PA-5.0 Administrators Guide Spanish

Gua del administrador
de Palo Alto Networks

Versin 5.0
7/9/13 Borrador de la revisin final - Palo Alto Networks

CONFIDENCIAL DE EMPRESA
Palo Alto Networks, Inc.

www.paloaltonetworks.com
2007-2013 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las dems
marcas comerciales son propiedad de sus respectivos propietarios.
N. de pieza 810-000136-00B
julio 9, 2013 - Palo Alto Networks CONFIDENCIAL DE EMPRESA
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acerca de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Convenciones tipogrficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Notas y precauciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Documentacin relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captulo 1
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
13
13
15
15
15
17
Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Caractersticas y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
Preparacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Configuracin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Uso de la interfaz web del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Compilacin de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Desplazamiento a pginas de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de tablas en pginas de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Campos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
27
27
27
27
28
Obtencin de ayuda para la configuracin del cortafuegos . . . . . . . . . . . 29
Cmo obtener ms informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . 32

Definicin de configuracin de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Definicin de la configuracin de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Definicin de la configuracin de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Palo Alto Networks
Definicin de la configuracin de inspeccin de contenidos . . . . . . . . . . . . . . . . .

Definicin de la configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicio de estadsticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . .

Instalacin de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Actualizacin/desactualizacin del software PAN-OS . . . . . . . . . . . . . . . .
Actualizacin de PAN-OS en una configuracin de alta disponibilidad . . . . . . .
Desactualizacin del software PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Desactualizacin de la versin de mantenimiento. . . . . . . . . . . . . . . . . . . . . .
Desactualizacin de la versin con caractersticas . . . . . . . . . . . . . . . . . . . . .
Actualizacin de definiciones de aplicaciones y amenazas . . . . . . . . . . . . .

Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . .
Requisitos de nombre de usuario y contrasea . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de contrasea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creacin de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de dominios de acceso para administradores . . . . . . . . . . . . .
Perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
49
51
52
53
54
54
56
57
58
58
60
60
61
63
64
65
67
67
68
69
71
72
Configuracin de perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . .

Creacin de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . .
Configuracin de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de ajustes de Kerberos (autenticacin nativa
de Active Directory) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Secuencia de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Configuracin de secuencias de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . 74
Logs del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configuracin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Programacin de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Definicin de la configuracin del log Configuracin . . . . . . . . . . . . . . . . . . . 79
Definicin de la configuracin del log Sistema . . . . . . . . . . . . . . . . . . . . . . . . 80
Definicin de la configuracin del log Coincidencias HIP . . . . . . . . . . . . . . . . 81
Definicin de la configuracin del log Alarma . . . . . . . . . . . . . . . . . . . . . . . . 81
Gestin de configuracin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuracin de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Configuracin de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Descripcin de los campos personalizados de Syslog . . . . . . . . . . . . . . . . . . 85
Configuracin de ajustes de notificaciones por correo electrnico . . . . . . . 92
Visualizacin de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuracin de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Importacin, exportacin y generacin de certificados de seguridad . . . . 94
Certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Entidades de certificacin de confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Perfil del certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Cifrado de claves privadas y contraseas del cortafuegos . . . . . . . . . . . . . . . . . 99
Configuracin de clave maestra y diagnstico. . . . . . . . . . . . . . . . . . . . . . . . 99
Actualizacin de claves maestras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Palo Alto Networks
HA activa/activa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Flujo de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consideraciones de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Habilitacin de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comunicaciones entre sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . .
Definicin de pginas de respuesta personalizadas . . . . . . . . . . . . . . . . .

Visualizacin de informacin de asistencia tcnica. . . . . . . . . . . . . . . . . . .
Captulo 4
Configuracin de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
102
103
104
105
109
111
121
122
123
124
126
126
128
129
Implementacin de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de cables virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modificacin del contenido de los paquetes . . . . . . . . . . . . . . . . . . . . . . . .
Interfaces del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Visualizacin de las interfaces actuales . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de subinterfaces de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de subinterfaces de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de cable virtual. . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de subinterfaces de cable virtual . . . . . . . . . . . . . . . . . . . . .
Configuracin de la agregacin de interfaces . . . . . . . . . . . . . . . . . . . . . .
Configuracin de Agregar interfaces Ethernet . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de loopback . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de Tap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enrutadores virtuales y protocolos de enrutamiento . . . . . . . . . . . . . . . . . .
Protocolo RIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocolo OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocolo BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enrutamiento multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de enrutadores virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servidor DHCP y retransmisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Proxy DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Palo Alto Networks
130
132
132
133
133
134
135
136
136
137
138
144
148
149
150
152
152
157
158
160
161
162
163
164
164
165
165
165
166
167
186
188
190
Definicin de perfiles de gestin de interfaz . . . . . . . . . . . . . . . . . . . . . . . . 191

Definicin de perfiles de supervisin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Definicin de perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . 193
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
Polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Directrices de definicin de polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de usuarios y aplicaciones para las polticas. . . . . . . . . . . . .
Polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinacin de configuracin de zona en
NAT y poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . .
Ejemplos de poltica NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de aplicacin personalizada con cancelacin de aplicacin . . . .
Definicin de polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . .
Polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de proteccin DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Direcciones y grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones personalizadas con firmas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categoras de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . .
Definicin de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
202
203
203
207
209
209
210
212
212
216
219
221
222
222
223
224
225
226
227
229
230
232
235
238
241
243
244
245
245
248
248
249
251
255
257
257
258
259
259
261
262
263
263
Palo Alto Networks
Definicin de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 264

Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Uso del Centro de comando de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . 275
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Visualizacin de los logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Visualizacin de la informacin del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 291
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Configuracin del informe de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Gestin de informes de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Gestin de informes de actividad del usuario . . . . . . . . . . . . . . . . . . . . . . 296
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Programacin de informes para entrega de correos electrnicos . . . . . . . 297
Visualizacin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Identificacin de aplicaciones desconocidas y toma de medidas . . . . . . . 301
Toma de medidas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Solicitud de un ID de aplicacin de Palo Alto Networks . . . . . . . . . . . . . . . . 303
Otro trfico desconocido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Captulo 7
Configuracin del cortafuegos para la identificacin de usuarios . . . .
307
Descripcin general de la identificacin de usuarios . . . . . . . . . . . . . . . . . 307

Cmo funciona la identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Identificacin de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Cmo interactan los componentes del ID de usuario . . . . . . . . . . . . . . . . . . . . . 309
Agente de ID de usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Asignacin de usuario de PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Agente de servicios de terminal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Consulta de grupo de PAN-OS LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Agente de identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
Portales cautivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Configuracin del cortafuegos para la identificacin de usuarios . . . . . . . . 312
Configuracin de Asignacin de usuario de PAN-OS . . . . . . . . . . . . . . . . 319
Palo Alto Networks
Configuracin de Asignacin de usuario de PAN-OS . . . . . . . . . . . . . . . . . . . . . 319

Configuracin de un cortafuegos para compartir datos
de asignacin de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Configuracin del agente de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . 324
Instalacin del agente de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Configuracin del agente de ID de usuarios. . . . . . . . . . . . . . . . . . . . . . . . . 326
Descubrimiento de controladores de dominio . . . . . . . . . . . . . . . . . . . . . . . . 329
Supervisin de operacin de agente de ID de usuarios . . . . . . . . . . . . . . . . 329
Desinstalacin y actualizacin del agente de ID de usuarios . . . . . . . . . . . . 329
Configuracin del agente de servicios de terminal . . . . . . . . . . . . . . . . . . 330
Instalacin o actualizacin del agente de servidor de terminal
en el servidor de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Configuracin del agente de servidor de terminal
Desinstalacin del agente de servidor de terminal
Captulo 8
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
337
Redes privadas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Tneles de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
IPSec e IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

Perfiles criptogrficos de IPSec e IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Configuracin de VPN de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Definicin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Definicin de perfiles criptogrficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . 348
Definicin de perfiles criptogrficos de IPSec . . . . . . . . . . . . . . . . . . . . . . . 349
Visualizacin del estado del tnel de IPSec en el cortafuegos. . . . . . . . . . . 350
Configuracin de VPN de muestra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Topologa existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Nueva topologa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Configuracin de la conexin de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Solucin de problemas de conectividad de VPN . . . . . . . . . . . . . . . . . . . . . 353
Implementacin de VPN a gran escala de GlobalProtect . . . . . . . . . . . . . 354
Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Implementacin de una VPN a gran escala . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Certificados y el respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Configuracin de puerta de enlace de GlobalProtect . . . . . . . . . . . . . . . . . 359
Configuracin de portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Configuracin de satlites de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . 364
Protocolos de enrutamiento dinmico y VPN a gran escala . . . . . . . . . . . . . . . . 365
Creacin de copias de seguridad de un portal de GlobalProtect . . . . . . . . . . . 365
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
367
Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367

Autenticacin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Configuracin de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Palo Alto Networks
Configuracin y activacin del agente de GlobalProtect . . . . . . . . . . . . . 385

Configuracin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .
389
Compatibilidad del cortafuegos con QoS . . . . . . . . . . . . . . . . . . . . . . . . . 389

Configuracin de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 390
Definicin de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

Definicin de polticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Visualizacin de estadsticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Captulo 11
Configuracin de un Cortafuegos de la serie VM . . . . . . . . . . . . . . . .
399

Requisitos y limitaciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Licencias del Cortafuegos de la serie VM . . . . . . . . . . . . . . . . . . . . . . . . . 401
Instalacin del Cortafuegos de la serie VM . . . . . . . . . . . . . . . . . . . . . . . . 402
Solucin de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Captulo 12
Configuracin de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
407

Configuracin de Panorama como dispositivo virtual . . . . . . . . . . . . . . . . 408
Instalacin de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Configuracin de la interfaz de red de Panorama . . . . . . . . . . . . . . . . . . . . . . . 409
Ampliacin de la capacidad de almacenamiento de logs . . . . . . . . . . . . . . . . . 410
Adicin de un disco virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Configuracin de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . 411
Configuracin de Panorama en un dispositivo de la serie M. . . . . . . . . . . 412
Configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Inicio de sesin en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Cambio de la contrasea predeterminada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Configuracin de alta disponibilidad (HA). . . . . . . . . . . . . . . . . . . . . . . . . 413
Cambio de la prioridad de logs en un par de HA . . . . . . . . . . . . . . . . . . . . . . . 416
Captulo 13
Gestin centralizada del dispositivo mediante Panorama. . . . . . . . . . .
419
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . 420

Uso de la interfaz de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Pestaa Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Cmo aadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424

Definicin de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Palo Alto Networks
Funciones, perfiles y cuentas de administrador de Panorama . . . . . . . . . . 426

Definicin de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . 428
Creacin de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . 428
Especificacin de dominios de acceso de Panorama

para administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Trabajo con polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Trabajo con objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Trabajo con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Operacin de compilacin en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Compatibilidad con versiones anteriores de Panorama . . . . . . . . . . . . . . . . . . . 440
Plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
Configuracin de plantillas de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Cmo aadir una nueva plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Configuracin de una plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Cancelacin de ajustes de plantilla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Eliminacin de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Generacin de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . . . . . . 445
Uso de Panorama para recopilacin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Implementacin de recopilacin de logs distribuida. . . . . . . . . . . . . . . . . . . 446
Gestin de recopiladores de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Definicin de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . 453
Visualizacin de la informacin de implementacin del cortafuegos. . . . . 458
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . 459
Programacin de configuracin de exportaciones. . . . . . . . . . . . . . . . . . . 459
Actualizacin del software de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . 461
Captulo 14
Configuracin de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
463
Acerca de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

Configuracin de WildFire en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . 465
Configuracin de ajustes de WildFire en el cortafuegos . . . . . . . . . . . . . . . . . . 465
Configuracin del reenvo de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Log Filtrado de datos de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Uso del portal de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Configuracin de ajustes en el portal de WildFire . . . . . . . . . . . . . . . . . . . . . . . 469
Visualizacin de informes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Apndice A
Pginas personalizadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
471
Pgina de respuesta antivirus predeterminada . . . . . . . . . . . . . . . . . . . . . . . . .

Pgina de bloque de aplicacin predeterminada . . . . . . . . . . . . . . . . . . . . . . .
Pgina de bloque de bloqueo de archivo predeterminado . . . . . . . . . . . . . . . .
Pgina de respuesta de filtrado de URL predeterminada . . . . . . . . . . . . . . . . .
Pgina de respuesta de la descarga de antispyware predeterminada . . . . . .
Pgina de respuesta de exclusin de descifrado predeterminada . . . . . . . . . .
471
473
473
474
475
476
10
Palo Alto Networks
Pgina de comfort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476

Pgina de continuacin y cancelacin de filtrado de URL . . . . . . . . . . . . . . . . . . 476
Pgina de inicio de sesin de VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Pgina de notificacin de certificado SSL revocado . . . . . . . . . . . . . . . . . . . . . . 478
Apndice B
Categoras, subcategoras, tecnologas y caractersticas
de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
479
Categoras y subcategoras de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . 479

Tecnologas de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Caractersticas de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Apndice C
Compatibilidad con los estndares federales de
procesamiento de la informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
Apndice D
Licencias de cdigo abierto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
485
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia artstica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . .
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Palo Alto Networks
485
487
489
494
501
501
505
506
507
509
11
12
Palo Alto Networks
julio 9, 2013 - Palo Alto Networks CONFIDENCIAL DE EMPRESA
Prefacio
Este prefacio contiene las siguientes secciones:
Acerca de esta gua en la seccin siguiente
Organizacin en la pgina 13
Convenciones tipogrficas en la pgina 15
Notas y precauciones en la pgina 15
Documentacin relacionada en la pgina 15
Acerca de esta gua

Esta gua describe cmo administrar el cortafuegos de Palo Alto Networks mediante la
interfaz web del dispositivo.
Esta gua est dirigida a los administradores de sistemas responsables de la implementacin,
el funcionamiento y el mantenimiento del cortafuegos.
Organizacin
Esta gua est organizada de la siguiente forma:
Captulo 1, Introduccin: proporciona una descripcin general del cortafuegos.
Captulo 2, Primeros pasos: describe cmo instalar el cortafuegos.
Captulo 3, Gestin de dispositivos: describe cmo realizar la configuracin del

sistema y el mantenimiento del cortafuegos a un nivel bsico, lo que incluye cmo
configurar un par de cortafuegos para lograr una alta disponibilidad, definir cuentas de
usuario, actualizar el software y gestionar las configuraciones.
Captulo 4, Configuracin de red: describe cmo configurar el cortafuegos para su red,

lo que incluye la configuracin del enrutamiento.
Captulo 5, Polticas y perfiles de seguridad: describe cmo configurar perfiles y

polticas de seguridad por zona, usuarios, direccin de origen/destino y aplicacin.
Captulo 6, Informes y logs: describe cmo visualizar los informes y registros

proporcionados con el cortafuegos.
Palo Alto Networks
Prefacio 13
Organizacin
14 Prefacio
Captulo 7, Configuracin del cortafuegos para la identificacin de usuarios: describe

cmo configurar el cortafuegos para identificar a los usuarios que intenten acceder a la
red.
Captulo 8, Configuracin de tneles de IPSec: describe cmo configurar tneles de

IPSec (seguridad de IP) en el cortafuegos.
Captulo 9, Configuracin de GlobalProtect: describe GlobalProtect, que permite que

sistemas cliente de cualquier parte del mundo inicien sesin de manera segura.
Captulo 10, Configuracin de la calidad de servicio: describe cmo configurar la

calidad de servicio (QoS) en el cortafuegos.
Captulo 12, Configuracin de Panorama: describe cmo instalar el sistema de gestin

centralizado del cortafuegos de Palo Alto Networks.
Captulo 13, Gestin centralizada del dispositivo mediante Panorama: describe cmo
utilizar Panorama para gestionar varios cortafuegos.
Captulo 14, Configuracin de WildFire: describe cmo utilizar WildFire para elaborar
anlisis e informes sobre el software malintencionado que pase por el cortafuegos.
Apndice A, Pginas personalizadas: proporciona cdigo HTML para pginas de

respuesta personalizadas con el fin de avisar a los usuarios finales acerca de
incumplimientos de polticas o condiciones de acceso especiales.
Apndice B, Categoras, subcategoras, tecnologas y caractersticas de la aplicacin:

contiene una lista de las categoras de aplicacin definidas por Palo Alto Networks.
Apndice C, Compatibilidad con los estndares federales de procesamiento de la

informacin: describe la compatibilidad del cortafuegos con los estndares federales de
procesamiento de la informacin (FIPS) 140-2.
Apndice D, Licencias de cdigo abierto: incluye informacin sobre las licencias de

cdigo abierto aplicables.
Palo Alto Networks
Convenciones tipogrficas
Convenciones tipogrficas
En esta gua se utilizan las siguientes convenciones tipogrficas para trminos e instrucciones
especiales.
Convencin
Significado
Ejemplo
negrita
Nombres de comandos, palabras

clave y elementos seleccionables en
la interfaz web
Haga clic en Seguridad para abrir la

pgina Reglas de seguridad.
cursiva
Nombres de parmetros, archivos,

directorios o localizadores uniformes
de recursos (URL)
La direccin de la pgina de inicio de

Palo Alto Networks es
http://www.paloaltonetworks.com
tipo de letra
courier
Ejemplos de cdigo y texto que se

introduce en la lnea de comandos
Introduzca el siguiente comando:
Haga clic
Haga clic con el botn izquierdo del

ratn.
Haga clic en Administradores bajo la

pestaa Dispositivos.
Haga clic con el

botn derecho
Haga clic con el botn derecho del

ratn.
Haga clic con el botn derecho del ratn

sobre el nmero de una regla que quiera
copiar y seleccione Duplicar regla.
set deviceconfig system dnssettings
Notas y precauciones
En esta gua se utilizan los siguientes smbolos para notas y precauciones.
Smbolo
Descripcin
NOTA
Indica sugerencias tiles o informacin complementaria.
PRECAUCIN
Indica acciones que podran provocar prdidas de datos.
Documentacin relacionada
La siguiente documentacin adicional se incluye con el cortafuegos:
Gua de inicio rpido
Contrato de licencia y garanta de Palo Alto Networks
Puede encontrar documentacin relacionada adicional en https://live.paloaltonetworks.com/

community/documentation.
Palo Alto Networks
Prefacio 15
Documentacin relacionada
16 Prefacio
Palo Alto Networks
Captulo 1
Introduccin
Este captulo proporciona una descripcin general del cortafuegos:
Descripcin general del cortafuegos en la seccin siguiente
Caractersticas y ventajas en la pgina 18
Interfaces de gestin en la pgina 19
Descripcin general del cortafuegos

El cortafuegos de Palo Alto Networks le permite especificar polticas de seguridad basadas en
la identificacin precisa de cada una de las aplicaciones que quieran acceder a su red. A
diferencia de los cortafuegos tradicionales que nicamente identifican las aplicaciones por su
protocolo y nmero de puerto, este cortafuegos utiliza la inspeccin de paquetes y una
biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y
puertos idnticos, as como para identificar aplicaciones potencialmente malintencionadas
que no utilicen puertos estndar.
Por ejemplo, puede definir polticas de seguridad para aplicaciones especficas, en lugar de
basarse en una nica poltica para todas las conexiones al puerto 80. Puede especificar una
poltica de seguridad para cada aplicacin identificada con el fin de bloquear o permitir el
trfico basndose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cada
poltica de seguridad puede especificar perfiles de seguridad como proteccin frente a virus,
spyware y otras amenazas.
Palo Alto Networks
Introduccin 17
Caractersticas y ventajas
Caractersticas y ventajas
El cortafuegos ofrece un control detallado del trfico que tiene permiso para acceder a su red.
Las principales caractersticas y ventajas incluyen las siguientes:
Cumplimiento de polticas basadas en aplicaciones: El control de acceso segn

aplicaciones es mucho ms eficaz cuando la identificacin de las aplicaciones no se basa
nicamente en el protocolo y el nmero de puerto. Se pueden bloquear las aplicaciones de
alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos. El
trfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse e
inspeccionarse.
Identificacin de usuarios (ID de usuarios): La identificacin de usuarios permite que

los administradores configuren y apliquen polticas de cortafuegos basadas en usuarios y
grupos de usuarios, en lugar de zonas y direcciones de red, o adems de estas. El
cortafuegos puede comunicarse con numerosos servidores de directorio, como Microsoft
Active Directory, eDirectory, SunOne, OpenLDAP y la mayora de los otros servidores de
directorio basados en LDAP para la informacin de usuarios y grupos proporcionada al
cortafuegos. A continuacin, esta informacin puede utilizarse para ofrecer un
inestimable mtodo con el que permitir una habilitacin de aplicaciones segura que
puede definirse por usuario o grupo. Por ejemplo, el administrador podra permitir que
una organizacin utilizara una aplicacin basada en Internet y que ninguna otra
organizacin de la empresa pudiera utilizarla. Tambin puede configurar un control
detallado de determinados componentes de una aplicacin basndose en usuarios y
grupos. Consulte Configuracin del cortafuegos para la identificacin de usuarios en la
pgina 307.
Prevencin de amenazas: Los servicios de prevencin de amenazas que protegen la red

frente a virus, gusanos, spyware y otro trfico malintencionado pueden variar segn la
aplicacin y el origen del trfico (consulte Perfiles de seguridad en la pgina 227).
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL en la pgina 235).
Visibilidad del trfico: Los extensos informes, registros y mecanismos de notificacin

ofrecen una visibilidad detallada del trfico de aplicaciones y los eventos de seguridad en
la red. El centro de comando de aplicacin (ACC) de la interfaz web identifica las
aplicaciones con mayor trfico y el ms alto riesgo de seguridad (consulte Informes y
logs en la pgina 273).
Versatilidad de red y velocidad: El cortafuegos puede aadirse o sustituir a su

cortafuegos existente, y puede instalarse de manera transparente en cualquier red o
configurarse para permitir un entorno conmutado o enrutado. Las velocidades de varios
gigabits y la arquitectura de un nico paso ofrecen todos los servicios sin apenas afectar a
la latencia de red.
GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores porttiles,

que se utilizan a nivel de campo permitiendo iniciar sesin de manera fcil y segura
desde cualquier parte del mundo.
Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece una

tolerancia a fallos automtica en el caso de cualquier interrupcin en el hardware o el
software (consulte Habilitacin de HA en el cortafuegos en la pgina 111).
18 Introduccin
Palo Alto Networks
Interfaces de gestin
Elaboracin de anlisis e informes sobre software malintencionado: WildFire

proporciona anlisis e informes detallados sobre el software malintencionado que pasa
por el cortafuegos.
Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada para
su uso en un entorno de centro de datos virtual y adaptada especialmente para
implementaciones en nubes privadas y pblicas. Se instala en cualquier dispositivo x86
que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware de Palo
Alto Networks.
Gestin y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva o
una interfaz de lnea de comandos (CLI). Del mismo modo, todos los dispositivos pueden
gestionarse de manera centralizada mediante el sistema de gestin centralizado de
Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.
El cortafuegos admite las siguientes interfaces de gestin. Consulte Exploradores
compatibles en la pgina 28 para obtener una lista de los exploradores compatibles.
Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS

desde un explorador web.
CLI: La configuracin y la supervisin basadas en texto se realizan a travs de Telnet,

Secure Shell (SSH) o el puerto de la consola (consulte la Gua de referencia de la interfaz de
lnea de comandos de PAN-OS).
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos. La
interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye funciones
de gestin adicionales. Consulte Configuracin de Panorama en la pgina 407 para
obtener instrucciones sobre cmo instalar Panorama y Gestin centralizada del
dispositivo mediante Panorama en la pgina 419 para obtener informacin sobre cmo
utilizar Panorama.
Protocolo simple de administracin de red (SNMP): Admite RFC 1213 (MIB-II) y RFC
2665 (interfaces Ethernet) para una supervisin remota y genera traps SNMP para uno o
ms destinos de traps (trap sinks) (consulte Configuracin de destinos de traps SNMP
en la pgina 83).
Syslog: Permite la generacin de mensajes para uno o ms servidores Syslog remotos

(consulte Configuracin de servidores Syslog en la pgina 84).
API XML: Proporciona una interfaz basada en la transferencia de estado representacional

(REST) para acceder a la configuracin de dispositivos, el estado de funcionamiento,
informes y capturas de paquetes desde el cortafuegos. Hay disponible un explorador de
API en el cortafuegos en https://<cortafuegos>/api, donde <cortafuegos> es el nombre de
host o la direccin IP del cortafuegos. Este enlace proporciona ayuda sobre los parmetros
necesarios para cada tipo de llamada de la API. Hay disponible una gua de uso de la API
XML en la comunidad en lnea del centro de desarrollo en http://live.paloaltonetworks.com.
Palo Alto Networks
Introduccin 19
20 Introduccin
Palo Alto Networks
Captulo 2
Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar Get startedObtener:
Preparacin del cortafuegos en la seccin siguiente
Configuracin del cortafuegos en la pgina 22
Uso de la interfaz web del cortafuegos en la pgina 23
Obtencin de ayuda para la configuracin del cortafuegos en la pgina 29

Nota: Consulte Configuracin de Panorama en la pgina 407 para obtener
instrucciones acerca de la instalacin del sistema de gestin centralizado
Panorama.
Preparacin del cortafuegos

Realice las siguientes tareas para preparar el cortafuegos para la configuracin:
1.
Monte el cortafuegos en un rack y encindelo como se indica en la Gua de referencia de

hardware.
2.
Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las ltimas

actualizaciones de software e ID de aplicaciones as como activar las suscripciones y
asistencia con los cdigos de autorizacin enviados a su cuenta de correo electrnico.
3.
Obtenga una direccin IP de su administrador de redes para configurar el puerto de

gestin en el cortafuegos.
Palo Alto Networks
Primeros pasos 21
Configuracin del cortafuegos
Configuracin del cortafuegos

Para llevar a cabo la configuracin inicial del cortafuegos:
1.
Conecte su equipo al puerto de gestin (MGT) en el cortafuegos utilizando un cable

Ethernet RJ-45.
2.
Encienda su equipo. Asigne una direccin IP esttica a su equipo en la red 192.168.1.0 (por
ejemplo, 192.168.1.5) con una mscara de red de 255.255.255.0.
3.
Inicie un explorador web compatible e introduzca https://192.168.1.1.

El explorador abre la pgina de inicio de sesin de Palo Alto Networks automticamente.
4.
Introduzca admin en los campos Nombre y Contrasea y haga clic en Inicio de sesin. El
sistema presenta una advertencia para cambiar la contrasea predeterminada. Haga clic
en ACEPTAR para continuar.
5.
En la pestaa Dispositivo, seleccioneConfiguracin y configure lo siguiente (para

obtener instrucciones generales acerca de los ajustes de configuracin en la interfaz web,
consulte Uso de la interfaz web del cortafuegos en la pgina 23):
En la pestaa Administracin en Configuracin de interfaz de gestin, introduzca la
direccin IP, la mscara de red y la puerta de enlace predeterminada del cortafuegos.
En la pestaa Servicios, introduzca la direccin IP del servidor DNS (Domain Name
System). Introduzca la direccin IP o el nombre de dominio o de host del servidor de
protocolo de tiempo de red (NTP) y seleccione su zona horaria.
Haga clic en Asistencia en el men lateral.
Si se trata del primer cortafuegos de Palo Alto Networks para su empresa, haga clic en
Registrar dispositivo para registrar el cortafuegos. (Si ya ha registrado un cortafuegos,
ha recibido un nombre de usuario y contrasea.)
Haga clic en el enlace Activar soporte mediante cdigo de autorizacin e introduzca
los cdigos de autorizacin recibidos para cualquier funcin adicional. Utilice un
espacio para separar varios cdigos de autorizacin.
6.
Haga clic en Administradores bajo la pestaa Dispositivos.
7.
Haga clic en admin.
8.
En los campos Nueva contrasea y Confirmar nueva contrasea, introduzca y confirme

una contrasea que distingue entre maysculas y minsculas (hasta 15 caracteres).
9.
Haga clic en ACEPTAR para enviar la nueva contrasea.
10. Compile la configuracin para activar estos ajustes. Una vez compile los cambios, el
cortafuegos ser alcanzable a travs de la direccin IP asignada en Paso 5. Para obtener
informacin acerca de la compilacin de cambios, consulte Compilacin de cambios en
la pgina 26.
Nota: La configuracin predeterminada de fbrica del cortafuegos o despus de
realizar un restablecimiento de fbrica es un hilo de conexin a tierra entre los
puertos Ethernet 1 y 2 con una poltica predeterminada para denegar todo el trfico
entrante y seguir todo el trfico saliente.
22 Primeros pasos
Palo Alto Networks
Uso de la interfaz web del cortafuegos

Se aplican las siguientes convenciones cuando utilice la interfaz del cortafuegos.
Para mostrar los elementos del men para una categora de funciones general, haga clic
en la pestaa, como Objetos o Dispositivo, junto a la parte superior de la ventana del
explorador.
Haga clic en un elemento en el men lateral para mostrar un panel.
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda
de un elemento. Para ocultar elementos del men secundario, haga clic en el icono
la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un
nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en
Eliminar. En la mayora de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminacin haciendo clic en Cancelar.
Palo Alto Networks
Primeros pasos 23
En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de un

elemento y hacer clic en Duplicar para crear un nuevo elemento con la misma
informacin que el elemento seleccionado.
Para modificar un elemento, haga clic en su enlace subrayado.
Para visualizar informacin de ayuda en una pgina, haga clic en el icono Ayuda en el
rea superior derecha de la pgina.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la pgina. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.
24 Primeros pasos
Palo Alto Networks
Si no se define una preferencia de idioma, el idioma de la interfaz web estar controlado

por el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que
utiliza para gestionar el cortafuegos tiene como idioma establecido el espaol, cuando
inicia sesin en el cortafuegos, la interfaz web estar en espaol.
Para especificar un idioma que se utilizar siempre para una cuenta dada en lugar del
idioma del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la
pgina y se abrir la ventana Preferencia de idioma. Haga clic en la lista desplegable para
seleccionar el idioma que desee y haga clic en ACEPTAR para guardar los cambios.
Nota: En estos momentos, el sistema de ayuda en el dispositivo solo est
disponible en ingls. Para ver todo el contenido de ayuda en otros idiomas, consulte
la gua del administrador de Palo Alto Networks en https://
live.paloaltonetworks.com/community/documentation.
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina
Configuracin en la pestaa Dispositivos), haga clic en el icono en la esquina superior
derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuracin
actual de candidato.
Palo Alto Networks
Primeros pasos 25
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo
compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales)
Incluir los cambios de configuracin de objetos compartidos en la operacin de
compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuracin de objetos y polticas en la operacin de compilacin.
Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Para obtener ms informacin acerca de la compilacin de cambios, consulte
Definicin de la configuracin de operaciones en la pgina 39.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuracin del candidato en
comparacin con la configuracin actualmente en ejecucin. Puede seleccionar el
nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los cambios
estn indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La funcin Auditora de configuraciones > del dispositivo realiza la misma funcin,
consulte Comparacin de archivos de configuracin en la pgina 53.
26 Primeros pasos
Palo Alto Networks
Desplazamiento a pginas de configuracin

Cada seccin de configuracin en la gua muestra la ruta del men a la pgina de
configuracin. Por ejemplo, para llegar a la pgina Proteccin de vulnerabilidades ,
seleccione la pestaa Objetos y luego seleccione Proteccin de vulnerabilidades en Perfiles
de seguridad del men lateral. Eso est indicado en esta gua con la siguiente ruta:
Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades
Uso de tablas en pginas de configuracin

Las tablas en las pginas de configuracin incluyen opciones para escoger columnas y orden.
Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo
para cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccione
casillas de verificacin para elegir qu columnas mostrar.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarilla claro. Cuando pasa el ratn o hace
clic en el rea de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de
configuracin o compilacin de informacin por otro administrador hasta que se elimine el
bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin: Bloquea la realizacin de cambios en la configuracin por

otros administradores. Se puede establecer este tipo de bloqueo de forma general o para
un sistema virtual. Solo puede eliminarse por el administrador que lo configur o por un
superusuario del sistema.
Palo Alto Networks
Primeros pasos 27
Bloqueo de compilacin: Bloquea los cambios de compilacin por parte de otros

administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita
enfrentamientos que se pueden producir cuando dos administradores estn realizando
cambios a la vez y el primer administrador finaliza y compila cambios antes de que
finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios
actuales por el administrador que aplic el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que estn bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado
en la barra superior
para abrir el cuadro de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado

en la barra superior
para abrir la ventana Bloqueos. Haga clic en el
icono del bloqueo que desea eliminar y
haga clic en S para confirmar. Haga clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica
seleccionando la casilla de verificacin Adquirir bloqueo de compilacin automticamente
en el rea de administracin de la pgina Configuracin de dispositivo. Consulte
Configuracin del sistema, configuracin y gestin de licencias en la pgina 32.
Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
28 Primeros pasos
Palo Alto Networks
Obtencin de ayuda para la configuracin del cortafuegos
Obtencin de ayuda para la configuracin del

cortafuegos
Utilice la informacin que aparece en esta seccin para obtener ayuda acerca del uso del
cortafuegos.
Cmo obtener ms informacin

Para obtener ms informacin acerca del cortafuegos, consulte:
Informacin general: Visite http://www.paloaltonetworks.com.
Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web
para acceder al sistema de ayuda en lnea.
rea de colaboracin para la interaccin cliente/socio para compartir consejos, textos y

firmas: Visite https://live.paloaltonetworks.com/community/devcenter.
Asistencia tcnica
Para acceder a la asistencia tcnica, utilice uno de los mtodos siguientes:
Vaya a la comunidad de asistencia tcnica en lnea de KnowledgePoint en

http://live.paloaltonetworks.com.
Vaya a https://support.paloaltonetworks.com.
Palo Alto Networks
Primeros pasos 29
Obtencin de ayuda para la configuracin del cortafuegos
30 Primeros pasos
Palo Alto Networks
Captulo 3
Gestin de dispositivos
Este captulo describe cmo realizar la configuracin del sistema y el mantenimiento del
cortafuegos a un nivel bsico e incluye descripciones generales de los sistemas virtuales, la
alta disponibilidad y las funciones de log:
Configuracin del sistema, configuracin y gestin de licencias en la seccin siguiente
Comparacin de archivos de configuracin en la pgina 53
Instalacin de una licencia en la pgina 54
Actualizacin/desactualizacin del software PAN-OS en la pgina 54
Actualizacin de definiciones de aplicaciones y amenazas en la pgina 60
Funciones, perfiles y cuentas de administrador en la pgina 60
Perfiles de autenticacin en la pgina 67
Secuencia de autenticacin en la pgina 73
Perfil del certificado en la pgina 97
Logs del cortafuegos en la pgina 75
Configuracin de destinos de traps SNMP en la pgina 83
Configuracin de servidores Syslog en la pgina 84
Configuracin de ajustes de notificaciones por correo electrnico en la pgina 92
Visualizacin de alarmas en la pgina 93
Configuracin de ajustes de flujo de red en la pgina 93
Importacin, exportacin y generacin de certificados de seguridad en la pgina 94
Alta disponibilidad en la pgina 102
Sistemas virtuales en la pgina 121
Definicin de pginas de respuesta personalizadas en la pgina 126
Visualizacin de informacin de asistencia tcnica en la pgina 128
Palo Alto Networks
Gestin de dispositivos 31
Configuracin del sistema, configuracin y gestin de licencias
Configuracin del sistema, configuracin y gestin de

licencias
Las siguientes secciones describen cmo definir la configuracin de red y gestionar la
configuracin del cortafuegos:
Definicin de configuracin de gestin en la seccin siguiente
Definicin de la configuracin de operaciones en la pgina 39
Definicin de la configuracin de servicios en la pgina 44
Definicin de la configuracin de inspeccin de contenidos en la pgina 47
Definicin de la configuracin de sesin en la pgina 49
SNMP en la pgina 51
Servicio de estadsticas en la pgina 52
Instalacin de una licencia en la pgina 54

Nota: Consulte Configuracin de WildFire en la pgina 463 para obtener
informacin sobre cmo configurar los ajustes de la pestaa WildFire.
Definicin de configuracin de gestin

Dispositivo > Configuracin > Gestin
La pgina Configuracin le permite configurar el cortafuegos en cuanto a gestin,
operaciones, servicios, identificacin de contenido, elaboracin de anlisis e informes sobre
software malintencionado de WildFire y comportamiento de sesin.
Si no desea utilizar el puerto de gestin, puede definir una interfaz de loopback y gestionar el
cortafuegos a travs de la direccin IP de la interfaz de loopback (consulte Configuracin de
interfaces de loopback en la pgina 157).
Realice cualquiera de las siguientes operaciones en esta pgina:
Para cambiar el nombre de host o la configuracin de red, haga clic en Editar en la

primera tabla de la pgina y especifique la siguiente informacin.
32 Gestin de dispositivos
Palo Alto Networks
Tabla 1. Configuracin de gestin

Elemento
Descripcin
Configuracin
general
Nombre de host
Introduzca un nombre de host (de hasta 31 caracteres). El nombre hace

distincin entre maysculas y minsculas y debe ser exclusivo. Utilice
nicamente letras, nmeros, espacios, guiones y guiones bajos.
Dominio
Introduzca el nombre de dominio completo (FQDN) del cortafuegos (de

hasta 31 caracteres).
Titular de inicio de
sesin
Introduzca el texto personalizado que aparecer en la pgina de inicio de

sesin del cortafuegos. El texto se muestra debajo de los campos Nombre
y Contrasea.
Zona horaria
Seleccione la zona horaria del cortafuegos.
Configuracin regional
Seleccione un idioma para los informes en PDF de la lista desplegable.

Consulte Gestin de informes de resumen en PDF en la pgina 294.
Aunque haya establecido una preferencia de idioma especfica para la
interfaz web, los informes en PDF seguirn utilizando el idioma
especificado en este ajuste de configuracin regional. Consulte la
preferencia de idioma en Uso de la interfaz web del cortafuegos en la
pgina 23.
Fecha y hora
Nmero de serie
Para establecer la fecha y la hora del cortafuegos, haga clic en Establecer

fecha y hora. Introduzca la fecha actual en (AAAA/MM/DD) o haga clic
en el icono de calendario
para seleccionar un mes y un da. Introduzca
la hora actual con el formato de 24 horas (HH:MM:SS). Tambin puede
definir un servidor NTP desde Dispositivo > Configuracin > Servicios.
(nicamente en Panorama) Introduzca el nmero de serie del
cortafuegos.
Ubicacin geogrfica
Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0) del
cortafuegos.
Adquirir bloqueo de
compilacin
automticamente
Aplique automticamente un bloqueo de compilacin cuando cambie la

configuracin candidata. Para obtener ms informacin, consulte
Bloqueo de transacciones en la pgina 27.
Comprobacin del
vencimiento del
certificado
Indique al cortafuegos que deber crear mensajes de advertencia cuando

se acerque la fecha de vencimiento de los certificados integrados.
Capacidad de
cortafuegos virtuales
Para habilitar el uso de varios sistemas virtuales (si el modelo de

cortafuegos lo permite), haga clic en Editar en Capacidad de cortafuegos
virtuales cerca de la parte superior de la pgina Configuracin.
Seleccione la casilla de verificacin y haga clic en ACEPTAR. Para
obtener ms informacin acerca de los sistemas virtuales, consulte
Sistemas virtuales en la pgina 121.
Configuracin de
autenticacin
Perfil de autenticacin
Palo Alto Networks
Seleccione el perfil de autenticacin que debe utilizar el administrador

para acceder al cortafuegos. Para obtener instrucciones sobre cmo
configurar perfiles de autenticacin, consulte Configuracin de perfiles
de autenticacin en la pgina 68.
Tabla 1. Configuracin de gestin (Continuacin)

Elemento
Descripcin
Perfil del certificado
Seleccione el perfil del certificado que debe utilizar el administrador para

acceder al cortafuegos. Para obtener instrucciones sobre cmo configurar
perfiles de certificado, consulte Perfil del certificado en la pgina 97.
Tiempo de espera de
inactividad
Introduzca el intervalo de tiempo de espera (de 1 a 1.440 minutos). Si el

valor es 0, la sesin de gestin, web o de CLI no presenta ningn tiempo
de espera.
N. de intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos que se

permiten para la interfaz web y la CLI antes de bloquear la cuenta (1-10;
valor predeterminado: 0). 0 significa que no hay ningn lmite.
Tiempo de bloqueo
Introduzca el nmero de minutos que se bloquea a un usuario (0-60

minutos) si se alcanza el nmero de intentos fallidos. El valor
predeterminado 0 significa que no hay ningn lmite en el nmero de
intentos.
Ajustes de Panorama
Servidor de Panorama
Introduzca la direccin IP de Panorama, el sistema de gestin

centralizado de Palo Alto Networks (si la hubiera). La direccin del
servidor es necesaria para gestionar el dispositivo a travs de Panorama.
Nota: Para eliminar las polticas que Panorama pueda propagar a los
cortafuegos gestionados, haga clic en el enlace Deshabilitar poltica y objetos
de Panorama. Para guardar una copia local de las polticas y los objetos de su
dispositivo antes de eliminarlos de Panorama, haga clic en la casilla de
verificacin Importar poltica y objetos de Panorama antes de
deshabilitarlos del cuadro de dilogo que se abra. Haga clic en ACEPTAR.
Nota: Cuando seleccione la casilla de verificacin de importacin, las polticas y
los objetos se copiarn en la configuracin candidata actual. Si compila esta
configuracin, las polticas y los objetos pasarn a formar parte de su
configuracin y dejarn de estar gestionados por Panorama.
Para eliminar plantillas de dispositivos y red, haga clic en el enlace

Deshabilitar plantilla de dispositivo y red. Para guardar una copia local
de las plantillas de dispositivos y red, haga clic en la casilla de
verificacin Importar plantillas de dispositivos y red antes de
deshabilitarlas del cuadro de dilogo que se abra y haga clic en
ACEPTAR.
Cuando seleccione la casilla de verificacin de importacin, la
configuracin definida en las plantillas de dispositivos y red se copiarn
en la configuracin candidata actual. Si compila esa configuracin, estos
elementos pasarn a formar parte de su configuracin y dejarn de estar
gestionados por Panorama. No se aceptarn plantillas en el dispositivo
hasta que no haga clic en Habilitar plantillas de dispositivos y red.
Servidor 2 de Panorama
Si Panorama est funcionando en el modo de alta disponibilidad (HA),

especifique el segundo sistema de Panorama que forma parte de la
configuracin de HA.
Tiempo de espera de
recepcin para conexin
a Panorama
Introduzca el tiempo de espera para recibir mensajes de TCP de

Panorama (1-120 segundos; valor predeterminado: 20).
Palo Alto Networks

Elemento
Descripcin
Tiempo de espera de
envo para conexin a
Panorama
Introduzca el tiempo de espera para enviar comunicaciones de TCP a

Panorama (1-120 segundos; valor predeterminado: 20).
Reintentar recuento de
envos SSL a Panorama
Introduzca el nmero de reintentos para enviar mensajes de SSL a

Panorama (1-64; valor predeterminado: 25).
Compartir objetos de
direcciones y servicios
no utilizados con
dispositivos
(nicamente en
Panorama)
Seleccione esta casilla de verificacin para compartir todos los objetos

compartidos de Panorama y los objetos especficos de grupos de
dispositivos con dispositivos gestionados. Si no se selecciona la casilla de
verificacin, se comprueba si las polticas de Panorama tienen referencias
a objetos de direcciones, grupos de direcciones, servicios y grupos de
servicios. Los objetos a los que no se haga referencia no se compartirn.
Esta opcin garantizar que nicamente se enven los objetos necesarios a
los dispositivos gestionados con el fin de reducir el recuento total de
objetos.
Precedencia de objetos
compartidos
(nicamente en
Panorama)
Seleccione la casilla de verificacin para especificar que los objetos

compartidos preceden a los objetos de grupos de dispositivos. Esta
opcin es un ajuste de todo el sistema y est desactivada de manera
predeterminada. Cuando esta opcin est desactivada, los grupos de
dispositivos cancelan los objetos correspondientes que tengan el mismo
nombre. Si la opcin est activada (seleccionada), los objetos de grupos de
dispositivos no pueden cancelar los objetos correspondientes con el
mismo nombre de una ubicacin compartida y cualquier objeto de un
grupo de dispositivos con el mismo nombre que un objeto compartido se
cancelar.
Configuracin de
interfaz de gestin
Velocidad de interfaz de
gestin
Configure una tasa de datos y una opcin de dplex para la interfaz de

gestin. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que el cortafuegos determine la velocidad de
interfaz.
Este ajuste debera coincidir con la configuracin de los puertos del
equipo de red vecino.
Direccin IP de interfaz
de gestin
Introduzca la direccin IP del puerto de gestin. Tambin puede utilizar

la direccin IP de una interfaz de loopback para la gestin de dispositivos.
Esta direccin se utiliza como direccin de origen para el log remoto.
Mscara de red
Introduzca la mscara de red de la direccin IP, como 255.255.255.0.
Puerta de enlace
predeterminada
Introduzca la direccin IP del enrutador predeterminado (debe

encontrarse en la misma subred que el puerto de gestin).
Direccin IPv6 de
interfaz de gestin
(Opcional) Introduzca la direccin IPv6 del puerto de gestin. Se necesita

especificar la longitud del prefijo de IPv6 para indicar la mscara de red;
por ejemplo, 2001:400:f00::1/64.
Puerta de enlace IPv6

predeterminada
Introduzca la direccin IPv6 del enrutador predeterminado (debe

encontrarse en la misma subred que el puerto de gestin) si ha asignado
una direccin IPv6 al puerto de gestin.
Servicios de interfaz de
gestin
Seleccione los servicios habilitados en la direccin de interfaz de gestin

especificada: HTTP, HTTPS, Telnet, Secure Shell (SSH) y/o ping.
Palo Alto Networks

Elemento
Descripcin
IP permitidas
Introduzca la lista de direcciones IP desde las que se permite la gestin de

cortafuegos.
Configuracin de log
e informes
Almacenamiento de log
Especifique el porcentaje de espacio asignado a cada tipo de log en el

disco duro.
Al cambiar un valor de porcentaje, la asignacin de disco asociada cambia
automticamente. Si el total de todos los valores supera el 100%,
aparecer un mensaje en la pgina de color rojo y se mostrar un mensaje
de error cuando intente guardar la configuracin. Si esto sucede, reajuste
los porcentajes de modo que el total quede por debajo del lmite del 100%.
Haga clic en ACEPTAR para guardar la configuracin y en Restablecer
valores predeterminados para restablecer todos los ajustes
predeterminados.
Nota: Cuando un log alcanza su tamao mximo, empieza a sobrescribirse
empezando por las entradas ms antiguas. Si ajusta el tamao de un log existente
para que sea ms pequeo que ahora, el cortafuegos empezar inmediatamente a
recortar el log cuando compile los cambios, eliminando primero los logs ms
antiguos.
Mx. de filas en informe

de actividad de usuario
Introduzca el nmero mximo de filas que se admite para los informes de

actividad de usuario detallada (1-1.048.576; valor predeterminado: 65.535).
Mx. de filas en
exportacin CSV
Introduzca el nmero mximo de filas que aparecern en los informes

CSV generados desde el icono Exportar a CSV de la vista de logs de
trfico (rango: 1-1.048.576; valor predeterminado: 65.535).
Nmero de versiones
para auditora de
configuraciones
Introduzca el nmero de versiones de auditora de configuraciones que se

guardarn antes de descartar las ms antiguas (valor predeterminado: 100).
Nmero de versiones
para Configurar copias
de seguridad
(nicamente en Panorama) Introduzca el nmero de copias de seguridad

de configuraciones que se guardarn antes de descartar las ms antiguas
(valor predeterminado: 100).
Palo Alto Networks

Elemento
Descripcin
Tiempo medio de
exploracin (seg.)
Configure esta variable para ajustar cmo se calcula el tiempo de

exploracin en el informe de actividad de usuario.
El clculo ignorar los sitios categorizados como anuncios web y redes de
entrega de contenido. El clculo del tiempo de exploracin se basa en las
pginas contenedoras registradas en los logs de filtrado de URL. Las
pginas contenedoras se utilizan como base para este clculo debido a
que muchos sitios cargan contenido de sitios externos que no debera
considerarse. Para obtener ms informacin sobre las pginas
contenedoras, consulte Pginas contenedoras en la pgina 48.
El ajuste de tiempo medio de exploracin es el tiempo medio que el
administrador considera que tardar un usuario en explorar una pgina
web. Cualquier solicitud realizada despus de que haya transcurrido el
tiempo medio de exploracin se considerar una nueva actividad de
exploracin. El clculo ignorar las pginas web nuevas que se carguen
entre el momento de la primera solicitud (hora de inicio) y el tiempo
medio de exploracin. Este comportamiento se ha diseado para excluir
los sitios externos que se carguen dentro de la pgina web de inters
Ejemplo: si el tiempo medio de exploracin es de 2 minutos y un usuario
abre una pgina web y visualiza dicha pgina durante 5 minutos, el
tiempo de exploracin de dicha pgina seguir siendo de 2 minutos. Esto
es as porque no hay forma de determinar durante cunto tiempo un
usuario visualiza una pgina concreta.
(Rango: 0-300 segundos; valor predeterminado: 60 segundos)
Umbral de carga de
pgina (seg.)
Configure esta variable para ajustar cmo se calcula el tiempo de

exploracin en el informe de actividad de usuario.
Esta opcin le permite ajustar el tiempo previsto que tardan los elementos
de una pgina en cargarse en la pgina. Cualquier solicitud que se
produzca entre la primera carga de la pgina y el umbral de carga de
pgina se considerar que son elementos de la pgina. Cualquier solicitud
que se produzca fuera del umbral de carga de pgina se considerar que
es el usuario haciendo clic en un enlace de la pgina.
(Rango: 0-60 segundos; valor predeterminado: 20 segundos)
Enviar nombre de host

en Syslog
Seleccione la casilla de verificacin para enviar el campo de nombre de

host del dispositivo en mensajes de Syslog.
Si se establece esta opcin, los mensajes de Syslog incluirn el nombre de
host del dispositivo cortafuegos en el encabezado.
Detener trfico cuando

LogDb est lleno
Seleccione la casilla de verificacin si desea que se detenga el trfico a

travs del cortafuegos cuando la base de datos de logs est llena
(desactivada de manera predeterminada).
Habilitar log en alta

carga de DP
Seleccione esta casilla de verificacin si desea que se genere una entrada

de log de sistema cuando el dispositivo tenga una alta carga (desactivada
de manera predeterminada).
Palo Alto Networks

Elemento
Descripcin
Complejidad de
contrasea mnima
Habilitado
Habilite los requisitos de contrasea mnimos para cuentas locales. Con

esta funcin, puede garantizar que las cuentas de administrador locales
del cortafuegos cumplan un conjunto definido de requisitos de
contrasea.
Tambin puede crear un perfil de contrasea con un subconjunto de estas
opciones que cancelar estos ajustes y que puede aplicarse a cuentas
especficas. Para obtener ms informacin, consulte Definicin de
perfiles de contrasea en la pgina 64. Consulte Requisitos de
nombre de usuario y contrasea en la pgina 61 para obtener

informacin sobre los caracteres vlidos que pueden utilizarse en
las cuentas.
Nota: La longitud de contrasea mxima que puede introducirse es de
31 caracteres. Al ajustar los requisitos, asegrese de no crear una
combinacin que no pueda aceptarse. Por ejemplo, no puede establecer un
requisito de 10 maysculas, 10 minsculas, 10 nmeros y 10 caracteres
especiales, ya que esto excedera la longitud mxima de 31.
Nota: Si tiene configurada la alta disponibilidad (HA), utilice siempre el
dispositivo principal cuando configure opciones de complejidad de
contrasea y compile lo antes posible despus de realizar cambios.
Longitud mnima
Exija una longitud mnima de 1-15 caracteres.
Letras en mayscula
mnimas
Exija un nmero mnimo de letras en mayscula de 0-15 caracteres.
Letras en minscula
mnimas
Exija un nmero mnimo de letras en minscula de 0-15 caracteres.
Letras numricas
mnimas
Exija un nmero mnimo de letras numricas de 0-15 nmeros.
Caracteres especiales
mnimos
Exija un nmero mnimo de caracteres especiales (no alfanumricos) de

0-15 caracteres.
Bloquear caracteres
repetidos
No permita caracteres repetidos basndose en el valor especificado. Por

ejemplo, si el valor se establece como 4, la contrasea prueba2222 no se
aceptar, pero prueba222 s se aceptar (rango: 2-15).
Bloquear inclusin de
nombre de usuario
(incluida su inversin)
Seleccione esta casilla de verificacin para impedir que el nombre de

usuario de la cuenta (o la versin invertida del nombre) se utilice en la
contrasea.
La nueva contrasea
difiere por caracteres
Cuando los administradores cambien sus contraseas, los caracteres

deben diferir segn el valor especificado.
Es necesario cambiar la
contrasea al iniciar
sesin por primera vez.
Seleccione esta casilla de verificacin para pedir a los administradores

que cambien sus contraseas la primera vez que inicien sesin en el
dispositivo.
Lmite para impedir la

reutilizacin de
contraseas
Exija que no se reutilice una contrasea anterior basndose en el recuento

especificado. Por ejemplo, si el valor se establece como 4, no podr
reutilizar ninguna de sus ltimas 4 contraseas (rango: 0-50).
Palo Alto Networks

Elemento
Descripcin
Bloquear perodo de
cambio de contrasea
(das)
El usuario no podr cambiar sus contraseas hasta que no se haya

alcanzado el nmero de das especificado (rango: 0-365 das).
Perodo necesario para el

cambio de contrasea
(das)
Exija que los administradores cambien su contrasea con la regularidad

especificada por el nmero de das establecido, de 0 a 365 das. Por
ejemplo, si el valor se establece como 90, se pedir a los administradores
que cambien su contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das y
especificar un perodo de gracia.
Perodo de advertencia
de vencimiento (das)
Si se establece un perodo necesario para el cambio de contrasea, este

ajuste puede utilizarse para pedir al usuario que cambie su contrasea
cada vez que inicie sesin a medida que se acerque la fecha obligatoria de
cambio de contrasea (rango: 0-30 das).
Inicio de sesin de
administrador caducado
permitido (recuento)
Permita que el administrador inicie sesin el nmero de veces

especificado despus de que la cuenta haya vencido. Por ejemplo, si el
valor se ha establecido como 3 y su cuenta ha vencido, podr iniciar
sesin 3 veces ms antes de que se bloquee la cuenta (rango: 0-3 inicios de
sesin).
Perodo de gracia
posterior al vencimiento
(das)
Permita que el administrador inicie sesin el nmero de das especificado

despus de que la cuenta haya vencido (rango: 0-30 das).
Definicin de la configuracin de operaciones

Dispositivo > Configuracin > Operaciones
Cuando cambia un ajuste de configuracin y hace clic en ACEPTAR, se actualiza la
configuracin candidata actual, no la configuracin activa. Al hacer clic en Compilar en la
parte superior de la pgina, se aplica la configuracin candidata a la configuracin activa, lo
que activa todos los cambios de configuracin desde la ltima compilacin.
Este mtodo le permite revisar la configuracin antes de activarla. Si activa varios cambios
simultneamente, ayudar a evitar estados de configuracin no vlidos que pueden
producirse cuando se aplican cambios en tiempo real.
Puede guardar y restablecer la configuracin candidata con la frecuencia que sea necesario y
tambin cargar, validar, importar y exportar configuraciones. Si pulsa Guardar, se crear una
copia de la configuracin candidata actual, mientras que si selecciona Compilar, actualizar la
configuracin activa con el contenido de la configuracin candidata.
Nota: Es conveniente guardar peridicamente los ajustes de configuracin que haya
introducido haciendo clic en el enlace Guardar de la esquina superior derecha de la
pantalla.
Palo Alto Networks
Para gestionar configuraciones, seleccione las funciones de gestin de configuracin

adecuadas que se describen en la tabla siguiente.
Tabla 2. Funciones de gestin de configuracin

Funcin
Descripcin
Gestin de
configuracin
Validar configuracin
candidata
Comprueba si la configuracin candidata tiene errores.
Volver a la ltima
configuracin guardada
Restablece la ltima configuracin candidata guardada de la memoria

flash. La configuracin candidata actual se sobrescribir. Se producir un
error si no se ha guardado la configuracin candidata.
Volver a la configuracin
en ejecucin
Restablece la ltima configuracin en ejecucin. La configuracin en

ejecucin actual se sobrescribir.
Guardar instantnea de
configuracin con
nombre
Guarda la configuracin candidata en un archivo. Introduzca un nombre

de archivo o seleccione un archivo existente para sobrescribirlo. Tenga en
cuenta que el archivo de configuracin activa actual (running-config.xml)
no puede sobrescribirse.
Guardar configuracin
candidata
Guarda la configuracin candidata en la memoria flash (del mismo modo

que si hiciera clic en Guardar en la parte superior de la pgina).
Cargar instantnea de
configuracin con
nombre
Carga una configuracin candidata desde la configuracin activa

(running-config.xml) o desde una configuracin guardada o importada
anteriormente. Seleccione el archivo de configuracin que debe cargarse.
La configuracin candidata actual se sobrescribir.
Cargar versin de
configuracin
Carga una versin especificada de la configuracin.
Exportar instantnea de
configuracin con
nombre
Exporta la configuracin activa (running-config.xml) o una configuracin

guardada o importada anteriormente. Seleccione el archivo de
configuracin que debe exportarse. Puede abrir el archivo y/o guardarlo
en cualquier ubicacin de red.
Exportar versin de
configuracin
Exporta una versin especificada de la configuracin.
Palo Alto Networks
Tabla 2. Funciones de gestin de configuracin (Continuacin)

Funcin
Descripcin
Exportar estado de
dispositivo
Esta funcin se utiliza para exportar la informacin dinmica y de

configuracin de un cortafuegos configurado como portal de
GlobalProtect con la funcin de VPN a gran escala activada. Si el portal
tiene un fallo, se puede importar el archivo exportado para restablecer la
informacin dinmica y de configuracin del portal.
La exportacin incluye una lista de todos los dispositivos satlite
gestionados por el portal, la configuracin en ejecucin en el momento de
la exportacin y toda la informacin de los certificados (certificados de
CA raz, servidor y satlite).
Importante: Debe realizar manualmente la exportacin del estado del
dispositivo o crear una secuencia de comandos programada de la API
XML para exportar el archivo a un servidor remoto. Esto debe hacerse con
regularidad, ya que puede que los certificados de satlite cambien a
menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, en el
modo de configuracin, ejecute save device state.
El archivo se denominar device_state_cfg.tgz y se guardar en /opt/
pancfg/mgmt/device-state. El comando de operacin para exportar el
archivo de estado del dispositivo es scp export device-state
(tambin puede utilizar tftp export device-state).
Para obtener informacin sobre cmo utilizar la API XML, consulte el
documento PAN-OS XML-Based Rest API Usage Guide (Gua de uso
de la API Rest basada en XML de PAN-OS, en ingls) en https://
live.paloaltonetworks.com/community/documentation.
Consulte Implementacin de VPN a gran escala de GlobalProtect en la
pgina 354.
Importar instantnea de
configuracin con
nombre
Importa un archivo de configuracin desde cualquier ubicacin de red.

Haga clic en Examinar y seleccione el archivo de configuracin que debe
importarse.
Importar estado de
dispositivo
Importe la informacin de estado del dispositivo que se export mediante

la opcin Exportar estado de dispositivo. Esto incluye la configuracin en
ejecucin actual, plantillas de Panorama y polticas compartidas. Si el
dispositivo es un portal de GlobalProtect, la exportacin incluir la
informacin de la Entidad de certificacin (CA) y la lista de los
dispositivos satlite con su informacin de autenticacin.
Operaciones de
dispositivo
Reiniciar dispositivo
Para reiniciar el cortafuegos, haga clic en Reiniciar dispositivo. Cerrar

sesin y se volvern a cargar el software PAN-OS y la configuracin
activa. Las sesiones existentes tambin se cerrarn y registrarn.
Asimismo, se crear una entrada de log de sistema que mostrar el
nombre del administrador que inici el apagado. Todos los cambios de
configuracin que no se hayan guardado o compilado se perdern
(consulte Definicin de la configuracin de operaciones en la
pgina 39).
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart system. Consulte la Gua de referencia de la interfaz de
lnea de comandos de PAN-OS para obtener informacin detallada.
Palo Alto Networks

Funcin
Descripcin
Apagar dispositivo
Para realizar un apagado correcto del cortafuegos, haga clic en Apagar

dispositivo y, a continuacin, haga clic en S en el mensaje de
confirmacin. Todos los cambios de configuracin que no se hayan
guardado o compilado se perdern. Todos los administradores cerrarn
sesin y se producirn los siguientes procesos:
Se cerrarn todas las sesiones de inicio de sesin.
Se deshabilitarn las interfaces.
Se detendrn todos los procesos del sistema.
Se cerrarn y registrarn las sesiones existentes.
Se crearn logs del sistema que mostrarn el nombre del administrador
que inici el apagado. Si no se puede crear esta entrada de log,
aparecer una advertencia y el sistema no se apagar.
Ahora podr desmontar de manera limpia las unidades de disco y el
dispositivo dejar de recibir alimentacin.
Deber desenchufar la fuente de alimentacin y volver a enchufarla antes
de poder activar el dispositivo.
Nota: Si la interfaz web no est disponible, utilice el comando de la
CLI request shutdown system . Consulte la Gua de referencia de la
interfaz de lnea de comandos de PAN-OS para obtener informacin detallada.
Reiniciar plano de datos
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga
clic en Reiniciar plano de datos. Esta opcin no est disponible en el modelo
PA-200.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane. Consulte la Gua de referencia de la
interfaz de lnea de comandos de PAN-OS para obtener informacin detallada.
Palo Alto Networks

Funcin
Descripcin
Varios
Logotipos
personalizados
Utilice esta opcin para personalizar cualquiera de los siguientes

elementos:
Imagen de fondo de la pantalla de inicio de sesin
Imagen de encabezado de la interfaz de usuario principal
Imagen de la pgina de ttulo del informe en PDF. Consulte Gestin de
informes de resumen en PDF en la pgina 294.
Imagen de pie de pgina del informe en PDF
Haga clic en
para cargar un archivo de imagen, en
para obtener
una vista previa o en
para eliminar una imagen cargada
anteriormente.
Tenga en cuenta lo siguiente:
Los tipos de archivos admitidos son png, gif y jpg.
Para volver al logotipo predeterminado, elimine su entrada y realice
una compilacin.
El tamao de imagen mximo para cualquier imagen de logotipo es de
128 KB.
En el caso de las opciones de la pantalla de inicio de sesin y de la
interfaz de usuario principal, al hacer clic en
, la imagen se mostrar
del modo en que se visualizar. Si es necesario, se recortar la imagen
para ajustarla. En el caso de informes en PDF, el tamao de las
imgenes se ajustar automticamente sin recortarlas. En todos los
casos, la vista previa muestra las dimensiones de imagen
recomendadas.
Para obtener informacin sobre cmo generar informes en PDF, consulte
Gestin de informes de resumen en PDF en la pgina 294.
Configuracin de SNMP
Especifique parmetros de SNMP. Consulte SNMP en la pgina 51.
Configuracin del
servicio de estadsticas
Especifique la configuracin del servicio de estadsticas. Consulte

Servicio de estadsticas en la pgina 52.
Nota: Al hacer clic en Compilar o introducir el comando de la CLI commit, se

activarn todos los cambios realizados a travs de la interfaz web y la CLI desde la
ltima compilacin. Para evitar posibles conflictos, utilice las funciones de bloqueo de
transacciones que se describen en Bloqueo de transacciones en la pgina 27.
Palo Alto Networks
Definicin de la configuracin de servicios

Dispositivo > Configuracin > Servicios
Utilice la pestaa Servicios para definir los ajustes del sistema de nombres de dominio (DNS),
el protocolo de tiempo de red (NTP), los servidores de actualizaciones, los servidores proxy y
la configuracin de ruta de servicios.
Tabla 3. Configuracin de servicios

Funcin
Descripcin
DNS
Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las
consultas de DNS iniciadas por el cortafuegos con el fin de admitir
objetos de direccin FQDN, logs y la gestin de dispositivos. Las opciones
incluyen las siguientes:
Servidores DNS principal y secundario para la resolucin de nombres
de dominio
Proxy de DNS configurado en el cortafuegos
Servidor DNS principal
Introduzca la direccin IP o el nombre de host del servidor DNS

principal. El servidor se utiliza para las consultas de DNS del cortafuegos;
por ejemplo, para buscar el servidor de actualizaciones, para resolver
entradas de DNS en logs o para objetos de direccin basados en FDQN.
Servidor de DNS
secundario

secundario que deber utilizarse si el servidor principal no est
disponible (opcional).
Servidor NTP principal
Introduzca la direccin IP o el nombre de host del servidor NTP principal,

si lo hubiera. Si no utiliza servidores NTP, puede establecer la hora del
dispositivo manualmente.
Servidor NTP
secundario
Introduzca la direccin IP o el nombre de host de los servidores NTP

secundarios que debern utilizarse si el servidor principal no est
Actualizar servidor
Este ajuste representa la direccin IP o el nombre de host del servidor

utilizado para descargar actualizaciones de Palo Alto Networks. El valor
actual es updates.paloaltonetworks.com. No cambie el nombre del
servidor a menos que se lo indique la asistencia tcnica.
Servidor de proxy
seguro
Si el dispositivo necesita utilizar un servidor proxy para acceder a los

servicios de actualizacin de Palo Alto Networks, introduzca la direccin
IP o el nombre de host del servidor.
Puerto de proxy seguro
Si especifica un servidor proxy, introduzca el puerto.
Usuario de proxy seguro
Si especifica un servidor proxy, introduzca el nombre de usuario para

acceder al servidor.
Contrasea de proxy
segura
Confirmar contrasea de
proxy segura
Si especifica un servidor proxy, introduzca y confirme la contrasea para

que el usuario acceda al servidor.
Palo Alto Networks
Tabla 3. Configuracin de servicios (Continuacin)

Funcin
Descripcin
Configuracin de ruta de
servicios
Especifique el modo en que el cortafuegos se comunicar con otros

servidores/dispositivos para la comunicacin de servicios, como DNS,
correo electrnico, actualizaciones de Palo Alto y NTP.
Puede seleccionar Utilizar interfaz de gestin para todos para utilizar el
puerto de gestin (MGT) integrado para todas las comunicaciones, o bien
puede definir una direccin IP de origen especfica para utilizar interfaces
diferentes y as lograr un control detallado de cada servicio. Por ejemplo,
puede configurar una IP de origen especfica de una interfaz para toda la
comunicacin por correo electrnico entre el cortafuegos y un servidor de
correo electrnico y utilizar una interfaz/IP de origen diferente para las
actualizaciones de Palo Alto.
Haga clic en Configuracin de ruta de servicios y configure lo siguiente:
Utilizar interfaz de gestin para todos: Esta opcin forzar todas las
comunicaciones de servicios de cortafuegos con servidores externos a
travs de la interfaz de gestin (MGT). Si se selecciona esta opcin,
deber configurar la interfaz de gestin para permitir las
comunicaciones entre el cortafuegos y los servidores/dispositivos que
proporcionan servicios. Para configurar la interfaz de gestin,
desplcese hasta la pestaa Dispositivo > Configuracin > Gestin y
edite Configuracin de interfaz de gestin.
Seleccionar: Elija esta opcin para configurar un control detallado para
la comunicacin de servicios. Aparecer una tabla que mostrar una
lista de servicios disponibles y una lista desplegable para seleccionar
una direccin de origen. Seleccione el servicio deseado y, a
continuacin, seleccione el origen en la lista desplegable Direccin de
origen. La Direccin de origen es la direccin IP asignada a una
interfaz que ser el origen del trfico del servicio. No tiene que definir la
direccin de destino, ya que el destino se configura al configurar el
servicio en cuestin. Por ejemplo, cuando defina sus servidores DNS
desde la pestaa Dispositivo > Configuracin > Servicios y Servicios,
dicha accin establecer el destino de las consultas de DNS.
Palo Alto Networks

Funcin
Descripcin
Configuracin de ruta de
servicios (Continuacin)
Campos IP Destino y Direccin de origen: Si un servicio que desea

enviar no est incluido en la columna Servicio, puede utilizar los
campos IP Destino y Direccin de origen para definir las rutas que
utilizarn otros servicios. Los servicios no enumerados incluyen
elementos como Kerberos, LDAP y comunicaciones de recopilador de
logs de Panorama. No necesita introducir la subred de la direccin de
destino.
En entornos multiempresa, se exigirn rutas de servicios basadas en IP
de destino, mientras que los servicios comunes requerirn una direccin
de origen diferente. Por ejemplo, si dos empresas necesitan utilizar
RADIUS.
Es importante que las rutas y polticas se establezcan correctamente para la
interfaz que se utilizar para enviar el servicio. Por ejemplo, si desea enviar
solicitudes de autenticacin de Kerberos en una interfaz que no sea el
puerto de gestin (MGT), deber configurar IP Destino y Direccin de
origen en la seccin de la derecha de la ventana Configuracin de ruta de
servicios, ya que Kerberos no se enumera en la columna Servicio
predeterminada. Por ejemplo, puede tener la direccin IP de origen
192.168.2.1 en Ethernet1/3 y, a continuacin, el destino 10.0.0.240 para un
servidor Kerberos. Deber aadir Ethernet1/3 a un enrutador virtual
existente con una ruta predeterminada. Asimismo, puede crear un nuevo
enrutador virtual desde Red > Enrutadores virtuales y aadir las rutas
estticas que sea necesario. Esto garantizar que todo el trfico de la
interfaz se enviar a travs del enrutador virtual para llegar a sus
correspondientes destinos. En este caso, la direccin de destino es 10.0.0.240
y la interfaz Ethernet1/3 tiene la IP de origen 192.168.2.1/24.
El resultado de la CLI para IP Destino y Direccin de origen tendra el
siguiente aspecto:
PA-200-Test# show route
destination {
10.0.0.240 {
source address 192.168.2.1/24
}
Con esta configuracin, todo el trfico de la interfaz Ethernet1/3
utilizar la ruta predeterminada definida en el enrutador virtual y se
enviar a 10.0.0.240.
Palo Alto Networks
Definicin de la configuracin de inspeccin de contenidos

Dispositivo > Configuracin > Inspeccin de contenidos
Utilice la pestaa Inspeccin de contenidos para definir la configuracin del filtrado de URL,
la proteccin de datos y las pginas contenedoras.
Tabla 4. Configuracin de inspeccin de contenidos

Funcin
Descripcin
Filtrado de URL
Tiempo de espera de
cach de URL dinmica
Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor
se utiliza en el filtrado de URL dinmica para determinar la cantidad de
tiempo que una entrada permanece en la cach despus de ser devuelta
por el servicio de filtrado de URL. Esta opcin nicamente es aplicable al
filtrado de URL que utilice la base de datos de BrightCloud. Para obtener
informacin sobre el filtrado de URL, consulte Perfiles de filtrado de
URL en la pgina 235.
Tiempo de espera de
cach de URL dinmica
Especifique el intervalo que transcurre desde una accin de

continuacin por parte del usuario hasta el momento en que el usuario
debe volver a pulsar el botn de continuacin para las URL de la misma
categora (rango: 1-86.400 minutos; valor predeterminado: 15 minutos).
Tiempo de espera de
cancelacin de
administrador de URL
Especifique el intervalo que transcurre desde que el usuario introduce la

contrasea de cancelacin de administrador hasta que el usuario debe
volver a introducir la contrasea de cancelacin de administrador para las
URL de la misma categora (rango: 1-86.400 minutos; valor
predeterminado: 900 minutos).
Tiempo de espera de
bloqueo de
Especifique el perodo de tiempo que un usuario est bloqueado y no

puede utilizar la contrasea de cancelacin de administrador de URL
despus de tres intentos incorrectos (1-86.400 minutos; valor
predeterminado: 1.800 minutos).
x-forwarded-for
Incluya el encabezado x-forwarded-for que contiene la direccin IP de

origen. Cuando se selecciona esta opcin, el cortafuegos examina los
encabezados HTTP en busca del encabezado x-forwarded-for, que un
proxy puede utilizar para almacenar la direccin IP de origen del usuario
original.
El sistema toma el valor e introduce Src: x.x.x.x en el campo Usuario de
origen de los logs de URL (donde x.x.x.x es la direccin IP leda en el
encabezado).
Quitar x-forwarded-for
Elimine el encabezado x-forwarded-for que contiene la direccin IP de

origen. Cuando esta opcin est seleccionada, el cortafuegos borra el
valor del encabezado antes de reenviar la solicitud y los paquetes
reenviados no contienen informacin de IP de origen interna.
Permitir reenvo de
contenido descifrado
Seleccione la casilla de verificacin para permitir que el cortafuegos

reenve contenido descifrado a un servicio externo. Por ejemplo, cuando
se establece esta opcin, el cortafuegos puede enviar contenido descifrado
a WildFire para su anlisis. En el caso de configuraciones de VSYS
mltiple, esta opcin depende de VSYS.
Palo Alto Networks
Tabla 4. Configuracin de inspeccin de contenidos (Continuacin)

Funcin
Descripcin
Cancelacin de
Configuracin de la
cancelacin de
Especifique la configuracin que se utiliza cuando se bloquea una pgina

con el perfil de filtrado de URL y se especifica la accin Cancelar.
Consulte Perfiles de filtrado de URL en la pgina 235.
Haga clic en Aadir y configure los siguientes ajustes para todos los
sistemas virtuales en los que desee configurar una cancelacin de
administrador de URL.
Ubicacin: Seleccione el sistema virtual en la lista desplegable
(nicamente dispositivos de VSYS mltiple).
Contrasea/Confirmar contrasea: Introduzca la contrasea que el
usuario debe introducir para cancelar la pgina de bloque.
Certificado de servidor: Seleccione el certificado de servidor que se
utilizar con comunicaciones SSL al redirigir a travs del servidor
especificado.
Modo: Determina si la pgina de bloque se entrega de manera
transparente (parece originarse en el sitio web bloqueado) o se redirige
al usuario al servidor especificado. Si selecciona Redirigir, introduzca la
direccin IP para el redireccionamiento.
Haga clic en
Gestionar proteccin de
datos
para eliminar una entrada.
Aumente la proteccin para acceder a logs que puedan incluir

informacin confidencial, como nmeros de tarjetas de crdito o nmeros
de la Seguridad Social.
Haga clic en Gestionar proteccin de datos y configure lo siguiente:
Para establecer una nueva contrasea si todava no se ha establecido
una, haga clic en Establecer contrasea. Introduzca y confirme la
contrasea.
Para cambiar la contrasea, haga clic en Cambiar contrasea.
Introduzca la contrasea anterior y, a continuacin, introduzca y
confirme la nueva contrasea.
Para eliminar la contrasea y los datos que se han protegido, haga clic
en Eliminar contrasea.
Pginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain y
text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida, se
utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de
contenido asociados a un sistema virtual, se utilizar la lista
predeterminada de tipos de contenido.
Palo Alto Networks
Definicin de la configuracin de sesin

Dispositivo > Configuracin > Sesin
La pestaa Sesin le permite configurar los tiempos de vencimiento de las sesiones y ajustes
globales relacionados con las sesiones, como aplicar cortafuegos al trfico IPv6 y volver a
hacer coincidir la poltica de seguridad con las sesiones existentes cuando cambia la poltica.
Tabla 5. Configuracin de sesin

Campo
Descripcin
Configuracin de
sesin
Reanalizar sesiones
establecidas
Haga clic en Editar y seleccione la casilla de verificacin Reanalizar todas

las sesiones establecidas al cambiar la poltica de configuracin.
Por ejemplo, supongamos que anteriormente Telnet tena permiso pero
que luego se cambi a Denegar en la ltima compilacin. El
comportamiento predeterminado es que cualquier sesin de Telnet
iniciada antes de la compilacin se vuelva a hacer coincidir y se bloquee.
Tamao de depsito de
testigo de ICMPv6
Introduzca el tamao de depsito para la limitacin de tasa de mensajes de

error de ICMPv6. El tamao de depsito de testigo es un parmetro del
algoritmo de depsito de testigo que controla la intensidad de las rfagas
de transmisin de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).
Tasa de paquetes de
error de ICMPv6
Introduzca el nmero medio de paquetes de error de ICMPv6 por segundo

que se permiten globalmente (rango: 10-65.535 paquetes/segundo; valor
predeterminado: 100). Este valor se aplica a todas las interfaces.
Trama gigante
MTU de trama gigante
Seleccione esta opcin para habilitar la compatibilidad con tramas

gigantes, las cuales tienen una MTU mxima de 9.192 y estn disponibles
en determinadas plataformas. Consulte las especificaciones tcnicas de su
modelo de cortafuegos, disponible en http://www.paloaltonetworks.com.
Habilitar cortafuegos
IPv6
Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y

seleccione la casilla de verificacin Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarn si IPv6 no se
habilita.
Tamao mnimo de
MTU para NAT64 en
IPv6
Le permite cambiar el ajuste de MTU global para el trfico IPv6 traducido

(valor predeterminado: 1.280). El valor predeterminado se basa en la MTU
mnima estndar para el trfico IPv6.
Vencimiento acelerado
Permite el vencimiento acelerado de las sesiones inactivas.

