
que se desplazan de una direccin IP a otra (por ejemplo, de la LAN corporativa
a la red inalmbrica) porque no tendrn que volver a autenticar al cambiar de
direccin IP siempre que la sesin permanezca abierta. Adems, si tiene la
intencin de utilizar la autenticacin de NTLM, deber utilizar el modo Redirigir
porque el explorador nicamente proporcionar credenciales a sitios fiables.
Note: Para utilizar el portal cautivo en modo de redireccionamiento, debe habilitar pginas
de respuesta en el perfil de gestin de la interfaz asignado a la interfaz Capa 3 a la que est
redirigiendo el portal cautivo. Consulte Definiendo perfiles de gestiones de interfaz y
Configure la interfaz de capa 3.
Descripcin
Cookie de sesin
(modo de
redireccionamie
nto solo)
Host de
redireccionamie
nto (modo de
redireccionamie
nto solo)
Autenticacin
del certificado
Seleccione el perfil del certificado que se debe utilizar para autenticar a los
usuarios del portal cautivo. Cuando utiliza este tipo de autenticacin, el portal
cautivo pedir al explorador que presente un certificado de cliente vlido para
autenticar al usuario. Para utilizar este mtodo debe proporcionar certificados de
cliente en cada sistema de usuario e instalar el certificado de CA de confianza
utilizado para emitir esos certificados en el cortafuegos. Este es el nico mtodo de
autenticacin que habilita una autenticacin transparente para clientes de Mac OS
y Linux.
Autenticacin de
NTLM
Captulo 8
Descripcin
Aadir
Para crear una nueva puerta de enlace de IKE, haga clic en Aadir.
Consulte Pestaa General de puerta de enlace de IKE y Pestaa
Opciones avanzadas de puerta de enlace de IKE si desea instrucciones
sobre la configuracin de la nueva puerta de enlace.
Eliminar
Habilitar
Deshabilitar
Descripcin
Nombre
Versin
IPv4/IPv6
Interfaz
Direccin IP local
Tipo de IP de peer
Seleccione Esttica o dinmica del peer del extremo ms alejado del tnel.
Descripcin
Autenticacin
Campos de claves
precompartidas
Clave precompartida
Confirmar clave
precompartida
Identificacin local
Descripcin
Campos de certificados
Certificado local
Descripcin
Intercambio de certificado
HTTP
Identificacin local
Comprobacin de ID de
peer
Permitir identificacin de
peer y falta de
coincidencia de
identificacin de carga de
certificado
Habilitar validacin
estricta de uso de clave
extendida de peer
Descripcin
Descripcin
Habilitar NAT
Transversal
Pestaa secundaria
IKEv1
Modo de intercambio
Perfil criptogrfico
de IKE
Habilitar fragmentacin
Haga clic para permitir la puerta de enlace local para recibir los paquetes
de IKE fragmentados. El tamao del paquete fragmentado mximo es de
576 bytes.
Pestaa secundaria
IKEv2
Perfil criptogrfico de
IKE
Validacin estricta de
cookies
Descripcin
Comprobacin de
actividad
Descripcin
Reiniciar
Actualizar
Descripcin
Aadir
Para crear un nuevo tnel VPN de IPSec, haga clic en Aadir. Consulte
Pestaa General del tnel IPSec si desea instrucciones sobre la
configuracin del nuevo tnel.
Eliminar
Habilitar
Deshabilitar
Descripcin
Nombre
Interfaz de tnel
IPv4 o IPv6
Seleccione IPv4 o IPv6 para configurar el tnel para tener extremos con
ese tipo de direccin IP.
Tipo
Descripcin
Clave automtica
Clave manual
Descripcin
Satlite de GlobalProtect
Tabla 201. Configuracin de pestaa IPv4 y IPv6 de Identificadores proxy de Tnel de IPSec
Campo
Descripcin
Identificador
proxy
Local
Para IPv4: Introduzca una subred o direccin IP con el formato x.x.x.x/mscara (por
ejemplo, 10.1.2.0/24).
Para IPv6: Introduzca una direccin IP o longitud de prefijo en el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/longitud-prefijo (o segn la convencin
de IPv6, por ejemplo, 2001:DB8:0::/48).
El direccionamiento IPv6 no requiere que se escriban todos los ceros; es posible
omitir los ceros iniciales y reemplazar los consecutivos con dos puntos y coma
yuxtapuestos (::).
Para un selector de trfico de IKEv2, este campo se convertir en Direccin IP de
origen.
Tabla 201. Configuracin de pestaa IPv4 y IPv6 de Identificadores proxy de Tnel de IPSec
Campo
Descripcin
Remoto
Si lo requiere el peer:
Para IPv4, introduzca una subred o direccin IP con el formato x.x.x.x/mscara (por
ejemplo, 10.1.1.0/24).
Para IPv6, introduzca una direccin IP o longitud de prefijo en el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/longitud-prefijo (o segn la convencin
de IPv6, por ejemplo, 2001:DB8:55::/48).
Para un selector de trfico de IKEv2, este campo se convertir en Direccin IP de
destino.
Protocolo
Especifique los nmeros de protocolo y puerto para los puertos locales y remotos:
Nmero: Especifique el nmero de protocolo (utilizado para la interoperabilidad
con dispositivos de terceros).
Cualquiera: Permita el trfico de TCP y/o UDP.
TCP: Especifique los nmeros de puertos TCP locales y remotos.
UDP: Especifique los nmeros de puertos UDP locales y remotos.
Cada ID de proxy configurado se tendr en cuenta a la hora de calcular la capacidad
de tnel de VPN de IPSec del cortafuegos.
Este campo tambin se usa como selector de trfico de IKEv2.
Estado del tnel (primera columna de estado): El color verde indica un tnel de
asociacin de seguridad (SA) de fase 2 de IPSec. El color rojo indica que la SA de IPSec de
fase 2 no est disponible o ha vencido.
Estado de la puerta de enlace de IKE: El color verde indica una SA de fase 1 de IKE o SA
de IKE IKEv2 vlida. El color rojo indica que la SA de IKE de fase 1 no est disponible o
ha vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO y se puede conectar con la direccin IP de supervisin). El color rojo
indica que la interfaz de tnel est desactivada porque el supervisor de tnel est
habilitado y no se puede conectar con la direccin IP de supervisin del tnel remoto.
Descripcin
Reiniciar
Actualizar
Descripcin
Nombre
Grupo DH
Autenticacin
Cifrado
Duracin de la
clave
Descripcin
Autenticacin
IKEv2
mltiple
Descripcin
Nombre
Protocolo de
IPSec
Seleccione un protocolo para asegurar los datos que atraviesan el tnel VPN:
ESP: el protocolo de carga de seguridad encapsulada (ESP) cifra los datos,
autentica el origen y verifica la integridad de los datos.
AH: el protocolo de encabezado de autenticacin (AH) autentica el origen y
verifica la integridad de los datos.
Cifrado
(protocolo ESP
nicamente)
Haga clic en Aadir y seleccione los algoritmos de cifrado deseados. Para mayor
seguridad, seleccione los botones Mover hacia arriba o Mover hacia abajo para
cambiar el orden (de arriba a abajo) por el siguiente: aes-256-gcm, aes-256-cbc,
aes-192-cbc, aes-128-gcm, aes-128-ccm (el cortafuegos de la VM-Series no admite
esta opcin), aes-128-cbc y 3des. Tambin puede seleccionar null (sin cifrado).
Autenticacin
Grupo DH
Duracin
Duracin
Descripcin
Nombre
Cifrado
Autenticacin
Captulo 9
Configuracin de GlobalProtect
Configuracin del portal de GlobalProtect
Red > GlobalProtect > Portales
Utilice esta pgina para configurar y gestionar la configuracin de un portal de GlobalProtect.
El portal proporciona las funciones de gestin para la infraestructura de GlobalProtect. Todos
los sistemas cliente que participan en la red de GlobalProtect reciben informacin de
configuracin desde el portal, incluida informacin sobre las puertas de enlace disponibles,
as como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace.
Adems, el portal controla el comportamiento y la distribucin del software del agente de
GlobalProtect para los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin
GlobalProtect se distribuye a travs de la Apple App Store para los dispositivos iOS o
mediante Google Play para dispositivos Android.)
Para aadir una configuracin de portal, haga clic en Aadir para abrir el cuadro de dilogo
Portal de GlobalProtect. Para obtener informacin detallada sobre los campos de todas las
pestaas del cuadro de dilogo, consulte las siguientes secciones:
Descripcin
Nombre
Ubicacin
Configuracin de red
Interfaz
Direccin IP
Perfil de servicio
SSL/TLS
Autenticacin
Perfil de autenticacin
Mensaje de
autenticacin
Certificado de cliente
Descripcin
Apariencia
Deshabilitar pgina de
inicio de sesin
Pgina de inicio de
sesin personalizada
Pgina de ayuda
personalizada
Pestaa General
Pestaa Usuario/grupo de usuarios
Pestaa Puertas de enlace
Pestaa Agente
Pestaa Recopilacin de datos
Descripcin
Pestaa General
Nombre
Intervalo de
actualizacin de
configuracin (horas)
Modificador de
autenticacin
Ninguno: El portal siempre autentica al agente usando el perfil de autenticacin especificado y/o el perfil de certificado y enva las credenciales
de autenticacin a la puerta de enlace. Es el ajuste predeterminado.