Seleccione la casilla de verificacin para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesin alcanza el Umbral de vencimiento acelerado
(% lleno), el Factor de escala de vencimiento acelerado se aplica a los
clculos de vencimiento de todas las sesiones. El tiempo de inactividad de
la sesin se calcula como el tiempo de inactividad real multiplicado por el
factor de escala. Por ejemplo, si se utiliza un factor de escala de 10, una
sesin que por lo general vencera despus de 3.600 segundos, vence
despus de 360 segundos.
Palo Alto Networks
Tabla 5. Configuracin de sesin (Continuacin)

Campo
Descripcin
Tiempos de espera
de sesin
Tiempos de espera
Especifique los tiempos de espera en segundos para cada una de las

categoras. Se enumeran los rangos y los valores predeterminados.
Caractersticas de
sesin
Configuracin de
revocacin de
certificados de
descifrado
Seleccione este ajuste para configurar las opciones de gestin de

certificados del cortafuegos.
Habilitar
Seleccione la casilla de verificacin para utilizar listas de revocacin de

certificados (CRL) para comprobar la validez de los certificados SSL.
Todas las entidades de certificacin (CA) fiables cuentan con CRL para
determinar si un certificado SSL es vlido (no est revocado) para el
descifrado de SSL. Tambin se puede utilizar el protocolo de estado de
certificado en lnea (OCSP) para comprobar dinmicamente el estado de
revocacin de un certificado. Para obtener ms informacin sobre el
descifrado de SSL, consulte Polticas de descifrado en la pgina 219.
Tiempo de espera de
recepcin
Especifique el intervalo tras el cual vence la solicitud de CRL y se

determina que es estado es desconocido (1-60 segundos).
Habilitar OCSP
Seleccione la casilla de verificacin para utilizar OCSP para comprobar la

validez de los certificados SSL.
Tiempo de espera de
recepcin
Especifique el intervalo tras el cual vencen las solicitudes de OCSP y se

determina que es estado es desconocido (1-60 segundos).
Bloquear sesin con

estado de certificado
desconocido
Seleccione la casilla de verificacin si desea bloquear los certificados que no

se pueden validar.
Bloquear sesin tras el

tiempo de espera de
comprobacin del
estado del certificado
Seleccione la casilla de verificacin si desea bloquear los certificados

cuando pase el tiempo de espera de solicitud de informacin de certificado.
Tiempo de espera del

estado del certificado
Especifique el intervalo tras el cual vencen las solicitudes de estado de

certificado (1-60 segundos).
Palo Alto Networks
SNMP
Utilice esta pgina para definir el acceso a bases de informacin de gestin (MIB) SNMP para
SNMPv2c y SNMPv3. Haga clic en Configuracin de SNMP en la pgina Configuracin y
especifique los siguientes ajustes.
Un mdulo de MIB define todos los traps SNMP generados por el sistema. Cada log de
eventos del sistema se define como un trap SNMP independiente con un ID de objeto (OID)
propio. Los campos individuales de un log de eventos se definen como una lista de enlace de
variables (varbind).
Tabla 6. Configuracin de SNMP

Campo
Descripcin
Ubicacin fsica
Especifique la ubicacin fsica del cortafuegos.
Contacto
Introduzca el nombre o la direccin de correo electrnico de la persona

responsable del mantenimiento del cortafuegos Este ajuste se indica en la
MIB de informacin del sistema estndar.
Utilizar definiciones de
traps especficas
Seleccione la casilla de verificacin para utilizar un OID exclusivo para

cada trap SNMP basndose en el tipo de evento (est seleccionado el valor
predeterminado).
Versin
Seleccione la versin de SNMP (V2c o V3). Este ajuste controla el acceso a la

informacin de la MIB. De manera predeterminada, se selecciona V2c con
la cadena de comunidad pblica.
En el caso de V2c, configure el siguiente ajuste:
Cadena de comunidad SNMP: Introduzca la cadena de comunidad

SNMP para el acceso al cortafuegos (valor predeterminado: pblico).
En el caso de V3, configure los siguientes ajustes:
Vistas: Haga clic en Aadir y configure los siguientes ajustes:
Nombre: Especifique un nombre para un grupo de vistas.
Ver: Especifique un nombre para una vista.
OID: Especifique el identificador de objeto (OID) (por ejemplo,
1.2.3.4).
Opcin: Seleccione si el OID debe incluirse en la vista o excluirse de
ella.
Mscara: Especifique un valor de mscara para un filtro del OID en
formato hexadecimal (por ejemplo, 0xf0).
Usuarios: Haga clic en Aadir y configure los siguientes ajustes:
Usuarios: Especifique un nombre de usuario.
Ver: Especifique el grupo de vistas del usuario.
Contrasea de autenticacin: Especifique la contrasea de
autenticacin del usuario (8 caracteres como mnimo, 256 caracteres
como mximo y sin restricciones de caracteres). (Se permiten todos los
caracteres.) nicamente se admite el algoritmo de hash seguro (SHA).
Contrasea priv.: Especifique la contrasea de cifrado del usuario (8
caracteres como mnimo, 256 caracteres como mximo y sin
restricciones de caracteres). nicamente se admite el estndar de
cifrado avanzado (AES).
Palo Alto Networks
Servicio de estadsticas
La funcin Servicio de estadsticas permite que el cortafuegos enve informacin de
aplicaciones annimas, amenazas y bloqueos al equipo de investigacin de Palo Alto
Networks. La informacin recopilada permite que el equipo de investigacin mejore
continuamente la eficacia de los productos de Palo Alto Networks basndose en informacin
del mundo real. Este servicio est deshabilitado de manera predeterminada y, una vez
habilitado, se cargar informacin cada 4 horas.
Puede permitir que el cortafuegos enve cualquiera de los siguientes tipos de informacin:
Informes de aplicacin y amenazas
Informes de aplicaciones desconocidas
Informes de URL
Seguimientos de bloqueos de dispositivos
Para ver una muestra del contenido de un informe estadstico que se enviar, haga clic en el
icono de informe
. Se abrir la pestaa Muestra de informe para mostrar el cdigo del
informe. Para ver un informe, haga clic en la casilla de verificacin que aparece junto al
informe deseado y, a continuacin, haga clic en la pestaa Muestra de informe.
Palo Alto Networks
Comparacin de archivos de configuracin
Comparacin de archivos de configuracin

Dispositivo > Auditora de configuraciones
Puede ver y comparar archivos de configuracin utilizando la pgina Auditora de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el nmero de lneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente
ilustracin.
La pgina tambin incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuracin consecutivas. Haga clic en
para
cambiar las configuraciones que se estn comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se estn
comparando por el conjunto siguiente de configuraciones guardadas.
Ilustracin 1. Comparacin de configuraciones
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.
Palo Alto Networks
Instalacin de una licencia
Instalacin de una licencia

Dispositivo > Licencias
Al adquirir una suscripcin de Palo Alto Networks, recibir un cdigo de autorizacin para
activar una o ms claves de licencia.
Para activar una licencia de proveedor de URL para el filtrado de URL, debe instalar la
licencia, descargue la base de datos y haga clic en Activar.
Las siguientes funciones estn disponibles en la pgina Licencias:
Para habilitar licencias para el filtrado de URL, haga clic en Activar.
Para habilitar suscripciones adquiridas que requieren un cdigo de autorizacin y que se

han activado en el portal de asistencia tcnica, haga clic en Recuperar claves de licencia
del servidor de licencias.
Para habilitar suscripciones adquiridas que requieren un cdigo de autorizacin y que no

se han activado anteriormente en el portal de asistencia tcnica, haga clic en Activar
caracterstica mediante cdigo de autorizacin. Introduzca su cdigo de autorizacin y
haga clic en ACEPTAR.
Si el cortafuegos no tiene conexin con el servidor de licencias y desea cargar claves de

licencia manualmente, realice los siguientes pasos:
a. Obtenga un archivo de claves de licencia en http://support.paloaltonetworks.com.

b. Guarde el archivo de claves de licencia localmente.
c. Haga clic en Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Aspectos importantes que hay que tener en cuenta al instalar una licencia
Si no puede activar el filtro de URL mediante la interfaz web, hay disponibles comandos de la
CLI. Consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS para obtener
ms informacin.
Actualizacin/desactualizacin del software PAN-OS

Dispositivo > Software
Para actualizar a una nueva versin del software PAN-OS, puede ver las versiones ms
recientes del software PAN-OS disponibles en Palo Alto Networks, leer las notas de versin
de cada versin y, a continuacin, seleccionar la versin que desee descargar e instalar (se
requiere una licencia de asistencia tcnica).
Realice cualquiera de las siguientes funciones en esta pgina Software:
Haga clic en Actualizar para ver las versiones ms recientes del software disponibles en
Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios de una versin y
la ruta de migracin para instalar el software.
No puede saltar una versin con caractersticas y debe tener una imagen base descargada
Palo Alto Networks
antes de actualizar desde una versin con caractersticas a una versin de mantenimiento
en una versin con caractersticas posterior. Esto se debe al hecho de que la versin de
mantenimiento no contiene la totalidad del software, nicamente los cambios realizados
desde la versin de la imagen base, de modo que se necesita la imagen base para la
actualizacin. Por ejemplo, si actualiza desde 4.0.12 a 4.1.7, deber descargar (no instalar)
la imagen base 4.1.0 para que la actualizacin de la versin de mantenimiento 4.1.7 pueda
acceder a los archivos de la imagen base 4.1.0. Si desea actualizar desde una versin a una
versin con caractersticas que se encuentra dos niveles por encima, deber actualizar a
cada versin con caractersticas. Por ejemplo, si desea actualizar desde 4.0 a 5.0, debe
actualizar desde 4.0 a 4.1 y, a continuacin, desde 4.1 a 5.0.
Puede eliminar los archivos de la imagen base al finalizar la actualizacin, pero no es
recomendable, ya que necesitar la imagen base al actualizar a la siguiente versin de
mantenimiento. nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando 4.1,
probablemente no necesitar las imgenes base de 3.1 y 4.0, a menos que tenga la
intencin de desactualizar el software a dichas versiones.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Durante la instalacin, se le preguntar si desea reiniciar cuando finalice la instalacin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
cortafuegos. Si selecciona dicha opcin, el cortafuegos se reiniciar.
Cuando actualice a una versin con caractersticas (en la que cambie el primero o el
segundo dgito de la versin de PAN-OS; p. ej., de 4.0 a 4.1. o de 4.1 a 5.0), ver un
mensaje cuando haga clic en Instalar que le indicar que est a punto de actualizar una
versin con caractersticas. Debera asegurarse de que realiza una copia de seguridad de
su configuracin actual, ya que una versin con caractersticas puede migrar
determinadas configuraciones para admitir nuevas caractersticas. Consulte
Desactualizacin del software PAN-OS en la pgina 57.
Haga clic en Cargar para instalar una versin que ha almacenado anteriormente en su
equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde archivo.
Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en ACEPTAR
para instalar la imagen.
Haga clic en el icono de eliminacin
para eliminar una versin obsoleta.
Aspectos que hay que tener en cuenta al actualizar el software PAN-OS
Al actualizar desde una versin anterior de PAN-OS, siga la ruta recomendada a la

versin ms reciente, como se describe en las notas de versin.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 4.0 a
4.1. o de 4.1 a 5.0), puede que se migre la configuracin para admitir nuevas
caractersticas. Si est habilitada la sincronizacin de sesiones, las sesiones no se
sincronizarn si un dispositivo del clster tiene una versin con caractersticas de PANOS diferente.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del cortafuegos no est actualizado, puede que el dispositivo
Palo Alto Networks
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
Actualizacin de PAN-OS en una configuracin de alta

disponibilidad
Esta seccin proporciona informacin sobre cmo actualizar el software PAN-OS con una
configuracin de alta disponibilidad (HA) en modos activo/pasivo y activo/activo.
Si est habilitada la sincronizacin de sesiones, las sesiones no se sincronizarn si un
dispositivo del clster tiene una versin con caractersticas de PAN-OS diferente. Si se
requiere continuidad de sesin, deber permitir TCP no sincronizado temporalmente
mientras se reconstruye la tabla de sesin.
Para obtener informacin sobre las configuraciones de alta disponibilidad (HA), consulte
Alta disponibilidad en la pgina 102. Para ver el estado general de su configuracin de alta
disponibilidad (HA), vaya a la pestaa Panel y visualice el widget Alta disponibilidad. Si no
se muestra el widget, haga clic en el enlace desplegable Widgets y seleccione Sistema > Alta
disponibilidad.
Los siguientes pasos dan por hecho que est actualizando a una nueva versin con
caractersticas. Se pueden utilizar los mismos procedimientos para una versin de
mantenimiento, pero en ese caso, si se ha habilitado la sincronizacin de sesiones, no hay
ninguna interrupcin en dicho proceso mientras ambos dispositivos sean funcionales.
Asimismo, la versin de mantenimiento de revisin ms reciente del par no dejar de ser
funcional como en el caso de una versin con caractersticas.
Para actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas:
Nota: En los siguientes pasos se aplican los modos activo/pasivo y activo/activo y
la terminologa es diferente. En el modo activo/pasivo, tiene un dispositivo activo y
pasivo. En el modo activo/activo, tiene un dispositivo principal activo y un
dispositivo secundario activo y ambos dispositivos pasan trfico cuando el clster
es funcional.
1.
Lea Actualizacin/desactualizacin del software PAN-OS en la pgina 54 para obtener

informacin general y notas importantes sobre el proceso de actualizacin.
2.
Guarde una copia de seguridad del archivo de configuracin actual de ambos

dispositivos desplazndose hasta la pestaa Dispositivo > Configuracin > Operaciones
y seleccione Exportar instantnea de configuracin con nombre, seleccione runningconfig.xml y, a continuacin, haga clic en ACEPTAR para guardar el archivo de
configuracin en su equipo.
3.
Actualice el cortafuegos secundario pasivo/activo (dispositivo B) a la nueva versin con

caractersticas de PAN-OS y, a continuacin, reinicie para completar la instalacin.
Despus de reiniciar, el dispositivo no ser funcional hasta que no se suspenda el
dispositivo A (principal activo/activo).
Si est habilitada la sincronizacin de sesiones, puede ejecutar el comando de operacin
set session tcp-reject-non-syn no. Esto reconstruir la tabla de sesin y las sesiones
anteriores a la actualizacin continuarn. Una vez ambos dispositivos tengan la misma
versin con caractersticas, ejecute set session tcp-reject-non-syn yes para
habilitar esta opcin.
En el modo activo/pasivo, si se configura la opcin preferente, el dispositivo pasivo
actual revertir a activo cuando finalice la sincronizacin de estado.
Palo Alto Networks
4.
Suspenda el cortafuegos principal activo/activo (dispositivo A), que obligar a que el

cortafuegos secundario pasivo/activo (dispositivo B) sea funcional. En este punto, la
sincronizacin de sesiones se detendr debido al hecho de que ambos dispositivos no
tienen la misma versin con caractersticas de PAN-OS. Asegrese de que el dispositivo B
es funcional y pasa trfico antes de continuar con la actualizacin del dispositivo A.
5.
Actualice el dispositivo A a la nueva versin de PAN-OS y, a continuacin, reinicie el

dispositivo para completar la instalacin. Cuando el dispositivo A vuelva a activarse,
deberan reanudarse todas las funciones de alta disponibilidad (HA), incluida la
sincronizacin de sesiones.
Si permite TCP no sincronizado, como se indica en el Paso 3, podr revertir al estado
anterior ejecutando set session tcp-reject-non-syn yes.
6.
Verifique que el dispositivo activo pasa trfico visualizando Supervisar > Explorador de
sesin o ejecutando show session all desde la CLI.
Tambin puede comprobar el estado de la alta disponibilidad (HA) en el dispositivo
ejecutando show high-availability all | match reason. Si se trata de una
configuracin activa/activa, compruebe que ambos dispositivos pasan trfico.
Para comprobar la sincronizacin de sesiones, ejecute show high-availability
interface ha2. En la tabla Contadores de la interfaz de hardware ledos desde la CPU
compruebe que los contadores van aumentando. En una configuracin activa/pasiva, el
dispositivo activo nicamente mostrar paquetes transmitidos y el dispositivo pasivo
nicamente mostrar paquetes recibidos. En el modo activo/activo, ver paquetes
recibidos y paquetes transmitidos de ambos dispositivos.
Desactualizacin del software PAN-OS

Si necesita desactualizar el software PAN-OS, deber seguir diferentes pasos segn el tipo de
versin de PAN-OS (con caractersticas o de mantenimiento). En una versin con
caractersticas (en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej.,
de 4.0 a 4.1. o de 4.1 a 5.0), puede que se migre la configuracin para admitir nuevas
caractersticas, as que no debera desactualizar a menos que tambin restablezca la
configuracin de la versin anterior. Las versiones de mantenimiento pueden desactualizarse
sin tener que preocuparse por restablecer la configuracin.
Desactualizacin de la versin de mantenimiento en la seccin siguiente
Desactualizacin de la versin con caractersticas en la pgina 58
PRECAUCIN: Se recomienda que desactualice a una configuracin que

coincida con la versin del software. El software y las configuraciones que
no coincidan pueden provocar desactualizaciones fallidas o incluso forzar el
modo de mantenimiento en el sistema. Esto nicamente es aplicable a una
desactualizacin de una versin con caractersticas a otra, no a versiones de
mantenimiento.
Si tiene algn problema con una desactualizacin, puede que deba entrar en
el modo de mantenimiento y restablecer el dispositivo a los valores
predeterminados de fbrica y, a continuacin, restablecer la configuracin
del archivo de configuracin original que se export antes de la
actualizacin.
Palo Alto Networks
Desactualizacin de la versin de mantenimiento

Una versin de mantenimiento es aquella en la que cambia el tercer dgito de los nmeros de
la versin (de 4.1.4 a 4.1.5 o de 5.0.0 a 5.0.1). Cuando actualiza de una versin de
mantenimiento a otra no hay cambios en las funciones, as que no es necesario restablecer la
configuracin durante la desactualizacin.
Para desactualizar a una versin de mantenimiento anterior:
1.
Guarde una copia de seguridad del archivo de configuracin actual desplazndose hasta
la pestaa Dispositivo > Configuracin > Operaciones y seleccione Exportar
instantnea de configuracin con nombre, seleccione running-config.xml y, a
continuacin, haga clic en ACEPTAR para guardar el archivo de configuracin. Esta copia
de seguridad se puede utilizar para restablecer la configuracin si tiene problemas con la
desactualizacin y necesita realizar un restablecimiento de fbrica.
2.
Desplcese hasta Dispositivo > Software y ver la pgina de software que enumera todas
las versiones de PAN-OS que se pueden descargar o que ya se han descargado.
3.
Para desactualizar a una versin de mantenimiento anterior, haga clic en Instalar en la

columna Accin de la versin deseada. Si la versin que desea utilizar muestra
Descargar, haga clic en el enlace Descargar para recuperar el paquete de software y, a
continuacin, haga clic en Instalar.
4.
Despus de desactualizar PAN-OS, haga clic en ACEPTAR para reiniciar el dispositivo y

activar la nueva versin.
Desactualizacin de la versin con caractersticas

Una versin con caractersticas es aquella en la que cambia el primero o el segundo dgito de
los nmeros de la versin (de 4.0 a 4.1 o de 4.1 a 5.0). Cuando actualiza de una versin con
caractersticas a otra, puede que cambie la configuracin para admitir nuevas caractersticas.
Debido a este hecho, deber restablecer la copia de seguridad de su configuracin que se cre
antes de actualizar el dispositivo a una versin con caractersticas. En cuanto a PAN-OS 4.1, la
copia de seguridad de esta configuracin se crea automticamente al actualizar a una versin
con caractersticas.
Para desactualizar a una versin con caractersticas anterior:
Nota: Es importante tener en cuenta que este procedimiento restablecer
en su dispositivo la configuracin que estaba instalada antes de la
actualizacin a una versin con caractersticas. Los cambios realizados
desde ese momento se perdern, as que es importante crear una copia de
seguridad de su configuracin actual en el caso de que desee restablecer
dichos cambios cuando vuelva a la versin ms reciente.
1.
Guarde una copia de seguridad del archivo de configuracin actual desplazndose hasta
la pestaa Dispositivo > Configuracin > Operaciones y seleccione Exportar
instantnea de configuracin con nombre, seleccione running-config.xml y, a
continuacin, haga clic en ACEPTAR para guardar el archivo de configuracin. Esta copia
de seguridad se puede utilizar para restablecer la configuracin si tiene problemas con la
desactualizacin y necesita realizar un restablecimiento de fbrica.
Palo Alto Networks
2.
Para desactualizar a una versin con caractersticas anterior, deber ubicar la versin con
caractersticas anterior desplazndose hasta Dispositivo > Software y explorando la
pgina que contiene la versin. Consulte Ilustracin 2.
3.
Haga clic en Instalar en la columna Accin de la versin con caractersticas. Si la versin

que desea utilizar muestra Descargar, haga clic en el enlace Descargar para recuperar el
paquete de software y, a continuacin, haga clic en Instalar.
4.
Ver un mensaje que le permitir seleccionar una configuracin que se utilizar tras
reiniciar el dispositivo. En la mayora de los casos, como se trata de una desactualizacin
de la versin con caractersticas, querr seleccionar la configuracin guardada
automticamente que se cre cuando el dispositivo se actualiz a la siguiente versin con
caractersticas. Por ejemplo, si est ejecutando PAN-OS 5.0 y desea desactualizar a PANOS 4.1, haga clic en Instalar en la columna Accin y, a continuacin, en la lista
desplegable Seleccionar un archivo de configuracin para desactualizacin, seleccione
Almacenamiento automtico de 4.1.0, como se muestra en la Ilustracin 2.
Ilustracin 2. Desactualizacin a una versin con caractersticas anterior

5.
Despus de instalar PAN-OS, haga clic en ACEPTAR para reiniciar el dispositivo y

activar la nueva versin. A continuacin, la versin con caractersticas de PAN-OS
seleccionada y la configuracin se activarn.
Nota: En el caso de versiones anteriores a 4.1, puede que necesite realizar un
restablecimiento de fbrica y restablecer el dispositivo; por ejemplo,
desactualizacin de 4.0 a 3.1.
Palo Alto Networks
Actualizacin de definiciones de aplicaciones y amenazas
Actualizacin de definiciones de aplicaciones y

amenazas
Dispositivo > Actualizaciones dinmicas
Palo Alto Networks publica peridicamente actualizaciones con definiciones de aplicaciones
nuevas o revisadas, informacin sobre nuevas amenazas de seguridad, como firmas de
antivirus (se necesita una licencia de prevencin de amenazas), criterios de filtrado de URL,
actualizaciones de datos de GlobalProtect y firmas de WildFire (se necesita una suscripcin a
WildFire). Puede ver las actualizaciones ms recientes, leer las notas de versin de cada
actualizacin y, a continuacin, seleccionar la actualizacin que desee descargar e instalar.
Tambin puede revertir a una versin de una actualizacin instalada anteriormente.
Realice cualquiera de las siguientes funciones en esta pgina:
Haga clic en Comprobar ahora para obtener la informacin ms reciente de Palo Alto
Networks.
Haga clic en Instalar en la columna Accin para actualizar a dicha versin.
Haga clic en Revertir para que una versin vuelva a dicha versin.
Haga clic en Notas de versin para ver una descripcin de una actualizacin.
Haga clic en Cargar para instalar un archivo que ha almacenado anteriormente en su

equipo. Explore y seleccione el archivo y haga clic en Instalar desde archivo. Elija el
archivo que acaba de seleccionar en la lista desplegable y haga clic en ACEPTAR para
instalar.
Haga clic en el enlace Programacin para programar actualizaciones automticas.

Especifique la frecuencia y sincronizacin de las actualizaciones y si la actualizacin se
descargar e instalar o nicamente se descargar. Si selecciona nicamente descargar,
puede instalar la actualizacin descargada haciendo clic en el enlace Instalar en la
columna Accin de la pgina Actualizaciones dinmicas. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar una compilacin.
Tambin puede indicar la persistencia del contenido (nmero de horas) para que la accin
tenga lugar y si la carga debe sincronizarse con cortafuegos peer.
Funciones, perfiles y cuentas de administrador

El cortafuegos admite las siguientes opciones para autenticar a usuarios administrativos que
intentan iniciar sesin en el cortafuegos:
Base de datos local: La informacin de inicio de sesin y contrasea de usuario se

introduce directamente en la base de datos del cortafuegos.
RADIUS: Se utilizan servidores Remote Authentication Dial In User Service (RADIUS)

existentes para autenticar a los usuarios.
LDAP: Se utilizan servidores Lightweight Directory Access Protocol (LDAP) existentes

para autenticar a los usuarios.
Kerberos: Se utilizan servidores Kerberos existentes para autenticar a los usuarios.
Palo Alto Networks
Certificado de cliente: Se utilizan certificados de cliente existentes para autenticar a los

usuarios.
Cuando crea una cuenta administrativa, debe especificar autenticacin local o certificado de
cliente (sin perfil de autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP,
Kerberos o autenticacin de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticacin del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta de
administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:
Para obtener instrucciones sobre cmo configurar perfiles de autenticacin, consulte

Configuracin de perfiles de autenticacin en la pgina 68.
Para obtener instrucciones sobre cmo configurar perfiles de funciones, consulte

Definicin de funciones de administrador en la pgina 63.
Para obtener instrucciones sobre cmo configurar cuentas de administrador, consulte

Creacin de cuentas administrativas en la pgina 65.
Para obtener informacin sobre redes privadas virtuales (VPN) SSL, consulte
Configuracin de GlobalProtect en la pgina 367.
Para obtener instrucciones sobre cmo definir dominios de sistemas virtuales para
administradores, consulte Especificacin de dominios de acceso para administradores
en la pgina 67.
Para obtener instrucciones sobre cmo definir perfiles de certificado para

administradores, consulte Perfil del certificado en la pgina 97.
Requisitos de nombre de usuario y contrasea

La tabla siguiente enumera los caracteres vlidos que se pueden utilizar en nombres de
usuario y contraseas para cuentas de PAN-OS y Panorama.
Nota: Las restricciones siguientes se aplican a PAN-OS 3.1 y posterior.
Palo Alto Networks
Tabla 7 Caracteres vlidos para nombres de usuario y contraseas

Tipo de cuenta
Restricciones
Conjunto de
caracteres de
contrasea
No hay ninguna restriccin en los conjuntos de caracteres de los campos de

contrasea.
Administrador
remoto, VPN SSL o
portal cautivo
Los siguientes caracteres no estn permitidos para el nombre de usuario:

Acento grave (`)
Corchetes angulares (< y >)
Y comercial (&)
Asterisco (*)
Arroba (@)
Signos de interrogacin ( y ?)
Barra vertical (|)
Barra invertida (\)
Punto y coma ( '; ')
Comillas ( y )
Signo del dlar ($)
Parntesis (( y ))
Dos puntos (:)
Cuentas de
administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario
locales:
Arroba (@)
Acento circunflejo (^)
Corchete de apertura ([)
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Corchete de cierre (])
Signo de ms (+)
Signo del dlar ($)
Nota: El sistema no impone restricciones sobre el conjunto de caracteres de la

pgina de respuesta.
Palo Alto Networks
Definicin de funciones de administrador

Dispositivo > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cmo aadir cuentas de administrador, consulte Creacin
de cuentas administrativas en la pgina 65.
Tambin hay tres funciones de administrador predefinidas que se pueden utilizar con fines de
criterios comunes. Primero utiliza la funcin Superusuario para la configuracin inicial del
dispositivo y para crear las cuentas de administrador para el administrador de seguridad, el
administrador de auditora y el administrador criptogrfico. Una vez se hayan creado las
cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas,
podr iniciar sesin utilizando esas cuentas. La cuenta Superusuario predeterminada en el
modo CC o FIPS es admin y la contrasea predeterminada es paloalto. En el modo de
funcionamiento estndar, la contrasea predeterminada de admin es admin. Las funciones de
administrador predefinidas se han creado donde las capacidades no se solapan, excepto en
que todas tienen un acceso de solo lectura a la traza de auditora (excepto el administrador de
auditora con acceso de lectura/eliminacin completo). Estas funciones de administrador no
se pueden modificar y se definen de la manera siguiente:
Administrador de auditora: El administrador de auditora es responsable de la revisin

regular de los datos de auditora del cortafuegos.
Administrador criptogrfico: El administrador criptogrfico es responsable de la

configuracin y el mantenimiento de los elementos criptogrficos relacionados con el
establecimiento de conexiones seguras con el cortafuegos.
Administrador de seguridad: El administrador de seguridad es responsable del resto de

tareas administrativas (p. ej., la creacin de la poltica de seguridad del cortafuegos) no
asumidas por las otras dos funciones administrativas.
Tabla 8. Configuracin de funciones de administrador

Campo
Descripcin
Nombre
Introduzca un nombre para identificar esta funcin de administrador (de

hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.
Descripcin
Introduzca una descripcin opcional de la funcin (de hasta 255 caracteres).
Funcin
Seleccione el mbito general de responsabilidad administrativa en la lista

desplegable.
Palo Alto Networks
Tabla 8. Configuracin de funciones de administrador (Continuacin)

Campo
Descripcin
Interfaz de usuario web
Haga clic en los iconos de reas especificadas para indicar el tipo de

acceso permitido
para la interfaz web:
Acceso de lectura/escritura a la pgina indicada.
Acceso de solo lectura a la pgina indicada.
Sin acceso a la pgina indicada.
Funcin de CLI
Seleccione el tipo de funcin para el acceso a la CLI:

Deshabilitar: El acceso a la CLI del dispositivo no est permitido.
Superusuario: El acceso al dispositivo actual es completo.
Superlector: El acceso al dispositivo actual es de solo lectura.
Deviceadmin: El acceso a un dispositivo seleccionado es completo,
excepto al definir nuevas cuentas o sistemas virtuales.
Devicereader: El acceso a un dispositivo seleccionado es de solo lectura.
Definicin de perfiles de contrasea

Dispositivo > Perfiles de la contrasea
Los perfiles de contrasea le permiten establecer requisitos de contrasea bsicos para una
cuenta local individual. Si habilita Complejidad de contrasea mnima, que proporciona
requisitos de contrasea para todas las cuentas locales, este perfil de contrasea cancelar esos
ajustes. Consulte Complejidad de contrasea mnima en la pgina 38 para obtener ms
informacin y consulte Requisitos de nombre de usuario y contrasea en la pgina 61 para
obtener informacin sobre los caracteres vlidos que se pueden utilizar para las cuentas.
Para aplicar un perfil de contrasea a una cuenta, vaya a Dispositivo > Administradores,
seleccione una cuenta y, a continuacin, seleccione el perfil en la lista desplegable Perfil de la
contrasea.
Tabla 9 Configuracin de perfil de contrasea

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil de contrasea (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Perodo necesario
para el cambio de
contrasea (das)
Perodo de
advertencia de
vencimiento (das)
Exija que los administradores cambien su contrasea con la regularidad

especificada por el nmero de das establecido, de 0 a 365 das. Por ejemplo, si
el valor se establece como 90, se pedir a los administradores que cambien su
contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das y
especificar un perodo de gracia.
Si se establece un perodo necesario para el cambio de contrasea, este ajuste
puede utilizarse para pedir al usuario que cambie su contrasea cada vez que
inicie sesin a medida que se acerque la fecha obligatoria de cambio de
contrasea (rango: 0-30 das).
Palo Alto Networks
Tabla 9 Configuracin de perfil de contrasea

Campo
Descripcin
Perodo de gracia
posterior al
vencimiento (das)
Permita que el administrador inicie sesin el nmero de das especificado

despus de que su cuenta haya vencido (rango: 0-30 das).
Inicio de sesin de
administrador
caducado
permitido
(recuento)
Permita que el administrador inicie sesin el nmero de veces especificado

despus de que su cuenta haya vencido. Por ejemplo, si el valor se ha
establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3 veces ms
antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).
Creacin de cuentas administrativas

Dispositivo > Administradores
Las cuentas de administrador controlan el acceso al cortafuegos. Cada administrador puede
tener un acceso completo o de solo lectura a un nico dispositivo o a un sistema virtual en un
nico dispositivo. La cuenta admin predefinida tiene un acceso completo.
Se admiten las siguientes opciones de autenticacin:
Autenticacin con contrasea: El usuario introduce un nombre de usuario y una

contrasea para iniciar sesin. No se necesitan certificados.
Autenticacin con certificado de cliente (web): Si selecciona esta casilla de verificacin, no

se necesitarn un nombre de usuario y una contrasea; el certificado ser suficiente para
autenticar el acceso al cortafuegos.
Autenticacin con clave pblica (SSH): El usuario puede generar un par de claves pblica
y privada en la mquina que requiere acceso al cortafuegos y, a continuacin, cargar la
clave pblica en el cortafuegos para permitir un acceso seguro sin exigir que el usuario
introduzca un nombre de usuario y una contrasea.
Nota: Para garantizar la seguridad de la interfaz de gestin del dispositivo, se
recomienda cambiar peridicamente las contraseas administrativas utilizando
una mezcla de minsculas, maysculas y nmeros. Tambin puede aplicar
Complejidad de contrasea mnima desde Configuracin > Gestin.
Tabla 10.
Configuracin de cuentas de administrador
Campo
Descripcin
Nombre
Introduzca un nombre de inicio de sesin para el usuario (de hasta

15 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, guiones y guiones bajos.
Seleccione un perfil de autenticacin para la autenticacin del

administrador de acuerdo con los ajustes del perfil de autenticacin
especificado. Este ajuste se puede utilizar para RADIUS, LDAP,
Kerberos o la autenticacin de base de datos local.
Para obtener instrucciones sobre cmo configurar perfiles de
autenticacin, consulte Configuracin de perfiles de
autenticacin en la pgina 68.
Palo Alto Networks
Tabla 10.
Configuracin de cuentas de administrador (Continuacin)
Campo
Descripcin
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Seleccione la casilla de verificacin para utilizar la autenticacin con

certificado de cliente para el acceso web. Si selecciona esta casilla de
verificacin, no se necesitarn un nombre de usuario y una
contrasea; el certificado ser suficiente para autenticar el acceso al
cortafuegos.
Nueva contrasea
Confirmar nueva contrasea
Introduzca y confirme una contrasea que haga distincin entre

maysculas y minsculas para el usuario (de hasta 15 caracteres).
Tambin puede aplicar Contrasea mnima desde

Configuracin > Gestin.
Utilizar autenticacin de clave
pblica (SSH)

clave pblica SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pblica. La clave cargada se muestra
en el rea de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y
RSA (768-4.096 bits).
Nota: Si falla la autenticacin con clave pblica, se mostrar un mensaje
de nombre de usuario y contrasea al usuario.
Funcin
Seleccione una opcin para asignar una funcin a este usuario. La

funcin determina lo que el usuario puede ver y modificar.
Si elige Dinmico, podr seleccionar cualquiera de las siguientes
funciones especificadas previamente en la lista desplegable:
Superusuario (solo lectura): El acceso al dispositivo actual es de
solo lectura.
Administrador de dispositivo: El acceso a un dispositivo
seleccionado es completo, excepto al definir nuevas cuentas o
sistemas virtuales.
Administrador de dispositivo (solo lectura): El acceso a un
dispositivo seleccionado es de solo lectura.
Administrador de Vsys: El acceso a un sistema virtual
seleccionado en un dispositivo especfico (si hay varios sistemas
virtuales habilitados) es completo.
Administrador de Vsys (solo lectura): El acceso a un sistema
virtual seleccionado en un dispositivo especfico es de solo
lectura.
Administrador basado en funcin: El acceso se basa en funciones
asignadas, como se define en Definicin de funciones de
administrador en la pgina 63.
Si elige Basado en funcin, seleccione un perfil de funcin definido
anteriormente en la lista desplegable. Para obtener instrucciones
sobre cmo definir perfiles de funciones, consulte Definicin de
funciones de administrador en la pgina 63.
Sistema virtual
Seleccione los sistemas virtuales a los que quiere que el

administrador tenga acceso y haga clic en Aadir para pasarlos del
rea Disponibles al rea Seleccionados.
Palo Alto Networks
Perfiles de autenticacin
Nota: En la pgina Administradores de Panorama para Superusuario, se

muestra un icono de bloqueo en la columna de la derecha si una cuenta est
bloqueada. El administrador puede hacer clic en el icono para desbloquear la
cuenta.
Especificacin de dominios de acceso para administradores

Dispositivo > Dominio de acceso
Utilice la pgina Dominio de acceso para especificar dominios para el acceso del
administrador al cortafuegos. El dominio de acceso est vinculado a atributos especficos del
proveedor (VSA) RADIUS y nicamente se admite si se utiliza un servidor RADIUS para la
autenticacin del administrador. Para obtener informacin sobre la configuracin de RADIUS,
consulte Configuracin de ajustes de servidor RADIUS en la pgina 71.
Cuando un administrador intenta iniciar sesin en el cortafuegos, este consulta al servidor
RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en el
servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales
definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza
RADIUS, los ajustes de dominio de acceso de esta pgina se ignorarn. Para obtener
informacin sobre los dominios de acceso de Panorama, consulte Especificacin de dominios
de acceso de Panorama para administradores en la pgina 431.
Tabla 11.
Configuracin de dominio de acceso
Campo
Descripcin
Nombre
Introduzca un nombre para el dominio de acceso (de hasta

Sistemas virtuales
Seleccione sistemas virtuales en la columna Disponibles y haga clic

en Aadir para seleccionarlos.
Nota: Los dominios de acceso nicamente son compatibles en dispositivos
que admiten sistemas virtuales.
Los perfiles de autenticacin especifican ajustes de base de datos local, RADIUS, LDAP o
Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo.
Cuando un administrador intenta iniciar sesin en el cortafuegos directamente o a travs de
una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticacin que est
asignado a la cuenta y autentica al usuario basndose en la configuracin de autenticacin.
Si el usuario no tiene una cuenta de administrador local, el perfil de autenticacin que se
especifica en la pgina Configuracin del dispositivo determina el modo en que el usuario se
autentica (consulte Definicin de configuracin de gestin en la pgina 32):
Si especifica ajustes de autenticacin RADIUS en la pgina Configuracin y el usuario no

tiene una cuenta local en el cortafuegos, entonces el cortafuegos solicitar informacin de
autenticacin del usuario (incluida la funcin) al servidor RADIUS. El archivo de
Palo Alto Networks
diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las diversas
funciones est disponible en el sitio web de asistencia tcnica en https://
live.paloaltonetworks.com/docs/DOC-3189.
Si se especifica Ninguna como perfil de autenticacin en la pgina Configuracin,

entonces el cortafuegos deber autenticar localmente al usuario de acuerdo con el perfil
de autenticacin especificado para el usuario.
Configuracin de perfiles de autenticacin

Dispositivo > Perfil de autenticacin
Utilice la pgina Perfil de autenticacin para configurar ajustes de autenticacin que podrn
aplicarse a cuentas para gestionar el acceso al cortafuegos.
Tabla 12. Configuracin de perfiles de autenticacin

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El

nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos.
Compartido
Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta

casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.
Tiempo de bloqueo
Introduzca el nmero de minutos que se bloquea a un usuario si se alcanza

el nmero de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo es efectivo mientras que no se desbloquee
manualmente.
Intentos fallidos

permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningn lmite.
Lista de permitidas
Especifique a los usuarios y grupos que tienen permiso explcito para

autenticar. Haga clic en Editar lista de permitidos y realice cualquiera de
las siguientes acciones:
Seleccione la casilla de verificacin junto al usuario o grupo de usuarios
adecuado en la columna Disponibles y haga clic en Aadir para aadir
sus selecciones a la columna Seleccionados.
Utilice la casilla de verificacin Todos para aplicarlo a todos los usuarios.
Introduzca los primeros caracteres de un nombre en el campo Bsqueda
para enumerar a todos los usuarios y grupos de usuarios que comienzan
por esos caracteres. Al seleccionar un elemento de la lista, se establece la
casilla de verificacin en la columna Disponibles. Repita este proceso
todas las veces que sea necesario y, a continuacin, haga clic en Aadir.
Para eliminar usuarios o grupos de usuarios, seleccione las casillas de
verificacin adecuadas en la columna Seleccionados y haga clic en
Eliminar o seleccione Cualquiera para borrar a todos los usuarios.
Palo Alto Networks
Tabla 12. Configuracin de perfiles de autenticacin (Continuacin)

Campo
Autenticacin
Descripcin
Seleccione el tipo de autenticacin:
Ninguna: No utilice ninguna autenticacin del cortafuegos.
Base de datos local: Utilice la base de datos de autenticacin del
cortafuegos.
RADIUS: Utilice un servidor RADIUS para la autenticacin.
LDAP: Utilice LDAP como mtodo de autenticacin.
Kerberos: Utilice Kerberos como mtodo de autenticacin.
Perfil de servidor
Si selecciona RADIUS, LDAP o Kerberos como mtodo de autenticacin,

elija el servidor de autenticacin en la lista desplegable. Los servidores se
configuran en las pginas Servidor. Consulte Configuracin de ajustes de
servidor RADIUS en la pgina 71, Configuracin de ajustes de servidor
LDAP en la pgina 72 y Configuracin de ajustes de Kerberos
(autenticacin nativa de Active Directory) en la pgina 73.
Atributo de inicio de
sesin
Si ha seleccionado LDAP como mtodo de autenticacin, introduzca el

atributo de directorio LDAP que identifica de manera exclusiva al usuario.
Aviso de caducidad de
contrasea
Si ha seleccionado LDAP como mtodo de autenticacin, introduzca un

nmero de das antes de la caducidad de la contrasea, en cuyo momento
se enviar un mensaje automatizado al usuario. Si el campo se deja en
blanco, no se proporcionar ninguna advertencia. Esta funcin se admite
en las siguientes bases de datos: Active Directory, eDirectory y Sun ONE
Directory.
Este ajuste se utiliza para VPN SSL. Para obtener ms informacin,
consulte Configuracin de GlobalProtect en la pgina 367.
Puede personalizar el mensaje de advertencia de caducidad como parte de
la pgina de inicio de sesin de VPN SSL editando la secuencia de
comandos
<SCRIPT>
function getPassWarnHTML(expdays)
{
var str = "Su contrasea caducar en " + expdays + "
das";
return str;
}
</SCRIPT>
Al cambiar el valor de la variable str, se cambia el mensaje mostrado.
Creacin de una base de datos de usuario local

Puede establecer una base de datos local en el cortafuegos para almacenar informacin de
autenticacin para usuarios con acceso remoto, administradores de dispositivos y usuarios de
portal cautivo. No se requiere ningn servidor de autenticacin externo con esta
configuracin, de modo que toda la gestin de cuentas se realiza en el dispositivo o desde
Panorama.
Al configurar el portal cautivo, primero debe crear la cuenta local, aadirla a un grupo de
usuarios y crear un perfil de autenticacin utilizando el nuevo grupo. A continuacin, debe
habilitar el portal cautivo desde Dispositivo > Autenticacin de usuario > Portal cautivo y
Palo Alto Networks
seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una poltica
desde Polticas > Portal cautivo. Para obtener ms informacin, consulte Portales cautivos
en la pgina 311.
Cmo aadir usuarios locales

Dispositivo > Base de datos de usuario local > Usuarios
Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Tabla 13. Configuracin de usuario local

Campo
Descripcin
Nombre de usuario
local
Introduzca un nombre para identificar al usuario (de hasta 31 caracteres).

El nombre hace distincin entre maysculas y minsculas y debe ser
bajos.
Ubicacin
Seleccione un sistema virtual o seleccione Compartido para que el

certificado est disponible para todos los sistemas virtuales.
Modo
Utilice este campo para especificar la opcin de autenticacin:

Contrasea: Introduzca y confirme una contrasea para el usuario.
Hash de la contrasea: Introduzca una cadena de contrasea con hash.
Habilitar
Seleccione la casilla de verificacin para activar la cuenta de usuario.
Cmo aadir grupos de usuarios locales

Dispositivo > Base de datos de usuario local > Grupos de usuarios
Utilice la pgina Grupos de usuarios locales para aadir informacin de grupo de usuarios a
la base de datos local.
Tabla 14. Configuracin de grupo de usuarios local

Campo
Descripcin
Nombre de grupo de
usuarios local
Introduzca un nombre para identificar el grupo (de hasta 31 caracteres). El

bajos.
Ubicacin

Todos los usuarios

locales
Haga clic en Aadir para seleccionar a los usuarios que desee aadir al
grupo.
Palo Alto Networks
Configuracin de ajustes de servidor RADIUS

Dispositivo > Perfiles de servidor > RADIUS
Utilice la pgina RADIUS para configurar los ajustes de los servidores RADIUS identificados
en perfiles de autenticacin. Consulte Perfiles de autenticacin en la pgina 67.
Tabla 15. Configuracin de servidor RADIUS

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).

bajos.
Ubicacin
Seleccione un sistema virtual o seleccione Compartido para que el perfil

est disponible para todos los sistemas virtuales.
nicamente uso de
administrador
Utilice este perfil de servidor nicamente para la autenticacin del

administrador.
Dominio
Introduzca el dominio del servidor RADIUS. El ajuste de dominio se utiliza

si el usuario no especifica un dominio al iniciar sesin.
Tiempo de espera
Introduzca un intervalo tras el cual vence una solicitud de autenticacin

(1-30 segundos; valor predeterminado: 3 segundos).
Reintentos
Introduzca el nmero de reintentos automticos tras un tiempo de espera

antes de que falle la solicitud (1-5; valor predeterminado: 3).
Recuperar grupo de
usuarios
Seleccione la casilla de verificacin para utilizar VSA RADIUS para definir

el grupo que ha accedido al cortafuegos.
Servidores
Configure informacin para cada servidor en el orden preferido.

Nombre: Introduzca un nombre para identificar el servidor.
Direccin IP: Introduzca la direccin IP del servidor.
Puerto: Introduzca el puerto del servidor para solicitudes de
autenticacin.
Secreto/Confirmar secreto: Introduzca y confirme una clave para
verificar y cifrar la conexin entre el cortafuegos y el servidor RADIUS.
Palo Alto Networks
Configuracin de ajustes de servidor LDAP

Dispositivo > Perfiles de servidor > LDAP
Utilice la pgina LDAP para configurar los ajustes que los servidores LDAP deben utilizar
para la autenticacin mediante perfiles de autenticacin. Consulte Perfiles de autenticacin
en la pgina 67.
Tabla 16. Configuracin de servidor LDAP

Campo
Descripcin
Nombre

bajos.
Ubicacin

nicamente uso de
administrador

administrador.
Servidores
Especifique los nombres de host, las direcciones IP y los puertos de hasta

tres servidores LDAP.
Dominio
Introduzca el nombre de dominio del servidor. Este nombre de dominio

debe ser el nombre NetBIOS del dominio y se aadir al nombre de
usuario cuando se realice la autenticacin. Por ejemplo, si su dominio es
paloaltonetworks.com, nicamente necesita introducir paloaltonetworks.
Tipo
Seleccione el tipo de servidor de la lista desplegable.
Base
Especifique el contexto raz del servidor de directorio para acotar la

bsqueda de informacin de usuario o grupo.
Enlazar DN
Especifique el nombre de inicio de sesin (nombre distintivo) del servidor

de directorio.
Enlazar contrasea/
Confirmar contrasea
de enlace
Especifique la contrasea de la cuenta de enlace. El agente guardar la

contrasea cifrada en el archivo de configuracin.
SSL
Seleccione esta opcin para utilizar comunicaciones SSL o Transport Layer

Security (TLS) seguras entre el dispositivo de Palo Alto Networks y el
servidor de directorio.
Lmite de tiempo
Especifique el lmite de tiempo impuesto al realizar bsquedas de

directorio (0-60 segundos; valor predeterminado: 30 segundos).
Enlazar lmite de
tiempo
Especifique el lmite de tiempo impuesto al conectar con el servidor de

directorio (0-60 segundos; valor predeterminado: 30 segundos).
Intervalo de reintento
Especifique el intervalo tras el cual el sistema intentar conectarse al

servidor LDAP despus de un intento fallido anterior (1-3.600 segundos).
Palo Alto Networks
Secuencia de autenticacin
Configuracin de ajustes de Kerberos (autenticacin nativa de Active Directory)

Dispositivo > Perfiles de servidor > Kerberos
Utilice la pgina Kerberos para configurar la autenticacin de Active Directory sin exigir que
los clientes inicien el servicio de autenticacin de Internet (IAS) para admitir RADIUS. La
configuracin de un servidor Kerberos permite que los usuarios autentiquen de forma nativa
a un controlador de dominio.
Despus de configurar los ajustes de Kerberos, Kerberos pasa a estar disponible como opcin
al definir perfiles de autenticacin. Consulte Perfiles de autenticacin en la pgina 67.
Puede configurar los ajustes de Kerberos para que reconozcan una cuenta de usuario con
cualquiera de los formatos siguientes, en los que el dominio y el territorio se especifican como
parte de la configuracin del servidor Kerberos:
dominio\nombre de usuario
nombreusuario@territorio
nombre de usuario
Tabla 17. Configuracin de servidor Kerberos

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).

bajos.
Ubicacin

nicamente uso de
administrador

administrador.
Dominio
Especifique la parte del nombre de host del nombre de inicio de sesin del
usuario (de hasta 127 caracteres)
Ejemplo: El nombre de cuenta de usuario usuario@ejemplo.local tiene el
territorio ejemplo.local.
Dominio
Especifique el dominio de la cuenta de usuario (de hasta 31 caracteres).
Servidores
En el caso de cada servidor Kerberos, haga clic en Aadir y especifique los

siguientes ajustes:
Servidor: Introduzca la direccin IP del servidor.

Host: Introduzca el FQDN del servidor.
Puerto: Introduzca un nmero de puerto opcional para la comunicacin
con el servidor.
En algunos entornos, las cuentas de usuario residen en varios directorios. Las cuentas de
invitados o de otro tipo tambin se pueden almacenar en directorios diferentes. Una secuencia
de autenticacin es un conjunto de perfiles de autenticacin que se aplican por orden cuando
un usuario intenta iniciar sesin en el cortafuegos. El cortafuegos siempre probar primero en
Palo Alto Networks
la base de datos local y, a continuacin, con cada perfil de la secuencia hasta identificar al
usuario. El acceso al cortafuegos se deniega nicamente si falla la autenticacin de alguno de
los perfiles de la secuencia de autenticacin.
Por ejemplo, despus de comprobar la base de datos local, puede configurar una secuencia de
autenticacin para, a continuacin, probar con RADIUS, seguido de la autenticacin LDAP.
Configuracin de secuencias de autenticacin

Dispositivo > Secuencia de autenticacin
Utilice la pgina Secuencia de autenticacin para configurar conjuntos de perfiles de
autenticacin que se prueban por orden cuando un usuario solicita acceder al cortafuegos. Se
conceder acceso al usuario si la autenticacin se realiza correctamente mediante cualquiera
de los perfiles de autenticacin de la secuencia. Para obtener ms informacin, consulte
Perfiles de autenticacin en la pgina 67.
Tabla 18. Configuracin de secuencias de autenticacin

Campo
Descripcin
Nombre de perfil

bajos.
Compartido

casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.
Tiempo de bloqueo
Introduzca el nmero de minutos que se bloquea a un usuario si se alcanza

el nmero de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo es efectivo mientras que no se desbloquee
manualmente.
Intentos fallidos

permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningn lmite.
Lista de perfiles
Seleccione los perfiles de autenticacin que deben incluirse en la secuencia

de autenticacin. Para cambiar el orden de la lista, seleccione una entrada y
haga clic en Mover hacia arriba o Mover hacia abajo.
Palo Alto Networks
Logs del cortafuegos

Supervisar > Logs
El cortafuegos proporciona logs que registran cambios de configuracin, eventos del sistema,
amenazas de seguridad y flujos de trafico. En el caso de cada log, puede habilitar logs remotos
a un servidor de Panorama y generar traps SNMP, mensajes de Syslog y notificaciones por
correo electrnico.
La siguiente tabla describe los logs y las opciones de logs.
Tabla 19 Configuracin y tipos de logs

Log
Descripcin
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Visualizacin de alarmas en la pgina 93.
Configuracin
El log Configuracin registra cada cambio de configuracin, incluida la fecha y

hora, el nombre de usuario del administrador y si el cambio se ha realizado
correctamente o ha fallado.
Todas las entradas del log Configuracin se pueden enviar a servidores de
Panorama, Syslog y de correo electrnico, pero no pueden generar traps
SNMP.
Para ver informacin detallada ampliada acerca de las entradas del log
Configuracin, pase el cursor por encima de la columna Antes del cambio o
Despus del cambio y haga clic en el smbolo de elipsis
. Se abrir una
ventana emergente que mostrar toda la informacin detallada de la entrada.
Filtrado de datos
El log Filtrado de datos registra informacin sobre las polticas de seguridad

que ayudan a evitar que informacin confidencial, como nmeros de tarjetas
de crdito o nmeros de la Seguridad Social, salgan de la zona protegida por el
cortafuegos (consulte Perfiles de filtrado de datos en la pgina 241.
Si configura un perfil de bloqueo de archivo para bloquear tipos de archivos
especficos, el tipo de archivo y el nombre de archivo aparecern en el log
Filtrado de datos, de modo que podr ver qu est bloqueado.
Coincidencias HIP
El log Coincidencias HIP enumera las solicitudes de coincidencia de perfil de

informacin de host (HIP) para GlobalProtect. Consulte Configuracin de
GlobalProtect en la pgina 367.
Sistema
El log Sistema registra cada evento del sistema, como fallos de HA, cambios de
estado de enlaces e inicios de sesin y cierres de sesin de administradores.
Cada entrada incluye la fecha y hora, la gravedad del evento y una descripcin
del evento.
Las entradas del log Sistema pueden registrarse de manera remota segn el
nivel de gravedad. Por ejemplo, puede generar traps SNMP y notificaciones
por correo electrnico nicamente para eventos crticos y de alto nivel.
Palo Alto Networks
Tabla 19 Configuracin y tipos de logs (Continuacin)

Log
Descripcin
Amenaza
El log Amenaza registra cada alarma de seguridad generada por el

cortafuegos. Cada entrada incluye la fecha y hora, el tipo de amenaza, como
un virus o infraccin de filtrado de vulnerabilidad/spyware, las zonas,
direcciones y puertos de origen y destino, el nombre de la aplicacin, la accin
y la gravedad.
Las entradas del log Amenaza pueden registrarse de manera remota segn el
nivel de gravedad definiendo perfiles de reenvo de logs y, a continuacin,
asignando los perfiles a reglas de seguridad (consulte Polticas de seguridad
en la pgina 203). Las amenazas se registran de manera remota nicamente
para el trfico que coincide con las reglas de seguridad donde se asigna el
perfil de logs.
El log Amenaza se utiliza al generar informes y en el centro de comando de
aplicacin (consulte Informes y logs en la pgina 273).
Trfico
El log Trfico puede registrar una entrada para el inicio y el final de cada
sesin. Cada entrada incluye la fecha y hora, las zonas, direcciones y puertos
de origen y destino, el nombre de la aplicacin, la regla de seguridad aplicada
a la sesin, la accin de regla (permitir, denegar o colocar), la interfaz de
entrada y salida y el nmero de bytes.
Cada regla de seguridad especifica si el inicio y/o final de cada sesin se
registran localmente para el trfico que coincide con la regla. El perfil de
reenvo de logs asignado a la regla determina si las entradas registradas
localmente tambin se registran de manera remota.
El log Trfico se utiliza al generar informes y en el centro de comando de
aplicacin (consulte Informes y logs en la pgina 273).
Filtrado de URL
El log Filtrado de URL registra entradas de filtros de URL, que bloquean el

acceso a sitios web y categoras de sitios web especficos o generan una alerta
cuando un usuario accede a un sitio web prohibidos.
Si est utilizando la base de datos de PAN y desea solicitar un cambio de
categora de URL para un sitio web, abra la informacin detallada del log
Filtrado de URL de la entrada del log deseada y haga clic en Solicitar cambio
de categorizacin. Seleccione la categora sugerida en el men desplegable,
introduzca su direccin de correo electrnico (opcional) y comentarios
(opcional) y haga clic en Enviar.
Si est utilizando la base de datos de BrightCloud, haga clic en Solicitar
cambio de categorizacin y se le enviar a la pgina de asistencia tcnica de
BrightCloud, donde podr enviar su solicitud.
(Consulte Perfiles de filtrado de URL en la pgina 235.)
WildFire
El log WildFire mostrar los resultados de los archivos analizados por

WildFire. Algunos de los campos que se mostrarn incluyen los siguientes:
Nombre de archivo, Zona de origen, Zona de destino, Atacante, Vctima y
Aplicacin.
Nota: Se requiere una suscripcin a WildFire para los logs integrados. Si no cuenta
con una suscripcin, podr ver informacin de logs utilizando el portal de WildFire en
https://wildfire.paloaltonetworks.com.
(Consulte Acerca de WildFire en la pgina 463 y Uso del portal de
WildFire en la pgina 468.)
Palo Alto Networks
Configuracin de logs
Puede configurar el cortafuegos para que enve entradas de logs a un sistema de gestin
centralizado de Panorama, destinos de traps (trap sinks) SNMP, servidores Syslog y
direcciones de correo electrnico.
La siguiente tabla describe los destinos de logs remotos.
Tabla 20 Destinos de logs remotos

Destino
Descripcin
Panorama
Todas las entradas de logs pueden reenviarse a un sistema de gestin

centralizado de Panorama. Para especificar la direccin del servidor de
Panorama, consulte Definicin de configuracin de gestin en la pgina 32.
Trap SNMP
Se pueden generar traps SNMP segn el nivel de gravedad para entradas de

los logs Sistema, Amenaza y Trfico, pero no para entradas del log
Configuracin. Para definir los destinos de traps SNMP, consulte
Configuracin de destinos de traps SNMP en la pgina 83.
Syslog
Se pueden generar mensajes de Syslog segn el nivel de gravedad para

entradas de los logs Sistema, Amenaza y Trfico, as como para todas las
entradas del log Configuracin. Para definir los destinos de Syslog, consulte
Configuracin de servidores Syslog en la pgina 84.
Correo electrnico
Se pueden generar correos electrnicos segn el nivel de gravedad para

entradas de los logs Sistema, Amenaza y Trfico, as como para todas las
entradas del log Configuracin. Para definir los servidores y las direcciones de
correo electrnico, consulte Puede configurar un formato de log
personalizado en un perfil de servidor Syslog seleccionando la pestaa
Formato de log personalizado en Dispositivo > Perfiles de servidor > Syslog.
Haga clic en el tipo de log deseado (Configuracin, Sistema, Amenaza, Trfico
o Coincidencias HIP) y, a continuacin, haga clic en los campos que desee ver
en los logs. Las tablas siguientes muestran el significado de cada campo para
cada tipo de log.. en la pgina 85.
Palo Alto Networks
Programacin de exportaciones de logs

Dispositivo > Programacin de la exportacin de logs
Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol
(FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura
entre el dispositivo y un host remoto. Los perfiles de logs contienen la informacin de
programacin y servidor FTP. Por ejemplo, puede que un perfil especifique la recogida de los
logs del da anterior cada da a las 3:00 y su almacenamiento en un servidor FTP especfico.
Al hacer clic en ACEPTAR despus de crear una nueva entrada, el nuevo perfil se aade a la
pgina Programacin de la exportacin de logs. Debe compilar el cambio para que se realice
la exportacin. Si est utilizando SCP, deber hacer clic en el botn Conexin de servidor SCP
de prueba para probar la conectividad entre el cortafuegos y el servidor SCP. Adems, deber
verificar y aceptar la clave de host del servidor SCP.
Tabla 21. Configuracin de la programacin de la exportacin de logs

Campo
Descripcin
Nombre

bajos.
No podr cambiar el nombre despus de crear el perfil.
Descripcin
Introduzca una descripcin opcional (de hasta 255 caracteres).
Habilitado
Seleccione la casilla de verificacin para habilitar la programacin de

exportaciones de logs.
Tipo de log
Seleccione el tipo de log (Trfico, Amenaza, URL, Datos o Coincidencia

HIP). El valor predeterminado es Trfico.
Hora de inicio de
exportacin
programada (a diario)
Introduzca la hora del da (hh:mm) a la que comenzar la exportacin en el

formato de 24 horas (00:00 - 23:59).
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde el

cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de
manera segura o puede utilizar FTP, que no es un protocolo seguro.
Nombre de host
Introduzca el nombre de host o direccin IP del servidor FTP que se

utilizar para la exportacin.
Puerto
Introduzca el nmero de puerto que utilizar el servidor FTP. El valor

predeterminado es 21.
Ruta
Especifique la ruta ubicada en el servidor FTP que se utilizar para

almacenar la informacin exportada.
Habilitar modo pasivo

de FTP
Seleccione la casilla de verificacin para utilizar el modo pasivo para la

exportacin. De manera predeterminada, esta opcin est seleccionada.
Nombre de usuario
Introduzca el nombre de usuario para acceder al servidor FTP. El valor

predeterminado es annimo.
Contrasea
Introduzca la contrasea para acceder al servidor FTP. No se necesita

contrasea si el usuario es annimo.
Palo Alto Networks
Definicin de la configuracin del log Configuracin

Dispositivo > Configuracin de log > Configuracin
La configuracin del log Configuracin especifica las entradas del log Configuracin que se
registran de manera remota con Panorama y se envan como mensajes de Syslog y/o
notificaciones por correo electrnico.
Tabla 22. Configuracin del log Configuracin

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para habilitar el envo de entradas del

log Configuracin al sistema de gestin centralizado de Panorama.
Trap SNMP
Para generar traps SNMP para entradas del log Configuracin, seleccione
el nombre del trap. Para especificar nuevos destinos de traps SNMP,
consulte Configuracin de destinos de traps SNMP en la pgina 83.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione un perfil de correo electrnico en el men
desplegable. Para especificar un nuevo perfil de correo electrnico,
consulte Configuracin de ajustes de notificaciones por correo
electrnico en la pgina 92.
Syslog
Para generar mensajes de Syslog para entradas del log Configuracin,

seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog en la
pgina 84.
Palo Alto Networks
Definicin de la configuracin del log Sistema

Dispositivo > Configuracin de log > Sistema
La configuracin del log Sistema especifica los niveles de gravedad de las entradas del log
Sistema que se registran de manera remota con Panorama y se envan como traps SNMP,
mensajes de Syslog y/o notificaciones por correo electrnico. El log Sistema muestra eventos
del sistema, como fallos de HA, cambios de estado de enlaces e inicios de sesin y cierres de
sesin de administradores.
Tabla 23. Configuracin del log Sistema

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para cada nivel de gravedad de las

entradas del log Sistema que se enviarn al sistema de gestin
centralizado de Panorama. Para especificar la direccin del servidor de
Panorama, consulte Definicin de configuracin de gestin en la
pgina 32.
Los niveles de gravedad son los siguientes:
Crtico: Fallos de hardware, lo que incluye la conmutacin por error de
HA y los fallos de enlaces.
Alto: Problemas graves, incluidas las interrupciones en las conexiones
con dispositivos externos, como servidores Syslog y RADIUS.
Medio: Notificaciones de nivel medio, como actualizaciones de
paquetes de antivirus.
Bajo: Notificaciones de menor gravedad, como cambios de contrasea
de usuario.
Informativo: Inicios de sesin/cierres de sesin, cambio de nombre o
contrasea de administrador, cualquier cambio de configuracin y el
resto de eventos no cubiertos por los otros niveles de gravedad.
Trap SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin de servidores Syslog en la pgina 84.
Configuracin de ajustes de notificaciones por correo electrnico en la
pgina 92.
Palo Alto Networks
Definicin de la configuracin del log Coincidencias HIP

Dispositivo > Configuracin de log > Coincidencias HIP
La configuracin del log Coincidencias HIP (perfil de informacin de host) se utiliza para
proporcionar informacin sobre las polticas de seguridad que se aplican a clientes de
GlobalProtect. Para obtener ms informacin, consulte Descripcin general en la
pgina 367.
Tabla 24. Configuracin del log Coincidencias HIP

Campo
Descripcin
Panorama

log Configuracin al sistema de gestin centralizado de Panorama.
Trap SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar nuevos destinos
de traps SNMP, consulte Configuracin de destinos de traps SNMP en
la pgina 83.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione el nombre de la configuracin de correo
electrnico que especifica las direcciones de correo electrnico adecuadas.
Para especificar una nueva configuracin de correo electrnico, consulte
Puede configurar un formato de log personalizado en un perfil de
servidor Syslog seleccionando la pestaa Formato de log personalizado
en Dispositivo > Perfiles de servidor > Syslog. Haga clic en el tipo de log
deseado (Configuracin, Sistema, Amenaza, Trfico o Coincidencias HIP)
y, a continuacin, haga clic en los campos que desee ver en los logs. Las
tablas siguientes muestran el significado de cada campo para cada tipo de
log.. en la pgina 85.
Syslog
Para generar mensajes de Syslog para entradas del log Configuracin,

seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog en la
pgina 84.
Definicin de la configuracin del log Alarma

Dispositivo > Configuracin de log > Alarmas
Utilice la pgina Alarmas para configurar las notificaciones que se envan cuando se
incumplen reglas de seguridad (o grupos de reglas) repetidas veces en un perodo de tiempo
establecido.
Tabla 25. Configuracin del log Alarma

Campo
Descripcin
Habilitar alarmas
Habilite alarmas basndose en los eventos enumerados en esta pgina.
Habilitar notificaciones
de alarmas por CLI
Habilite notificaciones de alarmas por CLI cuando se produzca una

alarma.
Habilitar notificaciones
de alarma web
Abra una ventana para mostrar alarmas en las sesiones de usuario,

incluyendo el momento en que se producen y cundo se reconocen.
Habilitar alarmas
audibles
El cortafuegos seguir reproduciendo una alarma sonora cuando existan

alarmas no reconocidas en la interfaz web o la CLI.
Palo Alto Networks
Tabla 25. Configuracin del log Alarma (Continuacin)

Campo
Descripcin
Umbral de fallo de
cifrado/descifrado
Especifique el nmero de fallos de cifrado/descifrado tras los cuales se

genera una alarma.
Umbral de alarma de
base de datos de log (%
lleno)
Genere una alarma cuando una base de datos de logs alcance el

porcentaje indicado del tamao mximo.
Lmites de poltica de
seguridad
Se genera una alarma si un puerto o una direccin IP en concreto

incumple una regla de denegacin el nmero de veces especificado en el
ajuste Umbral de infracciones de seguridad dentro del perodo
(segundos) especificado en el ajuste Perodo de tiempo de infracciones
de seguridad.
Lmites de grupos de
polticas de seguridad
Se genera una alarma si el conjunto de reglas alcanza el nmero de

infracciones del lmite de reglas especificado en el campo Umbral de
infracciones durante el perodo especificado en el campo Perodo de
tiempo de infracciones. Los incumplimientos se cuentan cuando una
sesin coincide con una poltica de denegacin explcita.
Utilice Etiquetas de poltica de seguridad para especificar las etiquetas
con las que los umbrales de lmite de reglas generarn alarmas. Estas
etiquetas estn disponibles para su especificacin al definir polticas de
seguridad.
Auditora selectiva
Nota: Estos ajustes aparecen en la pgina Alarmas nicamente en el modo

Criterios comunes.
Especifique los siguientes ajustes:
Logging especfico de CC: Permite logs ampulosos necesarios para el
cumplimiento de criterios comunes (CC).
Logs de inicios de sesin correctos: Registra los inicios de sesin
correctos en el cortafuegos por parte del administrador.
Logs de inicios de sesin incorrectos: Registra los inicios de sesin
incorrectos en el cortafuegos por parte del administrador.
Administradores suprimidos: No genera logs para los cambios que
realizan los administradores enumerados en la configuracin del
cortafuegos.
Gestin de configuracin de logs

Dispositivo > Configuracin de log > Gestionar logs
Haga clic en los enlaces de esta pgina para borrar los logs indicados.
Palo Alto Networks
Configuracin de destinos de traps SNMP
Configuracin de destinos de traps SNMP

Dispositivo > Perfiles de servidor > Trap SNMP
Para generar traps SNMP para logs Sistema, Trfico o Amenaza, debe especificar uno o ms
destinos de traps SNMP. Despus de definir los destinos de traps, podr utilizarlos para
entradas del log Sistema (consulte Definicin de la configuracin del log Sistema en la
pgina 80).
Tabla 26. Configuracin de destinos de traps SNMP

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres). El

exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Compartido

sistemas virtuales.
Versin
Seleccione la versin de SNMP o deshabilitar SNMP. El valor

predeterminado es Deshabilitado.
Configuracin de V2c
Si selecciona V2c, configure los siguientes ajustes:

Servidor: Especifique un nombre para el destino de trap SNMP (de
hasta 31 caracteres).
Gestor: Especifique la direccin IP del destino de trap.
Comunidad: Especifique la cadena de comunidad necesaria para enviar
traps al destino especificado (valor predeterminado: pblico).
Configuracin de V3
Si selecciona V3, configure los siguientes ajustes:

Servidor: Especifique el nombre del destino de trap SNMP (de hasta
31 caracteres).
Gestor: Especifique la direccin IP del destino de trap.
Usuario: Especifique el usuario de SNMP.
EngineID: Especifique el ID de motor del cortafuegos. La entrada es
una cadena con una representacin hexadecimal. El ID de motor es
cualquier nmero entre 5 y 64 bytes. Cuando se representa como una
cadena hexadecimal, tiene entre 10 y 128 caracteres (2 por cada byte)
con dos caracteres adicionales para 0x que debe utilizar como prefijo en
la cadena de entrada.
Cada cortafuegos tiene un ID de motor exclusivo, que puede obtener
utilizando un explorador de MIB para ejecutar GET para
OID 1.3.6.1.6.3.10.2.1.1.0.
Contrasea de autenticacin: Especifique la contrasea de
autenticacin del usuario (8 caracteres como mnimo, 256 caracteres
como mximo y sin restricciones de caracteres). (Se permiten todos los
caracteres.) nicamente se admite el algoritmo de hash seguro (SHA).
Contrasea priv.: Especifique la contrasea de cifrado del usuario
(8 caracteres como mnimo, 256 caracteres como mximo y sin
restricciones de caracteres). nicamente se admite el estndar de
cifrado avanzado (AES).
Palo Alto Networks
Configuracin de servidores Syslog
Nota: No elimine un destino que se utilice en algn ajuste del log Sistema o algn
perfil de logs.
MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:
SNMPv2-MIB
DISMAN-EVENT-MIB
IF-MIB
HOST-RESOURCES-MIB
ENTITY-SENSOR-MIB
PAN-COMMON-MIB
PAN-TRAPS-MIB
El conjunto completo de MIB empresariales est disponible en la seccin de documentacin

tcnica del sitio web de Palo Alto Networks en https://live.paloaltonetworks.com/community/
documentation.

Dispositivo > Perfiles de servidor > Syslog
Para generar mensajes de Syslog para logs Sistema, Configuracin, Trfico, Amenaza o
Coincidencias HIP, debe especificar uno o ms servidores Syslog. Despus de definir los
servidores Syslog, podr utilizarlos para entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema en la pgina 80).
Tabla 27. Nuevo servidor Syslog

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres). El

guiones bajos.
Compartido

sistemas virtuales.
Pestaa Servidores
Nombre
Haga clic en Aadir e introduzca un nombre para el servidor Syslog (de

Servidor
Introduzca la direccin IP del servidor Syslog.
Palo Alto Networks
Tabla 27. Nuevo servidor Syslog (Continuacin)

Campo
Descripcin
Puerto
Introduzca el nmero de puerto del servidor Syslog (el puerto estndar

es 514).
Instalaciones
Seleccione un nivel de la lista desplegable.
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le

permitir especificar un formato de log personalizado. En el cuadro de
dilogo, haga clic en un campo para aadirlo al rea Formato de log.
Otras cadenas de texto se pueden editar directamente en el rea Formato
de log. Haga clic en ACEPTAR para guardar la configuracin.
Para obtener informacin detallada sobre los campos que se pueden
utilizar para logs personalizados, consulte Descripcin de los campos
personalizados de Syslog en la pgina 85.
Escape
Especifique secuencias de escape. Utilice el cuadro Caracteres de escape

para enumerar todos los caracteres que se escaparn sin espacios.
Nota: No puede eliminar un servidor que se utilice en algn ajuste del log
Sistema o Configuracin o algn perfil de logs.
Descripcin de los campos personalizados de Syslog

Puede configurar un formato de log personalizado en un perfil de servidor Syslog
seleccionando la pestaa Formato de log personalizado en Dispositivo > Perfiles de
servidor > Syslog. Haga clic en el tipo de log deseado (Configuracin, Sistema, Amenaza,
Trfico o Coincidencias HIP) y, a continuacin, haga clic en los campos que desee ver en los
logs. Las tablas siguientes muestran el significado de cada campo para cada tipo de log..
Tabla 28 Campos de Configuracin

Campo
Significado
marcas de accin
Campo de bits que indica si el log se ha reenviado a Panorama.

Disponible en PAN-OS 4.0.0 y posterior.
administrador
Nombre de usuario del administrador que realiza la

configuracin.
detalles despus del cambio
Detalles de la configuracin despus de realizar un cambio.
detalles antes del cambio
Detalles de la configuracin antes de realizar un cambio.
hora de recepcin formateada
Hora a la que se recibi el log en el plano de gestin, mostrada en

un formato de tiempo compatible con CEF.
hora de generacin formateada

segn cef
Hora a la que se gener el log, mostrada en un formato de tiempo

compatible con CEF.
cliente
Cliente utilizado por el administrador; los valores son Web y CLI.
cmd
Comando ejecutado por el administrador; los valores son Aadir,

Duplicar, Compilar, Eliminar, Editar, Mover, Renombrar,
Establecer y Validar.
Palo Alto Networks
Tabla 28 Campos de Configuracin (Continuacin)

Campo
Significado
host
Nombre de host o direccin IP de la mquina cliente.
ruta
Ruta del comando de configuracin emitido. Puede tener una

longitud de hasta 512 bytes.
hora de recepcin
Hora a la que se recibi el log en el plano de gestin.
resultado
Resultado de la accin de configuracin. Los valores son

Enviada, Correctamente, Fallo y No autorizado.
nmero secuencial
Identificador de entrada de log de 64 bits que aumenta

secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Nmero de serie del dispositivo que gener el log.
subtipo
Subtipo del log Configuracin (no utilizado).
hora de generacin
Hora a la que se recibi el log en el plano de datos.
tipo
Especifica el tipo de log; los valores son Trfico, Amenaza,

Configuracin, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado al log Configuracin.
Tabla 29 Campos de Sistema

Campo
Significado
marcas de accin


segn cef


segn cef

compatible con CEF.
id de evento
Cadena que muestra el nombre del evento.
fmt
Descripcin detallada del evento. Puede tener una longitud de

hasta 512 bytes.
mdulo
Este campo nicamente es vlido cuando el valor del campo

Subtipo es General. Proporciona informacin adicional acerca del
subsistema que genera el log. Los valores son General, Gestin,
Autenticacin, HA, Actualizar y Bastidor.
nmero de gravedad
Nivel de gravedad como nmero entero: 1, Informativo; 2,

Bajo; 3, Medio; 4, Alto; y 5, Crtico.
objeto
Nombre del objeto asociado al log Sistema.
opaco
Descripcin detallada del evento. Puede tener una longitud de

hasta 512 bytes.
hora de recepcin
nmero secuencial

serie
Palo Alto Networks
Tabla 29 Campos de Sistema (Continuacin)

Campo
Significado
gravedad
Gravedad asociada al evento; los valores son Informativo, Bajo,

Medio, Alto y Crtico.
subtipo
Subtipo del log Sistema. Hace referencia al demonio de sistema

que genera el log; los valores son Criptogrfico, DHCP, Proxy
DNS, Denegacin de servicio, General, GlobalProtect, HA,
Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado
de URL y VPN.
hora de generacin
tipo

vsys
Sistema virtual asociado al log Sistema.
Tabla 30 Campos de Amenaza

Campo
Significado
accin
Accin realizada para la sesin; los valores son Alerta, Permitir,

Denegar, Colocar, Colocar todos los paquetes, Restablecer cliente,
Restablecer servidor, Restablecer ambos y Bloquear URL.
Consulte la tabla de campos de Accin para conocer el
significado de cada valor.
marcas de accin

aplicacin
Aplicacin asociada a la sesin.
categora
Para el subtipo URL, es la categora de URL; para el subtipo

WildFire, es el veredicto del archivo y es Malo o Bueno; para
otros subtipos, el valor es Cualquiera.

segn cef


segn cef

compatible con CEF.
tipo de contenido
Tipo de contenido de los datos de respuesta HTTP. La longitud

mxima es de 32 bytes. nicamente es aplicable cuando el
subtipo es URL. Disponible en PAN-OS 4.0.0 y posterior.
direccin
Indica la direccin del ataque: cliente a servidor o servidor a

cliente.
puerto de destino
Puerto de destino utilizado por la sesin.
destino
Direccin IP de destino de la sesin original.
ubicacin de destino
Pas de destino o regin interna para direcciones privadas. La

longitud mxima es de 32 bytes. Disponible en PAN-OS 4.0.0 y
posterior.
usuario de destino
Nombre del usuario para el que iba destinada la sesin.
marcas
Campo de 32 bits que proporciona informacin detallada sobre la

sesin. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor.
Palo Alto Networks
Tabla 30 Campos de Amenaza (Continuacin)

Campo
Significado
de
Zona de origen de la sesin.
entrante si
Interfaz de origen de la sesin.
conjunto de logs
Perfil de reenvo de logs aplicado a la sesin.
varios
El URI real cuando el subtipo es URL; Nombre de archivo o Tipo

de archivo cuando el subtipo es Archivo; Nombre de archivo
cuando el subtipo es Virus; y Nombre de archivo cuando el
subtipo es WildFire. La longitud es de 63 caracteres en versiones
de PAN-OS anteriores a 4.0. A partir de la versin 4.0, tiene una
longitud variable con un mximo de 1.023 caracteres.
nat de puerto de destino
NAT de puerto de destino posterior.
nat de destino
Si se ejecuta un NAT de destino, es el NAT de direccin IP de

destino posterior.
nat de puerto de origen
NAT de puerto de origen posterior.
nat de origen
Si se ejecuta un NAT de origen, es el NAT de direccin IP de

origen posterior.
nmero de gravedad
Nivel de gravedad como nmero entero: 1, Informativo; 2,

Bajo; 3, Medio; 4, Alto; y 5, Crtico.
saliente si
Interfaz de destino de la sesin.
protocolo
Protocolo IP asociado a la sesin.
hora de recepcin
recuento de repeticiones
Nmero de logs con el mismo IP de origen, IP de destino e ID de

amenaza observados en 5 segundos. Se aplica a todos los
subtipos excepto URL.
regla
Nombre de la regla con la que ha coincidido la sesin.
nmero secuencial

serie
id de sesin
Identificador numrico interno aplicado a cada sesin.
gravedad
Gravedad asociada a la amenaza; los valores son Informativo,

Bajo, Medio, Alto y Crtico.
puerto de origen
Puerto de origen utilizado por la sesin.
origen
Direccin IP de origen de la sesin original.
ubicacin de origen
Pas de origen o regin interna para direcciones privadas. La

posterior.
usuario de origen
Nombre del usuario que inici la sesin.
subtipo
Subtipo del log Amenaza; los valores son URL, Virus, Spyware,
Vulnerabilidades, Archivo, Analizar, Inundacin, Datos y
WildFire.
Palo Alto Networks
Tabla 30 Campos de Amenaza (Continuacin)

Campo
Significado
id de amenaza
Identificador de Palo Alto Networks para la amenaza. Es una

cadena de descripcin seguida de un identificador numrico
entre parntesis para algunos subtipos. El identificador numrico
es un nmero de 64 bits de PAN-OS 5.0 y posterior.
hora de generacin
Hora a la que se gener el log en el plano de datos.
hora de recepcin
para
Zona de destino de la sesin.
tipo

vsys
Sistema virtual asociado a la sesin.
WildFire
Logs generados por WildFire.
Tabla 31 Campos de Trfico

Campo
Significado
accin
Accin realizada para la sesin; los valores son Permitir o

Denegar. Consulte la tabla de campos de Accin.
marcas de accin

Disponible en PAN-OS 4.0.0.
aplicacin
Aplicacin asociada a la sesin.
bytes
Nmero total de bytes (transmitidos y recibidos) de la sesin.
bytes recibidos
Nmero de bytes en la direccin servidor a cliente de la sesin.

Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.
bytes enviados
Nmero de bytes en la direccin cliente a servidor de la sesin.

serie PA-4000.
categora
Categora de URL asociada a la sesin (si es aplicable).

segn cef


segn cef

compatible con CEF.
puerto de destino
Puerto de destino utilizado por la sesin.
destino
Direccin IP de destino de la sesin original.
ubicacin de destino
Pas de destino o regin interna para direcciones privadas. La

posterior.
usuario de destino
Nombre del usuario para el que iba destinada la sesin.
transcurrido
Tiempo transcurrido en la sesin.
Palo Alto Networks
Tabla 31 Campos de Trfico (Continuacin)

Campo
Significado
marcas
Campo de 32 bits que proporciona informacin detallada sobre la

sesin. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor. Este campo puede descodificarse
aadiendo los valores con Y y con el valor registrado.
de
Zona de origen de la sesin.
entrante si
Interfaz de origen de la sesin.
conjunto de logs
Perfil de reenvo de logs aplicado a la sesin.
nat de puerto de destino
NAT de puerto de destino posterior.
nat de destino
Si se ejecuta un NAT de destino, es el NAT de direccin IP de

destino posterior.
nat de puerto de origen
NAT de puerto de origen posterior.
nat de origen
Si se ejecuta un NAT de origen, es el NAT de direccin IP de

origen posterior.
saliente si
Interfaz de destino de la sesin.
paquetes
Nmero total de paquetes (transmitidos y recibidos) de la sesin.
paquetes recibidos
Nmeros de paquetes de servidor a cliente de la sesin.

serie PA-4000.
paquetes enviados
Nmeros de paquetes de cliente a servidor de la sesin.

serie PA-4000.
protocolo
Protocolo IP asociado a la sesin.
hora de recepcin
Nmero de sesiones con el mismo IP de origen, IP de destino,

Aplicacin y Subtipo observados en 5 segundos. Utilizado
nicamente para ICMP.
regla
Nombre de la regla con la que ha coincidido la sesin.
nmero secuencial

serie
id de sesin
Identificador numrico interno aplicado a cada sesin.
puerto de origen
Puerto de origen utilizado por la sesin.
origen
Direccin IP de origen de la sesin original.
ubicacin de origen
Pas de origen o regin interna para direcciones privadas. La

posterior.
usuario de origen
Nombre del usuario que inici la sesin.
inicio
Hora de inicio de sesin.
subtipo
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar
y Denegar. Consulte la tabla de campos de Subtipo para conocer
el significado de cada valor.
Palo Alto Networks
Tabla 31 Campos de Trfico (Continuacin)

Campo
Significado
hora de generacin
hora de recepcin
para
Zona de destino de la sesin.
tipo

vsys
Sistema virtual asociado a la sesin.
Tabla 32 Campos de Coincidencias HIP

Campo
Significado
marcas de accin


segn cef


segn cef

compatible con CEF.
nombre de mquina
Nombre de la mquina del usuario.
nombre de coincidencia
Nombre del perfil u objeto HIP.
tipo de coincidencia
Especifica si el campo HIP representa un objeto HIP o un perfil

HIP.
hora de recepcin
Nmero de veces que ha coincidido el perfil HIP.
nmero secuencial

serie
origen
Direccin IP del usuario de origen.
usuario de origen
Nombre del usuario de origen.
subtipo
Subtipo del log Coincidencias HIP (no utilizado).
hora de generacin
tipo

vsys
Sistema virtual asociado al log Coincidencias HIP.
Palo Alto Networks
Configuracin de ajustes de notificaciones por correo electrnico
Configuracin de ajustes de notificaciones por correo

electrnico
Dispositivo > Perfiles de servidor > Correo electrnico
Para generar mensajes de correo electrnico para logs, debe configurar un perfil de correo
electrnico. Despus de definir la configuracin de correo electrnico, podr habilitar las
notificaciones por correo electrnico para entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema en la pgina 80). Para obtener
informacin sobre cmo programar la entrega de informes por correo electrnico, consulte
Programacin de informes para entrega de correos electrnicos en la pgina 297.
Tabla 33. Configuracin de notificaciones por correo electrnico

Campo
Descripcin
Nombre
Introduzca un nombre para la configuracin de correo electrnico (de hasta

guiones bajos.
Compartido

sistemas virtuales.
Pestaa Servidores
Servidor
Introduzca un nombre para identificar el servidor (1-31 caracteres). Este

campo es solamente una etiqueta y no tiene que ser el nombre de host de un
servidor SMTP existente.
Mostrar nombre
Introduzca el nombre mostrado en el campo De del correo electrnico.
De
Introduzca la direccin de correo electrnico del remitente, como

alerta_seguridad@empresa.com.
Para
Introduzca la direccin de correo electrnico del destinatario.
Destinatarios adicionales
Tambin puede introducir la direccin de correo electrnico de otro

destinatario.
Puerta de enlace
Introduzca la direccin IP o el nombre de host del servidor Simple Mail

Transport Protocol (SMTP) utilizado para enviar el correo electrnico.
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin.
Escape
Incluya los caracteres de escape y especifique el carcter o los caracteres de

escape.
Nota: No puede eliminar un ajuste de correo electrnico que se utilice en algn

ajuste del log Sistema o Configuracin o algn perfil de logs.
Palo Alto Networks
Visualizacin de alarmas
Visualizacin de alarmas
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opcin Alarma est
configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas
del log de alarmas actual. Para reconocer alarmas, seleccione sus casillas de verificacin y
haga clic en Reconocer. Esta accin pasa las alarmas a la lista Alarmas de reconocimiento. La
ventana Alarmas tambin incluye controles de pginas, orden de columnas y actualizacin.
El botn Alarmas nicamente est visible cuando se selecciona la casilla de verificacin
Habilitar alarmas en la pgina Dispositivo > Configuracin de log > Alarmas >
Configuracin de alarma.
Configuracin de ajustes de flujo de red

Dispositivo > Perfiles de servidor > Flujo de red
El cortafuegos puede generar y exportar registros de la versin 9 de flujo de red con
informacin de flujo de trfico IP unidireccional a un recopilador externo. La exportacin de
flujo de red se puede habilitar en cualquier interfaz de entrada del sistema. Se definen
registros de plantillas independientes para trfico IPv4, IPv4 con NAT e IPv6. Asimismo,
tambin se pueden exportar campos especficos de PAN-OS para ID de aplicacin e ID de
usuario. Esta funcin est disponible en todas las plataformas, excepto en los modelos de la
serie PA-4000.
El cortafuegos admite las plantillas de flujo de red estndar y selecciona la correcta basndose
en los datos que se van a exportar.
Para configurar exportaciones de datos de flujo de red, defina un perfil de servidor de flujo de
red, que especifica la frecuencia de la exportacin junto con los servidores de flujo de red que
recibirn los datos exportados.
A continuacin, cuando asigne el perfil a una interfaz de cortafuegos existente, todo el trfico
que pase por dicha interfaz se exportar a los servidores especificados. Todos los tipos de
interfaces admiten la asignacin de un perfil de flujo de red. Consulte Interfaces del
cortafuegos en la pgina 135 para obtener informacin sobre cmo asignar un perfil de flujo
de red a una interfaz.
Tabla 34. Configuracin de flujo de red

Campo
Descripcin
Nombre
Introduzca un nombre para la configuracin de flujo de red (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.
Tasa de actualizacin de
plantilla
Especifique el nmero de minutos o el nmero de paquetes tras el cual se

actualizar la plantilla de flujo de red (rango de minutos: 1-3.600; valor
predeterminado: 30 min.; rango de paquetes: 1-600; valor
predeterminado: 20).
Tiempo de espera activo
Especifique la frecuencia con la que se exportarn los registros de datos

para cada sesin (minutos).
Palo Alto Networks
Importacin, exportacin y generacin de certificados de seguridad
Tabla 34. Configuracin de flujo de red (Continuacin)

Campo
Descripcin
Exportar tipos de
campos especficos de
PAN-OS
Exporte campos especficos de PAN-OS como ID de aplicacin e ID de

usuario en registros de flujo de red.
Servidores
Nombre
Especifique un nombre para identificar el servidor (de hasta

Servidor
Especifique el nombre de host o la direccin IP del servidor. Puede aadir

un mximo de dos servidores por perfil.
Puerto
Especifique el nmero de puerto para el acceso al servidor (valor

predeterminado: 2.055).
Importacin, exportacin y generacin de certificados de

seguridad
Certificados
Dispositivo > Gestin de certificados > Certificados
La pgina Certificados le permite generar los siguientes certificados de seguridad:
Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.
No fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado

cuando el servidor al que se estn conectando est firmado por una CA que no est en la
lista de CA de confianza del cortafuegos.
CA raz de confianza: El certificado est marcado como CA de confianza con fines de

descifrado de reenvo.
Cuando el cortafuegos descifra trfico, comprueba si el certificado ascendente ha sido
emitido por una CA de confianza. Si no es as, utiliza un certificado de CA no fiable
especial para firmar el certificado de descifrado. En este caso, el usuario ver la pgina de
error de certificado habitual al acceder al cortafuegos y deber desestimar la advertencia
de inicio de sesin.
El cortafuegos tiene una extensa lista de CA de confianza existentes. El certificado de CA
raz de confianza es para CA adicionales que son fiables para su empresa pero que no
forman parte de la lista de CA fiables preinstalada.
Palo Alto Networks
Exclusin de SSL: Este certificado excluye las conexiones si se encuentran durante el

descifrado de proxy de reenvo SSL.
Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificacin para
un certificado, el cortafuegos utilizar este certificado para todas las sesiones de gestin
basadas en web futuras tras la prxima operacin de compilacin.
Realice cualquiera de las siguientes funciones en la pgina Certificados:
Para revocar un certificado:
a. Seleccione el certificado que desee revocar.

b. Haga clic en Revocar e inmediatamente se establecer el estado revocado para el
certificado. No es necesario realizar una compilacin.
Tambin puede hacer clic en un certificado existente y hacer clic en el icono Revocar.
Para renovar un certificado:
a. Seleccione el certificado que desee renovar.

b. Haga clic en Renovar y, a continuacin, establezca el nmero de das que se ampliar
el certificado y haga clic en ACEPTAR. Se generar un nuevo certificado con los
mismos atributos pero con un nuevo nmero de serie. A continuacin, el nuevo
certificado sustituir al certificado anterior.
Para importar un certificado de interfaz web, CA de confianza o proxy de reenvo SSL:
a. Haga clic en Importar.

b. Introduzca un nombre para identificar el certificado.
c. Seleccione el archivo de certificado. Si est importando un certificado PKCS #12 y una
clave privada, este ser el nico archivo que contiene a ambos objetos. Si utiliza PEM,
este ser nicamente el certificado pblico.
d. Haga clic en la casilla de verificacin Importar clave privada para cargar la clave
privada e introducir la frase de contrasea dos veces. Si utiliza PKCS #12, el archivo
de clave se seleccion anteriormente. Si utiliza PEM, explore hasta el archivo de clave
privada cifrada (por lo general, denominado *.key).
e. Seleccione el sistema virtual al que desea importar el certificado de la lista

desplegable.
Para exportar un certificado:
a. Seleccione el certificado que desee exportar.

b. Haga clic en Exportar.
c. Seleccione el formato de archivo que desea que utilice el certificado exportado (.pfx
para PKCS#12 o .pem).
d. Seleccione la casilla de verificacin Exportar clave privada e introduzca una frase de

contrasea dos veces para exportar la clave privada adems del certificado.
Palo Alto Networks
Haga clic en Guardar y seleccione una ubicacin de su equipo local en la que copiar el
archivo. Para generar un certificado:
a. Haga clic en Generar para abrir la ventana Generar certificado y especifique la

informacin descrita en la tabla siguiente.
b. Despus de generar el certificado, haga clic en el enlace del certificado y especifique el

tipo de certificado (Fiable de reenvo, No fiable de reenvo, CA raz de confianza,
Exclusin de SSL o Certificado de GUI web segura).
Nota: Si est utilizando Panorama, tambin tiene la opcin de generar un
certificado autofirmado para el servidor de Panorama. Consulte Gestin
centralizada del dispositivo mediante Panorama en la pgina 419 para obtener
informacin sobre Panorama.
Para importar claves para alta disponibilidad (HA), haga clic en Importar clave de HA y
explore para especificar el archivo de clave que se importar. Para exportar claves para
HA, haga clic en Exportar clave de HA y especifique una ubicacin en la que guardar el
archivo. Las claves de HA deben intercambiarse entre los dos cortafuegos. Dicho de otro
modo, la clave del cortafuegos 1 debe exportarse y, a continuacin, importarse al
cortafuegos 2 y viceversa.
Tabla 35. Configuracin para generar un certificado

Campo
Descripcin
Nombre del certificado
Introduzca un nombre (de hasta 31 caracteres) para identificar el

certificado. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos. Solo se requiere el nombre.
Nombre comn
Introduzca la direccin IP o FQDN que aparecer en el certificado.
Ubicacin

Firmado por
Seleccione una opcin de una lista de los certificados de CA generados en

el cortafuegos. El certificado seleccionado puede utilizarse para firmar el
certificado que se est creando.
Autoridad del
certificado
Marque este certificado como CA para que pueda utilizarse para firmar
otros certificados en el cortafuegos.
OCSP responder
Seleccione un perfil de respondedor OSCP de la lista desplegable. El

perfil est configurado en Dispositivo > Gestin de certificados > OCSP
responder. Al generar un certificado e introducir un respondedor OCSP,
se realizar una bsqueda del nombre de host de la direccin IP para
generar una URL de respondedor OCSP, que luego aparecer en esta lista
desplegable.
Nmero de bits
Seleccione la longitud de la clave del certificado.
Resumen
Seleccione el algoritmo de resumen del certificado.
Palo Alto Networks
Tabla 35. Configuracin para generar un certificado (Continuacin)

Campo
Descripcin
Vencimiento (das)
Especifique el nmero de das que el certificado ser vlido. El valor

predeterminado es de 365 das.
Si especifica un Perodo de validez en una configuracin del satlite del
portal de GlobalProtect, ese valor cancelar el valor introducido en este
campo.
Pas
Estado
Localidad
Organizacin
Departamento
Correo electrnico
Especifique de manera opcional informacin adicional para identificar el

certificado.
Para ver una lista de definiciones de cdigos de pases, haga clic en el
enlace Cdigos de pases ISO 6366.
Entidades de certificacin de confianza

Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza
Utilice esta pgina para controlar las entidades de certificacin (CA) en las que confiar el
cortafuegos. Puede deshabilitar y habilitar las CA segn sea necesario.
Tabla 36 Configuracin de entidades de certificacin de confianza

Campo
Descripcin
Habilitar
Si ha deshabilitado una CA y desea habilitarla, haga clic en la

casilla de verificacin junto a la CA y, a continuacin, haga clic en
Habilitar.
Deshabilitar
Haga clic en la casilla de verificacin junto a la CA que desee

deshabilitar y, a continuacin, haga clic en Deshabilitar. Puede
que le interese esto si solamente desea confiar en determinadas
CA o eliminarlas todas para nicamente confiar en su CA local.
Exportar
Haga clic en la casilla de verificacin junto a la CA y, a

continuacin, haga clic en Exportar para exportar el certificado
de CA. Puede realizar esta accin para importar el certificado a
otro sistema o si desea verlo fuera de lnea.

Dispositivo > Gestin de certificados > Perfil del certificado
Puede crear perfiles de certificado y, a continuacin, adjuntar un perfil a un inicio de sesin de
administrador en la pgina Configuracin o a un inicio de sesin de VPN SSL para su uso en
la autenticacin o con portales cautivos. Tambin puede crear perfiles de certificado para que
los utilicen las puertas de enlace de GlobalProtect para autenticacin. Consulte Definicin de
configuracin de gestin en la pgina 32 y Portales cautivos en la pgina 311.
Palo Alto Networks
Tabla 37. Configuracin de perfiles de certificado

Tipo de pgina
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta

nmeros, espacios, guiones y guiones bajos.
Ubicacin
Si el dispositivo est en modo de Sistema virtual mltiple,

seleccione esta casilla de verificacin para permitir su uso
compartido por todos los sistemas virtuales.
Campo de nombre de usuario
Seleccione una opcin de nombre de usuario de la lista desplegable.
Dominio
Introduzca el dominio del perfil.
Certificados de CA
Seleccione un certificado de CA de la lista desplegable, especifique

la URL de OCSP predeterminada, seleccione una opcin para
verificar el certificado de CA y haga clic en Aadir. Repita esta
accin para aadir certificados adicionales.
Se utiliza la lista desplegable Verificacin de certificado CA con
OCSP si tiene un respondedor OCSP independiente que puede
verificar certificados.
Utilizar CRL
Seleccione la casilla de verificacin para utilizar una lista de

revocacin de certificados (CRL).
Utilizar OCSP
Seleccione la casilla de verificacin para utilizar el servidor de

protocolo de estado de certificado en lnea (OCSP). OCSP precede a
CRL.
Tiempo de espera de
recepcin de CRL
Especifique un intervalo tras el cual vencen las solicitudes de CRL

(1-60 segundos).
Tiempo de espera de
recepcin de OCSP
Especifique un intervalo tras el cual vencen las solicitudes de OCSP

(1-60 segundos).
Tiempo de espera del estado

del certificado
Especifique un intervalo tras el cual vencen las solicitudes de estado

de certificado (1-60 segundos).
Bloquear una sesin si el

estado del certificado es
desconocido
Seleccione la casilla de verificacin para bloquear una sesin si el

estado del certificado es desconocido.
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Seleccione la casilla de verificacin para bloquear una sesin si no se

puede recuperar el estado del certificado dentro del intervalo del
tiempo de espera.
Respondedor OCSP
Dispositivo > Gestin de certificados > OCSP responder
Utilice la pgina OCSP responder (respondedor de protocolo de estado de certificado en
lnea) para definir un servidor que se utilizar para verificar el estado de revocacin de
certificados emitidos por el dispositivo PAN-OS. Al generar nuevos certificados, puede
especificar el respondedor OCSP que se utilizar.
Para habilitar OCSP, vaya a Dispositivo > Configuracin > Sesiones y, bajo Caractersticas
de sesin, haga clic en Configuracin de revocacin de certificados de descifrado.
Palo Alto Networks
Tabla 38 Configuracin de respondedor OCSP

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el servidor de

respondedor OCSP (de hasta 31 caracteres). El nombre hace
distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos.
Nombre de host
Introduzca el nombre de host del servidor de respondedor OCSP

que se utilizar para comprobar el estado de revocacin de
certificados de sus dispositivos.
Cifrado de claves privadas y contraseas del cortafuegos

Dispositivo > Clave maestra y diagnstico
Utilice la pgina Clave maestra y diagnstico para especificar una clave maestra con la que
cifrar claves privadas en el cortafuegos. Las claves privadas se almacenan con un formato
cifrado de manera predeterminada aunque no se especifique una nueva clave maestra. Si el
cortafuegos est en el modo Criterios comunes, habr disponibles varias capacidades de
diagnstico criptogrfico. Estos diagnsticos le permiten ejecutar pruebas automticas
criptogrficas programadas y pruebas automticas a peticin.
Para crear una nueva clave maestra, introduzca una cadena de 16 caracteres en el campo
Nueva clave principal y, a continuacin, confirme la clave. Introduzca un valor para duracin
y recordatorio y, a continuacin, haga clic en ACEPTAR. Deber actualizar la clave maestra
antes de su vencimiento. Para obtener informacin sobre cmo actualizar claves maestras,
consulte Actualizacin de claves maestras en la pgina 100.
Configuracin de clave maestra y diagnstico en la pgina 99
Actualizacin de claves maestras en la pgina 100
Configuracin de clave maestra y diagnstico

Tabla 39. Configuracin de clave maestra y diagnstico
Campo
Descripcin
Clave maestra
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del cortafuegos.
Nueva clave principal
Para cambiar la clave maestra, introduzca y confirme una nueva clave.
Confirmar clave maestra

Duracin
Especifique el nmero de das y horas tras el cual vence la clave maestra

(rango: 1-730 das).
Tiempo para el
recordatorio
Especifique el nmero de das y horas antes del vencimiento, en cuyo

momento se notificar al usuario del vencimiento inminente
(rango: 1-365 das).
Palo Alto Networks
Tabla 39. Configuracin de clave maestra y diagnstico (Continuacin)

Campo
Descripcin
Criterios comunes
En el modo Criterios comunes, hay disponibles botones adicionales para

ejecutar una prueba automtica de algoritmos criptogrficos y una
prueba automtica de integridad del software. Tambin se incluye un
programador para especificar los momentos en los que se ejecutarn las
dos pruebas automticas.
Actualizacin de claves maestras

Al crear claves maestras nuevas, se definir un perodo de vencimiento, as que es importante
actualizar las claves antes de alcanzar el perodo de vencimiento. Al utilizar una clave maestra
con una configuracin de alta disponibilidad (HA), tambin es importante utilizar la misma
clave maestra en ambos dispositivos para garantizar que las claves privadas y los certificados
se cifran con la misma clave maestra. Si las claves maestras son diferentes, la sincronizacin de
la configuracin de HA no funcionar correctamente. La siguiente seccin describe cmo
actualizar la clave maestra si funcionan correctamente. Asimismo, se proporcionan
instrucciones por si ya han vencido o si las claves maestras de cada dispositivo del par de HA
no estn sincronizadas.
En cuanto a PAN-OS 5.0, si las claves maestras de un par de HA no coinciden, se generar un
log Sistema crtico.
Motivos para actualizar la clave maestra:
Desea cambiar la clave maestra predeterminada o cambiar una clave maestra que ha
creado.
Las claves maestras de una configuracin de HA no estn sincronizadas.
La clave maestra va a vencer pronto.
Actualizacin de claves maestras de HA (las claves estn sincronizadas y no han alcanzado la

fecha de vencimiento):
1.
Si est actualizando las claves maestras y no han vencido o siguen estando sincronizadas,
antes de actualizar las claves, deber compilar la configuracin y asegurarse de que no
existe ninguna actualizacin de configuracin pendiente en ninguno de los dos
dispositivos del par de HA.
Puede ver el estado de compilacin haciendo clic en el enlace Tareas en la parte inferior
derecha de la interfaz web de cada dispositivo. Desde la CLI, ejecute Mostrar todos
los trabajos para ver todos los trabajos que se estn ejecutando o Mostrar
trabajos pendientes para ver los trabajos pendientes. Para comprobar que no hay
actualizaciones pendientes, desde el modo de configuracin, ejecute Comprobar
cambios pendientes y debera ver No.
2.
Deshabilite la sincronizacin de configuracin desplazndose hasta Dispositivo > Alta

disponibilidad en ambos dispositivos y, desde la pestaa General, cancele la seleccin de
la casilla de verificacin Habilitar sincronizacin de configuracin. Compile la
configuracin en ambos dispositivos.
3.
Actualice la clave maestra del dispositivo A utilizando 16 caracteres y compile la

configuracin.
4.
Actualice la clave maestra del dispositivo B con la misma clave maestra y compile la
configuracin.
Palo Alto Networks
5.
Ahora las claves maestras deberan estar sincronizadas. Compruebe los logs para
asegurarse de que no hay ningn log Sistema crtico relacionado con la clave maestra.
6.
Vuelva a habilitar la sincronizacin de configuracin seleccionando la casilla de

verificacin Habilitar sincronizacin de configuracin y, a continuacin, compile la
configuracin.
Actualizacin de claves maestras de HA (claves sin sincronizacin o vencidas):

1.
Si las claves maestras no estn sincronizadas o han vencido, ver errores crticos en el log
Sistema. Si esto sucede, debera deshabilitar inmediatamente la sincronizacin de
configuracin de HA en ambos dispositivos del par de HA. Desplcese hasta
Dispositivo > Alta disponibilidad en ambos dispositivos y, desde la pestaa General,
cancele la seleccin de la casilla de verificacin Habilitar sincronizacin de
configuracin. Compile la configuracin en ambos dispositivos.
2.
Asegrese de que no haya ninguna actualizacin de configuracin pendiente en ninguno

de los dispositivos del par de HA. Si hay cambios pendientes, compile la configuracin en
ambos dispositivos y espere hasta que se hayan completado todas las actualizaciones de
configuracin.
Puede ver el estado de compilacin haciendo clic en el enlace Tareas en la parte inferior
derecha de la interfaz web de cada dispositivo. Desde la CLI, ejecute Mostrar todos
los trabajos para ver todos los trabajos que se estn ejecutando o Mostrar
trabajos pendientes para ver los trabajos pendientes. Para comprobar que no hay
actualizaciones pendientes, desde el modo de configuracin, ejecute Comprobar
cambios pendientes y debera ver No.
3.
Actualice la clave maestra del dispositivo A utilizando 16 caracteres y compile la

configuracin.
4.
Actualice la clave maestra del dispositivo B con la misma clave maestra y compile la
configuracin.
5.
Habilite la sincronizacin de configuracin en ambos dispositivos y compile la

configuracin.
6.
Ahora las claves maestras deberan estar sincronizadas. Compruebe los logs para
asegurarse de que no hay ningn log Sistema crtico relacionado con la clave maestra.
7.
Vuelva a habilitar la sincronizacin de configuracin seleccionando la casilla de

verificacin Habilitar sincronizacin de configuracin y, a continuacin, compile la
configuracin. Si los problemas persisten, pngase en contacto con el departamento de
asistencia tcnica.
Palo Alto Networks
Alta disponibilidad
Alta disponibilidad
PAN-OS admite la alta disponibilidad (HA) activa/pasiva y activa/activa.
Nota: En un par de HA, los dos cortafuegos deben tener el mismo modelo y las mismas
licencias. Si est habilitada la sincronizacin de estado, las sesiones existentes continan
despus de un intercambio; sin embargo, las funciones de prevencin de amenazas no
continan. La proteccin de amenazas se aplicar a nuevas sesiones.
HA activa/pasiva
En la configuracin activa/pasiva, dos dispositivos forman un grupo de HA para
proporcionar redundancia. Los dos cortafuegos presentan la misma configuracin. Si el
cortafuegos activo falla por cualquier motivo, el cortafuegos pasivo se convierte en activo
automticamente sin ninguna prdida de servicio. Tambin se puede producir una
conmutacin por error si fallan los enlaces Ethernet seleccionados o si el cortafuegos activo no
puede llegar a uno o ms de los destinos especificados. Desde la perspectiva de procesamiento
de trfico, como mximo un dispositivo recibe paquetes en un momento dado.
Las siguientes reglas se aplican al funcionamiento y la conmutacin por error de HA:
El cortafuegos activo sincroniza continuamente su informacin de configuracin y sesin

con el cortafuegos pasivo a travs de las interfaces de HA.
Si falla el cortafuegos activo, entonces el cortafuegos pasivo detecta la prdida de latidos y

se vuelve activo automticamente.
Si falla una interfaz de HA, la sincronizacin contina en la interfaz restante. Si se pierde

la conexin de sincronizacin de estado, entonces no se producir ninguna sincronizacin
de estado. Si se pierde la sincronizacin de configuracin, se perdern los latidos. Ambos
dispositivos determinan si el otro est inactivo y ambos se vuelven activos.
Puede configurar los puertos de gestin (MGT) en los dispositivos de HA para

proporcionar una ruta de copia de seguridad para mensajes de latidos y saludos. Si
configura HA1 o copia de seguridad de HA1 en el puerto de gestin, no tendr que
habilitar la opcin de Copia de seguridad de heartbeat.
HA activa/activa
La alta disponibilidad activa/activa permite que ambos dispositivos de un par de HA pasen
trfico simultneamente y se implementa principalmente en entornos enrutados
asimtricamente en los que se exige compatibilidad con ID de aplicacin e inspeccin de
contenidos. La inspeccin de capa 7 para ID de aplicacin e inspeccin de contenidos se
realiza en un nico dispositivo para cada sesin (ese dispositivo se conoce como propietario
de sesin). PAN-OS utiliza el reenvo de paquetes (a travs del enlace de HA3), donde sea
necesario, para enviar paquetes al propietario de sesin designado para su procesamiento.
Los dispositivos activos/activos pueden implementarse con interfaces de capa 3 o de cable virtual.
En implementaciones de capa 3, el propietario de sesin puede reenviar directamente los paquetes
examinados tras su procesamiento. En implementaciones de cable virtual, los paquetes
examinados deben devolverse al cortafuegos de destino para conservar la ruta de reenvo. Si el
propietario de sesin recibe el paquete inicialmente, el enlace de HA3 no se utiliza. Las sesiones
Palo Alto Networks
Alta disponibilidad
que no requieren ID de aplicacin e inspeccin de contenidos se reenvan directamente por parte

del dispositivo de destino (aunque no sea el propietario de sesin) para aprovechar el rendimiento
al mximo.
Para proporcionar flexibilidad, puede configurar interfaces de capa 3 de varios modos. Tenga en
cuenta que a menudo es conveniente configurar interfaces de capa 3 con una direccin IP de
interfaz esttica adems de una direccin virtual (direccin IP flotante o direccin IP de uso
compartido de carga de ARP).
IP de interfaz esttica: Deben asignarse direcciones IP estticas a las interfaces de capa 3

siempre que el cortafuegos vaya a participar en protocolos de enrutamiento dinmico con
dispositivos vecinos. Una posible opcin de implementacin activa/activa utiliza mtricas de
coste de protocolo de enrutamiento dinmico para forzar una ruta simtrica a travs del par
de HA. En este caso, todo el trfico ser simtrico y la eficacia del par activo/activo se
aprovechar al mximo.
IP flotante: Este modo se utiliza cuando se necesitan prestaciones de protocolo de

redundancia de enrutador virtual (VRRP), como cuando una direccin IP debe estar
disponible independientemente del estado de los miembros del par de HA. Es habitual
configurar dos direcciones IP flotantes en una interfaz especfica, de modo que cada
cortafuegos tenga una. La propiedad se asigna al ID de dispositivo que tenga mayor
prioridad. Si falla alguno de los cortafuegos, la direccin IP flotante pasar al peer de HA.
Uso compartido de carga de ARP: Este modo se utiliza para distribuir la carga del trfico de
host entre los dos cortafuegos utilizando el protocolo de resolucin de direcciones (ARP).
Para consultar un debate en mayor profundidad sobres estas tres opciones, consulte el debate
que se incluye ms adelante en esta seccin.
Flujo de paquetes
El flujo de paquetes funciona de la manera siguiente en una configuracin activa/activa:
El propietario de sesin es responsable de todo el procesamiento de paquetes para ID de

aplicacin e inspeccin de contenidos. El propietario de sesin puede configurarse para
que sea: (1) el primer dispositivo que recibe un paquete para la sesin o (2) el dispositivo
principal. Si la opcin de configuracin se establece como Dispositivo principal, todas
las sesiones se configurarn en el dispositivo principal.
Nota: Los logs que pasan por un par de HA activo/activo aparecen en el
dispositivo designado como propietario de sesin.
Palo Alto Networks
Alta disponibilidad
Se selecciona un nico dispositivo como dispositivo de configuracin de sesin para

todas las sesiones nuevas. Esto es necesario para evitar posibles condiciones de carrera
que pueden producirse en entornos enrutados asimtricamente. El dispositivo de
configuracin de sesin se determina a travs de uno de los siguientes mtodos:
Mdulo de IP: Utiliza un funcionamiento de mdulo sencillo en la direccin IP de
origen para determinar qu dispositivo configurar la sesin. Mdulo de IP distribuye
las responsabilidades de configuracin de sesin a un dispositivo de HA especfico de
acuerdo con la paridad de la direccin IP.
Dispositivo principal: La configuracin de sesin siempre se produce en el dispositivo
principal.
Hash: Este elemento se utiliza para que el proceso de seleccin de dispositivo de
configuracin sea aun ms aleatorio.
Cuando comienza una nueva sesin, el cortafuegos de destino configura la sesin o la

reenva al peer de HA. La accin est determinada por los ajustes de configuracin de
sesin, como se describe anteriormente. Durante este tiempo, el propietario de sesin (el
responsable del dispositivo de mantener el estado de ID de aplicacin e inspeccin de
contenidos) se determina de acuerdo con la configuracin.
Si llegan paquetes al propietario de sesin, el paquete se examina por si tiene amenazas (si
est configurado en la poltica de seguridad) y se reenva de acuerdo con la configuracin
de red del dispositivo. Si llegan paquetes al peer de HA, una bsqueda de la tabla de
sesin identifica si la sesin es propiedad del otro dispositivo, tras lo que el paquete
puede reenviarse a travs de HA3 al propietario de sesin. Si no se requiere la inspeccin
de capa 7 para la sesin, el dispositivo de destino puede hacer coincidir la sesin con una
entrada de la tabla de sesin existente y reenviar el paquete a su destino definitivo.
Opciones de implementacin
La HA activa/activa admite el uso simultneo de interfaces de cable virtual y de capa 3. Todas
las opciones de implementacin activas/activas se admiten en entornos IPv6, incluida la
supervisin de rutas IPv6.
Implementacin de cable virtual

Las implementaciones de cable virtual admiten un enrutamiento asimtrico completo igual
que con otras implementaciones activas/activas. Es importante tener en cuenta que los
paquetes reenviados al propietario de sesin para la inspeccin de ID de aplicacin e
inspeccin de contenidos deben devolverse al cortafuegos de destino para conservar la ruta de
reenvo.
Implementacin de IP flotante de capa 3

Esta opcin de implementacin permite la creacin de direcciones IP flotantes que pueden
desplazarse entre los dispositivos de HA cuando se produce un fallo de enlace o de
dispositivo. El puerto que posee la direccin IP flotante responde a solicitudes de ARP con
una direccin MAC virtual. Las direcciones IP flotantes se recomiendan cuando se necesitan
prestaciones de VRRP. Las direcciones IP flotantes pueden utilizarse en configuraciones de
VPN y de traduccin de direccin de red (NAT), lo que permite conexiones persistentes
cuando se produce un fallo en el dispositivo que ofrece dichos servicios.
Palo Alto Networks
Alta disponibilidad
Nota: La direccin IP flotante utilizar una direccin MAC virtual diferente

cuando la IP se desplace entre dispositivos de HA cuando se produzca un fallo.
Uso compartido de carga de ARP de capa 3

El uso compartido de carga de ARP permite que el par de HA comparta una direccin IP y
proporcione servicios de puerta de enlace. En este escenario, todos los hosts se configuran con
una nica direccin IP de puerta de enlace. Solamente uno de los dispositivos del par
responde a las solicitudes de ARP para la direccin IP de puerta de enlace, de acuerdo con el
origen de la solicitud de ARP. El algoritmo de seleccin de dispositivo puede ajustarse para
lograr una distribucin mucho ms uniforme del trfico de host entre los dos cortafuegos.
Debera utilizarse el uso compartido de carga de ARP cuando el cortafuegos y los host se
encuentren en el mismo dominio de difusin. Si existe una separacin de capa 3, se perdern
las ventajas del uso compartido de carga de ARP.
Nota: No puede hacer ping ni realizar ningn servicio de gestin en una direccin
IP de uso compartido de carga de ARP en el modo activo/activo.
Redundancia basada en rutas de capa 3 (IP de interfaz esttica)

La redundancia basada en rutas obliga a que el trfico sea simtrico utilizando mtricas de
enrutamiento como costes de primero la ruta libre ms corta (OSPF) en los cortafuegos y en los
dispositivos vecinos. El uso compartido de carga se puede gestionar ajustando los costes para
enrutar el trfico a travs de ambos cortafuegos. En este caso, la direccin IP asignada a la interfaz
del dispositivo se fija y no cambia al peer de HA durante una conmutacin por error.
Consideraciones de NAT
En el modo activo/activo, es necesario definir un enlace de dispositivos activos/activos en
todas las reglas de NAT. El enlace de dispositivos activos/activos est disponible en la
interfaz web cuando el modo de HA se cambia a activo/activo. Cuando se crea una nueva
sesin, el enlace de dispositivos determina qu reglas de NAT coinciden con el cortafuegos (el
enlace de dispositivos debe incluir el dispositivo propietario de sesin para producir una
coincidencia). Aunque la coincidencia de la poltica NAT se realiza mediante el dispositivo de
configuracin de sesin, las reglas de NAT se evalan desde la perspectiva del propietario de
sesin. La sesin se traduce de acuerdo con las reglas de NAT que estn enlazadas con el
dispositivo propietario de sesin. En el caso de reglas especficas de dispositivo, un
cortafuegos salta todas las reglas de NAT que no estn enlazadas con el propietario de sesin
cuando se realiza una coincidencia de la poltica NAT.
Por ejemplo, supongamos que el dispositivo 1 es el propietario de sesin y tambin el
responsable de configurar la sesin. Cuando el dispositivo 1 intenta que la sesin coincida con
una regla de NAT, saltar todas las reglas con un enlace de dispositivos del dispositivo 0.
Las opciones de enlace de dispositivos de NAT incluyen las siguientes:
Dispositivo 0 y dispositivo 1: La traduccin se realiza de acuerdo con enlaces especficos

de dispositivo solamente si el propietario de sesin y el ID de dispositivo de la regla de
NAT coinciden. Las reglas de NAT especficas de dispositivo se suelen utilizar cuando los
dos cortafuegos utilizan direcciones IP pblicas exclusivas para la traduccin.
Palo Alto Networks
Alta disponibilidad
Ambos: Esta opcin permite que cualquiera de los dispositivos haga que las nuevas
sesiones coincidan con la regla de NAT y suele utilizarse para NAT de destino.
Principal: Esta opcin nicamente permite que el dispositivo principal activo haga que
las nuevas sesiones coincidan con la regla de NAT. Este ajuste se utiliza principalmente
para una NAT esttica entrante, en la que nicamente un cortafuegos debe responder a
las solicitudes de ARP. A diferencia de los enlaces de dispositivos 0/1, un enlace de
dispositivo principal puede desplazarse entre dispositivos cuando se transfiere la funcin
principal.
Los siguientes escenarios se aplican a implementaciones de NAT activas/activas.
Palo Alto Networks
Alta disponibilidad
Traduccin de origen a IP dinmica o grupo de IP/puertos

Al realizar una traduccin de origen a una IP dinmica o un grupo de IP/puertos dinmicos,
es necesario vincular las reglas de NAT a un dispositivo especfico (ID de dispositivo 0 o 1).
Los grupos de IP a los que se estn traduciendo los dispositivos de HA no deben solaparse. Al
establecer una sesin, cualquiera de los dispositivos puede traducir paquetes de devolucin.
En el siguiente ejemplo, las sesiones que pertenecen al dispositivo 0 se traducen a 1.1.1.1 y las
sesiones que pertenecen al dispositivo 1 se traducen a 1.1.1.2. En el caso de un fallo de
dispositivo, las sesiones del dispositivo 0 seguirn traducindose a 1.1.1.1 hasta que hayan
cesado. En este ejemplo, es vlido utilizar direcciones IP flotantes en cada uno de los
cortafuegos si se necesitan dichas prestaciones.
Enrutador ISP
1.1.1.254/24
1.1.1.2/24
1.1.1.1/24
Dispositivo
con ID 1
Dispositivo
con ID 0
Red privada
Ilustracin 3. Configuracin de IP dinmica de traduccin de origen

Tabla 40. Reglas de IP dinmica de traduccin de origen
Paquete original
Paquete
traducido
Zona
de origen
Zona de
destino
Traduccin de
origen
Enlace HA Activo/
Activo
Dispositivo 0
de NAT de
origen
L3 fiable
L3 no fiable
ip-y-puertodinmico 1.1.1.1
Dispositivo 1
de NAT de
origen
L3 fiable
L3 no fiable
Nombre
Palo Alto Networks
Alta disponibilidad
Traduccin de origen dinmica a direcciones IP pblicas para diferentes

proveedores de servicios de Internet (ISP)
En este escenario, las reglas de NAT estn vinculadas a dispositivos especficos (ID de
dispositivo 0 o 1). Todas las sesiones que pertenecen al dispositivo 0 se traducen a 1.1.1.1 y
todas las sesiones que pertenecen al dispositivo 1 se traducen a 2.2.2.1. Si falla el dispositivo 0,
el dispositivo 1 intentar traducir las sesiones existentes de acuerdo con la direccin IP
original de 1.1.1.1. Si el segundo ISP no puede enrutar a esas direcciones, las sesiones fallarn.
En este ejemplo, las direcciones IP de interfaz especficas de ISP se fijan a un dispositivo
concreto. No se debe utilizar una direccin IP flotante en esta configuracin.
Enrutador ISP
1.1.1.254/24
Enrutador ISP
2.2.2.254/24
1.1.1.1/24
2.2.2.1/24
Dispositivo con ID 1
Red privada
Ilustracin 4. Configuracin de traduccin de origen dinmica a direcciones IP pblicas

Tabla 41. Reglas de traduccin de origen dinmica a direcciones IP pblicas
Paquete original
Paquete
traducido
Zona
de origen
Zona de
destino
Traduccin de
origen
Enlace HA Activo/
Activo
Dispositivo 0
de NAT de
origen
L3 fiable
L3 no fiable
Dispositivo 1
de NAT de
origen
L3 fiable
L3 no fiable
Nombre
Palo Alto Networks
Alta disponibilidad
Traduccin de destino a direccin IP independiente del proveedor

En este escenario, las reglas de NAT estn vinculadas a ambos dispositivos. La traduccin es
la misma independientemente del dispositivo que reciba el primer paquete entrante. Un
paquete destinado a 3.3.3.30 se traducir a 10.0.0.200 independientemente del dispositivo que
reciba el paquete.
Enrutador ISP
2.2.2.254/24
Enrutador ISP
1.1.1.254/24
1.1.1.1/24
2.2.2.1/24
Dispositivo
con ID 1
Dispositivo
con ID 0
10.0.0.200 (IP pblica 3.3.3.30)
Ilustracin 5. Traduccin de destino a direccin IP independiente del proveedor

Tabla 42. Reglas de traduccin de origen dinmica a direcciones IP pblicas
Paquete
traducido
Paquete original
Nombre
Zona de origen
Zona de
destino
Direccin de
destino
Traduccin de
destino
Enlace HA Activo/
Activo
DNAT
independient
e del
proveedor
L3 no fiable
L3 no fiable
3.3.3.30
direccin:
10.0.0.200
ambos
Configuracin de HA
Para configurar HA, realice los siguientes pasos:
1.
Utilice dos cortafuegos con el mismo nmero de modelo.
2.
Monte ambos cortafuegos en un rack cercanos entre s y encindalos como se indica en la

Gua de referencia de hardware. Si se trata de una instalacin existente, le recomendamos que
realice un restablecimiento de fbrica en el modo de mantenimiento seleccionando la
opcin Restablecimiento de fbrica en el men principal. Consulte la Gua de referencia de
la interfaz de lnea de comandos de PAN-OS.
3.
Conecte cada cortafuegos a su red e Internet a travs de los mismos puertos fsicos.
Palo Alto Networks
Alta disponibilidad
4.
Mediante dos cables Ethernet RJ-45 cruzados, conecte los puertos HA1 y HA2 de cada
cortafuegos a los mismos puertos del otro cortafuegos, o bien conecte los puertos de
ambos cortafuegos a un conmutador. HA1 se corresponde con el enlace de control y HA2
se corresponde con el enlace de datos. En el caso de una configuracin activa/activa,
realice una conexin fsica adicional, HA3, entre los dos cortafuegos. Se recomiendan los
grupos de agregacin de enlaces para la redundancia de enlaces en HA3 cuando el
cortafuegos admite la agregacin de Ethernet.
Nota: En el caso de dispositivos que no tengan interfaces de HA especficas, deber
utilizar las interfaces de trfico para HA. Por ejemplo, conecte las interfaces Ethernet1/15
entre s y las interfaces Ethernet1/16 entre s.
5.
Abra la pestaa Red y verifique que los enlaces de HA estn operativos. Configure cada
una de ellos para que sean del tipo HA.
Ilustracin 6. Verificacin de interfaces de HA

6.
Configure los ajustes de HA de ambos cortafuegos. Consulte Habilitacin de HA en el

cortafuegos en la pgina 111.
Aspecto que hay que tener en cuenta al configurar la HA

Se recomiendan cables cruzados cuando los enlaces de HA estn conectados directamente.
Palo Alto Networks
Alta disponibilidad
Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Despus de configurar la HA como se describe en Configuracin de HA en la pgina 109,
puede habilitar la HA tanto en el cortafuegos activo como en el pasivo. Para cada seccin de la
pgina Alta disponibilidad, haga clic en Editar en el encabezado y especifique la informacin
correspondiente descrita en la tabla siguiente.
Tabla 43. Configuracin de HA

Campo
Descripcin
Pestaa General
Configuracin

Habilitar HA: Active las prestaciones de HA.
ID de grupo: Introduzca un nmero para identificar el par activo/pasivo
(de 1 a 63). Permite que varios pares de cortafuegos activos/pasivos
residan en la misma red. El ID debe ser exclusivo cuando hay ms de un
par de alta disponibilidad residiendo en una red de capa 2.
Descripcin: Introduzca una descripcin del par activo/pasivo (opcional).
Modo: Seleccione activo-activo o activo-pasivo.
Direccin IP de HA del peer: Introduzca la direccin IP de la interfaz de
HA1 que se especifica en la seccin Enlace de control del otro cortafuegos.
Crear copia de seguridad de la direccin IP de HA del peer: Introduzca la
direccin IP del enlace de control de copia de seguridad del peer.
Habilitar sincronizacin de configuracin: Sincronice el sistema de peer.
Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los
cortafuegos activo y pasivo (cortafuegos con puertos de HA especficos).
Dplex de enlace: Seleccione una opcin de dplex para el enlace de datos
entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA
especficos).
Palo Alto Networks
Alta disponibilidad
Tabla 43. Configuracin de HA (Continuacin)

Campo
Descripcin
Configuracin de
eleccin

Prioridad de dispositivo: Introduzca un valor de prioridad para identificar
el cortafuegos activo. El cortafuegos con valor ms bajo (mayor prioridad)
se convertir en el cortafuegos activo (rango: 0-255).
Copia de seguridad de heartbeat: Utiliza los puertos de gestin en los
dispositivos de HA para proporcionar una ruta de copia de seguridad para
mensajes de latidos y saludos. La direccin IP del puerto de gestin se
compartir con el peer de HA a travs del enlace de control HA1. No se
requiere ninguna configuracin adicional.
Preferente: Habilite el cortafuegos de mayor prioridad para reanudar el
funcionamiento activo tras recuperarse de un fallo. Si este ajuste est
desactivado, el cortafuegos de menor prioridad permanecer activo incluso
despus de que el cortafuegos de mayor prioridad se recupere de un fallo.
Tiempo de espera para ser preferente: Introduzca el tiempo que un
dispositivo secundario pasivo o activo esperar antes de tomar el control
como dispositivo activo o principal activo (rango: 1-60 min.; valor
predeterminado: 1 min.).
Tiempo de espera de promocin: Introduzca el tiempo que el dispositivo
pasivo (en el modo activo/pasivo) o el dispositivo secundario activo (en el
modo activo/activo) esperar antes de tomar el control como dispositivo
activo o principal activo despus de perder las comunicaciones con el peer
de HA. Este tiempo de espera nicamente comenzar despus de haber
realizado una declaracin de fallo de peer.
Intervalo de saludo: Introduzca el nmero de milisegundos entre los
paquetes de saludo enviados para verificar que el programa de HA del otro
cortafuegos est operativo. El rango es de 8.000-60.000 ms con un valor
predeterminado de 8.000 ms para todas las plataformas.
Intervalo de heartbeat: Especifique con qu frecuencia los peers de HA
intercambian mensajes de latidos con la forma de un ping ICMP (rango:
1.000-60.000 ms; valor predeterminado: 1.000 ms).
N. mximo de flaps: Se cuenta un flap cuando el cortafuegos deja el
estado activo antes de que transcurran 15 minutos desde la ltima vez que
dej el estado activo. Puede especificar el nmero mximo de flaps
permitidos antes de que se determine suspender el cortafuegos y que el
cortafuegos pasivo tome el control (rango: 0-16; valor predeterminado: 3).
El valor 0 significa que no hay mximo (se necesita un nmero infinito de
flaps antes de que el cortafuegos pasivo tome el control).
Tiempo de espera ascendente tras fallo de supervisor (ms): Especifique el
intervalo durante el cual el cortafuegos permanecer activo tras un fallo de
supervisor de ruta o supervisor de enlace. Se recomienda este ajuste para
evitar una conmutacin por error de HA debido a los flaps ocasionales de
los dispositivos vecinos (rango: 0-60.000 ms; valor predeterminado: 0 ms).
Tiempo de espera ascendente principal adicional (min.): Este intervalo de
tiempo se aplica al mismo evento que Supervisar fallo de tiempo de espera
ascendente (rango: 0-60.000 ms; valor predeterminado: 500 ms). El
intervalo de tiempo adicional nicamente se aplica al dispositivo activo en
el modo activo/pasivo y al dispositivo principal activo en el modo activo/
activo. Se recomienda este temporizador para evitar una conmutacin por
error cuando ambos dispositivos experimentan el mismo fallo de
supervisor de enlace/ruta simultneamente.
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
La configuracin recomendada para la conexin del enlace de control de HA

es utilizar el enlace HA1 especfico entre los dos dispositivos y utilizar el
puerto de gestin como interfaz de enlace de control (copia de seguridad de
HA). En este caso, no necesita habilitar la opcin Copia de seguridad de
heartbeat en la pgina Configuracin de eleccin. Si est utilizando un puerto
HA1 fsico para el enlace de HA de enlace de control y un puerto de datos
para el enlace de control (copia de seguridad de HA), se recomienda habilitar
la opcin Copia de seguridad de heartbeat.
En el caso de dispositivos que no tienen un puerto de HA especfico, como el
PA-200, debe configurar el puerto de gestin para la conexin de HA del
enlace de control y una interfaz de puerto de datos configurada con el tipo
HA para la conexin de copia de seguridad de HA1 del enlace de control.
Como en este caso se est utilizando el puerto de gestin, no es necesario
habilitar la opcin Copia de seguridad de heartbeat en la pgina
Configuracin de eleccin porque las copias de seguridad de latidos ya se
realizarn a travs de la conexin de interfaz de gestin.
Nota: Al utilizar un puerto de datos para el enlace de control de HA, debe

tener en cuenta que, dado que los mensajes de control tienen que
comunicarse desde el plano de datos hasta el plano de gestin, si se produce
un fallo en el plano de datos, la informacin del enlace de control de HA no
podr comunicarse entre los dispositivos y se producir una conmutacin
por error. Lo mejor es utilizar los puertos de HA especficos o, en
dispositivos que no tengan ningn puerto de HA especfico, el puerto de
gestin.
Especifique los siguientes ajustes para los enlaces de control de HA principal
y de copia de seguridad:
Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y
de copia de seguridad. El ajuste de copia de seguridad es opcional.
Nota: El puerto de gestin tambin se puede utilizar como enlace de control.
Direccin IPv4/IPv6: Introduzca la direccin IPv4 o IPv6 de la interfaz de
HA1 para las interfaces de HA1 principal y de copia de seguridad. El ajuste
de copia de seguridad es opcional.
Mscara de red: Introduzca la mscara de red de la direccin IP (como
255.255.255.0) para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Puerta de enlace: Introduzca la direccin IP de la puerta de enlace
predeterminada para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Velocidad de enlace (nicamente modelos con puertos de HA
especficos): Seleccione la velocidad del enlace de control entre los
cortafuegos para el puerto de HA1 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los
cortafuegos para el puerto de HA1 especfico.
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Cifrado habilitado: Habilite el cifrado despus de exportar la clave de HA
desde el peer de HA e importarla a este dispositivo. La clave de HA de este
dispositivo tambin debe exportarse desde este dispositivo e importarse al
peer de HA. Configure este ajuste para la interfaz de HA1 principal.
La importacin/exportacin de claves se realiza en la pgina Certificados.
Consulte Importacin, exportacin y generacin de certificados de
seguridad en la pgina 60.
Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperar antes de declarar un fallo de peer
debido a un fallo del enlace de control (1.000-60.000 ms; valor
predeterminado: 3.000 ms). Esta opcin supervisa el estado del enlace fsico
de los puertos de HA1.
Enlace de datos
(HA2)
Especifique los siguientes ajustes para el enlace de datos principal y de copia

de seguridad:
Puerto: Seleccione el puerto de HA. Configure este ajuste para las interfaces
de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad
es opcional.
Direccin IP: Especifique la direccin IPv4 o IPv6 de la interfaz de HA para
las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia
de seguridad es opcional.
Mscara de red: Especifique la mscara de red de la interfaz de HA para las
interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de
seguridad es opcional.
Puerta de enlace: Especifique la puerta de enlace predeterminada de la
interfaz de HA para las interfaces de HA2 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional. Si las direcciones IP
de HA2 de los cortafuegos del par de HA estn en la misma subred, el
campo Puerta de enlace debera quedarse en blanco.
Habilitar sincronizacin de sesin: Habilite la sincronizacin de la
informacin de la sesin con el cortafuegos pasivo y seleccione una opcin
de transporte.
Transporte: Seleccione una de las siguientes opciones de transporte:
Ethernet: Utilice esta opcin cuando los cortafuegos estn conectados
opuesto con opuesto o a travs de un conmutador (Ethertype 0x7261).
IP: Utilice esta opcin cuando se requiera el transporte de capa 3
(nmero de protocolo IP: 99).
UDP: Utilice esta opcin para aprovechar el hecho de que la suma de
comprobacin se calcula sobre todo el paquete y no solamente el
encabezado, como en la opcin IP (puerto UDP 29281).
Velocidad de enlace (nicamente modelos con puertos de HA
especficos): Seleccione la velocidad del enlace de control entre los
cortafuegos activo y pasivo para el puerto de HA2 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los
cortafuegos activo y pasivo para el puerto de HA2 especfico.
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Conexin persistente de HA2: Seleccione esta casilla de verificacin para
habilitar la supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido, se producir la
accin definida (log o ruta de datos divididos). La opcin est
deshabilitada de manera predeterminada.
Puede configurar la opcin Conexin persistente de HA2 en ambos
dispositivos o solamente un dispositivo del par de HA. Si la opcin se
establece nicamente en un dispositivo, solamente ese dispositivo enviar
los mensajes de conexin persistente. Sin embargo, se notificar al otro
dispositivo si se produce un fallo y pasar al modo de ruta de datos
divididos si se selecciona esa accin.
Accin: Seleccione la accin que debe realizarse si fallan los mensajes de
supervisin basndose en el ajuste de umbral.
nicamente log: Seleccione esta opcin para generar un mensaje

del log Sistema de nivel crtico cuando se produzca un fallo de
HA2 basndose en el ajuste de umbral. Si la ruta de HA2 se
recupera, se generar un log informativo.
En una configuracin activa/pasiva, debe utilizar esta accin, ya
que no es necesario dividir los datos porque no hay ms de un
dispositivo activo en un momento concreto.
Ruta de datos divididos: Esta accin est diseada para una

configuracin de HA activa/activa. En una configuracin activa/
activa, si el administrador o un fallo de supervisin deshabilita
la sincronizacin de sesiones, la propiedad de sesin y la
configuracin de sesin se establecern como el dispositivo local
y las nuevas sesiones se procesarn localmente durante la sesin.
Umbral (ms): Tiempo durante el cual los mensajes de

conexin persistente han fallado antes de que se haya
activado una de las acciones anteriores (rango: 5.00060.000 ms; valor predeterminado: 10.000 ms).
Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producir

una conmutacin por error en el enlace de copia de seguridad si hay un fallo en el
enlace fsico. Con la opcin Conexin persistente de HA2 habilitada, la conmutacin
por error tambin se producir si fallan los mensajes de conexin persistente de HA
basados en el umbral definido.
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Pestaa Supervisin de enlaces y rutas

Supervisin de rutas
Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino
especificadas enviando mensajes de ping ICMP para asegurarse de que
responden. Utilice la supervisin de rutas para configuraciones de cable
virtual, capa 2 o capa 3 cuando se necesite la supervisin de otros
dispositivos de red en caso de conmutacin por error y la supervisin de
enlaces no sea suficiente por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos al
responder.
Grupo de rutas
Defina uno o ms grupos de rutas para supervisar direcciones de destino

especficas. Para agregar un grupo de rutas, haga clic en Aadir para el tipo
de interfaz (Cable virtual, VLAN o Enrutador virtual) y especifique lo
siguiente:
Nombre: Introduzca un nombre para identificar el grupo.
Habilitado: Habilite el grupo de rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
IP de origen: En el caso de interfaces de cable virtual y de VLAN,
introduzca la direccin IP de origen utilizada en los paquetes sonda
enviados al enrutador de siguiente salto (direccin IP de destino). El
enrutador local debe ser capaz de enrutar la direccin al cortafuegos. La
direccin IP de origen para grupos de rutas asociados a enrutadores
virtuales se configurar automticamente como la direccin IP de interfaz
que se indica en la tabla de rutas como la interfaz de salida para la direccin
IP de destino especificada.
IP de destino: Introduzca una o ms direcciones de destino (separadas por
comas) que se supervisarn.
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 200-60.000 milisegundos; valor
predeterminado: 200 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 10 pings).
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Supervisin de
enlaces
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Defina uno o ms grupos de enlaces para supervisar enlaces Ethernet

especficos. Para aadir un grupo de enlaces, especifique los siguientes
ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre de grupo de enlaces.
Habilitado: Habilite el grupo de enlaces.
Condicin de fallo: Seleccione si se produce un fallo cuando alguno o
todos los enlaces seleccionados presentan fallos.
Interfaces: Seleccione una o ms interfaces Ethernet que se supervisarn.
Pestaa Activo Pasivo

Estado de los enlaces
en el pasivo
Seleccione una de las siguientes opciones:

Automtico: Hace que el estado de los enlaces refleje la conectividad fsica,
pero descarta todos los paquetes recibidos. Esta opcin permite que el
estado de los enlaces de la interfaz permanezca activo hasta que se
produzca una conmutacin por error, disminuyendo la cantidad de tiempo
que tarda el dispositivo pasivo en tomar el control.
Esta opcin es compatible con el modo de capa 2, capa 3 y cable virtual. La
opcin Automtico es conveniente si es viable para su red.
Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. Esta es
la opcin predeterminada, que garantiza que no se creen bucles en la red.
Supervisar fallo de
tiempo de espera
descendente
Especifique la cantidad de tiempo (minutos) que un cortafuegos pasar en el

estado no funcional antes de volverse pasivo. Este temporizador nicamente
se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de
enlace (rango: 1-60; valor predeterminado: 1).
Pestaa Configuracin Activa/Activa

Reenvo de paquetes
Seleccione la casilla de verificacin Habilitar para permitir el reenvo de

paquetes a travs del enlace de HA3. Esto es obligatorio para sesiones
enrutadas asimtricamente que requieren la inspeccin de capa 7 para ID de
aplicacin e inspeccin de contenidos.
Interfaz de HA3
Seleccione la interfaz para reenviar paquetes entre peers de HA cuando est

configurada en el modo activo/activo.
Sincronizacin de VR
Fuerce la sincronizacin de todos los enrutadores virtuales configurados en

los dispositivos de HA.
La sincronizacin del enrutador virtual se puede utilizar cuando el enrutador
virtual no est empleando protocolos de enrutamiento dinmico. Ambos
dispositivos deben conectarse al mismo enrutador de siguiente salto a travs
de una red conmutada y deben utilizar nicamente rutas estticas.
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Sincronizacin de
QoS
Sincronice la seleccin de perfil de QoS en todas las interfaces fsicas. Utilice

esta opcin cuando ambos dispositivos tengan velocidades de enlace
similares y requieran los mismos perfiles de QoS en todas las interfaces
fsicas. Este ajuste afecta a la sincronizacin de la configuracin de QoS en la
pestaa Red. La poltica de QoS se sincroniza independientemente de este
ajuste.
Seleccin de
propietario de sesin
Especifique una de las siguientes opciones para seleccionar el propietario de

sesin:
Dispositivo principal: Seleccione esta opcin para que el cortafuegos
principal activo gestione la inspeccin de capa 7 para todas las sesiones.
Este ajuste se recomienda principalmente para operaciones de solucin de
problemas.
Primer paquete: Seleccione esta opcin para que el cortafuegos que reciba
el primer paquete de la sesin sea responsable de la inspeccin de capa 7 de
manera que admita ID de aplicacin e inspeccin de contenidos. Esta es la
configuracin recomendada para reducir al mnimo el uso del enlace de
reenvo de paquetes de HA3.
Configuracin de
sesin
Seleccione el mtodo para la configuracin de sesin inicial.

Mdulo de IP: Selecciona un cortafuegos basado en la paridad de la
direccin IP de origen.
Dispositivo principal: Garantiza que todas las sesiones se configuran en el
cortafuegos principal.
Hash de IP: Determina el cortafuegos de configuracin mediante un hash
de la direccin IP de origen o direccin IP de origen y destino y un valor de
inicializacin de hash si se desea una mayor aleatorizacin.
Palo Alto Networks
Alta disponibilidad

Campo
Descripcin
Direccin virtual
Haga clic en Aadir, seleccione la pestaa IPv4 o IPv6 y, a continuacin,

vuelva a hacer clic en Aadir para introducir opciones para una direccin
virtual de HA que utilizar el clster activo/activo de HA. Puede seleccionar
el tipo de direccin virtual para que sea Flotante o Uso compartido de carga
de ARP. Tambin puede mezclar los tipos de direcciones virtuales del
clster: por ejemplo, puede utilizar el uso compartido de carga de ARP en la
interfaz de LAN y una IP flotante en la interfaz de WAN. Para obtener ms
informacin sobre los tipos de implementaciones, consulte Opciones de
implementacin en la pgina 104.
Flotante: Introduzca una direccin IP que se desplazar entre los
dispositivos de HA en el caso de un fallo de enlace o dispositivo. Debe
configurar dos direcciones IP flotantes en la interfaz, de modo que cada
cortafuegos posea una y, a continuacin, establezca la prioridad. Si falla
alguno de los cortafuegos, la direccin IP flotante pasar al peer de HA.
Prioridad de dispositivo 0: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. Un dispositivo con el valor
ms bajo tendr la prioridad ms alta.
Prioridad de dispositivo 1: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. Un dispositivo con el valor
ms bajo tendr la prioridad ms alta.
Direccin de conmutacin por error si el estado de enlace no est
operativo: Utilice la direccin de conmutacin por error cuando el
estado del enlace est desactivado en la interfaz.
Uso compartido de carga de ARP: Introduzca una direccin IP que
compartir el par de HA y proporcionar servicios de puerta de enlace para
hosts. Esta opcin nicamente debera utilizarse cuando el cortafuegos y
los host se encuentren en el mismo dominio de difusin. Seleccione
Algoritmo de seleccin de dispositivo:
Mdulo de IP: Si se selecciona esta opcin, el cortafuegos que responda
a las solicitudes de ARP se seleccionar basndose en la paridad de la
direccin IP de los solicitantes de ARP.
Hash de IP: Si se selecciona esta opcin, el cortafuegos que responda a
las solicitudes de ARP se seleccionar basndose en un hash de la
direccin IP de los solicitantes de ARP.
Comandos de operacin
Suspender
dispositivo local
Ponga el dispositivo de HA en el modo de suspensin, que deshabilita

temporalmente las prestaciones de HA en el cortafuegos. Si suspende el
cortafuegos activo actual, el cortafuegos secundario tomar el control.
Aspectos importantes que hay que tener en cuenta al configurar la HA
El cortafuegos al que se le asigna el valor de prioridad de dispositivo ms bajo es el

dispositivo de mayor prioridad y se convierte en el cortafuegos activo de un par de HA
cuando se habilita Preferencia en ambos cortafuegos del par.
La opcin Preferencia debe estar habilitada en ambos dispositivos para que el cortafuegos
de mayor prioridad reanude el funcionamiento activo tras recuperarse de un fallo.
La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.
Palo Alto Networks
Alta disponibilidad
Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del clster se
sincronicen.
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
Para comprobar la conmutacin por error, tire de un cable del dispositivo activo o ponga
el dispositivo activo en un estado suspendido emitiendo el comando de la CLI request
high-availability state suspend. Tambin puede suspender el dispositivo activo
pulsando el enlace Suspender de la esquina superior derecha de la pgina de
configuracin Alta disponibilidad de la pestaa Dispositivo.
Para volver a poner un dispositivo suspendido en un estado funcional, utilice el comando

de la CLI
request high-availability state functional.
Para ver informacin detallada de HA acerca del cortafuegos local, utilice el comando de
la CLI show high-availability all.
Para comparar la configuracin de los cortafuegos local y peer, utilice el comando de

la CLI
show high-availability state desde cualquiera de los dispositivos. Tambin puede
comparar las configuraciones de los cortafuegos local y peer mediante la herramienta
Auditora de configuraciones de la pestaa Dispositivo seleccionando la configuracin
local deseada en el cuadro de seleccin de la izquierda y la configuracin del peer en el
cuadro de seleccin de la derecha.
Sincronice los cortafuegos desde la interfaz web pulsando el botn Introducir

configuracin ubicado en el widget de HA en la pestaa Panel. Tenga en cuenta que la
configuracin del dispositivo desde el que introducir la configuracin sobrescribir la
configuracin del dispositivo del peer. Para sincronizar los cortafuegos desde la CLI del
dispositivo activo, utilice el comando request high-availability sync-to-remote
running-config.
Para seguir el estado de la carga, utilice el comando de la CLI show jobs processed.
HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva
que no incluye ninguna sincronizacin de sesiones. HA Lite permite la sincronizacin de la
configuracin y la sincronizacin de algunos elementos de tiempo de ejecucin. Tambin
admite la conmutacin por error de tneles de IPSec (las sesiones deben volver a establecerse),
informacin de concesin de servidor DHCP, informacin de concesin de cliente DHCP,
informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos cuando est
configurado en el modo de capa 3.
Palo Alto Networks
Sistemas virtuales
Sistemas virtuales
Un sistema virtual especifica un conjunto de interfaces de cortafuegos fsicas y lgicas
(incluidas VLAN y cables virtuales) y zonas de seguridad. (Para obtener ms informacin
sobre las zonas de seguridad, consulte Definicin de zonas de seguridad en la pgina 163.)
Los sistemas virtuales le permiten segmentar la administracin de todas las polticas
(seguridad, NAT, QoS, etc.), as como todas las funciones de informes y visibilidad
proporcionadas por el cortafuegos.
Por lo general, los sistemas virtuales funcionan en las prestaciones de seguridad del
cortafuegos. Los sistemas virtuales no controlan las funciones de red, que incluyen el
enrutamiento esttico y dinmico. Si desea una segmentacin de enrutamiento para cada
sistema virtual, deber crear un enrutador virtual adicional.
Nota: Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas
virtuales. Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios
sistemas virtuales si se instala la licencia adecuada. Los cortafuegos PA-500 y PA200 no admiten sistemas virtuales.
Por ejemplo, si desea personalizar las caractersticas de seguridad para el trfico asociado al
departamento financiero, puede definir un sistema virtual financiero y, a continuacin, definir
polticas de seguridad que se apliquen nicamente a ese departamento.
La Ilustracin 7 muestra la relacin entre las polticas y los sistemas virtuales del cortafuegos.
Las polticas se asocian a sistemas virtuales individuales, a diferencia de las funciones de nivel
de dispositivo y red, que se aplican a todo el cortafuegos.
Internet
Administrador
de dispositivo
VSYS de
depart.
VSYS de
depart.
VSYS de
depart.
Polticas
Administrador
de VSYS
Polticas
Administrador
de VSYS
Administrador
de VSYS
Polticas
VSYS de
depart.
Polticas
Administrador
de VSYS
Ilustracin 7. Sistemas virtuales y polticas

Para optimizar la administracin de polticas, puede crear cuentas de administrador de
sistemas virtuales que permitan acceder a sistemas virtuales individuales, al mismo tiempo
que mantiene cuentas de administrador separadas para las funciones generales de dispositivo
y red. Por ejemplo, se puede asignar un administrador de sistemas virtuales en el
departamento financiero para gestionar las polticas de seguridad nicamente de dicho
departamento.
Palo Alto Networks
Sistemas virtuales
Inicialmente todas las interfaces, zonas y polticas pertenecen al sistema virtual

predeterminado (vsys1).
Cuando habilite varios sistemas virtuales, tenga en cuenta lo siguiente:
Un administrador de sistemas virtuales crea y administra todos los elementos necesarios

para las polticas.
Las zonas son objetos dentro de sistemas virtuales. Antes de definir una poltica o un
objeto de las polticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaa Polticas u Objetos.
Las interfaces, las VLAN, los cables virtuales y los enrutadores virtuales pueden asignarse
a sistemas virtuales. Consulte Definicin de sistemas virtuales en la pgina 124.
Los destinos de logs remotos (SNMP, Syslog y correo electrnico), as como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.
Comunicaciones entre sistemas virtuales

Los sistemas virtuales del cortafuegos se tratan como entidades independientes. Para admitir
los flujos de trfico internos entre sistemas virtuales, debe indicar qu sistemas virtuales
pueden comunicarse entre s. Esto se hace al configurar un sistema virtual especificando los
otros sistemas virtuales que son visibles para l. Cuando los sistemas virtuales son visibles
entre s, cree zonas de tipo externo y especifique qu sistemas virtuales se asignarn a qu
zona externa. En el ejemplo siguiente, VSYS de depart. 1 debe tener una zona externa que
haga referencia a VSYS de depart. 2 para su uso en todas las polticas que afecten al trfico que
pasa entre los sistemas virtuales. En ambos sistemas virtuales se registran entradas del log
Trfico para observar el trfico entre los VSYS.
Cada sistema virtual debe tener polticas para enviar y recibir trfico. Por ejemplo, para
permitir que VSYS de depart. 1 se comunique con VSYS de depart. 2, es necesario contar con
una poltica en VSYS de depart. 1 que permita que el trfico vaya a VSYS de depart. 2 y una
poltica en VSYS de depart. 2 que acepte el trfico entrante de VSYS de depart. 1.
Internet
VSYS de
depart.
Polticas
VSYS de
depart.
Polticas
VSYS de
depart.
Polticas
VSYS de
depart.
Polticas
Ilustracin 8. Comunicaciones entre sistemas virtuales
Palo Alto Networks
Sistemas virtuales
Puertas de enlace compartidas

En una configuracin de interfaz de sistema virtual estndar, cada sistema virtual utiliza una
interfaz especfica para el mundo exterior. Cada sistema virtual es autnomo y no hay rutas
de comunicacin directa entre los sistemas virtuales que sean internas para el cortafuegos, a
menos que dichas comunicaciones se configuren explcitamente (consulte Comunicaciones
entre sistemas virtuales en la pgina 122). Dado que cada sistema virtual tiene su propia
direccin IP, se requieren varias direcciones para las comunicaciones externas.
Internet
a.a.a.a
VSYS
dedepart.
c.c.c.c
b.b.b.b
VSYS
dedepart.
d.d.d.d
VSYS
dedepart.
VSYS
dedepart.
Ilustracin 9. Sistemas virtuales sin una puerta de enlace compartida

Las puertas de enlace compartidas permiten que los sistemas virtuales compartan una interfaz
comn para las comunicaciones externas. Esto es de especial ayuda en implementaciones en
las que el ISP nicamente proporcione una sola direccin IP. El resto de sistemas virtuales se
comunican con el mundo exterior a travs de la interfaz fsica mediante una nica direccin IP
(consulte la Ilustracin 10). Se utiliza un nico enrutador virtual para enrutar el trfico de
todos los sistemas virtuales a travs de la puerta de enlace compartida.
Internet
x.x.x.x
Puerta de enlace compartida

a.a.a.a
VSYS
dedepart 1
b.b.b.b
VSYS
dedepart 2
c.c.c.c
VSYS
dedepart 3
d.d.d.d
VSYS
dedepart 4
Ilustracin 10. Sistemas virtuales con una puerta de enlace compartida
Palo Alto Networks
Sistemas virtuales
Todas las reglas de polticas se gestionan en el nivel de sistema virtual. Puede crear reglas de
reenvo basadas en polticas y NAT a travs de la puerta de enlace compartida, si es necesario,
seleccionando la puerta de enlace compartida desde la lista desplegable Sistema virtual de la
pantalla Poltica.
Definicin de sistemas virtuales

Dispositivo > Sistemas virtuales
Para definir sistemas virtuales, primero debe habilitar la definicin de varios sistemas
virtuales. Para ello, abra la pgina Dispositivo > Configuracin, haga clic en el enlace Editar
bajo Configuracin general en la pestaa Gestin y seleccione la casilla de verificacin
Capacidad de cortafuegos virtuales. Esto aadir el enlace Sistemas virtuales al men
lateral.
Ahora podr abrir la pgina Sistemas virtuales, hacer clic en Aadir y especificar la
informacin siguiente.
Tabla 44. Configuracin de sistemas virtuales

Campo
Descripcin
ID
Introduzca un identificador que sea un nmero entero para el sistema

virtual. Consulte la hoja de datos de su modelo de cortafuegos para
obtener informacin sobre el nmero de sistemas virtuales admitidos.
Nombre
Introduzca un nombre (de hasta 31 caracteres) para identificar el sistema

virtual. El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Pestaa General
Seleccione un perfil de proxy de DNS en la lista desplegable si desea

aplicar reglas de proxy de DNS a esta interfaz. Consulte Proxy DNS en
la pgina 188.
Para incluir objetos de un tipo especial, seleccione la casilla de
verificacin de ese tipo (Interfaz, VLAN, Cable virtual, Enrutador virtual
o Sistema virtual visible). Haga clic en Aadir y seleccione un elemento
de la lista desplegable. Puede aadir uno o ms objetos de cualquier tipo.
Para eliminar un objeto, seleccinelo y haga clic en Eliminar.
Palo Alto Networks
Sistemas virtuales
Tabla 44. Configuracin de sistemas virtuales (Continuacin)

Campo
Descripcin
Pestaa Recurso
Introduzca los siguientes ajustes:

Lmite de sesiones: Nmero mximo de sesiones permitido para este
sistema virtual.
Reglas de seguridad: Nmero mximo de reglas de seguridad
permitido para este sistema virtual.
Reglas de NAT: Nmero mximo de reglas de NAT permitido para
este sistema virtual.
Reglas de descifrado: Nmero mximo de reglas de descifrado
Reglas de QoS: Nmero mximo de reglas de QoS permitido para este
sistema virtual.
Reglas de cancelacin de aplicacin: Nmero mximo de reglas de
cancelacin de aplicacin permitido para este sistema virtual.
Reglas de PBF: Nmero mximo de reglas de reenvo basado en
polticas (PBF) permitido para este sistema virtual.
Reglas de portal cautivo: Nmero mximo de reglas de portal cautivo
Reglas de denegacin de servicio: Nmero mximo de reglas de
denegacin de servicio permitido para este sistema virtual.
Tneles VPN de sitio a sitio: Nmero mximo de tneles de VPN de
sitio a sitio permitido para este sistema virtual.
Usuarios del modo de tnel de GlobalProtect simultneos: Nmero
mximo de usuarios de GlobalProtect remotos simultneos permitido
para este sistema virtual.
Despus de definir los sistemas virtuales, puede realizar cualquiera de las siguientes tareas
adicionales:
Para cambiar un sistema virtual, haga clic en el nombre del sistema virtual o el nombre de
la interfaz, VLAN, cable virtual, enrutador virtual o sistemas virtuales visibles que desee
cambiar, realice los cambios pertinentes y haga clic en ACEPTAR.
Para definir zonas de seguridad para el nuevo sistema virtual, seleccione Red > Zonas y
defina zonas de seguridad para cada sistema virtual nuevo (consulte Definicin de
zonas de seguridad en la pgina 163). Cuando defina una nueva zona, podr seleccionar
un sistema virtual.
Haga clic en Red > Interfaces y verifique que cada interfaz tiene un sistema virtual y una
zona de seguridad.
Palo Alto Networks
Definicin de pginas de respuesta personalizadas
Configuracin de puertas de enlace compartidas

Dispositivo > Puertas de enlace compartidas
Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mnimo, una interfaz
de capa 3 debe configurarse como puerta de enlace compartida. Consulte Configuracin de
interfaces de capa 3 en la pgina 138.
Tabla 45. Configuracin de puertas de enlace compartidas

Campo
Descripcin
ID
Identificador de la puerta de enlace (no utilizado por el cortafuegos).
Nombre
Introduzca un nombre para la puerta de enlace compartida (de hasta

guiones y guiones bajos. Solo se requiere el nombre.
Interfaces
Seleccione casillas de verificacin para las interfaces que utilizar la

puerta de enlace compartida.

Dispositivo > Pginas de respuesta
Las pginas de respuesta personalizadas son las pginas web que se muestran cuando un
usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado que
se descargar y mostrar en lugar del archivo o la pgina web que ha solicitado.
Cada sistema virtual puede tener sus propias pginas de respuesta personalizadas.
La siguiente tabla describe los tipos de pginas de respuesta personalizadas que admiten
mensajes del cliente.
Nota: Consulte Apndice A, Pginas personalizadas para obtener ejemplos de
las pginas de respuesta predeterminadas.
Tabla 46. Tipos de pginas de respuesta personalizadas

Tipo de pgina
Descripcin
Bloqueo de antivirus
Acceso bloqueado debido a una infeccin por virus.
Bloqueo de aplicacin
Acceso bloqueado debido a que la aplicacin est bloqueada por

una poltica de seguridad.
Comfort del portal cautivo
Pgina para que los usuarios verifiquen su nombre de usuario y

contrasea para mquinas que no formen parte del dominio.
Bloqueo de bloqueo de
archivo
Acceso bloqueado debido a que el acceso al archivo est bloqueado.
Palo Alto Networks
Tabla 46. Tipos de pginas de respuesta personalizadas (Continuacin)

Tipo de pgina
Opcin continua de bloqueo
de archivo
Descripcin
Pgina para que los usuarios confirmen que la descarga debe
continuar. Esta opcin nicamente est disponible si las
prestaciones de opcin continua estn habilitadas en el perfil de
seguridad. Consulte Perfiles de bloqueo de archivo en la
pgina 238.
Ayuda del portal de

GlobalProtect
Pgina de ayuda personalizada para usuarios de GlobalProtect

(accesible desde el portal).
Inicio de sesin del portal de

GlobalProtect
Pgina para los usuarios que intenten acceder al portal de

GlobalProtect. Para obtener informacin sobre GlobalProtect,
consulte Descripcin general en la pgina 367.
Pgina de bienvenida de
GlobalProtect
Pgina de bienvenida para los usuarios que intenten iniciar sesin

en el portal de GlobalProtect. Para obtener informacin sobre
GlobalProtect, consulte Descripcin general en la pgina 367.
Pgina de notificacin de
errores de certificado SSL
Notificacin de que un certificado SSL se ha revocado.
Pgina de exclusin de
descifrado de SSL
Pgina de advertencia para el usuario que indica que esta sesin se

inspeccionar.
Pgina de continuacin y
cancelacin de filtrado de
URL
Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.
Pgina de bloque de URL
Acceso bloqueado por un perfil de filtrado de URL o porque la

categora de URL est bloqueada por una poltica de seguridad.
Puede realizar cualquiera de las siguientes funciones bajo Pginas de respuesta:
Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del
tipo de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar.
Explore para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se ha
realizado con xito. Para que la importacin tenga xito, el archivo debe estar en formato
HTML.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
Para habilitar o deshabilitar la pgina Bloqueo de aplicacin o las pginas Exclusin de

descifrado de SSL, haga clic en el enlace Habilitar del tipo de pgina. Seleccione o
cancele la seleccin de la casilla de verificacin Habilitar.
Para utilizar la pgina de respuesta predeterminada en lugar de una pgina cargada

anteriormente, haga clic en el enlace Restablecer pgina de bloque del tipo de pgina y
haga clic en Restablecer. Se mostrar un mensaje para indicar que el restablecimiento se
ha realizado con xito.
Palo Alto Networks
Visualizacin de informacin de asistencia tcnica
Visualizacin de informacin de asistencia tcnica

Dispositivo > Asistencia tcnica
La pgina Asistencia tcnica le permite acceder a alertas de seguridad y productos desde Palo
Alto Networks, basndose en el nmero de serie de su cortafuegos. Tambin puede ver una
base de conocimientos tcnicos y crear y visualizar vales para solicitudes de asistencia
tcnica.
Para ver la informacin detallada de una alerta, haga clic en el nombre de la alerta.
Para ir a la pgina de asistencia tcnica de Palo Alto Networks, haga clic en Asistencia
tcnica.
Para introducir una solicitud de asistencia tcnica o para ver el estado de las solicitudes
existentes, haga clic en Gestionar casos.
Para generar un archivo de sistema que ayude a la asistencia tcnica de Palo Alto
Networks en la resolucin de problemas, haga clic en el archivo Generar asistencia
tcnica. Cuando se genere el archivo, haga clic en Descargar archivo de asistencia tcnica
para descargar el archivo en su equipo.
Palo Alto Networks
Captulo 4
Configuracin de red
Este captulo describe cmo configurar el cortafuegos para servir de respaldo a su
arquitectura de red:
Implementacin de cortafuegos en la seccin siguiente
Interfaces del cortafuegos en la pgina 135
Zonas de seguridad en la pgina 162
Compatibilidad de VLAN en la pgina 164
Enrutadores virtuales y protocolos de enrutamiento en la pgina 164
Servidor DHCP y retransmisin en la pgina 186
Proxy DNS en la pgina 188
Perfiles de red en la pgina 190

Nota: Para obtener informacin acerca de la compatibilidad VPN en el
cortafuegos, consulte Configuracin de tneles de IPSec en la pgina 337 y
Configuracin de tneles de IPSec en la pgina 337. Para obtener informacin
acerca de la compatibilidad de calidad de servicio (QoS), consulte Configuracin
de la calidad de servicio en la pgina 389
Palo Alto Networks
Configuracin de red 129
Implementacin de cortafuegos
El cortafuegos puede sustituir a su cortafuegos actual si se instala entre un enrutador de
extremo (o cualquier otro dispositivo con conexin a Internet) y un conmutador o enrutador
que le conecte a la red interna. El cortafuegos admite una amplia gama de opciones de
implementacin y tipos de interfaces que se pueden utilizar simultneamente en diferentes
interfaces fsicas. Se describen en las siguientes secciones:
Implementaciones de cable virtual en la seccin siguiente
Implementaciones de capa 2 en la pgina 132
Implementaciones de capa 3 en la pgina 132
Implementaciones de modo tap en la pgina 133
Definicin de cables virtuales en la pgina 133
Modificacin del contenido de los paquetes en la pgina 134
Implementaciones de cable virtual

En una implementacin de cable virtual, el cortafuegos se instala de forma transparente en
cualquier segmento uniendo dos puertos (Ilustracin 11). Puede instalar el cortafuegos en
cualquier entorno de red sin que necesite configurar los dispositivos de red adyacentes. Si
fuera necesario, un cable virtual puede bloquear o permitir el trfico en funcin de los valores
de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiples subinterfaces y clasificar
el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o una
combinacin de ambas.
De forma predeterminada, el cable virtual default-vwire conecta los puertos Ethernet 1 y 2 y
permite todo el trfico sin etiquetar.
Seleccione esta opcin para:
Simplificar la instalacin y configuracin.
Evitar cambios de configuracin en dispositivos de red cercanos.
Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se

necesita conmutacin o enrutamiento.
No se ha realizado
enrutamiento ni cambio
Red de usuario
Internet
Ilustracin 11. Implementacin de cable virtual

Las subinterfaces de cable virtual pueden proporcionar una gran flexibilidad si gestiona varias
redes en las que se necesita separar el trfico y establecer diferentes polticas. Puede utilizar
subinterfaces de cable virtual para clasificar el trfico en diferentes zonas y sistemas virtuales
basados en sus etiquetas VLAN, IP (direccin, intervalo o subred) o una combinacin de ambas.
130 Configuracin de red
Palo Alto Networks
En la imagen de la Ilustracin 12, un proveedor de servicios de Internet (ISP) utiliza subinterfaces

de cable virtual y clasificadores de IP para separar el trfico de dos clientes diferentes.
El flujo de trabajo general de la configuracin es configurar dos interfaces de Ethernet con cable
virtual. A continuacin puede aadir estas interfaces al cable virtual en Dispositivo > Cables
virtuales. Las interfaces que forman parte del cable virtual se configuran con las subinterfaces
definidas para separar el trfico del cliente A y del cliente B. Por ltimo, cree cables virtuales
adicionales para cada par de subinterfaces. Ambas subinterfaces de un cable virtual nico deben
contener la misma etiqueta VLAN ya que el cable virtual no puede cambiar las etiquetas VLAN.
La imagen de la Ilustracin 12 muestra que tiene un cliente A y un cliente B conectados al
cortafuegos mediante una interfaz fsica Ethernet 1/1 configurada como cable virtual, que es la
interfaz de entrada. Una segunda interfaz fsica Ethernet 1/2 tambin forma parte del cable virtual
y se utiliza como la interfaz de salida que proporciona acceso a Internet. Puede aadir
subinterfaces para el cliente A en el lado de entrada como Ethernet 1/1.1, y Ethernet 1/2.1 como la
subinterfaz de salida. Puede hacer lo mismo para el cliente B, pero utilizar la subinterfaz
Ethernet 1/1.2 como entrada y la subinterfaz Ethernet 1/2.2 como salida. Cuando configure las
subinterfaces, puede asignar la VLAN y la zona correctas para aplicar las polticas a cada uno de
los clientes. En este ejemplo, las polticas del cliente A se crean entre la zona 1 y la zona 2, y las
polticas del cliente B se crean entre la zona 3 y la zona 4.
El trfico entra en el cortafuegos desde el cliente A o el cliente B y cada cliente se separa en funcin
de su direccin IP si se utiliza la opcin del clasificador IP en la subinterfaz, VLAN si el etiquetado
est activado, o ambas.
El trfico entrante se asignar a una subinterfaz de un cable virtual concreto comparando primero
la etiqueta VLAN del paquete con las subinterfaces asociadas con la interfaz de entrada. Si una
subinterfaz simple incluye la etiqueta VLAN en el paquete entrante, esa subinterfaz se
seleccionar. Si hay varias subinterfaces coincidentes (que utilicen la misma etiqueta VLAN), el
cortafuegos intentar reducir an ms la clasificacin a una subinterfaz basada en la direccin IP
de origen en el paquete del trfico saliente. En el caso del trfico de la ruta de retorno, el
cortafuegos seleccionar el cable virtual adecuado comparando la direccin de destino de la lista
de clasificadores IP definidos en la subinterfaz del cliente.
La clasificacin de IP solo puede utilizarse en las subinterfaces asociadas con una interfaz fsica del
cable virtual (en un lado del cable virtual). Las subinterfaces definidas en la otra interfaz fsica del
cable virtual no deben contener un clasificador IP y deben especificar la misma etiqueta VLAN
que la subinterfaz correspondiente en el otro lado.
Cable virtual con subinterfaces
Cliente A
Cable virtual
Ethernet 1/1 (entrada)
Cable virtual
Ethernet 1/2 (salida)
Internet
Cliente B
Cliente A
Subinterfaz e1/1.1
Zona 1
Cliente B
Subinterfaz e1/1.2
Zona 3
Cliente A
Subinterfaz e1/2.1
Zona 2
Cliente B
Subinterfaz e1/2.2
Zona 4
Ilustracin 12. Implementacin de cable virtual con subinterfaces

Para configurar cables virtuales , consulte Configuracin de interfaces de cable virtual en la
pgina 148.
Palo Alto Networks
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada
grupo de interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar
entre ellas. El cortafuegos ejecutar el cambio de etiqueta VLAN cuando se adjunten
subinterfaces de capa 2 a un objeto VLAN comn. Seleccione esta opcin cuando necesite
poder alternar (Ilustracin 13).
Cambio entre dos redes
Red de usuario
Internet
Ilustracin 13. Implementacin de capa 2
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se
debe asignar una direccin IP a cada interfaz y definir un enrutador virtual para enrutar el
trfico. Seleccione esta opcin cuando necesite enrutamiento (Ilustracin 14).
Cambio entre
dos redes
10.1.2.1/24
10.1.1.1/24
Red de usuario
Internet
Ilustracin 14. Implementacin de capa 3
Protocolo punto a punto sobre Ethernet

Puede configurar el cortafuegos para que sea un punto de finalizacin del protocolo punto a
punto sobre Ethernet (PPPoE) con conectividad en un entorno de lnea de suscripcin digital
(DSL) en el que existe un mdem DSL, pero ningn otro dispositivo PPPoE que finalice la
conexin.
Puede seleccionar la opcin PPPoE y configurar los parmetros asociados si se define una
interfaz como interfaz de capa 3. Para obtener instrucciones, consulte Configuracin de
interfaces de capa 3 en la pgina 138.
Nota: PPPoE no es compatible en modo HA activo/activo.
Palo Alto Networks
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y
recibir una direccin IP asignada dinmicamente. El cortafuegos tambin permite propagar
los ajustes recibidos mediante la interfaz del cliente DHCP en un servidor DHCP que funciona
mediante cortafuegos. Esta opcin se suele utilizar para propagar los ajustes del servidor DNS
desde un proveedor de servicios de Internet a las mquinas cliente de la red que estn
protegidas por el cortafuegos.
Nota: El cliente DHCP no es compatible en modo HA activo/activo.
Implementaciones de modo tap

Un tap de red es un dispositivo que proporciona acceso al flujo de datos de un equipo de la
red. La implementacin de modo tap permite supervisar de forma pasiva los flujos de datos
de una red mediante un conmutador SPAN o un puerto espejo.
El puerto SPAN o de espejo permite copiar el trfico de otros puertos en el conmutador. Al
configurar una interfaz del cortafuegos como interfaz de modo tap y conectarla con un puerto
SPAN de conmutacin, este puerto proporciona al cortafuegos un reflejo del trfico. De esta
forma es posible visualizar la aplicacin en la red sin necesidad de estar en el flujo del trfico
de red.
Nota: En una implementacin de modo tap, el cortafuegos no puede realizar
ninguna accin como bloquear el trfico o aplicar controles QoS.
Definicin de cables virtuales

Red > Cables virtuales
Utilice esta pgina para definir cables virtuales despus de especificar dos interfaces de cable
virtual en el cortafuegos. Para ver una descripcin general de implementaciones de cable
virtual, consulte Implementaciones de cable virtual en la pgina 130. Para obtener
instrucciones sobre cmo especificar interfaces como cable virtual, consulte Configuracin de
interfaces de cable virtual en la pgina 148.
Tabla 47. Configuracin de cable virtual

Campo
Descripcin
Nombre de cable virtual
Introduzca un nombre para el cable virtual (de hasta 31 caracteres). Este

nombre aparece en la lista de cables virtuales cuando se configuran
interfaces. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Interfaces
Seleccione dos interfaces Ethernet de la lista de configuracin de cable

virtual. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de
cable virtual y no se han asignado a otro cable virtual.
Palo Alto Networks
Tabla 47. Configuracin de cable virtual (Continuacin)

Campo
Descripcin
Tags permitidos
Introduzca el nmero de etiqueta (0 a 4094) o el intervalo de nmeros de

etiqueta (tag1-tag2) del trfico permitido en el cable virtual. Un valor de
cero indica trfico sin etiquetar (opcin predeterminada). Si especifica
varias etiquetas o intervalos, deben estar separados por comas. El trfico
que se excluye del valor de la etiqueta se descarta. Tenga en cuenta que
los valores de etiqueta no se cambian en los paquetes de entrada o de
salida.
Si utiliza subinterfaces de cable virtual, la lista Tags permitidos causar
que todo el trfico con las etiquetas de la lista se clasifique en el cable
virtual principal. Las subinterfaces de cable virtual deben utilizar
etiquetas que no existen en la lista principal Tags permitidos.
Cortafuegos de multicast
Seleccione esta opcin si desea poder aplicar reglas de seguridad al trfico

de multicast. Si este ajuste no est activado, el trfico de multicast se
reenva por el cable virtual.
Envo del estado del

enlace
Seleccione esta casilla de verificacin si desea desactivar el otro puerto en

un cable virtual cuando se detecta un estado de enlace no operativo. Si no
selecciona esta casilla de verificacin, el estado del enlace no se propaga
por el cable virtual.
Para cambiar el nombre de un cable virtual o de las etiquetas permitidas, haga clic en el
nombre del cable virtual en la pgina Cables virtuales, cambie los ajustes y haga clic en
ACEPTAR. Los cables virtuales tambin se pueden cambiar desde la pgina Interfaces
(consulte Configuracin de interfaces de cable virtual en la pgina 148).
Para eliminar uno o ms cables virtuales, seleccione la casilla de verificacin junto a los
nombres de los cables virtuales y haga clic en Eliminar. Tenga en cuenta que si elimina un
cable virtual, lo eliminar de las interfaces asociadas de cable virtual que se muestran en la
pgina Interfaces.
Modificacin del contenido de los paquetes

Los cortafuegos de Palo Alto Networks se pueden configurar para realizar las siguientes
modificaciones en el contenido de los paquetes:
De forma predeterminada, el cortafuegos borrar las marcas de urgencia de TCP de todos

los paquetes. Este comportamiento se puede cambiar desactivando esta funcin en la CLI
mediante el siguiente comando: set deviceconfig setting tcp urgent-data
oobinline.
La modificacin del DiffServ Code Point (DSCP) o de las precedencias de IP de las marcas
QoS se puede configurar en la seccin Acciones de cada regla de seguridad.
La traduccin de la etiqueta VLAN se realizar siempre que las interfaces de entrada y

salida del cortafuegos se etiqueten de forma diferente.
Nota: La traduccin de la etiqueta VLAN no est disponible en interfaces de cable virtual.
Palo Alto Networks
Interfaces del cortafuegos

La tabla siguiente describe los tipos de interfaces que admite el cortafuegos y cmo definirlas.
Tabla 48. Interfaces admitidas

Interfaz
Descripcin
Capa 2
Se pueden configurar una o ms interfaces de capa 2 para el trfico VLAN

sin etiquetar. Puede definir las subinterfaces de capa 2 para el trfico con
etiquetas VLAN especficas. Consulte Configuracin de interfaces de
capa 2 en la pgina 86 y 87.
Capa 3
Se pueden configurar una o ms interfaces de capa 3 para el trfico

enrutado sin etiquetar. Puede definir las subinterfaces de capa 3 para el
trfico con etiquetas VLAN especficas.
Cada una de las interfaces puede tener varias direcciones IP. Consulte
Configuracin de interfaces de capa 3 en la pgina 88 y 91.
Agregar Ethernet
Se pueden combinar dos o ms puertos Ethernet en un mismo grupo para

aumentar el rendimiento y la capacidad de una interfaz de capa 2, capa 3 o
cable virtual y sus subinterfaces. Consulte Configuracin de Agregar
interfaces Ethernet en la pgina 152.
Nota: No puede aplicar ajustes de QoS para agregar una interfaz Ethernet.
VLAN
Las interfaces VLAN proporcionan enrutamiento de capa 3 del trfico

VLAN a destinos fuera de VLAN. Consulte Configuracin de interfaces
VLAN en la pgina 152.
Loopback
Las interfaces de loopback se pueden utilizar para proporcionar servicios

de capa 3 como administracin en banda, portal de GlobalProtect o
funcionalidades de puerta de enlace e IPSec. Cada interfaz de loopback se
comporta como una interfaz de host y tiene una IP asignada. Consulte
Configuracin de interfaces de loopback en la pgina 157.
Tnel
Las interfaces de tnel se pueden configurar. Consulte Configuracin de

interfaces de tnel en la pgina 158.
Cable virtual
Un cable virtual conecta dos puertos Ethernet entre s, lo que le permite

instalar el cortafuegos de forma transparente en la red con una
configuracin mnima. Un cable virtual acepta la totalidad o parte del
trfico con etiquetas VLAN seleccionadas, pero no proporciona servicios
de conmutacin o enrutamiento. Tambin puede crear subinterfaces y
clasificar el trfico en funcin de una direccin o intervalo IP, o una subred.
Consulte Configuracin de interfaces de cable virtual en la pgina 148.
Puntear
La interfaz de Tap permite conectar un puerto espejo (span) en un

conmutador para supervisar el trfico nicamente. Este modo no admite el
bloqueo de trfico o el filtrado URL. Consulte Configuracin de interfaces
de Tap en la pgina 160.
Alta disponibilidad
Puede configurar una interfaz de datos para que sea de alta disponibilidad
(HA) en algunos de los cortafuegos de Palo Alto Networks. Consulte
Configuracin de interfaces HA en la pgina 161.
Palo Alto Networks
Visualizacin de las interfaces actuales

Red > Interfaces
La pgina Interfaces muestra el tipo de interfaz, estado de enlace y zona de seguridad de cada
interfaz configurada, junto con la direccin IP, enrutador virtual, etiqueta VLAN y nombre de
VLAN o cable virtual (segn el caso).
De forma predefinida, las interfaces se muestran por nombre.
El siguiente icono se utiliza en la pgina Interfaces:
Indica que el enlace est activado (verde), desactivado (rojo) o tiene un estado
desconocido (gris).
Configuracin de interfaces de capa 2

Red > Interfaces > Ethernet
Puede configurar uno o ms puertos Ethernet como interfaces de capa 2 para el trfico VLAN
sin etiquetar. Para cada interfaz principal de capa 2, puede definir mltiples subinterfaces de
capa 2 para el trfico con etiquetas VLAN especficas (consulte Configuracin de
subinterfaces de capa 2 en la pgina 137). Las interfaces VLAN tambin se pueden utilizar en
implementaciones de capa 2 para proporciona un enrutamiento o servicios de puerta de
enlace al trfico en el dominio de capa 2 (consulte Configuracin de interfaces VLAN en la
pgina 152). Para ello se debe crear una interfaz VLAN y asignarla como la puerta de enlace
predeterminada para hosts conectados a la interfaz de capa 2 del cortafuegos.
Para configurar una interfaz Ethernet de capa 2, haga clic en el enlace de la interfaz en la
pestaa Ethernet y configure los siguientes parmetros.
Tabla 49. Configuracin de interfaz de capa 2

Campo
Descripcin
Nombre de interfaz
Seleccione la interfaz de la lista desplegable. Puede modificar el nombre si

lo desea.
Tipo de interfaz
Seleccione Capa 2 de la lista desplegable.
Perfil de flujo de red
Seleccione un perfil si desea exportar la totalidad del trfico de entrada

mediante la interfaz a un servidor NetFlow concreto. Consulte
Configuracin de ajustes de flujo de red en la pgina 93.
Comentarios
Introduzca una descripcin opcional de la interfaz.
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Compatibilidad de VLAN en la pgina 164). Ninguno
elimina la configuracin de la interfaz. Se debe configurar un objeto
VLAN para permitir cambiar entre interfaces de capa 2 o para permitir el
enrutamiento mediante una interfaz VLAN.
Sistema virtual
Seleccione el sistema virtual de una interfaz. Ninguno elimina la

configuracin de la interfaz.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo

para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Palo Alto Networks
Tabla 49. Configuracin de interfaz de capa 2 (Continuacin)

Campo
Descripcin
Pestaa Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo

automtico.
Dplex de enlace
Seleccione si el modo de transmisin de la interfaz es dplex completo

(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),

deshabilitado (Desactivado) o determinado automticamente (Auto).
Configuracin de subinterfaces de capa 2

Red > Interfaces
En cada puerto Ethernet configurado como una interfaz de capa 2, puede definir una interfaz
de capa 2 lgica adicional (subinterfaz) para cada etiqueta VLAN que se utiliza en el trfico
que recibe el puerto. Para configurar las interfaces principales de capa 2, consulte
Configuracin de interfaces de capa 2 en la pgina 136. Para permitir el intercambio entre
subinterfaces de capa 2, solo tiene que enlazar esas subinterfaces al mismo objeto VLAN.
Para aadir una subinterfaz Ethernet de capa 2, seleccione la interfaz fsica asociada y haga
clic en Aadir subinterfaz para especificar la siguiente informacin.
Tabla 50. Configuracin de subinterfaz de capa 2

Campo
Descripcin
Nombre de interfaz
Seleccione la interfaz de capa 2 en la que desea aadir la subinterfaz. Para

configurar las interfaces de capa 2, consulte Configuracin de interfaces
de capa 2 en la pgina 136.
Introduzca el nmero (1 a 9999) junto al nombre de la interfaz fsica para
formar el nombre de la interfaz lgica. El formato de nombre general es:
ethernetx/y.<1-9999>
Etiqueta
Introduzca el nmero de etiqueta (1 a 4094) o el trfico recibido en esta

interfaz. El trfico saliente de esta interfaz tambin se define en este valor
de etiqueta.

Comentarios
Asignar interfaz a
VLAN
Palo Alto Networks
Para una interfaz de capa 2 permite seleccionar VLAN o hacer clic en

Nuevo para definir una nueva VLAN (consulte Perfiles de red en la
pgina 190). Ninguno elimina la configuracin de la interfaz. Se debe
configurar un objeto VLAN para permitir cambiar entre interfaces de
capa 2 o para permitir el enrutamiento mediante una interfaz VLAN.
Tabla 50. Configuracin de subinterfaz de capa 2 (Continuacin)

Campo
Descripcin
Zona de seguridad

interfaz.
Sistema virtual

Configuracin de interfaces de capa 3

Red > Interfaces > Ethernet
Puede configurar uno o ms puertos Ethernet como interfaces de capa 3 para el trfico
enrutado sin etiquetar. Puede definir subinterfaces de capa 3 para el trfico con etiquetas
VLAN especficas (consulte Configuracin de subinterfaces de capa 3 en la pgina 144) si
conecta el cortafuegos a un dispositivo vecino mediante un enlace troncal. Para obtener
informacin sobre configuracin de interfaces de capa 3 para PPPoE, consulte Protocolo
punto a punto sobre Ethernet en la pgina 132.
Las interfaces de capa 3 tambin pueden actuar como un cliente DHCP para recibir su
configuracin de un servidor DHCP externo.
Para configurar una interfaz Ethernet de capa 3, haga clic en el enlace de la interfaz en la
pestaa Ethernet y configure los siguientes parmetros.
Tabla 51. Configuracin de interfaz de capa 3

Campo
Descripcin
Nombre de interfaz

lo desea.
Tipo de interfaz
Seleccione Capa 3 de la lista desplegable.