Autenticacin de cookies para actualizacin de configuracin: Permite
la autenticacin basada en cookies del agente al portal para actualizar
una configuracin de cliente en cach.
Caducidad de cookies (das): Esta opcin solo aparece si selecciona la
opcin Autenticacin de cookies para actualizacin de configuracin en
el campo Modificador de autenticacin. Utilcela para especificar el
nmero de das que el agente puede utilizar la cookie para autenticarse
en el portal con el fin de actualizar la configuracin; un valor de 0 (predeterminado) indica que la cookie nunca caduca.
Contrasea diferente para puerta de enlace: indica que el portal y la
puerta de enlace utilizan credenciales de autenticacin diferentes y pide
al usuario la contrasea de la puerta de enlace despus de que la autenticacin de portal se realice correctamente. De forma predeterminada, el
portal enviar la misma contrasea que ha utilizado el agente para autenticarse en el portal o en la puerta de enlace.
Solo puerta de enlace manual: Esta opcin solo aparece si selecciona
Contrasea diferente para puerta de enlace en el campo Modificador de
autenticacin. Seleccione esta casilla de verificacin si desea utilizar
mecanismos de autenticacin diferentes en distintas puertas de enlace
configuradas como manuales. Por ejemplo, puede elegir las credenciales
de Active Directory para una conexin siempre activada a un conjunto
de puertas de enlace, y utilizar un mecanismo de autenticacin ms
estricto, como una autenticacin OTP de dos factores, en otro conjunto de
puertas de enlace que protejan recursos ms seguros.
Descripcin
Mtodo de conexin
Certificado de cliente
Gestor de seguridad
mvil
Puerto de inscripcin
Descripcin
Deteccin de host
interno
Con esta opcin, GlobalProtect realiza una bsqueda de DNS inversa del
nombre de host especificado en la direccin IP especificada. Si no se
encuentra ninguna coincidencia, GlobalProtect supone que el extremo se
encuentra fuera de la red de la empresa y establece un tnel con cualquier
puerta de enlace externa configurada en la pestaa Puertas de enlace. Si
encuentra alguna coincidencia, el agente determina que el extremo est
dentro de la red y se conecta a una puerta de enlace interna (si est
configurada); en este caso, no crea ninguna conexin de VPN a puertas de
enlace externas.
Seleccione la casilla de verificacin para activar la deteccin de host interno
utilizando la bsqueda de DNS. Especifique lo siguiente:
Direccin IP: Introduzca una direccin IP interna para la deteccin de
host interno.
Nombre de host: Introduzca el nombre de host que lleva a la direccin IP
anterior en la red interna.
Puertas de enlace
internas
Descripcin
Puertas de enlace
externas
Pestaa Agente
Cdigo de acceso/
Confirmar cdigo de
acceso
Descripcin
Mx. nmero de
cancelaciones del
agente por el usuario
Tiempo de espera a la
cancelacin del agente
por el usuario
Actualizacin de
agente
Pgina de bienvenida
VPN externo
Haga clic en Aadir para aadir una lista de clientes VPN de acceso remoto
que podran estar presentes en los extremos. Si est configurado,
GlobalProtect ignorar esos clientes VPN, as como su configuracin de
ruta, para asegurarse de que ni les afecta ni entra en conflicto con ellos.
Descripcin
Habilitar vista
avanzada
Mostrar icono
GlobalProtect
Permitir al usuario
cambiar la direccin
del portal
Habilitar la marca de
verificacin No
volver a mostrar esta
pgina de bienvenida
Quite la marca de verificacin de esta casilla para impedir que los usuarios
guarden sus contraseas en el agente (es decir, forzarlos a proporcionar la
contrasea, ya sea de forma transparente mediante el cliente o
introduciendo una manualmente, cada vez que se conecten).
Quite la marca de verificacin de esta casilla para impedir que los usuarios
redescubran la red de forma manual.
Pestaa
Recopilacin de
datos
Mx. de tiempo de
espera
Descripcin
Excluir categoras
Comprobaciones
personalizadas
Descripcin
Pestaa secundaria
General
Pestaa secundaria
Dispositivos
Pestaa secundaria
Inscripcin del usuario/
Grupo de usuario
Tabla 208. Ajustes de configuracin del satlite del portal de GlobalProtect (ContinuaCampo
Descripcin
Pestaa secundaria
Puertas de enlace
CA raz de confianza
Perodo de renovacin
del certificado (das)
OCSP responder
Pestaa General
Pestaa Configuracin clientes
Pestaa Configuracin Satlite
Para obtener instrucciones detalladas sobre cmo configurar una puerta de enlace, consulte la
seccin para configurar una puerta de enlace de GlobalProtect en la gua del administrador de
GlobalProtect.
Pestaa General
Utilice la pestaa General para definir la interfaz de la puerta de enlace a la que se conectarn
los agentes/aplicaciones y especificar cmo autenticar la puerta de enlace a los clientes
finales.
Descripcin
Nombre
Ubicacin
Configuracin de red
Interfaz
Direccin IP
Perfil de servicio
SSL/TLS
Autenticacin
Perfil de autenticacin
Descripcin
Mensaje de
autenticacin
Descripcin
Modo de tnel
Descripcin
Pestaa secundaria
Usuario/grupo de
usuarios
Usuario/grupo de
usuarios
SO
Pestaa secundaria
Configuracin de red
Recuperar atributo de
direccin IP entramada
desde el servidor de
autenticacin
Grupo de IP de
servidores de
autenticacin
Tabla 211. Ajustes de configuracin de red de cliente de puerta de enlace de GlobalProtect (Continuacin)
Campo
Descripcin
Grupo de IP
Acceder a ruta
En esta pestaa, puede configurar ajustes de DNS que se asignarn al adaptador de red virtual
en el sistema cliente cuando un agente establezca un tnel con la puerta de enlace.
Descripcin
Origen de herencia
Comprobar estado de
origen de herencia
DNS principal
DNS secundario
WINS principal
WINS secundario
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separndolos con
comas.
Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Descripcin
Notificacin HIP
Descripcin
Pestaa secundaria
Ajustes de tnel
Configuracin de tnel
Supervisin de tnel
Perfiles criptogrficos
Pestaa secundaria
Configuracin de red
Origen de herencia
DNS principal
DNS secundario
Descripcin
Sufijo DNS
Grupo de IP
Acceder a ruta
Pestaa secundaria
Filtro de ruta
Descripcin
Nombre
Ubicacin
Configuracin de
conexin
Servidor
Puerto de conexin
Certificado de cliente
CA raz de confianza
Pestaa General
Pestaa Dispositivo mvil
Pestaa Administracin de parches
Pestaa Cortafuegos
Pestaa Antivirus
Pestaa Antispyware
Pestaa Copia de seguridad de disco
Pestaa Cifrado de disco
Pestaa Prevencin de prdida de datos
Pestaa Comprobaciones personalizadas
Para obtener informacin ms detallada sobre cmo crear polticas de seguridad aumentadas
HIP, consulte la seccin sobre cmo configurar la aplicacin de polticas basadas en HIP en la
gua del administrador de GlobalProtect.
Pestaa General
Utilice la pestaa General para especificar un nombre para el nuevo objeto HIP y configurar el
objeto para que coincida con la informacin de host general, como el dominio, el sistema
operativo o el tipo de conectividad de red que tiene.
Descripcin
Nombre
Compartido
Deshabilitar anulacin
Descripcin
Informacin de host
Dominio
SO
Versiones de cliente
Descripcin
Nombre de host
Red
Descripcin
Dispositivo mvil
Pestaa secundaria
Dispositivo
Tabla 217. Configuracin del dispositivo mvil del objeto HIP (Continuacin)
Campo
Descripcin
Pestaa secundaria
Configuracin
Pestaa secundaria
Aplicaciones
Descripcin
Administracin de
parches
Pestaa secundaria
Criterios
Pestaa secundaria
Proveedor
Pestaa Cortafuegos
Utilice la pestaa Cortafuegos para habilitar la coincidencia HIP basada en el estado del
software del cortafuegos de los clientes de GlobalProtect.
Descripcin
Cortafuegos
Pestaa Antivirus
Utilice la pestaa Antivirus para habilitar la coincidencia HIP basada en la cobertura del
antivirus en los clientes de GlobalProtect.
Descripcin
Antivirus
Pestaa Antispyware
Utilice la pestaa Antispyware para habilitar la coincidencia HIP basada en la cobertura del
antispyware en los clientes de GlobalProtect.
Descripcin
Antispyware
Tabla 222. Configuracin de la copia de seguridad del disco del objeto HIP
Campo
Descripcin
Copia de seguridad
de disco
Tabla 223. Configuracin del cifrado del disco del objeto HIP
Campo
Descripcin
Cifrado de disco
Tabla 223. Configuracin del cifrado del disco del objeto HIP (Continuacin)
Campo
Criterios
Descripcin
Especifique los siguientes ajustes en esta pestaa secundaria:
Est instalado: Busca coincidencias si el software de cifrado del disco
est instalado en el host.
Ubicaciones cifradas: Haga clic en Aadir para especificar la unidad o
la ruta que se debe comprobar para el cifrado del disco cuando se determine una coincidencia:
Ubicaciones cifradas: Introduzca las ubicaciones concretas que se
deben comprobar para el cifrado del host.
Estado: Especifique cmo hacer coincidir el estado de la ubicacin
cifrada seleccionando un operador en el men desplegable y, a continuacin, seleccionando un posible estado (completo, ninguno,
parcial, no disponible).