Comentarios
Pestaa Configuracin
Enrutador virtual
Seleccione un enrutador virtual o haga clic en Nuevo para definir un

nuevo enrutador virtual (consulte Enrutadores virtuales y protocolos de
enrutamiento en la pgina 164). Ninguno elimina la configuracin de la
interfaz.
Sistema virtual

Zona de seguridad

interfaz.
Palo Alto Networks

Campo
Descripcin
Pestaa IPv4
Tipo
Seleccione cmo se especificar la informacin de la direccin IP (Esttico,

PPPoE, o cliente DHCP), tal y como se describe a continuacin.
Esttico
Introduzca una direccin IP y una mscara de red para la interfaz con

formato direccin_ip/mscara y haga clic en Aadir. Puede introducir
mltiples direcciones IP para la interfaz. Para eliminar una direccin IP,
seleccione la direccin y haga clic en Eliminar.
PPPoE
Seleccione PPPoE si la interfaz se utilizar para PPPoE y configure los

siguientes ajustes:
Pestaa secundaria General:
Habilitar: seleccione la casilla de verificacin para activar la interfaz
para terminacin PPPoE.
Nombre de usuario: Introduzca el nombre de usuario de la conexin de
punto a punto.
Contrasea/Confirmar contrasea: Introduzca y confirme la
contrasea del nombre de usuario.
Pestaa secundaria Avanzada:
Autenticacin: Seleccione CHAP (Protocolo de autenticacin por
desafo mutuo), PAP (Protocolo de autenticacin de contrasea) o la
opcin predefinida Auto (para que el cortafuegos determine el
protocolo de autenticacin para comunicaciones PPPoE).
Direccin esttica: Especifique la direccin IP esttica asignada por el
proveedor de servicios (opcional, no predeterminada).
Crear automticamente ruta predeterminada que apunte al peer:
Seleccione la casilla de verificacin para que se cree automticamente
una ruta predefinida que apunte al peer PPPoE cuando se conecte.
Mtrica de ruta predeterminada: Especifique la mtrica de ruta
asociada con la ruta predefinida que se utilizar para seleccionar la ruta
(opcional, intervalo 1-65535).
Acceder a concentrador: especifique el nombre del concentrador de
acceso al que se realizar la conexin (opcional, no predeterminado).
Servicio: Especifique la cadena de servicio (opcional, no
predeterminado).
Pasivo: Seleccione la casilla de verificacin para utilizar el modo pasivo.
En modo pasivo, un extremo PPPoE espera a que el concentrador de
acceso enve la primera trama.
Nota: PPPoE no es compatible en modo HA activo/activo.
Palo Alto Networks

Campo
Descripcin
Cliente DHCP
Seleccione Cliente DHCP para permitir que la interfaz acte como un cliente
DHCP y reciba una direccin IP asignada dinmicamente. Especifique lo
siguiente:
Habilitar: seleccione la casilla de verificacin para activar el cliente DHCP
en la interfaz.
Crear automticamente ruta predeterminada que apunte al servidor:
Seleccione la casilla de verificacin para que se cree automticamente una
ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Mtrica de ruta predeterminada: Especifique la mtrica de ruta asociada
con la ruta predefinida que se utilizar para seleccionar la ruta (opcional,
intervalo 1-65535).
Haga clic en Mostrar informacin de tiempo de ejecucin de cliente
DHCP para abrir una ventana que muestre todos los ajustes recibidos del
servidor DHCP, incluyendo el estado de concesin de DHCP, la asignacin
de IP dinmica, la mscara de subred, la puerta de enlace, la configuracin
del servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
Nota: El cliente DHCP no es compatible en modo HA activo/activo.
Pestaa IPv6
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en esta

interfaz.
ID de interfaz
Introduzca el identificador nico extendido de 64 bits en formato

hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz se
deja en blanco, el cortafuegos utilizar la EUI-64 generada a partir de la
direccin MAC de la interfaz fsica. El ID de interfaz se utiliza como la parte
del host de una direccin de interfaz cuando se habilita la opcin Usar ID de
interfaz como parte de host.
Palo Alto Networks

Campo
Descripcin
Direccin
Haga clic en Aadir e introduzca una direccin IPv6 y una longitud de

prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz como
parte de host para asignar una direccin IPv6 a la interfaz que utilizar el ID
de interfaz como la parte del host de la direccin. Seleccione Difusin por
proximidad para incluir el enrutado mediante el nodo ms cercano. Si no se
introduce el Prefijo, la direccin IPv6 asignada a la interfaz ser la que
especifique completamente en el cuadro de texto de la direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar el
anuncio del enrutador en esta direccin IP. Tambin puede configurar que se
enve la marca Autnomo y definir la opcin Enlace activo. Debe habilitar la
opcin Habilitar anuncio de enrutador de forma global en la interfaz antes
de activar Enviar anuncio de enrutador para una direccin IP concreta.
Resolucin de direccin
(Duplicar deteccin de
direccin)
Seleccione la casilla de verificacin para habilitar Duplicar deteccin de

direccin (DAD) y especifique la siguiente informacin.
Intentos DAD: Especifique el nmero de intentos del intervalo de
solicitacin de vecinos de DAD antes de que falle el intento de identificar a
los vecinos (intervalo 1-10).
Tiempo alcanzable: Especifique el tiempo que un vecino permanece
alcanzable despus de una consulta y respuesta correctas (intervalo:
1-36.000 segundos).
Intervalo de solicitacin de vecinos (NS): Especifique el nmero de
segundos de intentos DAD antes de indicar el fallo (intervalo 110 segundos).
Palo Alto Networks

Campo
Descripcin
Habilitar anuncio de
enrutador
eleccione la casilla de verificacin para habilitar Anuncio de enrutador (RA)

para proporcionar la configuracin automtica de direcciones sin estado
(SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede actuar como
una puerta de enlace predeterminada para hosts IPv6 que no estn
configurados estticamente y proporcionar al host un prefijo IPv6 que se
puede utilizar para la configuracin de direcciones. Se puede utilizar un
servidor DHCPv6 diferente en conjuncin con esta funcin para
proporcionar DNS y otros ajustes a los clientes.
Esta opcin es un ajuste global de la interfaz. Tambin puede definir las
opciones de anuncio de enturador por direccin IP haciendo clic en Aadir e
introduciendo una direccin IP. Debe activar esta opcin en la interfaz si va a
especificar la opcin Enviar anuncio de enrutador por direccin.
Especifique la siguiente informacin que utilizarn los clientes que reciban
los mensajes RA.
Min. de intervalo (seg): Especifique el intervalo mnimo por segundos en
el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
enrutador se enviarn a intervalos aleatorios entre los valores mnimo y
mximo configurados (intervalo 3-1350 segundos; opcin predefinida
200 segundos).
Mx. de intervalo (seg): Especifique el intervalo mximo por segundos en
el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
600 segundos).
Lmite de salto: Especifique el lmite de salto que se aplicar a los clientes
para paquetes salientes. Introduzca 0 si no desea ningn lmite de salto
(intervalo 1-255; opcin predefinida 64).
MTU de enlace: Especifique la MTU de enlace que se aplicar a los clientes.
Seleccione Sin especificar para una MTU sin enlace (intervalo: 1280-9192;
opcin predeterminada sin especificar).
Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizar para
asumir que un vecino es alcanzable despus de recibir un mensaje de
confirmacin. Seleccione Sin especificar para un valor de tiempo no
alcanzable (intervalo: 0-3.600.000 milisegundos; opcin predeterminada sin
especificar).
Tiempo de retransmisin (ms): Especifique el temporizador de
transmisin que el cliente utilizar para determinar cunto tiempo debe
esperar antes de retransmitir los mensajes de solicitacin de vecinos.
Seleccione Sin especificar para ningn tiempo de retransmisin (intervalo
0-4294967295 milisegundos; opcin predefinida sin especificar).
Duracin de enrutador (seg): Especifique la duracin del enrutador que
indicar al cliente cunto tiempo se utilizar el cortafuegos/enrutador
como el enrutador predeterminado (intervalo: 0-9.000 segundos; opcin
predeterminada 1.800).
Configuracin gestionada: Seleccione la casilla de verificacin para indicar
al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar al
cliente que existen otras direcciones de informacin mediante DHCPv6,
como ajustes relacionados con DNS.
Palo Alto Networks

Campo
Descripcin
SComprobacin de coherencia: Seleccione la casilla de verificacin para
activar comprobaciones de coherencia que utilizar el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
est transmitiendo informacin coherente en el enlace. Si se detectan
incoherencias, se crear un log.
Pestaa Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo

automtico.
Dplex de enlace

Estado de enlace

Otra informacin
Especifique la siguiente informacin en la pestaa secundaria Otra

informacin:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz de capa 3 (512 a 1500, opcin
predefinida 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD), el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Este ajuste soluciona la situacin en la que un tnel en la red
requiere un MSS menor. Si un paquete no se ajusta a MSS sin
fragmentarlo, este parmetro permite realizar un ajuste.
Subinterfaz no etiquetada: Especifica que todas las interfaces que
pertenecen a esta interfaz de capa 3 no se etiqueten.
PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de
salida basada en el destino del paquete. Si un paquete tiene una
direccin IP de subinterfaz no etiquetada como destino, se asignar a la
subinterfaz. Esto tambin significa que un paquete que va en direccin
inversa debe tener su direccin de origen traducida a la direccin IP de
la interfaz de la subinterfaz sin etiquetar. Otra variable de esta forma de
clasificacin es que todos los paquetes de multicast y difusin se
asignarn a la interfaz de base en lugar de a cualquiera de las
subinterfaces. Como OSPF utiliza multicast, no es compatible con
subinterfaces sin etiquetar.
Entradas ARP/Interfaz
Para aadir una o ms entradas ARP estticas, haga clic en Aadir e

introduzca una direccin IP y la direccin (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la direccin del
hardware.
Entradas de ND
Haga clic en Aadir para introducir la direccin IPv6 y MAC de los

vecinos que se aadirn al descubrimiento.
Palo Alto Networks
Configuracin de subinterfaces de capa 3

Red > Interfaces
En cada puerto Ethernet configurado como una interfaz de capa 3, puede definir una interfaz
de capa 3 lgica adicional (subinterfaz) para cada etiqueta VLAN que se utiliza en el trfico
que recibe el puerto. Para configurar las interfaces principales de capa 3, consulte
Configuracin de interfaces de capa 3 en la pgina 138.
Las subinterfaces de capa 3 sin etiquetar tambin se pueden utilizar si la opcin principal de
subinterfaz no etiquetada de subinterfaz de capa 3 est habilitada. Las subinterfaces sin
etiquetar se utilizan en entornos de mltiples inquilinos, donde el trfico de cada inquilino
debe salir del cortafuegos sin etiquetas VLAN.
Supongamos un ejemplo en el que el trfico de cada inquilino sale del cortafuegos y el
siguiente salto es un enrutador de un ISP. No siempre es posible aplicar una etiqueta VLAN
en el trfico de retorno para que el cortafuegos lo clasifique correctamente en un sistema
virtual. En estos casos, puede utilizar una subinterfaz sin etiquetar en el lado del enrutador
del ISP. Cada una de las subinterfaces sin etiquetar tendr una direccin IP y todo el trfico
saliente debe tener su direccin de origen traducida a esa direccin IP de la interfaz. Se debe
crear una regla NAT explcita para que esta caracterstica funcione. Las subinterfaces sin
etiquetar necesitan NAT de origen porque el cortafuegos utilizar la direccin IP de destino en
los paquete entrantes (ruta de retorno) para seleccionar el sistema virtual correcto de
bsqueda de polticas. El trfico que se recibe en la interfaz principal que no es el destinado a
ninguna de las IP de la subinterfaz sin etiquetar lo gestionarn el sistema virtual y el
enrutador virtual asignado a esa interfaz principal.
Para aadir una subinterfaz Ethernet de capa 3, seleccione la interfaz asociada y haga clic en
Aadir subinterfaz para especificar la siguiente informacin.
Tabla 52. Configuracin de subinterfaz de capa 3

Campo
Descripcin
Nombre de interfaz
Seleccione la interfaz de capa 3 en la que desea aadir la subinterfaz. Para

configurar las interfaces de capa 3, consulte Configuracin de interfaces
de capa 3 en la pgina 138.
Etiqueta

interfaz. El trfico saliente de esta interfaz tambin se define en este valor
de etiqueta.

Comentarios
Pestaa Configuracin
Enrutador virtual

interfaz.
Sistema virtual

Palo Alto Networks

Campo
Descripcin
Zona de seguridad

interfaz.
Pestaa IPv4
Tipo
Seleccione cmo se especificar la informacin de la direccin IP (Esttico,

PPPoE, o cliente DHCP), tal y como se describe a continuacin.
Esttico
Introduzca una direccin IP y una mscara de red para la interfaz con

formato direccin_ip/mscara y haga clic en Aadir. Puede introducir
mltiples direcciones IP para la interfaz. Para eliminar una direccin IP,
seleccione la direccin y haga clic en Eliminar.
Cliente DHCP
Seleccione Cliente DHCP para permitir que la interfaz acte como un

cliente DHCP y reciba una direccin IP asignada dinmicamente.
Habilitar: seleccione la casilla de verificacin para activar el cliente
DHCP en la interfaz.
Crear automticamente ruta predeterminada que apunte a la puerta
de enlace predeterminada proporcionada por el servidor: Seleccione la
casilla de verificacin para que se cree automticamente una ruta
predefinida que apunte al servidor DHCP cuando se conecte.
Mostrar informacin de tiempo de ejecucin de cliente DHCP:
Seleccione esta opcin para abrir una ventana que muestre todos los
ajustes recibidos del servidor DHCP, incluyendo el estado de concesin
de DHCP, la asignacin de IP dinmica, la mscara de subred, la puerta
de enlace, la configuracin del servidor (DNS, NTP, dominio, WINS,
NIS, POP3 y SMTP).
Pestaa IPv6
interfaz
Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en

esta interfaz.
ID de interfaz

direccin MAC de la interfaz fsica.
Direccin

prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte del host de la direccin.
Seleccione Difusin por proximidad para incluir el enrutado mediante el
nodo ms cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a
la interfaz ser la que especifique completamente en el cuadro de texto de
la direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta direccin IP. Tambin puede configurar
que se enve la marca Autnomo y definir la opcin Enlace activo. Debe
habilitar la opcin Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar RA para una direccin IP concreta.
Palo Alto Networks

Campo
Descripcin

direccin)

solicitacin de vecinos de DAD antes de que falle el intento de
identificar a los vecinos (intervalo 1-10).
1-36.000 segundos).
Intervalo de solicitacin de vecinos (NS): Especifique el nmero
de segundos de intentos DAD antes de indicar el fallo (intervalo
1-10 segundos).
enrutador
Seleccione la casilla de verificacin para habilitar Anuncio de enrutador

(RA) para proporcionar la configuracin automtica de direcciones sin
estado (SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede
actuar como una puerta de enlace predeterminada para hosts IPv6 que no
estn configurados estticamente y proporcionar al host un prefijo IPv6
que se puede utilizar para la configuracin de direcciones. Se puede
utilizar un servidor DHCPv6 diferente en conjuncin con esta funcin
para proporcionar DNS y otros ajustes a los clientes.
opciones de anuncio de enturador por direccin IP haciendo clic en
Aadir e introduciendo una direccin IP. Debe activar esta opcin en la
interfaz si va a especificar la opcin Enviar anuncio de enrutador por
direccin.
Especifique la siguiente informacin que utilizarn los clientes que
reciban los mensajes RA.
Min. de intervalo (seg): Especifique el intervalo mnimo por segundos
en el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
200 segundos).
Mx. de intervalo (seg): Especifique el intervalo mximo por segundos
600 segundos).
Lmite de salto: Especifique el lmite de salto que se aplicar a los
clientes para paquetes salientes. Introduzca 0 si no desea ningn lmite
de salto (intervalo 1-255; opcin predefinida 64).
MTU de enlace: Especifique la MTU de enlace que se aplicar a los
clientes. Seleccione Sin especificar para una MTU sin enlace (intervalo:
1280-9192; opcin predeterminada sin especificar).
Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizar
para asumir que un vecino es alcanzable despus de recibir un mensaje
de confirmacin. Seleccione Sin especificar para un valor de tiempo no
alcanzable (intervalo: 0-3.600.000 milisegundos; opcin predeterminada
sin especificar).
Palo Alto Networks

Campo
Descripcin
Configuracin gestionada: Seleccione la casilla de verificacin para
indicar al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar
al cliente que existen otras direcciones de informacin mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobacin de coherencia: Seleccione la casilla de verificacin para
Pestaa Avanzada
Otra informacin
Especifique la siguiente informacin en la pestaa secundaria Otra

informacin:
interfaz.
para los paquetes enviados en esta interfaz de capa 3 (512 a 1500, opcin
predefinida 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD), el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
Entradas de ARP
Para aadir una o ms entradas del protocolo de resolucin de direccin

(ARP, introduzca una direccin IP y su hardware asociado (Media Access
Control o MAC) y haga clic en Aadir. Para eliminar una entrada esttica,
seleccione la entrada y haga clic en Eliminar. Las entradas ARP estticas
reducen el procesamiento ARP e impiden los ataques de man in the
middle de las direcciones especificadas.
Entradas de ND
Haga clic en Aadir para introducir la direccin IP y MAC de los vecinos

que se aadirn al descubrimiento.
Palo Alto Networks
Configuracin de interfaces de cable virtual

Red > Interfaces
Para crear un cable virtual, debe conectar dos puertos Ethernet, lo que permitir que todo el
trfico pase entre los puertos o bien, nicamente el trfico con las etiquetas VLAN
seleccionadas (sin ningn otro servicio de intercambio o enrutamiento disponible). Tambin
puede crear subinterfaces y clasificar el trfico en funcin de una direccin o intervalo IP, o
una subred. Un cable virtual no requiere ningn tipo de cambio en los dispositivos de red
adyacentes. Para ver una descripcin general de implementaciones de cable virtual, consulte
Implementaciones de cable virtual en la pgina 130.
Para configurar un cable virtual en el cortafuegos, primero debe definir las interfaces de cable
virtual, tal y como se describe en el siguiente procedimiento. A continuacin puede crear el
cable virtual utilizando las interfaces que ha creado.
Para configurar cada una de las interfaces de cable virtuales, realice estos pasos:
1.
Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
2.
Haga clic en el nombre de la interfaz y especifique la siguiente informacin.
Tabla 53. Configuracin de cable virtual

Campo
Descripcin
Nombre de interfaz

lo desea.
Tipo de interfaz
Seleccione Cable virtual en la lista desplegable.

Comentarios
Pestaa Configuracin
Cable virtual

nuevo enrutador virtual (consulte Definicin de cables virtuales en la
pgina 133). Ninguno elimina la configuracin de la interfaz.
Sistema virtual

Zona de seguridad

interfaz.
Pestaa Avanzada
Velocidad de enlace
Especifique la velocidad de la interfaz. Si la interfaz seleccionada es una

interfaz de 10 Gbps, la nica opcin es Auto. En el resto de casos, las
opciones son: 10, 100, 1000 o Auto.
Dplex de enlace

Estado de enlace

Palo Alto Networks
Si desea cambiar una interfaz de cable virtual a otro tipo de interfaz, haga clic en el nombre del
cable virtual que aparece en la columna VLAN/Cable virtual, seleccione Ninguno y haga clic
en ACEPTAR.
Configuracin de subinterfaces de cable virtual

Red > Interfaces
En cada puerto Ethernet configurado como una interfaz de cable virtual, puede definir una
interfaz de cable virtual lgica adicional (subinterfaz) para cada etiqueta VLAN que se utiliza
en el trfico que recibe el puerto. Adems, las subinterfaces de cable virtual se pueden definir
segn una combinacin de etiquetas VLAN y direcciones IP, o bien mediante su direccin IP
nicamente si el trfico est sin etiquetar. La clasificacin IP se utiliza para asignar el trfico a
una zona o sistema virtual concreto. La clasificacin IP solo se puede utilizar en un lado de un
cable virtual. El trfico que entra en una subinterfaz de cable virtual en la que se define la
clasificacin IP, se clasificar segn su direccin IP de origen. Para el trfico de retorno que
entra por el otro extremo del cable virtual, la clasificacin se basa en la direccin IP de destino.
Cuando configura subinterfaces de cable virtual, debe asegurarse de que la lista Tags
permitidos del cable virtual principal no incluye ninguna de las etiquetas VLAN asociadas
con las subinterfaces de cable virtual.
Cuando configure subinterfaces de cable virtual que utilizan una combinacin de etiqueta
VLAN y clasificacin basada en IP, tambin debe definir una subinterfaz que utilice la misma
etiqueta VLAN y ninguna clasificacin de IP. Estas subinterfaces son obligatorias.
Para configurar las interfaces de cable virtual principales, consulte Configuracin de
interfaces de cable virtual en la pgina 148.
Nota: Las siguientes limitaciones NAT se aplican a los cables virtuales:
NAT de origen donde la interfaz de entrada utiliza clasificacin basada en IP, no
es compatible.
NAT de destino no se puede utilizar si la interfaz de salida utiliza clasificacin
basada en IP.
Para aadir una subinterfaz de cable virtual, haga clic en Aadir subinterfaz de cable virtual
y especifique la siguiente informacin.
Tabla 54. Configuracin de subinterfaces de cable virtual

Campo
Descripcin
Nombre de interfaz
Seleccione la interfaz de cable virtual en la que desea aadir la

subinterfaz. Para configurar la interfaz de cable virtual, consulte
Configuracin de interfaces de cable virtual en la pgina 148.
Etiqueta

interfaz.
Si define un valor de etiqueta de 0 coincidir con trfico sin etiquetar.
Palo Alto Networks

Tabla 54. Configuracin de subinterfaces de cable virtual (Continuacin)

Campo
Descripcin
Comentarios
Clasificador IP
Haga clic en Aadir para aadir una direccin IP, subred o intervalo IP
que se puede utilizar para clasificar el trfico entrante en el cortafuegos
mediante este puerto fsico en esta subinterfaz en funcin de su direccin
IP de origen. El trfico de ruta de retorno entrante en cortafuegos por el
otro extremo del cable virtual asociado se comparar con su direccin de
destino. La clasificacin IP se puede utilizar con independencia de su
clasificacin basada en VLAN.
La clasificacin de subinterfaz basada en su direccin IP permite asignar
una zona diferente o sistema virtual, con independencia de la etiqueta
VLAN. Esta funcin es til si todas las sesiones de mltiples orgenes
utilizan una VLAN comn, pero requieren diferentes niveles de
aplicacin de seguridad.
Asignar interfaz a
Zona de seguridad

interfaz.
Sistema virtual

Configuracin de la agregacin de interfaces

Red > Interfaces
La opcin de agregacin de interfaces permite generar un rendimiento agregado superior a
1 Gbps mediante la agregacin del enlace 802.3ad de mltiples enlaces de 1 Gbps. Tambin se
admite la agregacin de XFP y SFP + de 10 Gbps. La interfaz de agregacin que cree se
convertir en la interfaz lgica. Gestin de interfaz, perfiles de zona, interfaces VPN y
subinterfaces VLAN son propiedades de la interfaz de agregacin lgica, no de las interfaces
fsicas subyacentes.
Cada grupo de agregacin puede contener varias interfaces fsicas del tipo de agregacin de
Ethernet. Una vez creado el grupo, puede ejecutar operaciones como configurar parmetros
de capa 2 o capa 3 en el grupo de agregacin en lugar de en interfaces de agregacin de
Ethernet.
Nota: El algoritmo utilizado para distribuir el trfico de manera uniforme en las
interfaces de un grupo de agregacin se basa en el ID de sesin del trfico entrante.
A medida que entra el trfico en el grupo de agregacin, los tres ltimos bits nicos
del ID de sesin se utilizarn para determinar la interfaz que se debe utilizar para
un flujo concreto.
Palo Alto Networks
Las siguientes reglas se aplican a la hora de agregar interfaces:
Las interfaces son compatibles con cable virtual, capa 2 y capa 3.
No se admite el modo tap.
Los enlaces de 1 Gbps de un grupo deben ser del mismo tipo (todos de cobre o todos de
fibra).
Puede incluir hasta ocho interfaces de agregacin en un grupo de agregacin.
Todos los miembros de un grupo de agregacin deben ser del mismo tipo. Se valida
durante la operacin de compilacin.
Los grupos de agregacin se pueden utilizar para el escalado de la redundancia y

rendimiento en el enlace HA3 (reenvo de paquetes) en implementaciones de HA Activo/
Activo.
Puede configurar una o ms interfaces como parte de un grupo de interfaz Ethernet de

agregacin. En primer lugar, defina el grupo, tal y como se describen en esta seccin, y a
continuacin, asigne las interfaces al grupo. Para obtener instrucciones sobre cmo asignar
interfaces al grupo, consulte Configuracin de subinterfaces de capa 3 en la pgina 144.
Para crear y configurar interfaces de grupo de agregacin, haga clic en Aadir grupo de
agregacin y especifique la siguiente informacin.
Tabla 55. Configuracin de interfaz de grupo de agregacin

Campo
Descripcin
Nombre de interfaz
Introduzca un nombre y un sufijo numrico para identificar la interfaz. El

nombre de la interfaz tiene el formato mm.n, donde mm es el nombre y n
es el sufijo (1-8).
Tipo de interfaz
Seleccione el tipo de interfaz.

HA: no se necesita ningn tipo de configuracin adicional.
Capa 2: Configure los ajustes tal y como se describe en Tabla 50.
Capa 3: Configure los ajustes tal y como se describe en Tabla 52.
Comentarios
Asignar interfaz a
Asignar interfaz a
La asignacin de la interfaz depende del tipo de interfaz, de la siguiente

forma:
Capa 2: Especifique VLAN y zona.
Capa 3: Especifique un enrutador virtual VLAN y zona.
Cable virtual: Especifique un cable virtual y zona.
Nota: Si el tipo es HA, no necesita especificar ninguna opcin en esta
seccin.
Sistema virtual
Palo Alto Networks

Configuracin de Agregar interfaces Ethernet

Red > Interfaces
A cada interfaz de Ethernet de agregacin se le asigna un nombre con el formato ae.nmero y
puede ser de capa 2, capa 3, o cable virtual. Una vez realizada la asignacin, la nueva interfaz
funciona de la misma forma que cualquier otra interfaz.
Para configurar la agregacin de interfaces Ethernet, haga clic en el nombre de la interfaz de la
pestaa Ethernet y especifique la siguiente informacin.
Tabla 56. Configuracin de interfaz de Ethernet de agregacin

Campo
Descripcin
Nombre de interfaz

lo desea.
Tipo de interfaz
Seleccione Agregar Ethernet de la lista desplegable.

Comentarios
Pestaa Configuracin
Sistema virtual

Zona de seguridad

interfaz.
Pestaa Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo

automtico.
Dplex de enlace

Estado de enlace

Palo Alto Networks
Configuracin de interfaces VLAN

Red > Interfaces
En cada puerto Ethernet configurado como interfaz de capa 2, puede definir una interfaz
VLAN para permitir en enrutamiento del trfico VLAN a destinos de capa 3 fuera de VLAN.
Para configurar las interfaces principales de capa 2, consulte Configuracin de interfaces de
capa 2 en la pgina 136.
Para definir una interfaz VLAN, abra la pestaa VLAN, haga clic en Aadir y especifique los
siguientes ajustes.
Tabla 57. Configuracin de interfaz VLAN

Campo
Descripcin
Nombre de interfaz
Especifique un sufijo numrico a la interfaz (1-4999).

Comentarios
Aada una descripcin opcional de la interfaz.
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Perfiles de red en la pgina 190). Ninguno elimina la
Enrutador virtual

interfaz.
Sistema virtual

Zona de seguridad

interfaz.
Pestaa IPv4
Esttico
Palo Alto Networks
Seleccione Esttico para asignar direcciones IP estticas. Haga clic en

Aadir e introduzca una direccin IP y una mscara de red para la
interfaz con formato direccin_ip/mscara. Puede introducir mltiples
direcciones IP para la interfaz.
Tabla 57. Configuracin de interfaz VLAN (Continuacin)

Campo
Descripcin
Cliente DHCP
Seleccione DHCP para utilizar la asignacin de direcciones DHCP para la

interfaz y especifique los siguientes ajustes:
Habilitar: seleccione la casilla de verificacin para activar el cliente
DHCP en la interfaz.
Crear automticamente ruta predeterminada que apunte al servidor:
Seleccione la casilla de verificacin para que se cree automticamente
una ruta predefinida que apunte al servidor DHCP cuando se conecte.
Haga clic en Mostrar informacin de tiempo de ejecucin de cliente
DHCP para abrir una ventana que muestre todos los ajustes recibidos del
servidor DHCP, incluyendo el estado de concesin de DHCP, la
asignacin de IP dinmica, la mscara de subred, la puerta de enlace, la
configuracin del servidor (DNS, NTP, dominio, WINS, NIS, POP3 y
SMTP).
Entradas de ARP
Para aadir una o ms entradas ARP, introduzca una direccin IP y su

hardware asociado (MAC) y haga clic en Aadir. Para eliminar una
entrada esttica, seleccione la entrada y haga clic en Eliminar.
Pestaa IPv6
interfaz

la subinterfaz.
ID de interfaz

Direccin

la direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta direccin IP. Tambin puede configurar
que se enve la marca Autnomo y definir la opcin Enlace activo. Debe
habilitar la opcin Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar anuncio de enrutador para una direccin
IP concreta.
Palo Alto Networks

Campo
Descripcin
direccin)

solicitacin de vecinos de DAD antes de que falle el intento de
identificar a los vecinos (intervalo 1-10).
1-36.000 segundos).
Intervalo de solicitacin de vecinos (NS): Especifique el nmero de
segundos de intentos DAD antes de indicar el fallo (intervalo
1-10 segundos).
enrutador
Seleccione la casilla de verificacin para habilitar Anuncio de enrutador

(RA) para proporcionar la configuracin automtica de direcciones sin
estado (SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede
actuar como una puerta de enlace predeterminada para hosts IPv6 que no
estn configurados estticamente y proporcionar al host un prefijo IPv6
que se puede utilizar para la configuracin de direcciones. Se puede
utilizar un servidor DHCPv6 diferente en conjuncin con esta funcin
para proporcionar DNS y otros ajustes a los clientes.
opciones de anuncio de enturador por direccin IP haciendo clic en
Aadir e introduciendo una direccin IP. Debe activar esta opcin en la
interfaz si va a especificar la opcin Enviar anuncio de enrutador por
direccin.
Especifique la siguiente informacin que utilizarn los clientes que
reciban los mensajes RA.
Min. de intervalo (seg): Especifique el intervalo mnimo por segundos
200 segundos).
Mx. de intervalo (seg): Especifique el intervalo mximo por segundos
600 segundos).
Lmite de salto: Especifique el lmite de salto que se aplicar a los
clientes para paquetes salientes. Introduzca 0 si no desea ningn lmite
de salto (intervalo 1-255; opcin predefinida 64).
MTU de enlace: Especifique la MTU de enlace que se aplicar a los
clientes. Seleccione Sin especificar para una MTU sin enlace (intervalo:
1280-9192; opcin predeterminada sin especificar).
Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizar
para asumir que un vecino es alcanzable despus de recibir un mensaje
de confirmacin. Seleccione Sin especificar para un valor de tiempo no
alcanzable (intervalo: 0-3.600.000 milisegundos; opcin predeterminada
sin especificar).
Palo Alto Networks

Campo
Descripcin
Tiempo de retransmisin (ms): Especifique el temporizador de
transmisin que el cliente utilizar para determinar cunto tiempo debe
esperar antes de retransmitir los mensajes de solicitacin de vecinos.
Seleccione Sin especificar para ningn tiempo de retransmisin
(intervalo: 0-4.294.967.295 milisegundos; opcin predeterminada sin
especificar).
Configuracin gestionada: Seleccione la casilla de verificacin para
indicar al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar
al cliente que existen otras direcciones de informacin mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobacin de coherencia: Seleccione la casilla de verificacin para
Pestaa Avanzada
Otra informacin
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se
devolver en un mensaje con necesidad de fragmentacin ICMP
Entradas ARP/Interfaz
Para aadir una o ms entradas ARP estticas, haga clic en Aadir e

introduzca una direccin IP y la direccin (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la direccin del
hardware.
Entradas de ND
Haga clic en Aadir para introducir la direccin IP y MAC de los vecinos

que se aadirn al descubrimiento.
Palo Alto Networks
Configuracin de interfaces de loopback

Red > Interfaces
Puede definir una o ms interfaces de loopback de capa 3, segn sea necesario. Por ejemplo,
puede definir una interfaz de loopback para gestionar el cortafuegos en lugar de utilizar el
puerto de gestin.
Para definir una interfaz de loopback, abra la pestaa Loopback, haga clic en Aadir y
especifique los siguientes ajustes.
Tabla 58. Configuracin de interfaz de loopback

Campo
Descripcin
Nombre de interfaz

Comentarios
Pestaa Configuracin
Enrutador virtual

interfaz.
Sistema virtual

Zona de seguridad

interfaz.
Pestaa IPv4
Direccin IP
Haga clic en Aadir para introducir una direccin IP y mscaras de red

para la interfaz.
Pestaa IPv6
interfaz

la subinterfaz.
ID de interfaz
Especifique el identificador hexadecimal de 64 bits de la subinterfaz.
Direccin
Introduzca la direccin IPv6. Seleccione Usar ID de interfaz como parte

de host para asignar una direccin IPv6 a la interfaz que utilizar el ID de
interfaz como la parte de host de la direccin. Seleccione Difusin por
proximidad para incluir el enrutado mediante el nodo ms cercano.
Palo Alto Networks
Tabla 58. Configuracin de interfaz de loopback (Continuacin)

Campo
Descripcin
Pestaa Avanzada
Otra informacin

interfaz.
para los paquetes enviados en esta interfaz (512 a 1500, opcin
predeterminada 1500). Si las mquinas de ambos extremos del
cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD), el
valor de MTU se devolver en un mensaje con necesidad de
fragmentacin ICMP indicando que la MTU es demasiado larga.
Configuracin de interfaces de tnel

Red > Interfaces
Para definir las interfaces de tnel, abra la pestaa Tnel, haga clic en Aadir y especifique
los siguientes ajustes.
Tabla 59. Configuracin de interfaz de tnel

Campo
Descripcin
Nombre de interfaz

Comentarios
Pestaa
Configuracin
Enrutador virtual
Seleccione un enrutador virtual para esta interfaz. Tambin puede hacer

clic en Nuevo para configurar un nuevo enrutador virtual. Consulte
Enrutadores virtuales y protocolos de enrutamiento en la pgina 164.
Ninguno elimina la configuracin de la interfaz.
Sistema virtual

Zona de seguridad

interfaz.
Pestaa IPv4
Direccin IP
Haga clic en Aadir para introducir una direccin IP y mscaras de red

para la interfaz.
Palo Alto Networks
Tabla 59. Configuracin de interfaz de tnel (Continuacin)

Campo
Descripcin
Pestaa IPv6
interfaz

la interfaz.
Esta opcin permite enrutar el trfico IPv6 en un tnel IPv4 IPSec y ofrece
confidencialidad entre redes IPv6. El trfico IPv6 se encapsula mediante
IPv4 y, a continuacin, mediante ESP.
Para enrutar el trfico IPv6 hacia el tnel, puede utilizar una ruta esttica
hacia el tnel, o bien utilizar una regla de reenvo basado en polticas
(PBF) para dirigir el trfico y ofrecer redundancia al supervisar el otro
extremo del tnel y conmutacin por error cuando sea necesario.
ID de interfaz

Direccin

la direccin.
Pestaa Avanzada
Otra informacin
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se
devolver en un mensaje con necesidad de fragmentacin ICMP
Nota: El cortafuegos considera de forma automtica la sobrecarga del tnel al
ejecutar la fragmentacin de IP y tambin ajusta el tamao mximo del segmento
(MSS) segn sea necesario.
Palo Alto Networks
Configuracin de interfaces de Tap

Red > Interfaces
Puede definir las interfaces Tap que sean necesarias para permitir la conexin a un puerto
espejo (span) en un conmutador para supervisar el trfico nicamente (consulte
Implementaciones de modo tap en la pgina 133).
Para configurar interfaces Tap, haga clic en el nombre de la interfaz de la pestaa Ethernet y
especifique la siguiente informacin.
.
Tabla 60. Configuracin de interfaz de Tap

Campo
Descripcin
Nombre de interfaz
Especifique un nombre para la interfaz o mantenga el nombre

predefinido.
Tipo de interfaz
Seleccione Puntear de la lista desplegable.

Comentarios
Pestaa Configuracin
Sistema virtual
Seleccione un sistema virtual. Ninguno elimina la configuracin de la

interfaz.
Zona

interfaz.
Pestaa Avanzada
Velocidad de enlace

automtico.
Dplex de enlace

Estado de enlace

Palo Alto Networks
Configuracin de interfaces HA
Cada interfaz HA tiene una funcin especfica: una interfaz se utiliza para la sincronizacin de
la configuracin y latidos y la otra interfaz se utiliza para la sincronizacin del estado. Si se
activa la opcin de alta disponibilidad, se puede utilizar una tercera interfaz HA para reenviar
paquetes.
Nota: Algunos cortafuegos de Palo Alto Networks incluyen puertos fsicos
exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno
para el enlace de datos). En el caso de cortafuegos que no incluyen puertos exclusivos,
debe especificar los puertos de datos que se utilizarn para HA. Si desea ms
informacin sobre HA, consulte Habilitacin de HA en el cortafuegos en la
pgina 111.
Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente
informacin.
Tabla 61. Configuracin de interfaz HA

Campo
Descripcin
Nombre de interfaz

lo desea.
Tipo de interfaz
Seleccione HA de la lista desplegable.
Comentarios
Pestaa Avanzada
Velocidad de enlace

automtico.
Dplex de enlace

Estado de enlace

Palo Alto Networks
Zonas de seguridad
Zonas de seguridad
Una zona de seguridad identifica una o ms interfaces de origen o destino en el cortafuegos.
Cuando define una regla de poltica de seguridad, debe especificar las zonas de seguridad de
origen y destino del trfico. Por ejemplo, una interfaz conectada a Internet est en una zona de
seguridad no fiable, mientras que una interfaz conectada a la red interna est en una zona
de seguridad fiable.
Es necesario crear zonas diferentes para cada tipo de interfaz (capa 2, capa 3, tap o cable
virtual), y cada interfaz se debe asignar a una zona para que pueda procesar el trfico. Las
polticas de seguridad solo se pueden definir entre zonas del mismo tipo. Sin embargo, si crea
una interfaz VLAN para una o ms redes VLAN, la aplicacin de polticas de seguridad entre
la zona de interfaz VLAN y una zona de interfaz de capa 3 (Ilustracin 15) tiene el mismo
efecto que aplicar polticas entre las zonas de interfaz de capa 2 y capa 3.
Zona de seguridad L3
Interfaz de VLAN
interfaz L3
Interfaz de bucle invertido
Puerto Ethernet L3
VLAN
Interfaz L2
Puerto Ethernet L2
Zona de seguridad de VW
Interfaz de Virtual Wire
Interfaz de Virtual Wire
Ilustracin 15. Tipos de zona e interfaz
Palo Alto Networks
Zonas de seguridad
Definicin de zonas de seguridad

Red > Zonas
Para que la interfaz de un cortafuegos pueda procesar el trfico, se debe asignar a una zona de
seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente
informacin:
Tabla 62. Configuracin de zona de seguridad

Campo
Descripcin
Nombre
Introduzca un nombre de una zona (hasta 15 caracteres). Este nombre

aparece en la lista de zonas cuando se definen polticas de seguridad y se
configuran interfaces. El nombre hace distincin entre maysculas y
Ubicacin
Seleccione el sistema virtual que se aplicar a esta zona.
Tipo
Seleccione un tipo de zona (Capa 2, Capa 3, Cable virtual, Tap, o sistema

virtual externo) para enumerar todas las interfaces de ese tipo que no
tengan una zona asignada. Los tipos de zona de capa 2 y capa 3 enumeran
todas las interfaces y subinterfaces Ethernet de ese tipo. El tipo de sistema
virtual externo es para comunicaciones entre los sistemas virtuales del
cortafuegos. Consulte Comunicaciones entre sistemas virtuales en la
pgina 122.
Cada interfaz puede pertenecer a una zona en un sistema virtual.
Perfiles de proteccin de
zonas
Seleccione un perfil que especifique cmo responde la puerta de enlace de

seguridad a los ataques en esta zona. Para aadir nuevos perfiles,
consulte Definicin de perfiles de proteccin de zonas en la pgina 193.
Ajuste de log
Seleccione un perfil para reenviar logs de proteccin de zonas a un

sistema externo.
Habilitar identificacin
de usuarios
Habilite la funcin de identificacin de usuarios por zonas.
ACL de identificacin de
usuarios
Lista de permitidos
Introduzca la direccin IP o la direccin IP/mscara de un usuario o

grupo para su identificacin (formato direccin_ip/mscara; por ejemplo,
10.1.1.1/24). Haga clic en Aadir. Repita el procedimiento las veces que
sea necesario. Si no se ha configurado una lista de permitidos, se permiten
todas las direcciones IP.
ACL de identificacin de
usuarios
Lista de excluidos
Introduzca la direccin IP o la direccin IP/mscara de un usuario o

grupo para que no se identifique de manera explcita (formato
direccin_ip/mscara; por ejemplo, 10.1.1.1/24). Haga clic en Aadir.
Repita el procedimiento las veces que sea necesario. Si no se ha
configurado una lista de excluidos, se permiten todas las direcciones IP.
Palo Alto Networks
Compatibilidad de VLAN
Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN. Adems, tambin puede especificar una interfaz VLAN que puede enrutar el
trfico a destinos de capa 3 fuera de la red VLAN.
Tabla 63. Configuracin de VLAN

Campo
Descripcin
Nombre
Introduzca un nombre de VLAN (de hasta 31 caracteres). Este nombre

aparece en la lista de redes VLAN cuando se configuran interfaces. El
guiones bajos.
Interfaz de VLAN
Seleccione una interfaz VLAN para permitir enrutar el trfico fuera de la

VLAN. Para definir una interfaz VLAN, consulte Configuracin de
interfaces VLAN en la pgina 152.
Reenvo de L3 habilitado
Si selecciona una interfaz VLAN, puede seleccionar la casilla de

verificacin para habilitar el enrutamiento de capa 3 en la interfaz
seleccionada.
Interfaces
Especifique interfaces del cortafuegos para VLAN.
Configuracin de MAC
esttica
Especifique la interfaz mediante la que una direccin MAC es alcanzable.

Sustituye a todas las asignaciones obtenidas de interfaz a MAC.
Enrutadores virtuales y protocolos de enrutamiento

Puede configurar enrutadores virtuales para que el cortafuegos enrute los paquetes a capa 3
tomando decisiones de reenvo de paquetes segn las direcciones IP de destino. Las interfaces
Ethernet y VLAN definidas en el cortafuegos reciben y reenvan el trfico de capa 3. La zona
de destino se deriva de la interfaz de salida basada en los criterios de reenvo y se consultas las
normativas para identificar las polticas de seguridad aplicadas. Adems de enrutar a otros
dispositivos de red, los enrutadores virtuales pueden enrutar a otros enrutadores virtuales en
el mismo cortafuegos si se especifica un siguiente salto que seale a otro enrutador virtual.
Se ofrece ayuda para enrutamiento esttico y dinmico mediante el protocolo RIP (Routing
information protocol, protocolo de informacin de enrutamiento), protocolo OSPF (Open
shortest path first, el camino ms corto primero) y protocolo BGP (Border gateway protocol,
protocolo de la pasarela externa).
Nota: El reenvo basado en polticas tambin es compatible con interfaces de capa 3.
Palo Alto Networks
Protocolo RIP
RIP se ha diseado para redes IP de pequeo tamao y se basa en el recuento de saltos para
determinar las rutas; las mejores rutas tienen el menor nmero de saltos. RIP se basa en UDP y
utiliza el puerto 520 para las actualizaciones de rutas. Al limitar las rutas a un mximo de
15 saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, adems de
limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el trfico no se enruta. RIP
tambin puede tardar ms en converger que OSPF y otros protocolos de enrutamiento. El
cortafuegos admite RIP v2.
Protocolo OSPF
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores
y anunciando las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El
enrutador mantiene la informacin sobre los enlaces entre l y el destino y puede realizar
decisiones de enrutamiento de gran eficacia. Se asigna un coste a cada interfaz de enrutador y
las mejores rutas son aquellas con menor coste, despus de sumar todas las interfaces de
enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los
LSA asociados. Como OSPF procesa dinmicamente una cantidad considerable de
informacin de enrutamiento, tiene mayores requisitos de procesador y memoria que RIP.
Protocolo BGP
BGP es el principal protocolo de enrutamiento de Internet. BGP determina el alcance de la red
en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS), donde un
sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para
formar parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la
poltica permite una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada
vez que se actualiza la RIB del cortafuegos local, el cortafuegos determina las rutas ptimas y
enva una actualizacin a la RIB externa, si se activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas
BGP. Las rutas BGP deben cumplir las normas de anuncios condicionales para poder
anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica.
Durante el proceso de agregacin, el primer paso es encontrar la regla de agregacin
correspondiente ejecutando la correspondencia ms larga que compare la ruta entrante con
los valores de prefijo de otras reglas de agregacin.
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes
funciones:
Especificacin de una instancia de enrutamiento BGP por enrutador virtual.
Polticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de

importacin, exportacin y anuncios, filtrado basado en prefijos y agregacin de
direcciones.
Funciones BGP avanzadas que incluyen un reflector de ruta, confederacin de AS,

humedecimiento de flap de ruta y reinicio correcto.
Interaccin IGP-BGP para introducir rutas en BGP utilizando perfiles de redistribucin.
Palo Alto Networks
La configuracin BGP se compone de los siguientes elementos:
Configuraciones por instancia de enrutamiento, que incluyen parmetros bsicos como

opciones avanzadas de ID de ruta local y AS local como seleccin de ruta, reflector de
ruta, confederacin AS, flap de ruta y perfiles de humedecimiento.
Perfiles de autenticacin que especifican la clave de autenticacin MD5 para conexiones

BGP.
Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de

vecino y AS como atributos y conexiones de vecino.
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers
utilizan para implementar las importaciones, exportaciones, anuncios condicionales y
controles de agregacin de direccin.
Enrutamiento multicast
La funcin de enrutamiento multicast permite al cortafuegos enrutar secuencias de multicast
utilizando PIM-SM (Protocol Independent Multicast Sparse Mode) y PIM-SSM (PIM Source
Specific Multicast) para aplicaciones como difusin de medios (radio y vdeo) con PIMv2. El
cortafuegos ejecuta consultas de Protocolo de administracin de grupos de Internet (IGMP) en
hosts que estn en la misma red que la interfaz en la que se configura IGMP. PIM-SM e IGMP
se pueden activar en interfaces de capa 3. IGMP v1, v2 y v3 son compatibles. PIM e IGMP
deben estar habilitados en las interfaces del lado del host.
PAN-OS proporciona seguridad de multicast completa mientras acta como un enrutador
designado PIM (DR), punto de encuentro PIM (RP), enrutador PIM intermedio o solicitante
IGMP. El cortafuegos se puede implementar en entornos en los que RP est configurado de
forma esttica o elegido de forma dinmica. La funcin del enrutador de arranque (BSR) no es
compatible. La implementacin en tneles de IPSec es totalmente compatible entre
cortafuegos de Palo Alto Networks. La encapsulacin GRE en IPSec no es compatible
actualmente.
Poltica de seguridad
PAN-OS proporciona dos mtodos de aplicar medidas de seguridad en suscripciones de
multicast. Los grupos de multicast se pueden filtrar en los ajustes de permiso de grupo IGMP
y PIM especificados a nivel de interfaz. El trfico de multicast tambin debe estar
explcitamente permitido por poltica de seguridad. Se ha aadido una zona de destino
especial conocida como Multicast y se debe especificar para controlar el trfico de multicast
en reglas de proteccin de seguridad, QoS y DoS. En contraste a la poltica de seguridad de
unidifusin, las polticas de seguridad de multicast se deben crear explcitamente si las
interfaces de origen y destino estn en la misma zona. Los perfiles de seguridad son
compatibles en entornos de multicast que requieren funciones de prevencin de amenazas.
Logging
Cada una de las sesiones de multicast que pasa por el cortafuegos crea una nica entrada de
log de trfico (incluso si el cortafuegos replica paquetes para la distribucin en mltiples
interfaces). Los logs de trfico indican el nmero de bytes entrantes en el cortafuegos en lugar
del nmero de bytes distribuidos como parte de la suscripcin de multicast.
Palo Alto Networks
Definicin de enrutadores virtuales

Red > Enrutadores virtuales
La definicin de enrutadores virtuales permite configurara reglas de reenvo de capa 3 y
activar el uso de protocolos de enrutamiento dinmicos. Cada interfaz de capa 3, de loopback
y VLAN definida en el cortafuegos se debe asociar con un enrutador virtual. Cada interfaz
solo puede pertenecer a un nico enrutador virtual.
Nota: Para configurar puertos Ethernet como interfaces de capa 3, consulte
Configuracin de interfaces de capa 3 en la pgina 138. Para definir
subinterfaces de capa 3, consulte Configuracin de subinterfaces de capa 3 en la
pgina 144. Para ver una descripcin general de enrutadores virtuales, consulte
Enrutadores virtuales y protocolos de enrutamiento en la pgina 164.
Defina los ajustes en las pestaas especficas, segn sea necesario.
Pestaa General
Seleccione las interfaces que se incluirn en el enrutador virtual y aada las rutas estticas.
Consulte la tabla siguiente.
Tabla 64. Configuracin de enrutador virtual - Pestaa General

Campo
Descripcin
Nombre
Especifique un nombre para identificar el enrutador virtual (de hasta

Interfaces
Seleccione las interfaces que desea incluir en el enrutador virtual. Cuando

selecciona una interfaz, se incluye en el enrutador virtual y se puede
utilizar como una interfaz de salida en la pestaa de enrutamiento del
enrutador virtual.
Para especificar el tipo de interfaz, consulte Interfaces del cortafuegos
en la pgina 135.
Nota: Cuando aade una interfaz, sus rutas conectadas se aaden
automticamente.
Distancias
administrativas
Especifique las siguientes distancias administrativas:

Rutas estticas (10-240, opcin predefinida 10).
OSPF Int (10-240, opcin predefinida 30).
OSPF Ext (10-240, opcin predefinida 110).
IBGP (10-240, opcin predefinida 200).
EBGP (10-240, opcin predefinida 20).
RIP (10-240, opcin predefinida 120).
Palo Alto Networks
Pestaa Rutas estticas

Opcionalmente puede introducir una o ms rutas estticas. Haga clic en la pestaa IP o IPv6
para especificar la ruta mediante direcciones IPv4 o IPv6. Aqu suele ser necesario configurar
las rutas predefinidas (0.0.0.0/0). Las rutas predefinidas se aplican a destinos que de otro
modo no se encontraran en la tabla de enrutamiento del enrutador virtual.
Tabla 65. Configuracin de enrutador virtual - Pestaa Rutas estticas

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la ruta esttica (de hasta

Destino
Introduzca una direccin IP y una mscara de red con el formato

direccin_ip/mscara.
Interfaz
Seleccione la interfaz para reenviar paquetes al destino o configure el

siguiente salto, o ambos.
Siguiente salto
Especifique los siguientes ajustes de salto:

Ninguno: Seleccione esta opcin si no existe el siguiente salto en la ruta.
Direccin IP: Especifique la direccin IP del siguiente enrutador de
salto.
Descartar: Seleccione esta opcin si desea descartare l trfico que se
dirige a este destino.
Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como
el siguiente salto. Esta opcin permite configurar rutas internamente
entre enrutadores virtuales en un nico cortafuegos.
Distancia administrativa
Especifique la distancia administrativa de la ruta esttica (10-240; opcin

predefinida 10).
Mtrica
Especifique una medida para la ruta esttica (1 - 65535).
No instalar
Seleccione esta opcin si no desea instalar la ruta en la tabla de reenvos.

La ruta se retiene en la configuracin para su referencia futura.
Palo Alto Networks
Pestaa Perfiles de redistribucin

Modifique el filtro de redistribucin de ruta, la prioridad y la accin en funcin del
comportamiento de red que desee. La redistribucin de rutas permite a las rutas estticas y a
las rutas adquiridas por otros protocolos anunciarse mediante protocolos de enrutamiento
especficos. Los perfiles de redistribucin se deben aplicar a los protocolos de enrutamiento
para que surtan efecto. Sin las reglas de redistribucin, cada uno de los protocolos se ejecuta
de forma separada y no se comunican fuera de su mbito. Los perfiles de redistribucin se
pueden aadir o modificar despus de configurar todos los protocolos de enrutamiento y de
establecer la topologa de red resultante. Aplique perfiles de redistribucin a los protocolos
RIP y OSPF definiendo reglas de exportacin. Aplique perfiles de redistribucin a BGP en la
pestaa Reglas de redistribucin. Consulte la tabla siguiente.
Palo Alto Networks
Tabla 66. Configuracin de enrutador virtual - Pestaa Perfiles de redistribucin

Campo
Descripcin
Nombre
Haga clic en Aadir para mostrar la pgina Perfil de redistribucin e

introduzca el nombre del perfil.
Prioridad
Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. Los

perfiles se muestran en orden (con los nmeros ms bajos primero).
Redistribuir
Seleccione si la redistribucin de la ruta se realizar segn los ajustes de

esta ventana.
Redistr.: Seleccione si la redistribucin se realizar con rutas de
candidato coincidentes. Si selecciona esta opcin, introduzca un nuevo
valor mtrico. Un valor mtrico inferior significa una ruta ms
preferible.
No hay ninguna redistribucin: Seleccione si no se realizar ningn
tipo de redistribucin.
Pestaa Filtro general

Tipo
Seleccione las casillas de verificacin para especificar los tipos de ruta de

candidato.
Interfaz
Seleccione las interfaces para especificar las interfaces de reenvo de la

ruta de candidato.
Destino
Para especificar el destino de la ruta de candidato, introduzca la direccin

IP o la subred de destino (con el formato x.x.x.x o x.x.x.x/n) y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Siguiente salto
Para especificar la puerta de enlace de la ruta de candidato, introduzca la

direccin IP o la subred (con el formato x.x.x.x o x.x.x.x/n) que represente
el siguiente salto y haga clic en Aadir. Para eliminar una entrada, haga
clic en el icono
asociado con la entrada.
Pestaa Filtro OSPF

Tipo de ruta
Seleccione las casillas de verificacin para especificar los tipos de ruta de

candidato OSPF.
rea
Especifique el identificador de rea de la ruta de candidato OSPF.

Introduzca el ID de rea OSPF (con el formato x.x.x.x), y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Etiqueta
Especifique los valores de etiqueta OSPF. Introduzca un valor de etiqueta

numrico (1-255), y haga clic en Aadir. Para eliminar una entrada, haga
clic en el icono
asociado con la entrada.
Pestaa Filtro BGP

Comunidad
Especifique una comunidad para la poltica de enrutamiento BGP.
Comunidad extendida
Especifique una comunidad extendida para la poltica de enrutamiento

BGP.
Palo Alto Networks
Pestaa RIP
Especifique los parmetros que utilizar el protocolo RIP en las interfaces seleccionadas.
Aunque es posible configurar los protocolos RIP y OSPF, por lo general es recomendable
elegir nicamente uno de estos protocolos. Consulte la tabla siguiente.
Palo Alto Networks
Tabla 67. Configuracin de enrutador virtual - Pestaa RIP

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo RIP.
Rechazar ruta por

defecto
Seleccione la casilla de verificacin si no desea obtener ninguna de las

rutas predefinidas mediante RIP. Es muy recomendable seleccionar esta
casilla de verificacin.
Permitir redistribucin
de ruta predeterminada
Seleccione la casilla de verificacin para permitir la redistribucin de las

rutas predeterminadas mediante RIP.
Interfaces
Interfaz
Seleccione la interfaz que ejecuta el protocolo RIP.
Habilitar
Seleccione esta opcin para habilitar estos ajustes.
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica
Especifique un valor mtrico para el anuncio del enrutador. Este campo

solo es visible si se ha seleccionado la casilla de verificacin Anunciar.
Seleccione el perfil.
Modo
Seleccione Normal, Pasivo o Enviar nicamente.
Temporizadores
Segundos del intervalo
(seg)
Defina la duracin del intervalo de tiempo en segundos. Esta duracin se

utiliza para el resto de los campos de temporizacin de RIP (1 - 60).
Intervalo de
actualizaciones
Introduzca el nmero de intervalos entre los anuncios de actualizacin de

rutas (1 - 3600).
Intervalos de
vencimiento
Introduzca el nmero de intervalos entre la ltima hora de actualizacin

de la ruta hasta su vencimiento (1- 3600).
Intervalo de eliminacin
Introduzca el nmero de intervalos entre la hora de vencimiento de la

ruta hasta su eliminacin (1- 3600).
Perfiles de
autenticacin
Nombre de perfil
Tipo de contrasea
Introduzca un nombre para el perfil de autenticacin para autenticar los

mensajes RIP. Para autenticar mensajes RIP, primero defina los perfiles de
autenticacin y a continuacin, aplquelos a las interfaces en la pestaa
RIP.
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca y confirme la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin, haga
clic en ACEPTAR. Para especificar la clave que se debe utilizar para
autenticar el mensaje saliente, seleccione la opcin Preferido.
Palo Alto Networks
Tabla 67. Configuracin de enrutador virtual - Pestaa RIP (Continuacin)

Campo
Descripcin
Reglas de
exportacin
Reglas de exportacin
(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y la
accin, en funcin del comportamiento de red deseado. Consulte
Pestaa Perfiles de redistribucin en la pgina 169.
Pestaa OSPF
Especifique los parmetros que utilizar el protocolo Open Shortest Path First (OSPFv2) en las
interfaces seleccionadas. Aunque es posible configurar los protocolos RIP y OSPF, por lo
general es recomendable elegir nicamente un protocolo IGP. Consulte la tabla
siguiente.Pestaa BGP
Tabla 68. Configuracin de enrutador virtual - Pestaa OSPF

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo OSPF.
Rechazar ruta por

defecto
Seleccione la casilla de verificacin si no desea obtener ninguna de las

rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este

enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.
reas
ID de rea
Configure el rea en el que los parmetros OSPF se pueden aplicar.

Introduzca un identificador del rea en formato x.x.x.x. Es el identificador
que cada vecino debe aceptar para formar parte de la misma rea.
Palo Alto Networks
Tabla 68. Configuracin de enrutador virtual - Pestaa OSPF (Continuacin)

Campo
Tipo
Descripcin
Seleccione una de las siguientes opciones.
Normal: No hay restricciones; el rea puede aceptar todos los tipos de
rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida en
los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar): Es
posible salir del rea directamente, pero solo mediante rutas que no
sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen si
desea aceptar este tipo de LSA. Especifique si desea incluir una ruta
LSA predefinida en los anuncios al rea de cdigo auxiliar, junto con el
valor mtrico asociado (1-255). Tambin puede seleccionar el tipo de
ruta que se utilizar para anunciar el LSA predefinido. Haga clic en
Aadir en la seccin Intervalos externos e introduzca los intervalos si
desea activar o suprimir rutas externas de anuncios que se obtienen
mediante NSSA a otras reas.
Intervalo
Haga clic en Aadir para aadir direcciones de destino LSA en el rea en

subredes. Habilite o suprima LSA de anuncios que coincidan con la
subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
Palo Alto Networks

Campo
Descripcin
Interfaz
Haga clic en Aadir e introduzca la siguiente informacin en cada

interfaz que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envan ni reciben, si selecciona esta opcin, la interfaz se incluir en la
base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino
automticamente. Seleccione p2mp (punto a multipunto) si los vecinos
se deben definir manualmente. La definicin manual de vecino solo se
permite en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la
prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) segn el protocolo OSPF. Si el valor es cero, el enrutador
no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Vecinos: En interfaces p2pmp, introduzca la direccin IP de todos los
vecinos accesibles mediante esta interfaz.
Enlace virtual
Configure los ajustes del enlace virtual para mantener o mejorar la

conectividad del rea troncal. Los ajustes se deben definir para
enrutadores de borde de rea y se deben definir en el rea troncal
(0.0.0.0). Haga clic en Aadir e introduzca la siguiente informacin en
enlace virtual que se incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el vnculo virtual.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Perfiles de
autenticacin
Nombre de perfil
Palo Alto Networks
Introduzca un nombre para el perfil de autenticacin. Para autenticar

mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.

Campo
Tipo de contrasea
Descripcin
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin, haga
clic en ACEPTAR. Para especificar la clave que se debe utilizar para
autenticar el mensaje saliente, seleccione la opcin Preferido.
Reglas de
exportacin
Seleccione la casilla de verificacin para permitir la redistribucin de las

rutas predeterminadas mediante OSPF.
Nombre
Seleccione el nombre del perfil de redistribucin.
Nuevo tipo de ruta
Seleccione el tipo de mtrica que se aplicar.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Avanzado
Compatibilidad RFC
1583
Selecciona la casilla de verificacin para garantizar la compatibilidad con

RFC 1583.
Temporizadores
Retraso de clculo SPF (seg): Esta opcin es un temporizador que le

permite definir el retraso de tiempo entre la recepcin de nueva
informacin de topologa y ejecutar un clculo SPF. Los valores
menores permiten una reconvergencia OSPF ms rpida. Los
enrutadores que se emparejan con el cortafuegos se deben configurar de
manera similar para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es equivalente a MinLSInterval en
RFC 2328. Los valores menores se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios de topologa.
Pestaa BGP
Especifique los parmetros que utilizar el protocolo BGP en las interfaces seleccionadas.
Consulte la tabla siguiente.
Tabla 69. Configuracin de enrutador virtual - Pestaa BGP

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar funciones de BGP.
ID del enrutador
Introduzca la direccin IP para asignarla al enrutador virtual.
Nmero AS
Introduzca el nmero AS al que pertenece el enrutador virtual, en funcin

del ID del enrutador (intervalo 1-4294967295).
Pestaa General
Rechazar ruta por
defecto
Seleccione la casilla de verificacin para ignorar todas las rutas

predeterminadas anunciadas por peers BGP.
Palo Alto Networks
Tabla 69. Configuracin de enrutador virtual - Pestaa BGP (Continuacin)

Campo
Descripcin
Instalar ruta
Seleccione la casilla de verificacin para instalar rutas BGP en la tabla de

enrutamiento global.
Agregar MED
Seleccione esta opcin para activar la agregacin de rutas incluso si las

rutas tienen valores diferentes de discriminador de salida mltiple
(MED).
Preferencia local
predeterminada
Especifica un valor que se puede asignar para determinar preferencias

entre diferentes rutas.
Formato AS
Seleccione el formato de 2 (predefinido) o 4 bytes. Este ajuste es

configurable por motivos de interoperabilidad.
Comparar siempre MED
Permite comparar MED para rutas de vecinos en diferentes sistemas

autnomos.
Comparacin
determinista de MED
Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).
Haga clic en Aadir para incluir un nuevo perfil de autenticacin y

configurar los siguientes ajustes:
Nombre del perfil: Introduzca un nombre para identificar el perfil.
Secreto/Confirmar secreto: Introduzca y confirme la contrasea para
comunicaciones de peer BGP.
Haga clic en el icono
para eliminar un perfil.
Pestaa Avanzada
Reinicio correcto
Active la opcin de reinicio correcto.

Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede
permanecer inhabilitada (intervalo 1-3600 segundos; opcin
predefinida 120 segundos).
Hora de reinicio local: Especifique el tiempo que el dispositivo local
tarda en reiniciar. Este valor se le comunica a los peers (intervalo
1-3600 segundos; opcin predefinida 120 segundos).
Mx. de hora de reinicio del peer: Especifique el tiempo mximo que el
dispositivo local acepta como perodo de gracia para reiniciar los
dispositivos peer (intervalo 1-3600 segundos; opcin predefinida
120 segundos).
ID de clster reflector
Especifique un identificador IPv4 para representar el clster reflector.
AS de miembro de
confederacin
Especifique el identificador de la confederacin AS que se presentar

como un AS nico a los peers BGP externos.
Palo Alto Networks

Campo
Descripcin
Perfiles de
amortiguacin
Entre los parmetros se incluyen:

Nombre del perfil: Introduzca un nombre para identificar el perfil.
Habilitar: activa el perfil.
Corte: Especifique un umbral retirada de ruta por encima del cual, se
suprime un anuncio de ruta (intervalo 0,0-1000,0; opcin predefinida
1,25).
Reutilizar: Especifique un umbral de retirada de ruta por debajo del
cual una ruta suprimida se vuelve a utilizar (intervalo 0,0-1000,0; opcin
predeterminada 5).
Mx. de tiempo de espera: Especifique el tiempo mximo durante el
que una ruta se puede suprimir, con independencia de su inestabilidad
(intervalo 0-3600 segundos; opcin predeterminada 900 segundos).
Media vida de disminucin alcanzable: Especifique el tiempo despus
del cual la mtrica de estabilidad de una ruta se divide entre dos si la
ruta se considera alcanzable (intervalo 0-3600 segundos; opcin
predefinida 300 segundos).
Media vida de disminucin no alcanzable: Especifique el tiempo
despus del cual la mtrica de estabilidad de una ruta se divide entre
dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos;
opcin predefinida 300 segundos).
para eliminar un perfil.
Pestaa Grupo del

peer
Nombre
Introduzca un nombre para identificar el peer.
Habilitar
Seleccione para activar el peer.
Agregar ruta AS
confederada
Seleccione la casilla de verificacin para incluir una ruta a la AS de

confederacin agregada configurada.
Restablecimiento parcial
con informacin
almacenada
Seleccione la casilla de verificacin para ejecutar un restablecimiento

parcial del cortafuegos despus de actualizar los ajustes de peer.
Tipo
Especifique el tipo o grupo de peer y configure los ajustes asociados

(consulte la tabla siguiente para ver las descripciones de Importar
siguiente salto y Exportar siguiente salto).
IBGP: Especifique lo siguiente:
Exportar siguiente salto
EBGP confederado: Especifique lo siguiente;
IBGP confederado: Especifique lo siguiente:
EBGP: Especifique lo siguiente:
Importar siguiente salto
Eliminar AS privado (seleccione si desea forzar que BGP elimine
nmeros AS privados).
Palo Alto Networks

Campo
Importar siguiente salto
Descripcin
Seleccione una opcin para importar el siguiente salto:
original: Utilice la direccin del salto siguiente en el anuncio de la ruta
original.
uso-peer: Utilice la direccin IP del peer como la direccin del salto
siguiente.
Seleccione una opcin para exportar el siguiente salto:

resolver: Resuelve la direccin del siguiente salto mediante la tabla de
reenvo local.
usar mismas: Sustituya la direccin del siguiente salto con la direccin
de esta direccin IP del enrutador para garantizar que estar en la ruta
de reenvo.
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin IP
local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin: Especifique
un intervalo despus del cual las rutas de un peer se supriman segn el
parmetro de tiempo de espera (intervalo 0-1200 segundos o
deshabilitado; opcin predefinida 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predefinida
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer
antes de cerrar la conexin del peer. (intervalo 3-3600 segundos o
desactivado; opcin predefinida 90 segundos).
Tiempo de espera de inactividad: Especifique e tiempo de espera en
estad de inactividad antes de volver a intentar la conexin con el peer
(intervalo 1-3600 segundos; opcin predeterminada 15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Palo Alto Networks

Campo
Descripcin
Conexiones entrantes/Conexiones salientes: Especifique los nmeros de
puertos entrantes y salientes y seleccione la casilla de verificacin Permitir
para permitir el trfico desde o hacia estos puertos.
Pestaas Importar
reglas/Exportar
reglas
Importar reglas/Exportar
reglas
Haga clic en la pestaa secundaria de BGP Importar reglas o Exportar reglas.

Para agregar una nueva regla, haga clic en Aadir y configure los siguientes
ajustes:
Pestaa secundaria General:
Nombre: Especifique un nombre para identificar la regla.
Habilitar: Seleccione para activar la regla.
Utilizada por: Seleccione los grupos de peer que utilizarn esta regla.
Pestaa secundaria Coincidencia:
Expresin regular de ruta AS: Especifique una expresin regular para el
filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
Prefijo de direccin: Especifique direcciones o prefijos IP para el filtrado
de rutas.
MED: Especifique un valor de MED para el filtrado de rutas.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Pestaa secundaria Accin:
Accin: Especifique una accin (Permitir o Denegar) que se realizar
cuando se cumplan las condiciones especificadas.
Preferencia local: Especifique un valor de preferencia local nicamente
si la accin es Permitir.
MED: Especifique un valor de MED, nicamente si la accin es Permitir
(0- 65535).
Peso: Especifique un valor de de peso, nicamente si la accin es
Permitir.
(0- 65535).
Siguiente salto: Especifique un enrutador de siguiente salto,
nicamente si la accin es Permitir.
Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta,
Lmite de ruta AS: Especifique un lmite de ruta AS, nicamente si la
accin es Permitir.
Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder,
Eliminar y preceder, nicamente si la accin es Permitir.
Comunidad: Especifique una opcin de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, nicamente si la
accin es Permitir.
Palo Alto Networks

Campo
Descripcin
Comunidad extendida: Especifique una opcin de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
Amortiguacin: Especifique un parmetro de amortiguacin,
para eliminar un grupo. Haga clic en Duplicar para
aadir un nuevo grupo con los mismos ajustes que el grupo seleccionado. Se
aade un sufijo al nombre del nuevo grupo para distinguirlo del original.
Pestaa Anuncio
condicional
La funcin de anuncio condicional BGP permite controlar la ruta que se

anunciar en caso de que no exista ninguna ruta diferente en la tabla de
enrutamiento BGP local (LocRIB), indicando un fallo de peering o
alcance. Esta funcin es muy til si desea probar y forzar rutas de un AS a
otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea enrutar
el trfico a un nico proveedor, en lugar de a los otros, salvo que se
produzca una prdida de conectividad con el proveedor preferido. Con la
funcin de anuncio condicional, puede configurar un filtro no existente
que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta
coincidente con el filtro no existente en la tabla de enrutamiento BGP
local, solo entonces el dispositivo permitir el anuncio de la ruta
alternativa (la ruta al otro proveedor no preferido) tal y como se
especifica en su filtro de anuncio. Para configurar el anuncio condicional,
seleccione la pestaa Anuncio condicional y haga clic en Aadir. A
continuacin se describe cmo se configuran los valores en los campos.
Poltica
Especifique el nombre de la poltica para esta regla de anuncio

condicional.
Habilitar
Seleccione la casilla de verificacin para activar el anuncio condicional de

BGP.
Utilizado por
Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Pestaa secundaria
Filtros no existentes
Utilice esta pestaa para especificar el prefijo de la ruta preferida.

Especifica la ruta que desea anunciar, si est disponible en la tabla de ruta
de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no
existente, el anuncio se suprimir.
Haga clic en Aadir para crear un filtro no existente.
Filtros no existentes: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto de la ruta preferida.
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Anunciar filtros
Utilice esta pestaa para especificar el prefijo de la ruta de la tabla de

enrutamiento Local-RIB que se debera anunciar en caso de que la ruta del
filtro no existente no est disponible en la tabla de enrutamiento local.
Si un prefijo se va a anunciar y no coincide con un filtro no existente, el
anuncio se producir.
Haga clic en Aadir para crear un filtro de anuncio.
Anunciar filtros: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto para anunciar la ruta si la ruta preferida no est disponible.
Pestaa Agregar
Agregar filtros
Para agregar una nueva regla, haga clic en Aadir para mostrar los
siguientes ajustes: Configure los parmetros de las pestaas secundarias
Suprimir filtros, Anunciar filtros y Agregar atributos de ruta, y haga clic
en Listo para aadir la regla a la lista de direcciones. Los parmetros de
esta tabla se han descrito anteriormente en las pestaas Importar reglas y
Exportar reglas.
para eliminar una regla.
Pestaa Reglas de
redistr.
Seleccione la casilla de verificacin para permitir que el cortafuegos

redistribuya su ruta predefinida a los peers BGP.
Reglas de redistr.
Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla se han
descrito anteriormente en las pestaas Importar reglas y Exportar reglas.
para eliminar una regla.
Palo Alto Networks
Pestaa Multicast
Especifique los ajustes de enrutamiento multicast en la siguiente tabla.
Tabla 70. Configuracin de enrutador virtual - Pestaa Multicast

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el enrutamiento multicast.
Pestaa secundaria
Punto de encuentro
Tipo de RP
Seleccione el tipo de Punto de encuentro (RP) que se ejecutar en este

enrutador virtual. Se debe configurar un RP esttico de forma explcita en
otros enrutadores PIM, mientras que se elige automticamente un RP
candidato.
Ninguno: Seleccione esta opcin si no hay ningn RP ejecutndose en
este enrutador virtual.
Esttico: Especifique una direccin IP esttica para el RP y seleccione las
opciones de Interfaz de RP y Direccin de RP en las listas desplegables.
Active la casilla de verificacin Cancelar RP obtenido para el mismo
grupo si desea utilizar el RP especificado del RP elegido para este
grupo.
Candidato:: Especifique la siguiente informacin para el candidato del
RP que se ejecuta en este enrutador virtual:
Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de
interfaz vlidos incluyen loopback, L3, VLAN, Ethernet agregada y
tnel.
Direccin de RP: Seleccione una direccin IP para el RP.
Prioridad: Especifique una prioridad para los mensajes de RP
candidato (opcin predefinida 192).
Intervalo de anuncio: Especifique un intervalo entre anuncios para
mensajes RP candidatos.
Lista de grupos: Si selecciona Esttico o Candidato, haga clic en Aadir
para especificar una lista de grupos en los que este RP candidato se
propone para ser el RP.
Punto de encuentro
remoto
Haga clic en Aadir y especifique la siguiente informacin:

Direccin IP: Especifique la direccin IP del RP.
Cancelar RP obtenido para el mismo grupo: Active esta casilla de
verificacin si desea utilizar el RP especificado del RP elegido para este
grupo.
Grupo: Especifique una lista de grupos en los que la direccin
especificada actuar como RP.
Pestaa secundaria
Interfaces
Nombre
Introduzca un nombre para identificar un grupo de interfaces.
Descripcin
Introduzca una descripcin opcional.
Interfaz
Haga clic en Aadir para especificar una o ms interfaces de cortafuegos.
Palo Alto Networks
Tabla 70. Configuracin de enrutador virtual - Pestaa Multicast (Continuacin)

Campo
Descripcin
Permisos de grupos
Especifique las reglas generales para el trfico de multicast:

Cualquier fuente: Haga clic en Aadir para especificar una lista de
grupos de multicast para los que se permite el trfico PIM-SM.
Origen especfico: Haga clic en Aadir para especificar una lista de
grupos de multicast y pares de origen de multicast para los que se
permite el trfico PIM-SSM.
IGMP
Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando se
comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes del
grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Palo Alto Networks
Tabla 70. Configuracin de enrutador virtual - Pestaa Multicast (Continuacin)

Campo
Descripcin
Configuracin PIM
Especifique los siguientes ajustes de multicast independiente de

protocolo (PIM):
Habilitar: Seleccione la casilla de verificacin para permitir que esta
interfaz reciba y/o reenve mensajes PIM
Imponer intervalo: Especifique el intervalo entre mensajes de
imposicin de PIM.
Intervalo de saludo: Especifique el intervalo entre mensajes de saludo
de PIM.
Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de
unin y poda de PIM (segundos). El valor predeterminado es 60.
Prioridad de DR: Especifique la prioridad del enrutador que se ha
designado para esta interfaz
Borde de BSR: Active la casilla de verificacin para utilizar la interfaz
como borde de arranque.
Vecinos PIM: Haga clic en Aadir para especificar la lista de vecinos
que se comunicarn mediante PIM.
Pestaa secundaria
Umbral SPT
Nombre
El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en

kbps) a la que el enrutamiento multicast cambiar desde la distribucin
del rbol compartido (con origen en el punto de encuentro) a la
distribucin del rbol de origen.
Haga clic en Aadir para especificar los siguientes ajustes de SPT:
Grupo/prefijo de multicast: Especifique la direccin/prefijo IP para el
que SPT se cambiar a la distribucin del rbol de origen cuando el
rendimiento alcance los umbrales deseados (kbps).
Umbral: Especifique el rendimiento al que se cambiar desde la
distribucin del rbol compartido a la distribucin del rbol de origen.
Pestaa secundaria
Espacio de direccin
especfico de origen
Nombre
Define los grupos de multicast a los que el cortafuegos proporcionar

servicios de multicast de origen especfico (SSM).
Haga clic en Aadir para especificar los siguientes ajustes de direcciones
de origen especfico:
Nombre: Introduzca un nombre para identificar este grupo de ajustes.
Grupo: Especifique los grupos del espacio de direccin SSM.
Incluido: Active esta casilla de verificacin para incluir los grupos
especificados en el espacio de direccin SSM.
Palo Alto Networks
Servidor DHCP y retransmisin
Visualizacin de las estadsticas del tiempo de ejecucin de enrutadores virtuales

Red > Enrutadores virtuales
Existen estadsticas de tiempo de ejecucin detalladas disponibles del enrutador virtual y de
los protocolos de enrutamiento dinmico en la pgina Enrutadores virtuales. En la columna
Estadsticas de tiempo de ejecucin, haga clic en el enlace Ms estadsticas de tiempo de
ejecucin para abrir una nueva ventana con la tabla de enrutamiento y con informacin
especfica del protocolo de enrutamiento. Para ver una descripcin general de enrutadores
virtuales, consulte Enrutadores virtuales y protocolos de enrutamiento en la pgina 164.

Red > DHCP
El cortafuegos permite seleccionar servidores DHCP o retransmisin DHCP para una
asignacin de direccin IP en interfaces de capa 3 y VLAN. Se admiten varios servidores
DHCP. Las solicitudes de los clientes se pueden reenviar a todos los servidores, con la primera
respuesta del servidor devuelta al cliente.
La asignacin DHCP tambin funciona en VPN de IPSec, lo que permite a los clientes recibir
una asignacin de una direccin IP desde un servidor DHCP en el extremo remoto de un tnel
de IPSec. Para obtener ms informacin sobre tneles VPN de IPSec, consulte Configuracin
de tneles de IPSec en la pgina 337.
La configuracin depende de si selecciona Servidor DHCP o Retransmisin DHCP como
tipo.
Tabla 71. Configuracin de DHCP

Campo
Descripcin
Pestaa servidor
DHCP
Interfaz
Seleccione la interfaz del cortafuegos.
Modo
Seleccione si los ajustes de esta pgina estn habilitados, deshabilitados o

si se determinan automticamente. En modo automtico,
Hacer ping a la IP al
asignar IP nuevas
Active la casilla de verificacin para enviar un mensaje ping cuando se

asigne una nueva direccin IP.
Concesin
Seleccione Ilimitada o Tiempo de espera e introduzca las limitaciones del

intervalo de concesin DHCP. Puede seleccionar das, horas o minutos.
Por ejemplo, si solo introduce horas la concesin se restringe a ese
nmero de horas.
Origen de herencia
Seleccione un origen para propagar diferentes ajustes de servidor desde

una interfaz de cliente DHCP o PPPoE en el servidor DHCP. Una vez se
especifique un origen de herencia, seleccione los campos que desee en la
configuracin del servidor DHCP y seleccione heredada para que herede
los valores del servidor DHCP. Por ejemplo, puede heredar DNS, WINS,
NIS, NTP.
DNS principal
Introduzca la direccin IP de los servidores del sistema de nombres de

dominio (DNS) preferido y alternativo. La direccin del servidor
alternativo es opcional.
DNS secundario
Palo Alto Networks
Tabla 71. Configuracin de DHCP (Continuacin)

Campo
Descripcin
WINS principal
Introduzca la direccin IP de los servidores Windows Internet Naming

Service (WINS) preferido y alternativo. La direccin del servidor
alternativo es opcional.
WINS secundario
NIS principal
NIS secundario
NTP principal
NTP secundario
Introduzca la direccin IP de los servidores Network Information Service

(NIS) preferido y alternativo. La direccin del servidor alternativo es
opcional.
Introduzca la direccin IP de los servidores de protocolo de tiempo de red
(NTP) preferido y alternativo. La direccin del servidor alternativo es
opcional.
Puerta de enlace
Introduzca la direccin IP de la puerta de enlace de red que se utiliza para

acceder a los servidores DHCP.
Servidor POP3
Introduzca la direccin IP del servidor Post Office Protocol (POP3).
Servidor SMTP
Introduzca la direccin IP del servidor Simple Mail Transfer Protocol

(SMTP).
Sufijo DNS
Introduzca un sufijo que el cliente puede utilizar localmente cuando se

introduce un nombre de host sin calificar que no puede resolver.
Grupos de IP
Especifique el intervalo de direcciones IP al que se aplicar esta

configuracin DHCP y haga clic en Aadir. Puede introducir una IP y
una mscara de subred (por ejemplo, 192.168.1.0/24) o un intervalo de
direcciones IP (por ejemplo, 192.168.1.10-192.168.1.20). Aada mltiples
entradas para especificar mltiples grupos de direcciones IP.
Para editar una entrada existente, haga clic en Editar, realice los cambios
necesarios y, a continuacin, haga clic en Listo. Para eliminar una
entrada, haga clic en Eliminar.
Nota: Si deja el rea en blanco, no habr ninguna restriccin en los
intervalos IP.
Direccin reservada
Especifique la direccin IP (con el formato x.x.x.x) o MAC (con el formato

xx:xx:xx:xx:xx:xx) de cualquier dispositivo que no desee vincular a la
asignacin de direccin DHCP.
Para editar una entrada existente, haga clic en Editar, realice los cambios
necesarios y, a continuacin, haga clic en Listo. Para eliminar una
entrada, haga clic en Eliminar.
Nota: Si deja esta rea en blanco, no se reservarn direcciones IP.
Pestaa
Retransmisin DHCP
Interfaz
IPv4
Active la casilla de verificacin IPv4 para utilizar direcciones IPv4 para

retransmisiones DHCP y especifique direcciones IPv4 para hasta cuatro
servidores DHCP.
IPv6
Active la casilla de verificacin IPv6 para utilizar direcciones IPv6 para

retransmisiones DHCP y especifique direcciones IPv6 para hasta cuatro
servidores DHCP. Especifique una interfaz de salida si utiliza una
direccin de multicast IPv6 para su servidor.
Palo Alto Networks
Proxy DNS
Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
Si el nombre de dominio no es encuentra en la cach proxy de DNS, el nombre de dominio se
busca segn la configuracin de las entradas e el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.
Tabla 72. Configuracin de Proxy DNS

Campo
Descripcin
Nombre
Especifique un nombre para identificar el proxy DNS (de hasta

Habilitar
Seleccione la casilla de verificacin para activar proxy DNS.
Origen de herencia
Seleccione un origen para heredar las configuraciones del servidor DNS

predefinido. Se suele utilizar en implementaciones de sucursales, en las
que a la interfaz WAN del cortafuegos se accede mediante DHCP o
PPPoE.
Principal
Especifique las direcciones IP de los servidores DNS primario y

secundario. Si el servidor DNS primario no se encuentra, se utilizar el
secundario.
Secundario
Comprobar origen de
herencia
Haga clic en el enlace para ver la configuracin del servidor asignada

actualmente a las interfaces del cliente DHCP y PPoE. Pueden incluir
DNS, WINS, NTP, POP3, SMTP o sufijo DNS.
Interfaz
Active las casillas de verificacin Interfaz para especificar las interfaces

del cortafuegos que admiten las reglas de proxy DNS. Seleccione una
interfaz de la lista desplegable y haga clic en Aadir. Puede aadir varias
interfaces. Para eliminar una interfaz, seleccinela y haga clic en
Eliminar.
Palo Alto Networks
Proxy DNS
Tabla 72. Configuracin de Proxy DNS (Continuacin)

Campo
Descripcin
Reglas de proxy DNS
Identifique reglas del servidor proxy DNS. Haga clic en Aadir y

especifique la siguiente informacin:
Nombre: Se requiere un nombre para poder designar la entrada esttica
y modificar mediante CLI.
Activar el almacenamiento en cach de dominios resueltos por esta
asignacin: Active esta casilla de verificacin para activar el
almacenamiento en cach de dominios resueltos por esta asignacin.
Nombre de dominio: Haga clic en Aadir e introduzca el nombre de
dominio del servidor proxy. Repita esta accin para aadir ms
nombres. Para eliminar un nombre, seleccinelo y haga clic en
Eliminar. En el caso de una regla de proxy DNS, el nmero de testigos
en una cadena comodn debe coincidir con el nmero de testigos en el
dominio solicitado. Por ejemplo, *.ingeniera.local no coincidir con
ingeniera.local. Se deben especificar ambos.
Principal/Secundario: Introduzca el nombre de host o la direccin IP de
los servidores DNS principal y secundario.
Entradas estticas
Identifique los servidores DNS. Haga clic en Aadir y especifique la

siguiente informacin:
Nombre: Se requiere un nombre para poder designar la entrada esttica
y modificar mediante CLI.
FQDN: Introduzca el nombre de dominio completo (Fully Qualified
Domain Name, FQDN) de un servidor DNS.
Direccin: Haga clic en Aadir e introduzca la direccin IP que se
devolver cuando se reciban consultas DNS del FQDN anterior.
Avanzado
Especifique la siguiente informacin:

Cach: Seleccione la casilla de verificacin para activar el
almacenamiento DNS y especifique la siguiente informacin:
Tamao: Especifique el nmero de entradas que retendr la cach
(intervalo 1024-10240; opcin predefinida 1024).
Tiempo de espera: Especifique la duracin (horas) despus de la que
se eliminarn todas las entradas. Los valores de tiempo de vida DNS
se utilizan para eliminar las entradas de cach cuando se han
almacenado durante menos tiempo que el perodo configurado. Tras
el tiempo de espera, las nuevas solicitudes se deben resolver y volver
a guardar en la cach (intervalo 4 a 24, opcin predefinida 4 horas).
Consultas TCP: Seleccione la casilla de verificacin para activar las
consultas DNS utilizando DNS y especifique la siguiente informacin:
Mx. de solicitudes pendientes: Especifique el lmite superior del
nmero de solicitudes DNS sTCP pendientes simultneas que
admitir el cortafuegos (intervalo 64-256, opcin predefinida 64).
Reintentos de consultas de UDP: Especifique los ajustes de reintentos
de consultas UDP:
Intervalo: Especifique el tiempo en segundos despus del cual se
enviar otra solicitud si no se ha recibido respuesta (intervalo 1-30,
opcin predefinida 2 segundos).
Intentos: Especifique el nmero mximo de intentos (sin incluir el
primer intento) despus de los cuales se intentar el siguiente
servidor DNS (intervalo 1-30, opcin predefinida 5).
Palo Alto Networks
Perfiles de red
Perfiles de red
Los perfiles de red capturan la informacin de configuracin que el cortafuegos puede utilizar
para establecer conexiones de red e implementar polticas. Se permiten los siguientes tipos de
perfiles de red:
Puertas de enlace de IKE, perfiles criptogrficos de IPSec e IKE: Estos perfiles admiten
la configuracin y funcionamiento de VPN de IPSec. Para obtener ms informacin sobre
los siguientes tipos de perfiles, consulte Configuracin de tneles de IPSec en la
pgina 337.
Las puertas de enlace IKE incluyen la informacin de configuracin necesaria para
ejecutar la negociacin del protocolo IKE con puertas de enlace del peer con
configuracin de tneles VPN de IPSec.
Los perfiles criptogrficos de IKE especifican los protocolos y algoritmos de
identificacin, autenticacin y cifrado de Fase 1 en tneles VPN.
Los perfiles criptogrficos de IPSec especifican los protocolos y algoritmos de
identificacin, autenticacin y cifrado de Fase 2 en tneles VPN.
Perfiles de supervisor: Estos perfiles se utilizan para supervisar las reglas de reenvo
basado en polticas (PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos
casos, el perfil de supervisin se utiliza para especificar la medida que se adoptar
cuando un recurso (tnel de IPSec o dispositivo de siguiente salto) no est disponible.
Consulte Configuracin de supervisin en la pgina 192.
Perfiles de gestin de interfaz: Estos perfiles especifican los protocolos que se pueden
utilizar para gestionar el cortafuegos de interfaces de capa 3, incluyendo interfaces VLAN
y loopback. Consulte Definicin de perfiles de gestin de interfaz en la pgina 191.
Perfiles de proteccin de zonas: Estos perfiles determinan cmo el cortafuegos responde

a los ataques de zonas de seguridad individuales. Consulte Definicin de perfiles de
proteccin de zonas en la pgina 193. Se permiten los siguientes tipos de proteccin:
Proteccin contra inundaciones: Protege contra SYN, ICMP, UDP y otros ataques de
inundacin basados en IP.
Deteccin de reconocimiento: Permite detectar y bloquear los exmenes de puerto y
limpiezas de direcciones IP utilizadas con ms frecuencia que ejecutan los atacantes
para descubrir objetivos de ataques potenciales.
Proteccin de ataques basados en paquetes: Protege contra ataques de paquetes ICM
e ICMP de grandes dimensiones y numerosos ataques a nivel de IP y TCP. Tambin se
puede especificar el comportamiento de tcp sin sincronizar por zonas.
Perfiles QoS: Estos perfiles determinan como se tratan las clases de trfico QoS. Puede
establecer lmites generales en el ancho de banda independientemente de la clase y
tambin establecer lmites para clases individuales. Tambin puede asignar
prioridades a diferentes clases. Las prioridades determinan cmo se trata el trfico en
presencia de conflictos. Consulte Definicin de perfiles de QoS en la pgina 392.
Palo Alto Networks
Perfiles de red
Definicin de perfiles de gestin de interfaz

Red > Perfiles de red > Gestin de interfaz
Utilice esta pgina para especificar los protocolos que se utilizan para gestionar el cortafuegos.
Para asignar perfiles de gestin a cada interfaz, consulte Configuracin de interfaces de capa 3
en la pgina 138 y Configuracin de subinterfaces de capa 3 en la pgina 144. Para ver una
descripcin general de las interfaces del cortafuegos, consulte Interfaces del cortafuegos en la
pgina 135.
Tabla 73. Configuracin del Perfil de gestin de interfaz

Campo
Descripcin
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre

aparece en la lista de perfiles de gestin de interfaz cuando se configuran
interfaces. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Ping
Telnet
SSH
HTTP
HTTPS
Active la casilla de verificacin de cada servicio para activarlo en las

interfaces donde se aplique el perfil.
SNMP
Pginas de respuesta
La casilla de verificacin Pginas de respuesta controla si los puertos

utilizados como pginas de respuesta de portal cautivo y filtrado URL se
abren con interfaces de capa 3. Los puertos 6080 y 6081 se mantienen
abiertos si se activa este ajuste.
Servicio de ID de
usuario
La opcin Servicio de ID de usuario es necesaria para permitir la

comunicacin entre cortafuegos si un cortafuegos acta como un punto
de redistribucin para proporcionar informacin de asignacin de
usuarios a otros cortafuegos de PAN-OS. Consulte Agente de ID de
usuarios en la pgina 309.
Direcciones IP
permitidas
Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la

gestin de cortafuegos.
Palo Alto Networks
Perfiles de red
Definicin de perfiles de supervisin