Haga clic en ACEPTAR para guardar la configuracin.
Proveedor
Descripcin
Prevencin de prdida
de datos
Descripcin
Comprobaciones
personalizadas
Lista de procesos
Clave de registro
Plist
Para crear un perfil HIP, haga clic en Aadir. En la siguiente tabla se proporciona informacin
sobre qu introducir en los campos del cuadro de dilogo Perfil HIP. Para obtener
informacin ms detallada sobre cmo configurar GlobalProtect y el flujo de trabajo para
crear polticas de seguridad aumentadas HIP, consulte la seccin sobre cmo configurar la
aplicacin de polticas basadas en HIP en la gua del administrador de GlobalProtect.
Descripcin
Nombre
Descripcin
Compartido
Descripcin
Deshabilitar anulacin
Coincidencia
Descripcin
Versin
Tamao
Fecha de versin
Descargado
Activado actualmente
Accin
Indica la accin actual que puede realizar para el paquete de software del
agente de la siguiente forma:
Descargar: la versin de software correspondiente est disponible en el
servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio Actualizar software para buscar y descargar las nuevas versiones de software
del agente en su ordenador local. A continuacin, haga clic en el botn
Cargar en la pantalla Cliente de GlobalProtect para cargar manualmente el software del agente en el cortafuegos.
Activar: Se ha descargado la versin de software del agente correspondiente, pero los agentes no la pueden descargar todava. Haga clic en el
enlace para activar el software y habilitar la actualizacin del agente.
Para activar una actualizacin de software que haya cargado manualmente en el cortafuegos mediante el botn Cargar, debe hacer clic en el
botn Activar desde archivo y seleccionar la versin que desea activar
en el men desplegable (puede que necesite actualizar la pantalla para
que aparezca como Activado actualmente).
Reactivar: Se ha activado el software de agente correspondiente y est
listo para que lo descarguen los clientes. Como solo puede estar activa
una versin del software del agente de GlobalProtect en el cortafuegos,
si los usuarios finales necesitan acceder a una versin distinta a la
actual, tendr que activar la otra versin para que se convierta en la
versin activada actualmente.
Descripcin
Notas de versin
Seleccione Inicio > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
La interfaz de cliente se abre para mostrar la pestaa Configuracin.
2.
3.
4.
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Captulo 10
Qu est buscando?
Consulte
Busca ms informacin?
Descripcin
Nombre de perfil
Mximo de salida
Salida garantizada
Descripcin
Clases
Haga clic en Aadir para especificar cmo se tratarn las clases de QoS
individuales. Puede seleccionar una o ms clases para configurar:
Clase: Si no configura una clase, puede incluirla en una poltica de QoS.
En este caso, el trfico est sujeto a los lmites generales de QoS.
El trfico que no coincide con una poltica de QoS se asignar a clase 4.
Prioridad: Haga clic y seleccione una prioridad para asignarla a una
clase:
tiempo real
alta
media
baja
Mximo de salida: Haga clic e introduzca el lmite de ancho de banda
(Mbps) para esta clase.
El valor Mximo de salida para una clase de QoS debe ser menor o
igual que el valor Mximo de salida definido para el perfil de QoS.
Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el
valor Mximo de salida para un perfil de QoS.
Salida garantizada: Haga clic e introduzca el ancho de banda garantizado
(Mbps) para esta clase. Cuando se produzca un conflicto, se descartar el
trfico que tenga asignada la menor prioridad. La prioridad en tiempo
real utiliza su propia cola separada.
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Aplicacin
Pestaa Categora de URL/Servicio
Pestaa DSCP/TOS
Pestaa Otra configuracin
Consulte Habilitacin de QoS para interfaces de cortafuegos para obtener
informacin acerca de la configuracin de interfaces del cortafuegos para QoS y
consulte Estadsticas de QoS para obtener informacin acerca de la
configuracin de clases de servicio.
Use la pgina de polticas de QoS para realizar varias acciones, por ejemplo:
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de
la lista desplegable Sistema virtual y haga clic en Ir.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina y configure la regla. Se aadir
una nueva regla a la parte inferior de la lista.
Seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco
de la misma, y seleccione Duplicar en la parte inferior de la pgina (una regla
seleccionada tiene el fondo de color amarillo). La regla copiada se inserta debajo de la
regla seleccionada.
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Pestaa Origen
Zona de origen
Direccin de origen
Descripcin
Usuario de origen
Negar
Pestaa Destino
Zona de destino
Direccin de destino
Negar
Descripcin
Pestaa Aplicacin
Aplicacin
Pestaa
Categora de URL/
Servicio
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: Las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas
se permiten o deniegan nicamente segn sus puertos
predeterminados por Palo Alto Networks. Esta opcin es la
recomendada para polticas de permiso.
Seleccin: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios .
Categora de URL
Descripcin
Pestaa DSCP/TOS
Cualquiera
Puntos de cdigo
Pestaa Otra
configuracin
Clase
Programacin
Qu est buscando?
Consulte
Busca ms informacin?
Regla de poltica de QoS: Defina una regla de poltica de QoS para que coincida con el
trfico basndose en la fuente del trfico, su destino, la aplicacin y/o el punto de cdigo
de servicios diferenciados (DSCP). Al trfico que coincide con la regla de poltica de QoS
se le asigna una clase de servicio de QoS que debe recibir (Polticas > QoS).
Perfil de QoS: Cree un perfil de QoS para definir el ancho de banda y la prioridad de
cada clase de servicio de QoS (Red > Perfiles de red > Perfil de QoS). Puede definir un
ancho de banda garantizado o mximo para cada clase de servicio, as como definir el
grado de prioridad que recibir la clase: en tiempo real, alto, medio o bajo.
Interfaz de QoS: Habilite la QoS en una interfaz para permitir que el trfico se moldee y
priorice a medida que salga de esa interfaz (Red > QoS). Tambin puede habilitar la QoS
en una interfaz para limitar o garantizar el ancho de banda de esa interfaz.
Configurado en
Descripcin
Nombre de
interfaz
Mximo de
salida (Mbps)
Activar la
funcin QoS en
esta interfaz
Trfico en claro
Interfaz de
tnel
Interfaz de
tnel
Salida
garantizada
(Mbps)
Mximo de
salida (Mbps)
Configurado en
Descripcin
Haga clic en Aadir en la pestaa Trfico en claro para definir granularidad adicional para el tratamiento del trfico en claro. Haga clic en
las entradas individuales para configurar los siguientes ajustes:
Nombre: Introduzca un nombre para identificar estos ajustes.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la subred y
la interfaz especificadas. Para obtener instrucciones sobre cmo
definir perfiles de QoS, consulte Estadsticas de QoS .
Interfaz de origen: Seleccione la interfaz del cortafuegos.
Subred de origen: Seleccione una subred para restringir los ajustes
al trfico procedente de ese origen o mantenga el valor predeterminado cualquiera para aplicar los ajustes a cualquier trfico de la
interfaz especificada.
Haga clic en Aadir en la pestaa Trfico de tnel para cancelar la
asignacin de perfil predeterminada para tneles especficos y configurar los siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel en el cortafuegos.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la interfaz
de tnel especificadas.
Por ejemplo, asuma una configuracin con dos sitios, uno de los cuales
cuenta con una conexin de 45 Mbps y el otro con una conexin T1 con
el cortafuegos. Puede aplicar una configuracin de QoS restrictiva al
sitio T1 por lo que la conexin no se sobrecarga a la vez que se
proporciona una configuracin ms flexible para el sitio con la conexin
de 45 Mbps.
Para eliminar una entrada de trfico en claro o de tnel, seleccione la
casilla de verificacin de la entrada y haga clic en Eliminar.
Si se dejan en blanco las secciones de trfico en claro o de tnel, los
valores especificados en la seccin Perfil predeterminado de la pestaa
Interfaz fsica.
Campo
Descripcin
Ancho de banda
Muestra los grficos de ancho de banda en tiempo real para el nodo y las clases
seleccionados. Esta informacin se actualiza cada dos segundos.
Nota: Las limitaciones de salida (egress) garantizada y mximo de salida de QoS
configuradas para las clases QoS pueden mostrarse con un valor ligeramente distinto en
la pantalla Estadsticas de QoS. Este es el comportamiento esperado y se debe a que el
motor de hardware resume los lmites de ancho de banda y recuentos. Esto no supone
problema alguno para el funcionamiento, puesto que los grficos de uso de ancho de banda
muestran los valores y cantidades en tiempo real.
Aplicaciones
Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Usuarios de
origen
Enumera todos los usuarios de origen activos para el nodo y/o clase de QoS
seleccionados.
Usuarios de
destino
Enumera todos los usuarios de destino activos para el nodo y/o clase de QoS
seleccionados.
Reglas de
seguridad
Enumera las reglas de seguridad coincidentes y que aplican el nodo y/o clase de
QoS seleccionados.
Reglas de QoS
Enumera las reglas de QoS coincidentes y que aplican el nodo y/o clase de QoS
seleccionados.
Captulo 11
Pestaa Panorama
Cambio de contexto de dispositivo
Configuracin de particiones de almacenamiento
Configuracin de alta disponibilidad (HA)
Gestin de dispositivos
Copia de seguridad de las configuraciones del cortafuegos
Definicin de grupos de dispositivos
Definicin de funciones de administrador de Panorama
Creacin de cuentas administrativas de Panorama
Especificacin de dominios de acceso de Panorama para administradores
Compilacin de los cambios en Panorama
Gestin de plantillas y pilas de plantillas
Logs e informes
Habilitacin del reenvo de logs
Palo Alto Networks
Pestaa Panorama
Pestaa Panorama
Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al servidor Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Descripcin
Configuracin
Plantillas
Auditora de
configuraciones
Dispositivos
gestionados
Grupos de
dispositivos
Pestaa Panorama
Descripcin
Recopiladores
gestionados
Grupos de
recopiladores
Funciones de
administrador
Perfiles de la
contrasea
Administradores
Permite definir las cuentas de los usuarios que necesitan acceder a Panorama.
Consulte Creacin de cuentas administrativas de Panorama.
Nota: Si se bloquea la cuenta de un usuario, la pgina Administradores muestra el
icono de un candado en la columna Usuario bloqueado. Puede hacer clic en el icono
para desbloquear la cuenta.
Alta disponibilidad
Gestin de
certificados
Pestaa Panorama
Descripcin
Configuracin
de log
Perfiles de servidor
Perfil de
autenticacin
Secuencia de
autenticacin
Dominio de acceso
Exportacin de
configuracin
programada
Software
Actualizaciones
dinmicas
Asistencia tcnica
Implementacin de
dispositivo
Clave maestra y
diagnstico
Verde: Activo.
Amarillo: Pasivo o inicindose (el estado de inicio puede durar hasta 60 segundos desde
el arranque).
Tabla 233.
Campo
Descripcin
Interno
NFS V3
Descripcin
Configuracin
Habilitar HA
Direccin IP de HA
del peer
Habilitar cifrado
Tiempo de espera
para supervisin
(ms)
Descripcin
Configuracin de
eleccin
Prioridad
(Solo necesario en
Panorama virtual)
Preferente
Tiempo de espera
para ser preferente
(min.)
Tiempo de espera de
promocin (ms)
Intervalo de saludo
(ms)
Intervalo de
heartbeat (ms)
Tiempo de espera
ascendente tras fallo
de supervisor (ms)
Tiempo de espera
ascendente principal
adicional (ms)
Gestin de dispositivos
Descripcin
Supervisin de rutas
Habilitado
Condicin de fallo
Grupos de rutas
Gestin de dispositivos
Panorama > Dispositivos gestionados
Un cortafuegos de Palo Alto Networks que gestiona Panorama se denomina cortafuegos
gestionado. La pgina Dispositivos gestionados le permite realizar tareas administrativas en
los cortafuegos y ver su informacin de estado.
Panorama puede gestionar cortafuegos PAN-OS con la misma versin principal o en
versiones anteriores compatibles, pero no en cortafuegos con una versin posterior.
Por ejemplo, Panorama 5.0 puede gestionar cortafuegos ejecutando PAN-OS 5.0 o
versiones anteriores compatibles, pero no puede gestionar cortafuegos ejecutando
cortafuegos PAN-OS 5.1.
Use la pgina Dispositivos gestionados para realizar las siguientes tareas:
Gestin de dispositivos
HA del peer de grupo: Seleccione la casilla de verificacin HA del peer de grupo si quiere
que la pgina Dispositivos gestionados agrupe los cortafuegos que son peers en una
configuracin de alta disponibilidad (HA). Cada par de HA tendr entonces una nica
casilla de verificacin. Para una configuracin HA activa/pasiva, tiene la opcin de
aadir ambos peers de cortafuegos o sistemas virtuales de los peers (si est en modo de
varios sistemas virtuales) al mismo grupo de dispositivos. Esto le permite enviar la
configuracin a ambos cortafuegos de peer de HA simultneamente.
Descripcin
Tipo
Archivo
Dispositivos
Utilice los filtros para seleccionar los cortafuegos en los que desea
instalar la imagen.
Cargar nicamente en el
dispositivo (no instalar)
Filtro seleccionado
Gestin de dispositivos
Descripcin
Grupo de dispositivos
Sistema virtual
Etiquetas
Nmero de serie
Direccin IP
Plantilla
Descripcin
Estado
Versin de software |
Aplicaciones y amenaza |
Antivirus | Filtrado URL |
Cliente de GlobalProtect |
WildFire
Copias de seguridad
Para gestionar las copias de seguridad de Panorama, seleccione Panorama > Dispositivos
gestionados y en la columna Copias de seguridad de un dispositivo haga clic en Gestionar.
Se abrir una ventana mostrando las configuraciones guardada y compilada del dispositivo.
Haga clic en un enlace Cargar para restaurar la copia de seguridad a la configuracin
candidata y realice los cambios que desee. Haga clic en Compilar para restaurar la
configuracin cargada en el dispositivo. Para eliminar una configuracin guardada, haga clic
en el icono
.
Descripcin
Nombre
Descripcin
Descripcin
Dispositivos
Grupo de dispositivos
primario
Dispositivo principal
Filtro seleccionado
Para crear un objeto compartido, en la pestaa Objetos haga clic en Aadir y seleccione la
casilla de verificacin Compartido. Para crear un objeto especfico de un grupo de
dispositivos concreto y sus grupos de dispositivos sucesores, seleccione el Grupo de
dispositivos apropiado del men desplegable antes de hacer clic en Aadir (no seleccione
Descripcin
Nombre
Descripcin
Funcin
Interfaz web
Haga clic en los iconos de las pginas de la interfaz web para especificar
el tipo de acceso permitido en el contexto de Panorama (lista IU web) y
contexto del dispositivo (lista IU de conmutador de contexto):
Lectura/Escritura (Habilitar)
Solo lectura
Sin acceso (Deshabilitar)
API XML
(Funcin exclusiva de
Panorama)
Lnea de comandos
(Funcin exclusiva de
Panorama)
Autenticacin con clave pblica (SSH): El administrador genera un par de claves pblica
y privada en la mquina que requiere acceso a Panorama y, a continuacin, carga la clave
pblica en Panorama para permitir un acceso seguro sin exigir que el administrador
introduzca un nombre de usuario y una contrasea.
Descripcin
Nombre
Perfil de autenticacin
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Contrasea/Confirmar
contrasea
Descripcin
Tipo de administrador
Funcin de administrador
(Tipo de administrador
dinmico)
Perfil
(Tipo de administrador
Administrador de Panorama
personalizado)
Descripcin
(Tipo de administrador
Grupo de dispositivo y
administrador de plantillas)
Interfaces web del cortafuegos: Los administradores pueden cambiar al contexto del
dispositivo de los cortafuegos que aada al dominio de acceso.
Un administrador con varios dominios de acceso puede filtrar los datos de configuracin y
supervisin que muestra la interfaz web seleccionando un Dominio de acceso del men
desplegable en la parte inferior de la interfaz. Puede definir hasta 4000 dominios de acceso y
gestionarlos localmente o usar atributos especficos del proveedor (VSA) de RADIUS.
Si usa un servidor RADIUS para autenticar administradores, debe asignar las
funciones de administrador y dominios de acceso a Atributos especficos de
proveedor (VSA) de RADIUS.
Tabla 240.
Campo
Descripcin
Nombre
Objetos compartidos
Seleccione uno de los siguientes privilegios de acceso para los objetos que
los grupos de dispositivos en este dominio de acceso heredan de la
ubicacin compartida. Independientemente de los privilegios, los
administradores no pueden cancelar los objetos compartidos o
predeterminados (predefinidos).
lectura: Los administradores pueden mostrar y duplicar objetos compartidos pero no pueden realizar otras operaciones con ellos. Al aadir objetos
no compartidos o duplicar objetos compartidos, el destino debe ser un
grupo de dispositivos dentro del dominio de acceso, no Compartido.
escritura: Los administradores pueden realizar todas las operaciones
con objetos compartidos. Es el valor predeterminado.
solo compartidos: Los administradores pueden aadir objetos solo a
Compartido. Los administradores tambin pueden mostrar, editar y
eliminar objetos compartidos pero no pueden moverlos o duplicarlos. Si
elige esta opcin, los administradores no podrn realizar operaciones
con objetos no compartidos excepto mostrarlos.
Grupos de dispositivos
Plantillas
Para cada plantilla o pila de plantillas que quiera asignar, haga clic en
Aadir y seleccinela del men desplegable.
Contexto de dispositivo
Tipo de compilacin:
Panorama: Compila la configuracin candidata actual de Panorama.
Plantilla: Compila los cambios de plantilla de los cortafuegos seleccionados de
Panorama. Cuando compila plantillas, puede seleccionar un subconjunto de
dispositivos si lo desea.
Grupo de dispositivos: Compila cambios de configuracin de los cortafuegos de
Panorama a los sistemas virtuales/cortafuegos seleccionados.
Grupo de recopiladores: Compila nicamente los cambios a los grupos recopiladores
de logs de Panorama. Se compilarn los cambios realizados en la pgina Panorama >
Grupos de recopiladores y se aplicarn dichos cambios al dispositivo recopilador
de logs.
Definicin de plantillas
Definicin de plantillas
Definicin de pilas de plantillas
Cancelacin de ajustes de plantilla
Duplicacin de plantillas y pilas de plantillas
Eliminacin o deshabilitacin de plantillas o pilas de plantillas
Definicin de plantillas
A travs de las pestaas Dispositivo y Red, las plantillas le permiten implementar una
configuracin bsica comn en mltiples cortafuegos que requieren configuraciones
similares. Al gestionar configuraciones de cortafuegos con Panorama, se usa una combinacin
de grupos de dispositivos (para gestionar polticas y objetos compartidos) y plantillas (para
gestionar configuraciones de red y dispositivos compartidos). Panorama separa la gestin de
estas funciones porque los cortafuegos que comparten configuraciones de polticas y objetos
no tienen por qu compartir tambin la misma configuracin de red y dispositivos.