Red > Perfiles de red > Supervisin
Un perfil de supervisor se utiliza para supervisar las reglas de reenvo basado en polticas
(PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de
supervisin se utiliza para especificar la medida que se adoptar cuando un recurso (tnel de
IPSec o dispositivo de siguiente salto) no est disponible. Los perfiles de supervisin son
opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para
garantizar el cumplimiento de las reglas PBF.
Despus de crear un perfil de supervisin, puede aplicarlo a un perfil de tnel de IPSec en la
pestaa General , activar la casilla de verificacin Mostrar opciones avanzadas, la casilla de
verificacin Monitor de tnel y seleccionando el perfil que desee de la lista desplegable. En
una regla PBF, haga clic en la pestaa Reenvo, active la casilla de verificacin Supervisar y
seleccione el perfil que desee en la lista desplegable.
En el ejemplo de un tnel de IPSec, el cortafuegos controla la direccin IP especificada
mediante el tnel para determinar si el tnel funciona correctamente de acuerdo con el perfil
de supervisin definido. Si la direccin IP de supervisin del tnel no es accesible, la accin se
adoptar en funcin de los ajustes que seleccione que se definen en Configuracin de
supervisin en la pgina 192.
En el caso de perfiles de supervisin utilizados en una regla PBF, se supervisa una direccin IP
remota. Si la direccin IP remota no es accesible, se adopta una de las siguientes medidas.
Si la accin es Esperar recuperacin, los paquetes continuarn envindose, de acuerdo

con la regla PBF.
Si la accin es Conmutacin por error, el cortafuegos utiliza la bsqueda de tabla de

enrutamiento para determinar el enrutamiento durante la sesin.
Tabla 74.
Configuracin de supervisin
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil de supervisin (de hasta

Accin
Especifique la accin que se realizar si el tnel no est disponible. Si el

nmero de umbral de latidos se pierde, el cortafuegos realiza la accin
especificada.
Esperar recuperacin: Espera a que el tnel se recupere, no realiza
ninguna accin adicional. Los paquetes continuarn envindose de
acuerdo con la regla PBF.
Conmutacin por error: El trfico cambiar a una ruta de seguridad, si
existe una disponible. El cortafuegos utiliza la bsqueda de tabla de
enrutamiento para determinar el enrutamiento durante la sesin.
En ambos casos, el cortafuegos intentar negociar nuevas claves de IPSec
para acelerar la recuperacin.
Intervalo
Especifique el tiempo entre latidos (intervalo 2-10; opcin predefinida 3).
Umbral
Especifique el nmero de latidos que se perdern antes de que el

cortafuegos realice la accin especificada (intervalo 2-100; opcin
predefinida 5).
Palo Alto Networks
Perfiles de red
Definicin de perfiles de proteccin de zonas

Red > Perfiles de red > Proteccin de zonas
Utilice esta pgina para determinar la forma en la que el cortafuegos responde a los ataques de
las zonas de seguridad especificadas. El mismo perfil se puede asignar a mltiples zonas. Para
ver una descripcin general de las zonas de seguridad, consulte Zonas de seguridad en la
pgina 162. La proteccin contra inundaciones se aplica a los paquetes que no pertenecen a
una sesin actual.
Nota: Si define lmites de umbral de paquetes por segundo (pps) de perfiles de
proteccin de zonas, el umbral se basa en los paquetes por segundo que no
coinciden con ninguna sesin establecida previamente.
Tabla 75. Configuracin de Perfil de proteccin de zonas

Campo
Descripcin
Nombre

aparece en la lista de perfiles de proteccin de zonas cuando se
configuran zonas. El nombre hace distincin entre maysculas y
espacios y guiones bajos.
Descripcin
Introduzca una descripcin opcional para el perfil de proteccin de zonas.
Umbrales de proteccin contra inundaciones: Inundacin SYN

Accin
Seleccione la accin que se adoptar en respuesta a un ataque de

inundacin SYN.
Descarte aleatorio temprano: Permite descartar paquetes SYN para
mitigar un ataque de inundacin:
Si el flujo supera el umbral de tasa de alerta, se genera una alarma.
Si el flujo supera el umbral de tasa de activacin, se descartan
paquetes SYN individuales de forma aleatoria para reducir el flujo.
Si el flujo supera el umbral de tasa de mxima, se descartan todos los
paquetes.
Cookies SYN: Calcula un nmero de secuencia de paquetes SYN-ACK
que no requieren almacenar las conexiones pendientes en memoria. Es
el mtodo preferido.
Alerta (paquetes/seg.)
Introduzca el nmero de paquetes SYN recibidos por la zona (en un

segundo) que genera una alarma de ataque. Las alarmas se pueden
visualizar en el panel (consulte Uso del panel en la pgina 274) y en el
log de amenazas (consulte Identificacin de aplicaciones desconocidas y
toma de medidas en la pgina 301).
Activar (paquetes/seg.)
Introduzca el nmero de paquetes SYN recibidos por la zona (en un

segundo) que genera la accin especificada.
Mximo (paquetes/seg.)
Introduzca el nmero mximo de paquetes SYN que se pueden recibir

por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.
Palo Alto Networks
Perfiles de red
Tabla 75. Configuracin de Perfil de proteccin de zonas (Continuacin)

Campo
Descripcin
Umbrales de proteccin contra inundaciones: Inundacin ICMP

Introduzca el nmero de solicitudes de eco ICMP (pings) recibidos por

segundo que genera una alarma de ataque.
Introduzca el nmero de paquetes ICMP recibidos por la zona (en un

segundo) que causa que se descarten los siguientes paquetes ICMP.
Introduzca el nmero mximo de paquetes ICMP que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: ICMPv6

Introduzca el nmero de solicitudes de eco ICMPv6 (pings) recibidos por

segundo que genera una alarma de ataque.
Introduzca el nmero de paquetes ICMPv6 recibidos por segundo en la

zona que causa que se descarten los siguientes paquetes ICMPv6. La
medicin se detiene cuando el nmero de paquetes ICMPv6 es inferior al
umbral.
Introduzca el nmero mximo de paquetes ICMPv6 que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: UDP

Introduzca el nmero de paquetes UDP recibidos por la zona (en un

segundo) que genera una alarma de ataque.
Introduzca el nmero de paquetes UDP recibidos por la zona (en un

segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta
se desactiva si el nmero de paquetes UDP es inferior al umbral.
Introduzca el nmero mximo de paquetes UDP que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: Otras IP

Introduzca el nmero de paquetes IP recibidos por la zona (en un

segundo) que genera una alarma de ataque.
Introduzca el nmero de paquetes IP recibidos por la zona (en un

segundo) que genera el descarte aleatorio de paquetes IP. La respuesta se
desactiva si el nmero de paquetes IP es inferior al umbral. Cualquier
nmero de paquetes que supere el mximo se descartar.
Introduzca el nmero mximo de paquetes IP que se pueden recibir por

segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.
Palo Alto Networks
Perfiles de red

Campo
Descripcin
Proteccin de reconocimiento: Examen de puerto TCP, Examen de puerto de UDP,

Limpieza de host
Intervalo (seg)
Introduzca el intervalo de tiempo para la deteccin de exmenes puerto y

limpieza de host (segundos).
Umbral (eventos)
Introduzca el nmero de puertos explorados en el intervalo de tiempo

especificado que activarn este tipo de proteccin (eventos).
Accin
Introduzca la accin que el sistema adoptar como respuesta a este tipo

de evento:
Permitir: Permite la exploracin de puerto de reconocimiento de
limpieza de host.
Alertar: Genera una alerta para cada exploracin o limpieza que
coincida con el umbral del intervalo de tiempo especificado.
Bloquear: Descarta todos los paquetes enviados desde el origen al
destino durante el resto del intervalo de tiempo especificado.
Bloquear IP: Descarta el resto de paquetes durante un perodo de
tiempo especificado. Seleccione si se bloquear el trfico de origen,
destino, o el de origen y destino, e introduzca la duracin (segundos).
IPv6 Colocar paquetes con

Encabezado de
enrutamiento tipo 0
Active la casilla de verificacin para colocar los paquetes de IPv6 que

incluirn un encabezado de enrutador de tipo 0.
Direccin compatible de
IPv4
Active la casilla de verificacin para colocar los paquetes IPv6 que

incluyan una direccin compatible con IPv4.
Direccin de origen de
multicast

incluyan una direccin de origen de multicast.
Direccin de fuente de
difusin por proximidad

incluyan una direccin de fuente de difusin por proximidad.
Proteccin de ataques basados en paquetes

Pestaa secundaria
Descarte de TCP/IP
Direccin IP replicada
Active la casilla de verificacin para activar la proteccin contra

replicacin de direccin IP.
Trfico fragmentado
Descarta los paquetes IP fragmentados.
Segmento TCP
superpuesto no
coincidente
Muestra los paquetes con segmentos TCP superpuestos coincidentes.
Rechazar TCP sin SYN
Determina si el paquete se rechazar, si el primer paquete de la

configuracin de sesin TCP no es un paquete SYN:
Global: Utilice el ajuste del sistema asignado mediante CLI.
S: Rechaza TCP sin SYN.
No: Acepta TCP sin SYN.
Palo Alto Networks
Perfiles de red

Campo
Descripcin
Ruta asimtrica
Determine si los paquetes que contienen nmeros de secuencia fuera del

umbral o ACK de fallo de sincronizacin se descartarn o se derivarn:
Global: Utilice el ajuste del sistema asignado mediante CLI.
Colocar: Descarte los paquetes que contienen una ruta asimtrica.
Derivar: Derive los paquetes que contienen una ruta asimtrica.
Proteccin de
opciones IP
Enrutamiento de fuente
estricto
Descarta paquetes con la opcin de IP de enrutamiento de origen estricto

activada.
Enrutamiento de origen
no estricto
Descarta paquetes con la opcin de IP de enrutamiento de origen no

estricto activada.
Marca de tiempo
Descarta paquetes con la opcin de marca de tiempo activada.
Ruta de log
Descarta paquetes con la opcin de ruta de log activada.
Seguridad
Descarta paquetes con la opcin de seguridad activada.
ID de secuencia
Descarta paquetes con la opcin de ID de secuencia activada.
Desconocido
Descarta paquetes si no se conoce la clase ni el nmero.
Formada
incorrectamente
Descarta paquetes si tienen combinaciones incorrectas de clase, nmero y

longitud basadas en RFC 791, 1108, 1393 y 2113.
Pestaa secundaria
Descarte de ICMP
ID de 0 de ping de ICMP
Descarta paquetes si el paquete de ping de ICMP tiene un identificador

con el valor de 0.
Fragmento de ICMP
Descarta paquetes formados con fragmentos ICMP.
Paquete de ICMP de
gran tamao (>1024)
Descarta paquetes ICMP con un tamao mayor de 1024 bytes.
Suprimir error caducado

ICMP TTL
Detiene el envo de mensajes caducados ICMP TTL.
Suprimir fragmento de
ICMP necesario
Detiene el envo de mensajes necesarios por la fragmentacin ICMP en

respuesta a paquetes que exceden la interfaz MTU y tienen el bit no
fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que
ejecutan los hosts tras el cortafuegos.
Pestaa secundaria
Descarte de IPv6
Encabezado de
enrutamiento tipo 0
Descarta paquetes con encabezado de enrutamiento de tipo 0.
Direcciones compatibles
de IPv4
Descarta paquetes con direcciones IPv4 compatibles.
Direccin de fuente de
difusin por proximidad
Colocar paquetes con una direccin de origen de difusin por

proximidad.
Encabezado de
fragmento innecesario
Descarta paquetes con encabezado de fragmento innecesario.
Palo Alto Networks
Perfiles de red

Campo
Descripcin
MTU en paquete
ICMPv6 demasiado
grande inferior a 1280
bytes
Descarta paquetes con una MTU en paquete ICMPv6 demasiado grande

inferior a 1280 bytes.
Extensin de salto por

salto
Descarta paquetes con el encabezado de extensin de salto por salto.
Extensin de
enrutamiento
Descarta paquetes con encabezado de extensin de enrutamiento.
Extensin de destino
Descarta paquetes con encabezado de extensin de destino.
Opciones de IPv6 no
vlidas en encabezado
de extensin
Descarta paquetes con opciones de IPv6 no vlidas en el encabezado de

extensin.
Campo reservado
distinto de cero
Descarta paquetes si el campo reservado tiene un valor distinto de cero.
Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere
coincidencia de regla de
seguridad explcita
Requiere una bsqueda de poltica de seguridad explcita para errores de

destinos ICMPv6 no alcanzables incluso con una sesin existente.
Paquete ICMPv6
demasiado grande:
requiere coincidencia de
regla de seguridad
explcita

paquetes ICMPv6 demasiado grandes incluso con una sesin existente.
Tiempo de ICMPv6
superado: requiere
seguridad explcita

tiempo de ICMPv6 superado incluso con una sesin existente.
Problema de parmetro
de ICMPv6: requiere
seguridad explcita

problema de parmetro de ICMPv6 incluso con una sesin existente.
Redireccionamiento de
ICMPv6: requiere
seguridad explcita

redireccionamiento de ICMPv6 incluso con una sesin existente.
Palo Alto Networks
Perfiles de red
Palo Alto Networks
Captulo 5
Polticas y perfiles de seguridad

Este captulo describe cmo configurar polticas y perfiles de seguridad:
Polticas en la seccin siguiente
Perfiles de seguridad en la pgina 227
Otros objetos de las polticas en la pgina 244
Polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automtica. Se admiten los siguientes tipos de
polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en la
aplicacin, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces fsicas o lgicas que envan o reciben
trfico. Consulte Polticas de seguridad en la pgina 203.
Polticas de traduccin de direccin de red (NAT) para traducir direcciones y puertos,

segn sea necesario. Consulte Polticas NAT en la pgina 207.
Polticas de reenvo basado en polticas para determinar la interfaz de salida utilizada

despus del procesamiento. Consulte Reglas de reenvo basado en polticas en la
pgina 216.
Polticas de descifrado para especificar el descifrado del trfico de las polticas de

seguridad. Cada una de las polticas puede especificar las categoras de las URL del
trfico que desea descifrar. El descifrado SSH se utiliza para identificar y controlar los
tneles SSH, as como el acceso SSH (Secure Shell). Consulte Polticas de descifrado en
la pgina 219.
Polticas de cancelacin para anular las definiciones de la aplicacin proporcionadas por

el cortafuegos. Consulte Polticas de cancelacin de aplicacin en la pgina 221.
Polticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el

trfico para su tratamiento, cuando pasa por una interfaz con QoS activado. Consulte
Definicin de polticas de QoS en la pgina 393.
Palo Alto Networks
Polticas y perfiles de seguridad 199
Polticas
Polticas de portal cautivo para solicitar la autenticacin de los usuarios no identificados.

Consulte Polticas de portal cautivo en la pgina 223.
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de proteccin en respuesta que coincidan con las reglas. Consulte Polticas de
proteccin DoS en la pgina 225.
Nota: Las polticas compartidas introducidas en Panorama se muestran en color
verde en las pginas de la interfaz web del cortafuegos y no se pueden editar a nivel
de dispositivo.
Directrices de definicin de polticas

Si desea consultar las directrices generales sobre cmo interactuar con la interfaz del
cortafuegos, consulte Uso de la interfaz web del cortafuegos en la pgina 23. Las siguientes
directrices especficas son aplicables cuando interacta con las pginas de la pestaa Polticas:
Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro. Para
aadir un valor que defina un filtro, haga clic en la flecha hacia abajo del elemento y
seleccione Filtro.
Para ver informacin sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice polticas de seguridad, PBF o QoS, coloque el ratn sobre el objeto en la
columna Aplicacin, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener
que desplazarse a las pestaas de objetos.
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, regla n se inserta debajo de la regla seleccionada, donde
n es el siguiente nmero entero disponible que hace que el nombre de la regla sea
nico.
El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el trfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si mover la regla que ha seleccionado,
para reordenar antes o despus de esta regla.
Para habilitar una regla, seleccinela y haga clic en Habilitar.
200 Polticas y perfiles de seguridad
Palo Alto Networks
Polticas
Para mostrar las reglas que no se estn utilizando actualmente, seleccione la casilla de
verificacin Resaltar reglas no utilizadas.
Regla en uso
Regla no utilizada (fondo de puntos amarillos)
Para mostrar el log de la poltica, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.
En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos
elementos directamente desde el men de la columna.
Si tiene un gran de polticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una poltica basada en el nombre del objeto o en la direccin IP.
La bsqueda tambin incluir los objetos incrustados para buscar una direccin en un
objeto de direccin o en un grupo de direcciones. En la siguiente captura de pantalla, la
direccin IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la poltica
aaa. Esa poltica utiliza un objeto de grupo de direccin denominado aaagroup, que
contiene la direccin IP.
Barra de filtros
Resultados de filtros
Palo Alto Networks
Polticas
Puede mostrar u ocultar columnas concretas en la vista de cualquiera de las pginas de

Polticas.
Especificacin de usuarios y aplicaciones para las polticas

Polticas > Seguridad
Polticas > Descifrado
Puede restringir polticas de seguridad a los usuarios o aplicaciones que seleccione haciendo clic
en el enlace del usuario o de la aplicacin en la pgina de reglas de dispositivo Seguridad o
Descripcin. Para obtener ms informacin sobre cmo restringir las reglas segn la aplicacin,
consulte Definicin de aplicaciones en la pgina 251.
Para restringir una poltica a los usuarios seleccionados, realice los siguientes pasos:
1.
En la pgina Seguridad o Descifrado de reglas del dispositivo, haga clic en el enlace

subrayado del usuario de origen o destino para abrir la ventana de seleccin.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios, la lista de
usuarios no se muestra y deber introducir la informacin del usuario manualmente.
2.
Seleccione el tipo de regla que se aplicar:

Cualquiera: Incluye a todos los usuarios en la regla.
Usuario conocido: Incluye a todos los usuarios autenticados.
Desconocido: Incluye a todos los usuarios no autenticados.
Seleccionar: Incluye los usuarios seleccionados en esta ventana.
3.
Para aadir grupos de usuarios, seleccione la casilla de verificacin Grupos de usuarios

disponibles y haga clic en Aadir grupo de usuarios. Tambin puede escribir el texto de uno
o ms grupos y hacer clic en Aadir grupo de usuarios.
4.
Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo Usuario
y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir usuario. Tambin
puede introducir los nombres de usuarios individuales en el rea Ms usuarios.
Palo Alto Networks
Polticas
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripcin.
Polticas de seguridad
Las polticas de seguridad determinan si se bloquear o permitir una nueva sesin de red en
funcin de los atributos de trfico, como la aplicacin, zonas de seguridad y direcciones de
origen y destino, y el servicio de aplicacin (como HTTP). Las zonas de seguridad se utilizan
para agrupar interfaces segn el riesgo relativo del trfico que soporten. Por ejemplo, una
interfaz conectada a Internet est en una zona no fiable, mientras que una interfaz
conectada a la red interna est una zona fiable.
Nota: De manera predeterminada, el trfico entre cada par de zonas de seguridad se
bloquea hasta que se aada al menos una regla para permitir el trfico entre las dos
zonas.
El trfico entre zonas est permitido de manera predeterminada y requiere una regla de
bloqueo explcita. Si se aade una regla de denegacin general como la ltima regla en
la poltica, el trfico entre zonas estar bloqueado, hasta que se indique lo contrario.
Las polticas de seguridad pueden ser tan generales o especficas como sea necesario. Las
reglas de poltica se comparan con el trfico entrante en secuencia y al aplicar la primera regla
que coincida con el trfico, las reglas ms especficas deben anteceder a las reglas ms
generales. Por ejemplo, una regla de una aplicacin simple debe anteceder a una regla para
todas las aplicaciones si el resto de configuraciones de trfico son las mismas.
Definicin de polticas de seguridad

Polticas > Seguridad
Utilice la pgina Seguridad para definir reglas de poltica de seguridad. Para obtener
informacin sobre las directrices de configuracin, consulte Directrices de definicin de
polticas en la pgina 200.
Tabla 76. Configuracin de polticas de seguridad

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres). El

bajos. Solo se requiere el nombre.
Descripcin
Introduzca una descripcin de la poltica (hasta 255 caracteres).
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para

especificar la etiqueta.
Palo Alto Networks
Polticas
Tabla 76. Configuracin de polticas de seguridad (Continuacin)

Campo
Descripcin
Pestaa Origen
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Haga clic en Aadir para aadir las direcciones, direcciones de grupos o

regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.
Pestaa Usuario
Usuario de origen
Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de

origen sometidos a la poltica.
Perfiles HIP
Haga clic en Aadir para seleccionar los perfiles de informacin de host

(HIP) para identificar a los usuarios. Para obtener ms informacin sobre
HIP, consulte Descripcin general en la pgina 367.
Pestaa Destino
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
Direccin de destino

regiones de destino (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, en el enlace en la
parte inferior de la lista desplegable y especifique la configuracin de la
direccin.
Palo Alto Networks
Polticas

Campo
Descripcin
Pestaa Aplicacin
Aplicacin
Seleccione si desea especificar aplicaciones a la regla de seguridad. Para

definir nuevas aplicaciones, consulte Definicin de aplicaciones en la
pgina 251. Para definir grupos de aplicaciones, consulte Definicin de
grupos de aplicaciones en la pgina 257.
Si una aplicacin tiene mltiples funciones, puede seleccionar una
aplicacin general o aplicaciones individuales. Si selecciona una aplicacin
general se incluirn todas las funciones y la definicin de la aplicacin se
actualizar automticamente a medida que se aadan futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
seguridad, podr ver los detalles de estos objetos al pasar el ratn por
encima del objeto en la columna Aplicacin, haciendo clic en la flecha
hacia abajo y seleccionando Valor. De esta forma podr ver fcilmente
miembros de la aplicacin directamente desde la poltica, sin tener que
desplazarse a las pestaas de objetos.
Pestaa Categora
de URL/servicio
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios en la pgina 258 y Grupos de servicios
en la pgina 259.
Categora de URL
Seleccione las categoras URL de la regla de seguridad.

Seleccione Cualquiera para permitir o denegar todas las sesiones, con
independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Categoras de
URL personalizadas en la pgina 261 para obtener ms informacin
sobre cmo definir categoras personalizadas.
Palo Alto Networks
Polticas

Campo
Descripcin
Pestaa Acciones
Configuracin de
accin
Haga clic en Permitir o Denegar para permitir o bloquear una nueva

sesin de red para el trfico que coincida con esta regla.
Ajuste de perfil
Para especificar la comprobacin realizada por los perfiles de seguridad

predeterminados, seleccione los perfiles individuales de Antivirus,
Antispyware, Proteccin de vulnerabilidades, Filtrado de URL, Bloqueo de
archivo y /o Filtrado de datos.
Para especificar un grupo de perfil en lugar de perfiles individuales,
seleccione Grupos de perfil y seleccione un grupo de la lista desplegable
Grupo.
Para definir nuevos perfiles o grupos de perfiles, haga clic en Nuevo junto
al perfil o grupo adecuado (consulte Grupos de perfiles de seguridad en
la pgina 267).
Ajuste de log
Especifique cualquier combinacin de las siguientes opciones:

Ajuste de log:
Para enviar el log del trfico local y las entradas del log de amenazas a
destinos remotos, como servidores de Panorama y Syslog, seleccione un
perfil de logs de la lista desplegable Perfil de reenvo de logs. Tenga en
cuenta que la generacin de entradas del log de amenazas est
determinada por los perfiles de seguridad. Para definir nuevos perfiles
de log, haga clic en Nuevo (consulte Reenvo de logs en la pgina 268).
Para generar entradas de trfico en el log de trfico local que cumplan
esta regla, seleccione las siguientes opciones:
Log al iniciar sesin. Genera una entrada de log de trfico al inicio de
la sesin (deshabilitada de forma predeterminada).
Log al finalizar sesin. Genera una entrada de log de trfico al final de
la sesin (habilitada de forma predeterminada).
Si las entradas de inicio o fin de la sesin se registran, tambin lo harn las
entradas de colocacin y denegacin.
Otros ajustes
Especifique cualquier combinacin de las siguientes opciones:

Programacin: Para limitar los das y horas en los que la regla est en
vigor, seleccione una programacin de la lista desplegable. Para definir
nuevas programaciones, haga clic en Nuevo (consulte Programaciones
en la pgina 271).
Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en
paquetes que coincidan con la regla, seleccione IP DSCP o Precedencia de
IP e introduzca el valor de QoS en formato binario o seleccione un valor
predeterminado de la lista desplegable. Para obtener ms informacin
sobre QoS, consulte Configuracin de la calidad de servicio en la
pgina 389.
Deshabilitar inspeccin de respuesta de servidor: Para deshabilitar la
inspeccin de paquetes del servidor en el cliente, seleccione esta casilla
de verificacin. Esta opcin puede ser de utilidad en condiciones con
gran carga del servidor.
Palo Alto Networks
Polticas
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de
direccin de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirn entre pblicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones pblicas en el trfico enviado desde una zona interna (fiable) a
una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrn resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe
configurar una poltica de seguridad para permitir el trfico NAT. La poltica de seguridad se
basar en la direccin de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas
direcciones IP pblicas con diferentes nmeros de puerto de origen. Las reglas de IP
dinmica/NAT de puerto permiten traducir una direccin IP nica, un intervalo de
direcciones IP, una subred o una combinacin de todas ellas. Si una interfaz de salida
tiene una direccin IP asignada dinmicamente, puede ser de utilidad especificar la
interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin
adquirida por la interfaz para subsiguientes traducciones.
Nota: IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT
que las admitidas por el nmero de direcciones y puertos IP disponibles. El cortafuegos
puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma
simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en
PA[h4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050 y
PA-5060 si las direcciones IP de destino son nicas.
IP dinmica: Para el trfico saliente. Las direcciones de origen privadas se traducen a la

siguiente direccin disponible en el intervalo de direcciones especificado. Las polticas de
NAT de IP dinmica permiten especificar una direccin IP nica, mltiples IP, mltiples
intervalos IP o mltiples subredes como el grupo de direcciones traducidas. Si el grupo de
direcciones de origen es mayor que el grupo de direcciones traducidas, las nuevas direcciones
IP que buscan traduccin se vern bloqueadas, mientras que el grupo de direcciones
traducidas se utiliza en su totalidad. Para evitar este problema, puede especificar un grupo de
reserva que se utilizar si el grupo primario agota sus direcciones IP.
IP dinmica: Para el trfico entrante o saliente. Puede utilizar la IP esttica de origen o

destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una direccin IP pblica a mltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.
Palo Alto Networks
Polticas
Nota: Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT, el
servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. Para
especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
Tabla 77. Tipos de NAT

Tipos de
NAT de
PAN-OS
El puerto de
destino es el
mismo
El puerto de
destino
puede
cambiar
IP dinmica/
puerto
No
No
Tipo de
asignacin
Muchas a 1
MaN
Hasta 254 direcciones

consecutivas
No
MaN
Hasta 32.000
direcciones
consecutivas
No
1a1
Ilimitado
IP dinmica
IP esttica
Tamao del grupo

de direcciones
traducidas
MaN
MIP
Opcional
1 a muchas
PAT VIP
Palo Alto Networks
Polticas
Determinacin de configuracin de zona en NAT y poltica de seguridad

Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP
anteriores a NAT configuradas en la poltica. Por ejemplo, si traduce el trfico entrante a un
servidor interno (al que se accede mediante una IP pblica de servidores de Internet), es
necesario configurar la poltica NAT mediante la zona en la que reside la direccin IP pblica.
En este caso, las zonas de origen y destino seran las mismas. Como ejemplo adicional, si
traduce el trfico de host saliente a una direccin IP pblica, es necesario configurar la poltica
NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts. La
zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya
modificado el paquete.
La poltica de seguridad es diferente de la poltica NAT en que las zonas posteriores a NAT se
deben utilizar para controlar el trfico. NAT puede afectar a las direcciones IP de origen o
destino y pueden llegar a modificar la interfaz saliente y la zona. Si crea polticas de seguridad
con direcciones IP especficas, es importante tener en cuenta que las direcciones IP anteriores a
NAT se utilizarn en la correspondencia de polticas. La poltica de seguridad debe permitir
de forma explcita el trfico sujeto a NAT, si el trfico atraviesa mltiples zonas.
Opciones de regla NAT

El cortafuegos admite reglas no NAT y reglas NAT bidireccionales.
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la poltica NAT. Para definir
una poltica no NAT, especifique todos los criterios coincidentes y seleccione Sin traduccin
de origen en la columna de traduccin de origen.
Reglas NAT bidireccionales

El ajuste bidireccional en reglas NAT de origen estticas crea una regla NAT de destino para
el trfico en los mismo recursos en la direccin opuesta. En este ejemplo, se utilizan dos reglas
NAT para crear una traduccin de origen del trfico saliente desde la IP 10.0.1.10 a la IP
pblica 3.3.3.1; y una traduccin de destino para el trfico destinado de la IP pblica 3.3.3.1 a
la IP privada 10.0.1.10. Este par de reglas se pueden simplificar configurando nicamente la
tercera regla NAT, utilizando la funcin bidireccional.
Ilustracin 16. Reglas NAT bidireccionales
Palo Alto Networks
Polticas
Definicin de polticas de traduccin de direccin de red

> Polticas de NAT
Las reglas de traduccin NAT se basan en las zonas de origen y destino, en las direcciones de
origen y destino, y en el servicio de aplicacin (como HTTP). Al igual que las polticas de
seguridad, las reglas de poltica NAT se comparan con el trfico entrante en secuencia, y se
aplica la primera regla que coincida.
A medida que sea necesario, aada rutas estticas al enrutador local para enrutar el trfico a
todas las direcciones pblicas hacia el cortafuegos. Es posible que tambin necesite aadir
reglas estticas a la interfaz de destino en el cortafuegos para reducir el trfico en la direccin
privada (consulte Interfaces del cortafuegos en la pgina 135). Para obtener informacin
sobre las directrices de configuracin, consulte Directrices de definicin de polticas en la
pgina 200.
Tabla 78. Configuracin de regla NAT

Campo
Descripcin
Nombre
Cambie cambiar el nombre predeterminado de la regla y/o introducir

una descripcin de la regla.
Descripcin
Tipo de Nat
Especifique ipv4 para NAT entre direcciones IPv4 o traduccin nat64

entre direcciones IPv6 e IPv4.
Nota: No puede combinar intervalos de direcciones IPv4 e IPv6 en una nica
regla NAT.
Etiqueta

Paquete original
Zona de origen
Zona de destino
Seleccione una o ms zonas de origen y destino para el paquete original

(no NAT). (El valor predeterminado es cualquiera.) Las zonas deben ser
del mismo tipo (capa 2, capa 3 o de cable virtual). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
puede configurar los ajustes para que mltiples direcciones NAT internas
se dirijan a la misma direccin IP externa.
Interfaz de destino
Especifique el tipo de interfaz de traduccin. La interfaz de destino se

puede utilizar para traducir direcciones IP de manera diferente en caso de
que la red est conectada a dos proveedores de Internet con grupos
diferentes de direcciones IP.
Direccin de origen
Direccin de destino
Especifique una combinacin de direcciones de origen y destino para las

que las direcciones de origen y destino se deben traducir.
Servicio
Especifique los servicios para los que las direcciones de origen y destino
se traducen. Para definir nuevos grupos de servicio, consulte Grupos de
servicios en la pgina 259.
Palo Alto Networks
Polticas
Tabla 78. Configuracin de regla NAT (Continuacin)

Campo
Descripcin
Paquete traducido
Traduccin de origen
Introduzca una direccin o un intervalo de direcciones IP (direccin1direccin2) a la que se traduce la direccin de origen, y seleccione un
grupo de direcciones dinmicas o estticas. El tamao del intervalo de
direcciones est limitado por el tipo del grupo de direcciones:
IP dinmica y puerto: La seleccin de direcciones se basa en un hash de
la direccin de IP de origen. Para una direccin de IP de origen, el
cortafuegos utilizar la misma direccin de origen traducida para todas
las sesiones. IP dinmica y NAT de puerto origen admite
aproximadamente 64.000 sesiones simultneas en cada direccin IP en
el grupo NAT. En algunas plataformas, se permite un exceso de
suscripciones, lo que permite a una nica IP albergar ms de 64.000
sesiones simultneas. Consulte la nota de la pgina 207 para obtener
ms informacin.
IP dinmica: Se utiliza la siguiente direccin disponible en el intervalo
especificado, pero el nmero de puerto no se cambia. Se admiten hasta
32.000 direcciones IP consecutivas. Un grupo de direcciones IP
dinmicas puede contener varias subredes, por lo que podr traducir
sus direcciones de red internas a dos o ms subredes pblicas
diferentes.
Avanzado (traduccin de IP dinmica de reserva): Utilice esta
opcin para crear un grupo de reserva que ejecutar la traduccin de
IP y puerto, y que se utilizar si el grupo primario agota sus
direcciones. Puede definir las direcciones del grupo utilizando la
opcin Direccin traducida o Direccin de interfaz, para interfaces
que reciben una direccin IP dinmica. Si crea un grupo de reserva,
asegrese de que las direcciones no se solapan con las direcciones del
grupo primario.
IP esttica: Se utiliza la misma direccin y el puerto permanece
inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traduccin es 10.0.0.1-10.0.0.10, la
direccin 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de
direccin es casi ilimitado.
Ninguna: La traduccin no se ejecuta.
Traduccin de destino
Palo Alto Networks
Introduzca una direccin o intervalo de direcciones IP y un nmero de

puerto traducido (1 a 65535) al que la direccin y nmero de puerto de
destino se traducirn. Si el campo Puerto traducido se deja en blanco, el
puerto de destino no se modifica. La traduccin de destino se suele
utilizar para permitir un servidor interno, como un servidor de correo
electrnico al que se accede desde la red pblica.
Polticas
Ejemplos de poltica NAT

La siguiente regla de polticas NAT traduce un intervalo de direcciones de origen privadas
(10.0.0.1 a 10.0.0.100 en la zona L3Trust) en una direccin IP pblica nica (200.10.2.100 en la
zona L3Untrust) y un nmero de puerto de origen nico (traduccin de origen dinmica).
La regla solo se aplica al trfico recibido en una interfaz Capa 3 en la zona L3Trust que se
destina a una interfaz en la zona L3Untrust. Como las direcciones privadas estn ocultas, las
sesiones de red no se pueden iniciar desde la red pblica. Si la direccin pblica no est en
una direccin de interfaz de cortafuegos (o en la misma subred), el enrutador local requiere
una ruta esttica para dirigir el trfico de retorno al cortafuegos.
La poltica de seguridad debe configurarse explcitamente para permitir el trfico coincidente
con esta regla NAT. Cree una poltica de seguridad con zonas y direcciones de origen/destino
que coincidan con la regla NAT.
Ilustracin 17. Traduccin de direccin de origen dinmica

En el siguiente ejemplo, la primera regla NAT traduce la direccin privada de un servidor de
correo interno en una direccin IP pblica esttica. La regla solo se aplica al correo saliente
enviado desde la zona L3Trust a la zona L3Untrust. Para el trfico en direccin opuesta
(correo electrnico entrante), la segunda regla traduce la direccin de destino de la direccin
pblica del servidor a su direccin privada. La regla 2 utiliza L3Untrust para las zonas de
origen y destino porque la poltica NAT se basa en la zona de direcciones anterior a NAT. En
este caso, esa direccin anterior a NAT es una direccin IP Pblica y, por lo tanto, se encuentra
en la zona L3Untrust.
Ilustracin 18. Origen esttico y Traduccin de direccin de destino

En ambos ejemplos, si la direccin pblica no est en la direccin de la interfaz del cortafuegos
(o en la misma subred), debe aadir una ruta esttica al enrutador local para enrutar el trfico
al cortafuegos.
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e
IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4 acceder a
servidores IPv6. Existen tres mecanismos principales de transicin definidos por IETF: pila doble,
tneles y transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicacin, debe utilizar
la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga de
una solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin NAT.
Palo Alto Networks
Polticas
Las siguientes funciones NAT64 son compatibles:
Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4
pueda asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede
compartir con NAT44. En contraste, Stateless NAT64 asigna una direccin IPv4 a una
direccin IPv6.
Traduccin de comunicacin IPv4 iniciada. El enlace esttico de IPv4 asigna una

direccin/nmero de puerto IPv4 a una direccin IP IPv6. PAN-OS tambin admite la
reescritura, lo que le permite conservar an ms direcciones IPv4.
Permite traducir subredes /32, /40, /48, /56, /64 y /96.
Compatibilidad de varios prefijos. Puede asignar un prefijo NAT64 por regla.
No requiere que conserve un grupo de direcciones IPv4 especficamente para NAT64. Por
lo tanto, puede utilizar una direccin IP simple para NAT44 y NAT64.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.
Permite la traduccin de paquetes TCP/UDP/ICMP por RFC, as como otros protocolos

sin ALG (best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traduccin
tiene la misma limitacin que NAT44.
Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamao mximo de

segmento) para TCP.
Permite configurar el parmetro IPv6 MTU. El valor predeterminado es 1280, que es el

valor mnimo de MTU para el trfico IPv6. Este ajuste se configura en la pestaa
Dispositivo > Configuracin > Sesiones en Ajustes de sesin.
Traduce el atributo de longitud entre IPv4 e IPv6.
Admitido en interfaces y subinterfaces de capa 3, tnel e interfaces VLAN.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Comunicacin IPv6 iniciada
En este tipo de traduccin, la direccin IPv6 de destino de la regla NAT es un prefijo que sigue
al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La mscara de red de la direccin IPv6 de
destino en la regla se utilizara para extraer la direccin IPv4. La traduccin de origen necesita
tener un puerto e IP dinmicas para implementar Stateful NAT64. La direccin IPv4
definida como origen se configura de la misma forma que una traduccin de destino NAT44.
El campo de traduccin de destino no est definido. Sin embargo, debe realizarse una
traduccin de destino ya que la direccin se extrae de la direccin IPv6 en el paquete. Utiliza
el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en cuenta que
en un prefijo /96, est en los ltimos 4 octetos, pero la ubicacin de la direccin IPv4 sera
diferente si el prefijo no es /96.
Palo Alto Networks
Polticas
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Fiable
No fiable
Internet IPv4
Host IPv6
Ilustracin 19. Diagrama de red de cliente NAT64 IPv6 a IPv4

La tabla siguiente describe los valores necesarios en esta poltica NAT64.
Tabla 79.
IP de origen
IP de destino
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC6052
Traduccin de
origen
IP dinmica y modo
de puerto (usar
direcciones IPv4)
Ninguna
(Extrada de las direcciones IPv6 de
destino)
Comunicacin IPv4 iniciada

La direccin IPv4 se asigna a la direccin IPv6 y puede usar el modo de IP esttica en la
traduccin de origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y
se adjunta a la direccin IPv4 de origen. La direccin de destino es la direccin IP definida en
la columna de traduccin de destino. Es posible reescribir el puerto de destino. Este mtodo
permite que una nica direccin IP comparta mltiples servidores IPv6 mediante una
asignacin esttica en el puerto.
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Internet IPv4
Red IPv6
No fiable
Fiable
Host IPv4
Ilustracin 20. Diagrama de red de cliente NAT64 IPv4 Internet a IPv6
Palo Alto Networks
Polticas
La tabla siguiente describe los valores necesarios en esta poltica NAT64.
Tabla 80. Valores de IPv4 iniciada

IP de origen
IP de destino
Cualquier
direccin
IPv4
Direccin IPv4
Traduccin de
origen
Modo de IP esttica
(Prefijo IPv6 en
formato RFC 6052)
Direccin simple IPv6 (direccin IP
del servidor real)
Nota: Puede especificar una
reescritura del puerto del servidor.
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignacin de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de tnel sin punto de finalizacin porque este tipo de
interfaz actuar como un puerto de loopback y aceptar otras mscaras de subred adems de
/128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para garantizar que el
trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
Escenarios IETF para la transicin IPv4/IPv6

Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. El cortafuegos de
Palo Alto Networks admite todos los escenarios menos uno de ellos, tal y como se indica en la
siguiente tabla.
Tabla 81. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS

Escenario
Red IPv6 a
Internet IPv4
IP de
origen
Cualquier
direccin
IPv6
IP de destino
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Modo de IP
dinmica y
puerto.
Modo de IP
esttica.
Internet IPv4
a una red
IPv6
Cualquier
direccin
IPv4
Direccin IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
direccin
IPv6
Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.
Red IPv4 a
Internet IPv6
No admitida actualmente
Palo Alto Networks
Traduccin de
origen
Ninguna
(extrada de direcciones
IPv6 de destino)
Usar direccin
IPv4 pblica
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
IPv6 de destino)
Polticas
Tabla 81. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS

Escenario
Red IPv4 a
red IPv6
Red IPv6 a
red IPv4
IP de
origen
IP de destino
Traduccin de
origen
Cualquier
direccin
IPv4
Direccin IPv4
simple
Modo de IP
esttica.
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
IPv6 de destino)
Reglas de reenvo basado en polticas

Polticas > Reenvo basado en polticas
Normalmente, cuando el trfico entra en el cortafuegos, el enrutador virtual de la interfaz de
entrada indica la ruta que determina la interfaz de salida y la zona de seguridad de destino
basada en la direccin IP de destino. Gracias al reenvo basado en polticas (PBF), puede
especificar otra informacin para determinar la interfaz de salida, incluyendo la zona,
direccin y usuario de origen, as como la direccin, aplicacin y servicio de destino. La sesin
inicial de una direccin IP y puerto de destino concretos asociados con una aplicacin no
coincidir con una regla de aplicacin especfica y se reenviarn de acuerdo con reglas PBF
subsiguientes (que no especifican ninguna aplicacin) o la tabla de reenvo del enrutador
virtual. El resto de sesiones de esa direccin IP y puerto de destino de la misma aplicacin
coincidirn con una regla especfica de aplicacin. Para garantizar el reenvo mediante reglas
PBF, no se recomienda el uso de reglas especficas de la aplicacin.
Cuando sea necesario, las reglas PBF se pueden utilizar para forzar el trfico mediante un
sistema virtual adicional con la accin de reenvo Reenviar a Vsys. En este caso, es necesario
definir una regla PBF adicional que reenve el paquete desde el sistema virtual de destino
mediante una interfaz de salida concreta en el cortafuegos.
Para obtener informacin sobre las directrices de configuracin, consulte Directrices de
definicin de polticas en la pgina 200.
Tabla 82. Configuracin de reglas de reenvo basado en polticas

Campo
Descripcin
Pestaa General
Nombre

Descripcin
Etiqueta

Palo Alto Networks
Polticas
Tabla 82. Configuracin (Continuacin) de reglas de reenvo basado en polticas

Campo
Descripcin
Pestaa Origen
Zona de origen
Para elegir zonas de origen (el valor predeterminado es cualquiera), haga

clic en Aadir y seleccione una de la lista desplegable. Para definir
nuevas zonas, consulte Definicin de zonas de seguridad en la
pgina 163.
Nota: Solo se admiten zonas de tipo Capa 3 para reenvo basado en
polticas.
Direccin de origen

Usuario de origen

Pestaa Destino/
aplicacin/servicio
Direccin de destino

Aplicacin
Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir

nuevas aplicaciones, consulte Definicin de aplicaciones en la
Si utiliza grupos de aplicaciones, filtros o un contenedor en la

regla de PFB, podr ver los detalles de estos objetos al pasar el
ratn por encima del objeto en la columna Aplicacin, haciendo
clic en la flecha hacia abajo y seleccionando Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente
desde la poltica, sin tener que ir hasta las pestaas de objetos.
Servicio
Especifique los servicios para los que las direcciones de origen y destino
se traducen. Para definir nuevos grupos de servicio, consulte Grupos de
servicios en la pgina 259.
Pestaa Reenvo
Accin
Seleccione una de las siguientes opciones:

Reenviar: Especifique la direccin IP del prximo salto y la interfaz de
salida (la interfaz que toma el paquete para el siguiente salto
especificado).
Reenviar a VSYS: Seleccione el sistema virtual de reenvo en la lista
desplegable.
Descartar: descarta el paquete.
No hay ningn PBF: No altera la ruta que tomar el paquete.
Palo Alto Networks
Polticas
Tabla 82. Configuracin (Continuacin) de reglas de reenvo basado en polticas

Campo
Descripcin
Interfaz de salida
Especifique la interfaz para reenviar el trfico procedente del cortafuegos.
Siguiente salto
Especifique la direccin IP de la siguiente parada de reenvo.
Supervisar
Para supervisar las acciones de reenvo, seleccione Supervisar y

especifique los siguientes ajustes:
Perfil: Seleccione un perfil de la lista desplegable.
Deshabilitar si no es alcanzable: Seleccione esta casilla de verificacin
si desea ignorar esta regla para todas las nuevas sesiones, si el siguiente
enrutador de salto no es accesible.
Direccin IP: Especifique la direccin IP a la que se enviarn los
mensajes de ping peridicamente para determinar el estado de la regla
basada en reenvo.
Forzar vuelta simtrica
Permite que los enrutadores virtuales del cortafuegos apliquen el retorno

simtrico de la regla PBF. Haga clic en Aadir si desea introducir la
direccin(s) del siguiente salto que se utilizar para el reenvo.
Esta opcin evita el proceso de bsqueda de ruta para el trfico de
retorno; el cortafuegos utilizar la interfaz de entrada original como
interfaz de salida. Si la IP de origen est en la misma subred que la
interfaz de entrada en el cortafuegos, el retorno simtrico no tendr
efecto.
Esta funcin es muy til si tiene servidores accesibles mediante dos
conexiones ISP (en diferentes interfaces de salida) y el trfico de retorno
se debe enrutar mediante el proveedor de servicios de Internet que enrut
las sesiones originalmente.
Debe tener en cuenta los siguientes aspectos cuando utilice esta funcin:
Si una interfaz tiene mltiples funciones PBF, solo una regla puede
aplicar el retorno simtrico.
Puede utilizar esta opcin en todas las interfaces L3, excepto en las de
loopback. Tambin puede utilizar interfaces con la direccin IP
asignada dinmicamente (DHCP y PPoE).
El origen debe ser una interfaz, no una zona.
La lista de direcciones del salto siguiente no es compatible con tneles
ni con interfaces PPoE.
Puede definir hasta 8 direcciones de salto siguiente por cada regla PBF.
Programacin
Para limitar los das y horas en los que la regla est en vigor, seleccione
una programacin de la lista desplegable. Para definir nuevas
programaciones, consulte Programaciones en la pgina 271.
Palo Alto Networks
Polticas
Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y
seguridad granular. Las polticas de descifrado se pueden aplicar a una capa s (SSL) y a trfico
Secure Shell (SSH). Con la opcin SSH, puede descifrar de forma selectiva el trfico SSH
entrante y saliente para asegurar que los protocolos no se estn utilizando para tneles de
aplicaciones y contenido no permitido. Tambin puede aplicar perfiles de descifrado a sus
polticas con objeto de bloquear y controlar diferentes aspectos del trfico SSL. Para obtener
ms informacin, consulte Perfiles de descifrado en la pgina 269.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no. El
ID de la aplicacin y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de
URL y Bloqueo de archivos se aplican al trfico de descifrado antes de volverse a cifrar a
medida que el trfico sale del dispositivo. La seguridad de punto a punto entre clientes y
servidores se mantiene, y el cortafuegos acta como un agente externo de confianza durante la
conexin. Ningn tipo de trfico descifrado sale del dispositivo.
El cortafuegos examina el trfico, con independencia de los protocolos encapsulados. Las
polticas de descifrado pueden ser tan generales o especficas como sea necesario. Las reglas
de las polticas se comparan con el trfico en secuencias, por lo que las reglas ms especficas
deben preceder a las reglas ms generales.
Nota: Consulte la nota tcnica de Palo Alto Networks, Controlling SSL Decryption
(Control de descifrado SSL, en ingls) para obtener instrucciones sobre cmo gestionar los
certificados SSL para evitar errores de coincidencia de certificados, y para obtener
instrucciones sobre cmo desarrollar las polticas para gestionar implementaciones SSL
no estndar.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de
un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado
firmado por una entidad de certificacin de confianza del cortafuegos. Para configurar este
certificado, cree un certificado en la pgina
Dispositivo > Gestin de certificados > Certificados y, a continuacin, haga clic en el nombre
del certificado y seleccione la casilla de verificacin Reenviar certificado fiable. Consulte
Importacin, exportacin y generacin de certificados de seguridad en la pgina 94.
Nota: Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para
evitarlo, PAN-OS no descifrar el trfico SSL de estas aplicaciones y los ajustes de
reglas de cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el tema concreto en el sitio de
asistencia tcnica y busque el documento List of Applications Excluded from SSL
Decryption (Lista de aplicaciones excluidas del cifrado SSL, en ingls).
Palo Alto Networks
Polticas
Tabla 83. Configuracin de regla de descifrado

Campo
Descripcin
Pestaa General
Nombre

Descripcin
Introduzca una descripcin de la regla (hasta 255 caracteres).
Etiqueta

Pestaa Origen
Zona de origen
Direccin de origen

desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.
Usuario de origen

Pestaa Destino
Zona de destino
Direccin de destino

configuradas.
Palo Alto Networks
Polticas
Tabla 83. Configuracin de regla de descifrado (Continuacin)

Campo
Descripcin
Pestaa Categora de
URL
Seleccione las categoras URL de la regla de descifrado.

Seleccione Cualquiera para buscar en todas las sesiones, con
independencia de la categora URL.
Pestaa Opciones
Accin
Tipo
Seleccione Descifrar o No descifrar para el trfico.

Seleccione el tipo de trfico para descifrar de la lista desplegable:
Proxy SSL de reenvo: Especifique que la poltica descifrar el trfico
del cliente destinado a un servidor externo.
Proxy SSH: Especifique que la poltica descifrar el trfico SSH. Esta
opcin permite controlar los tneles SSH en polticas, especificando el
ID de aplicacin de tnel ssh.
Inspeccin de entrada SSL: Especifique que la poltica descifrar el
trfico de inspeccin entrante SSL.
Perfil de descifrado
Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte

Perfiles de descifrado en la pgina 269.
Polticas de cancelacin de aplicacin

Para cambiar la forma en la que el cortafuegos clasifica el trfico de la red en las aplicaciones,
puede especificar polticas de cancelacin de aplicacin. Por ejemplo, si desea controlar una
de sus aplicaciones personalizadas, puede utilizar una poltica de cancelacin de aplicacin
para identificar el trfico de esa aplicacin en funcin de la zona, direccin de origen y
destino, puerto y protocolo. Si tiene aplicaciones de red clasificadas como desconocidas,
puede crear nuevas definiciones de aplicaciones (consulte Definicin de aplicaciones en la
pgina 251).
Al igual que las polticas de seguridad, las polticas de cancelacin de aplicacin pueden ser
tan generales o especficas como sea necesario. Las reglas de las polticas se comparan con el
trfico en secuencias, por lo que las reglas ms especficas deben preceder a las reglas ms
generales.
Palo Alto Networks
Polticas
Definicin de aplicacin personalizada con cancelacin de aplicacin

Como el motor de ID de aplicaciones de PAN-OS clasifica el trfico identificando el contenido
especfico de la aplicacin en el trfico de red, la definicin de aplicacin personalizada no puede
utilizar un nmero de puerto para identificar una aplicacin. La definicin de la aplicacin
tambin debe incluir el trfico (restringido por zona y direccin IP de origen, y zona y direccin IP
de destino).
Para crear una aplicacin personalizada con cancelacin de aplicaciones:
1.
Defina la aplicacin personalizada. Consulte Definicin de aplicaciones en la pgina 251.

No es necesario especificar firmas para la aplicacin si la aplicacin se utiliza nicamente para
reglas de cancelacin de aplicacin.
2.
Defina una poltica de cancelacin de aplicacin que especifique si la aplicacin personalizada

se debe activar. Una poltica suele incluir la direccin IP del servidor que ejecuta la aplicacin
personalizada y un conjunto restringido de direcciones IP o una zona de origen.
Definicin de polticas de cancelacin de aplicacin

Polticas > Cancelacin de aplicacin
Una vez haya creado una nueva regla, configrela haciendo clic en los valores de campo
actual y especificando la informacin adecuada, tal y como se describe en la siguiente tabla.
Tabla 84. Configuracin de reglas de cancelacin de aplicacin

Campo
Descripcin
Pestaa General
Nombre

Descripcin
Etiqueta

Pestaa Origen
Zona de origen
Direccin de origen

configuradas.
Palo Alto Networks
Polticas
Tabla 84. Configuracin de reglas de cancelacin de aplicacin (Continuacin)

Campo
Descripcin
Pestaa Destino
Zona de destino
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa
2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Direccin de destino

configuradas.
Pestaa Protocolo/
Aplicacin
Protocolo
Seleccione el protocolo por el que la aplicacin se puede cancelar.
Puerto
Introduzca el nmero de puerto (0 a 65535) o el intervalo de nmeros de

puerto (puerto1-puerto2) de las direcciones de origen especificadas. Si
especifica varios puertos o intervalos, deben estar separados por comas.
Aplicacin
Seleccione la aplicacin de cancelacin de los flujos de trfico que

coincidan con los criterios de la regla anterior. Si cancela una aplicacin
personalizada, no se realizar una inspeccin de amenazas. La excepcin
es si cancela una aplicacin predeterminada que admite la inspeccin de
amenazas.
Para definir nuevas aplicaciones, consulte Definicin de aplicaciones en
la pgina 251.
Polticas de portal cautivo

Permite configurar y personalizar un portal cautivo para dirigir la autenticacin de usuarios,
mediante un perfil de autenticacin, una secuencia de autenticacin o un perfil de certificado.
El portal cautivo se utiliza junto con el agente de ID. de usuario para aumentar las funciones
de identificacin de usuarios ms all del dominio de Active Directory. Los usuarios se
dirigen hacia el portal y se autentican, creando una asignacin de usuario a direccin IP.
Palo Alto Networks
Polticas
Definicin de polticas de portal cautivo

Polticas > Portal cautivo
Antes de definir polticas de portal cautivo, habilite las funciones y configure los ajustes de
portal cautivo en la pgina Identificacin de usuarios, tal y como se describe en
Configuracin del cortafuegos para la identificacin de usuarios en la pgina 312.
Posteriormente, puede configurar las polticas de portal cautivo especificando la siguiente
informacin.
Tabla 85. Configuracin de reglas de portal cautivo

Campo
Descripcin
Nombre

Descripcin
Etiqueta

Pestaa Origen
Origen

Seleccione una zona de origen si necesita aplicar la poltica al trfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica del portal cautivo desde las direcciones de origen especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Pestaa Destino
Destino

Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para
especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica del portal cautivo desde las direcciones de destino especficas.
Palo Alto Networks
Polticas
Tabla 85. Configuracin de reglas de portal cautivo (Continuacin)

Campo
Descripcin
Pestaa Servicio/
URL/servicio
Servicio
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en
Valor predeterminado de aplicacin: los servicios seleccionados se
permiten o deniegan nicamente segn el puerto predeterminado por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
en la pgina 259.
Categora de URL
Seleccione las categoras URL de la regla de portal cautivo.

Seleccione Cualquiera para aplicar las acciones especificadas en la
pestaa Servicio/Accin con independencia de la categora de URL.
Pestaa Servicio/
Accin
Configuracin de accin
Seleccione la accin que se realizar:

portal cautivo: Abre una pgina de portal cautivo en la que el usuario
puede introducir las credenciales de autenticacin.
portal no cautivo: Permite el paso del trfico sin abrir una pgina de
portal cautivo para su autenticacin.
ntlm-auth: Abre una solicitud de autenticacin NT LAN Manager
(NTLM) en el explorador web del usuario. El explorador web
responder utilizando las credenciales de inicio de sesin actuales del
usuario.
Polticas de proteccin DoS

Las polticas de proteccin DoS permiten controlar el nmero de sesiones entre interfaces,
zonas, direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen y/o
destino.
Palo Alto Networks
Polticas
Definicin de polticas DoS

Polticas > Proteccin DoS
Utilice esta pgina para definir las reglas DoS para las polticas.
Tabla 86. Configuracin de reglas DoS

Campo
Descripcin
Pestaa General
Nombre

Descripcin
Compartido

casilla de verificacin para permitir compartir la regle entre todos los
sistemas virtuales.
Etiqueta

Pestaa Origen
Origen

Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica DoS desde las direcciones de origen especficas. Seleccione la
casilla de verificacin Negar para seleccionar cualquier direccin
excepto las configuradas. Haga clic en Aadir para especificar mltiples
interfaces o zonas.
Especifique el parmetro Usuario de origen que se aplicar a la poltica
DoS para el trfico procedente de los usuarios especficos. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Pestaa Destino
Destino

Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica DoS para el trfico a las direcciones de destino especficas.
Palo Alto Networks
Perfiles de seguridad
Tabla 86. Configuracin de reglas DoS (Continuacin)

Campo
Descripcin
Pestaa Opcin/
Proteccin
Servicio
Accin
Seleccione en la lista desplegable la poltica DoS que se aplicar

nicamente a los servicios configurados.
Seleccione la accin en la lista desplegable:
Denegar: Cancela todo el trfico.
Permitir: Permite todo el trfico.
Proteger: Aplica las protecciones proporcionadas en los umbrales que
se configuran como parte del perfil DoS aplicado a esta regla.
Programacin
Seleccione una programacin preconfigurada de la lista desplegable, que

se aplicar a la regla DoS a una fecha/hora concretas.
Agregado
Seleccione un perfil de proteccin DoS de la lista desplegable para

determinar la tasa a la que desea adoptar las medidas en respuesta a las
amenazas DoS. Esta configuracin se aplica al total del trfico del origen
especificado al destino especificado.
Clasificado
Seleccione la casilla de verificacin y especificar los siguientes ajustes:

Perfil: Seleccione un perfil de la lista desplegable.
Direccin: Seleccione si la regla se aplicar al origen, destino, o a las
direcciones IP de origen y destino.
Si se especifica un perfil clasificado, las limitaciones del perfil se aplican a
una direccin IP de origen, direccin IP de destino, o pares de direcciones
IP de origen y destino. Por ejemplo, puede especificar un perfil clasificado
con un lmite de sesin de 100 y especificar un parmetro Direccin de
origen en la regla. El resultado sera un lmite de 100 sesiones en
cualquier momento para esa direccin IP de origen en particular.
Cada una de las polticas de seguridad puede incluir especificaciones de uno o ms perfiles de
seguridad, lo que proporciona an ms nivel de proteccin y control.
Tambin puede aadir excepciones de amenazas a los perfiles de Anti Spyware y
Vulnerabilidades. Con objeto de facilitar an ms la gestin de amenazas, puede aadir
excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. Para
aadir una excepcin de amenaza a un perfil, busque la amenaza en el log y haga clic en el
nombre de la amenaza. Se abrir el cuadro de dilogo Detalles de amenaza, seleccione uno o
ms perfiles en el panel de la izquierda y haga clic en ACEPTAR. De esta forma se aadir una
excepcin de amenazas para esa firma en los perfiles de amenazas seleccionados con la accin
permitida. Para aadir una excepcin de amenaza a la direccin IP concreta, aada las
direcciones IP del panel de la derecha, y haga clic en ACEPTAR. De esta forma se aadir una
excepcin de amenaza con las direcciones IP agregadas como un filtro en la excepcin de la
amenaza.
Palo Alto Networks
Los siguientes tipos de perfil estn disponibles:
Perfiles de antivirus como proteccin contra gusanos y virus o bloqueo de descargas de

spyware. Consulte Perfiles de antivirus en la seccin siguiente.
Perfiles de antispyware para bloquear intentos de acceso a la red por parte de spyware.
Consulte Perfiles de antispyware en la pgina 230.
Perfiles de proteccin de vulnerabilidades para detener los intentos de explotacin de

fallos del sistema y de acceso no autorizado a los sistemas. Consulte Perfiles de
proteccin de vulnerabilidades en la pgina 232.
Perfiles de filtrado de URL para restringir el acceso a sitios web especficos y a categoras
de sitios web. Consulte Perfiles de filtrado de URL en la pgina 235.
Perfiles de bloqueo de archivos para bloquear los tipos de archivos seleccionados.

Consulte Perfiles de bloqueo de archivo en la pgina 238.
Perfiles de filtrado de datos que ayudan a evitar que informacin confidencial, como
nmeros de tarjetas de crdito o nmeros de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte Perfiles de filtrado de datos en la pgina 241.
Adems de los perfiles individuales, puede crear grupos para combinar los perfiles que se
apliquen con frecuencia conjuntamente.
Nota: No puede eliminar un perfil que se utiliza en una poltica de seguridad.
Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.
Predeterminado: Realiza la accin predeterminada especificada internamente en la firma

de cada amenaza.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Bloquear: Cancela el trfico de la aplicacin.
Permitir: Permite el trfico de la aplicacin.
Puede elegir entre las siguientes acciones cuando define polticas de vulnerabilidad:
Ninguna: no realiza ninguna accin.
Predeterminada: Realiza la accin predeterminada especificada internamente para cada

amenaza.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Colocar: Cancela el trfico de la aplicacin.
Colocar todos los paquetes: Evita que todos los paquetes salgan del cortafuegos.
Restablecer ambos: Restablece el cliente y el servidor.
Restablecer cliente: Restablece el cliente.
Restablecer servidor: Restablece el servidor.
Palo Alto Networks
Bloquear IP: Esta accin bloquea el trfico de un par de origen u origen-destino

(configurable) durante un perodo de tiempo especificado. Esta accin est disponible
para perfiles de llamada a casa de spyware, perfiles de proteccin de vulnerabilidades
personalizados, perfiles de proteccin de zonas y reglas de proteccin DoS.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
Una poltica de seguridad puede incluir la especificacin de un perfil de antivirus para
identificar las aplicaciones que se inspeccionan para los virus, y las medidas que se adoptan
cuando se detecta un virus. El perfil tambin puede especificar acciones para bloquear
descargas de spyware. El perfil predeterminado busca virus en todos los descodificadores de
protocolo enumerados, genera alertas de Simple Mail Transport Protocol (SMTP), Internet
Message Access Protocol (IMAP), y Post Office Protocol Version 3 (POP3), y toma las medidas
predeterminadas para el resto de las aplicaciones (alerta o denegacin), dependiendo del tipo
de virus detectado.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el
trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de
zonas no fiables, como Internet, as como el trfico enviado a destinos altamente sensibles,
como granjas de servidores.
Para obtener ms informacin sobre los tipos de accin, consulte Perfiles de seguridad en la
pgina 227.
Tabla 87.
Configuracin de perfil de antivirus
Campo
Descripcin
Nombre

aparece en la lista de perfiles de antivirus cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Descripcin
Introduzca una descripcin del perfil (hasta 255 caracteres).
Pestaa Antivirus
Captura de paquetes
Seleccione la casilla de verificacin para capturar paquetes identificados.
Descodificadores y
Acciones
Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire. Para obtener
ms informacin sobre WildFire, consulte Acerca de WildFire en la
pgina 463.
Palo Alto Networks
Tabla 87.
Configuracin de perfil de antivirus (Continuacin)
Campo
Descripcin
Excepciones de
aplicacin y acciones
Identifique aplicaciones que se considerarn excepciones a la regla de

antivirus.
Por ejemplo, para bloquear todos el trfico HTTP excepto el de una
aplicacin especfica, puede definir un perfil de antivirus para el que la
aplicacin es una excepcin. Bloquear es la accin del descodificador
HTTP, y Permitir es la excepcin de la aplicacin.
Para buscar una aplicacin, comience escribiendo el nombre de la
aplicacin en el cuadro de texto. Se mostrar una lista con las aplicaciones
coincidentes, en la que podr realizar una seleccin. La aplicacin se
aade a la tabla y puede asignar una accin.
Para cada excepcin de la aplicacin, seleccione la accin que se adoptar
cuando se detecte la amenaza.
Pestaa Excepcin de
virus
ID de amenaza
Utilice esta pestaa si desea que el sistema ignore amenazas concretas.

Aparecern las excepciones ya especificadas. Puede aadir amenazas
adicionales introduciendo el ID de amenaza y haciendo clic en Aadir.
Los ID de amenaza se presentan como parte de la informacin del log de
amenaza. Consulte Visualizacin de los logs en la pgina 288.
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una poltica de seguridad puede incluir informacin de un perfil antispyware para detectar
llamada a casa (deteccin del trfico del spyware instalado). El perfil antispyware
predeterminado detecta la proteccin de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antispyware
para el trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico
recibido de zonas no fiables, como Internet, as como el trfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts
infectados en una red. Estas firmas detectan bsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Adems, los hosts que realizan consultas DNS en dominios malware aparecern en
el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms
columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submen Columnas.
Para obtener ms informacin, consulte Uso de tablas en pginas de configuracin en la
pgina 27.
Palo Alto Networks
Tabla 88. Configuracin de perfil de antispyware

Campo
Descripcin
Nombre

aparece en la lista de perfiles de antispyware cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Descripcin
Compartido

sistemas virtuales.
Pestaa Reglas
Nombre de regla
Especifique el nombre de la regla.
Nombre de amenaza
Introduzca Cualquiera para buscar todas las firmas o introduzca el texto

para buscar cualquier firma con el texto indicado como parte del nombre
de la firma.
Gravedad
Seleccione un nivel de gravedad (crtico, alto, medio, bajo o

informativo).
Accin
Seleccione una accin (Predeterminada, Alerta, Permitir o Colocar) para

cada amenaza.
Captura de paquetes
Pestaa Excepciones
Excepciones
Seleccione la casilla de verificacin Habilitar para cada amenaza a la que

desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.
Pestaa firma DNS

Firma DNS de host
infectado
Seleccione la medida que se adoptar cuando se realicen bsquedas DNS

en sitios conocidos de malware (Alertar, Permitir o predeterminada
(Bloquear)).
Captura de paquetes
ID de amenaza
Introduzca manualmente excepciones de firma DNS (intervalo

4000000-4999999).
Palo Alto Networks
Perfiles de proteccin de vulnerabilidades

Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades
Una poltica de seguridad puede incluir especificaciones de un perfil de proteccin de
vulnerabilidades que determine el nivel de proteccin contra desbordamiento de bfer,
ejecucin de cdigo ilegal y otros intentos de explotar las vulnerabilidades del sistema. El
perfil predeterminado protege a clientes y servidores de todas las amenazas conocidas de
gravedad crtica, alta y media.
Los perfiles personalizados se pueden utilizar para minimizar la comprobacin de
vulnerabilidades para el trfico entre zonas de seguridad fiables y para maximizar la
proteccin del trfico recibido de zonas no fiables, como Internet; y el trfico enviado a
destinos altamente sensibles, como granjas de servidores. Para aplicar los perfiles de
proteccin de vulnerabilidades a las polticas de seguridad, consulte Polticas de seguridad
en la pgina 203.
Los parmetros de Reglas especifican conjuntos de firmas para habilitar, as como las medidas
que se deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta. La pestaa Excepcin admite funciones de filtrado.
La pgina Proteccin de vulnerabilidades muestra un conjunto predeterminado de
columnas. Existen ms columnas de informacin disponibles en el selector de columnas. Haga
clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el
submen Columnas. Para obtener ms informacin, consulte Uso de tablas en pginas de
configuracin en la pgina 27.
Tabla 89. Configuracin del perfil de proteccin de vulnerabilidades

Campo
Descripcin
Nombre

aparece en la lista de perfiles de proteccin de vulnerabilidades cuando se
definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
Descripcin
Compartido

sistemas virtuales.
Pestaa Reglas
Nombre de regla
Especifique un nombre para identificar la regla.
Nombre de amenaza
Especifique una cadena de texto para buscar. El cortafuegos aplica un

conjunto de firmas a la regla buscando nombres de firmas para esta
cadena de texto.
Palo Alto Networks
Tabla 89. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)

Campo
Descripcin
Accin
Seleccione la accin (Alertar, Permitir, Predeterminada o Bloquear) que

se realizar cuando se active la regla. La accin Predeterminada se basa
en la accin por defecto que forma parte de cada firma proporcionada por
Palo Alto Networks. Para ver la accin predeterminada de una firma,
desplcese a Objetos > Perfiles de seguridad > Proteccin de
vulnerabilidades y haga clic en Aadir o seleccione un perfil existente.
Haga clic en la pestaa Excepciones y, a continuacin, haga clic en
Mostrar todas las firmas. Aparecer una lista de todas las firmas y ver
una columna Accin.
Host
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Captura de paquetes
Seleccione la casilla de verificacin para capturar el paquete que ha

activado la regla.
Categora
Seleccione una categora de vulnerabilidad si desea limitar las firmas a las

que coinciden con esa categora.
Lista CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea

limitar las firmas a las que tambin coinciden con las CVE especificadas.
Cada CVE tiene el formato CVE-aaaa-xxxx, donde aaaa es el ao y xxxx es
un identificador nico. Puede realizar una bsqueda de cadenas en este
campo. Por ejemplo, para buscar las vulnerabilidades del ao 2011,
introduzca 2011.
ID de proveedor
Especifique el ID del proveedor si desea limitar las firmas a las

coincidentes con la de los Id de los proveedores especificados.
Por ejemplo, los ID de proveedor de Microsoft tienen el formato MSaaxxx, donde aa es el ao en formato de dos dgitos y xxx es el identificador
nico. Por ejemplo, para buscar Microsoft en el ao 2009, introduzca
MS09.
Gravedad
Palo Alto Networks
Seleccione el nivel de gravedad (informativo, bajo, medio, alto o crtico)

si desea limitar las firmas a las coincidentes con los niveles de gravedad
especificados.
Tabla 89. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)

Campo
Descripcin
Pestaa Excepciones
Amenazas
Seleccione la casilla de verificacin Habilitar para cada amenaza a la que

desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Seleccione una accin de la lista desplegable o seleccione una opcin de la
lista desplegable Accin en la parte superior de la lista para aplicar la
misma accin a todas las amenazas. Si la casilla de verificacin Mostrar
todo est seleccionada, aparecern todas las firmas. Si la casilla de
verificacin Mostrar todo no est seleccionada, solo se mostrarn las
firmas que son excepciones.
Seleccione la casilla de verificacin Captura de paquetes si desea capturar
paquetes identificados.
La base de datos de firma de vulnerabilidad contiene firmas que indican
un ataque de fuerza bruta; por ejemplo, el ID de amenaza 40001 se activa
en un ataque de fuerza bruta de FTP. Las firmas de fuerza bruta se
activan cuando se produce una condicin en un determinado umbral
temporal. Los umbrales estn preconfigurados para firmas de fuerza
bruta y se pueden modificar haciendo clic en el icono de lpiz
junto al
nombre de la amenaza de la pestaa Vulnerabilidad (con la opcin
Personalizada seleccionada). Puede especificar el nmero de resultados
por unidad de tiempo y si se aplicarn los umbrales de origen, destino u
origen-destino.
Los umbrales se pueden aplicar en una IP de origen, IP de destino o una
combinacin de IP de origen y destino.
Nota: La accin predeterminada se muestra entre parntesis. La columna CVE
muestra los identificadores de vulnerabilidades y exposiciones comunes (CVE).
Estos identificadores nicos y comunes son para vulnerabilidades de seguridad de
informacin pblicamente conocidas.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.
Palo Alto Networks
Perfiles de filtrado de URL

Objetos > Perfiles de seguridad > Filtrado URL
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de una URL
que bloquee el acceso a sitios y a categoras de sitios web especficas, o que genere una alerta
cuando se accede a sitios web concretos (se requiere una licencia de filtrado URL). Tambin
puede definir una lista de bloqueo de sitios web que est siempre bloqueada (o que generen
alertas) y una lista de permiso de sitios web que est siempre permitida. Las dos categoras
estn predefinidas por Palo Alto Networks.
Para aplicar los perfiles de filtrado de URL a las polticas de seguridad, consulte Polticas de
seguridad en la pgina 203. Para crear categoras URL personalizadas con sus propias listas
de URL, consulte Categoras de URL personalizadas en la pgina 261.
Tabla 90. Configuracin de perfil de filtrado de URL

Campo
Descripcin
Nombre

aparece en la lista de perfiles de filtrado de URL cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
Descripcin
Compartido

sistemas virtuales.
Accin tras el
vencimiento de la
licencia
Seleccione la medida que se adoptar si vence la licencia de filtrado de

URL:
Bloquear: Bloquea el acceso a todos los sitios web de la lista de bloqueo
o a las categoras seleccionadas.
Permitir: Permite el acceso a todos los sitios web.
Filtrado de URL
dinmica
Seleccione la categorizacin de URL dinmica.

La categorizacin URL se beneficia de una base de datos de filtrado URL
en el cortafuegos que enumera las URL ms populares y otras URL de
categoras malignas. La base de datos de filtrado URL puede resolver
solicitudes que la base de datos local no puede categorizar. La opcin
predeterminada est activada cuando utiliza la base de datos de
BrightCloud. Si utiliza la base de datos de PAN, esta opcin est
habilitada de forma predeterminada y no es configurable.
Para configurar la respuesta del sistema cuando una URL permanece sin
resolver tras un perodo de tiempo de espera de 5 segundos, utilice los
ajustes de Categora y Accin en esta ventana (consulte Categora Accin
en esta tabla). Seleccione la accin de la categora URL no resuelta.
Pgina de contenedor de
log nicamente
Palo Alto Networks
Seleccione la casilla de verificacin para incluir en el log nicamente las

URL que coinciden con el tipo de contenido especificado. La opcin
predeterminada es habilitada.
Tabla 90. Configuracin de perfil de filtrado de URL (Continuacin)

Campo
Descripcin
Lista de bloqueadas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios

web que desee bloquear o cuyas alertas desee generar. Introduzca las
URL una a una.
IMPORTANTE: Debe omitir la parte http y https de las URL cuando
aada los sitios web a la lista.
Las entradas de la lista de bloqueo deben ser una coincidencia completa y
no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea bloquear el dominio entero, debe incluir
*.paloaltonetworks.com y paloaltonetworks.com.
Ejemplos:
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo. Un
testigo puede ser cualquier nmero de caracteres ASCII que no contenga
un carcter separador o *. Por ejemplo, los siguientes patrones son
vlidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*
(Los testigos son: *, yahoo y com)

(Los testigos son: www, * y com)
(Los testigos son: www, yahoo, com, search, *)
Los siguientes patrones no son vlidos porque el carcter * no es el

nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Accin
Seleccione la medida que se adoptar cuando se acceda a un sitio web de

la lista de bloqueo.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta al
log de URL.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y el resto de parmetros de
cancelacin se especifican en el rea de cancelacin de administrador de
URL de la pgina Configuracin. Consulte la Tabla 1 y la Definicin
de configuracin de gestin en la pgina 32.
Palo Alto Networks

Campo
Descripcin
Lista de permitidas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios

web que desee permitir o cuyas alertas desee generar. Introduzca las URL
una a una.
IMPORTANTE: Debe omitir la parte http y https de las URL cuando
aada los sitios web a la lista.
Las entradas de la lista de permitidas deben ser una coincidencia
completa y no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea permitir el dominio entero, debe incluir
*.paloaltonetworks.com y paloaltonetworks.com.
Ejemplos:
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo. Un
testigo puede ser cualquier nmero de caracteres ASCII que no contenga
un carcter separador o *. Por ejemplo, los siguientes patrones son
vlidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*
(Los testigos son: *, yahoo y com)

(Los testigos son: www, * y com)
(Los testigos son: www, yahoo, com, search, *)
Los siguientes patrones no son vlidos porque el carcter * no es el

nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Esta lista tiene prioridad sobre las categoras de sitios web seleccionados.
Categora/Accin
Seleccione, para cada categora, la medida que se adoptar cuando accede

a un sitio web de esa categora.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta al
log de URL.
Permitir: Permite al usuario acceder al sitio web.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y el resto de parmetros de
cancelacin se especifican en el rea de cancelacin de administrador de
URL de la pgina Configuracin. Consulte la Tabla 1 y la Definicin
Palo Alto Networks

Campo
Descripcin
Comprobar categora de
URL
Haga clic para acceder al sitio web donde podr introducir una URL o
direccin IP para ver informacin de categorizacin.
Perfiles de bloqueo de archivo

Objetos > Perfiles de seguridad > Bloqueo de archivo
Una poltica de seguridad puede incluir la especificacin de un perfil de bloqueo de archivos
que impida que los tipos de archivos seleccionados se carguen y/o descarguen, o que genere
una alerta cuando se detecten archivos de los tipos especificados. Tabla 92 contiene los
formatos de archivos compatibles.
Para aplicar los perfiles de bloqueo de archivo a las polticas de seguridad, consulte Polticas
de seguridad en la pgina 203.
Tabla 91. Configuracin de perfil de bloqueo de archivo

Campo
Descripcin
Nombre

aparece en la lista de perfiles de bloqueo de archivos cuando se definen
Descripcin
Palo Alto Networks
Tabla 91. Configuracin de perfil de bloqueo de archivo (Continuacin)

Campo
Descripcin
Compartido

sistemas virtuales.
Reglas
Defina una o ms reglas para especificar la medida que se adoptar (si se

especifica alguna) para los tipos de archivos seleccionados. Para aadir
una regla, especifique los siguientes ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre para la regla (hasta 31 caracteres).
Aplicaciones: Seleccione las aplicaciones a las que afectar la regla o
seleccione Cualquiera.
Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o
para los que desee generar alertas.
Direccin: Seleccione la direccin de la transferencia de archivos
(Cargar, Descargar o Ambos).
Accin: Seleccione la medida que se adoptar cuando se detecten
archivos de los tipos seleccionados:
Alertar: Se aade una entrada al log de amenazas.
Bloquear: El archivo se bloquea.
Continuar: Aparecer un mensaje para el usuario indicando que se
ha solicitado una descarga y le pide confirmacin para continuar. El
propsito es advertir al usuario de una posible descarga desconocida
(tambin se conocen como descargas drive-by) y darle al usuario la
opcin de continuar o detener la descarga.
Nota: Cuando crea un perfil de bloqueo de archivo con la accin
Continuar o Continuar y reenviar (para el reenvo de WildFire),

solo puede elegir la navegacin web de la aplicacin. Si elige
cualquier otra aplicacin, el trfico que coincida con poltica de
seguridad no fluir hacia el cortafuegos debido al hecho de que no se
le presentar a los usuarios una pgina de continuacin.
Reenviar: El archivo se enva automticamente a WildFire.
Continuar y reenviar: Aparece una pgina de continuacin y el
archivo se enva a WildFire (combina las acciones Continuar y
Reenviar).
Tabla 92. Formatos de archivo compatibles con bloqueo de archivos

Campo
Descripcin
avi
Archivo de vdeo basado en el formato Microsoft AVI (RIFF)
bat
Archivo por lotes MS DOS
bmp-upload
Archivo de imagen de mapa de bits (carga nicamente)
cab
Archivo comprimido de Microsoft Windows
cmd
Archivo de comandos de Microsoft
dll
Biblioteca de vnculos dinmicos de Microsoft Windows
doc
Documento de Microsoft Office
docx
Documento de Microsoft Office 2007
dwg
Archivo Autodesk AutoCAD
Palo Alto Networks
Tabla 92. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)

Campo
Descripcin
enc-doc
Documento cifrado de Microsoft Office
enc-docx
Documento cifrado de Microsoft Office 2007
enc-ppt
Documento cifrado de Microsoft PowerPoint
enc-pptx
Documento cifrado de Microsoft PowerPoint 2007
enc-office2007
Archivo cifrado de Microsoft Office 2007
enc-rar
Archivo cifrado rar
enc-xls
Archivo cifrado de Microsoft Office Excel
enc-xlsx
Archivo cifrado de Microsoft Office Excel 2007
enc-zip
Archivo cifrado zip
exe
Ejecutable de Microsoft Windows
flv
Archivo de Adobe Flash Video
gif-upload
Archivo de imagen GIF (carga nicamente)
gzip
Archivos comprimidos con la aplicacin gzip
hta
Archivo de aplicacin HTML
iso
Imagen de disco segn la normativa ISO-9660
jpeg-upload
Archivo de imagen JPG/JPEG (carga nicamente)
lha
Archivo comprimido con la utilidad/algoritmo lha
lnk
Acceso directo a archivo de Microsoft Windows
lzh
Archivo comprimido con la utilidad/algoritmo lha/lhz
mdb
Archivo Microsoft Access Database
mdi
Archivo Microsoft Document Imaging
mov
Archivo Apple Quicktime Movie
mpeg
Archivo de audio y vdeo con la compresin MPEG-1 o MPEG-2
msi
Archivo paquete de Microsoft Windows Installer
msoffice
Archivo de Microsoft Office (doc, xls, ppt, pub, pst)
ocx
Archivo Microsoft ActiveX
pdf
Archivo Adobe Portable Document
pe
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys,
drv, tlb)
pgp
Clave de seguridad o firma digital cifrada con software PGP
pif
Archivo de informacin de programas de Windows con instrucciones

ejecutables
pl
Archivo de comandos Perl
ppt
Presentacin en Microsoft Office PowerPoint
pptx
Presentacin en Microsoft Office PowerPoint 2007
psd
Documento de Adobe Photoshop
Palo Alto Networks
Tabla 92. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)

Campo
Descripcin
rar
Archivo comprimido creado con winrar
reg
Archivo de registro de Windows
rm
Archivo RealNetworks Real Media
rtf
Archivo de documento de formato de texto enriquecido de Windows
sh
Archivo de comandos Shell de Unix
tar
Archivo comprimido tar de Unix
tif
Archivo Windows Tagged Image
torrent
Archivo de BitTorrent
wmf
Metaarchivo de Windows para guardar imgenes de vectores
wmv
Archivo de vdeo Windows Media
wri
Archivo de documento de Windows Write
wsf
Archivo de comandos de Windows
xls
Microsoft Office Excel
xlsx
Microsoft Office 2007 Excel
Zcompressed
Archivo Z comprimido en Unix, se descomprime con la utilidad

uncompress
zip
Archivo Winzip/pkzip
Perfiles de filtrado de datos

Objetos > Perfiles de seguridad > Filtrado de datos
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de datos que
ayuda a identificar informacin confidencial como nmeros de tarjetas de crdito o de la
seguridad social y que evita que dicha informacin salga del rea protegida por el
cortafuegos.
Para aplicar los perfiles de filtrado de datos a las polticas de seguridad, consulte Polticas de
Tabla 93. Configuracin de Perfiles de filtrado de datos

Campo
Descripcin
Nombre

aparece en la lista de perfiles de reenvo de logs cuando se definen
Descripcin
Palo Alto Networks
Tabla 93. Configuracin de Perfiles de filtrado de datos (Continuacin)

Campo
Descripcin
Compartido

sistemas virtuales.
Captura de datos
Seleccione la casilla de verificacin para recopilar automticamente los

datos bloqueados por el filtro.
Nota: Especifique una contrasea para Gestionar proteccin de datos en la pgina

Configuracin para ver sus datos capturados. Consulte Definicin de
configuracin de gestin en la pgina 32.
Para aadir un patrn de datos, haga clic en Aadir y especifique la siguiente informacin.
Tabla 94. Configuracin de patrones de datos

Campo
Descripcin
Patrn de datos
Seleccione un patrn de datos existente de la lista desplegable Patrn de

datos o configure un nuevo patrn de datos seleccionando Patrn de
datos de la lista y especificando la siguiente informacin:
Nombre: Configure un nombre para el patrn de datos.
Descripcin: Configure una descripcin para el patrn de datos.
Compartido: Seleccione esta opcin si el objeto del patrn de datos se
compartir en diferentes sistemas virtuales.
Peso: Especifique valores de unidades para los patrones especificados
que se utilizarn en el clculo de umbrales. Por ejemplo, si designa un
peso de 5 para SSN#, todas las instancias de un patrn SSN aumentarn
el umbral en 5. En otras palabras, la deteccin de diez patrones SSN
dar como resultado 10 x 5 (peso) = 50.
CC#: Especifique un peso para el campo de tarjeta de crdito
(intervalo 0-255).
SSN#: Especifique un peso para el campo del nmero de la
seguridad social, donde el campo incluye guiones, como 123-45-6789
(intervalo 0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).
Patrones personalizados: Para buscar un patrn de datos
personalizado para el trfico que cumpla este perfil, cree un patrn de
datos personalizado haciendo clic en Aadir y especifique el nombre
del patrn, expresin regular (regex) que se buscar y peso (0-255, 255
es el peso mximo). Puede aadir mltiples expresiones coincidentes al
mismo perfil del patrn de datos.
Aplicaciones
Especifique las aplicaciones que se incluirn en la regla de filtrado:

Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones
enumeradas. Esta seleccin no bloquea todas las aplicaciones posibles,
solo las enumeradas.
Haga clic en Aadir para especificar aplicaciones individuales.
Palo Alto Networks
Tabla 94. Configuracin de patrones de datos (Continuacin)

Campo
Tipos de archivos
Descripcin
Especifique los tipos de archivos que se incluirn en la regla de filtrado:
Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos
enumerados. Esta seleccin no bloquea todos los posibles tipos de
archivo, solo los enumerados.
Haga clic en Aadir para especificar tipos de archivos individuales.
Direccin
Especifique si desea aplicar el filtro en la direccin de la carga, descarga o

ambas.
Umbral de alerta
Especifique el valor que activar la alerta. Por ejemplo si tiene un umbral

de 100 con un peso de SSN de 5, la regla necesitar detectar al menos
20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100).
Umbral de bloqueo
Especifique el valor que activar el bloqueo. Por ejemplo si tiene un

umbral de 100 con un peso de SSN de 5, la regla necesitar detectar al
menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de
peso = 100).
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Una poltica de seguridad DoS puede incluir especificaciones de un perfil DoS que protegen
contra ataques DoS y toman las medidas de proteccin en respuesta a las coincidencias de la
regla. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia.
Para aplicar perfiles DoS a polticas DoS, consulte Polticas de proteccin DoS en la
pgina 225.
Tabla 95. Configuracin de perfiles DoS

Campo
Descripcin
Nombre

Compartido

sistemas virtuales.
Descripcin
Tipo
Especifique uno de los tipos de perfil siguientes:

Agregar: Aplica los umbrales DoS configurados en el perfil a todos los
paquetes que cumplan los criterios de la regla en la que se aplica el
perfil. Por ejemplo, una regla de agregacin con un umbral de
inundacin SYN de 10000 paquetes por segundo (pps) cuenta todos los
paquetes que cumplen esa regla DoS concreta.
Clasificado: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplen el criterio de clasificacin (IP de origen, IP de
destino, o IP de origen y destino).
Palo Alto Networks
Otros objetos de las polticas
Tabla 95. Configuracin de perfiles DoS (Continuacin)

Campo
Descripcin
Pestaa Proteccin
contra inundaciones
Pestaa secundaria
Inundacin SYN
Seleccione la casilla de verificacin para activar la proteccin de

inundacin SYN y especificar los siguientes ajustes:
Pestaa secundaria
Inundacin de UDP
Eleccin: (Inundacin SYN nicamente) Seleccione las siguientes

opciones:
Pestaa secundaria
Inundacin de ICMP
Descarte aleatorio temprano: Descarta paquetes de forma aleatoria

antes de alcanzar el lmite DoS.
Otras pestaas
secundarias
Cookies SYN: Utilice esta opcin para generar confirmaciones, de

forma que no sea necesario cancelar conexiones en presencia de un
ataque de inundacin SYN.
Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS
(intervalo 0-2000000 pps, por defecto, 10000 pps).
Activar tasa: Seleccione la tasa (pps) a la que se activar la respuesta
DoS (intervalo 0-2000000 pps, por defecto, 10000 pps).
Tasa mxima: Especifique la tasa a la que los paquetes se descartarn o
se bloquearn.
Duracin del bloqueo: Especifique la duracin (en segundos) durante
la que los paquetes infractores se denegarn. Los paquetes que lleguen
durante la duracin del bloqueo no afectarn al recuento para activar
las alertas.
Pestaa Proteccin de
recursos
Sesiones
Seleccione la casilla de verificacin para habilitar la proteccin de los

recursos.
Mx. de lmites
simultneos
Especifique el nmero mximo de sesiones simultneas. Si el tipo de

perfil DoS es de agregacin, este lmite se aplica a todo el trfico entrante
que cumple la regla DoS en la que se aplica el perfil DoS. Si el tipo de
perfil DoS es de clasificacin, este lmite se aplica a todos el trfico
clasificado (IP de origen, IP de destino, o IP de origen y destino) que
cumple la regla DoS en la que se aplica el perfil DoS.