Panorama admite hasta 128 plantillas. Puede combinar la configuracin de varias plantillas
mediante la Definicin de pilas de plantillas.
Para crear una plantilla de Panorama, haga clic en Aadir y rellene los campos descritos en la
siguiente tabla. Despus de aadir la primera plantilla, las pestaas Dispositivo y Red
mostrarn un men desplegable Plantilla. Entonces podr modificar la configuracin de
dispositivo y red para la plantilla seleccionada en la configuracin.
Descripcin
Nombre
VSYS
predeterminado
Descripcin
Descripcin
Dispositivos
HA del peer
de grupo
Filtro seleccionado
Panorama no valida combinaciones de plantillas, por lo que debe evitar solicitar plantillas de
modo que creen relaciones no vlidas. Por ejemplo, si la interfaz ethernet1/1 es de capa 3 en
Plantilla_A pero es de capa 2 con una VLAN en Plantilla_B, y Plantilla_A tiene prioridad,
Panorama enviar ethernet1/1 como un tipo de capa 3 pero asignada a una VLAN.
Una configuracin de plantilla no puede hacer referencia a una configuracin en otra
plantilla, incluso aunque ambas plantillas estn en la misma pila. Por ejemplo, una
configuracin de zona en la Plantilla_A no puede hacer referencia a un perfil de proteccin
de zona definido en la Plantilla_B incluso aunque la Plantilla_A y la Plantilla_B estn en
la misma pila.
Para crear una pila, en la pgina Panorama > Plantillas haga clic en Aadir pila y rellene los
campos descritos en la siguiente tabla.
Descripcin
Nombre
Descripcin
Plantillas
Para cada plantilla que quiera incluir en la pila, (hasta 16), haga clic en Aadir
y seleccione la plantilla.
Si las plantillas tienen configuraciones duplicadas, Panorama enva solo las
configuraciones de la plantilla de mayor nivel en la lista a los cortafuegos
asignados. Por ejemplo, si Plantilla_A est antes que Plantilla_B en la lista y
ambas plantillas definen la interfaz ethernet1/1, Panorama enva la definicin
de ethernet1/1 desde Plantilla_A y no desde Plantilla_B. Para cambiar el
orden, seleccione una plantilla y haga clic en Mover hacia arriba o Mover
hacia abajo.
Dispositivos
HA del peer de
grupo
Filtro seleccionado
El icono verde indica que Panorama ha aplicado una plantilla y que la configuracin no
tiene cancelaciones. El icono naranja sobre verde indica que Panorama ha aplicado una
plantilla y que algunas configuraciones tienen cancelaciones.
Para cancelar una configuracin de dispositivo o red que Panorama enva desde una plantilla:
1.
2.
3.
Si la pgina muestra la configuracin en una tabla, seleccione la fila de ese ajuste y haga
clic en el botn Cancelar. En caso contrario, modifique la seccin que muestra ese ajuste
(como se ve en la Ilustracin 17) y haga clic en el icono verde para la configuracin.
4.
Logs e informes
Panorama realiza dos funciones: configuracin (de cortafuegos y del propio Panorama) y
recopilacin de logs.
Para facilitar la adaptacin a implementaciones de mayores dimensiones, puede utilizar un
dispositivo M-Series para separar las funciones de gestin y recopilacin de logs de
Panorama. Un dispositivo M-Series proporciona una completa solucin de recopilacin de
logs para los cortafuegos de Palo Alto Networks. Esto ayuda a reducir el proceso de
recopilacin de logs con trfico intenso de su servidor de gestin de Panorama y, una vez
implementado, podr configurar cada cortafuegos para enviar logs a un M-Series configurado
como recopilador de logs. Si desea ms informacin sobre la implementacin de una
arquitectura de recopilacin de logs distribuida y la configuracin y gestin de recopiladores
de logs mediante el servidor Panorama, consulte la gua del administrador de Panorama.
Los logs e informes de Panorama (ACC, Appscope, Informes en PDF y Visor de logs)
proporcionan informacin sobre la actividad del usuario en la red gestionada. Para ver una
actividad de usuario/red en Panorama no tendr que configurar el reenvo explcito de logs.
El reenvo de logs es necesario para el almacenamiento de logs a largo plazo y para generar
informes de los logs guardados localmente en Panorama. Si el reenvo de logs est habilitado,
los logs se almacenan en el bfer del cortafuegos de forma predeterminada y se envan a
Panorama con un intervalo predefinido.
La pestaa ACC de Panorama muestra de forma predeterminada informacin almacenada de
forma local en Panorama. Sin embargo, puede cambiar el origen de datos de modo que
Panorama acceda a la informacin desde los cortafuegos conectados; todas las tablas enviarn
informacin dinmicamente y mostrarn una vista agregada del trfico de la red.
Puede generar y programar informes personalizados en Panorama. En el caso de los informes
personalizados y predefinidos programados, se aaden estadsticas de informes cada 15
minutos, que se envan a Panorama cada hora.
Tabla 243.
Configuracin de log
Seccin
Descripcin
Sistema
Para habilitar el reenvo de logs para un nivel de gravedad concreto, haga clic
en el enlace correspondiente de la columna Gravedad y seleccione los servidores deseados. El botn Eliminar todo le permite restablecer sus opciones a
los valores predeterminados. La gravedad indica la urgencia y el impacto del
evento del sistema:
Crtico: Indica un fallo y seala la necesidad de atencin inmediata (por
ejemplo, fallos de hardware, incluido el error de HA y los fallos de los
enlaces).
Alto: Indica un fallo o situacin inminente que puede afectar a la eficacia
operativa o seguridad del cortafuegos (por ejemplo, la interrupcin de
conexiones con servidores externos, como servidores LDAP y RADIUS).
Medio: Indica una situacin que puede derivar en un problema ms grave,
como no completar una actualizacin de paquetes antivirus.
Bajo: Indica una situacin que podra convertirse en un problema o que es
probable que derive en un problema, como los cambios de contrasea de
un usuario.
Informativo: No es necesario hacer nada. Estos logs proporcionan informacin til durante el funcionamiento normal del sistema. Este nivel cubre los
cambios de configuracin y el resto de eventos que otros niveles de gravedad no cubren.
Tabla 243.
Seccin
Descripcin
Correlacin
Los logs de correlacin se crean cuando la definicin de un objeto de correlacin coincide con los patrones de trfico de su red. Para obtener ms informacin sobre los objetos de correlacin, consulte Uso del motor de correlacin
automatizada.
Panorama usa los objetos de correlacin para consultar coincidencias y logs
de los eventos de correlacin en los logs agregados (reenviados desde los
recopiladores de logs y cortafuegos gestionados). Estos eventos de correlacin pueden enviarse como mensajes de syslog, notificaciones de correo electrnico o traps SNMP. Para habilitar el reenvo de logs para un nivel de
gravedad concreto, haga clic en el enlace correspondiente de la columna Gravedad y seleccione los servidores deseados.
La gravedad indica la urgencia y el impacto de la coincidencia; evala
ampliamente el alcance de los daos o el patrn de ampliacin observado y la
frecuencia de aparicin. Dado que los objetos de correlacin se centran en la
deteccin de amenazas, los eventos correlacionados suelen relacionarse con
la identificacin de hosts en riesgo en la red y el nivel de gravedad tiene las
siguientes implicaciones:
Crtico: Confirma que se ha comprometido la seguridad de un host basndose en eventos correlacionados que indican un patrn en aumento. Por
ejemplo, se registra un evento crtico cuando un host que ha recibido un
archivo considerado malintencionado por WildFire muestra la misma actividad de comando y control observada en ese archivo malintencionado
dentro del espacio aislado de WildFire.
Alto: Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad basndose en una correlacin entre varios eventos
de amenaza, como el software malicioso detectado en cualquier punto de la
red que coincida con la actividad de comando y control generada por un
host concreto.
Medio: Indica que hay una probabilidad alta de que un host vea comprometida su seguridad basndose en la deteccin de uno o varios eventos sospechosos, como las visitas repetidas a URL consideradas malintencionadas
que sugiere la existencia de una actividad de comando y control generada
por una secuencia de comandos.
Bajo: Indica la posibilidad de que un host vea comprometida su seguridad
basndose en la deteccin de uno o varios eventos sospechosos, como una
visitas a una URL considerada malintencionada o un dominio DNS dinmico.
Informativo: Detecta un evento que podra resultar til en conjunto para
identificar una actividad sospechosa; un evento por separado no tiene por
qu ser significativo en s.
Configurar
Coincidencias HIP
Trfico
Los logs de trfico solo capturan detalles (por ejemplo, origen y destino) del
trfico que coincide con una poltica. Para habilitar el reenvo, haga clic en el
icono de modificacin y seleccione los perfiles de servidor deseados.
Tabla 243.