Los objetos de las polticas son los elementos que le permiten construir, programar y buscar
polticas. Los siguientes tipos de elementos son compatibles:
Direcciones y grupos de direcciones para determinar el mbito de la poltica. Consulte

Direcciones y grupos de direcciones en la seccin siguiente.
Aplicaciones y grupos de aplicaciones que permiten especificar cmo se tratan las

aplicaciones de software en las polticas. Consulte Aplicaciones y grupos de
aplicaciones en la pgina 249.
Filtros de aplicacin que permiten simplificar bsquedas. Consulte Filtros de aplicacin

en la pgina 257.
Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios
en la pgina 258.
Palo Alto Networks
Patrones de datos para definir categoras de informacin confidencial para polticas de

filtrado de datos. Consulte Patrones de datos en la pgina 259.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte Categoras de URL personalizadas en
la pgina 261.
Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las

amenazas. Consulte Grupos de perfiles de seguridad en la pgina 267.
Reenvo de log para especificar configuraciones de log. Consulte Reenvo de logs en la

pgina 268.
Programaciones para especificar cundo estn las polticas activas. Consulte

Programaciones en la pgina 271.
Palo Alto Networks
Direcciones y grupos de direcciones

Para definir polticas de seguridad para direcciones de origen o destino especficas, primero
debe definir las direcciones y los intervalos de direcciones. Las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones a los que se puede
referir como unidad.
Definicin de objetos de direcciones

Objetos > Direcciones
Para definir polticas de seguridad para direcciones de origen o destino especficas, primero
debe definir las direcciones y los intervalos de direcciones. Las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones para simplificar la
creacin de polticas (consulte Definicin de grupos de direcciones en la pgina 248).
Tabla 96. Configuracin de nuevas direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe las direcciones que se definirn (de

hasta 63 caracteres). Este nombre aparece en la lista de direcciones
cuando se definen polticas de seguridad. El nombre hace distincin entre
Compartido

casilla de verificacin para permitir su uso por todos los sistemas
virtuales.
Descripcin
Introduzca una descripcin del objeto (hasta 255 caracteres).
Tipo
Especifique una direccin IPv4 o IPv6, FQDN, o Dinmica, o intervalo de

direcciones.
Mscara de red IP:
Introduzca la direccin IPv4 o IPv6 o la el intervalo de la direccin IP con
la siguiente notacin:
direccin_ip/mscara o direccin_ip
donde la mscara es el nmero de dgitos binarios significativos utilizados
para la porcin de red de la direccin.
Ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas
las direcciones desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e
introduzca un intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22
Palo Alto Networks
Tabla 96. Configuracin de nuevas direcciones (Continuacin)

Campo
Descripcin
Tipo (continuacin)
FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin. Las
entradas se van actualizando cuando expira el tiempo de vida de DNS (o
est a punto de expirar). FQDN se resuelve por el servidor DNS del
sistema o por un objeto proxy DNS, si se configura un proxy. Para obtener
informacin acerca del proxy DNS, consulte Proxy DNS en la
pgina 188.
Dinmica:
Especifique un nombre, descripcin y un identificador que utilizar la
API XML para agregar direcciones. El identificador puede ser cualquier
cadena, debe ser nico y no limitarse a un UUID estndar. Una vez haya
especificado el nombre y el identificador, podr utilizar el nombre del
objeto en sus polticas y el identificador (el campo localizado a la derecha
de Tipo: Dinmica) se utiliza para asignar la direccin IP nica de un
objeto de direccin en el comando API XMP.
Identificador
Esta funcin del objeto de direccin dinmica es muy til en entornos en los
que las direcciones IP del host cambian frecuentemente; como en entornos
virtuales en los que los hosts se suelen aadir y eliminar con frecuencia y
donde se pueden producir fallos que requieren cambiar las direcciones IP. Al
utilizar el nombre del objeto de la direccin dinmica de la poltica
coincidente en lugar de las direcciones IP estticas o redes, las direcciones se
pueden actualizar dinmicamente sin modificar la configuracin del
cortafuegos.
Cada objeto de direccin dinmica puede contener hasta 256 direcciones IP.
Palo Alto Networks
Definicin de grupos de direcciones

Objetos > Grupos de direcciones
Para simplificar la creacin de polticas de seguridad, las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones.
Tabla 97. Grupo de direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe el grupo de direcciones (de hasta

63 caracteres). Este nombre aparece en la lista de direcciones cuando se
Compartido

casilla de verificacin para permitir su uso por todos los sistemas
virtuales.
Direcciones
Haga clic en Aadir y seleccione las direcciones y/o grupos de

direcciones diferentes que se incluirn en este grupo.
Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras
regiones. La regin est disponible como una opcin si especifica el origen y el destino de las
polticas de seguridad, polticas de descifrado y polticas DoS. Puede elegir entre una lista
estndar de pases o usar los ajustes de regin que se describen en esta regin, para definir las
regiones personalizadas que se incluirn como opciones para reglas de poltica de seguridad.
Tabla 98. Configuracin de nuevas direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe la regin (de hasta 31 caracteres). Este

nombre aparece en la lista de direcciones cuando se definen polticas de
y guiones bajos.
Ubicacin geogrfica
Para especificar la latitud y la longitud, seleccione la casilla de

verificacin y los valores (formato xxx.xxxxxx). Esta informacin se utiliza
en los mapas de trfico y amenazas de App-Scope. Consulte Uso de
Appscope en la pgina 279.
Direcciones
Especifique una direccin IP, un intervalo de direcciones IP o una subred

para identificar la regin, utilizando cualquiera de los siguientes
formatos:
x.x.x.x
x.x.x.x-a.a.a.a
x.x.x.x/n
Palo Alto Networks
Aplicaciones y grupos de aplicaciones

Objetos > Aplicaciones
La pgina Aplicaciones muestra los diferentes atributos de cada definicin de aplicacin,
como el riesgo de seguridad relativo de la aplicacin (1 a 5). El valor del riesgo se basa en
criterios como si la aplicacin puede compartir archivos, si es proclive a un uso incorrecto o a
intentos de evasin de cortafuegos. Los valores mayores indican un mayor riesgo.
El rea superior de navegacin de la aplicacin muestra los atributos que puede utilizar para
filtrar la vista. El nmero a la izquierda de cada entrada representa el nmero total de
aplicaciones con ese atributo.
Puede realizar cualquiera de las siguientes funciones en esta pgina:
Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base
para el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en
Networking y la lista solo mostrar las aplicaciones de red.
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categora, a continuacin los filtros de
subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de aplicar una categora,
subcategora y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Technology
se restringe automticamente a las tecnologas que cumplen los requisitos de la categora
y subcategoras seleccionadas, aunque no se haya aplicado explcitamente un filtro de
tecnologa.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualiza automticamente, tal y como se muestra en la siguiente ilustracin. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicacin.
Palo Alto Networks
Para buscar una aplicacin concreta, introduzca el nombre o descripcin de la aplicacin

en el campo Bsqueda y pulse Intro. Se mostrar la aplicacin y las columnas de filtrado
se actualizarn con las estadsticas de las aplicaciones que coinciden con la bsqueda.
Una bsqueda incluye cadenas parciales. Cuando defina polticas de seguridad, puede
escribir reglas que se aplicarn a todas las aplicaciones que coincidan con un filtro
guardado. Estas reglas se actualizan dinmicamente cuando se aade una nueva
aplicacin mediante una actualizacin de contenido que coincida con el filtro.
Haga clic en el nombre de una aplicacin para ver ms detalles sobre la aplicacin, tal y
como se describe en la siguiente tabla. Tambin puede personalizar los valores de riesgo y
tiempo de espera, tal y como se describe en la siguiente tabla.
Tabla 99. Detalles de la aplicacin

Elemento
Descripcin
Nombre
Nombre de la aplicacin.
Descripcin
Descripcin de la aplicacin (hasta 255 caracteres).
Informacin adicional
Enlaces a sitios web (Wikipedia, Google o Yahoo!) que contienen

ms informacin sobre la aplicacin.
Puertos estndar
Puertos que utiliza la aplicacin para comunicarse con la red.
Capaz de transferir archivos
Indica si la aplicacin puede transferir archivos o no.
Utilizada por software

malintencionado
Indica si hay software malintencionado que utiliza la aplicacin.
Uso de ancho de banda

excesivo
Indica si la aplicacin utiliza un ancho de banda excesivo que puede

comprometer el rendimiento de la red.
Evasiva
Indica si la aplicacin intenta evitar los cortafuegos.
Ampliamente utilizado
Indica si los efectos de la aplicacin son amplios.
Tiene vulnerabilidades
conocidas
Indica si la aplicacin tiene vulnerabilidades conocidas

actualmente.
Tuneliza otras aplicaciones
Indica si la aplicacin puede utilizar otras aplicaciones en los

mensajes que enva.
Depende de aplicaciones
Lista de otras aplicaciones necesarias para el funcionamiento de

esta aplicacin.
Categora
Categora de aplicacin.
Subcategora
Subcategora de aplicacin.
Tecnologa
Tecnologa de la aplicacin.
Riesgo asignado de la aplicacin.
Riesgo
Para personalizar este ajuste, haga clic en el enlace Personalizar e

introduzca un valor
(1-5), y haga clic en ACEPTAR.
Proclive al uso indebido
Indica si la aplicacin tiende a inducir un uso indebido.
Palo Alto Networks
Tabla 99. Detalles de la aplicacin (Continuacin)

Elemento
Descripcin
Tiempo de espera de sesin
Perodo de tiempo (en segundos) necesario para agotar el tiempo de

espera por inactividad (1-604800 segundos). Este tiempo de espera
es para protocolos diferentes a TCP o UDP. En el caso de TCP y
UDP, consulte las siguientes filas de esta tabla.
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo de espera para finalizar un flujo de aplicacin TCP
(1-604800 segundos).
Tiempo de espera de TCP

(segundos)

Tiempo de espera para finalizar un flujo de aplicacin UDP
(1-604800 segundos).
Tiempo de espera de UDP

(segundos):

Si el cortafuegos no puede identificar una aplicacin utilizando el ID de la aplicacin, el trfico

se clasifica como desconocido: tcp desconocido o udp desconocido. Este comportamiento se
aplica a todas las aplicaciones desconocidas, excepto aquellas que emulan HTTP
completamente. Para obtener ms informacin, consulte Identificacin de aplicaciones
desconocidas y toma de medidas en la pgina 301.
Puede crear nuevas definiciones para aplicaciones desconocidas y a continuacin, definir
polticas de seguridad para las nuevas definiciones de la aplicacin. Adems, las aplicaciones
que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones
para simplificar la creacin de polticas de seguridad.
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir nuevas aplicaciones a la evaluacin del cortafuegos
cuando aplique polticas.
Tabla 100. Configuracin de nuevas aplicaciones

Campo
Descripcin
Pestaa
Configuracin
Nombre
Introduzca el nombre de la aplicacin (de hasta 31 caracteres). Este

nombre aparece en la lista de aplicaciones cuando se definen polticas de
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, puntos,
guiones y guiones bajos. El primer carcter debe ser una letra.
Compartido

casilla de verificacin para permitir compartir la aplicacin entre todos
los sistemas virtuales.
Descripcin
Introduzca una descripcin de la aplicacin como referencia general

(hasta 255 caracteres).
Palo Alto Networks
Tabla 100. Configuracin de nuevas aplicaciones (Continuacin)

Campo
Descripcin
Categora
Seleccione la categora de la aplicacin, como correo electrnico o base de

datos. Para ver una descripcin de cada categora, consulte Categoras y
subcategoras de aplicacin en la pgina 479. Esta categora se utiliza
para generar el grfico Diez categoras de aplicacin principales y est
disponible para su filtrado (consulte Uso del Centro de comando de
aplicacin en la pgina 275).
Subcategora
Seleccione la subcategora de la aplicacin, como correo electrnico o base

de datos. Para ver una descripcin de cada subcategora, consulte
Categoras y subcategoras de aplicacin en la pgina 479. Esta
subcategora se utiliza para generar el grfico Diez categoras de
aplicacin principales y est disponible para su filtrado (consulte Uso
del Centro de comando de aplicacin en la pgina 275).
Tecnologa
Seleccione la tecnologa de la aplicacin. Para ver una descripcin de cada

tecnologa, consulte Tecnologas de la aplicacin en la pgina 481.
Aplicacin primaria
Especifique una aplicacin principal para esta aplicacin. Este ajuste se

aplica cuando en una sesin coinciden las aplicaciones principal y
personalizadas; sin embargo, se registra la aplicacin personalizada
porque es ms especfica.
Riesgo
Seleccione el nivel de riesgo asociado con esta aplicacin (1= el ms bajo a

5= el ms alto).
Caractersticas
Seleccione las caractersticas de la aplicacin que pueden poner en riesgo

la aplicacin. Para ver una descripcin de cada caracterstica, consulte
Caractersticas de la aplicacin en la pgina 481.
Pestaa Avanzada
Puerto
Si el protocolo que utiliza la aplicacin es TCP y/o UDP, seleccione

Puerto e introduzca una o ms combinaciones del protocolo y nmero de
puerto (una entrada por lnea). El formato general es:
<protocolo>/<puerto>
donde <puerto> es un nmero de puerto nico; o dinmica para una
asignacin dinmica de puertos.
Ejemplos: TCP/dinmica o UDP/32.
Este ajuste se aplica si utiliza app-default en la columna Service de una
regla de seguridad.
Protocolo IP
Especifique un protocolo IP diferente a TCP o UDP, seleccionando

Protocolo IP e introduciendo el nmero del protocolo (1 a 255).
Tipo de ICMP
Especifique un tipo de protocolo de mensajes de control de Internet

versin 4 (ICMP), seleccionando Tipo de ICMP e introduciendo el
nmero (intervalo 0-255).
Tipo de ICMP6
Especifique un tipo de protocolo de mensajes de control de Internet

versin 6 (ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el
nmero (intervalo 0-255).
Ninguna
Especifique firmas independientes de protocolo, seleccionando Ninguno.
Palo Alto Networks

Campo
Descripcin
Tiempo de espera
Introduzca el nmero de segundos antes de finalizar un flujo de

inactividad de una aplicacin (intervalo 0-604800 segundos). Un valor de
cero indica que se utilizar el tiempo de espera predeterminado de la
aplicacin. Este valor se utiliza para protocolos diferentes de TCP y UDP
en todos los casos y para tiempos de espera TCP y UDP cuando no se
especifican los tiempos de espera TCP y UDP.
Tiempo de espera de
TCP

inactividad de una aplicacin TCP (intervalo 0-604800 segundos). Un
valor de cero indica que se utilizar el tiempo de espera predeterminado
de la aplicacin.
Tiempo de espera de
UDP

inactividad de una aplicacin UDP (intervalo 0-604800 segundos). Un
valor de cero indica que se utilizar el tiempo de espera predeterminado
de la aplicacin.
Analizando
Seleccione las casillas de verificacin de los tipos de anlisis que desee

permitir, en funcin de los perfiles de seguridad (tipos de archivos,
patrones de datos y virus).
Palo Alto Networks

Campo
Descripcin
Pestaa Firma
Firmas
Haga clic en Aadir para agregar una firma nueva y especificar la siguiente
informacin:
Nombre de firma: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o Aadir
condicin OR. Para aadir una condicin en un grupo, seleccione el grupo
y haga clic en Aadir condicin.
Seleccione un operador entre Coincidencia de patrones e Igual que. Si
selecciona el operador de coincidencia de patrones, especifique las
siguientes opciones:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 104 para ver
reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Si selecciona el operador de coincidencia igual que, especifique las
siguientes opciones:
Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP
o UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos cuatro en
la carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Para mover una condicin en un grupo, seleccione la condicin y haga clic
en el flecha Mover hacia arriba o Mover hacia abajo. Para mover un
grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o
Mover hacia abajo. No puede mover condiciones de un grupo a otro.
Nota: No es necesario especificar firmas para la aplicacin si la aplicacin se

utiliza nicamente para reglas de cancelacin de aplicacin.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el
sistema virtual de destino en la lista desplegable Destino.
Para exportar la aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
Palo Alto Networks
Aplicaciones personalizadas con firmas

Puede definir aplicaciones personalizadas con firmas. Esta seccin contiene ejemplos de cmo
puede hacerse. Consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS para
obtener ms informacin sobre el comando para mostrar la aplicacin.
Ejemplo: Detectar el trfico web a un sitio especificado

Este ejemplo muestra una aplicacin que detecta el trfico entrante en
www.sitioespecificado.com.
Las solicitudes al sitio web tienen la siguiente forma:
GET /001/guest/
viewprofile.act?fa=25&tg=M&mg=F&searchType=zipcode&type=QUICK&pict=true&cont
ext=adrr&zip=94024&ta=34&sb=&item=0&pn=0 HTTP/1.1
Host: www.sitioespecificado.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7)
Gecko/2009021910 Firefox/3.0.7 Accept: text/html,application/
xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300 Connection: keep-alive Referer:
http://www.sitioespecificado.com/001/guest/
search.act?type=QUICK&pict=true&sb=&fa=25&ta=34&mg=F&tg=M&searchType=zipcode
&zip=94024&context=adrr&context=adrr Cookie:
JSESSIONID=A41B41A19B7533589D6E88190B7F0B3D.001; sitioespecificado.com/
jumpcookie=445461346*google.com/search?q=lava+life&; locale=en_US;
campaign=1; imageNum=2; cfTag_LogSid=9327803497943a1237780204643;
__utma=69052556.1949878616336713500.1238193797.1238193797.1238193797.1;
__utmb=69052556.2.10.1238193797; __utmc=69052556;
__utmz=69052556.1238193797.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
; __utmv=69052556.gender%3Df; launch=1
La firma siguiente puede identificar el trfico de sitioespecificado si el campo de host es

www.sitioespecificado.com.
nombreusuario@nombrehost# show application sitioespecificado
sitioespecificado {
category collaboration;
subcategory social-networking;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
and-condition {
o1 {
context http-req-host-header;
pattern www\.sitioespecificado\.com;
}
}
}
}
}
}
}
Palo Alto Networks
Ejemplo: Detectar una publicacin en un blog especificado

Este ejemplo muestra una aplicacin que detecta una actividad de publicacin en
www.blogespecificado.com. En este ejemplo no es necesario detectar cuando alguien accede a
leer el blog, sino nicamente cuando se realiza una nueva publicacin.
La solicitud de trfico de publicaciones incluye lo siguiente:
POST /wp-admin/post.php HTTP/1.1 Host: panqa100.blogespecificado.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7)
Gecko/2009021910 Firefox/3.0.7 Accept: text/html,application/
xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300 Connection: keep-alive Referer:
http://panqa100.blogespecificado.com/wp-admin/post.php?action=edit&post=1
Cookie: __utma=96763468.235424814.1238195613.1238195613.1238195613.1;
__utmb=96731468; __utmc=96731468;
__utmz=96731468.1238195613.1.1.utmccn=(organic)|utmcsr=google|utmctr=blog+ho
st|utmcmd=organic; wordpressuser_bfbaae4493589d9f388265e737a177c8=panqa100;
wordpresspass_bfbaae4493589d9f388265e737a177c8=c68a8c4eca4899017c58668eacc05
fc2
Content-Type: application/x-www-form-urlencoded Content-Length: 462
user_ID=1&action=editpost&post_author=1&post_ID=1&post_title=Hello+world%21&
post_category%5B%5D=1&advanced_view=1&comment_status=open&post_password=&exc
erpt=&content=Hello+world.%3Cbr+%2F%3E&use_instant_preview=1&post_pingback=1
&prev_status=publish&submit=Save&referredby=http%3A%2F%2Fpanqa100.specifiedb
log.com%2Fwp-admin%2F&post_status=publish&trackback_url=&post_name=helloworld&post_author_override=1&mm=3&jj=27&aa=2009&hh=23&mn=14&ss=42&metakeyinp
ut=&metavalue=HTTP/1.1
El campo host incluye el patrn blogespecificado.com. Sin embargo, si se escribe una firma con
ese valor en el host, incluir todo el trfico entrante en blogespecificado.com, incluyendo el
trfico de publicaciones y de visualizacin. Por lo tanto, es necesario buscar ms patrones.
Una forma de hacerlo es buscar los patrones post_title y post-author en los parmetros de la
publicacin. La firma resultante detecta las publicaciones en el sitio web:
nombreusuario@nombrehost# show application blogespecificado_blog_posting
blogespecificado_blog_posting {
category collaboration;
subcategory web-posting;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
and-condition {
o1 {
pattern blogespecificado\.com;
method POST;
}
}
}
a2 {
and-condition {
o2 {
pattern post_title;
method POST;
}
}
}
a3 {
and-condition {
o3 {
pattern post_author;
method POST;
}
Palo Alto Networks
Definicin de grupos de aplicaciones

Objetos > Grupos de aplicaciones
Para simplificar la creacin de polticas de seguridad, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones. Para definir
nuevas aplicaciones, consulte Definicin de aplicaciones en la pgina 251.
Tabla 101. Nuevo grupo de aplicaciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe el grupo de aplicaciones (de hasta

31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se
Aplicaciones
Haga clic en Aadir y seleccione las aplicaciones, filtros de aplicaciones

y/o grupos de aplicaciones diferentes que se incluirn en este grupo.
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e
introduzca el nombre del filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas
de verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros de categora, a
continuacin los filtros de subcategora, tecnologa, riesgos y, finalmente, los filtros de
caractersticas.
Palo Alto Networks
Por ejemplo, la siguiente ilustracin muestra el resultado de elegir una categora, subcategora
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Technology se restringe
automticamente a las tecnologas que cumplen los requisitos de la categora y subcategoras
seleccionadas, aunque no se haya aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno o
ms servicios para limitar el nmero de puertos que las aplicaciones pueden utilizar. El
servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones de
servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de
servicios para simplificar la creacin de polticas de seguridad (consulte Grupos de
servicios en la pgina 259).
Tabla 102. Configuracin de servicios

Campo
Descripcin
Nombre
Introduzca el nombre del servicio (de hasta 63 caracteres). Este nombre

aparece en la lista de servicios cuando se definen polticas de seguridad.
guiones bajos.
Descripcin
Introduzca una descripcin del servicio (hasta 255 caracteres).
Compartido

sistemas virtuales.
Protocolo
Seleccione el protocolo que utiliza el servicio (TCP o UDP).
Palo Alto Networks

Campo
Descripcin
Puerto de destino
Introduzca el nmero de puerto de destino (0 a 65535) o el intervalo de

nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de destino es obligatorio.
Puerto de origen
Introduzca el nmero de puerto de origen (0 a 65535) o el intervalo de

nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de origen es opcional.
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
Servicios en la pgina 258.
Tabla 103. Configuracin de grupos de servicios

Campo
Descripcin
Nombre
Introduzca el nombre del grupo de servicios (de hasta 63 caracteres). Este

nombre aparece en la lista de servicios cuando se definen polticas de
y guiones bajos.
Servicio
Haga clic en Aadir para agregar servicios al grupo. Realice su seleccin

en la lista desplegable o haga clic en Servicio, en el enlace en la parte
inferior de la lista desplegable y especifique la configuracin. Consulte
Servicios en la pgina 258 para obtener una descripcin de la
configuracin.
Palo Alto Networks
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo configurar patrones de datos, consulte Listas de bloqueos
dinmicos en la pgina 262.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos
generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes, pero
no menos.
La bsqueda de cadenas distingue entre maysculas y minsculas, como la mayora de

motores de expresiones regulares. La bsqueda de confidencial es diferente de la
bsqueda de Confidencial o CONFIDENCIAL.
La sintaxis de expresin regular en PAN-OS es similar a la de los motores de expresiones

regulares tradicionales, pero cada motor es nico. La tabla siguiente describe la sintaxis
compatible con PAN-OS.
Tabla 104. Reglas de patrones

Sintaxis
Descripcin
Busca cualquier carcter nico.
Busca el carcter o la expresin anterior 0 o 1 veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)?
Busca el carcter o la expresin anterior 0 o ms veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)*
Busca el carcter o la expresin anterior 1 o ms veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)+
Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.
Se utiliza para crear expresiones de intervalo.

Ejemplo: [c-z] busca cualquier carcter entre c y z, ambos inclusive.
[]
Busca cualquier carcter.

Ejemplo: [abz]: busca cualquier carcter a, b, o z.
Busca cualquier carcter excepto.

Ejemplo: [^abz] busca cualquier carcter excepto a, b, o z.
{}
Nmero mnimo/mximo de bytes.

Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite -.
Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).
&amp
& es un carcter especial, por lo que para buscar & en una cadena debe utilizar
&amp.
Palo Alto Networks
Ejemplos de patrones de datos

A continuacin se incluyen algunos ejemplos de patrones personalizados vlidos:
.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
No busca confidencial (todas en minscula)
.*((Privado &amp Confidencial)|(Privado y Confidencial))

Busca Privado & Confidencial o Privado y Confidencial
Es ms preciso que buscar Confidencial
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra
borrador, lo que puede indicar que el comunicado de prensa no est preparado an
para ser emitido.
.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad
Categoras de URL personalizadas

Objetos > Categoras URL personalizadas
La funcin de categoras URL personalizadas permite crear sus propias listas de URL que
puede seleccionar en cualquier perfil de filtrado de URL. Cada una de las categoras se puede
controlar de forma independiente y tendr una accin asociada en cada perfil de filtrado URL
(permitir, bloquear, continuar, cancelar o alertar).
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL.
Para ello, cree un archivo de texto con las URL que se incluirn, con una URL por lnea. Cada
una de las URL puede tener el formato www.ejemplo.com y contener un * como comodn,
como en el caso de *.ejemplo.com. Para obtener ms informacin acerca de comodines,
consulte la descripcin de Lista de bloqueo en Tabla 90 en la pgina 235.
Nota: Las entradas URL aadidas a las categoras personalizadas no distinguen
entre maysculas y minsculas.
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles
de filtrado de URL en la pgina 235.
Tabla 105. Categoras de URL personalizadas

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la categora de URL personalizada

(de hasta 31 caracteres). Este nombre aparece en la lista de categoras
cuando se definen polticas de seguridad. El nombre hace distincin entre
Palo Alto Networks
Tabla 105. Categoras de URL personalizadas (Continuacin)

Campo
Descripcin
Descripcin
Introduzca una descripcin de la categora URL (hasta 255 caracteres).
Compartido

sistemas virtuales.
Sitios
En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Listas de bloqueos dinmicos

Objetos > Listas de bloqueos dinmicos
Utilice la pgina Listas de bloqueos dinmicos para crear un objeto de direccin basado en
una lista importada de direcciones IP. El origen de la lista debe ser un archivo de texto y se
debe encontrar en un servidor web. Puede definir la opcin Repetir para que actualice
automticamente la lista de dispositivos cada hora, da, semana o mes. Una vez haya creado
un objeto de lista de bloqueo dinmico, puede utilizar el objeto de la direccin en los campos
de origen y destino en las polticas de seguridad. Cada lista importada puede contener hasta
5.000 direcciones IP (IPv4 y/o IPv6), intervalos de IP o subredes.
La lista debe contener una direccin IP, intervalo o subred por lnea, por ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas las direcciones
desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un
intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22
Tabla 106 Listas de bloqueos dinmicos

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la lista de bloqueos

dinmicos (de hasta 32 caracteres). Este nombre aparecer
cuando seleccione el origen o el destino de una poltica.
Descripcin
Introduzca una descripcin de la lista de bloqueos dinmicos

(hasta 255 caracteres).
Origen
Introduzca una ruta URL HTTP o HTTPS que contenga el

archivo de texto. Por ejemplo, http:\\1.1.1.1\miarchivo.txt.
Tambin puede introducir una ruta de servidor UNC.
Palo Alto Networks
Tabla 106 Listas de bloqueos dinmicos

Campo
Descripcin
Repetir
Especifique la frecuencia en la que la lista se debe importar.

Puede elegir cada hora, da, semana o mes. En el intervalo
especificado, la lista se importar a la configuracin. No es
necesario realizar una compilacin completa para que este tipo
de actualizacin tenga lugar.
Probar URL de origen
Comprueba que la URL de origen o la ruta del servidor est

disponible.
Firmas personalizadas de spyware y vulnerabilidades

Esta seccin describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de
vulnerabilidades.
Objetos > Firmas personalizadas > Patrones de datos
Objetos > Firmas personalizadas > Spyware
Objetos > Firmas personalizadas > Vulnerabilidad
Definicin de patrones de datos

Objetos > Firmas personalizadas > Patrones de datos
Utilice la pgina Patrones de datos para definir las categoras de informacin confidencial que
desea someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo definir perfiles de filtrado de datos, consulte Perfiles de filtrado de
datos en la pgina 241.
Tabla 107. Configuracin de patrones de datos

Campo
Descripcin
Nombre
Introduzca el nombre de patrn de datos (de hasta 31 caracteres). El

guiones bajos.
Descripcin
Introduzca una descripcin del patrn de datos (hasta 255 caracteres).
Compartido

sistemas virtuales.
Palo Alto Networks
Tabla 107. Configuracin de (Continuacin)patrones de datos

Campo
Descripcin
Peso
Introduzca el peso de los tipos de patrones especificados de forma

predeterminada. El peso es un valor numrico entre 1 y 255. Los umbrales
de alerta y bloqueo especificados en el Perfil de filtrado de datos son una
funcin de este peso.
CC#: Especifique un peso para el campo de tarjeta de crdito (intervalo
0-255).
SSN#: Especifique un peso para el campo del nmero de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de la
seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).
Patrones personalizados
Los patrones predefinidos incluyen el nmero de la tarjeta de crdito y el

de la seguridad social (con y sin guiones).
Haga clic en Aadir para agregar un patrn nuevo. Especifique un
nombre para el patrn, introduzca la expresin regular que define el
patrn e introduzca un valor de peso para asignarlo al patrn. Aada los
patrones que sean necesarios.
Definicin de firmas de spyware y vulnerabilidad

Objetos > Firmas personalizadas > Spyware y vulnerabilidades
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas
del cortafuegos. Puede escribir patrones de expresiones regulares para identificar
comunicaciones de llamada a casa de spyware o intentos de explotar las vulnerabilidades. Los
patrones de spyware y vulnerabilidades resultantes estn disponibles para su uso en
cualquier perfil de vulnerabilidad personalizado. El cortafuegos busca los patrones definidos
de forma personalizada en el trfico de la red y toma las medidas especificadas para la
explotacin de la vulnerabilidad. Puede obtener ayuda cuando cree firmas personalizadas con
HTTP, SMTP, IMAP, FTP, POP3, SMB, MSSQL, MSRPC, RTSP, SSH, SSL, Telnet, TCP
desconocido y UDP desconocido.
Tambin puede incluir un atributo temporal cuando defina firmas personalizadas
especificando un umbral por intervalo para activar posibles acciones en respuesta a un ataque.
Las acciones solo se activan una vez alcanzado el umbral.
Utilice la pgina Firmas personalizadas para definir firmas de perfiles de vulnerabilidades.
Tabla 108. Firmas personalizadas - Vulnerabilidades y spyware

Campo
Descripcin
Pestaa
Configuracin
ID de amenaza
Introduzca un identificador numrico para la configuracin. En el caso de

firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.
Nombre
Especifique el nombre de la amenaza.
Palo Alto Networks
Tabla 108. Firmas personalizadas - Vulnerabilidades y spyware (Continuacin)

Campo
Descripcin
Compartido

sistemas virtuales.
Comentarios
Introduzca un comentario opcional.
Gravedad
Asigne un nivel que indique la gravedad de la amenaza.
Accin predeterminada
Asigne la accin predefinida que se activar si se cumplen las condiciones

de la amenaza:
Alertar: Genera una alerta.
Colocar paquetes: No permite el paso de paquetes.
Restablecer ambos: Restablece el cliente y el servidor.
Restablecer cliente: Restablece el cliente.
Restablecer servidor: Restablece el servidor.
Bloquear IP: Bloquea el trfico durante un perodo de tiempo
especificado. Seleccione si se bloquear nicamente el trfico de origen
o el de origen y destino, e introduzca la duracin (segundos).
Direccin
Indique si la amenaza se evaluar desde el cliente al servidor, desde el

servidor al cliente, o ambos.
Sistema afectado
Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos o a

ambos. Se aplica a las firmas de vulnerabilidades, pero no a las firmas de
spyware.
CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) como

una referencia externa de informacin y anlisis adicional.
Proveedor
Especifique el identificador del proveedor de la vulnerabilidad como una

referencia externa de informacin y anlisis adicional.
Bugtraq
Especifique la bugtraq (similar a CVE) como una referencia externa de

informacin y anlisis adicional.
Referencia
Aada vnculos a la informacin o al anlisis. La informacin se muestra

cuando un usuario hace clic en la amenaza desde ACC, logs o el perfil de
vulnerabilidad.
Palo Alto Networks
Tabla 108. Firmas personalizadas - Vulnerabilidades y spyware (Continuacin)

Campo
Descripcin
Pestaa Firmas
Firma estndar
Seleccione el botn de opcin Estndar y haga clic en Aadir para aadir

una firma nueva. Especifique la siguiente informacin:
Estndar: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo,
seleccione el grupo y haga clic en Aadir condicin. Realice su
seleccin en la lista desplegable Mtodo y Contexto. Especifique una
expresin regular en el campo Patrn. Aada los patrones que sean
necesarios.
Para mover una condicin en un grupo, seleccione la condicin y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
Firma de combinacin
Seleccione el botn de opcin Combinacin. En el rea por encima de las

pestaas secundarias, especifique la siguiente informacin:
En la pestaa secundaria Firmas de combinacin, especifique las
condiciones que definirn las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo,
seleccione el grupo y haga clic en Aadir condicin. Realice su
seleccin en la lista desplegable Mtodo y Contexto. Especifique una
expresin regular en el campo Patrn. Aada los patrones que sean
necesarios.
Para mover una condicin en un grupo, seleccione la condicin y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
En la pestaa secundaria Atributo de fecha y hora, especifique la
Nmero de resultados: Especifique el umbral que activar una accin
basada en una poltica como un nmero de resultados (1-1000) en un
nmero especificado de segundos (1-3600)
Criterios de agregacin: Especifique si los resultados los supervisar la
direccin IP de origen, la direccin IP de destino o una combinacin de
las direcciones IP de origen y destino.
Palo Alto Networks
Grupos de perfiles de seguridad

Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que
se pueden tratar como una unidad y aadirse posteriormente a las polticas de seguridad. Por
ejemplo, puede crear un grupo de perfil de seguridad amenazas que incluya perfiles de
antivirus, antispyware y vulnerabilidades y crear una poltica de seguridad que incluya el
perfil amenazas.
Los perfiles de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y bloqueo
de archivos que se suelen asignar juntos pueden combinarse en grupos de perfiles para
simplificar la creacin de las polticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte Definicin de polticas de seguridad en
la pgina 203.
Tabla 109. Configuracin de grupos de perfiles de seguridad

Campo
Descripcin
Nombre
Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre

aparece en la lista de perfiles cuando se definen polticas de seguridad. El
guiones bajos.
Compartido

sistemas virtuales.
Perfiles
Seleccione un perfil de antivirus, antispyware, proteccin de

vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluir en
este grupo. Los perfiles de filtrado de datos tambin se pueden especificar
en grupos de perfiles de seguridad. Consulte Perfiles de filtrado de
datos en la pgina 241.
Palo Alto Networks
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si las
entradas de log de trfico y amenazas se registran de forma remota con Panorama, y/o se
envan como traps SNMP, mensajes de Syslog o notificaciones por correo electrnico. De
forma predefinida, solo se realizan logs locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de
amenazas registran las amenazas o problemas con el trfico de la red, como la deteccin de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y proteccin de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a polticas de seguridad, consulte
Polticas de seguridad en la pgina 203.
Tabla 110.
Configuracin de perfiles de reenvo de logs
Campo
Descripcin
Nombre

Compartido

sistemas virtuales.
Configuracin de trfico
Panorama

log de trfico al sistema de gestin centralizado de Panorama. Para
definir la direccin del servidor de Panorama, consulte Definicin de
configuracin de gestin en la pgina 32.
Trap SNMP
Correo electrnico
Syslog
Seleccione los ajustes de SNMP, Syslog y/o correo electrnico que

especifican destinos adicionales a los que se envan las entradas de trfico.
Para definir nuevos destinos, consulte:
servidor Syslog seleccionando la pestaa Formato de log personalizado
en Dispositivo > Perfiles de servidor > Syslog. Haga clic en el tipo de
log deseado (Configuracin, Sistema, Amenaza, Trfico o Coincidencias
HIP) y, a continuacin, haga clic en los campos que desee ver en los
logs. Las tablas siguientes muestran el significado de cada campo para
cada tipo de log.. en la pgina 85
Palo Alto Networks
Tabla 110.
Configuracin de perfiles de reenvo de logs (Continuacin)
Campo
Descripcin
Configuracin del log de amenazas

Panorama
Haga clic en la casilla de verificacin de cada nivel de seguridad de las

entradas del log de amenazas que se enviarn a Panorama. Los niveles de
gravedad son los siguientes:
Crtico: Ataques muy graves detectados por el motor de seguridad de
amenazas.
Alto: Ataques graves detectados por el motor de seguridad de
amenazas.
Medio: Ataques leves detectados por el motor de seguridad de
amenazas, incluyendo el bloqueo de URL.
Bajo: Ataques de advertencias detectados por el motor de seguridad de
amenazas.
Informativo: El resto de eventos no incluidos en los niveles de
seguridad anteriores, incluyendo bsquedas de objeto de ataques
informativos.
Trap SNMP
Correo electrnico
Syslog
En cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o

correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log de amenazas.
Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvo, inspeccin entrante SSL y trfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una poltica de descifrado.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms
informacin, consulte Entidades de certificacin de confianza en la pgina 97.
Tabla 111. Configuracin de perfiles de descifrado

Campo
Descripcin
Pestaa Proxy SSL

de reenvo
Comprobaciones de
certificado de
servidor
Seleccione las opciones para controlar los certificados del servidor.
Bloquear sesiones
con certificados
caducados
Finalice la conexin SSL si el certificado del servidor est caducado. De esta

forma se evita que un usuario acepte un certificado caducado y contine con
una sesin SSL.
Bloquear sesiones
con emisores no
fiables
Finalice la sesin SSL si el emisor del certificado del servidor no es fiable.
Restringir
extensiones de
certificados
Palo Alto Networks
Limita las extensiones de certificados utilizados en el certificado de

servidor dinmico al uso de claves y claves extendidas.
Detalles: Muestra los detalles de los valores utilizados para el uso de claves y
claves extendidas.

Campo
Descripcin
Comprobaciones de
modo no compatible
Seleccione las opciones para controlar aplicaciones SSL no

compatibles.
Bloquear sesiones
con versin no
compatible
Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible

con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.
Bloquear sesiones
con conjuntos de
cifrado no
compatibles
Finalice la sesin si el conjunto de cifrado especificado en el protocolo de

enlace SSL si no es compatible con PAN-OS.
Bloquear sesiones
con autenticacin de
cliente
Finalice las sesiones con autenticacin de cliente para el trfico de proxy de

reenvo SSL.
Comprobaciones de
fallos
Seleccione la accin que se adoptar si los recursos del sistema no estn

disponibles para procesar el descifrado.
Bloquear sesiones si
no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Nota: En el caso de modos no compatibles y de fallos, la informacin de la

sesin se guarda en cach durante 12 horas, por lo que las futuras sesiones
entre los mismos pares de hosts y servidor no se descifran. En su lugar,
utilice las casillas de verificacin para bloquear esas sesiones.
Pestaa Inspeccin
de entrada SSL
Comprobaciones de
modo no compatible
Proporciona opciones de seleccin de control de sesiones si se

detectan modos no compatibles en el trfico SSL.
Bloquear sesiones
con versiones no
compatibles

con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.
Bloquear sesiones
con conjuntos de
cifrado no
compatibles
Finalice la sesin si el conjunto de cifrado utilizado no es compatible con

PAN-OS.
Comprobaciones de
fallos
Seleccione la accin que se adoptar si los recursos del sistema no estn

disponibles.
no hay recursos
disponibles
Pestaa SSH
Comprobaciones de
modo no compatible
Bloquear sesiones
con versiones no
compatibles
Proporciona opciones de seleccin de control de sesiones si se

detectan modos no compatibles en el trfico SSH. La versin SSH
compatible es la versin 2.
con PAN-OS.
Palo Alto Networks

Campo
Descripcin
Bloquear sesiones
con algoritmos no
compatibles
Finalice las sesiones si el algoritmo especificado por el cliente o el servidor

no es compatible con PAN-OS.
Comprobaciones de
fallos
Seleccione las medidas que se adoptarn si se producen errores de

aplicacin SSH y si no hay recursos del sistema disponibles.
Bloquear sesiones al
detectar errores SSH
Finalice las sesiones si se producen errores SSH.
no hay recursos
disponibles
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas y
horas. Para limitar una poltica de seguridad a una hora concreta, puede definir
programaciones y aplicarlas a las polticas correctas. Para cada programacin puede
especificar una fecha y un intervalo horario fijo, o bien una programacin diaria o semanal
recurrente. Para aplicar las programaciones a las polticas de seguridad, consulte Polticas de
Nota: Cuando se activa una poltica de seguridad en una programacin definida,
solo se vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.
Tabla 112. Ajustes de programacin

Campo
Descripcin
Nombre
Introduzca un nombre de la programacin (de hasta 31 caracteres). Este

nombre aparece en la lista de programaciones cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Compartido

casilla de verificacin para permitir su uso compartido por todos los sistemas
virtuales.
Periodicidad
Seleccione la periodicidad (Diaria, Semanal o Sin repeticin).
Diario
Haga clic en Aadir y especifique una hora de inicio y de finalizacin en

formato de 24 horas (HH:MM).
Semanal
Haga clic en Aadir, seleccione un da de la semana y especifique una hora

de inicio y de finalizacin en formato de 24 horas (HH:MM).
Sin repeticin
Haga clic en Aadir y especifique una fecha y hora de inicio y de finalizacin.
Palo Alto Networks
Palo Alto Networks
Captulo 6
Informes y logs
Este captulo describe cmo visualizar los informes y logs proporcionados con el cortafuegos:
Uso del panel en la seccin siguiente
Uso del Centro de comando de aplicacin en la pgina 275
Uso de Appscope en la pgina 279
Visualizacin de los logs en la pgina 288
Trabajo con informes de Botnet en la pgina 291
Gestin de informes de resumen en PDF en la pgina 294
Gestin de informes de actividad del usuario en la pgina 296
Gestin de grupos de informes en la pgina 296
Programacin de informes para entrega de correos electrnicos en la pgina 297
Visualizacin de informes en la pgina 298
Generacin de informes personalizados en la pgina 299
Identificacin de aplicaciones desconocidas y toma de medidas en la pgina 301
Realizacin de capturas de paquetes en la pgina 303

Nota: La mayora de los informes en esta seccin admiten la seleccin opcional de
un sistema virtual de la lista desplegable en la parte superior de la pgina.
Palo Alto Networks
Informes y logs 273
Uso del panel
Uso del panel

Panel
La pgina Panel muestra informacin general del dispositivo, como la versin de software, el
estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 de las entradas ms
recientes en los logs Sistema, Configuracin y Amenaza. Todos los grficos disponibles
aparecen de forma predeterminada, pero cada usuario puede eliminar y agregar grficos
individuales segn sea necesario.
Haga clic en Actualizar para actualizar el Panel. Para cambiar el intervalo de actualizacin
automtica, seleccione un intervalo de la lista desplegable (1 min, 2 min, 5 min o Manual).
Para agregar un widget al panel, haga clic en el cuadro desplegable Widget, seleccione una
categora y luego el nombre de widget. Para eliminar un widget, haga clic en
en la barra de
ttulos.
Revise la siguiente informacin en cada grfico.
Tabla 113. Grficos del panel

Grfico
Descripcin
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque

indica el nmero relativo de sesiones (pase el ratn sobre el bloque para
ver el nmero) y el color indica el riesgo de seguridad, desde verde (ms
bajo) a rojo (ms alto). Haga clic en una aplicacin para ver su perfil de
aplicacin.
Aplicaciones de alto
riesgo principales
Similar a Aplicaciones principales, excepto las que muestran las

aplicaciones de mayor riesgo con la mayora de las sesiones.
Informacin general
Muestra el nombre del dispositivo, el modelo, la versin del software de

PAN-OS, la aplicacin, las amenazas, las versiones de definicin del filtro
de URL, la fecha y hora actuales y el perodo de tiempo transcurrido
desde el ltimo reinicio.
Estado de la interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un

estado desconocido (gris).
Logs Amenaza
Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas

entradas en el log Amenazas. El ID de amenaza es una descripcin
malintencionada una URL que incumple el perfil de filtro de URL.
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y

la fecha y hora de las 10 ltimas entradas en el log Configuracin.
Logs Filtrado de datos
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el

log Filtrado de datos.
Logs Filtrado de URL
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el

log Filtrado de URL.
Logs Sistema
Muestra la descripcin y la fecha y hora de las ltimos 10 entradas en el

log Sistema. Tenga en cuenta que una entrada Configuracin instalada
indica que se han llevado a cado cambios en la configuracin
correctamente.
Recursos del sistema
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero

de sesiones que muestra el nmero de sesiones establecidas a travs del
cortafuegos.
274 Informes y logs
Palo Alto Networks
Uso del Centro de comando de aplicacin
Tabla 113. Grficos del panel (Continuacin)

Grfico
Descripcin
Administradores
registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora

de inicio de sesin para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado

la semana pasada. Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta

disponibilidad (HA) del dispositivo local y del peer: Verde (activa),
amarillo (pasiva) o negro (otro). Para obtener ms informacin sobre la
HA, consulte Habilitacin de HA en el cortafuegos en la pgina 111.
Bloqueos
Muestra bloqueos de configuracin realizados por los administradores.

ACC
La pgina Centro de comando de aplicacin (ACC) muestra el nivel de riesgo general para su
trfico de red, los niveles de riesgo y el nmero de amenazas detectadas para las aplicaciones
ms activas y con mayor riesgo en su red y el nmero de amenazas detectadas desde las
categoras de aplicacin ms activas y desde todas las aplicaciones con cualquier nivel de
riesgo. Se puede visualizar el ACC para la hora, el da o la semana anterior o cualquier
perodo de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=ms bajo a 5=ms alto) indica el riesgo de seguridad relativo de la
aplicacin dependiendo de criterios como si la aplicacin puede compartir archivos, es
proclive al uso indebido o intenta esquivar los cortafuegos.
Para ver el Centro de comando de aplicacin:
1.
En la pestaa ACC, cambie uno o varios ajustes a continuacin en la parte superior de la

pgina y haga clic en Ir:
a. Seleccione un sistema virtual, si los sistemas virtuales estn definidos.

b. Seleccione un perodo de tiempo en la lista desplegableTiempo. El valor
predeterminado es ltima hora.
c. Seleccione un mtodo de orden en la lista desplegableOrdenar por. Puede ordenar los

grficos en orden descendiente por nmero de sesiones, bytes o amenazas. El valor
predeterminado es por nmero de sesiones.
Palo Alto Networks
Informes y logs 275
d. Para el mtodo de orden seleccionado, seleccione el mayor nmero de aplicaciones y

categoras de aplicacin que aparecen en cada grfico en la lista desplegable Principal.
Ilustracin 21. Pgina del Centro de comando de aplicacin

2.
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de
logs en la esquina inferior derecha de la pgina, como se muestra a continuacin. El
contexto de los logs coincide con la informacin que aparece en la pgina.
3.
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Despus de
agregar los filtros deseados, haga clic en el icono Aplicar filtro.
4.
Selecciona una vista desde la lista desplegable del rea de su inters, como se describe en
la siguiente tabla.
5.
Utilice las listas desplegables para Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.
276 Informes y logs
Palo Alto Networks
Tabla 114. Grficos del Centro de comando de aplicacin

Grfico
Descripcin
Aplicacin
Muestra informacin organizada segn la seleccin del men. La

informacin incluye el nmero de sesiones, los bytes transmitidos y
recibidos, el nmero de amenazas, la categora de aplicacin, las
subcategoras de aplicacin, la tecnologa de aplicacin y el nivel de
riesgo, si es necesario.
Aplicaciones
Aplicaciones de alto riesgo
Categoras
Subcategoras
Tecnologa
Riesgo
Filtrado de URL

informacin incluye la URL, la categora de URL, el nmero de
repeticiones (nmero de intentos de acceso, si es necesario)
Categoras de URL
URL
Categoras de URL bloqueadas
URL bloqueadas
Prevencin de amenazas

informacin incluye el ID de la amenaza, el recuento (nmero de
incidencias), el nmero de sesiones y el subtipo (como vulnerabilidad), si
es necesario.
Amenazas
Tipos
Spyware
Llamada a casa de spyware
Descargas de spyware
Vulnerabilidades
Virus
Filtrado de datos
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
Objetos HIP
Perfiles HIP
Palo Alto Networks
Informes y logs 277
6.
Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrir una pgina
de detalles para mostrar informacin acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.
Ilustracin 22. Pgina Examinar Centro de comando de aplicacin
278 Informes y logs
Palo Alto Networks
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope introduce herramientas de anlisis y visibilidad para ayudar a
localizar comportamientos problemticos, ayudndole a comprender los siguientes aspectos
de su red:
Cambios en el uso de la aplicacin y la actividad del usuario
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope, puede comprobar rpidamente si algn comportamiento es

inusual o inesperado. Cada informe proporciona una ventana dinmica y personalizable por
el cliente en la red. Los informes incluyen opciones para seleccionar los datos e intervalos para
mostrar.
Para ver los informes, haga clic en el nombre del informe en Appscope en el lado izquierdo de
la pgina en la pestaa Supervisar. Seleccione una de las siguientes listas de tipos de informe.
Las opciones de informe estn disponibles en las listas desplegables en la parte superior e
inferior de algunas de las pginas.
Tabla 115. Grficos del Centro de comando de aplicacin

Grfico
Descripcin
Resumen
Informe de resumen en la pgina 280
Supervisor de cambios
Informe del supervisor de cambios en la pgina 281
Supervisor de amenazas
Informe del supervisor de amenazas en la pgina 283
Mapa de amenazas
Informe del supervisor de amenazas en la pgina 283
Supervisor de red
Informe del supervisor de red en la pgina 285
Mapa de trfico
Informe del mapa de trfico en la pgina 287
Palo Alto Networks
Informes y logs 279
Uso de Appscope
Informe de resumen
El informe de resumen(Ilustracin 23) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y
orgenes.
Ilustracin 23. Informes de resumen de Appscope
280 Informes y logs
Palo Alto Networks
Uso de Appscope
Informe del supervisor de cambios

El informe del supervisor de cambios(Ilustracin 24) muestra cambios realizados en un
perodo de tiempo especfico. Por ejemplo, Ilustracin 24 muestra las principales aplicaciones
adquiridas en la ltima hora en comparacin con el ltimo perodo de 24 horas. Las
principales aplicaciones se determinan por el recuento de sesiones y se ordenan por
porcentajes.
Ilustracin 24. Informe del supervisor de cambios de Appscope

Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 116. Opciones del informe del supervisor de cambios

Elemento
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Palo Alto Networks
Informes y logs 281
Uso de Appscope
Tabla 116. Opciones del informe del supervisor de cambios (Continuacin)

Elemento
Descripcin
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si ordenar entradas por porcentajes o

incremento bruto.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
282 Informes y logs
Palo Alto Networks
Uso de Appscope
Informe del supervisor de amenazas

El informe del supervisor de amenazas (Ilustracin 25) muestra un recuento de las principales
amenazas durante el perodo de tiempo seleccionado. Por ejemplo, Ilustracin 25 muestra los
10 principales tipos de amenaza en las ltimas 6 horas.
Ilustracin 25. Informe del supervisor de amenazas de Appscope

Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 117. Botones del Informe del supervisor de amenazas

Botn
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Palo Alto Networks
Informes y logs 283
Uso de Appscope
Tabla 117. Botones del Informe del supervisor de amenazas (Continuacin)

Botn
Descripcin
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.
Informe del mapa de amenazas

El informe del mapa de amenazas (Ilustracin 26) muestra una vista geogrfica de amenazas,
incluyendo la gravedad.
Ilustracin 26. Informe del supervisor de amenazas de Appscope

Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Tabla 118. Botones del Informe del mapa de amenazas

Botn
Descripcin
Barra superior
Muestra las amenazas entrantes.
284 Informes y logs
Palo Alto Networks
Uso de Appscope
Tabla 118. Botones del Informe del mapa de amenazas (Continuacin)

Botn
Descripcin
Muestra las amenazas salientes.
Aplica un filtro para mostrar nicamente el tipo de elemento

seleccionado.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Informe del supervisor de red

El informe del supervisor de red (Ilustracin 27) muestra el ancho de banda dedicado a
diferentes funciones de red durante el perodo de tiempo especificado. Cada funcin de red
est indicado con colores como se indica en la leyenda debajo del grfico. Por ejemplo,
Ilustracin 27 muestra el ancho de banda de aplicacin en los 7 ltimos das basndose en la
informacin de sesin.
Ilustracin 27. Informe del supervisor de red de Appscope
Palo Alto Networks
Informes y logs 285
Uso de Appscope
El informe contiene los siguientes botones y las siguientes opciones.
Tabla 119. Botones del Informe del supervisor de red

Botn
Descripcin
Barra superior
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si la informacin se presenta en un grfico de

columna apilado o un grfico de rea apilado.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
286 Informes y logs
Palo Alto Networks
Uso de Appscope
Informe del mapa de trfico

El informe del mapa de trfico (Ilustracin 28) muestra una vista geogrfica de los flujos de
trfico segn las sesiones o los flujos.
Ilustracin 28. Informe del supervisor de trfico de Appscope

Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico.
Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 120. Botones del Informe del mapa de amenazas

Botn
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Determina si mostrar informacin de sesin o

byte.
Palo Alto Networks
Informes y logs 287
Visualizacin de los logs
Tabla 120. Botones del Informe del mapa de amenazas (Continuacin)

Botn
Descripcin
Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.

Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de trfico, amenazas, filtrado de URL, filtrado de datos y Perfil de informacin de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
especficas, puede aplicar filtros a la mayora de los campos de log.
Nota: El cortafuegos muestra la informacin en logs por lo que se respetan los
permisos de administracin basado en funcin. Cuando muestra logs, solo se
incluye la informacin de cuyo permiso dispone. Para obtener informacin acerca
de los permisos de administrador, consulte Definicin de funciones de
administrador en la pgina 63.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Utilice la rea de filtro de la siguiente forma:
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en
la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y la
bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para agregar
el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Nota: Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que
ha definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en
la lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar
filtro.
288 Informes y logs
Palo Alto Networks
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier
filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificacin si desea continuar utilizando la
misma opcin. Haga clic en ACEPTAR.
Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista

desplegable (1 min, 30 segundos, 10 segundos o Manual). Para cambiar el nmero de entradas
de logs por pgina, seleccione el nmero de filas en la lista desplegable Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina en
la parte inferior de la pgina para navegar por la lista de logs. Seleccione la casilla de
verificacin Resolver nombre de host para iniciar la resolucin de direcciones IP externas en
nombres de dominio.
Para mostrar detalles adicionales, haga clic en el icono de catalejo
de una entrada.
Ilustracin 29. Detalles de entrada de log

Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.
Palo Alto Networks
Informes y logs 289
Revise la siguiente informacin en cada log.
Tabla 121. Descripciones del log

Grfico
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Cada entrada incluye
la fecha y hora, las zonas de origen y destino, las direcciones, los puertos, el
nombre de la aplicacin, el nombre de la regla de seguridad aplicada al flujo, la
accin de la regla (permitir, denegar o desplegar), la interfaz de entrada y salida
y el nmero de bytes.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.
Amenaza
Muestra una entrada para cada alarma de seguridad generada por el

cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o
URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicacin
y la accin de alarma (permitir o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el
mismo origen y destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica el tipo de amenaza, como virus o
spyware. La columna Nombre es la descripcin de la amenaza o URL y la
columna Categora es la categora de la amenaza (como Registrador de
pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una
entrada para acceder a los paquetes capturados, como se indica en la siguiente
ilustracin. Para activar las capturas de paquetes locales, consulte las
subdivisiones en Perfiles de seguridad en la pgina 227.
Filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web
prohibido. Consulte Perfiles de filtrado de URL en la pgina 235 para obtener
ms informacin sobre cmo definir perfiles de filtrado de URL.
WildFire
Muestra logs de archivos que se han cargado y actualizado por el

servidor WildFire, los datos de logs se reenvan al dispositivo despus
del anlisis junto con los resultados del anlisis.
Se requiere una suscripcin para esta funcin. Si no dispone de una suscripcin,
puede utilizar el portal de WildFire para ver informacin de log. Consulte Uso
del portal de WildFire en la pgina 468.
290 Informes y logs
Palo Alto Networks
Trabajo con informes de Botnet
Tabla 121. Descripciones del log (Continuacin)

Grfico
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos en la pgina 241 para obtener ms informacin
sobre cmo definir perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono
. Introduzca la contrasea y haga clic
en ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas en
la pgina 126 para obtener instrucciones acerca de cmo cambiar o eliminar la
contrasea de proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.
Coincidencias
HIP
Muestra informacin acerca de las polticas de seguridad aplicadas a clientes de

GlobalProtect. Para obtener ms informacin, consulte Descripcin general en
la pgina 367.
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Visualizacin de alarmas en la pgina 93.
Visualizacin de la informacin del sistema

Supervisar > Explorador de sesin
Abra la pgina Explorador de sesin para explorar y filtrar sesiones actualmente en ejecucin
en el cortafuegos. Para obtener informacin acerca de las opciones de filtrado en esta pgina,
consulte Visualizacin de los logs en la pgina 288.

La funcin informes de botnet le permite utilizar mecanismos basados en el comportamiento para
identificar potenciales hosts infectados por botnet en la red. Mediante el uso de logs de filtrado de
datos, URL, amenazas y red, el cortafuegos evala las amenazas segn criterios que incluyen
visitas a sitios de malware y sitios de DNS dinmicos, visitas a dominios registrados recientemente
(en los 30 ltimos das), uso de aplicaciones desconocidas y la existencia de trfico de Internet
Relay Chat (IRC).
Despus de establecer una correlacin e identificacin de los hosts que coinciden con un
comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un
margen de confianza del 1 al 5 para indicar la probabilidad de infeccin del botnet (1 indica la
probabilidad de infeccin ms baja y 5 la probabilidad ms alta). Como los mecanismos de
deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre varios
logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista
de hosts ordenada basndose en un nivel de confianza.
Palo Alto Networks
Informes y logs 291
Configuracin del informe de Botnet

Supervisar > Botnet
Utilice estos ajustes para especificar tipos de trfico sospechoso (trfico que puede indicar
actividad de botnet). Para configurar los ajustes, haga clic en el botn Configuracin en el
lado derecho de la pgina Botnet.
Tabla 122. Ajustes de configuracin de Botnet

Campo
Descripcin
Trfico HTTP
Seleccione la casilla de verificacin Habilitar para los eventos que desea

incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios
que se estn comunicando con URL con software malintencionado
conocidas basndose en las categoras de filtrado de URL de software
malintencionado y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que
pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan
dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en
dominios que se han registrado en los ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos
ejecutables descargados desde URL desconocidas.
Aplicaciones
desconocidas
Seleccione las casillas de verificacin para marcar TCP desconocidos o

aplicaciones de UDP desconocidas como sospechosas y especifique las
Sesiones por hora: Nmero de sesiones de aplicacin por hora
asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la
aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga
Bytes mximos: Tamao mximo de carga.
IRC
292 Informes y logs
Seleccione la casilla de verificacin para incluir servidores IRC como

sospechosos.
Palo Alto Networks
Gestin de informes de Botnet

Supervisar configuracin de informes de > Botnet >
Puede especificar consultas de informes y luego generar y ver informes de anlisis de botnet. Los
informes estn basados en los ajustes de configuracin de botnet (consulteConfiguracin del
informe de Botnet en la pgina 292). Puede incluir o excluir direcciones IP de origen o destino,
usuarios, zonas, interfaces, regiones o pases.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar
informes a peticin haciendo clic en Ejecutar ahora en la ventana donde define las consultas de
informe. El informe generado aparece en la pgina Botnet.
Para gestionar informes de botnet, haga clic en el botn Ajuste de informe en el lado derecho de la
pgina Botnet.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Tabla 123. Configuracin de informe de Botnet

Campo
Descripcin
Perodo de ejecucin del

informe
Seleccione el intervalo de tiempo para el informe (ltimas 24 horas o

ltimo da del calendario).
# Filas
Especifique el nmero de filas en el informe.
Programado
Seleccione la casilla de verificacin para ejecutar el informe diariamente.

Si no se selecciona la casilla de verificacin, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la
ventana Informe de Botnet.
Consulta
Cree la consulta de informe especificando lo siguiente y luego haga clic en

Aadir para agregar la expresin configurada a la consulta. Repita las
veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o
destino.
Operador: Especifique el operador para relacionar el atributo con un
valor.
Valor: Especifique el valor para coincidir.
Negar
Palo Alto Networks
Seleccione la casilla de verificacin para aplicar la negacin a la consulta

especificada, lo que significa que el informe contendr toda la
informacin que no sea resultado de la consulta definida.
Informes y logs 293
Gestin de informes de resumen en PDF

Supervisar> informes en PDF > Gestionar resumen de PDF
Los informes de resumen en PDF contienen informacin recopilada de informes existentes,
basndose en los 5 principales de cada categora (en vez de los 50 principales). Tambin
pueden contener grficos de tendencias que no estn disponibles en otros informes.
Ilustracin 30. Informe de resumen en PDF
294 Informes y logs
Palo Alto Networks
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Ilustracin 31. Gestin de informes en PDF

Utilice una o ms de estas opciones para disear el informe:
Para eliminar un elemento del informe, haga clic en el icono

en la esquina superior
derecha del cuadro de icono del elemento o elimine la casilla de verificacin del elemento
en el cuadro de lista desplegable correcto junto a la parte superior de la pgina.
Seleccione elementos adicionales seleccionndolos de los cuadros de la lista desplegable

junto a la parte superior de la pgina.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Nota: Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo de
informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Palo Alto Networks
Informes y logs 295
Gestin de informes de actividad del usuario
Gestin de informes de actividad del usuario

Supervisar > Informes en PDF > Informe de actividad del usuario
Utilice esta pgina para crear informes que resumen la actividad de usuarios individuales.
Haga clic en Nuevo y especifique la siguiente informacin.
Tabla 124. Configuracin del informe de actividad del usuario

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).

bajos.
Usuario
Introduzca el nombre de usuario o direccin IP (IPv4 o IPv6) del usuario

que ser el asunto del informe.
Perodo de tiempo
Seleccione el perodo de tiempo para el informe en la lista desplegable.
Para ejecutar el informe a peticin, seleccione el informe y haga clic en Editar y luego haga clic
en Ejecutar.
Gestin de grupos de informes

Supervisar > Informes en PDF > Grupos de informes
Los grupos de informes le permiten crear conjuntos de informes que un sistema puede
recopilar y enviar como un informe agregado en PDF nico con una pgina de ttulo opcional
y todos los informes constituyentes incluidos.
Tabla 125.
Configuracin de grupo de informes
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el grupo de informe (de hasta

guiones bajos.
Pgina de ttulo
Seleccione la casilla de verificacin para incluir una pgina de ttulo en el

informe.
Ttulo
Introduzca el nombre que aparecer como el ttulo del informe.
296 Informes y logs
Palo Alto Networks
Programacin de informes para entrega de correos electrnicos
Tabla 125.
Configuracin de grupo de informes (Continuacin)
Campo
Descripcin
Seleccin del informe
Seleccione informes de la columna izquierda y haga clic en Aadir para

mover cada informe al grupo de informes en la derecha. Puede seleccionar
tipos de informe Predefinidos, Personalizados, De resumen en PDF y Vista
de log.
El informe Vista de log es un tipo de informe que se crea automticamente
cada vez que crea un informe personalizado y utiliza el mismo nombre que
el informe personalizado. Este informe mostrar los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de informes,
agregue su informe personalizado a la lista Informes personalizados y
luego agregue el informe de vista de log seleccionando el nombre del
informe coincidente de la lista Vista de log. Cuando reciba el informe, ver
sus datos del informe personalizado seguidos por los datos de log que se
han utilizado para crear el informe personalizado.
Para utilizar el grupo de informes, consulte Programacin de informes para entrega de

correos electrnicos en la seccin siguiente.
Programacin de informes para entrega de correos

electrnicos
Supervisar > Informes en PDF > Programador de correo electrnico
Utilice el programador de correo electrnico para programar informes para la entrega de
correo electrnico. Antes de agregar un programa, debe definir grupos de informe y un perfil
de correo electrnico. Consulte Gestin de grupos de informes en la pgina 296 y
Configuracin de ajustes de notificaciones por correo electrnico en la pgina 92.
Los informes programados comienzan a ejecutarse a las 2:00 AM y el reenvo de correo
electrnico se produce despus de que finalice la ejecucin de todos los informes
programados.
Tabla 126. Configuracin del programador de correo electrnico

Campo
Descripcin
Nombre
Permite introducir un nombre para identificar el programa (de hasta

guiones bajos.
Grupo de informes
Seleccione el grupo de informes (consulte Gestin de grupos de informes

en la pgina 296).
Periodicidad
Seleccione la frecuencia con la que generar y enviar el informe.
Palo Alto Networks
Informes y logs 297
Visualizacin de informes
Tabla 126. Configuracin del programador de correo electrnico (Continuacin)

Campo
Descripcin
Perfil de correo
electrnico
Seleccione el perfil que define los ajustes de correo electrnico. Consulte

servidor Syslog seleccionando la pestaa Formato de log personalizado en
Dispositivo > Perfiles de servidor > Syslog. Haga clic en el tipo de log
deseado (Configuracin, Sistema, Amenaza, Trfico o Coincidencias HIP)
y, a continuacin, haga clic en los campos que desee ver en los logs. Las
tablas siguientes muestran el significado de cada campo para cada tipo de
log.. en la pgina 85 para obtener ms informacin sobre cmo definir
perfiles de correo electrnico.
Cancelar correos
electrnicos del
destinatario
Introduzca una direccin de correo electrnico opcional para utilizar en

lugar del destinatario especificado en el perfil de correo electrnico.
Visualizacin de informes
Supervisar > informes
El cortafuegos proporciona varios informes 50 principal de las estadsticas de trfico del da
anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior. Para
ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de informe
en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF. Los
archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte superior de
la ventana para imprimir o guardar el archivo.
298 Informes y logs
Palo Alto Networks
Generacin de informes personalizados

Supervisar > Gestionar informes personalizados
Puede crear informes personalizados basados opcionalmente en plantillas de informe
existentes. Los informes se pueden ejecutar a peticin o programar para su ejecucin cada
noche. Para ver informes definidos previamente, seleccione Informes en el men lateral.
Haga clic en Aadir para crear un nuevo informe personalizado. Para basar un informe en
una plantilla existente, haga clic en Cargar plantilla y seleccione la plantilla.
Especifique los siguientes ajustes para definir el informe.
Tabla 127. Configuracin de informes personalizados

Campo
Nombre
Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
guiones bajos.
Base de datos
Seleccione la base de datos para utilizar como el origen de datos para el

informe.
Perodo de tiempo
Seleccione un perodo de tiempo fijo o seleccione Personalizado y

especifique un intervalo de fecha y hora.
Ordenar por
cantidad de informacin para incluir en el informe. Las opciones
Seleccione opciones de orden para organizar el informe, incluyendo la

disponibles dependen de la eleccin de la base de datos.
Seleccione opciones de orden para organizar el informe, incluyendo la
Agrupar por
cantidad de informacin para incluir en el informe. Las opciones

disponibles dependen de la eleccin de la base de datos.
Programado
Seleccione la casilla de verificacin para ejecutar el informe cada noche.

Los informes luego estarn disponibles seleccionando Informes en el
men lateral.
Columnas
Seleccione columnas para incluir en el informe desde la columna

Disponible y utilice las flechas hacia la derecha para moverlas a la
columna Seleccionadas. Utilice las flechas hacia arriba y hacia abajo para
volver a ordenar las columnas seleccionadas y utilice las flechas hacia la
izquierda para eliminar las columnas seleccionadas anteriormente.
Palo Alto Networks
Informes y logs 299
Tabla 127. Configuracin de informes personalizados (Continuacin)

Campo
Descripcin
Consulta y Generador de
consultas
Para crear una consulta de informe, especifique lo siguiente y haga clic en

Aadir. Repita las veces que sean necesarias para crear la consulta
completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que
est agregando.
Atributo: Seleccione un elemento de datos. Las opciones disponibles
dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo
(como =). Las opciones disponibles dependen de la eleccin de la base
de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de
trfico) muestra una consulta que coincide si se ha recibido la entrada de
log de trfico en las ltimas 24 horas de la zona no fiable.
Negar
300 Informes y logs
Seleccione la casilla de verificacin para interpretar la consulta como una

negativa. En el ejemplo anterior, la opcin negar causa una coincidencia
en entradas que no se han producido en las ltimas 24 horas ni de la zona
no fiable.
Palo Alto Networks
Identificacin de aplicaciones desconocidas y toma de medidas
Identificacin de aplicaciones desconocidas y toma de

medidas
Existen varias formas de ver aplicaciones desconocidas utilizando la interfaz web de los
dispositivos de Palo Alto Networks:
Centro de comando de aplicacin (ACC): Las aplicaciones desconocidas se ordenan junto

con otras aplicaciones en el ACC. Haga clic en un enlace de una aplicacin desconocida
para ver los detalles de la aplicacin, incluyendo orgenes y destinos principales. Para los
orgenes principales, haga clic en
enlace para buscar el propietario de la direccin.
Enlace para buscar el propietario de la direccin
Ilustracin 32. Aplicaciones desconocidas en la lista de ACC
Palo Alto Networks
Informes y logs 301
Identificacin de aplicaciones desconocidas y toma de medidas
Informes de aplicaciones desconocidas: Los informes de aplicaciones desconocidas se

ejecutan de forma automtica diariamente y se almacenan en la seccin Informes de la
pestaa Supervisar. Estos informes pueden proporcionar informacin til para ayudar a
identificar aplicaciones desconocidas.
Logs de trfico detallados: Puede utilizar los logs de trfico detallados para localizar
aplicaciones desconocidas. Si se activa los logs para la sesin de inicio y finalizacin, el
log de trfico proporcionar informacin especfica acerca del inicio y la finalizacin de
una sesin desconocida. Utilice la opcin de filtro para restringir la visualizacin de
entradas que coinciden tcp desconocido, como aparece en la siguiente ilustracin.
Ilustracin 33. Aplicaciones desconocidas en Logs de trfico
Toma de medidas
Puede llevar a cabo las siguientes acciones para tratar aplicaciones desconocidas:
Utilice la definicin de aplicaciones personalizadas con la cancelacin de aplicacin

(consulte Definicin de aplicacin personalizada con cancelacin de aplicacin en la
pgina 222).
Utilice aplicaciones personalizadas con firmas (consulte Aplicaciones personalizadas

con firmas en la pgina 255).
Solicite un ID de aplicacin de Palo Alto Networks (consulte Solicitud de un ID de

aplicacin de Palo Alto Networks en la seccin siguiente).
Las polticas se pueden tambin establecer para controlar aplicaciones desconocidas por TCP
desconocido, UDP desconocido o por una combinacin de zona de origen, zona de destino y
direcciones IP. Consulte Polticas de cancelacin de aplicacin en la pgina 221.
Nota: Puede utilizar firmas personalizadas en definiciones de ID de aplicaciones.
302 Informes y logs
Palo Alto Networks
Realizacin de capturas de paquetes
Solicitud de un ID de aplicacin de Palo Alto Networks

Si es necesario identificar una aplicacin utilizando contenidos de aplicacin en lugar de
puerto, protocolo y direccin IP, puede enviar la aplicacin a Palo Alto Networks para su
clasificacin. Esto es importante para aplicaciones que se ejecutan en Internet y para las que
no funciona la aplicacin personalizada. Puede enviar la aplicacin a Palo Alto Networks en
alguna de las siguientes formas:
Si la aplicacin es de acceso inmediato en Internet (por ejemplo, una aplicacin de

mensajera instantnea), enve el nombre de la aplicacin y la URL a su equipo de cuenta
o a este sitio web: http://www.paloaltonetworks.com/researchcenter/tools.
Si la aplicacin no es fcilmente accesible (por ejemplo, una aplicacin de gestin de

relaciones del cliente), debe enviar una captura de paquetes (PCAP) de la aplicacin de
ejecucin utilizando la funcin de captura de paquete de sesin creada en el cortafuegos.
Para obtener asistencia, pngase en contacto con el servicio tcnico en
support@paloaltonetworks.com.
Otro trfico desconocido

El cortafuegos puede informar que una aplicacin sea desconocida en los logs, ACC o
informes por alguno de los siguientes motivos:
Incompleta: Se establece un protocolo, pero no se han enviado ningn paquete de datos

antes del tiempo de espera.
Datos insuficientes: Se establece un protocolo seguido por uno o ms paquetes de datos;

sin embargo, no se han intercambiado paquetes de datos para identificar la aplicacin.

Supervisar > Captura de paquetes
PAN-OS admite capturas de paquetes para la resolucin de problemas o la deteccin de
aplicaciones desconocidas. Puede definir filtros de modo que solo se capturen los paquetes
que coinciden con los filtros. Las capturas de paquetes se almacenan de forma local en el
dispositivo y estn disponibles para su descarga en su equipo local.
Para especificar opciones de captura y filtrado, especifique la informacin en la siguiente
tabla.
Para borrar todos los ajustes de captura y filtrado, haga clic en Borrar toda la configuracin.
Para seleccionar archivos de captura para descargar, haga clic en el nombre del archivo en la
lista de archivos de captura en el lado derecho de la pgina.
Palo Alto Networks
Informes y logs 303
Tabla 128. Configuracin de captura de paquetes

Campo
Descripcin
Filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo
filtro y especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip.: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP,
incluir todo el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el
filtro.
Filtrado
Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la
coincidencia
Haga clic para alternar la opcin activar o desactivar anterior a la

coincidencia.
La opcin anterior a la coincidencia se agrega para fines de resolucin de
problemas avanzada. Cuando un paquete introduce el puerto de entrada,
avanza a travs de varios pasos de procesamiento antes de analizar
coincidencias en contra de filtros preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de
filtrado. Eso puede ocurrir, por ejemplo, si falla una bsqueda de ruta.
Establezca la configuracin anterior a la coincidencia como Activada para
emular una coincidencia positiva de cada paquete entrando en el sistema.
Eso permite al cortafuegos capturar incluso los paquetes que no alcanzan
el proceso de filtrado. Si un paquete puede alcanzar la etapa de filtrado,
se procesar de acuerdo con la configuracin del filtro y se descartar si
no consigue cumplir los criterios de filtrado.
304 Informes y logs
Palo Alto Networks
Tabla 128. Configuracin de captura de paquetes (Continuacin)

Campo
Descripcin
Capturar archivos
Capturando
Haga clic para alternar activar o desactivar capturas de paquetes.
Configuracin de
captura
Etapa: Indique el punto en el que capturar el paquete:
Haga clic en Aadir y especifique la siguiente informacin:

desplegar: Cuando el procesamiento de paquetes encuentra un error
y el paquete no se puede desplegar.
cortafuegos: Cuando el paquete tiene una coincidencia de sesin o se
crea un primer paquete con una sesin correctamente
recibir: Cuando se recibe el paquete en el procesador de plano de
datos.
transmitir: Cuando se transmite el paquete en el procesador de plano
de datos.
Archivo: Especifica el nombre del archivo de captura. El nombre del
archivo debe comenzar por una letra y puede incluir letras, dgitos,
puntos, guiones bajos o guiones.
Recuento de paquetes: Especifica el nmero de paquetes despus del
que se detiene la captura.
Recuento de bytes: Especifica el nmero de bytes despus del que se
detiene la captura.
Palo Alto Networks
Informes y logs 305
306 Informes y logs
Palo Alto Networks
Captulo 7
Configuracin del cortafuegos para la

identificacin de usuarios
Este captulo describe cmo configurar el cortafuegos para identificar a los usuarios que
intenten acceder a la red.
Descripcin general de la identificacin de usuarios en la seccin siguiente
Agente de identificacin de usuarios en la pgina 310
Configuracin de Asignacin de usuario de PAN-OS en la pgina 319
Configuracin del agente de ID de usuarios en la pgina 324
Configuracin del agente de servicios de terminal en la pgina 330
Descripcin general de la identificacin de usuarios

La Identificacin de usuarios (ID de usuarios) es una funcin de los cortafuegos de Palo Alto
Networks que permite a los administradores configurar y aplicar polticas de cortafuegos
basadas en usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o adems
de estas.
El ID de usuario identifica el usuario en la red y las direcciones IP de los equipos en los que se
ha registrado el usuario para aplicar las polticas del cortafuegos con mayor eficacia. El ID de
usuario puede tambin recuperar informacin del usuario y del grupo de un directorio LDAP
conectado, permitiendo a los administradores configurar polticas basadas en grupos de
usuario que se traducirn luego en una lista de usuarios.
Cmo funciona la identificacin de usuarios

La funcionalidad proporcionada por el ID de usuario requiere la recopilacin de informacin
de la red y los servidores de directorio. Los elementos a continuacin estn involucrados en la
recopilacin de informacin:
Identificacin de usuarios en la red

El ID de usuario proporciona una variedad de mecanismos para identificar los usuarios
de la red y si informacin de sesin de inicio de sesin asociada (direcciones de red y
Palo Alto Networks
Configuracin del cortafuegos para la identificacin de usuarios 307
equipos). Algunos de los mecanismos requieren la instalacin de un agente de ID de

usuarios en servidores de red para proporcionar la experiencia de usuario ms
transparencia. Con PAN-OS 5.0 y superior, puede utilizar la funcin integrada Asignacin
de usuario de PAN-OS que realiza la misma funcin que el agente de ID de usuarios pero
no requiere una instalacin de agente.
Supervisin de log de evento

Cuando se autentica un usuario en el dominio de Active Directory (AD), un servidor de
Microsoft Windows o servidor de Microsoft Exchange, se produce un log de evento. Los
usuarios se pueden identificar en la red supervisando esos servidores para los eventos de
inicio de sesin correspondientes.
Supervisin de sesin de servidor

Otro mtodo consta de supervisar servidores continuamente en sesiones de red
establecidas por usuarios en la red. Cuando se autentica un usuario correctamente en un
servidor, la tabla de sesin del servidor proporciona el nombre de usuario y el origen de
red desde la cual est conectado el usuario.
Sondeo de cliente
En un entorno de Microsoft Windows, el sistema cliente puede proporcionar informacin
acerca de los usuarios registrados mediante Windows Management Instrumentation
(WMI) para servicios y usuarios autorizados. El sondeo de clientes de Microsoft Windows
a peticin proporciona informacin acerca de usuarios registrados en un equipo cliente.
API XML
Otros mtodos de identificacin no son directamente compatibles por opciones y
funciones del ID de usuario. En estos casos, una interfaz XML sobre SSL est disponible,
permitindo que las soluciones personalizadas registren usuarios vlidos y su direccin
de cliente correspondiente en la red con el ID de usuario.
Portal cautivo
Si el usuario no se puede identificar segn la informacin de inicio de sesin, una sesin
establecida o sondeo de cliente, el cortafuegos puede volver a dirigir cualquier solicitud
saliente de HTTP y volver a dirigir el usuario a un formato web. El formato web puede
autenticar el usuario de forma transparente mediante un desafo NTLM, que se evala y
se responde automticamente por el explorador web o mediante una pgina de inicio de
sesin explcita.
Equipos compartidos
Los equipos compartidos, como servidores de terminal de Microsoft, son problemticos
para la mayora de implementaciones porque un nmero de usuarios comparte el mismo
sistema y por lo tanto la misma direccin de red. En este caso, un Agente se puede instalar
en el servidor de terminal, que asociar luego no solo a la direccin de red, sino tambin a
los intervalos de puerto asignados a los usuarios registrados.
308 Configuracin del cortafuegos para la identificacin de usuarios
Palo Alto Networks
Identificacin de usuarios y grupos

La administracin de polticas basndose en usuarios individuales es difcil de manejar; por lo
tanto, los usuarios deben estar asociados y pertenecientes a grupos de usuarios. Cada entorno
empresarial almacena informacin de usuarios en un servicio de directorio, como Microsoft
Active Directory o Novell eDirectory. Todos estos servicios de directorio son accesibles a
travs de LDAP o LDAP sobre SSL (LDAPS).
Los servicios de directorio proporcionan la resolucin de nombres de usuario y los grupos de
usuarios asociados, lo que permite a los administradores de cortafuegos configurar polticas
de seguridad para grupos de usuarios ms que para usuarios individuales.
Cmo interactan los componentes del ID de usuario

El agente de ID de usuarios, PAN-OS y el agente de servicios de terminal interactan entre s
para proporcionar servicios de identificacin de usuarios completos.
Agente de ID de usuarios
Los agentes del ID de usuarios identifican el usuario en la red utilizando uno o todos los
mecanismos indicados anteriormente en este captulo.
Reunin de informacin de usuario e inicio de sesin

El agente de ID de usuarios se puede configurar para supervisar hasta 10 servidores de
Microsoft Windows para eventos de inicio de sesin de usuario. Cuando el Agente se
conecta por primera vez a un servidor, recupera una lista de los ltimos eventos de inicio
de sesin de un controlador de dominio. Durante operaciones normales, contina
recibiendo nueva informacin de evento. El agente de ID de usuarios proporciona la
informacin recopilada al cortafuegos para aplicar polticas basadas en usuarios y grupos.
Proporcin de direcciones de red y usuarios a dispositivos conectados

Para proporcionar informacin de direcciones de red y usuario, el cortafuegos establece
una conexin continua con el agente de ID de usuarios y recupera una lista de todos los
usuarios identificados en su primera conexin y cada hora. Durante cada hora, el
cortafuegos recupera cambios detectados por el Agente.
Identificacin de usuarios a peticin

Si el cortafuegos identifica una nueva direccin de red en el trfico de red en la que no
aparece ningn usuario, puede ponerse en contacto con el agente de ID de usuarios y
solicitarle identificar al usuario. Al realizar esto a travs de sondeos de WMI o NetBIOS
en la direccin de red especfica. Cuando el cliente identifica al usuario, se crea una nueva
asociacin de direccin de red y nombre de usuario y se proporciona al cortafuegos.
Asignacin de usuario de PAN-OS

La funcin Asignacin de usuario de PAN-OS realiza las mismas funciones que el agente de
ID de usuarios, pero no requiere una instalacin de agente en servidores de dominio. Esta
funcin se comunica directamente con servidores de Microsoft y servidores de Novell
eDirectory para comunicar el usuario a la IP y el usuario a la informacin de asignacin de
grupo. La exposicin de los usuarios individuales en un grupo de usuario se realiza tambin
en el cortafuegos. La bsqueda de LDAP y autenticacin de NTLM son tambin compatibles.
Consulte Pestaa Asignacin de usuario en la pgina 312 y Configuracin de Asignacin
de usuario de PAN-OS en la pgina 319.
Palo Alto Networks
Agente de identificacin de usuarios
Tambin puede configurar el cortafuegos para compartir la informacin de asignacin de

usuario con otros cortafuegos PAN-OS en su red. Esto es muy til si desea designar uno o ms
dispositivos para realizar funciones de asignacin de usuario y luego compartir esa
informacin con otros cortafuegos. Utilizando las listas de incluidos y excluidos, puede
tambin filtrar algunas redes del proceso de recopilacin. Consulte Configuracin de
Asignacin de usuario de PAN-OS en la pgina 319.
Agente de servicios de terminal

El Agente de servicios de terminal (agente de TS) resuelve el problema de varios usuarios
utilizando el mismo equipo al mismo tiempo, por ejemplo en un Servidor de terminal de
Microsoft. Una vez instalado en el servidor, asigna intervalos de puerto especficos a cada
usuario individual. Se establece cada conexin de usuario utilizando un puerto en el intervalo
de puerto asignado especficamente.
Cuando se asigna un intervalo de puerto a un usuario particular, el Agente de servicios de
terminal notifica el intervalo de puerto asignado a cada cortafuegos por lo que esa poltica se
puede aplicar basndose en usuarios y grupos de usuarios.
Consulta de grupo de PAN-OS LDAP

Adems de aplicar la poltica basndose en usuarios individuales, el cortafuegos tambin
puede configurarse para autorizar o bloquear el trfico para grupos de usuarios. La
exposicin de los usuarios individuales en un grupo de usuarios se realiza por el cortafuegos.
Para este fin, se deben configurar ajustes de asignacin de grupo y entrada de servidor LDAP.
La consulta de LDAP resultante recupera grupos de usuarios y la lista de miembros del grupo
correspondiente.
Esta operacin se realiza cada vez que se enva una nueva configuracin. Los cambios en la
pertenencia al grupo se detectan mediante las bsquedas especficas de LDAP que recuperan
solo los grupos y su lista de miembros que ha cambiado desde que se realiz la ltima
bsqueda.