Seccin
Descripcin
Amenaza
Para habilitar el reenvo de logs para un nivel de gravedad concreto, haga clic
en el enlace correspondiente de la columna Gravedad y seleccione los servidores deseados. La gravedad indica la urgencia y el impacto de la amenaza:
Crtico: Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software ampliamente implementado, que comprometen
profundamente los servidores y dejan el cdigo de explotacin al alcance
de los atacantes. El atacante no suele necesitar ningn tipo de credenciales
de autenticacin o conocimientos acerca de las vctimas y el objetivo no
necesita ser manipulado para que realice ninguna funcin especial.
Alto: Amenazas que tienen la habilidad de convertirse en crticas pero que
tienen factores atenuantes; por ejemplo, pueden ser difciles de explotar, no
conceder privilegios elevados o no tener un gran grupo de vctimas.
Medio: Amenazas menores en las que se minimiza el impacto, como
ataques DoS que no comprometen al objetivo o explotaciones que requieren
que el atacante est en la misma LAN que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u ofrecen acceso muy limitado.
Adems, las entradas de log de WildFire con un veredicto de malware se
registran como amenazas de nivel medio.
Bajo: Amenazas con nivel de advertencia que tienen muy poco impacto en
la infraestructura de la organizacin. Suelen requerir acceso local o fsico al
sistema y con frecuencia pueden ocasionar problemas en la privacidad de
las vctimas, problemas de DoS y fugas de informacin. Las coincidencias
de perfiles de filtrado de datos se registran como bajas.
Informativo: Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para indicar que podra haber problemas ms
serios. Algunos ejemplos de logs informativos: Entradas de logs de filtrado
de URL, entradas de logs de WildFire con un veredicto benigno o logs de
filtrado de datos.
WildFire
Descripcin
Pestaa General
N. serie recopiladores
Certificado de Syslog
seguro
IP del servidor de
Panorama
IP del servidor 2 de
Panorama
Dominio
Servidor de DNS
secundario
Zona horaria
Latitud
Descripcin
Longitud
Pestaa Autenticacin
Usuarios
Modo
Intentos fallidos
Pestaa Gestin
Esta pestaa solo se aplica al dispositivo M-Series, no al dispositivo virtual Panorama. De manera
predeterminada, el dispositivo M-Seriesutiliza el puerto de gestin (MGT) para configuracin,
recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo, si configura Eth1 o
Eth2 para la recopilacin de logs o comunicacin de grupos del recopilador, se recomienda definir
una subred distinta para la interfaz MGT que sea ms privada que las subredes Eth1 o Eth2. Defina la
subred del campo Mscara de red (para IPv4) o Direccin IPv6 (defina un prefijo).
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara de
red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo M-Series a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos
que compile una configuracin completa.
Velocidad y dplex
Direccin IP
Mscara de red
Puerta de enlace
predeterminada
Descripcin
Direccin IPv6
MTU
Servicios de interfaz de
gestin
Direcciones IP permitidas
Pestaa Eth1
Esta pestaa solo se aplica al dispositivo M-Series, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth1 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth1).
Nota: No puede compilar la configuracin de Eth1 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth1
Velocidad y dplex
Direccin IP
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth1. Para indicar la
mscara de red, introduzca una longitud de prefijo para IPv6 (por
ejemplo 2001:400:f00::1/64).
MTU
Ping
Direcciones IP permitidas
Descripcin
Pestaa Eth2
Esta pestaa solo se aplica al dispositivo M-Series, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth2 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth2).
Nota: No puede compilar la configuracin de Eth2 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth2
Velocidad y dplex
Direccin IP
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth2. Para indicar la
mscara de red, introduzca una longitud de prefijo para IPv6 (por
ejemplo 2001:400:f00::1/64).
MTU
Ping
Direcciones IP permitidas
Pestaa Discos
Haga clic en Aadir para seleccionar el par de discos de RAID 1 que utilizar el recopilador para
almacenar los logs. Puede aadir los pares de discos adicionales que necesite para ampliar la
capacidad de almacenamiento. Para que un par de discos est disponible para el recopilador de logs,
seleccione la casilla de verificacin. Para que estn disponibles todos los pares de discos, seleccione la
casilla de verificacin Habilitar par de discos.
Por defecto, M-Series est equipado con el primer par de RAID 1 activado e instalado en las bahas
A1/A2. Para aumentar la capacidad de almacenamiento, puede aadir hasta tres pares de RAID 1
ms en las bahas B1/B2, C1/C2 y D1/D2. En el software, el par RAID 1 de las bahas A1/A2 se
denomina Par de discos A.
Tras habilitar los nuevos pares de discos, el recopilador de logs redistribuye los logs existentes por
todos los discos, lo que puede tardar varias horas por cada terabyte de logs. Durante el proceso de
redistribucin, se reduce la tasa mxima de logs. En la pgina Panorama > Recopiladores
gestionados, la columna Estado de redistribucin indica el estado del proceso.
Despus de aadir recopiladores de logs, puede hacer clic en el enlace Estadsticas para que se
abra la ventana Estadsticas del recopilador en cada recopilador, que muestra la informacin
del disco, cifras de rendimiento de la CPU y velocidad media de logs (logs/segundo). Para
entender mejor el intervalo de logs que est revisando, tambin puede ver informacin en el
log ms antiguo que ha recibido el recopilador.
Descripcin
Archivo
Dispositivos
Cargar nicamente en el
dispositivo (no instalar)
Descripcin
Pestaa General
Nombre
Descripcin
Almacenamiento de log
Habilitar recopiladores en
todas las redundancias de
logs
Descripcin
Almacenamiento de log
Habilitar recopiladores en
todas las redundancias de
logs
Descripcin
Pestaa Supervisin
SNMP
Descripcin
Dispositivos
Correlacin
Descripcin
Implementacin de
dispositivo > Software
Implementacin de
dispositivo > Cliente
VPN SSL
Muestra las actualizaciones del software del cliente VPN SSL disponibles
para la instalacin en los cortafuegos gestionados.
Implementacin de
dispositivo > Cliente de
GlobalProtect
Implementacin de
dispositivo >
Actualizaciones
dinmicas
Descripcin
Muestra el estado de cada cortafuegos gestionado y el de su licencia
actual. Cada entrada indica si la licencia est activa (icono
)o
inactiva (icono
), junto con la fecha de vencimiento de las licencias
activas.
Realice cualquiera de las siguientes acciones en esta pgina:
Implementacin de
dispositivo > Licencias
Realice cualquiera de las siguientes acciones en las pginas Software, SSL VPN, Cliente de
GlobalProtect o Actualizaciones dinmicas:
Haga clic en Comprobar ahora para ver la informacin ms reciente sobre las
actualizaciones de Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios de una versin (no
disponible para software cargado).
Haga clic en Descargar para descargar una nueva versin desde el servidor de
actualizaciones de Palo Alto Networks. Cuando se complete la descarga, la columna
Disponible mostrar Descargado. Los pasos para instalar o activar la actualizacin
dependen del tipo:
Software PAN-OS: Haga clic en Instalar en la columna Accin y seleccione los
cortafuegos. Si selecciona la casilla de verificacin Reiniciar dispositivo tras instalar,
los cortafuegos se reiniciarn durante la instalacin. La instalacin no puede finalizar
hasta que se reinicien los cortafuegos.
Software Cliente SSL VPN o Cliente de GlobalProtect: Haga clic en Activar en la
columna Accin y seleccione los cortafuegos.
Actualizaciones dinmicas: Haga clic en Instalar en la columna Accin y seleccione los
cortafuegos.
Haga clic en Cargar para cargar una actualizacin en Panorama desde otro ordenador.
Debe haber descargado ya la actualizacin en dicho ordenador desde el sitio de
actualizacin de software. Cuando se complete la carga, la columna Disponible mostrar
Cargado. Los pasos para instalar o activar la actualizacin dependen del tipo:
Software PAN-OS: Haga clic en Instalar en la columna Accin y seleccione los
cortafuegos. Si selecciona la casilla de verificacin Reiniciar dispositivo tras instalar,
el cortafuegos se reiniciarn durante la instalacin. La instalacin no puede finalizar
hasta que se reinicie el dispositivo.
Software Cliente SSL VPN o Cliente de GlobalProtect: Haga clic en Activar desde
archivo, seleccione el Nombre de archivo que acaba de cargar y seleccione los
cortafuegos.
Actualizaciones dinmicas: Haga clic en Instalar desde archivo, seleccione el Tipo de
contenido, seleccione el Nombre de archivo que acaba de cargar y seleccione los
cortafuegos.
o cargado.
Para crear una programacin, haga clic en Aadir y especifique la siguiente informacin:
Tabla 248.
Campo
Descripcin
Nombre
Disabled (Deshabilitada)
Tipo
Accin
Periodicidad
Hora
Dispositivos vlidos
Tabla 249.
Campo
Descripcin
Nombre
Descripcin
Habilitar
Tipo de log
Protocolo
Nombre de host
Puerto
Ruta
Nombre de usuario
Contrasea
Confirmar contrasea
Conexin de servidor SCP de
prueba
Realice uno de estos pasos para ver las versiones ms recientes del software disponibles
en Palo Alto Networks:
Si Panorama tiene acceso a la red externa: en la pgina Panorama > Software haga clic
en Comprobar ahora.
Si Panorama no tiene acceso a la red externa: en un ordenador que tenga acceso a la
red externa, use un navegador para visitar la pgina de actualizacin de software.
2.
Realice uno de los siguientes pasos para acceder a las notas de la versin para la versin
de software deseada y revise los cambios de la versin, correcciones, problemas
conocidos, problemas de compatibilidad y cambios en el comportamiento
predeterminado:
Si Panorama tiene acceso a la red externa: En la pgina Panorama > Software, haga
clic en el enlace Notas de versin de la versin.