El agente de identificacin de usuarios (agente de ID de usuarios) es una aplicacin de Palo
Alto Networks instalada en su red para obtener la informacin de asignacin necesaria entre
direcciones IP y usuarios de red. El agente de ID de usuarios recopila informacin de
asignacin de usuario a direccin de los logs de seguridad del controlador de dominios y la
proporciona al cortafuegos para su uso en logs y polticas de seguridad.
Consulte Asignacin de usuario de PAN-OS en la pgina 309, que realiza las mismas
funciones que el agente de ID de usuarios, pero no requiere la instalacin de un agente en los
servidores de dominio.
La asignacin de la direccin IP al nombre de usuario se basa en los siguientes mecanismos:
Para Active Directory, los logs de seguridad se supervisan continuamente en el

controlador de dominio para detectar eventos de inicio de sesin del usuario que
contienen informacin de la direccin IP y del usuario.
Para Active Directory, se requiere una conexin directa a todos los controladores de
dominio para supervisar la actividad de sesin del usuario y determinar las direcciones IP
del usuario.
Palo Alto Networks
Para eDirectory, cuando un usuario inicia sesin, la informacin de la direccin IP se

almacena en eDirectory y se recupera por el Agente de ID del usuario.
Se sondea el equipo host para comprobar la informacin de usuario y direccin IP

utilizando Windows Management Instrumentation (WMI) o Network Basic Input/
Output System (NetBIOS). Eso se produce cada 20 minutos para comprobar que la
asignacin de direccin IP al nombre de usuario es an correcta y tambin cuando se
percata de que una direccin IP no tiene un nombre de usuario asociado.
La interfaz de programacin de aplicaciones del Agente de ID del usuario se utiliza para

enviar informacin de direcciones IP de usuario al agente de ID de usuarios.
La asignacin de grupo de usuarios se realiza mediante consultas de LDAP en servidores

de directorio. El cortafuegos realiza consultas de LDAP directamente, pero puede utilizar
un agente de ID de usuarios configurado como proxy LDAP en casos donde se aconseja el
almacenamiento en cach o cuando se puede acceder directamente desde el cortafuegos al
servidor de directorio.
Nota: La asignacin de identificacin de usuarios requiere que el
cortafuegos obtenga la direccin IP de origen del usuario antes de traducir
la direccin IP con NAT. Si aparecen varios usuarios con las misma
direccin de origen, debido a NAT o al uso de un dispositivo proxy, no se
puede realizar una identificacin precisa del usuario.
Adems de los agentes de ID de usuarios, el cortafuegos es compatible con un Agente de

servicios de terminal (agente de TS) que permite al cortafuegos identificar usuarios
individuales compatibles con el mismo servidor de terminal. El cortafuegos es tambin
compatible con portales cautivos en los que el agente de ID de usuarios no puede asociar un
usuario con una direccin IP.
Consulte las siguientes secciones para obtener ms informacin:
Portales cautivos en la seccin siguiente
Configuracin del cortafuegos para la identificacin de usuarios en la pgina 312
Configuracin del agente de ID de usuarios en la pgina 324
Configuracin del agente de servicios de terminal en la pgina 330
Portales cautivos
Si el agente de ID de usuarios no puede asociar un usuario con una direccin IP, un portal
cautivo puede tomar las riendas y autenticar el usuario con un formato web o un desafo NT
LAN Manager (NTLM).
Para recibir el formato web, los usuarios deben utilizar un explorador web y encontrarse en el
proceso de conexin. Encima de realizar una autenticacin correcta, los usuarios se dirigen
automticamente al sitio web solicitado inicialmente. El cortafuegos puede ahora ejecutar
polticas basadas en la informacin del usuario para cualquier aplicacin pasando a travs del
cortafuegos, no solo para aplicaciones que utilizan un explorador web.
Se aplican las siguientes reglas para portales cautivos:
Las reglas del portal cautivo funciona para el trfico web HTTP y HTTPS.
Si la accin para la regla es formato web, se presenta un formato web al usuario para
solicitar una contrasea.
Palo Alto Networks
Si la regla es NTLM y el explorador es Internet Explorer o Firefox, el cortafuegos realiza

un desafo de autenticacin NTLM (transparente para el usuario). Si se utiliza otro
explorador, se presenta el formato web.
Si no se aplican las reglas del portal cautivo mencionado anteriormente porque el trfico no es
HTTP o no existen coincidencias de regla, el cortafuegos aplica sus polticas de seguridad
basadas en IP (ay no las polticas de seguridad basadas en el usuario).
Configuracin del cortafuegos para la identificacin de usuarios

Identificacin de usuarios > del dispositivo
Utilice la configuracin en esta pgina para configurar el cortafuegos para la identificacin de
usuarios.
Pestaa Asignacin de usuario: Especifique ajustes para utilizar la funcin Asignacin

de usuario PAN-OS para proporcionar asignaciones precisas entre direcciones IP y
usuarios registrados as como la asignacin de pertenencia del usuario al grupo. Esta
opcin realiza las mismas funciones que el agente de ID de usuarios directamente desde
el cortafuegos, por lo que no se requieren agentes en los controladores de dominio.
Pestaa Agentes de ID de usuarios: Especifique ajustes para autorizar el agente de

identificacin de usuarios que proporciona asignaciones precisas entre direcciones IP y
usuarios registrados.
Pestaa Servicios de terminal: Especifique ajustes para admitir el agente de servicios de

terminal. Consulte Configuracin del agente de servicios de terminal en la pgina 330.
Pestaa Configuracin de asignacin de grupos: Especifique ajustes para permitir

asignaciones que asocian usuarios con grupos de usuarios. La asignacin de grupo de
usuarios se realiza por el cortafuegos.
Pestaa Portal cautivo: Especifique ajustes para admitir el uso de un portal cautivo para
la identificacin de usuarios. Consulte Portales cautivos en la pgina 311.
Tabla 129. Configuracin del agente de ID de usuarios

Campo
Descripcin
Pestaa Asignacin
de usuario
Pestaa Autenticacin
de WMI
Nombre de usuario: Especifique la cuenta de nombre de usuario/

dominio que cuenta con permisos para realizar consultas de WMI en
equipos cliente.
Contrasea/Confirmar contrasea: Especifique la contrasea de la
cuenta.
Palo Alto Networks
Tabla 129. Configuracin del agente de ID de usuarios (Continuacin)

Campo
Descripcin
Pestaa Supervisor del

servidor
Habilitar log de seguridad: Seleccione la casilla de verificacin para

habilitar la supervisin de logs de seguridad en servidores Windows. Los
logs de seguridad se consultarn para ubicar el usuario en la informacin
de asignacin de IP en los servidores especificados en la lista Supervisin
de servidor.
Frecuencia del supervisor de log del servidor (seg.): Especifique con qu
frecuencia consultar el cortafuegos servidores de Windows del usuario
para obtener informacin de asignacin de IP (valor predeterminado 1
segundo, intervalo 1-3600 segundos).
Habilitar sesin: Seleccione la casilla de verificacin para habilitar la
supervisin de sesiones del usuario en los servidores especificados en la
lista Supervisin de servidor. Cada vez que un usuario se conecta a un
servidor, se crea una sesin y esta informacin se puede utilizar tambin
para identificar la direccin IP del usuario.
Frecuencia de lectura de sesin o del servidor (seg.): Especifique con qu
frecuencia consultar el cortafuegos servidores de Windows del usuario
para obtener informacin de asignacin de IP (valor predeterminado
10 segundo, intervalo 1-3600 segundos).
Intervalo de consulta de eDirectory Novell (seg.): Especifique con qu
frecuencia consultar el cortafuegos servidores de eDirectory Novell del
usuario para obtener informacin de asignacin de IP (valor
predeterminado 1 segundo, intervalo 1-3600 segundos).
Pestaa Sondeo de
cliente
Habilitar sondeo: Seleccione esta casilla de verificacin para habilitar el

sondeo WMI/NetBIOS para cada PC cliente identificado por el proceso
de asignacin del usuario. El sondeo ayudar a garantizar que el mismo
usuario est an registrado en el PC cliente con el fin de proporcionar
informacin precisa de usuario a IP.
Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC
cliente (valor predeterminado 20 minutos, intervalo 1-1440 minutos).
En implementaciones de gran tamao, es importante establecer el
intervalo de sondeo correctamente para proporcionar tiempo para
sondear cada cliente identificado. Por ejemplo, si dispone de 6.000
usuarios y un intervalo de 10 minutos, puede necesitar 10 consultas WMI
por segundo de cada cliente.
Nota: Para que el sondeo de WMI funcione de forma eficaz, se debe

configurar el perfil Asignacin de usuario con una cuenta de
administrador de dominio, y cada PC cliente sondeado debe tener una
excepcin de administracin remota configurada en el cortafuegos de
Windows. Para que el sondeo de NetBIOS funcione de forma efectiva,
cada PC cliente sondeado debe proporcionar un puerto 139 en el
cortafuegos de Windows y debe tener los servicios de uso compartido de
archivos e impresoras activados.
Palo Alto Networks

Campo
Descripcin
Pestaa
Almacenamiento en
cach
Habilitar Tiempo de espera de la identificacin de usuarios: Seleccione

esta casilla de verificacin para activar un valor de tiempo de espera para
entradas de asignacin de usuario a IP. Cuando se alcanza el valor de
tiempo de espera, se borrar la asignacin de usuario a IP y se recopilar
una nueva asignacin. Eso garantizar que el cortafuegos tenga la
informacin ms actual de cmo deambulan los usuarios y obtener
nuevas direcciones IP.
Tiempo de espera de la identificacin de usuarios (min.): Establezca el
valor del tiempo de espera del usuario en las entradas de asignacin de IP
(valor predeterminado 45 minutos, intervalo 1440).
Pestaa NTLM
Habilitar procesamiento de autenticacin de NTLM: Seleccione esta

casilla de verificacin para habilitar el proceso de autenticacin de NT
LAN Manager (NTLM). Cuando se configura el Portal cautivo con un
formato web para capturar informacin de usuario a IP, se autenticar el
cliente de forma transparente a travs de un desafo de NTLM. Con esta
opcin habilitada, el cortafuegos recopilar esta informacin desde el
dominio NTLM.
Si el recopilador de ID de usuario de PAN-OS y el agente de ID de
usuarios estn instalados en controladores de dominio, las respuestas de
NTLM irn directamente al controlador de dominio. Cuando el
cortafuegos est configurado para compartir su informacin de ID de
usuario con otros cortafuegos, puede entregar consultas de NTLM
procedentes de otros cortafuegos de PAN-OS, realizando la funcin del
agente de ID de usuarios.
Dominio de NTLM: Introduzca el nombre de dominio de NTLM.
Nombre de usuario del administrador: Introduzca la cuenta del
administrador que tiene acceso al dominio de NTLM.
Contrasea/Confirmar contrasea: Introduzca la contrasea del
administrador que tiene acceso al dominio de NTLM.
Nota: No puede activar esta casilla de verificacin en ms de un sistema
virtual.
Pestaa Redistribucin
Nombre del recopilador: Especifique el nombre del recopilador si desea

que este cortafuegos acte como punto de redistribucin para la
asignacin de usuarios para cada cortafuegos en su red.
El nombre del recopilador y la clave compartida previamente se utilizan
cuando se configuran los agentes del ID de usuario en los cortafuegos que
arrastrarn la informacin de asignacin del usuario.
Para permitir a un cortafuegos actuar como un punto de redistribucin,
necesita tambin activar
Servicio de ID de usuario en Red > Perfiles de red > Gestin de
interfaz.
Clave preconvertida/Confirmar clave precompartida: Introduzca la
clave precompartida utilizada por otros cortafuegos para establecer una
conexin segura para transferencias de asignacin de usuarios.
Palo Alto Networks

Campo
Descripcin
Supervisin de servidor
Haga clic en Aadir para configurar los servidores del dominio con los
que se pondr en contacto el cortafuegos para comunicar la asignacin de
IP del usuario y agrupar informacin de asignacin.
Nombre: Introduzca la direccin de red del servidor de dominio.
Direccin de red: Introduzca la direccin de red del servidor de dominio.
Tipo: Seleccione el tipo de servidor de dominio (Microsoft Active
Directory, Microsoft Exchange o Novell eDirectory).
Habilitar: Seleccione la casilla de comprobacin para habilitar el perfil del
servidor de dominio.
Descubrir: Haga clic en esta opcin para descubrir servidores de
Microsoft Active Directory mediante DNS. A continuacin, puede
seleccionar la casilla de verificacin junto a los servidores que desea
utilizar para obtener informacin de asignacin de usuarios.
El cortafuegos descubrir controladores de dominio basados en el nombre
de dominio introducidos en la pestaa Dispositivo > Configuracin >
Gestin pgina > Configuracin general campo Dominio.
Incluir/Excluir redes
Nombre: Introduzca un nombre para identificar el perfil que incluir o

excluir una red para fines de descubrimiento. Esta opcin le permite
incluir o excluir un intervalo de red de usuario para la asignacin de IP.
Por ejemplo, si excluye 10.1.1.0/24, no se agregarn los usuarios con ese
intervalo de IP al usuario en la base de datos de asignacin de IP. Esto, a
su vez incluir o excluir intervalos para asignaciones enviadas a otros
cortafuegos de PAN-OS.
Habilitada: Seleccione esta opcin para habilitar el perfil incluir/excluir.
Descubrimiento: Seleccione la opcin para Incluir o Excluir el intervalo
de red definido.
Direccin de red: Introduzca un intervalo de red que le gustara incluir o
excluir para el usuario en el descubrimiento de asignacin de IP. Por
ejemplo, 10.1.1.0/24.
Pestaa Agentes de
ID de usuarios
Nombre
Introduzca un nombre para identificar al agente de ID de usuarios (hasta

Sistema virtual
Seleccione el sistema virtual de la lista desplegable (si es compatible con

el modelo del cortafuegos).
Direccin IP
Introduzca la direccin IP del PC de Windows en el que est instalado el

Puerto
Introduzca el nmero de puerto en el que est configurado el Agente de

ID de servicio en el host remoto.
Si utiliza un cortafuegos de PAN-OS como punto de redistribucin para
la informacin de asignacin del usuario y configura el agente de ID de
usuarios para conectar a ese dispositivo, debe utilizar el puerto 5007.
Nombre del recopilador
Palo Alto Networks
Introduzca el nombre del recopilador desde el que se arrastrar el agente

de ID de usuarios para obtener informacin de asignacin del usuario.
Consulte Pestaa Asignacin de usuario en la pgina 312.

Campo
Descripcin
Clave precompartida del

recopilador/Confirmar
clave precompartida del
recopilador
Introduzca la clave precompartida que se utilizar para autorizar la

conectividad de SSL entre el agente de ID de usuarios y el cortafuegos
que acta como un punto de distribucin para la asignacin de usuarios.
Utilizar como Proxy

LDAP
Seleccione la casilla de verificacin si se utiliza el agente de ID de usuarios

como un proxy de LDAP en lugar de conectar el cortafuegos directamente
al servicio de directorio.
Utilizar para
autenticacin NTLM
Seleccione la casilla de verificacin para utilizar el agente de ID de

usuarios configurado para comprobar la autenticacin de cliente de
NTLM desde el portal cautivo con el dominio de Active Directory.
Habilitado
Seleccione la casilla de verificacin para activar el agente de identificacin

de usuarios.
Actualizar conectados
Haga clic para actualizar el estado de la conexin de los perfiles del

Agente de ID del usuario. Este botn est ubicado a la derecha de los
botones Aadir y Eliminar.
Secuencia de agente
personalizada
Esta opcin le permite definir el orden de secuencia en el que se

conectarn los perfiles del agente de ID de usuarios al servidor definido.
Por ejemplo, Si cuenta con cuatro agentes identificados en la lista de
secuencia, intentar conectarse al primer agente enumerado; si esa
conexin falla, se conectar al siguiente agente en la lista y as
sucesivamente. Si esta opcin no est configurada, la secuencia de
conexin seguir el orden de los agentes que aparecen en la pgina
principal.
Pestaa Agente de
servicios de terminal
Nombre
Introduzca un nombre para identificar el agente de TS (de hasta

Sistema virtual

Host
Introduzca la direccin IP del PC de Windows en el que se instalar el

agente de TS. Tambin puede especificar direcciones IP alternativas
(consulte la ltima entrada en esta tabla).
Puerto
Introduzca el nmero de puerto en el que est configurado el Agente de

ID de servicio en el host remoto.
Direcciones IP
alternativas
Introduzca direcciones IP adicionales, si el servidor cuenta con varias

direcciones IP que pueden aparecer como la direccin IP de origen para el
trfico saliente.
Palo Alto Networks

Campo
Descripcin
Pestaa
Configuracin de
asignacin de grupos
Nombre
Introduzca un nombre para identificar la asignacin del usuario al grupo

para la identificacin de usuarios (hasta 31 caracteres). El nombre hace
Sistema virtual

Pestaa secundaria
Perfil de servidor

Seleccione un perfil de servidor LDAP de la lista desplegable y
especifique el intervalo (segundos) despus del que se actualizar la
configuracin con cualquier informacin nueva del perfil de servidor.
Objetos de grupo
Filtro de bsqueda: Especifique una consulta LDAP que se puede
utilizar para controlar qu grupos se recuperan y siguen.
Clase de objeto: Especifique la definicin de un grupo. Por ejemplo,
el valor predeterminado es objectClass=group, lo que significa que el
sistema recupera todos los objetos en el directorio que coinciden con
el filtro de grupo y cuentan con objectClass=group.
Nombre de grupo: Introduzca el atributo que especifica el nombre
del grupo. Por ejemplo, en Active Directory, este atributo es CN
(Nombre comn).
Miembro del grupo: Especifique el atributo que contiene los
miembros de este grupo. Por ejemplo, en Active Directory, este
atributo es miembro.
Objetos de usuario
Filtro de bsqueda: Especifique una consulta LDAP que se puede
utilizar para controlar qu usuarios se recuperan y siguen.
Clase de objeto: Especifique la definicin de un objeto de usuario.
Por ejemplo, en Active Directory, el objectClass es usuario.
Nombre de usuario: Especifique el atributo para el nombre de
usuario. Por ejemplo, en Active Directory, este atributo es
samAccountName.
Lista de inclusin de
grupos
Ubicar grupos en la lista Grupos disponibles. Haga clic en el icono

para agregar los grupos a la lista Incluido y haga clic en el icono
para
eliminar grupos de la lista.
Pestaa
Configuracin de
portal cautivo
Habilitar portal cautivo
Seleccionar activar la opcin de portal cautivo para la autenticacin.
Ubicacin

Temporizador de
inactividad
Introduzca el perodo de tiempo despus del que vence la pgina del

portal cautivo.
(1-1440 minutos, valor predeterminado 15 minutos).
Palo Alto Networks

Campo
Descripcin
Vencimiento
Especifique el intervalo de tiempo de espera (intervalo 1-1440, valor

predeterminado 60 minutos).
Redirigir host
Especifique el nombre de host utilizado para el redireccionamiento de

HTTP utilizado para iniciar el desafo de NTLM enviado al cliente.
Certificado de servidor
Seleccione el certificado de HTTP SSL utilizado para el portal cautivo.
Certificado
Seleccione el perfil de certificado a utilizar para la autenticacin de

cliente.
Seleccione el perfil para determinar el origen de la autenticacin para

inicios de sesin del portal cautivo.
Autenticacin de NTLM
Para la autenticacin de NTLM, especifique lo siguiente:

Intentos: Especifique le nmero de intentos posibles antes de que falle
la autenticacin de NTLM.
Tiempo de espera: Especifique le nmero de segundos antes de que
finalice el tiempo de espera para la autenticacin de NTLM.
Tiempo de revisin: Especifique el tiempo despus del que el
cortafuegos vuelva a intentar ponerse en contacto con el primer agente
en la lista de los agentes de ID de usuarios cuando el agente deje de
estar disponible.
Nota: Estas opciones solo se aplican al agente de ID de usuarios

instalado en los servidores de dominio y no se aplica a la funcin
de ID de usuario de PAN-OS configurada en la pestaa
Asignacin de usuarios en la pgina Identificacin de usuarios.
Modo
Seleccione si el portal cautivo utilizar un redireccionamiento o ser

transparente para el usuario.
El redireccionamiento es necesario para la retencin de la cookie de sesin
o NTLM. Con la opcin de redireccionamiento, el cortafuegos puede
establecer una cookie para consultas de inicio de sesin futuras. El
redireccionamiento futuro se vuelve transparente para el usuario si el
explorador permanece abierto.
Para cookies de sesin, especifique los siguientes ajustes:
Habilitar: Seleccione la casilla de verificacin para configurar un
intervalo despus de vencer el redireccionamiento.
Tiempo de espera: Si se selecciona Habilitar, especifique el intervalo de
tiempo de espera (intervalo 60 a 10080 minutos, valor predeterminado
1440 minutos).
Movilidad: Seleccione la casilla de verificacin para mantener la cookie
si la direccin IP cambia mientras el explorador est abierto (por
ejemplo, si el cliente cambia de una red con cable a una red
inalmbrica). La cookie se pierde cuando se cierra el explorador, se
seleccione o no Movilidad.
Nota: Para utilizar el portal cautivo en modo de

redireccionamiento, debe habilitar pginas de respuesta en el
perfil de gestin de la interfaz asignado a la interfaz Capa 3 a la
que est redirigiendo el portal cautivo. Consulte Definicin de
perfiles de gestin de interfaz en la pgina 191 y Configuracin
de interfaces de capa 3 en la pgina 138.
Palo Alto Networks
Configuracin de Asignacin de usuario de PAN-OS

Esta seccin describe los pasos bsicos necesarios para configurar un cortafuegos con el fin de
recuperar datos de asignacin de usuario a IP directamente desde servidores de dominio. Esta
funcin no requiere la instalacin de un agente de ID de usuarios en los servidores de
dominio. El cortafuegos tambin puede configurarse para redistribuir la informacin de
asignacin del usuario a otros cortafuegos.
Consulte las siguientes secciones:
Configuracin de Asignacin de usuario de PAN-OS en la seccin siguiente
Configuracin de un cortafuegos para compartir datos de asignacin de usuario en la

pgina 322

Esta seccin describe la informacin de configuracin necesaria para comunicar el usuario con
los datos de asignacin de grupos e IP para la identificacin de usuarios.
En este ejemplo, no es necesario instalar un cliente de agente de ID de usuarios en el
controlador de dominio. Los siguientes componentes se deben configurar:
Cuenta de dominio: Una cuenta de dominio es necesaria para consultar Controladores de

dominio de Microsoft Active para obtener informacin de usuario de logs de seguridad y
realizar consultas de LDAP.
Agente de ID de usuarios: Segn PAN-OS 5.0, puede configurar el agente de ID de

usuarios utilizando la pestaa Asignacin de usuario , que se utiliza para configurar la
versin nativa del agente.
En entornos de gran tamao donde la realizacin de la exposicin de la asignacin de
usuario podra comenzar a provocar problemas de rendimiento en el cortafuegos, es
posible que desee utilizar el agente instalado en controladores de dominio configurados
en la pestaa Agentes de ID de usuarios. Para obtener informacin acerca de la
instalacin de este agente, consulte Configuracin del agente de ID de usuarios en la
pgina 324.
Perfil de servidor LDAP: Este perfil se utiliza para definir la informacin del servidor de
controlador de dominio que utilizar el cortafuegos para realizar consultas para reunir
informacin de asignacin de grupo y usuario.
Asignacin de grupo: Esta configuracin permite al cortafuegos asociar usuarios a

grupos de usuarios, lo que le permite crear polticas basadas en grupos de directorio. El
Perfil de servidor LDAP se utiliza en la configuracin de Asignacin de grupo para
definir los servidores que se solicitarn.
Polticas: Necesitar configurar los perfiles de seguridad adecuados para que el

cortafuegos pueda comunicarse con los servidores de directorio definidos.
Esto perfila los pasos bsicos a seguir para configurar la Asignacin de usuario de PAN-OS:
1.
Obtener una contrasea y una cuenta de inicio de sesin que cuenta con permisos para los
servidores y los host que utilizar para recuperar informacin de la asignacin de usuario. Los
permisos necesarios estn basados en los mtodos que habilitar para reunir la informacin
de asignacin de usuario, que puede ser de servidores de Microsoft Active Directory,
Palo Alto Networks
servidores de Microsoft Exchange, servidores de archivos de Microsoft, Novell eDirectory o

utilizando WMI para acceder a los PC cliente.
Nota: En dominios de Windows 2008 o posteriores, puede agregar una
cuenta al grupo Lectores de log de evento para acceder a logs de eventos
y obtener informacin de asignacin de usuario a IP de los logs de eventos.
En dominios de Windows 2003, se deben asignar permisos Gestionar logs
de seguridad y auditora a la cuenta a travs de polticas de grupo.
Tambin puede agregar la cuenta a Operadores de servidor para obtener
permisos para ver sesiones de servidor abiertas actualmente y obtener
informacin de asignacin de usuario a IP para dominios de Windows 2003
y 2008.
Para las consultas de grupo de LDAP para identificar asignaciones de
usuario a grupo, no se requiere ninguna pertenencia especial, la mayora de
cuentas pueden obtener pertenencia al grupo en Active Directory.
WMI es fiable y protegido por la autenticacin basada en NTLM o
Kerberos. Para realizar consultas de WMI, se requiere una cuenta con
permisos para leer CIMV2 namespace en el sistema cliente. De forma
predeterminada, los administradores de dominio cuentan con esos
permisos.
2.
Desplcese hasta Dispositivo > Identificacin de usuarios y haga clic en la pestaa

Asignacin de usuario.
3.
Haga clic en el icono Editar en el lado superior derecho de la ventana Configuracin del
gente de ID de usuario de Palo Alto Networks. En esta pgina, defina los ajustes que se
utilizarn al recopilar informacin de asignacin de usuario a IP en los servidores
definidos en la lista Supervisin de servidor. Cumplimente cada pestaa basada en sus
requisitos. Consulte Pestaa Asignacin de usuario en la pgina 312 para obtener
descripciones de cada uno de los ajustes de asignacin de usuario. La pestaa
Redistribucin solo se utiliza si piensa utilizar este cortafuegos para distribuir
informacin de asignacin de usuario a otros dispositivos.
4.
Haga clic en ACEPTAR para guardar la configuracin.
5.
En la seccin Supervisin de servidor, haga clic en Aadir para agregar servidores de

dominio a los que acceder para reunir informacin del usuario. Introduzca el nombre, la
direccin de red y el tipo del servidor (Microsoft Active Directory, Microsoft Exchange o
Novel eDirectory).
Tambin puede hacer clic en el icono Descubrir para descubrir controladores de dominio
utilizando bsquedas DNS. El cortafuegos descubrir controladores de dominio basados
en el nombre de dominio introducido en le pgina Dispositivo > Configuracin >
Gestin > Configuracin general.
6.
Seleccione la casilla de verificacin junto a cada servidor de dominio que supervisar.
Palo Alto Networks
7.
Para especificar redes que se incluirn o excluirn en los datos de asignacin del usuario,
haga clic en el icono Aadir en la seccin Incluir/Excluir y defina las redes que desea
filtrar. Eso le permitir enviar datos de asignacin de usuario filtrados a otros cortafuegos
de su red que utiliza este dispositivo para arrastrar informacin de asignacin de usuario.
Nota: Tambin puede excluir una lista de cuentas de usuario del proceso
de asignacin creando una lista ignorar usuario. Cuando utilice la funcin
Asignacin de usuario de Palo Alto Networks, se crea la lista de cuentas de
usuario a excluir en la CLI utilizando el comando establecer valor
recopilador de id de usuario ignora usuario < >.
El nmero de cuentas que se pueden agregar a esta lista es ilimitado.
8.
Haga clic en Compilar para activar los cambios.

Puede consultar el estado de la conexin del servidor de directorio ejecutando los
comandos mostrar estado del servidor de directorio al usuario o mostrar
estadsticas del servidor de directorio al usuario.
Ahora que el agente de ID de usuarios est configurado, debe configurar un perfil de LDAP.
1.
Nombre su configuracin y deje la casilla de verificacin nicamente uso de

administrador sin seleccionar.
2.
Enumere los servidores de directorio que desea que el cortafuegos utilice en la lista de
servidor. Debe proporcionar al menos un servidor, se recomiendan dos o ms en caso de
fallos. El puerto LDAP estndar para esta configuracin es 389.
3.
Deje el campo Dominio vaco, a menos que desee configurar varios directorios
independientes.
4.
Seleccione un Tipo de directorio. Dependiendo del tipo de directorio seleccionado, el

cortafuegos puede cumplimentar valores predeterminados para atributos y clases de
objeto utilizados para objetos de grupo y usuario en el servidor de directorio.
5.
Introduzca la base del directorio LDAP en el campo Base. Por ejemplo, si su dominio de
Active Directory Domain es paloaltonetworks.local, su base ser
dc=paloaltonetworks, dc=local, salvo que desee hacer uso de un catlogo global de
Active Directory. En el campo Enlazar DN, introduzca un nombre de usuario con los
permisos suficientes para leer el rbol de LDAP. En un entorno de Active Directory, un
nombre de usuario para esta entrada podra ser el Nombre principal del usuario, por
ejemplo, administrator@paloaltonetworks.local pero tambin el nombre distintivo de
usuarios, por ejemplo, cn=Administrator,cn=Users,dc=paloaltonetworks,dc=local.
6.
Introduzca y confirme la contrasea de autenticacin para la cuenta de usuario que ha

introducido anteriormente.
Si desea crear polticas basadas en grupos de directorio, debe configurar Asignacin de grupo.
Esta configuracin define cmo se recuperan los grupos y los usuarios del directorio y qu
grupos de usuarios se deben incluir para su uso en polticas.
1.
Desplcese a Dispositivo > Identificacin de usuarios, haga clic en la pestaa

Configuracin de asignacin de grupo y luego haga clic en Aadir.
2.
En el cuadro desplegable Perfil de servidor, seleccione el perfil LDAP que ha creado en la

seccin anterior. Se cumplimentarn todos los atributos de LDAP y Clases de objetos
dependiendo del tipo de servidor de directorio que ha seleccionado en la pgina Perfil de
servidor de LDAP.
Palo Alto Networks
3.
Si es necesario, ajuste el campo Actualizar intervalo. El valor predeterminado es

3600 segundos (1 hora).
4.
Con el fin de optimizar las configuraciones de poltica y consultas de LDAP, puede

especificar una lista de grupos de usuarios que le gustara incluir en polticas. Para ello,
haga clic en la pestaa Lista de inclusin de grupos.
5.
El panel izquierdo mostrar Grupos disponibles, desplcese al grupo que desee o busque
grupos que desea incluir en sus consultas. Puede utilizar los asteriscos (*) para realizar
coincidencias de patrones en sus bsquedas.
6.
Seleccione los grupos que desea y haga clic en el smbolo

panel Grupos incluidos.
7.
Haga clic en ACEPTAR para guardar la asignacin de grupo.
para agregar los grupos al
Configuracin de un cortafuegos para compartir datos de

asignacin de usuario
Una vez haya configurado un cortafuegos para recuperar la informacin de asignacin de
usuario como se indica en Configuracin de Asignacin de usuario de PAN-OS en la
pgina 319, puede designar el cortafuegos para proporcionar esa informacin a otros
cortafuegos PAN-OS en su red.
La ilustracin en Ilustracin 34 muestra que un cortafuegos de redistribucin se comunica con
el servidor de dominio para recuperar informacin de asignacin de usuario a IP. El
cortafuegos de redistribucin puede utilizar cualquier mtodo para recopilar informacin de
asignacin de grupo y usuario como se indica en Cmo funciona la identificacin de
usuarios en la pgina 307 y actuar luego como un agente de ID de usuarios para compartir
esa informacin con otros cortafuegos. Los cortafuegos FW1, FW2 y sucesivamente estn
configurados para arrastrar la informacin de asignacin directamente desde el cortafuegos
de redistribucin y no necesitan comunicarse directamente con ningn servidor de dominio.
FW1
Servidor de dominio
Redistribucin
Cortafuegos
FW2
FW...
Ilustracin 34. El cortafuegos configurado para compartir informacin de asignacin de

usuario
1.

Asignacin de usuario.
2.
Haga clic en el icono Editar en el lado superior derecho de la ventana Configuracin del
gente de ID de usuario de Palo Alto Networks y luego haga clic en la pestaa
Redistribucin.
Palo Alto Networks
3.
Introduzca un Nombre del recopilador y una Clave precompartida. Esta informacin se

utilizar por los cortafuegos que arrastrarn informacin de asignacin del usuario.
4.
Haga clic en ACEPTAR para guardar los cambios.
5.
Desplcese a Red > Perfiles de red > Gestin de interfaz para activar el servicio del
6.
Aadir un Perfil de gestin de interfaz nuevo o modificar un perfil existente. Seleccione la

casilla de verificacin Servicio de ID de usuario para habilitar el servicio.
El cortafuegos est ahora listo para redistribuir informacin de asignacin de usuario a otros
cortafuegos.
Para configurar un cortafuegos para recuperar informacin de un cortafuegos de
redistribucin de asignacin de usuario, realice los siguientes pasos:
1.

Agentes de ID de usuarios. Consulte Pestaa Agentes de ID de usuarios en la pgina 315 para
obtener detalles de configuracin.
2.
Haga clic en Aadir e introduzca un Nombre para el perfil del Agente de identificacin
de usuarios y luego cumplimente los siguientes campos:
a. Host: Introduzca el nombre de host o la direccin IP del cortafuegos que se ha

configurado como un punto de redistribucin de asignacin de usuario.
b. Puerto: Introduzca 5007 para el nmero de puerto. Este es el puerto designado utilizado
para este servicio y no se puede modificar.
c. Recopilador: Introduzca el nombre de recopilador del cortafuegos que se ha

configurado como un punto de redistribucin de asignacin de usuario.
d. Clave precompartida del recopilador: Introduzca la clave precompartida de

recopilador del cortafuegos que se ha configurado como un punto de redistribucin de
asignacin de usuario.
e. Utilizar como Proxy LDAP: Seleccione esta casilla de verificacin para utilizar el
cortafuegos como un Proxy LDAP, en lugar de conectarse directamente al servidor de
directorio. Eso se utiliza para consultar informacin de pertenencia de grupo y grupo
de directorio.
f. Utilizar para autenticacin NTLM: Seleccione esta casilla de verificacin para utilizar el
cortafuegos para comprobar la autenticacin de cliente NTLM desde el portal cautivo con el
dominio de Active Directory.
g. Seleccione la casilla de verificacin Habilitada y haga clic en ACEPTAR para guardar

su configuracin y luego Compilar la configuracin.
3.
En la ventana Agente de ID de usuarios, busque la columna Conectado para la nueva

configuracin del agente de ID de usuarios. Un icono verde indica que la comunicacin se
ha establecido con el cortafuegos que proporciona datos de asignacin de usuario.
Si aparece un icono rojo, compruebe los logs de trfico para determinar por qu las
comunicaciones no funcionan correctamente. Tambin puede comprobar si se han
recibido datos de asignacin de usuario ejecutando el comando de operacin mostrar al
usuario la asignacin de ip al usuario para ver informacin de asignacin de usuario en
el plano de datos o mostrar al usuario la asignacin de ip al usuario para ver
asignaciones en el plano de gestin.
Palo Alto Networks
Configuracin del agente de ID de usuarios
Nota: Al redistribuir informacin de asignacin de usuario a sistemas con

varios sistemas virtuales, se requiere la siguiente configuracin:
Cortafuegos de distribucin: Cada sistema virtual debe tener el

recopilador configurado con una clave precompartida. Consulte
Pestaa Redistribucin en la pgina 314. Tambin debe permitir los
servicios del agente de ID de usuarios en Red > Perfiles de red >
Gestin de interfaz.
Cortafuegos de destino: El nombre del recopilador y el secreto

precompartido son necesarios para decidir qu informacin del ID de
usuario del sistema virtual se debe recibir.

Las interfaces del agente de ID de usuarios con Active Directory o eDirectory para comunicar
la asignacin del usuario a la direccin IP al cortafuegos.
El agente de ID de usuarios est disponible para su descarga desde Palo Alto Networks.
Puede instalar el agente en uno o ms PC de Windows de su red para obtener informacin
especfica del usuario. Cuando se configura la identificacin de usuarios, el Centro de
comando de aplicacin, Appscope y los logs del cortafuegos incluyen el nombre de usuario
adems de la direccin IP del usuario.
Siga las instrucciones en esta seccin para instalar y configurar el agente de ID de usuarios.
Nota: Si la capacidad de varios sistemas virtuales est activada, puede configurar
uno o ms agentes por sistema virtual. Es muy til para separar la identificacin de
usuarios en apoyo de ISP u otras entidades que mantienen registros de usuario
separados.
Palo Alto Networks
Instalacin del agente de ID de usuarios

El sistema en el que est instalado el agente de ID de usuarios debe ejecutar uno de las
siguientes versiones de sistemas operativos/servidor de directorio:
Nota: Se admiten las versiones de 32 bits o 64 bits de los sistemas
operativos a continuacin.
Equipos host
Microsoft Windows XP/Vista/7
Microsoft Windows Server 2003/2008
Servidores de directorio
Microsoft Exchange
2003 (6.5)
2007 (8.0)
2010 (14.0)
Microsoft Active Directory

2003
2003r2
2008
2008r2
Novell eDirectory Server 8.8

Nota: Asegrese de seleccionar la opcin de instalacin correcta para sus
sistemas operativos de cliente (32 bits o 64 bits).
Cada PC incluido para la identificacin de usuarios debe formar parte del dominio de
autenticacin. Para equipos que no forman parte del dominio, puede utilizar la funcin del
portal cautivo para visualizar usuarios y comprobar nombres de usuarios y contraseas.
Consulte estas secciones para obtener informacin adicional:
Configuracin del cortafuegos para la identificacin de usuarios en la pgina 312

Describe cmo configurar el cortafuegos para comunicarse con los agentes de ID de
usuarios y admitir portales cautivos.
Polticas de portal cautivo en la pgina 223: Describe cmo configurar polticas de

portal cautivo.
Palo Alto Networks
Para instalar el agente de ID de usuarios, abra el archivo de instalador y siga las instrucciones
que aparecen en pantalla.

Para abrir el agente de ID de usuarios:
1.
Seleccione Iniciar > Todos los programas > Palo Alto Networks > Agente de ID de
usuarios.
Ilustracin 35. Ventana Agente de ID de usuarios

La ventana contiene las siguientes reas y funciones:
Estado del agente: Muestra el estado actual del agente de ID de usuarios.
Dispositivos conectados: Muestra la lista de dispositivos a los que el agente de ID de

usuarios est conectado actualmente con estados asociados.
Servidores conectados: Muestra la lista de servidores a los que el agente de ID de

usuarios est conectado actualmente con estados y tipos asociados.
Palo Alto Networks
Para configurar el agente de ID de usuarios:

1.
Seleccione Iniciar > Todos los programas > Palo Alto Networks > Agente de
identificacin de usuarios.
2.
Haga clic en Configurar para abrir la ventana de configuracin.
Ilustracin 36. Ventana Configuracin de identificacin de usuarios

3.
La parte superior de la ventana muestra los ajustes actuales de configuracin. Para

modificar los ajustes, haga clic en Editar justo debajo del resumen de configuracin y
Autenticacin: Especifique el nombre de usuario y la contrasea para autenticar en
Active Directory, WMI, NetBIOS o eDirectory.
Supervisor del servidor: Especifique la frecuencia en segundos (valor predeterminado
1 segundo) del servidor de logs de seguridad y la lectura de sesin del servidor (valor
predeterminado 10 segundos) para servidor de Windows as como el intervalo de
consulta para Novell eDirectory. (valor predeterminado 30 segundos).
Sondeo de cliente: Seleccione la casilla de verificacin Habilitar sondeo de WMI si
desea habilitar el sondeo de WMI para cada estacin de trabajo y la casilla de
verificacin Habilitar sondeo de NetBIOS si desea habilitar el sondeo de NetBIOS
para cada estacin de trabajo. Especifique un intervalo entre sondeos (segundos, valor
predeterminado 20). Un intervalo de 0 desactiva esta funcin.
Palo Alto Networks
Nota: Para que el sondeo de WMI funcione de forma eficaz, se debe configurar el
servicio de Agente Pan con una cuenta de administrador de dominio, y cada PC
cliente sondeado debe tener una excepcin de administracin remota configurada
en el cortafuegos de Windows.
Nota: Para que el sondeo de NetBIOS funcione de forma efectiva, cada PC cliente
sondeado debe proporcionar un puerto 139 en el cortafuegos de Windows y debe
tener los servicios de uso compartido de archivos e impresoras activados.
Cach: Seleccione la casilla de verificacin para habilitar el tiempo de espera para el
cach de grupo e ID de usuario y especifique el intervalo (minutos) despus del que
transcurre el tiempo de espera. Valor predeterminado 45 minutos.
Servicio de agente: Especifique los puertos TCP del servicio de ID de usuario
(predeterminado 5007)y la API XML del ID de usuario (predeterminado 5006).
Seleccione la casilla de verificacin para activar el uso de la API.
eDirectory: Especifique los siguientes ajustes:
Base de bsqueda: Especifique el punto de partida o contexto raz para las

consultas del agente. Ejemplo: dc=domain1, dc=example, dc=com.
Enlazar nombre distintivo: Especifique la cuenta a enlazar con el servidor
LDAP. Ejemplo: cn=admin, ou=IT, dc=domain1, dc=example, dc=com.
Enlazar contrasea: Especifique la contrasea de la cuenta de enlace. El
agente guardar la contrasea cifrada en el archivo de configuracin.
Filtro de bsqueda: Especifique la consulta de bsqueda para entradas de
LDAP (valor predeterminado objectClass=Person).
Intervalo de bsqueda: Especifique el intervalo de tiempo entre consultas
consecutivas del Agente de ID del usuario (intervalo 1 a 36000 segundos,
valor predeterminado 30 segundos).
Prefijo del dominio de servidor: Especifique un prefijo que identifica de
manera exclusiva al usuario. Utilizar si existen superposiciones de espacios
de nombre. Ejemplo: Diferentes usuarios con el mismo nombre desde dos
directorios diferentes.
Utilizar SSL: Seleccione la casilla de verificacin para utilizar SSL para el
enlace de eDirectory. Si SSL no est seleccionado, una ventana emergente
advierte que el texto en claro se utilizar para la contrasea y la cuenta de
inicio de sesin.
Comprobar certificado de servidor: Seleccione la casilla de verificacin
para comprobar el certificado de servidor de eDirectory al utilizar SSL.
Seleccione la casilla de verificacin Habilitar cach de grupo para activar el
cach de pertenencia del usuario al grupo. Cuando esta casilla de
verificacin est seleccionada, la pertenencia del usuario al grupo se
almacena en cach, y al iniciarse, vuelve a cargar primero la pertenencia del
usuario al grupo del cach para agilizar el proceso de reinicio.
Palo Alto Networks
4.
Haga clic en Guardar para guardar la configuracin.

El agente de ID de usuarios de reinicia si se guarda la configuracin correctamente.
Tambin puede hacer clic en el botn ACEPTAR para guardar la configuracin y reiniciar
el agente de ID de usuarios. Si no desea reiniciar el agente de ID de usuarios, haga clic en
Cancelar para cerrar el cuadro de dilogo.
Nota: Puede excluir una lista de cuentas de usuario del proceso de
asignacin creando una lista ignorar usuario. Para ello, cree un archivo
ignore_user_list.txt en la carpeta Agente de ID de usuarios en el servidor
de dominio donde el agente est instalado.
Segn PAN-OS 4.1 y posterior, el nmero de cuentas que se pueden agregar a esas
listas es ilimitado. En PAN-OS 4.0 y anterior, el lmite era de 100 usuarios.
Descubrimiento de controladores de dominio

La lista de controladores de dominio disponible para el inicio de sesin del dominio se puede
recuperar a travs de DNS. Para mostrar las opciones de descubrimiento, haga clic en
Descubrir en el men lateral. Puede realizar las siguientes tareas en esta ventana:
Agregue un ajuste de configuracin que permite a un administrador configurar el agente

de ID de usuarios para buscar de forma automtica los controladores de dominio
disponibles para la supervisin de logs de eventos. Haga clic en Aadir o Editar en el rea
Servidores y especifique un nombre, una direccin IP y un tipo de servidor (Microsoft
Active Directory, Microsoft Exchange o Novell eDirectory).
Especifique una lista de control de acceso para redes. Haga clic en Aadir o Editar en las
Incluir/excluir rea de redes configurada , seleccione la opcin incluir o excluir y
especifique el nombre y la direccin de red. Tambin puede duplicar y luego modificar
una entrada existente.
Haga clic en Descubrir automticamente para recuperar la lista de controladores de

dominio disponibles de forma automtica de DNS y agregarlos a la lista de servidores
supervisados.
Supervisin de operacin de agente de ID de usuarios

Para ver la lista de asignaciones de nombre de usuario a direccin IP descubiertos
actualmente, haga clic en Supervisin en el men lateral. Puede buscar usuarios o eliminar
usuarios de la lista.
Para ver entradas de logs para el agente de ID de usuarios, haga clic en Logs en el men
lateral. Desde esta ventana, puede buscar entradas de logs o borrar el log.
Desinstalacin y actualizacin del agente de ID de usuarios

Para desinstalar el agente de ID de usuarios, abra el Panel de control en el PC, seleccione
Agregar o eliminar programas y elimine el Agente de identificacin de usuarios del
programa.
Si instala una nueva versin del agente y el instalador detecta una instalacin existente en su
PC, el instalador elimina la versin anterior automticamente antes de realizar la instalacin.
Le recomendamos realizar una copia de seguridad de su archivo config.xml antes de
actualizar el agente de ID de usuarios.
Palo Alto Networks
Configuracin del agente de servicios de terminal

El Agente de servicios de terminal (agente de TS) permite al cortafuegos admitir varios
usuarios con la misma direccin IP de origen identificando los usuarios del cortafuegos
individual compatible con el servidor de terminal.
El Agente de Ts supervisa las sesiones de usuario remotas y reserva un intervalo de puerto de
origen TCP/UDP diferente para cada usuario. Una vez que se asigna un intervalo de puerto al
usuario, el agente de TS proporciona informacin para asignar el intervalo de puerto de
origen al nombre de usuario.
Adems, el agente de TS solicita que el controlador de transporte TCP/UDP en el servidor de
terminal asigne el puerto de origen especificado por el agente de TS en lugar del puerto
efmero determinado por el sistema operativo para el trfico de TCP/UDP saliente. Cuando el
cortafuegos recibe el trfico de TCP/UDP del servidor de terminal, comprueba el puerto de
origen y obtiene el ID de usuario en los datos de asignacin de los puertos al usuario para el
servidor de terminal.
Para obtener informacin acerca de la configuracin del cortafuegos para servicios de
terminal, consulte Configuracin del cortafuegos para la identificacin de usuarios en la
pgina 312.
Instalacin o actualizacin del agente de servidor de terminal en el servidor de

terminal
Puede instalar el agente de TS en las siguientes plataformas:
Microsoft Terminal Services 2003
Microsoft Terminal Services 2008
Citrix Metaframe Presentation Server 4.0
Citrix Metaframe Presentation Server 4.5, Citrix XenApp 5, 6
Para instalar el agente de TS en el servidor de terminal:

1.
Descargue y abra el archivo de instalacin.
2.
talador comprueba primero la compatibilidad de plataforma. Si la plataforma no es

compatible, aparece un mensaje de error.
3.
El instalador comprueba si ya existe un agente de TS en el sistema. Si el instalador detecta

que el Agente de Ts ya existe en el sistema (est actualizando el agente de TS), desinstala
primero el agente antes de ejecutar el instalador.
Si est instalando un agente de TS con un controlador ms reciente que el de la
instalacin existente, el asistente de instalacin le solicitar reiniciar el sistema despus
de actualizar con el fin de utilizar el controlador ms reciente.
Si est instalando un agente de TS con la misma versin del controlador que la
instalacin existente, puede realizar la instalacin como se indica y no necesitar
reiniciar el sistema despus.
4.
Siga las instrucciones del instalador para especificar una ubicacin de la instalacin y
completar la instalacin.
Palo Alto Networks
Nota: Si especifica una carpeta de destino distinta a la predeterminada,

asegrese de utilizar el mismo destino cuando actualice el Agente de Ts en un
futuro. Si no lo hace, se perder la configuracin existente y se utilizar la
configuracin predeterminada.
5.
En siguientes instalaciones, reinicie el servidor de terminal si se le solicita.
Configuracin del agente de servidor de terminal en el servidor de terminal

Para configurar el agente de TS en el servidor de terminal:
1.
Inicie la aplicacin del agente de TS desde el men Inicio.
2.
El panel de configuracin se abre con el Agente de servidor de terminal resaltado en el

lado izquierdo de la ventana.
Ilustracin 37. Configuracin del Agente de servidor de terminal: Panel principal

El cuadro de lista de conexiones muestra todos los dispositivos de Palo Alto Networks
conectado al agente de TS. La columna IP de dispositivo muestra el puerta y la IP del
dispositivo y la columna Estado de conexin indica si el estado es Conectado,
Desconectado o Conectando. Los elementos desconectados se eliminan del cuadro Lista
de conexiones cuando cierra y vuelve a abrir la ventana de configuracin del agente
de TS.
3.
Seleccione la casilla de verificacin Habilitar lista de control de acceso del dispositivo si

desea enumerar de forma explcita los cortafuegos que el agente de TS aceptar. Agregue
la direccin IP de cada dispositivo y haga clic en Aadir. Haga clic en Eliminar para
eliminar una direccin de la lista. Haga clic en Guardar para guardar la lista de
permitidos.
Palo Alto Networks
4.
Haga clic en Configurar para mostrar los ajustes de configuracin.
Ilustracin 38. Configuracin del Agente de servidor de terminal: Panel Configuracin

5.
Configure los ajustes como se indica en la siguiente tabla y haga clic en Guardar.
Nota: Si introduce un parmetro incorrecto e intenta luego guardar la
configuracin, aparece un mensaje indicando que no se guardar la
configuracin hasta que modifique el parmetro correctamente.
Tabla 130. Ajustes de configuracin del agente de servidor de terminal

Campo
Descripcin
Intervalo de asignacin
del puerto de origen del
sistema
Muestra el intervalo de puerto para procesos del sistema que no estn

asociados a los usuarios individuales. Cuando un proceso de servidor
abre un socket para enviar un paquete de UDP o configurar una conexin
TCP, debe obtener un puerto de origen desde el sistema operativo del
servidor. El servidor asigna automticamente un puerto de origen (un
puerto efmero) para este proceso. El formato es bajo-alto (valor
predeterminado 1025 a 5000).
El intervalo de puerto del sistema no debe solaparse con el intervalo de
asignacin del puerto de origen. Si se solapan, se podra identificar de
forma errnea una aplicacin que utiliza el intervalo de puerto de origen
efmero del sistema como un usuario particular si el puerto de origen
asignado al sistema operativo falla en el intervalo de puerto asignado a
ese usuario.
Nota: La modificacin de ese valor requiere un cambio de Registro y no se puede
realizar desde este panel.
Palo Alto Networks
Tabla 130. Ajustes de configuracin del agente de servidor de terminal (Continuacin)

Campo
Descripcin
Puertos de origen
reservados del sistema
Muestra el puerto o puertos para excluir de la asignacin de puerto de

origen del sistema operativo (porque otros procesos del servidor pueden
utilizarlos).
Puede introducir un intervalo:L bajo-alto (sin valor predeterminado).
Nota: La modificacin de ese valor requiere un cambio de Registro y no se puede
realizar desde este panel.
Puerto de escucha
Introduzca el puerto en el que el servidor de terminal escuchar

comunicaciones de cortafuegos de Palo Alto Networks (predeterminado
5009).
Intervalo de asignacin
del puerto de origen
Introduzca un intervalo de asignacin de puertos para sesiones de

usuario.
Esta configuracin controla la asignacin de puertos de origen a procesos
pertenecientes a usuarios remotos (determinado 20000 - 39999). Si una
solicitud de asignacin de puerto proviene de servicios del sistema que
no se pueden identificar como un proceso de usuario particular, el agente
de TS permite al sistema asignar el puerto de origen desde el intervalo de
puertos del sistema, excluyendo puertos de origen reservados del
sistema.
Nota: Asegrese de que este intervalo de puertos no se solapa con el intervalo de
asignacin del puerto de origen del sistema. Si se solapan, se podra identificar de
forma errnea una aplicacin que utiliza el intervalo de puerto de origen efmero
del sistema como un usuario particular si el puerto de origen asignado al sistema
operativo falla en el intervalo de puerto asignado a ese usuario.
Puertos de origen
reservados
Introduzca un intervalo de asignacin de puertos reservados para

sesiones de usuario. Estos puertos no estn disponibles para sesiones de
usuario.
Para incluir varios intervalos, utilice comas sin espacios, como se indica
en el ejemplo a continuacin: 2000-3000,3500,4000-5000.
El formato es bajo-alto (sin valor predeterminado).
Tamao de inicio de
asignacin de puertos
por usuario
Introduzca el nmero de puertos que el agente de TS asignar en primer

lugar cuando el usuario remoto inicia sesin (predeterminado 200)
Tamao mximo de
asignacin de puertos
por usuario
Introduzca el nmero mximo de puertos que el Agente de Ts puede

asignar a una sesin de usuario remota (predeterminado 200).
Palo Alto Networks
Cuando el usuario remoto inicia sesin, el agente de TS asigna un

intervalo de puerto desde el intervalo de asignacin de puertos de origen
con ese tamao especfico. Eso permite identificar el trfico de usuario
basndose en el puerto de origen.
Si la configuracin Tamao de inicio de asignacin de puertos por

usuario no es suficiente para la sesin de usuario, el agente de TS
asignar puertos adicionales hasta alcanzar ese valor mximo.
Tabla 130. Ajustes de configuracin del agente de servidor de terminal (Continuacin)

Campo
Descripcin
Fallo en el enlace de
puertos cuando se
utilizan los puertos
disponibles
Seleccione la casilla de verificacin como se indica:

Si se selecciona la casilla de verificacin (predeterminado), la solicitud
de puerto desde la aplicacin de ese usuario fallar si la aplicacin del
usuario ha utilizado todos los puertos disponibles. Como resultado, la
aplicacin podra fallar para enviar trfico.
Si no se selecciona la casilla de verificacin, la solicitud de puerto desde
la aplicacin de este usuario se concede desde el Intervalo de
asignacin de puertos de origen del sistema incluso si la aplicacin del
usuario ha utilizado todos los puertos disponibles. La aplicacin puede
enviar trfico; sin embargo, el ID de usuario del trfico es desconocido.
6.
Haga clic en Supervisar para mostrar la informacin de asignacin de puertos a todos los
usuarios del servidor de terminal.
Ilustracin 39. Configuracin del Agente de servidor de terminal: Panel Supervisar

7.
Vea la informacin mostrada. Para obtener una descripcin del tipo de informacin
mostrado, consulte la siguiente tabla.
Tabla 131. Informacin de supervisin del agente del servidor de terminal

Campo
Descripcin
Nombre de usuario
Muestra el nombre de usuario.
Intervalo de puerto
Muestra los puertos de origen asignados a este usuario. Varios intervalos

estn separados por comas (por ejemplo, 20400-20799, 20500-20599).
El tamao de los intervalos de puerto est limitado por los parmetros de
configuracin Tamao de inicio de asignacin de puertos por usuario y
Tamao mximo de asignacin de puertos por usuario, como se
describe en Tabla 130.
Recuento de puertos
Indica el nmero de puertos en uso.
Palo Alto Networks
8.
Haga clic en el botn Actualizar recuento de puertos para actualizar el campo Recuento
de puertos de forma manual, o seleccione la casilla de verificacin Actualizar intervalo y
configure un intervalo de actualizacin para actualizar ese campo de forma automtica.
La siguiente tabla enumera las opciones de men disponibles en la ventana de aplicacin del
agente de TS.
Tabla 132. Opciones de men del agente del servidor de terminal

Campo
Descripcin
Configurar
Abra el panel Configuracin.
Supervisar
Abra el panel Supervisin.
Reiniciar servicio
Reinicie el servicio del agente de TS. Esta opcin no es obligatoria

normalmente y est reservada para la resolucin de problemas.
Mostrar logs
Muestre el log de resolucin de problemas.
Depurar
Seleccione opciones de depuracin (Ninguno, Error, Informacin,

Depurar o Ampuloso).
Salir
Salir de la aplicacin del agente de TS.
Ayuda
Mostrar informacin de versin del agente de TS.
Desinstalacin del agente de servidor de terminal en el servidor de terminal

Para desinstalar el agente de TS, utilice el panel de control Aadir/Eliminar programas en el
servidor. Eliminar la aplicacin Agente del servidor de terminal. Debe reiniciar el sistema
para completar la desinstalacin.
Palo Alto Networks
Palo Alto Networks
Captulo 8
Configuracin de tneles de IPSec

Este captulo describe la tecnologa de red privada virtual (VPN) bsica y proporciona
informacin detallada sobre la configuracin de VPN de seguridad de IP (IPSec) en
cortafuegos de Palo Alto Networks.
Redes privadas virtuales en la seccin siguiente
IPSec e IKE en la pgina 339
Configuracin de VPN de IPSec en la pgina 341
Configuracin de VPN de muestra en la pgina 351
Implementacin de VPN a gran escala de GlobalProtect en la pgina 354
Palo Alto Networks
Configuracin de tneles de IPSec 337
Redes privadas virtuales
Redes privadas virtuales

Las redes privadas virtuales (VPN) permiten que los sistemas se conecten de manera segura a
travs de una red pblica como si se estuvieran conectando a travs de una red de rea local
(LAN). El conjunto de protocolos de seguridad de IP (IPSec) se utiliza para configurar un
tnel seguro para el trfico de las VPN. Asimismo, la informacin privada de los paquetes de
TCP/IP est cifrada cuando se enva a travs del tnel de IPSec. El cortafuegos de Palo Alto
Networks admite tneles IPv4, as como la opcin de habilitar IPv6 en la configuracin de
tnel. Esta opcin le permite enrutar el trfico IPv6 a travs del tnel IPv4 para proporcionar
confidencialidad entre las redes IPv6 cuando no hay disponible conectividad de WAN IPv6.
La funcin de VPN a gran escala de GlobalProtect de Palo Alto Networks proporciona un
mecanismo ampliamente simplificado para implementar una VPN de concentrador y radio
que utilice certificados para la autenticacin y actualice automticamente las credenciales de
las autenticaciones peridicamente. Consulte Implementacin de VPN a gran escala de
Nota: Adems de las VPN de IPSec, el cortafuegos tambin admite las VPN del
tipo Secure Sockets Layer (SSL), que permiten que los usuarios remotos
establezcan conexiones de VPN a travs del cortafuegos. Consulte el Captulo 9,
Configuracin de GlobalProtect para obtener ms informacin.
La siguiente ilustracin muestra un tnel de IPSec estndar entre dos dispositivos. La
configuracin puede incluir un supervisor de tnel en cada extremo para alertar al
administrador de dispositivo de los fallos del tnel y proporcionar una conmutacin por error
automtica. Los supervisores de tnel son de utilidad si desea poder proporcionar una
conmutacin por error del trfico de IPSec a otra interfaz.
Ilustracin 40. Configuracin estndar de IPSec
Cortafuegos
Conmutador
Enrutador
Internet
Conmutador
Enrutador
Cortafuegos
Tnel de IPSec
Red
local
338 Configuracin de tneles de IPSec
Red
local
Palo Alto Networks
IPSec e IKE
Puede configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en
ubicaciones centrales y remotas, o bien conectar cortafuegos de Palo Alto Networks a
dispositivos de seguridad de terceros en otras ubicaciones. Con VPN basadas en rutas, el
cortafuegos toma una decisin de enrutamiento basada en la direccin IP de destino. Si el
trfico se enruta a un destino especfico a travs de un tnel de VPN, se cifrar como trfico de
VPN. No es necesario definir reglas especiales o hacer referencia de manera explcita a un
tnel de VPN; las decisiones de enrutamiento y cifrado nicamente dependen de la direccin
IP de destino.
El cortafuegos tambin puede interoperar con dispositivos de VPN basados en polticas de
terceros. Para conectar con una VPN basada en polticas, configure el ID de proxy del tnel. Si
se requieren varios tneles de fase 2, configure diferentes ID de proxy en cada uno de ellos.
Consulte Configuracin de tneles de IPSec en la pgina 344.
Para la conexin de IPSec entre los cortafuegos, el paquete de IP completo (encabezado y
carga) se incrusta en otra carga de IP y se aplica un nuevo encabezado. El nuevo encabezado
utiliza la direccin IP de la interfaz del cortafuegos saliente como la direccin IP de origen y la
interfaz del cortafuegos entrante del extremo ms alejado del tnel como la direccin IP de
destino. Cuando el paquete alcanza el cortafuegos del extremo ms alejado del tnel, el
paquete original se descifra y se enva al host de destino real.
Se definen asociaciones de seguridad (SA) de IPSec en cada extremo del tnel de IPSec para
aplicar todos los parmetros necesarios para una transmisin segura, incluido el ndice de
parmetros de seguridad (SPI), el protocolo de seguridad, las claves criptogrficas y la
direccin IP de destino. Las asociaciones de seguridad de IPSec proporcionan el cifrado, la
autenticacin de datos, la integridad de datos y la autenticacin de extremo.
Tneles de VPN
Para configurar VPN, es importante comprender la topologa de su red y ser capaz de
determinar el nmero necesario de tneles. Por ejemplo:
Un nico tnel de VPN puede ser suficiente para la conexin entre una nica ubicacin
central y una ubicacin remota.
Las conexiones entre una ubicacin central y varias ubicaciones remotas requieren tneles
de VPN para cada par de ubicaciones central/remota.
Cada tnel est vinculado a una interfaz de tnel. Es necesario asignar la interfaz de tnel al
mismo enrutador virtual que el del trfico (en claro) entrante. De este modo, cuando un
paquete llega al cortafuegos, la funcin de bsqueda de ruta puede determinar el tnel ms
adecuado que debe utilizarse. La interfaz de tnel aparece en el sistema como una interfaz
normal, por lo que puede aplicarse la infraestructura de enrutamiento existente.
Cada interfaz de tnel puede tener un mximo de 10 tneles de IPSec. Esto le permite
configurar tneles de IPSec para redes individuales que estn asociadas a la misma interfaz de
tnel del cortafuegos.
IPSec e IKE
Hay dos formas de proteger los tneles de VPN de IPSec:
Configure el tnel utilizando claves de seguridad manuales. Este mtodo no es

recomendable.
Genere claves utilizando el intercambio de claves de Internet (IKE).
Palo Alto Networks
IPSec e IKE
Debe aplicarse el mismo mtodo a ambos extremos del tnel de IPSec. En el caso de las claves
manuales, la misma clave se introduce en ambos extremos; en el caso de IKE, los mismos
mtodos y atributos se aplican en ambos extremos.
El IKE proporciona un mecanismo estndar para generar y mantener claves de seguridad:
Identificacin: El proceso de identificacin implica el reconocimiento de los peers en

ambos extremos del tnel de IPSec. Cada peer se identifica mediante una direccin IP o
un ID de peer (incluido en la carga del paquete de IP). El cortafuegos u otro dispositivo de
seguridad de cada extremo del tnel aade la identificacin del peer del otro extremo a su
configuracin local.
Autenticacin: Hay dos tipos de mtodos de autenticacin: clave precompartida y PKI.

En la actualidad, los cortafuegos de Palo Alto Networks solamente admiten el mtodo de
clave precompartida.
El cortafuegos admite la definicin de puertas de enlace de IKE, que especifican la

informacin de configuracin necesaria para realizar la negociacin del protocolo IKE con
puertas de enlace del peer.
Las opciones de configuracin de IKE incluyen un grupo Diffie-Hellman para acordar claves,
un algoritmo de cifrado y un hash para la autenticacin de mensajes.
Perfiles criptogrficos de IPSec e IKE

Los perfiles criptogrficos estn relacionados con campos de propuesta estndar en la
negociacin IKE.
El IKE de fase 1 autentica los cortafuegos entre s y establece un canal de control seguro.
Utiliza el perfil criptogrfico de IKE para la negociacin de SA de IKE.
El IKE de fase 2 es la negociacin, a travs de SA de fase 1, de un tnel real para el trfico

entre las redes detrs de los respectivos cortafuegos. Utiliza el perfil criptogrfico de IPSec
para la negociacin de SA de IPSec.
Puede definir perfiles criptogrficos de IPSec e IKE que determinen los protocolos y
algoritmos utilizados para negociar las SA de IPSec e IKE.
Opciones para las SA de IKE:
Grupo Diffie-Hellman (DH): Seleccione los grupos DH que se utilizarn al generar

claves pblicas para IKE.
Cifrado: Seleccione los algoritmos de cifrado.
Algoritmo de hash: Seleccione los algoritmos de hash.
Duracin: Especifique la cantidad de tiempo que la clave negociada permanecer

efectiva.
Palo Alto Networks
Configuracin de VPN de IPSec
Opciones para las SA de IPSec:
Carga de seguridad encapsulada (ESP): Seleccione opciones para la autenticacin,

integridad de datos, confidencialidad y cifrado.
Encabezado de autenticacin (AH): Seleccione opciones para la autenticacin y la

integridad de datos. Esta opcin no suele utilizarse.
Grupo Diffie-Hellman (DH) de secreto perfecto hacia adelante (PFS): Seleccione los
grupos DH que se utilizarn al generar claves independientes para IPSec.
Duracin: Especifique la cantidad de tiempo que la clave negociada permanecer

efectiva.
Para obtener informacin detallada sobre los protocolos y algoritmos especficos admitidos
para los perfiles criptogrficos de IPSec e IKE, consulte Definicin de perfiles criptogrficos
de IKE en la pgina 348 y Definicin de perfiles criptogrficos de IPSec en la pgina 349.

Esta seccin describe el proceso de varios pasos relacionado con la configuracin de tneles
de VPN de IPSec. Para obtener informacin detallada, consulte las secciones especificadas de
esta gua. Para obtener una configuracin de muestra, consulte Configuracin de VPN de
muestra en la pgina 351.
Nota: Antes de comenzar, asegrese de que sus interfaces Ethernet, enrutadores
virtuales y zonas estn configurados correctamente. Consulte Interfaces del
cortafuegos en la pgina 135, Enrutadores virtuales y protocolos de enrutamiento en
la pgina 164 y Definicin de zonas de seguridad en la pgina 163.
Para configurar VPN de IPSec:

1.
Planifique la topologa de red y determine el nmero de tneles necesario.
2.
Defina puertas de enlace de IKE con la informacin de configuracin para la negociacin

del protocolo IKE con puertas de enlace del peer. Consulte Definicin de puertas de
enlace de IKE en la pgina 342.
3.
Configure los protocolos y algoritmos para la identificacin, la autenticacin y el cifrado

en tneles de VPN mediante la negociacin de SA de IKE:
Para IKEv1 de fase 1, consulte Configuracin de tneles de IPSec en la pgina 344.
Para IKEv1 de fase 2, consulte Definicin de perfiles criptogrficos de IPSec en la
pgina 349.
4.
Configure los parmetros que sean necesarios para establecer tneles de VPN de IPSec.
Consulte Configuracin de tneles de IPSec en la pgina 344.
5.
Especifique el modo en que el cortafuegos supervisar los tneles de IPSec. Consulte

Visualizacin del estado del tnel de IPSec en el cortafuegos en la pgina 350.
6.
Configure rutas estticas o asigne protocolos de enrutamiento para redirigir el trfico a

los tneles recin establecidos. Se admiten los protocolos BGP, RIP y OSPF; puede
habilitar estos protocolos en la interfaz de tnel. Consulte Enrutadores virtuales y
protocolos de enrutamiento en la pgina 164.
Palo Alto Networks
7.
Establezca polticas de seguridad para filtrar e inspeccionar el trfico segn se describe en

Polticas de seguridad en la pgina 203. Defina las zonas de origen y destino y
especifique los atributos de poltica de la manera siguiente:
Trfico saliente que entra en el tnel: En el caso de origen, utilice la zona en claro. En
el caso de destino, utilice la zona de interfaz de tnel.
Trfico entrante que sale del tnel: En el caso de origen, utilice la zona de interfaz de
tnel. En el caso de destino, utilice la zona en claro.
Tras definir las zonas para la regla de poltica de seguridad, establezca las direcciones de
origen y destino, las aplicaciones, los servicios y los perfiles de seguridad para que
controlen el acceso por el tnel de VPN.
Nota: Si la interfaz de tnel est en la misma zona que el trfico en claro de
destino, se utilizarn las mismas polticas para el trfico de VPN y en claro. Lo
ideal sera colocar la interfaz de tnel en una zona separada para que el trfico
de tnel pueda utilizar polticas diferentes.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a las
direcciones definidas para los tneles se enruta automticamente de la manera adecuada y se
cifra como trfico de VPN basndose en la ruta de destino especfica aadida a la tabla de
enrutamiento.
Nota: Sin reglas de seguridad coincidentes, el cortafuegos cancelar el trfico de
VPN cuando se necesite una regla de seguridad.
El protocolo IKE se activar cuando sea necesario (por ejemplo, cuando se enrute el
trfico a un tnel de IPSec sin claves o con claves vencidas).
Si hay una regla de denegacin en el extremo de la base de reglas de seguridad, el
trfico intrazona se bloquea a menos que se permita de otro modo. Las reglas para
permitir aplicaciones de IKE e IPSec deben incluirse de manera explcita por encima
de la regla de denegacin.
Definicin de puertas de enlace de IKE

Red > Perfiles de red > Puertas de enlace de IKE
Utilice la pgina Puertas de enlace de IKE para definir puertas de enlace que incluyan la
informacin de configuracin necesaria para realizar la negociacin del protocolo IKE con
puertas de enlace del peer.
Tabla 133. Configuracin de puertas de enlace de IKE

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la puerta de enlace (de hasta

Interfaz
Especifique la interfaz del cortafuegos saliente.
Direccin IP local
Seleccione la direccin IP de la interfaz local que es el extremo del tnel.
Palo Alto Networks
Tabla 133. Configuracin de puertas de enlace de IKE (Continuacin)

Campo
Descripcin
Tipo de peer
Direccin IP esttica u opcin dinmica del peer del extremo ms alejado

del tnel.
Direccin IP del peer
Si se selecciona la opcin Esttico para el tipo de peer, especifique la

direccin IP del peer del extremo ms alejado del tnel.
Clave precompartida
Introduzca una clave de seguridad que se utilizar para la autenticacin a

travs del tnel. Se aplica a los tipos de peer estticos y dinmicos.
Confirmar clave
precompartida
Nota: Los siguientes campos avanzados estn visibles si selecciona la casilla de verificacin del enlace Mostrar
opciones de fase 1 avanzadas.
Identificacin local
Seleccione entre los siguientes tipos e introduzca el valor: Direccin IP,

FQDN (nombre de host), FQDN de usuario (direccin de correo
electrnico) y KEYID (cadena de ID de formato binario en hexadecimal).
Si no se especifica ningn valor, la direccin IP local se utilizar como el
valor de identificacin local.
Identificacin del peer
Seleccione entre los siguientes tipos e introduzca el valor: Direccin IP,

FQDN (nombre de host), FQDN de usuario (direccin de correo
electrnico) y KEYID (cadena de ID de formato binario en hexadecimal).
Si no se especifica ningn valor, la direccin IP del peer se utilizar como
el valor de identificacin del peer.
Modo de intercambio
Seleccione Automtico, Agresivo o Principal.
Perfil criptogrfico de
IKE
Seleccione un perfil existente o mantenga el perfil predeterminado.
Habilitar modo pasivo
Seleccione esta opcin para que el cortafuegos nicamente responda a las

conexiones de IKE y nunca las inicie.
Habilitar NAT
transversal
Seleccione esta opcin para utilizar la encapsulacin UDP en los

protocolos IKE y UDP, permitindoles pasar a travs de dispositivos de
NAT intermedios.
La NAT transversal se utiliza cuando se han establecido direcciones de
NAT entre los puntos de finalizacin de VPN de IPSec.
Deteccin de fallo del

peer
Seleccione la casilla de verificacin para habilitar e introducir un intervalo

(2-100 segundos) y un retraso antes de volver a intentarlo
(2-100 segundos). La deteccin de fallo del peer identifica peers de IKE
inactivos o no disponibles a travs de un ping ICMP y puede ayudar a
restablecer recursos que se pierden cuando un peer no est disponible.
Nota: Cuando se establece que un dispositivo utilice el modo de intercambio

Automtico, puede aceptar solicitudes de negociacin tanto del modo principal
como del modo agresivo; sin embargo, siempre que sea posible, inicia la negociacin
y permite intercambios en el modo principal.
Debe configurar el dispositivo del peer con el modo de intercambio coincidente para
permitir que acepte solicitudes de negociacin iniciadas desde el primer dispositivo.
Palo Alto Networks
Configuracin de tneles de IPSec

Red > Tneles de IPSec
Utilice la pgina Tneles de IPSec para configurar los parmetros necesarios para establecer
tneles de VPN de IPSec entre cortafuegos.
Tabla 134. Configuracin de tneles de IPSec

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar el tnel (de hasta 63 caracteres).

guiones bajos.
El lmite de 63 caracteres de este campo incluye el nombre del tnel
adems del ID de proxy, que est separado por dos puntos.
Interfaz de tnel
Seleccione una interfaz de tnel existente o haga clic en Nueva interfaz

de tnel para crear una nueva interfaz de tnel. Para obtener informacin
acerca de la creacin de una interfaz de tnel, consulte Configuracin de
interfaces de tnel en la pgina 158.
Tipo
Seleccione si se utilizar una clave de seguridad generada

automticamente o introducida manualmente. Se recomienda seleccionar
Clave automtica.
Palo Alto Networks
Tabla 134. Configuracin de tneles de IPSec (Continuacin)

Campo
Clave automtica
Descripcin
Si selecciona Clave automtica, especifique lo siguiente:
Puerta de enlace de IKE: Consulte Definicin de puertas de enlace de
IKE en la pgina 342 para obtener descripciones de los ajustes de
puertas de enlace de IKE.
Perfil criptogrfico de IPSec: Seleccione un perfil existente o mantenga
el perfil predeterminado. Para definir un nuevo perfil, haga clic en
Nuevo y siga las instrucciones de Definicin de perfiles criptogrficos
de IPSec en la pgina 349.
Avanzado
Habilitar proteccin de reproduccin: Seleccione esta opcin para
proteger la reproduccin ante ataques.
Copiar encabezado de TOS: Copie el encabezado de TOS (Tipo de
servicio) desde el encabezado IP interno en el encabezado IP externo de
los paquetes encapsulados con el fin de conservar la informacin
original de TOS.
Monitor de tnel: Seleccione esta opcin para alertar al administrador
de dispositivo de los fallos del tnel y proporcionar una conmutacin
por error automtica a otra interfaz. Tenga en cuenta que deber
asignar una direccin IP a la interfaz de tnel para su supervisin.
IP de destino: Especifique una direccin IP en el otro lado del tnel
que el supervisor de tnel utilizar para determinar si el tnel
funciona correctamente.
Perfil: Seleccione un perfil existente que determine las acciones que
se realizarn si falla el tnel. Si la accin especificada en el perfil del
supervisor es Esperar recuperacin, el cortafuegos seguir utilizando
la interfaz de tnel en decisiones de enrutamiento como si el tnel
siguiera activo. Si se utiliza la accin de conmutacin por error, el
cortafuegos deshabilitar la interfaz de tnel, deshabilitando de este
modo todas las rutas de la tabla de enrutamiento que utilicen la
interfaz. Para obtener ms informacin, consulte Definicin de
perfiles de supervisin en la pgina 192.
Palo Alto Networks

Campo
Clave manual
Descripcin
Si selecciona Clave manual, especifique lo siguiente:
SPI local: Especifique el ndice de parmetros de seguridad (SPI) local
para los paquetes transversales desde el cortafuegos local hasta el peer.
SPI es un ndice hexadecimal que se aade al encabezado para ayudar a
los tneles de IPSec a diferenciar entre flujos de trfico de IPSec.
Interfaz: Seleccione la interfaz que es el extremo del tnel.
Direccin local: Seleccione la direccin IP de la interfaz local que es el
extremo del tnel.
SPI remoto: Especifique el ndice de parmetros de seguridad (SPI)
remoto para los paquetes transversales desde el cortafuegos remoto
hasta el peer.
Protocolo: Seleccione el protocolo para el trfico a travs del tnel
(ESP o AH).
Autenticacin: Seleccione el tipo de autenticacin para el acceso al tnel
(SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna).
Clave/Confirmar clave: Introduzca y confirme una clave de
autenticacin.
Cifrado: Seleccione una opcin de cifrado para el trfico de tnel (3des,
aes128, aes192, aes256, aes128ccm16 o Null [sin cifrado]).
Clave/Confirmar clave: Introduzca y confirme una clave de cifrado.
Palo Alto Networks

Campo
Satlite de GlobalProtect
Descripcin
Si selecciona Satlite de GlobalProtect, especifique lo siguiente:
Para obtener una descripcin general del concepto de satlites de
GlobalProtect, consulte Implementacin de VPN a gran escala de
Nombre: Introduzca un nombre para identificar el tnel (de hasta
Interfaz de tnel: Seleccione una interfaz de tnel existente o haga clic
en Nueva interfaz de tnel. Para obtener informacin acerca de la
creacin de una interfaz de tnel, consulte Configuracin de interfaces
de tnel en la pgina 158.
Direccin IP del portal: Introduzca la direccin IP del portal de
GlobalProtect.
Interfaz: Seleccione la interfaz en la lista desplegable que sea la interfaz
de salida para llegar al portal de GlobalProtect.
Direccin IP local: Introduzca la direccin IP de la interfaz de salida
que se conecta con el portal de GlobalProtect.
Opciones avanzadas
Publicar todas las rutas estticas y conectadas hacia la puerta de
enlace: Seleccione esta opcin para publicar todas las rutas desde el
dispositivo satlite hacia la puerta de enlace de GlobalProtect en la que
este satlite est conectado.
Subred: Haga clic en Aadir para aadir subredes locales manualmente
para la ubicacin del satlite. Si otros satlites estn utilizando la misma
informacin de subred, debe aplicar la NAT a todo el trfico hacia la IP
de interfaz de tnel. Asimismo, el satlite no debe compartir rutas en
este caso, as que todo el enrutamiento se realizar a travs de la IP de
tnel.
Entidad de certificacin externa: Seleccione esta opcin si va a utilizar
una CA externa para gestionar certificados. Una vez haya generado sus
certificados, deber importarlos al dispositivo y seleccionar el
Certificado local y el Perfil del certificado que se utilizarn.
Pestaa Identificador
proxy
Identificador proxy
Haga clic en Aadir e introduzca un nombre para identificar el proxy.
Local
Introduzca una subred o direccin IP con el formato direccin_ip/
mscara (por ejemplo, 10.1.2.1/24).

Remoto
Palo Alto Networks
Si el peer lo requiere, introduzca una subred o direccin IP con el formato

direccin_ip/mscara (por ejemplo, 10.1.1.1/24).

Campo
Descripcin
Protocolo
Especifique los nmeros de protocolo y puerto para los puertos locales y

remotos:
Nmero: Especifique el nmero de protocolo (utilizado para la
interoperabilidad con dispositivos de terceros).
Cualquiera: Permita el trfico de TCP y/o UDP.
TCP: Especifique los nmeros de puertos TCP locales y remotos.
UDP: Especifique los nmeros de puertos UDP locales y remotos.
Nota: Cada ID de proxy configurado se tendr en cuenta a la hora de

calcular la capacidad de tnel de VPN de IPSec del cortafuegos.
Aspectos importantes que hay que tener en cuenta al configurar VPN de IPSec
Tenga en cuenta lo siguiente cuando configure VPN de IPSec:
Tiene que existir una ruta hacia la red remota que se est tunelando.
Puede que las claves precompartidas se introduzcan incorrectamente en uno de los

dispositivos. Las claves precompartidas siempre deben coincidir.
Puede que el modo de negociacin de fase 1 (agresivo/principal) no coincida en los

dispositivos. El modo de negociacin siempre debe coincidir.
Una configuracin incorrecta comn es habilitar el secreto perfecto hacia adelante

nicamente en un lado. Debe habilitarse en ambos lados.
Si los protocolos de enrutamiento dinmico anuncian rutas a direcciones IP pblicas a

travs del tnel de IPSec, puede que el dispositivo que establezca el tnel intente la
negociacin de fase 1 con el destino establecido para la IP pblica en lugar del extremo
del tnel de IPSec. Como resultado, la conexin nunca se crea y el enrutamiento falla.
Para solucionar este problema, asegrese de que nicamente las direcciones IP privadas
se enrutan a travs del tnel y que no existen direcciones IP pblicas ni rutas
predeterminadas en la tabla de enrutamiento que apunta al tnel.
Puede que se introduzca incorrectamente un ID de proxy para el dispositivo en el extremo

ms alejado del tnel de IPSec. Esto puede suceder porque algunos proveedores generan
un ID de proxy predeterminado para comunicaciones de IPSec que el usuario final no
puede identificar fcilmente.
Definicin de perfiles criptogrficos de IKE

Red > Perfiles de red > Criptogrfico de IKE
Utilice la pgina Perfiles criptogrficos de IKE para especificar protocolos y algoritmos para
la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec (IKEv1 de fase 1). Consulte Redes privadas virtuales en la pgina 338 para
obtener ms informacin.
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione el elemento y, a
continuacin, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden
determina la primera opcin cuando se negocian los ajustes con un peer remoto. En primer
lugar se intenta el ajuste de la parte superior de la lista, continuando hacia abajo en la lista
hasta que un intento tiene xito.
Palo Alto Networks
Tabla 135. Configuracin de perfiles criptogrficos de IKE

Campo
Descripcin
Grupo DH
Especifique la prioridad de grupos Diffie-Hellman (DH). Haga clic en

Aadir y seleccione grupos. Para mayor seguridad, seleccione un
elemento y, a continuacin, haga clic en el icono Mover hacia arriba o
Mover hacia abajo para mover los grupos con identificadores numricos
ms altos a la parte superior de la lista. Por ejemplo, mueva el grupo14
encima del grupo2.
Autenticacin
Especifique la prioridad de los algoritmos de hash. Haga clic en Aadir y

seleccione los algoritmos (MD5, SHA1, SHA256, SHA384 o SHA512). Para
mayor seguridad, utilice las flechas para mover SHA1 a la parte superior
de la lista.
Cifrado
Seleccione las casillas de verificacin para las opciones de autenticacin

de carga de seguridad encapsulada (ESP) deseada. Haga clic en Aadir y
seleccione los algoritmos (aes256, aes192, aes128 o 3des). Para mayor
seguridad, seleccione un elemento y, a continuacin, haga clic en el icono
Mover hacia arriba o Mover hacia abajo para cambiar el orden por el
siguiente: aes256, aes192, aes128, 3des.
Duracin
Seleccione unidades e introduzca la cantidad de tiempo que la clave

negociada permanecer efectiva.
Definicin de perfiles criptogrficos de IPSec

Red > Perfiles de red > Criptogrfico de IPSec
Utilice la pgina Perfiles criptogrficos de IPSec para especificar protocolos y algoritmos
para la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la
negociacin de SA de IPSec (IKEv1 de fase 2). Consulte Redes privadas virtuales en la
pgina 338 para obtener ms informacin.
Tabla 136. Configuracin de perfiles criptogrficos de IPSec

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).

guiones bajos.
Protocolo de IPSec
Seleccione una opcin de la lista desplegable.

ESP:
Haga clic en Aadir bajo Cifrado y seleccione los algoritmos de cifrado
de ESP deseados. Para mayor seguridad, utilice las flechas para cambiar
el orden de lo siguiente: 3des, aes128, aes192, aes256 o aes128ccm16.
Haga clic en Aadir bajo Autenticacin y seleccione los algoritmos de
autenticacin de ESP deseados (MD5, SHA1, SHA256, SHA384,
SHA512 o Ninguna).
AH:
Haga clic en Aadir bajo Autenticacin y seleccione los algoritmos de
autenticacin de AH deseados (MD5, SHA1, SHA256, SHA384 o
SHA512).
Palo Alto Networks
Tabla 136. Configuracin de perfiles criptogrficos de IPSec (Continuacin)

Campo
Descripcin
Grupo DH
Seleccione el grupo DH. Para mayor seguridad, seleccione el grupo con el

identificador ms alto.
Duracin
Seleccione unidades e introduzca la cantidad de tiempo que la clave

negociada permanecer efectiva. El valor predeterminado es de 1 hora.
Duracin
Seleccione unidades opcionales e introduzca la cantidad de datos que la

clave puede utilizar para el cifrado.
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione un elemento y, a

continuacin, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden de la
lista determina el orden en el que se aplican los algoritmos y puede afectar al rendimiento del
tnel.
Visualizacin del estado del tnel de IPSec en el cortafuegos

Red > Tneles de IPSec
Para ver el estado de los tneles de VPN de IPSec definidos actualmente, abra la pgina
Tneles de IPSec. En la pgina se indica la siguiente informacin de estado:
Estado del tnel (primera columna de estado): El color verde indica un tnel de SA de
IPSec. El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE
vlidas. El color rojo indica que las SA de fase 1 de IKE no estn disponibles o han
vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO). El color rojo indica que la interfaz de tnel est desactivada porque
el supervisor de tnel est habilitado y el estado es DESACTIVADO.
Palo Alto Networks
Configuracin de VPN de muestra

Esta seccin describe una configuracin de VPN de muestra. En esta muestra, una sucursal
est conectada a la sede y los usuarios de la sucursal pueden acceder a una granja de
servidores central.
Consulte los siguientes temas:
Topologa existente en la seccin siguiente
Nueva topologa en la pgina 352
Configuracin de la conexin de VPN en la pgina 352
Solucin de problemas de conectividad de VPN en la pgina 353
Topologa existente
Sede:
La IP pblica del cortafuegos es 61.1.1.1, en una interfaz Ethernet1/1, que est en la zona
ISP, enrutador virtual sede.
La red de la granja de servidores es 10.100.0.0/16, conectada a travs de una interfaz

Ethernet1/5 (IP 10.100.0.1), que est en la zona servidor, enrutador virtual sede.
Sucursal:
La IP pblica del cortafuegos es 202.101.1.1, en una interfaz Ethernet1/2, que est en la

zona sucursal de ISP, enrutador virtual sucursal.
La red del PC es 192.168.20.0/24, conectada a travs de una interfaz Ethernet1/10, que

est en la zona sucursal, enrutador virtual sucursal (igual que Ethernet1/2).
Hay una poltica de seguridad que permite el trfico de la zona sucursal a la zona
sucursal de ISP para el acceso a Internet desde la red del PC.
La siguiente ilustracin muestra la topologa existente.
Ilustracin 41. Configuracin de VPN de muestra: Topologa existente

Cortafuegos de
la sede
Cortafuegos de
la sucursal
Internet
eth1/1
61.1.1.1
Zona: ISP
Enrutador virtual: sede
eth1/5
10.100.0.1/16
Zona: servidor
eth1/2
202.101.1.1
Zona: sucursal de ISP
Enrutador virtual: sucursal
192.168.20.0/24
Red del PC
eth1/10
192.168.20.1/24
Zona: sucursal
10.100.0.0/16
Granja de
servidores
Palo Alto Networks
Nueva topologa
Sede:
Cree una nueva zona de seguridad: vpn de sucursal.
Aada una interfaz de tnel (tnel.1) a la zona vpn de sucursal y asigne una
direccin IP de un rango privado (por ejemplo, 172.254.254.1/24).
Aada una ruta esttica para dirigir el trfico a 192.168.20.0/24 (la red de la sucursal) a la
interfaz de tnel tnel.1.
Aada una poltica de seguridad para permitir el trfico de la zona vpn de sucursal a la
zona servidor.
Sucursal:
Cree una nueva zona de seguridad: vpn central.
Aada una interfaz de tnel (tnel.2) a la zona vpn central y asigne una direccin
IP de un rango privado (por ejemplo, 172.254.254.20/24).
Aada una ruta esttica para dirigir el trfico a 10.100.0.0/16 (la red de la granja de
servidores) a la interfaz de tnel tnel.2.
Aada una poltica de seguridad para permitir el trfico de la zona sucursal a la
zona vpn central.
La siguiente ilustracin muestra la informacin de tnel de la nueva topologa.
Ilustracin 42. Configuracin de VPN de muestra: Nueva informacin de tnel

Cortafuegos de
la sede
Cortafuegos de
la sucursal
192.168.20.0/24
Red del PC
Internet
eth1/1
61.1.1.1
Zona: ISP
eth1/5
10.100.0.1/16
Zona: servidor
_________________
Interfaz de tnel: tnel.1
10.100.0.0/16
Zona: vpn de sucursal
Granja de
servidores
eth1/2
202.101.1.1
Zona: sucursal de ISP
______________
Interfaz de tnel: tnel.2
172.254.254.20/24
Zona: vpn central
eth1/10
192.168.20.1/24
Zona: sucursal
Configuracin de la conexin de VPN

Sede:
Cree una puerta de enlace de IKE puerta de enlace de sucursal 1 con estos parmetros:
Direccin del peer: Dinmico (o 202.101.1.1)
Direccin local: Ethernet1/1
ID del peer: El tipo es FQDN: sucursal1.mi.dominio
Autenticacin: nueva vpn con clave precompartida
Protocolo: Mantenga los valores predeterminados
Palo Alto Networks
Cree un tnel de IPSec vpn de sucursal 1 con estos parmetros:

Perfil de puerta de enlace de IKE: puerta de enlace de sucursal 1
Perfil criptogrfico de IPSec: Deje los valores predeterminados
Interfaz de tnel: Enlcela con tnel.1
En los servidores de la granja de servidores, compruebe la tabla de enrutamiento y

verifique que se puede alcanzar el destino 192.168.20.0/24 a travs de 10.100.0.1.
Sucursal:
Cree una puerta de enlace de IKE puerta de enlace central con estos parmetros:
Direccin del peer: 61.1.1.1
Direccin local: Ethernet1/2
ID local: El tipo es FQDN: sucursal1.mi.dominio
Autenticacin: nueva vpn con clave precompartida
Protocolo: Mantenga los valores predeterminados
Cree un tnel de IPSec vpn central con estos parmetros:

Perfil de puerta de enlace de IKE: puerta de enlace central
Perfil criptogrfico de IPSec: Deje los valores predeterminados
Interfaz de tnel: Enlcela con tnel.2
Notas de configuracin:
Si 202.101.1.1 se configura como el parmetro de direccin del peer en puerta de enlace

de sucursal 1 en la ubicacin central, el ajuste de los parmetros de ID local e ID del peer
deja de ser necesario (el campo puede dejarse vaco). Tenga en cuenta que el tratamiento
de estos dos parmetros debe ser el mismo, ya que estos dos campos deben coincidir
durante la negociacin IKE.
El ID de proxy se deja vaco para las VPN basadas en rutas como esta.
Despus de configurar los parmetros y compilar la configuracin, la nueva VPN debera

funcionar. Si surgen problemas de conectividad, consulte Solucin de problemas de
conectividad de VPN en la seccin siguiente.
Solucin de problemas de conectividad de VPN

Nota: Los valores de los parmetros de esta seccin hacen referencia a la
configuracin de muestra. Consulte Configuracin de la conexin de VPN en la
pgina 352.
Para solucionar problemas relativos a la conectividad de VPN:
1.
Haga una doble comprobacin de las configuraciones de ambas ubicaciones.
2.
Utilice la utilidad ping para verificar la conectividad entre la sede y la sucursal

(202.101.1.1 y 61.1.1.1). Para que esto funcione, debe haber un perfil de gestin en la
interfaz que admita ping.
Palo Alto Networks
Implementacin de VPN a gran escala de GlobalProtect
3.
Utilice la utilidad ping para verificar la conectividad entre la granja de servidores y el

cortafuegos central (Ethernet1/5). Para que esto funcione, debe haber un perfil de gestin
en la interfaz que admita ping.
4.
Utilice la utilidad ping para verificar la conectividad entre la red de la sucursal y la

interfaz del cortafuegos de la sucursal (Ethernet1/10). Para que esto funcione, debe haber
un perfil de gestin en la interfaz que admita ping.
5.
En la ubicacin de la sucursal, utilice los comandos de la CLI test vpn ike-sa gateway
central-gw y show vpn ike-sa gateway central-gw para verificar que se pueden crear SA
de fase 1 de IKE desde la sucursal.
6.
En la ubicacin central, utilice el comando de la CLI show vpn ike-sa gateway

branch-1-gw para verificar que se pueden crear SA de fase 1 de IKE desde la sucursal.
7.
En la ubicacin de la sucursal, utilice los comandos de la CLI test vpn ipsec-sa tunnel
central-vpn y show vpn ipsec-sa tunnel central-vpn para verificar que se pueden crear
SA de fase 2 de IKE desde la sucursal.
8.
En la ubicacin central, utilice el comando de la CLI show vpn ipsec-sa tunnel

branch-1-vpn para verificar que se pueden crear SA de fase 2 de IKE desde la sucursal.
9.
Compruebe la tabla de enrutamiento del servidor en la granja de servidores. Se debe

poder alcanzar el destino 192.168.20.0/24 a travs de la direccin IP de la interfaz
Ethernet1/5 del cortafuegos central.
10. Para comprobar el ajuste de enrutamiento, ejecute el comando traceroute desde cualquier
PC de la red de la sucursal, donde el destino es uno de los servidores de la granja de
servidores.
11. Ejecute la utilidad ping desde cualquier PC de la red de la sucursal, donde el destino es
uno de los servidores de la granja de servidores. Compruebe los contadores de cifrado y
descifrado que se muestran en la salida del comando de la CLI show vpn flow. Verifique
que estos contadores van aumentando y que no aumenta ninguno de los contadores de
errores.
12. Examine los mensajes de error detallados para la negociacin IKE en Syslog o utilice el
comando debug ike pcap para capturar paquetes de IKE con el formato PCAP.