Si Panorama no tiene acceso a la red externa: en el sitio de actualizacin de software,
haga clic en el enlace de la columna Notas de la versin de la versin deseada.
3.
Realice uno de los siguientes pasos para importar la imagen de software en Panorama:
Si Panorama tiene acceso a la red externa: en la pgina Panorama > Software, haga clic
en Descargar en la columna Accin de la versin deseada. Cuando se complete la
descarga, la columna Disponible mostrar Descargado.
Si Panorama no tiene acceso a la red externa:
ii. En la pgina Panorama > Software, haga clic en el botn Cargar, busque la imagen
de software y haga clic en ACEPTAR. Cuando se complete la carga, la columna
Disponible mostrar Cargado.
4.
En la pgina Panorama > Software, haga clic en Instalar en la columna Accin para la
versin que acaba de descargar o cargar. Cuando se haya completado la instalacin, su
sesin se cerrar mientras se reinicia el sistema Panorama.
Panorama ejecuta peridicamente una comprobacin de integridad del sistema de
archivos (FSCK) para evitar daos en el sistema de archivos de Panorama. Esta
comprobacin se realiza cada ocho reinicios o tras un reinicio 90 das despus de la
ltima vez que Panorama ejecut la comprobacin de integridad del sistema de
archivos (FSCK). Si Panorama ejecuta una comprobacin FSCK, ver una
advertencia en la interfaz web y pantallas de inicio de sesin de SSH que indica que
se est ejecutando una comprobacin FSCK y no podr iniciar sesin hasta que se
complete. El tiempo necesario para completar el proceso depende del tamao del
sistema de almacenamiento; dependiendo del tamao, puede tardar varias horas en
poder iniciar sesin en Panorama. Para ver el progreso, configure el acceso de
consola a Panorama.
Para eliminar la imagen de software de una versin antigua de Panorama, haga clic en
versin en la pgina Panorama > Software.
esa
Tabla 250.
Campo
Descripcin
Nombre de administrador de
servicios
Descripcin
Inicio de sesin de
administrador NSX
Contrasea de administrador
NSX
Confirmar contrasea de
administrador NSX
URL de OVF de VM-Series
Cdigo de autorizacin
Plantilla
Grupo de dispositivos
Notificar grupos de
dispositivos
Tabla 250.
Campo
Descripcin
Estado
ltima actualizacin
dinmica
Apndice A
COMPATIBILIDAD CON LOS ESTNDARES
FEDERALES DE PROCESAMIENTO DE LA
INFORMACIN/CRITERIOS COMUNES
Puede configurar el cortafuegos para que admita los criterios comunes y los estndares
federales de procesamiento de la informacin 140-2 (FIPS 140-2), ambos certificados de
seguridad que garantizan un conjunto estndar de garantas y funciones de seguridad. Estos
certificados suelen solicitarlos las agencias civiles del gobierno de EE. UU. y contratistas
gubernamentales.
3.
4.
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Las cuentas se bloquean despus del nmero de intentos fallidos configurado en la
pgina Dispositivo > Configuracin > Administracin. Si el cortafuegos no est en
modo CC/FIPS, se puede configurar de forma que no se bloquee nunca; incluso en
modo CC/FIPS y aunque se requiera un tiempo de bloqueo.
ndice
A
actualizacin
definiciones de aplicaciones y amenazas 63
programaciones 511
software Panorama 514
software PAN-OS 62, 72, 486
actualizaciones dinmicas
acerca de 63
programacin 511
administrador
bloqueo de pgina 470, 486
funciones, definicin 67
opciones de autenticacin 67
agente
configuracin de GlobalProtect 453
Id de usuario 395
uso de GlobalProtect 453
Agente de identificacin de usuarios (User-ID)
configuracin de portal cautivo 400
Agente de User-ID
configuracin de cortafuegos 387
alarmas
configuracin de log 89
icono de alarma 89
no reconocidas 89
reconocidas 89
umbrales 220
visualizacin 89
visualizacin del icono 89
almacenamiento de candidata 28, 37
alta disponibilidad
acerca de 105
activa/activa 105
activa/pasiva 105
configuracin 105
configuracin en Panorama 473
Panorama 473
reglas de funcionamiento y conmutacin por
error 105
alta disponibilidad activa/activa 105
alta disponibilidad activa/pasiva 105
alta disponibilidad pasiva/activa 105
amenazas
actualizacin de definiciones 63, 509
API XML 3
B
base de conocimientos 119
base de datos de usuario, VPN SSL 77
BGP
enrutadores virtuales 167, 168, 170, 171, 172,
175, 176
bloqueo de archivo
configuracin 293
definicin de perfiles 293
bloqueo de archivos
perfiles, definicin 334
bloqueo de cuenta de usuario 486
bloqueo en la pgina del administrador 470, 486
bloqueo, perfiles de archivo 293
botnets
acerca de 371
informes 371
Bsquedas seguras 292
ndice
C
cable virtual
definicin 122
campos obligatorios 7
captura de paquetes 365
acceso 365
captura de archivos 380, 381, 382
configuracin de ajustes de captura 380, 381,
382
configuracin de perfiles 280, 288
realizacin de capturas 380, 381, 382
caractersticas y ventajas 2
centro de comando de aplicacin (ACC), uso 346
certificados
exportacin 100
importar 100
cifrado de claves privadas y contraseas 104
clave maestra y pgina de diagnstico 104
clave privada, cifrado 104
clientes
descarga y activacin de GlobalProtect 451
infectados de botnet 371
clientes infectados de botnet 371
comodn
categoras de URL personalizadas 333
patrones para listas de permitidas y
bloqueadas 290
comparacin de configuraciones 56
compilacin
cambios 9
opciones 9
Panorama 488
configuracin activa, actualizacin 28, 37
configuracin candidata
acerca de 28, 37
almacenamiento y restablecimiento 28, 37
configuracin de dplex 126, 143, 145, 146, 148,
151, 152
configuracin de ID de contenidos 43
configuracin de notificacin de correo electrnico
definicin 94, 95
en perfiles de logs 336
configuracin de red 16, 56
configuracin del sistema 117
configuraciones, auditora 56
conmutacin por error 219
contrasea
cifrado 104
complejidad de contrasea mnima 27
perfiles 69
proteccin de datos 45
copia de seguridad de las configuraciones del
cortafuegos 479
correo electrnico
programacin de entrega de informes 378
cortafuegos
Agente de ID de usuario 387
caractersticas y ventajas 2
introduccin 1
latitud y longitud 18
cuentas
requisitos de nombre de usuario y
contrasea 70
D
definicin de las plantillas de configuracin 514
denegacin de servicio (Dos), perfiles 274
descartar aleatorio temprano 220
descodificadores y acciones 280
destinos de log
correo electrnico 94, 95
destinos de logs
syslog 93
traps SNMP 91
destinos de traps SNMP
definicin 91
en perfiles de logs 336
direcciones
definicin de grupos 304
definicin de grupos de direcciones 304
direcciones IPv6 304
dispositivo principal 481
dispositivos
cmo aadir 476
principal 481
dominios de acceso
cortafuegos 67, 72
DoS
perfiles 274
perfiles de proteccin 274
Duplicar deteccin de direccin (DAD) 140
duplicar deteccin de direccin (DAD) 134, 156
E
edicin de ajustes en una pgina 7
enrutadores virtuales
configuracin 162, 163, 185
siguiente salto 163
estado de enlace
configuracin 126, 143, 145, 146, 148, 151, 152
visualizacin 344
etiquetas
en cables virtuales (Virtual Wire) 122
excepciones de aplicacin 280
explorador de sesin 368
exploradores compatibles 14
exploradores, compatibles 14
exportaciones
certificados 97
lote de configuracin 512
programacin de logs 84
exportaciones de logs 84
exportaciones de lote de configuracin 512
expresiones regulares, patrones de datos 325
ndice
filtrado de datos
configuracin de patrones 299
configuracin de perfil 298, 299, 301
definicin de perfiles 298
logs de visualizacin 366
patrones de datos 328
perfiles 298
perfiles y patrones 299
filtrado de URL
bsquedas seguras 292
categorizacin dinmica 292
configuracin de cancelacin 44
configuracin de perfil 289
definicin de perfiles 289
log de visualizacin 365
pgina de respuesta de continuacin y
cancelacin 118
pginas de respuesta 118
filtros
aplicacin 309, 317
subcategora 309
FIPS 519
firmas
personalizadas 329
spyware 329
vulnerabilidad 329
firmas personalizadas
acerca de 329
spyware 329
vulnerabilidad 329
funciones
administrador que define 67
hora
ajuste 16, 56
G
gestin de configuracin 28, 37
gestin de configuraciones 28, 37
GlobalProtect
configuracin de agentes 453
configuracin de puertas de enlace 429
descarga y activacin de clientes 451
pgina de respuesta 117
uso del agente 453
grupo Diffie-Hellman (DH) 414
grupos
definicin de servicios 319
dispositivo 480
grupos de direcciones, definicin 304
grupos de dispositivos
cmo aadir 480
grupos de enlaces, HA 111
grupos de perfil de seguridad, definicin 334
grupos de perfiles, definicin 334
grupos de rutas, HA 476
grupos de servicios
definicin 319
grupos de servicios, definicin 319
I
identificacin del peer 405
identificacin local 405
IKE
configuracin de perfiles criptogrficos 414
definicin de perfiles criptogrficos 414
modo de intercambio 408
proteccin ante fallo del peer 408
implementacin, visualizacin de la
informacin 509
informacin confidencial, proteccin 45
informacin de asistencia tcnica 119
informacin de asistencia tcnica,
visualizacin 119
informes
50 principales 378
actividad del usuario 376, 508
creacin de grupos personalizados 377
personalizados 379
programacin de entrega de correo
electrnico 378
resumen en PDF 373
visualizacin 378
informes de Appscope
informe de resumen 356
informe del mapa de amenazas 360, 363
informe del supervisor de cambios 357
informe del supervisor de red 361
visualizacin 355
informes de grupos personalizados 377
informes de resumen en PDF
creacin 375, 378
diseo 375
visualizacin 373, 375
informes personalizados 379
informes y logs
informes personalizados 379
uso del Centro de control de aplicaciones 346
uso del panel 344
visualizacin de informes 378, 379
visualizacin de informes de Appscope 355
visualizacin de resmenes en PDF 373
interfaces
visualizacin de estado 344
interfaces de tnel 410
interfaces L3
puertas de enlace compartidas 116
interfaz de gestin
CLI 3
configuracin 16, 56
opciones 3
Panorama 3
web 3
interfaz web
ndice
campos obligatorios 7
compilacin de cambios 9
exploradores compatibles 14
uso de tablas 8
intervalo de saludo, HA 475
Inundacin de ICMP 221
Inundacin de UDP 221
Inundacin SYN 220
inundaciones, configuracin de proteccin de
zonas 219, 220, 222, 223, 225, 226, 456
IPSec
configuracin de perfiles criptogrficos 415
configuracin de tneles 409
definicin de perfiles criptogrficos 415
IPv6 218
K
Kerberos
configuracin de ajustes de servidor 82
L
latitud y longitud 18
LDAP
autenticacin 67
configuracin de ajustes de servidor 80
licencias
instalacin 56
lista de bloqueadas
patrones de comodines 290
perfil de filtrado de URL 290
lista de permitidas
patrones de comodines 290
perfil de filtrado de URL 291
Listas de bloqueos dinmicos 326
log amenaza 336
log de amenazas
definicin de logs remotos 334
visualizacin 365
log de configuracin
definicin de logs remotos 85, 89, 90
visualizacin 366
log de sistema
visualizacin 366
log de trfico 336
definicin de logs remotos 334
visualizacin 365
logs 365
alarmas 89
almacenamiento en un servidor FTP 84
borrado 90
coincidencias HIP 366
configuracin de coincidencias HIP 89
configuracin de configuracin 86
definicin de logs remotos
para la configuracin 85, 89, 90
para logs de amenazas y trfico 334
gestin 90
programacin de exportaciones 84
M
MD5 170
MIB 36
modificacin de ajustes en una pgina 7
modo de intercambio 408
multicast de origen especfico (SSM) 188
N
NAT
definicin de polticas 256
ejemplos de poltica 251
NAT64 252
polticas 248
tipos 249, 255
NFS 472
almacenamiento de logs externo 472
alta disponibilidad de Panorama 475
particiones de almacenamiento 472
no fragmentar (DF) 225
nombre de dominio 17
nombre de host, definicin 16, 56
NSSA (not so stub area) 168, 173
NT LAN Manager (NTLM) 274
O
objetos
descripcin general 302
opciones de descarte, perfiles DOS 223
P
pginas de respuesta
antivirus 117
Ayuda de portal de GlobalProtect 117
bloque de aplicacin 117
bloqueo de aplicacin 117
continuacin y cancelacin de filtrado de
URL 118
definicin 117
exclusin de descifrado de SSL 118
Inicio de sesin de portal de GlobalProtect 117
opcin continua de bloqueo de archivo 117
pgina de notificacin de errores de certificado
SSL 117
portal cautivo 117
tipos 101, 117
panel
cortafuegos 344
Panorama
actualizacin de software 514
alta disponibilidad 473
bloqueo de cuenta de usuario 470, 486
cmo aadir dispositivos 476
compilacin 488
ndice
configuracin de direccin de IP 19
creacin de cuentas administrativas 483
exportaciones de lote de configuracin 512
funciones de administrador 482
habilitacin de acceso 19
pestaa 469
plantillas 491
plantillas, configurar 491
PAN-OS
actualizacin de software 62, 72, 486
particiones de almacenamiento 472
Panorama 472
patrones de datos
aadir nuevos 325
definicin 328
perfiles de filtrado de datos 299
reglas 325
Perfil de informacin de host (HIP)
configuracin 449
configuracin de logs de coincidencias HIP 89
configuracin de objetos 440
log de coincidencias 366
perfiles
antivirus 279
antivirus, descodificadores y acciones 280
antivirus, excepciones de aplicaciones 280
bloqueo de archivo 293, 334
configuracin de perfiles criptogrficos de
IKE 414
configuracin de perfiles criptogrficos de
IPSec 415
criptogrfico de IKE 414
criptogrfico de IPSec 415
definicin de reenvo de logs 335
filtrado de datos 298
filtrado de URL 289
gestin de interfaz 217
grupos de seguridad 334
logs 334
proteccin de vulnerabilidades 285, 289
proteccin de zona 58, 219
sobre supervisin 218
supervisor del tnel 218
Perfiles criptogrficos 414
perfiles criptogrficos 415
perfiles de antivirus
definicin 279
perfiles de autenticacin
configuracin 73
configuracin de Kerberos 82
configuracin de LDAP 80
configuracin de RADIUS 78
perfiles de gestin de interfaz 217
perfiles de proteccin de vulnerabilidades 285, 289
perfiles de seguridad
definicin 334
perfiles de supervisin 218
poltica de descifrado 336
polticas
Palo Alto Networks
acerca de 229
acerca de NAT 248
acerca del reenvo basado en polticas 260, 261
definicin de descifrado 265
definicin de NAT 256
definicin de portal cautivo 271
especificacin de usuarios y aplicaciones 233
otros objetos de las polticas 302
patrones de datos 328
QoS 458
sistemas virtuales 114
tipos 229
polticas de cancelacin de aplicacin
acerca de 269
polticas de seguridad
definicin 235
portal cautivo
configuracin del cortafuegos para 400
definicin de polticas 271
pgina de confort 117
prioridad de dispositivo, HA 475
programaciones
definicin 334, 341
exportaciones de lote de configuracin 512
proteccin ante fallo del peer 408
proteccin de datos
cambio de contrasea 45
cmo aadir 45
protocolos de enrutamiento
BGP 167, 168, 170, 171, 172, 175, 176
proxy DNS
configuracin 211
puerta de enlace
configuracin de GlobalProtect 429
puertas de enlace compartidas
configuracin 116
interfaces L3 116
puertas de enlace de IKE
configuracin 403, 404, 407
puertos HA1 y HA2 105
punto de encuentro 186
Q
QoS
clases 457, 458
configuracin 244
configuracin de prioridad 457
configuracin de salida (egress) 457
marca 244
polticas 458
R
RADIUS
autenticacin 67
definicin de la configuracin de servidor 78
reconocimiento de alarmas 89
reenvo basado en polticas (PBF)
acerca de 260, 261
ndice
S
seguridad
definicin de grupos de perfiles 334
grupos de perfiles 334
servicio BrightCloud 292
servicios, definicin 318
servidor FTP, almacenamiento de logs en 84
servidores
definicin de Kerberos 82
definicin de LDAP 80
definicin de RADIUS 78
definicin de syslog 93
servidores syslog
definicin 93
en perfiles de logs 336
siguiente salto 163
sistemas virtuales
acerca de 114
definicin 114, 115, 116
definicin de varios 115
habilitacin 18
habilitacin de varios 18
polticas 114
varios 115
zonas de seguridad 114
SNMP
cadena de comunidad 36, 91
configuracin de MIB 36
software
actualizacin 62, 72, 486, 514
actualizacin de Panorama 514
versin 344
software PAN-OS
versin 344
solicitud de asistencia tcnica 119
SPT (Shortest Path Tree) 188
SSL
definicin de polticas de descifrado 265
polticas de descifrado 334
referencias de notas tcnicas 265
subcategora
aplicacin 314
filtrado 309
supervisor de tnel
conmutacin por error 219
esperar recuperacin 219
perfiles 218
T
tablas, uso en la interfaz web 8
tiempo de espera 475
tiempo de espera de URL dinmica 43
tiempo de espera pasivo, HA 475
transferencia de estado representacional (REST) 3
Transport Layer Security (TLS) 81
tneles
configuracin 409
divisin para VPN SSL 433
tneles VPN
configuracin 409
U
umbrales de respuesta 221
umbrales, alarma 220
utilizacin de CPU 345
utilizacin de la memoria 345
utilizacin del disco 345
V
varios sistemas virtuales 18, 115
velocidad de enlace y dplex 126, 143, 145, 146,
148, 151, 152
velocidad, enlace 126, 143, 145, 146, 148, 151, 152
versin, software 344
visualizacin
explorador de sesin 368
informacin de sesin 368
logs 364
VPN
SSL, acerca de 455
VPN SSL
acerca de 455
base de datos de usuarios local 77
pgina de confort 117
tneles divididos 433
Z
zona
horaria 17
zonas
en polticas NAT 257
perfiles de proteccin 58, 219
zonas de seguridad
definicin 189
en polticas NAT 257