Esta seccin contiene los siguientes temas:
Descripcin general en la seccin siguiente
Implementacin de una VPN a gran escala en la pgina 355
Protocolos de enrutamiento dinmico y VPN a gran escala en la pgina 365
Creacin de copias de seguridad de un portal de GlobalProtect en la pgina 365
Palo Alto Networks
Descripcin general
La implementacin de redes de VPN a gran escala puede ser un proceso muy complicado que
requiera mucho tiempo. Algunos retos son la planificacin, los requisitos de autenticacin, la
configuracin de tnel, la planificacin de enrutamiento y el suministro y la retirada de
componentes y servicios. Con los cortafuegos de Palo Alto Networks, este proceso se ha
simplificado ampliamente aprovechando los mtodos de implementacin y gestin utilizados
en la funcin de VPN de GlobalProtect, que antes nicamente se ha utilizado para el acceso
remoto de PC clientes.
La imagen de la Ilustracin 43 muestra que cada satlite se conecta al portal para obtener un
certificado para la autenticacin y, a continuacin, descarga una configuracin de VPN inicial.
Una vez se ha completado la configuracin inicial, el dispositivo satlite establece una VPN
para todas las puertas de enlace configuradas definidas en el portal utilizando el mismo
certificado fiable, creando as una VPN de concentrador y radio. A continuacin se comparte
la informacin de red y enrutamiento entre la puerta de enlace y los dispositivos satlite para
crear varias rutas y as garantizar que siempre se mantendr la conectividad entre la sede y las
sucursales.
Red corporativa 2
Red corporativa 1
Portal de GlobalProtect
y puertas de enlace
portal.paloaltonetworks.com
Puerta de enlace
de GlobalProtect
Puerta de enlace
de GlobalProtect
Cortafuegos satlite
Ubicacin
de sucursal 1
Ubicacin
de sucursal 3
Ubicacin
de sucursal 2
Ubicacin
de sucursal...
Ilustracin 43. Implementacin de VPN a gran escala
Implementacin de una VPN a gran escala

Al implementar una VPN a gran escala mediante cortafuegos de Palo Alto Networks y
GlobalProtect, primero debe configurar las puertas de enlace de GlobalProtect, el portal de
GlobalProtect y los certificados que se utilizarn para la autenticacin de dispositivos satlite.
Una vez se hayan configurado el portal y los dispositivos de puerta de enlace, simplemente
tiene que establecer la conectividad de WAN desde el dispositivo satlite, proporcionar una
Palo Alto Networks
interfaz de tnel e introducir el nombre de host de la interfaz del portal de GlobalProtect

accesible a travs de Internet y se iniciar la configuracin del dispositivo satlite. A
continuacin, el dispositivo satlite establecer y mantendr tneles entre todos los
dispositivos de puerta de enlace configurados y utilizar la supervisin de tnel para detectar
fallos e iniciar una conmutacin por error. Una vez se hayan configurado el portal y las
puertas de enlace, podr aadir fcilmente dispositivos satlite adicionales.
Es importante recordar un par de cosas al implementar varias sucursales:
Si tiene sucursales que utilizarn subredes duplicadas, el dispositivo satlite debe aplicar
la NAT a todo el trfico a una IP o subred exclusiva. Una de las opciones ms sencillas es
aplicar la NAT de origen a todo el trfico iniciado en el satlite hacia la IP de interfaz de
tnel. Al especificar la interfaz de tnel como direccin traducida con NAT de origen, el
cortafuegos utilizar la direccin IP asignada a la interfaz de tnel por la puerta de enlace
de mayor prioridad. Si varias puertas de enlace atienden a diferentes redes, se
recomienda que proporcione una direccin IP o subred exclusiva para cada satlite que se
enrutar desde todos los dispositivos de puerta de enlace. Cuando se utilicen subredes
duplicadas, asegrese de que no se permite que los satlites compartan rutas conectadas
con las puertas de enlace; de lo contrario, surgirn problemas de enrutamiento.
Los satlites deben utilizar la supervisin de tnel (mediante una configuracin

proporcionada por las puertas de enlace) para reconocer cundo falla una puerta de
enlace. Esto tambin garantiza el mantenimiento de los tneles cuando no haya trfico
dirigido a la puerta de enlace.
La siguiente seccin describe los componentes y los pasos bsicos necesarios para
implementar una VPN a gran escala mediante GlobalProtect.
Certificados y el respondedor OCSP en la pgina 356
Configuracin de puerta de enlace de GlobalProtect en la pgina 359
Configuracin de portal de GlobalProtect en la pgina 361
Configuracin de satlites de GlobalProtect en la pgina 364
Protocolos de enrutamiento dinmico y VPN a gran escala en la pgina 365
Certificados y el respondedor OCSP

Los certificados se utilizan en el entorno de VPN a gran escala para proporcionar un esquema
de autenticacin mutuo para los dispositivos satlite y para automatizar la implementacin y
as reducir los pasos necesarios para preparar los dispositivos satlite.
El portal de GlobalProtect est configurado como una CA raz que firmar certificados para la
autenticacin de los dispositivos satlite y de puerta de enlace. La puerta de enlace utiliza un
perfil de certificado con la CA raz del portal con el fin de permitir que los satlites
autentiquen las puertas de enlace. Para aadir un nuevo dispositivo satlite a la VPN,
simplemente tiene que aadir el nmero de serie del dispositivo a la configuracin del portal
o crear un nombre de usuario y una contrasea que utilizar el administrador del satlite para
comenzar la configuracin inicial. En el satlite, debe introducir la direccin del portal en la
pgina Tneles de IPSec. A continuacin, el satlite se conectar al portal y enviar una
solicitud de firma de certificado (CSR). Luego el portal firmar y devolver el certificado de
cliente al satlite, as como el certificado de CA raz, para permitir la comunicacin.
En el caso de certificados de puerta de enlace, el portal crear un certificado de servidor que se
importar a la puerta de enlace y el certificado de CA raz del portal se definir en el perfil de
certificado de la puerta de enlace. Esto permitir que todos los satlites autentiquen las
puertas de enlace definidas.
Palo Alto Networks
Para gestionar certificados en el entorno, debe crear un perfil de protocolo de estado de

certificado en lnea (OCSP) en el portal que se utilizar para gestionar el estado de revocacin
de certificados locales emitidos para los dispositivos satlite y de puerta de enlace. En cada
dispositivo satlite y de puerta de enlace, debe configurar la opcin OCSP para que apunte al
portal.
Nota: Tambin puede utilizar una entidad de certificacin (CA) raz externa para
la implementacin de VPN de GlobalProtect.
Para obtener informacin sobre los certificados, consulte Importacin, exportacin y

generacin de certificados de seguridad en la pgina 94. Para obtener informacin sobre el
respondedor OCSP, consulte Respondedor OCSP en la pgina 98.
Configure el respondedor OCSP:
El respondedor OCSP debe configurarse primero, ya que se utilizar al crear certificados para
los dispositivos satlite y de puerta de enlace.
1.
Desplcese hasta Dispositivo > Gestin de certificados > OCSP responder.
2.
Haga clic en Aadir e introduzca un nombre para el respondedor OCSP.
3.
Introduzca el Nombre de host del portal.
Configure un perfil de gestin de respondedor OCSP:

Este perfil se utiliza para permitir que los dispositivos satlite y de puerta de enlace se
conecten al portal para solicitudes de OCSP a travs de HTTP.
1.
Desplcese hasta Red > Perfiles de red > Gestin de interfaz.
2.
Haga clic en Aadir e indique un nombre para el perfil.
3.
Seleccione la casilla de verificacin OCSP de HTTP. Puede que tambin desee habilitar
ping con fines de prueba.
4.
5.
Asigne el nuevo perfil de gestin a la interfaz de entrada del portal desplazndose hasta
Red > Interfaces.
6.
Seleccione la interfaz que se utilizar como interfaz de entrada para los dispositivos de
VPN y haga clic en la pestaa Avanzado.
7.
Desde la pestaa Otra informacin y la lista desplegable Perfil de gestin, seleccione el

perfil de gestin de OCSP que ha creado.
8.
Genere un certificado de entidad de certificacin (CA) raz:

La CA raz del portal firmar y emitir certificados para los dispositivos satlite y de puerta de
enlace para proporcionar una autenticacin mutua para dispositivos que formen parte de la
VPN a gran escala. La puerta de enlace tambin tendr un perfil de certificado con la CA raz
del portal para permitir la autenticacin desde los dispositivos satlite.
1.
Desplcese hasta Dispositivo > Gestin de certificados > Certificados.
2.
Haga clic en Generar e indique un nombre para el certificado.
Palo Alto Networks
3.
Introduzca el Nombre comn, que es la IP o FQDN que aparecer en el certificado. El

nombre comn es la direccin FQDN o IP de la interfaz a la que se conectarn los satlites.
4.
Marque la casilla Autoridad del certificado.
5.
En el campo OCSP responder, introduzca el nombre del respondedor OCSP que cre
anteriormente.
Genere un certificado de servidor para el portal:

Este certificado se utiliza para autenticar dispositivos satlite y para permitir consultas OCSP
desde satlites y puertas de enlace.
1.
En el portal de GlobalProtect, desplcese hasta Dispositivo > Gestin de certificados >

Certificados.
2.
Haga clic en Generar, indique un nombre para el certificado e introduzca un nombre

comn.
Importante: El nombre comn es la direccin FQDN o IP de la interfaz utilizada para las
conexiones de satlites y ser exclusivo del portal.
3.
En la lista desplegable Firmado por, seleccione la CA raz del portal. Establezca la

configuracin criptogrfica deseada y otros atributos y, a continuacin, haga clic en
Generar.
Genere e importe los certificados de puerta de enlace:

Cada puerta de enlace que participe en la VPN debe tener un certificado de servidor firmado
por la CA raz del portal de GlobalProtect. Asimismo, el certificado de CA raz del portal debe
importarse a cada puerta de enlace. Esto permitir que las puertas de enlace se comuniquen
con el portal y permitir que los dispositivos satlite se conecten a la puerta de enlace para
establecer la conectividad de VPN.
En los pasos siguientes, tambin podr exportar la CA raz desde el portal a la puerta de
enlace y, a continuacin, generar el certificado de puerta de enlace directamente en la puerta
de enlace mediante la CA raz importada para firmar el certificado.
En el portal de GlobalProtect, desplcese hasta Dispositivo > Gestin de certificados >
Certificados.
1.
Haga clic en Generar, indique un nombre para el certificado e introduzca un nombre

comn.
Importante: El nombre comn es la direccin FQDN o IP de la interfaz utilizada para que
el satlite se conecte a la puerta de enlace y ser exclusivo para cada puerta de enlace.
2.
En la lista desplegable Firmado por, seleccione la CA raz del portal.
3.
En OCSP responder, es importante que introduzca la URL del portal utilizando el

siguiente formato: http://direccin IP o FQDN/CA/ocsp; por ejemplo,
http://paloaltonetworks.com/CA/ocsp. Para los certificados emitidos por el portal se
generar esta ruta automticamente en el certificado.
4.
Establezca la configuracin criptogrfica deseada y otros atributos y, a continuacin, haga

clic en Generar.
5.
Seleccione el certificado que acaba de crear y, a continuacin, haga clic en Exportar y

seleccione el formato de archivo Clave privada cifrada y certificado (PKCS12).
Introduzca y confirme una frase de contrasea que se utilizar cuando importe el
certificado.
Palo Alto Networks
6.
Siga los mismos pasos para exportar el certificado de CA raz.
7.
En la puerta de enlace de GlobalProtect, desplcese hasta Dispositivo > Gestin de

certificados > Certificados.
8.
Haga clic en Importar, introduzca un Nombre del certificado y, a continuacin, haga clic
en Examinar y seleccione el certificado de servidor de puerta de enlace que export
anteriormente.
9.
Seleccione el formato de archivo Clave privada cifrada y certificado (PKCS12).

Introduzca y confirme la frase de contrasea que utiliz al exportar el certificado y haga
clic en ACEPTAR.
10. Haga lo mismo con la CA raz del portal.

Configure un perfil de certificado en la puerta de enlace:
El perfil de certificado se utiliza para autenticar el dispositivo satlite a la puerta de enlace
para establecer la VPN.
1.
Desplcese hasta Dispositivo > Gestin de certificados > Perfil del certificado.
2.
Haga clic en Aadir e indique un nombre para el perfil. Campo de nombre de usuario y
Dominio son opcionales cuando nicamente dispositivos de Palo Alto Networks se
conecten a la puerta de enlace. Deber configurar estas opciones si tiene clientes de VPN
externos que se conecten a la puerta de enlace, como por ejemplo con dispositivos iOS y
Android.
3.
En la ventana Certificados de CA, haga clic en Aadir y, en la lista desplegable

Certificado de CA, seleccione el certificado de CA raz que import desde el portal.
4.
En el campo URL de OCSP predeterminada, introduzca la URL del respondedor OCSP

mediante la IP o FQDN del portal. Es importante que introduzca la URL del portal
utilizando el siguiente formato: http://direccin IP o FQDN/CA/ocsp; por ejemplo,
http://paloaltonetworks.com/CA/ocsp.
Si tiene otro dispositivo que tambin puede gestionar solicitudes de OCSP, puede aadir
un certificado para ese perfil en la lista desplegable Verificacin de certificado CA con
OCSP.
5.
Haga clic en ACEPTAR.
6.
En la ventana Perfil del certificado, haga clic en la casilla de verificacin Utilizar OCSP.
7.
8.
Haga clic en Compilar para activar la configuracin del certificado.
Configuracin de puerta de enlace de GlobalProtect

El dispositivo satlite de la sucursal se conectar a la puerta de enlace de GlobalProtect para
establecer la conectividad de VPN con recursos corporativos. El satlite utilizar cada puerta
de enlace que est definida en la configuracin del satlite del portal de GlobalProtect para
crear una VPN de concentrador y radio. Los dispositivos de puerta de enlace tambin pueden
mantener varios tneles en una nica interfaz de tnel, de modo que no necesita una interfaz
de tnel separada para cada dispositivo satlite que se implemente. La autenticacin del
satlite a la puerta de enlace se gestiona mediante los certificados firmados por la CA del
Palo Alto Networks
portal Una vez realizada la configuracin y cuando se haya establecido la VPN, la informacin
de enrutamiento tambin se comparte dinmicamente entre los dispositivos satlite y de
puerta de enlace.
Configuracin del dispositivo de puerta de enlace de GlobalProtect:
1.
Ya debera haber generado e importado el certificado de servidor de puerta de enlace y el

certificado de CA raz del portal. Consulte Certificados y el respondedor OCSP en la
pgina 356.
2.
Cree una interfaz de tnel que sea una interfaz lgica utilizada para finalizar tneles de
VPN. Puede utilizar la interfaz de tnel predefinida o crear una nueva. La interfaz
tambin debe estar vinculada al enrutador virtual y ubicada en una zona de seguridad.
Se recomienda que cree una nueva zona, de modo que pueda controlar las polticas entre
la sucursal y la zona que contiene sus recursos protegidos. Puede ubicar la interfaz de
tnel en la misma zona que los recursos protegidos, lo que permitir que los dispositivos
satlite accedan a los recursos. Sin embargo, esta accin no le dar un control detallado de
las polticas para las redes de satlites.
Consulte Configuracin de interfaces de tnel en la pgina 158.
3.
En el cortafuegos que se utilizar como puerta de enlace de GlobalProtect, desplcese

hasta Red > GlobalProtect > Puertas de enlace y haga clic en la pestaa General.
4.
Haga clic en Aadir e indique un nombre para la puerta de enlace.
5.
Seleccione la interfaz con conectividad a Internet a la que se conectarn los dispositivos

satlite para establecer la conectividad de VPN y seleccione tambin la Direccin IP.
6.
Seleccione el certificado de servidor de puerta de enlace firmado por el portal e

importado a la puerta de enlace.
7.
Seleccione el perfil de certificado en la lista desplegable Perfil del certificado.
8.
Haga clic en la pestaa secundaria Configuracin Satlite y marque la casilla

Configuracin de tnel.
9.
Seleccione la interfaz de tnel que ha creado o seleccione la interfaz de tnel

predeterminada. Tambin puede establecer Reproducir deteccin de ataques o Copiar
TOS (opcional).
10. Establezca Intervalo de actualizacin de configuracin. Este es el ajuste que utilizar

cada satlite para determinar la frecuencia con la que el dispositivo satlite debera
comprobar si el portal tiene actualizaciones de configuracin, como la adicin de una
nueva puerta de enlace que pueden utilizar los satlites. El valor predeterminado es de 24
horas y el rango es de 1-48 horas.
11. Haga clic en la casilla de verificacin Supervisin de tnel e introduzca una IP de
destino. Puede introducir cualquier direccin IP deseada que pueda alcanzarse o, si deja
este campo en blanco, el perfil de supervisin har ping en la direccin IP de interfaz de
tnel de la puerta de enlace.
12. En la lista desplegable Perfil de monitor de tnel, configure un nuevo perfil y asegrese
de que la accin es Conmutacin por error.
13. En Perfil criptogrfico de IPSec configure un nuevo perfil o seleccione el valor
predeterminado.
Palo Alto Networks
14. Haga clic en la pestaa secundaria Configuracin de red y cumplimente la informacin

de DNS, grupo de IP y ruta de acceso que utilizarn los dispositivos satlite. El grupo de
IP es un rango de direcciones IP que se asignar a la interfaz de tnel del dispositivo
satlite que se conectar a la puerta de enlace cuando se establezca una VPN. El grupo
debe ser lo suficientemente grande para gestionar todos los satlites que se conecten a la
puerta de enlace.
Para los campos DNS principal y DNS secundario, puede seleccionar Origen de herencia
y seleccionar una interfaz existente que se utilizar para proporcionar esta informacin a
los dispositivos satlite.
15. Introduzca la informacin deseada de Acceder a ruta que deseara introducir en los
dispositivos satlite. Por ejemplo, puede proporcionar rutas de acceso para implementar
tneles divididos, de manera que el trfico de Internet de la sucursal no pase a travs de
la VPN. Si no se proporcionan rutas de acceso, todo el trfico pasar a travs del tnel.
16. Haga clic en la pestaa Filtro de ruta y deje esta opcin sin seleccionar para aceptar todas
las rutas enviadas por el satlite o haga clic en Aceptar rutas publicadas y proporcione
una lista de subredes, que filtrar todas las otras rutas y las descartar. Si est utilizando
la NAT, que utilizar la IP de interfaz de tnel, no necesita filtrar, ya que no es necesario
publicar ninguna ruta en la puerta de enlace.
17. Haga clic en Compilar para activar la configuracin de puerta de enlace.
Configuracin de portal de GlobalProtect

El portal se utiliza para gestionar el entorno de VPN. Gestiona el proceso de inscripcin para
nuevos dispositivos satlite, mantiene la lista de puertas de enlace que utilizarn los satlites y
puede actuar como la CA raz de puertas de enlace y satlites. Tambin puede utilizar una
entidad de certificacin (CA) externa si lo desea.
Una vez que el dispositivo satlite reciba su configuracin inicial y certificados del portal, se
establecer una conexin de VPN con todas las puertas de enlace definidas, de modo que no
es necesario tener una VPN entre el portal y las puertas de enlace. El nico momento en que la
puerta de enlace necesita comunicarse con el portal es para solicitudes de OCSP, para lo que
nicamente se necesita acceder a HTTP.
Tambin puede configurar el portal como puerta de enlace. Esto le permitir tener un punto
de acceso de puerta de enlace para dispositivos satlite en la misma ubicacin que el portal. A
continuacin, podr aadir puertas de enlace externas adicionales para otras ubicaciones de
toda su VPN global.
Creacin de un perfil de autenticacin en la pgina 361
Zona de seguridad e interfaz en la pgina 362
Configuracin del portal de GlobalProtect en la pgina 362
Creacin de un perfil de autenticacin

El perfil de autenticacin determina el mtodo de autenticacin que utilizarn los dispositivos
satlite para conectarse al portal. Al utilizar este mtodo, el administrador de dispositivos
satlite introducir un nombre de inicio de sesin y una contrasea cuando se conecte al
portal por primera vez. Una vez se haya autenticado el dispositivo, aadir el nmero de serie
y el nombre de host al portal. Puede utilizar una cuenta de base de datos local, RADIUS,
LDAP con Active Directory o Kerberos. En este caso, el administrador de portal no necesita
aadir el nmero de serie del dispositivo satlite a la configuracin de satlite del portal.
Consulte Perfiles de autenticacin en la pgina 67.
Palo Alto Networks
Tambin puede aadir el nmero de serie del dispositivo satlite segn se describe en
Configuracin del portal de GlobalProtect en la pgina 362. No obstante, en ambos casos
deber definir un perfil de autenticacin para poder compilar su configuracin. Si aade un
nmero de serie de dispositivo manualmente a la configuracin del portal, el perfil de
autenticacin no se utilizar, pero seguir siendo obligatorio.
Configure el perfil de autenticacin:
1.
Para utilizar una cuenta local para la autenticacin, en el portal desplcese hasta
Dispositivo > Base de datos de usuario local > Usuarios y haga clic en Aadir.
2.
Introduzca un nombre de usuario en el campo Nombre y, a continuacin, introduzca una

contrasea en los campos Contrasea/Confirmar contrasea. Tambin puede utilizar un
hash de contrasea seleccionando el botn Hash de la contrasea y pegando un hash de
contrasea en el campo.
3.
Haga clic en ACEPTAR para crear la cuenta.
4.
Desplcese hasta Dispositivo > Perfil de autenticacin y haga clic en Aadir.
5.
Introduzca un nombre de perfil en el campo Nombre y, en la lista desplegable

Autenticacin, seleccione Base de datos local. Si va a utilizar RADIUS, LDAP o Kerberos,
seleccione una de esas opciones y configure el servidor. Una vez configurado, podr
seleccionar nombres de usuario que estn disponibles en esos sistemas.
6.
En Lista de permitidas, haga clic en Aadir y, a continuacin, seleccione el usuario local

que ha creado.
Zona de seguridad e interfaz

En cada dispositivo que participe en la VPN (portal, puerta de enlace y satlite) deber
configurar una interfaz que tendr acceso a los otros dispositivos del entorno de VPN y
ubicarlos en la zona de seguridad deseada. Esto permitir que cada dispositivo se comunique
a travs de la WAN. Se recomienda que cree una nueva zona, de modo que pueda controlar
las polticas entre la sucursal y la zona que contiene sus recursos protegidos.
La conexin inicial desde el satlite al portal para la descarga de certificados y la
configuracin inicial utilizar SSL. Una vez se haya configurado el satlite, establecer una
VPN de IPSec con las puertas de enlace configuradas. Asegrese de que las zonas de
seguridad que cree tengan la casilla de verificacin Habilitar identificacin de usuarios
habilitada, de modo que los usuarios de la sucursal puedan identificarse si se configura ID de
usuario. Esto es obligatorio para las zonas que se vayan a utilizar en la puerta de enlace de
GlobalProtect. Consulte Zonas de seguridad en la pgina 162.
Configuracin del portal de GlobalProtect

La configuracin del portal define la interfaz de red que se utilizar para la inscripcin de
satlites, la autenticacin y la apariencia del portal. Tambin puede funcionar como CA raz y
respondedor OCSP.
1.
Desplcese hasta Red > GlobalProtect > Portales.
2.
Haga clic en Aadir e indique un nombre para el portal.
3.
Seleccione la interfaz que actuar como interfaz de entrada para los dispositivos satlite y,
a continuacin, seleccione la direccin IP accesible a travs de Internet en la lista
desplegable.
4.
Seleccione el certificado de servidor del portal que cre anteriormente. Consulte

Certificados y el respondedor OCSP en la pgina 356.
Palo Alto Networks
5.
Seleccione el Perfil de autenticacin que cre anteriormente. El perfil de autenticacin es

obligatorio, aunque el dispositivo satlite no lo utilizar si aade el nmero de serie del
dispositivo satlite a la configuracin del portal.
6.
En este caso, no se requiere un certificado de cliente en el portal porque el portal genera

automticamente certificados de cliente para los dispositivos satlite que utilicen la CA
raz.
7.
Seleccione un perfil de certificado que se utilizar para la autenticacin de satlites.

Tambin puede introducir el nmero de serie del satlite en la pestaa secundaria
Configuracin Satlite, de manera que el administrador del satlite no tenga que
introducir credenciales de inicio de sesin.
8.
Tambin puede configurar ajustes de apariencia.
9.
Haga clic en la pestaa Configuracin Satlite que definir opciones para los
dispositivos satlite que se conecten al portal.
10. Haga clic en Aadir e indique un nombre para Satlite de GlobalProtect. Este perfil
definir los dispositivos satlite, el mtodo de inscripcin y la lista de puertas de enlace
que utilizarn los satlites en el entorno de VPN.
11. Establezca Intervalo de actualizacin de configuracin. Este es el ajuste que utilizar
cada satlite para determinar la frecuencia con la que el dispositivo satlite debera
comprobar si el portal tiene actualizaciones de configuracin, como la adicin de nuevas
puertas de enlace.
12. En la pestaa Dispositivos, puede aadir manualmente nmeros de serie de dispositivos
satlite, o bien la lista se actualizar cuando un dispositivo satlite se conecte al portal por
primera vez mediante una autenticacin con nombre de inicio de sesin y contrasea.
El siguiente paso proporciona informacin sobre los mtodos de inscripcin.
13. El portal se puede configurar para permitir dos tipos de mtodos de autenticacin para la
inscripcin inicial (puede configurar las dos opciones siguientes):
Aada manualmente el nmero de serie del dispositivo satlite al portal en la pgina
Red > GlobalProtect > Portales > Configuracin Satlite. Haga clic en Aadir >
Dispositivos y, a continuacin, vuelva a hacer clic en Aadir e introduzca el nmero
de serie del dispositivo satlite. Cuando el dispositivo satlite se haya configurado en
la sucursal y establezca la conexin inicial con el portal, no se necesitar ninguna
autenticacin. Una vez se conecte el dispositivo satlite, el nombre de host se aadir a
la configuracin del portal automticamente.
Utilice un mensaje de nombre de inicio de sesin y contrasea del dispositivo satlite
aadiendo un usuario o grupo de inscripcin al portal en la pgina Red >
GlobalProtect > Portales > Configuracin Satlite. Haga clic en Aadir > Usuario/
grupo de usuarios de inscripcin y, a continuacin, vuelva a hacer clic en Aadir y
seleccione un usuario o grupo en la lista desplegable o seleccione Cualquiera.
Al utilizar este mtodo, no necesita introducir la informacin del dispositivo satlite en
el portal. Cuando el dispositivo se conecte, se enviar un mensaje al administrador que
configure el dispositivo satlite para que inicie sesin. Una vez realizada la
autenticacin, el nmero de serie y el nombre de host de los satlites se aadirn
automticamente a la lista de satlites del portal.
14. En la pestaa Puertas de enlace, introduzca la direccin IP o nombre de host de las
puertas de enlace que utilizar la lista definida de dispositivos satlite para la
conectividad de VPN.
Palo Alto Networks
Tambin puede establecer la prioridad de enrutamiento de la puerta de enlace desde esta

pgina. Si el dispositivo satlite tiene tneles a varias puertas de enlace, puede que
existan rutas duplicadas. Estableciendo una prioridad, la puerta de enlace con la mayor
prioridad se utilizar en primer lugar. Si la puerta de enlace falla, se utilizar la siguiente
prioridad ms alta. El intervalo de prioridad oscila entre 1 y 25, siendo 25 el nmero lmite
de puertas de enlace que puede utilizar un satlite.
15. Haga clic en ACEPTAR para guardar los cambios y, a continuacin, bajo CA raz de
confianza, haga clic en Aadir y seleccione la CA raz del portal.
16. En la lista desplegable Emisor del certificado, seleccione tambin la CA raz del portal.
Este es el certificado que se utilizar para generar certificados automticamente para los
dispositivos satlite durante la inscripcin.
17. Puede modificar el perodo de validez y el perodo de renovacin de certificado si lo
desea. El perodo de validez define la duracin del certificado y el perodo de renovacin
define la frecuencia con la que se renovar el certificado. Si no desea que sus certificados
venzan, asegrese de que el perodo de renovacin es ms corto que el perodo de
validez.
18. En la lista desplegable OCSP responder, seleccione el respondedor OCSP del portal que
cre anteriormente y, a continuacin, haga clic en ACEPTAR para guardar los cambios.
19. Haga clic en Compilar para activar los cambios.
Configuracin de satlites de GlobalProtect

En el dispositivo satlite de sucursal, primero debe configurar una interfaz con conectividad
de WAN y establecer una poltica y una zona de seguridad para que la LAN de la sucursal
pueda comunicarse con Internet. A continuacin, el dispositivo satlite se configurar con la
direccin IP o el host del portal. Una vez se haya compilado la configuracin, el satlite se
comunicar con el portal de GlobalProtect y los certificados se firmarn y descargarn con la
informacin de enrutamiento y configuracin de VPN inicial. Luego el satlite se conectar a
todas las puertas de enlace de GlobalProtect configuradas para establecer la conectividad de
VPN desde la sucursal hasta la sede. Consulte Satlite de GlobalProtect en la pgina 347
para obtener descripciones de los campos.
1.
En los dispositivos del portal ya debera haber introducido el nmero de serie del
dispositivo satlite que est configurando o haber creado un nombre de usuario y nombre
de inicio de sesin que puedan utilizarse para la configuracin inicial. Consulte
Configuracin del portal de GlobalProtect en la pgina 362.
2.
Desplcese hasta la pgina Red > Tneles de IPSec.
3.
Haga clic en Aadir para crear un nuevo tnel de IPSec.
4.
Introduzca un Nombre para el perfil de tnel y seleccione la Interfaz de tnel

predeterminada en la lista desplegable o cree una nueva interfaz de tnel.
5.
Seleccione Tipo Satlite de GlobalProtect e introduzca la Direccin IP del portal (IP o

nombre de host).
6.
Seleccione la Interfaz que se utilizar para conectarse al portal y, a continuacin,

seleccione la Direccin IP local de la interfaz. En el ejemplo que se muestra en la
Ilustracin 43 en la pgina 355, la Direccin IP del portal sera
portal.paloaltonetworks.com.
Palo Alto Networks
7.
Haga clic en la pestaa Avanzado y configure las opciones avanzadas deseadas. Es

recomendable que habilite Publicar todas las rutas estticas y conectadas hacia la puerta
de enlace, de modo que todos los dispositivos de la VPN compartan las rutas.
Nota: Si esta sucursal tiene las mismas subredes que otras sucursales de la VPN, no
habilite esta opcin a menos que est utilizando NAT.
8.
Haga clic en Compilar para activar los cambios en el dispositivo satlite.
Ahora podr comprobar la conectividad entre los dispositivos satlite y las puertas de enlace.
Para ver el estado de la VPN en el dispositivo satlite, desplcese hasta Red > Tneles de
IPSec. Debera ver un indicador de estado de color verde en la columna Estado.
Protocolos de enrutamiento dinmico y VPN a gran escala

Al utilizar protocolos de enrutamiento dinmico a travs de su VPN a gran escala, deber
tener en cuenta el siguiente comportamiento en relacin con las inundaciones y las
replicaciones:
Protocolo de informacin de enrutamiento (RIP): Los paquetes de control se envan de manera
masiva a todos los tneles (radios) en la interfaz de salida (concentrados para todos los
radios). Los paquetes de control no se replican en los tneles restantes (radios) cuando un
tnel recibe un paquete del radio entrante hacia los radios restantes.
OSPF: Se recomienda que utilice punto a multipunto (P2mp). En el modo de difusin, el
comportamiento de replicacin es el mismo que el del protocolo RIP.
El comportamiento de replicacin de multicast es el mismo que el del protocolo RIP y los
paquetes de datos no se replican. Asimismo, se admite la distribucin de multicast en un
entorno de VPN a gran escala cuando el origen de multicast reside detrs de la puerta de
enlace y los destinatarios residen detrs de los dispositivos satlite de la VPN. Actualmente no
se admiten las implementaciones en las que el origen de multicast resida en una ubicacin
satlite.
Creacin de copias de seguridad de un portal de GlobalProtect

En una configuracin de VPN a gran escala, el portal de GlobalProtect es una parte esencial
del entorno que gestiona la configuracin de VPN, todos los certificados utilizados para la
autenticacin y la lista de cortafuegos satlite que forman parte de la VPN. La informacin de
certificados y satlites es dinmica y cambia a menudo. Adems, no forma parte de la
configuracin de dispositivos.
Palo Alto Networks
La funcin Exportar estado de dispositivo se utiliza para exportar la informacin dinmica

y de configuracin de un cortafuegos configurado como portal de GlobalProtect con la
funcin de VPN a gran escala activada. El archivo de exportacin incluye una lista de todos
los dispositivos satlite gestionados por el portal, la configuracin en ejecucin en el momento
de la exportacin y toda la informacin de los certificados (certificados de CA raz, servidor y
satlite). Si el portal tiene un fallo, se puede importar el archivo exportado para restablecer la
informacin dinmica del portal.
Importante: Debe realizar manualmente la exportacin del estado del dispositivo desde
Dispositivo > Configuracin > Operaciones haciendo clic en la opcin Exportar estado de
dispositivo o puede crear una secuencia de comandos programada de la API XML para
exportar el archivo a un servidor remoto. Esto debe hacerse con regularidad, ya que puede
que los certificados de satlite cambien a menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, ejecute save device
state.
El archivo se denominar device_state_cfg.tgz y se guardar en /opt/pancfg/mgmt/devicestate. El comando de operacin para exportar el archivo de estado del dispositivo es scp
export device-state (tambin puede utilizar tftp device-state export).
Para obtener informacin sobre cmo utilizar la API XML, consulte el documento PAN-OS
XML-Based Rest API Usage Guide (Gua de uso de la API Rest basada en XML de PAN-OS,
en ingls) en https://live.paloaltonetworks.com/community/documentation.
Palo Alto Networks
Captulo 9
Configuracin de GlobalProtect
Este captulo describe GlobalProtect, que permite que sistemas cliente de cualquier parte del
mundo inicien sesin de manera segura:
Configuracin de GlobalProtect en la pgina 369
Configuracin y activacin del agente de GlobalProtect en la pgina 385
Descripcin general
GlobalProtect protege los sistemas cliente, como ordenadores porttiles, que se utilizan a nivel
de campo permitiendo iniciar sesin de manera fcil y segura desde cualquier parte del
mundo. Con GlobalProtect, los usuarios estn protegidos de cualquier amenaza, incluso
cuando no estn en la red de la empresa, enviando su trfico a travs de un cortafuegos de
Palo Alto Networks en un rea geogrfica cerrada. El nivel de acceso del usuario est
determinado con un perfil de informacin de host (HIP) que notifica la configuracin local del
usuario al cortafuegos. La informacin HIP se puede utilizar para un control de acceso
granular basado en los programas de seguridad en ejecucin en el host, los valores de registro
y muchas mas comprobaciones si el host tiene el cifrado de disco activado.
El agente de GlobalProtect tambin puede ser un dispositivo satlite de Palo Alto Networks
(cortafuegos), pero en lugar de descargar el software de agente, solo se requiere el certificado
necesario para la autenticacin y configuracin de VPN. Para obtener informacin acerca de
los dispositivos satlite, consulte Implementacin de VPN a gran escala de GlobalProtect en
la pgina 354.
Los elementos a continuacin se utilizan para proporcionar las prestaciones de GlobalProtect:
Portal: Cortafuegos de Palo Alto Networks que proporciona una administracin

centralizada para el sistema de GlobalProtect.
Puertas de enlace: Cortafuegos de Palo Alto Networks que proporcionan una aplicacin
de seguridad para el trfico de agentes de GlobalProtect.
Agente: Aplicacin instalada en el sistema cliente y configurada para conectarse al portal

y las puertas de enlace para proporcionar un acceso de red para los sistemas de usuario.
El agente tambin proporciona informacin acerca de la configuracin local del usuario
en las puertas de enlace.
Palo Alto Networks
Configuracin de GlobalProtect 367
Descripcin general
Satlite: Un dispositivo satlite es un cortafuegos de Palo Alto Networks instalado

normalmente en una sucursal, inicializado y gestionado por un portal de GlobalProtect.
Despus de que el satlite recibe su configuracin inicial del portal. se conecta a todas las
puertas de enlace configuradas para establecer la conectividad de VPN. Utilizando
GlobalProtect, los cortafuegos pueden instalarse rpidamente en sucursales con una
pequea configuracin inicial. Consulte Implementacin de VPN a gran escala de
El proceso de conexin funciona de la siguiente forma:

1.
El usuario descarga el agente de GlobalProtect del portal en un sistema cliente, como un

ordenador porttil. El agente se conecta al portal mediante una conexin SSL y descarga
un archivo de configuracin. Este archivo de configuracin incluye informacin acerca de
las diferentes puertas de enlace de GlobalProtect que se pueden utilizar para la
conectividad.
2.
El agente realiza una bsqueda inversa del DNS (Domain Name System) para determinar
si el sistema cliente se encuentra en la red interna de la empresa o en una red externa.
3.
Si la conexin se realiza a una red externa, el agente intenta realizar conexiones SSL a
todas las puertas de enlace externas y luego selecciona la mejor puerta de enlace.
4.
Dependiendo de la configuracin, se establece un tnel de IPSec o SSL entre el agente y la

puerta de enlace y se inserta una ruta predeterminada para dirigir todo el trfico a travs
del tnel a efectos de poltica de control y anlisis de amenazas.
5.
El agente enva la postura del sistema cliente, el HIP.
GlobalProtect permite utilizar perfiles de HIP en perfiles de seguridad. Un objeto HIP

especifica un conjunto de criterios para el sistema cliente considerado como una unidad al
definir perfiles de HIP. Por ejemplo, un objeto HIP puede especificar un cifrado de disco
completo o una ampliacin de software.
Los perfiles de HIP pueden incorporar objetos de HIP coincidentes o no. Por ejemplo, un
perfil de HIP puede incluir una coincidencia con objetos de HIP que especifica que el sistema
cliente incluye tanto cifrado de disco completo como ampliacin de software para instalar.
El portal almacena configuraciones de cliente y mantiene las listas de puertas de enlace
internas y externas. Tambin enumera la CA utilizada por las puertas de enlace y los agentes
para una autenticacin mutua.
Cada puerta de enlace puede funcionar en modo tnel (puertas de enlace externas) o en modo
no tnel (puertas de enlace internas). Las puertas de enlace en modo no tnel solo reciben el
HIP de clientes. Todas las comunicaciones se realizan entre agentes y puertas de enlace; no
existe comunicacin entre puertas de enlace.
Las polticas se ejecutan en puertas de enlace dependiendo de la informacin de usuario o de
HIP y los perfiles y objetos de HIP coincidentes se registran en la base de datos de HIP de la
puerta de enlace. Esta informacin aparece en el Centro de control de aplicaciones (ACC), logs
e informes personalizados.
Autenticacin de GlobalProtect
La conectividad entre todas las partes de la infraestructura de GlobalProtect se autentica
utilizando certificados de SSL. El portal puede actuar como entidad de certificacin (CA) para
el sistema (utilizando un emisor de certificado secundario importado o autofirmado en el
portal), o los clientes pueden generar certificados utilizando sus propios CA. Es recomendable
(pero no obligatorio) que los agentes de software de GlobalProtect, el portal y las puertas de
368 Configuracin de GlobalProtect
Palo Alto Networks
enlace utilicen certificados firmados por la misma CA. Antes de transferir cualquier
informacin, los agentes comprueban el certificado del servidor del portal. Si el certificado
presentado por el portal no est firmado por una CA de confianza, el agente muestra un
cuadro de dilogo de advertencia y espera la respuesta del usuario para continuar o cancelar.
Como parte del lote de configuracin enviado al cliente, el portal incluye el certificado pblico
de la CA as como la clave y el certificado necesarios del cliente. Las puertas de enlace de
GlobalProtect utilizan el certificado de cliente para autenticar e identificar al cliente.
Si se utiliza una CA interna, el certificado se genera de forma automtica y no requiere la
interaccin del usuario. El portal puede exportar la clave y el certificado de servidor
necesarios para las puertas de enlace. Si se utiliza una CA externa, se proporciona asistencia
para importar el certificado de CA junto con una clave y un certificado de servidor para el
portal as como las puertas de enlace, la clave y el certificado de cliente para los clientes.
Para obtener ms informacin acerca de la autenticacin, consulte Perfiles de autenticacin
en la pgina 67 y Secuencia de autenticacin en la pgina 73.
La configuracin de GlobalProtect en el cortafuegos incluye las siguientes tareas:
1.
Definir objetos de HIP, como se indica en Configuracin de objetos de HIP en la

pgina 370.
2.
Crear perfiles de HIP, como se indica en Configuracin de perfiles de HIP en la

pgina 373.
3.
Configurar el portal, como se indica en Configuracin del portal de GlobalProtect en la

pgina 374.
4.
Configurar puertas de enlace, como se indica en Configuracin de las puertas de enlace

de GlobalProtect en la pgina 380.
5.
Definir polticas de seguridad que incluyen perfiles de HIP, como se indica en Definicin
de polticas de seguridad en la pgina 203.
6.
Distribuir el agente de GlobalProtect, como se describe en Configuracin del agente de

7.
Supervisar la actividad del cliente, como se indica en Visualizacin de los logs en la

pgina 288.
Palo Alto Networks
Configuracin de objetos de HIP

Objetos HIP de > GlobalProtect >
Utilice esta pgina para definir ajustes para utilizar en perfiles de HIP para GlobalProtect.
Cada objeto de HIP define un conjunto de criterios para el sistema cliente considerado como
una unidad al definir perfiles de HIP.
Tabla 137. Configuracin de objeto HIP

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para el objeto de HIP (de hasta 31 caracteres). El

guiones bajos.
Compartido
Seleccione la casilla de verificacin para permitir que el objeto est

disponible para todos los sistemas virtuales.
Descripcin
Informacin de host
Seleccione la casilla de verificacin para especificar la informacin de

host.
Dominio
Para coincidir con dominios, seleccione un operador en la lista

desplegable e introduzca una cadena para asociar.
SO
Utilice las listas desplegables para especificar el sistema operativo (OS)

para el agente de GlobalProtect.
Versiones de cliente
Para coincidir con versiones del sistema operativo en el cliente, seleccione

un operador en la lista desplegable e introduzca una cadena para asociar.
Pestaa
Administracin de
parches
Administracin de
parches
Seleccione la casilla de verificacin para incluir la administracin de

parches del software en el HIP. Cuando la casilla de verificacin est
seleccionada, se activan los ajustes. A continuacin, puede definir
proveedores de administracin de parches, como Microsoft, y autorizar
nicamente los clientes con algunos niveles de parche instalados.
Criterios
Especifique los siguientes ajustes en esta pestaa secundaria:

Activado: Seleccione si los ajustes de esta pestaa estn activados (s),
desactivados (no) o no estn disponibles.
Instalado: Seleccione la casilla de verificacin si los parches estn
instalados.
Gravedad: Seleccione el nivel de importancia de los parches que faltan.
Comprobacin: Seleccione cmo el sistema debe comprobar los
parches.
Parches: Haga clic en Aadir e introduzca los nombres de archivo de
parches.
Proveedor
Haga clic en Aadir para especificar productos de administracin de

parches. Seleccione un proveedor de la lista desplegable y luego haga clic
en Aadir para elegir un producto especfico. Haga clic en ACEPTAR
para guardar los ajustes y vuelva a la pestaa Administracin de
parches.
Palo Alto Networks
Tabla 137. Configuracin de objeto HIP (Continuacin)

Campo
Descripcin
Pestaa Cortafuegos
Cortafuegos
Seleccione la casilla de verificacin para activar esta pestaa y luego

Activado: Seleccione si los ajustes de esta pestaa estn activados (s),
desactivados (no) o no estn disponibles.
Instalado: Seleccione si el cortafuegos est instalado.
Proveedor y producto: Haga clic en Aadir para especificar cortafuegos
especficos. Seleccione un proveedor de la lista desplegable y luego
haga clic en Aadir para elegir una versin de cortafuegos especfica.
Haga clic en ACEPTAR para guardar los ajustes y vuelva a la pestaa
Cortafuegos.
Excluir proveedor: Seleccione la casilla de verificacin si desea excluir
los proveedores y productos indicados en lugar de aadirlos.
Pestaa Antivirus
Antivirus

Proteccin en tiempo real: Seleccione si requerir proteccin en tiempo
real (si disponible).
Instalada: Seleccione una versin de la lista desplegable.
Versin de definicin de virus: Seleccione en la lista desplegable. Si
selecciona Dentro o Fuera, especifique el nmero de das o versiones
que deben coincidir.
Versin del producto: Seleccione un operador de la lista desplegable y
especifique una cadena asociada.
ltima hora de anlisis: Seleccione en la lista desplegable. Si selecciona
Dentro o Fuera, especifique el nmero de das o versiones que deben
coincidir.
Proveedor y producto: Haga clic en Aadir para especificar productos
antivirus. Seleccione un proveedor de la lista desplegable y luego haga
clic en Aadir para elegir un producto especfico. Haga clic en
ACEPTAR para guardar los ajustes y vuelva a la pestaa Antivirus.
Palo Alto Networks

Campo
Descripcin
Pestaa Antispyware
Antispyware

Proteccin en tiempo real: Seleccione si requerir proteccin en tiempo
real (si disponible).
Versin de definicin de virus: Seleccione en la lista desplegable. Si
selecciona Dentro o Fuera, especifique el nmero de das o versiones
Versin del producto: Seleccione un operador de la lista desplegable y
especifique una cadena asociada.
ltima hora de anlisis: Seleccione en la lista desplegable. Si selecciona
Dentro o Fuera, especifique el nmero de das o versiones que deben
coincidir.
antispyware. Seleccione un proveedor de la lista desplegable y luego
haga clic en Aadir para elegir un producto especfico. Haga clic en
ACEPTAR para guardar los ajustes y vuelva a la pestaa Antispyware.
Pestaa Copia de
seguridad de disco
Copia de seguridad de
disco

ltima fecha de copia de seguridad: Seleccione en la lista desplegable.
Si selecciona Dentro o Fuera, especifique el nmero de das o versiones
de copia de seguridad del disco. Seleccione un proveedor de la lista
desplegable y luego haga clic en Aadir para elegir un producto
especfico. Haga clic en ACEPTAR para guardar los ajustes y vuelva a
la pestaa Copia de seguridad del disco.
Pestaa Cifrado de
disco
Cifrado de disco

Palo Alto Networks

Campo
Criterios
Descripcin
Instalado: Seleccione la casilla de verificacin si el software de cifrado
de disco est instalado.
Ubicaciones cifradas: Haga clic en Aadir para especificar la unidad o
la ruta que hace referencia a un almacenamiento de datos cifrado:
Ubicaciones cifradas: Seleccione la ubicacin de la lista desplegable.
Estado: Especifique el estado de la ubicacin cifrada seleccionando
un operador y un valor de la lista desplegable.
Haga clic en ACEPTAR para guardar los ajustes y vuelva a la pestaa
Cifrado de disco.
Proveedor
Haga clic en Aadir para especificar productos de cifrado de disco

especficos. Seleccione un proveedor de la lista desplegable y luego haga
clic en Aadir para elegir un producto especfico. Haga clic en ACEPTAR
para guardar los ajustes y vuelva a la pestaa Cifrado de disco.
Pestaa
Comprobaciones
personalizadas
Lista de procesos
Haga clic en Aadir para especificar la lista de procesos para comprobar

en el sistema cliente para ver si se estn ejecutando. Por ejemplo, para
determinar si una aplicacin de software se est ejecutando, agregue el
nombre del archivo ejecutable a la lista de procesos.
Clave de registro
Haga clic en Aadir para especificar si una clave de registro particular

est presente o tiene un valor especfico.
Plist
Los plists son archivos preferibles en MacOS. Defina la ruta para un

archivo plist especfico. Tambin puede incluir claves y valores de
preferencia para comprobar el archivo.
Configuracin de perfiles de HIP

Perfiles HIP de > GlobalProtect >
Despus de definir objetos de HIP (consulte Configuracin de objetos de HIP en la
pgina 370), utilice esta pgina para crear perfiles de HIP para GlobalProtect. Al definir
perfiles de HIP, especifique criterios de coincidencia diseados a travs de los objetos de HIP
definidos anteriormente.
Tabla 138. Configuracin de perfil de HIP

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil (de hasta 31 caracteres). El nombre

hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.
Descripcin
Palo Alto Networks
Tabla 138. Configuracin de perfil de HIP (Continuacin)

Campo
Descripcin
Compartido
Seleccione la casilla de verificacin para permitir que el perfil est

disponible para todos los sistemas virtuales.
Coincidencia
Defina uno o ms objetos de HIP que desea comprobar en el cliente.

Introduzca los objetos de HIP para incluir o haga clic en Aadir criterios
de coincidencia para crear objetos. Si incluye varios objetos de HIP,
puede utilizar los operadores Y, O y NO para crear una expresin
booleana. Al utilizar este mtodo, puede establecer perfiles de HIP
complejos, por ejemplo, para comprobar que sus clientes cuentan con
antivirus instalado Y cifrado de disco instalado y activado.
Configuracin del portal de GlobalProtect

Portales de Network > GlobalProtect >
Utilice esta pgina para configurar portales de GlobalProtect.
Tabla 139. Configuracin del portal de GlobalProtect

Campo
Descripcin
Pestaa Configuracin de portal

Nombre
Introduzca un nombre para el portal (de hasta 31 caracteres). El nombre hace

Ubicacin
Seleccione el sistema virtual, si la opcin varios sistemas virtuales est

activada.
Configuracin de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizar como entrada para

clientes/cortafuegos remotos.
Direccin IP
Especifique la direccin IP en la que se ejecutar el servicio web del portal de

GlobalProtect.
Seleccione el certificado SSL para el portal de GlobalProtect.
Autenticacin
Seleccione un perfil de autenticacin para autenticar el acceso al portal.

Consulte Perfiles de autenticacin en la pgina 67.
Certificado de cliente
Seleccione el certificado que utilizar el cliente para conectarse a las puertas

de enlace.
Seleccione el perfil del certificado utilizado para autenticar los usuarios de

tarjetas inteligentes en el portal.
Apariencia
Pgina de inicio de sesin
personalizada
Seleccione una pgina de inicio de sesin personalizada opcional para el

acceso de usuario al portal.
Pgina de ayuda
personalizada
Seleccione una pgina de ayuda personalizada opcional para asistir al

usuario con el acceso al portal.
Palo Alto Networks
Tabla 139. Configuracin del portal de GlobalProtect (Continuacin)

Campo
Descripcin
Pestaa Configuracin
de cliente
Configuracin general de
pestaas secundarias
Haga clic en Aadir para mostrar las pestaas secundarias y especifique la

siguiente configuracin en la pestaa secundaria General:
Nombre: Introduzca un nombre para identificar la configuracin de este
cliente.
Utilizar registro nico: Seleccione la casilla de verificacin para obtener las
credenciales de inicio de sesin de Windows del cliente utilizadas por
GlobalProtect para conectar y autenticar de manera transparente a las
puertas de enlace y al portal de GlobalProtect. No se requiere ni nombre de
usuario ni contrasea en la configuracin del agente de GlobalProtect.
Configurar intervalo de actualizacin (horas): Especifique el intervalo en
das para actualizar la configuracin del agente de GlobalProtect (valor
predeterminado 24 horas,
intervalo 1 a 168 das).
Mtodo de conexin:
a peticin: Seleccione esta opcin para permitir a los usuarios establecer
una conexin cuando lo deseen. Con esta opcin, el usuario debe iniciar
la conexin de forma explcita. Esta funcin se utiliza principalmente
para conexiones con acceso remoto.
Inicio de sesin de usuario: Con esta opcin configurada, el agente de
GlobalProtect establecer una conexin cuando los usuarios inicien
sesin en sus equipos. Si selecciona Utilizar registro nico, el nombre de
usuario y la contrasea utilizados para iniciar sesin en Windows se
capturan por el agente de GlobalProtect y se utilizan para autenticar.
Anterior al inicio de sesin:Seleccione esta opcin para conservar los
servicios anteriores y posteriores al inicio de sesin proporcionados por
una infraestructura corporativa en lugar de aquellos ubicados en el
equipo del usuario. GlobalProtect establecer una conexin antes de que
el usuario inicie sesin en el equipo. Con eso, una empresa puede crear
una red lgica que mantiene las funciones de seguridad
y administracin alcanzadas habitualmente por una red fsica. La
creacin y seleccin de tneles se producen antes del inicio de sesin
dependiendo de los certificados del equipo necesarios para su
implementacin previa en el sistema de cliente fuera de GlobalProtect.
Ejemplos de algunos de los servicios que se pueden mantener:
Cumplimiento de la poltica de grupo de Active Directory,
mantenimiento de asignacin de unidad a recursos del servidor y la
posibilidad de recibir descargas de implementacin del software central
en ubicaciones remotas. Un ejemplo especfico de cmo funciona la
funcin previa al inicio de sesin es si un usuario remoto olvida su
contrasea, ya que GlobalProtect puede conectarse y utilizar las
credenciales en cach y establecer un VPN incluso antes de que aparezca
el mensaje de inicio de sesin, un administrador del dominio puede
restablecer la contrasea del usuario como si hubiera iniciado sesin
directamente en un controlador de dominio de la red fsica.
VPN externo: Haga clic en Aadir para agregar una lista de clientes de
VPN de acceso remoto externo que se pueden encontrar en el sistema. Si
est configurado, GlobalProtect ignorar esos clientes as como su
configuracin de ruta para asegurarse de que ni les afecta ni entra en
conflicto con ellos.
Palo Alto Networks

Campo
Pestaa secundaria
General (Continuacin)
Descripcin
Deteccin de host interno: Con esta opcin, GlobalProtect intenta
resolver el nombre de host configurado en la direccin IP configurada. Si
eso falla, GlobalProtect supone que el equipo se encuentra fuera de la
red de la empresa y establecer un tnel con cualquier puerta de enlace
externa configurada en la pestaa Puertas de enlace. Seleccione la casilla
de verificacin para activar la deteccin de host interno utilizando la
bsqueda de DNS. Especifique lo siguiente:
Direccin IP: Introduzca una direccin IP interna para la deteccin de
host interno.
Nombre de host: Introduzca el nombre de host que lleva a la direccin
IP anterior en la red interna.
Configuracin de pestaa
secundaria Usuario/
Grupo de usuarios
Especifique el usuario o grupo de usuarios para el que se aplica la

configuracin de cliente indicada.
Pestaa secundaria
Puertas de enlace
Especifique la configuracin de la puerta de enlace:

Tiempo de corte: Especifique el tiempo de espera (segundos) despus del
que el agente desestimar una respuesta de la puerta de enlace. El agente
desestima respuestas de la puerta de enlace despus de alcanzar el tiempo
de corte configurado o el tiempo de espera del socket. Si se especifica 0, el
agente ignora el tiempo de corte.
Puertas de enlace internas: Especifique las puertas de enlace internas en las
que el agente autenticar y proporcionar informes.
Puertas de enlace externas: Especifique la lista de puertas de enlace con las
que el agente intentar establecer tneles fuera de la red de la empresa. El
agente se pondr en contacto con todas las puertas de enlace y establecer
un tnel con el cortafuegos que proporciona la respuesta ms rpida y el
valor de prioridad ms bajo.
Seleccione la casilla de verificacin Manual si desea permitir que los
usuarios seleccionen una puerta de enlace diferente mientras su VPN est
conectado. El agente de GlobalProtect tendr la opcin de conectarse a
cualquier puerta de enlace externa que cuenta con la seleccin manual. Al
conectarse a la nueva puerta de enlace, se desconectar el tnel existente y
se establecer un nuevo tnel. A diferencia de la puerta de enlace principal,
las puertas de enlace manuales pueden tambin tener un diferente
mecanismo de autenticacin. Si se reinicia el sistema cliente o si se realiza
un redescubrimiento, el agente de GlobalProtect se conectar a la puerta de
enlace principal. Esta funcin es muy til si cuenta con un grupo de
usuarios que necesitan conectarse de forma temporal a una puerta de
enlace especfica para acceder a un segmento seguro de su red.
Nota: Solo puede conectarse a puertas de enlace definido en el portal, no
puede conectarse a varios portales y puertas de enlace.
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Agente

Habilitar vista avanzada: Cancele la seleccin de la casilla de verificacin
para restringir la interfaz del usuario por parte del cliente en la vista
mnima bsica. De forma predeterminada, la configuracin de vista
avanzada est activada en todos los agentes de GlobalProtect.
El usuario puede guardar la contrasea: Seleccione la casilla de
verificacin para permitir a los usuarios guardar sus contraseas.
Cancelacin del agente por el usuario: Seleccione una opcin de
cancelacin:
desactivada: La cancelacin de usuario est cancelada.
con comentario: Se pide al usuario introducir un comentario

cuando desactive el agente de GlobalProtect.
con contrasea: El usuario debe proporcionar la contrasea para

utilizar la cancelacin del agente de GlobalProtect.
con vale: Esta opcin activa un mecanismo de respuesta por desafo

para autorizar la desactivacin de GlobalProtect por parte del
cliente. Con esta opcin seleccionada, se solicita un desafo al
usuario al desactivar GlobalProtect. El desafo es transmitido al
administrador fuera del cortafuegos y el administrador puede
validar el desafo mediante la interfaz de administracin del
cortafuegos. El cortafuegos genera una respuesta que se presenta al
usuario que podr luego desactivar GlobalProtect introduciendo la
respuesta en GlobalProtect.
Tiempo de espera a la cancelacin del agente por el usuario: Especifique

el tiempo de espera mximo (segundos) antes de que se agote el tiempo de
espera de la recopilacin de datos.
Mx. de cancelaciones de usuario de agente: Especifique el nmero
mximo de veces que un usuario puede desactivar GlobalProtect antes de
que sea obligatoria una conexin correcta con un cortafuegos.
Mostrar pgina de bienvenida: Seleccione la casilla de verificacin para
permitir la visualizacin de una pgina de bienvenida para el portal.
Pgina de bienvenida: Seleccione la pgina de bienvenida predeterminada
de fbrica o haga clic en Importar para importar pgina. Si selecciona
Ninguna y selecciona la opcin Mostrar pgina de bienvenida, aparece
una pgina en blanco.
Habilitar opcin de nueva deteccin de red: Seleccione esta casilla de
verificacin para permitir al usuario activar manualmente el
redescubrimiento de red.
Habilitar opcin de reenvo de informacin de host: Seleccione esta casilla
de verificacin para permitir al usuario activar el reenvo del ltimo HIP
manualmente.
Actualizacin de cliente: Especifique si solicitar al cliente que actualice
despus de realizar cambios en la configuracin(mensaje) o que realice la
actualizacin sigilosamente sin un mensaje de usuario (transparente).
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Recopilacin de datos

Mx. de tiempo de espera: Especifique el tiempo de espera mximo
(segundos) antes de que se agote el tiempo de espera de la recopilacin de
datos.
Excluir categoras: Haga clic en Aadir para especificar un software en
particular y categoras de configuracin de cliente para excluir de la
recopilacin de datos. Seleccione un proveedor de la lista desplegable y
haga clic en Aadir para elegir un producto especfico. Haga clic en
ACEPTAR para guardar la configuracin.
Comprobaciones personalizadas: Especifique la siguiente informacin:
Clave de registro: (Windows) Haga clic en Aadir para especificar si
una clave de registro particular est presente o tiene un valor especfico.
Plist: (Mac) Haga clic en Aadir para especificar si una clave de plist
particular est presente o tiene un valor especfico.
Lista de procesos: Haga clic en Aadir para especificar la lista de
procesos para comprobar en los sistemas de usuario final para ver si
estn en ejecucin. Por ejemplo, para determinar si una aplicacin de
software se est ejecutando, agregue el nombre del archivo ejecutable a
la lista de procesos.
CA raz de confianza
Especifique la CA raz o emisores de certificados que el agente de

GlobalProtect comprobar al conectarse a una puerta de enlace. Si una puerta
de enlace presenta un certificado al cliente que no se ha emitido por una de
las CA mencionadas, el cliente rechazar el protocolo de enlace y finalizar la
conexin.
Haga clic en Aadir para especificar un certificado de CA raz.
Clave de cancelacin del

agente por el usuario/
Confirmar clave de
cancelacin del agente
por el usuario
Configuracin Satlite
Pestaa secundaria
General
Cuando crea una cancelacin del agente de GlobalProtect con vale, que se
puede utilizar para permitir a los usuarios desactivar el agente, puede
utilizar esta clave hash para validar el cliente cuando intenta desactivar con el
vale.
Para obtener informacin acerca del uso de GlobalProtect para implementar
VPN a gran escala, consulte Implementacin de VPN a gran escala de
Haga clic en Aadir para mostrar las pestaas secundarias y especifique la
siguiente configuracin en la pestaa secundaria GlobalProtect Satellite >
General:
Nombre: Introduzca un nombre para identificar el perfil del dispositivo
satlite de GlobalProtect.
Actualizar intervalo de configuracin (horas): Especifique la frecuencia
con la que los dispositivos satlite deben comprobar el portal para
actualizaciones de la configuracin (valor predeterminado 24 horas,
intervalo entre 1 y 48 horas).
Pestaa secundaria
Dispositivos
Haga clic en Aadir para agregar manualmente un dispositivo satlite

utilizando el nmero de serie del dispositivo. Si utiliza esta opcin, cuando se
conecta el dispositivo satlite por primera vez para recibir el certificado de
autenticacin y la configuracin inicial, no se requiere un mensaje de inicio
de sesin. Despus de autenticar el dispositivo satlite, se agrega Nombre
(nombre de host) al portal de forma automtica.
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Inscripcin del usuario/
Grupo de usuario
Haga clic en Aadir para agregar un Usuario o Grupo de usuarios que se

utilizar para autenticar el dispositivo satlite cuando se conecte por primera
vez al portal. Seleccione Cualquiera para autorizar la autenticacin por
cualquier usuario o grupo de usuarios. Cuando se conecta el dispositivo
satlite por primera vez, se solicitar al administrador un nombre de
usuario/contrasea.
Pestaa secundaria
Puertas de enlace
Haga clic en Aadir para introducir una direccin IP o nombre de host de las
puertas de enlace que formar parte de la red de VPN. Cada dispositivo
satlite agregado al portal crear un tnel de IPSec en cada puerta de enlace.
La informacin de enrutamiento se comparte entre los satlites y las puertas
de enlace.
Tambin puede definir una prioridad de enrutador para las puertas de
enlace. Cuando un satlite cuenta con tneles VPN en varias puertas de
enlace, pueden existir rutas duplicadas. Estableciendo una prioridad, la
puerta de enlace con la mayor prioridad se utilizar en primer lugar. Si la
puerta de enlace falla, se utilizar la siguiente prioridad ms alta. El intervalo
de prioridad oscila entre 1 y 25, siendo 25 el nmero lmite de puertas de
enlace a las que puede conectarse un satlite.
El satlite tambin comparte su informacin de red y enrutamiento con las
puertas de enlace si la opcin Publicar todas las estticas y conectar los
enrutadores a Puerta de enlace (configurada en la pestaa avanzada >
Satlite >) est seleccionada. Consulte Satlite de GlobalProtect en la
pgina 347.
Cuando agrega una puerta de enlace, en la configuracin de portal, crea un
certificado y una clave nueva utilizando la misma emisin de CA utilizada
para crear certificados de satlite y puerta de enlace. Exporta el certificado
como un archivo PKCS12 y lo importa en la puerta de enlace junto con el
certificado de CA emitido.
CA raz de confianza
Haga clic en Aadir y seleccione una CA raz de confianza (Entidad de

certificacin), o cree una nueva CA raz de confianza que se utilizar para
emitir certificados de cliente para todos los dispositivos satlite y puerta de
enlace para el perfil del dispositivo satlite de GlobalProtect.
Emisor del certificado
Define el certificado que utilizar el portal para emitir nuevos certificados de

cliente de IPSec en dispositivos satlite y puerta de enlace.
Perodo de validez (das)
Especifique la duracin del certificado del dispositivo satlite de

GlobalProtect emitido (valor predeterminado 7 das, intervalo de 7 a
365 das).
Perodo de renovacin del

certificado (das)
Especifique el perodo de renovacin del certificado del dispositivo satlite

de GlobalProtect (valor predeterminado 3 das, intervalo de 3 a 30 das). Eso
determinar la frecuencia de renovacin de los certificados.
OCSP responder
Seleccione el OCSP responder que se utilizar por el portal para determinar

el estado de revocacin de los dispositivos satlite y puertas de enlace.
Palo Alto Networks
Configuracin de las puertas de enlace de GlobalProtect

Puertas de enlace de Network > GlobalProtect >
Utilice esta pgina para configurar puertas de enlace de GlobalProtect. La puerta de enlace se
puede utilizar para proporcionar conexiones de VPN para equipos PC de cliente o
dispositivos satlite de GlobalProtect.
Tabla 140. Configuracin de la puerta de enlace de GlobalProtect

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para la puerta de enlace (de hasta 31 caracteres). El

nombre hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.
Ubicacin
Seleccione el sistema virtual, si la opcin varios sistemas virtuales est

activada.
Configuracin de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizar como entrada para

clientes/cortafuegos remotos.
Direccin IP
Especifique la direccin IP en la que se ejecutar el servicio web del portal de

GlobalProtect.
Seleccione el certificado de servidor para la puerta de enlace.
Autenticacin
Seleccione un perfil o una secuencia de autenticacin para autenticar el

acceso al portal. Consulte Perfiles de autenticacin en la pgina 67.
Seleccione el perfil de certificado para la autenticacin de cliente.
Pestaa Configuracin
de cliente
Pestaa secundaria
Configuracin del tnel
Palo Alto Networks
Tabla 140. Configuracin de la puerta de enlace de GlobalProtect (Continuacin)

Campo
Descripcin
Modo de tnel
Seleccione la casilla de verificacin para activar el modo tnel y especifique

los siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel para acceder a la puerta de
enlace.
Mx. de usuarios: Especifique el nmero mximo de usuarios que pueden
acceder a la puerta de enlace a la vez. Si se alcanza el nmero mximo de
usuarios, se negar el acceso a los usuarios siguientes con un mensaje de
error indicando que se ha alcanzado el nmero mximo de usuarios.
Habilitar IPSec: Seleccione la casilla de verificacin para activar el modo
IPSec para el trfico de cliente, convirtiendo IPSec en el mtodo principal y
SSL-VPN en el mtodo alternativo.
Habilitar compatibilidad con X-Auth: Seleccione la casilla de verificacin
para activar la compatibilidad con Extended Authentication (X-Auth) en la
puerta de enlace de GlobalProtect cuando se activa IPSec. Con la
compatibilidad de X-Auth, los clientes externos de VPN de IPSec
compatibles con X-Auth (como el cliente VPN de IPSec en dispositivos
Apple iOS y Android) pueden establecer un tnel VPN con la puerta de
enlace de GlobalProtect. La opcin X-Auth simplemente proporciona
acceso remoto desde el cliente VPN a una puerta de enlace especfica de
GlobalProtect y no proporciona las funciones de HIP y control completas
que forman parte del agente de GlobalProtect instalado en equipos PC.
Para obtener ms detalles acerca de la configuracin de una puerta de
enlace de GlobalProtect para autorizar a clientes de IPSec X-Auth, consulte
las notas tcnicas Configuracin de GlobalProtect para Apple iOS VPN y
Configuracin de GlobalProtect para Android VPN en el rea Nota
tcnica en https://live.paloaltonetworks.com/community/documentation.
Si se especifica el nombre de grupo y la contrasea de grupo, la primera
fase de autenticacin requiere ambas informaciones para utilizar esta
credencial para autenticar. La segunda fase requiere una contrasea y un
nombre de usuario vlidos, que se comprobarn mediante el perfil de
autenticacin configurado en la seccin Autenticacin.
Si no se definen un nombre de grupo y una contrasea de grupo, la
primera fase de autenticacin se basa en un certificado vlido
presentado por el cliente de VPN externo. Este certificado se valida
despus a travs del perfil de certificado configurado en la seccin de
autenticacin.
Configuracin de tiempo
de espera
Especifique los siguientes ajustes de tiempo de espera:

Duracin de inicio de sesin: Especifique el nmero de das, horas o
minutos permitido para una sesin de inicio de sesin de puerta de enlace
nica.
Cierre de sesin por inactividad: Especifique el nmero de das, horas y
minutos tras el que se cierra una sesin inactiva automticamente.
Pestaa secundaria
Configuracin de red
Origen de herencia
Palo Alto Networks
Seleccione un origen para propagar un servidor DNS y otras configuraciones

desde el cliente DHCP o cliente PPPoE seleccionados en la configuracin del
agente de GlobalProtect. Con esta configuracin, se heredan todas las
configuraciones de red del cliente, como servidores DNS y servidores WINS,
de la configuracin de la interfaz seleccionada en el Origen de herencia.

Campo
Descripcin
DNS principal
Introduzca las direcciones IP de los servidores principal y secundario que

proporcionan DNS a los clientes.
DNS secundario
WINS principal
WINS secundario

proporcionan Windows Internet Naming Service (WINS) a los clientes.
Comprobar estado del

origen de herencia
Haga clic en el enlace para ver la configuracin del servidor asignada

actualmente a las interfaces del cliente.
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar de
forma local cuando se introduce un nombre de host sin restricciones que no
puede resolver.
Los sufijos se utilizan en el orden en el que aparecen. Para cambiar el orden
en el que aparecen los sufijos, seleccione una entrada y haga clic en los
botones Mover hacia arriba y Mover hacia abajo. Para eliminar una entrada,
seleccinela y haga clic en Eliminar.
Heredar sufijos DNS

Grupo de IP
Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Haga clic en Aadir para especificar la configuracin del grupo de IP.
Utilice esta seccin para crear una gama de direcciones IP para asignar a los
usuarios remotos. Cuando se establece el tnel, se crea una interfaz en el
equipo del usuario remoto con una direccin de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el usuario. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los clientes una direccin IP que no entra en
conflicto con otras interfaces en el cliente.
Los servidores/enrutadores en las redes debe dirigir el trfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un usuario remoto.
Acceder a ruta
Haga clic en Aadir para especificar las opciones de ruta de acceso.

Utilice esta seccin para agregar rutas que se introducirn en el equipo del
usuario remoto y por lo tanto determinarn lo que enviar el equipo del
usuario a travs de la conexin de VPN.
Por ejemplo, puede establecer tneles divididos para permitir a los usuarios
remotos acceder a Internet sin pasar por el tnel de VPN.
Si no se agrega ninguna ruta, cada solicitud se dirigir a travs del tnel (sin
divisin de tnel). En este caso, cada solicitud de Internet pasa a travs del
cortafuegos y luego a la red. ste mtodo puede evitar la posibilidad de
acceso al equipo del usuario por parte de terceros y por lo tanto la obtencin
de acceso a la red interna (utilizando el equipo de usuario como puente).
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Notificacin HIP
Notificacin HIP
Haga clic en Aadir para especificar las opciones de notificacin. Seleccione

Habilitar para activar la opcin coincidir o no coincidir con un mensaje.
Seleccione una opcin de notificacin en la lista desplegable Notificacin
mostrada como y especifique un mensaje coincidente o no coincidente.
Utilice esta configuracin para notificar al usuario final el estado de la
mquina, por ejemplo, para proporcionar un mensaje de advertencia.
Nota: Las pginas de notificacin HIP pueden tener el formato HTML enriquecido,
que puede incluir enlaces a recursos y sitios web externos. Utilice el icono de enlace
en la barra de herramientas de configuracin de texto para agregar enlaces.
Pestaa Configuracin
Satlite
Pestaa secundaria
Configuracin del tnel
Configuracin de tnel
Seleccione la casilla de verificacin Configuracin de tnel y seleccione una

interfaz de tnel existente o haga clic en Nueva interfaz de tnel. Para
obtener informacin acerca de la creacin de una interfaz de tnel, consulte
Configuracin de interfaces de tnel en la pgina 158.
Reproducir deteccin de ataques:Proteger frente a reproduccin de ataques.
Copiar TOS: Copie el encabezado de TOS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes
resumidos con el fin de preservar la informacin original de TOS.
Intervalo de actualizacin de la configuracin (horas): Especifique la
frecuencia con la que los dispositivos satlite deben comprobar el portal para
actualizaciones de la configuracin (valor predeterminado 24 horas, intervalo
entre 148 y 48 horas).
Supervisin de tnel
Seleccione la casilla de verificacin Supervisin de tnel para activar la

supervisin de los tneles de VPN entre el dispositivo satlite y las puertas
de enlace. Se recomienda permitir errores si una de las puertas de enlace no
consigue comunicarse con el satlite.
IP de destino:Especifique una direccin IP en otro lado del tnel que el
supervisor de tnel utilizar para determinar si el tnel funciona
correctamente.
Perfil de monitor de tnel: Seleccione el perfil de monitor predeterminado o
cree un nuevo perfil. Se utiliza un perfil de monitor para realizar una
tolerancia a fallos automtica en otro tnel. Consulte Definicin de perfiles
de supervisin en la pgina 192.
Perfiles criptogrficos
Palo Alto Networks
Seleccione un Perfil criptogrfico de IPSec o cree un nuevo perfil. Eso

determinar los protocolos y algoritmos para la identificacin, la
autenticacin y el cifrado de los tneles de VPN. Consulte Definicin de
perfiles criptogrficos de IPSec en la pgina 349.

Campo
Descripcin
Pestaa secundaria
Configuracin de red
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras configuraciones

desde el cliente DHCP o cliente PPPoE seleccionados en la configuracin del
satlite de GlobalProtect. Con esta configuracin, se heredan todas las
configuraciones de red, como servidores DNS, de la configuracin de la
interfaz seleccionada en el Origen de herencia.
DNS principal

proporcionan DNS a los satlites.
DNS secundario
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el satlite puede utilizar de
forma local cuando se introduce un nombre de host sin restricciones que no
puede resolver.
Los sufijos se utilizan en el orden en el que aparecen. Para cambiar el orden
en el que aparecen los sufijos, seleccione una entrada y haga clic en los
botones Mover hacia arriba y Mover hacia abajo. Para eliminar una entrada,
seleccinela y haga clic en Eliminar.
Heredar sufijo DNS
Seleccione esta casilla de verificacin para enviar el sufijo de DNS a los

dispositivos de satlite para uso local cuando se introduce un nombre de host
sin restricciones que no puede resolver.
Grupo de IP
Haga clic en Aadir para especificar la configuracin del grupo de IP.

Utilice esta seccin para crear una gama de direcciones IP para asignar a los
dispositivos satlite. Cuando se establece el tnel, se crea una interfaz en el
dispositivo satlite con una direccin de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el satlite. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los satlites una direccin IP que no entra en
conflicto con otras interfaces en el dispositivo.
Los servidores/enrutadores en las redes debe dirigir el trfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un satlite.
Acceder a ruta
Haga clic en Aadir para especificar las opciones de ruta de acceso.

Utilice esta seccin para agregar rutas que se introducirn en los satlites y
por lo tanto determinar qu rutas utilizarn los satlites para dirigir el trfico
a travs de la conexin de VPN.
Por ejemplo, puede establecer tneles divididos para permitir a los satlites
acceder a Internet sin pasar por el tnel de VPN.
Si no se agrega ninguna ruta, cada solicitud se dirigir a travs del tnel (sin
divisin de tnel).
Haga clic en Aadir para introducir una ruta.
Pestaa secundaria Filtro

de ruta
Haga clic en la casilla de verificacin Aceptar rutas publicadas e introduzca

las subredes del satlite que se agregarn a la tabla de ruta de la puerta de
enlace cuando se comparte la informacin de rutas. Se filtrarn las subredes
del satlite que no forman parte de la lista.
Palo Alto Networks
Configuracin y activacin del agente de GlobalProtect

Dispositivo > Cliente de GlobalProtect
La pgina Cliente de GlobalProtect Client indica las versiones disponibles de GlobalProtect.
Cuando se conecta el cliente, el sistema comprueba la versin e instala la versin activada ms
recientemente del software de agente si es distinta a la versin que existe en el cliente.
Nota: Para la instalacin y descarga inicial del agente de GlobalProtect, el
usuario del sistema cliente debe iniciar sesin con derechos de administrador. Para
las actualizaciones siguientes, no se requieren los derechos de administrador.
Para descargar y activar el agente de GlobalProtect:
1.
Haga clic en el enlace Descargar de la versin que desee. La descarga comienza y se abre
una ventana emergente para mostrar el progreso de la descarga. Cuando finalice la
descarga, haga clic en Cerrar.
2.
Para activar una versin descargada, haga clic en el enlace Activar de la versin. Si ya se
ha descargado y activado una versin existente del software cliente, aparece un mensaje
emergente indicando que se descargar la nueva versin en la siguiente conexin del
cliente.
3.
Para activar el cliente instalado anteriormente a travs del botn Cargar, haga clic en el
botn Activar desde archivo. Se abre una ventana emergente. Seleccione el archivo de la
lista desplegable y haga clic en ACEPTAR.
4.
Para eliminar una versin descargada del software cliente del cortafuegos, haga clic en el
icono Eliminar en la columna ms a la derecha.
Palo Alto Networks
Configuracin del agente de GlobalProtect

El agente de GlobalProtect(PanGP Agent) es una aplicacin instalada en el sistema cliente
(normalmente un ordenador porttil) para permitir conexiones de GlobalProtect con portales
y puertas de enlace y compatible con el servicio de GlobalProtect (PanGP Service).
Nota: Asegrese de seleccionar la opcin de instalacin correcta para sus sistema
operativo de host (32 bits o 64 bits). Si se realiza la instalacin en un host de 64
bits, utilice un combo explorador/Java para la instalacin inicial.
Para instalar el agente, abra el archivo de instalador y siga las instrucciones que aparecen en
pantalla.
Para configurar el agente:
1.
Seleccione Iniciar > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
La interfaz de cliente se abre para mostrar la pestaa Configuracin.
Ilustracin 44. GlobalProtect: Pestaa Configuracin

2.
Especifique el nombre de usuario y la contrasea a utilizar para la autenticacin de

GlobalProtect y seleccione opcionalmente la casilla de verificacin Recordarme.
3.
Introduzca la direccin IP del cortafuegos que acta como el portal de GlobalProtect.
4.
Haga clic en Aplicar.
Uso del agente de GlobalProtect

Las pestaas en el agente de GlobalProtect contiene informacin til acerca del estado y
configuracin y proporciona informacin para ayudar a solucionar problemas de conexin.
Pestaa Estado: Muestra el estado actual de la conexin e indica cualquier advertencia o

error.
Pestaa Detalles: Muestra informacin acerca de la conexin actual, incluyendo

direcciones IP y protocolo y presenta estadsticas de paquete y bytes acerca de la conexin
de red.
Palo Alto Networks
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Pestaa Solucin de problemas: Muestra informacin para ayudar a solucionar

problemas.
Configuraciones de red: Muestra la configuracin actual del sistema cliente.
Tabla de enrutamiento: Muestra informacin acerca del enrutamiento actual de la
conexin de GlobalProtect.
Sockets: Muestra informacin de socket de las conexiones actualmente activas.
Logs: le permite mostrar logs del agente y el servicio de GlobalProtect (PanGP Agent),
(PanGP Service). Seleccione el tipo de log y el nivel de depuracin. Haga clic en Iniciar
para comenzar los logs y Detener para finalizar los logs.
Palo Alto Networks
Palo Alto Networks
Captulo 10
Configuracin de la calidad de servicio

Este captulo describe cmo configurar la calidad de servicio (QoS) en el cortafuegos:
Compatibilidad del cortafuegos con QoS en la seccin siguiente
Definicin de perfiles de QoS en la pgina 392
Definicin de polticas de QoS en la pgina 393
Visualizacin de estadsticas de QoS en la pgina 397
Compatibilidad del cortafuegos con QoS

El cortafuegos es compatible con configuracin de grano fino de QoS para el trfico en claro y
de tnel en la salida del cortafuegos. (El procesamiento de QoS de entrada no es compatible.)
Los perfiles de QoS estn adjuntos a las interfaces fsicas para especificar cmo se asignan
clases de trfico al ancho de banda (garantizado, mximo) y prioridad. La poltica de QoS se
utiliza luego para asignar sesiones especficas a clases de QoS. La clasificacin de QoS es
compatible con todos los tipos de interfaz excepto Agregar Ethernet.
El cortafuegos admite las siguientes configuracin de QoS:
Utilice la pgina > QoS de red para configurar ajustes de QoS para las interfaces del
cortafuegos y especificar criterios para el trfico de texto claro y de tneles que el
cortafuegos deja a travs de esas interfaces. Consulte Configuracin de QoS para
interfaces de cortafuegos en la pgina 390.
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases
de trfico de QoS. Puede establecer lmites generales en el ancho de banda
independientemente de la clase y tambin establecer lmites para clases individuales.
Tambin puede asignar prioridades a diferentes clases. Las prioridades determinan cmo
se trata el trfico cuando se produce un conflicto. Consulte Definicin de perfiles de
QoS en la pgina 392.
Utilice la pgina > QoS de polticas para configurar polticas con el fin de configurar
restricciones de QoS. Consulte Definicin de polticas de QoS en la pgina 393.
Palo Alto Networks
Configuracin de la calidad de servicio 389
Elementos importantes a tener en cuenta al configurar la compatibilidad del

cortafuegos para QoS
Al configurar el perfil de QoS, los ajustes de salida mximos y garantizados definidos

para las clases no debe superar los ajustes de salida mximos y garantizados definidos
para el perfil en s.
Se asignar una clase predeterminada de 4 al trfico que no coincide con la poltica de

QoS. Asegrese de asignar una prioridad y un ancho de banda garantizado mximo
teniendo en cuenta esto.
Cada modelo de cortafuegos admite un nmero mximo de puertos que se puede

configurar con QoS. Consulte la hoja de especificaciones de su modelo de cortafuegos en
http://www.paloaltonetworks.com.
Configuracin de QoS para interfaces de cortafuegos

> QoS de red
Utilice la pgina QoS para configurar los lmites del ancho de banda para las interfaces del
cortafuegos.
Tabla 141. Configuracin de QoS

Campo
Descripcin
Interfaz fsica
Nombre de interfaz
Mximo de salida
(Mbps)
Introduzca el lmite en el trfico del cortafuegos en esta interfaz (Mbps).
Activar la funcin QoS

en esta interfaz
Seleccione la casilla de verificacin para activar funciones de QoS.
Perfil predeterminado:
Seleccione los perfiles predeterminados de QoS para el trfico en claro y

de tnel. Debe especificar un perfil predeterminado para cada uno. Para
el trfico en claro, el perfil predeterminado se aplica a todo el trfico en
claro como un conjunto. Para el trfico de tnel, el perfil predeterminado
se aplica de forma individual a cada tnel que no cuenta con una
asignacin de perfil especfico en la seccin de configuracin detallada.
Para obtener instrucciones sobre cmo definir perfiles de QoS, consulte
Definicin de perfiles de QoS en la pgina 392.
Trfico en claro
Interfaz de tnel
Trfico en claro y de
tnel
Especifique la siguiente configuracin en las pestaas de tnel y en claro.

Estos valores se aplican a menos que se sobrescriban configurando el rea
Configuracin de detalles, como se describe a continuacin en esta tabla.
Salida garantizada
(Mbps)
Introduzca el ancho de banda garantizado para el trfico de tnel desde

esta interfaz.
Mximo de salida
(Mbps)
Introduzca el lmite en el trfico del cortafuegos en esta interfaz (Mbps).
390 Configuracin de la calidad de servicio
Palo Alto Networks
Tabla 141. Configuracin de QoS (Continuacin)

Campo
Descripcin
Aadir
Haga clic en Aadir desde las pestaas Trfico en claro o Trfico de

tnel para definir la granularidad adicional en el tratamiento del trfico
en blanco o para sobrescribir la asignacin del perfil predeterminado para
tneles especficos. Si esta seccin se deja en blanco, se utilizan los valores
especificados en Configuracin de grupo.
Por ejemplo, asuma una configuracin con dos sitios, uno de los cuales
cuenta con una conexin de 45 Mbps y el otro con una conexin T1 con el
cortafuegos. Puede aplicar una configuracin de QoS restrictiva al sitio T1
por lo que la conexin no se sobrecarga a la vez que se proporciona una
configuracin ms flexible para el sitio con la conexin de 45 Mbps.
Para agregar granularidad al trfico en claro, haga clic en la pestaa En
claro, haga clic en Aadir y luego haga clic en las entradas individuales
para configurar las siguientes ajustes:
Nombre: Introduzca un nombre para identificar estos ajustes.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la subred y la
interfaz especificadas. Para obtener instrucciones sobre cmo definir
perfiles de QoS, consulte Definicin de perfiles de QoS en la
pgina 392.
Las reglas de QoS para el texto en claro se aplican en el orden especificado. Para
cambiar el orden, seleccione la casilla de verificacin de la entrada y haga clic en
Mover hacia arriba o Mover hacia abajo.
Interfaz de origen: Seleccione la interfaz del cortafuegos.
Subred de origen: Seleccione una subred para restringir los ajustes al
trfico procedente de ese origen o mantenga el valor predeterminado
cualquiera para aplicar los ajustes a cualquier trfico de la interfaz
especificada.
Para sobrescribir el perfil predeterminado para un tnel especfico, haga
clic en la pestaa Trfico de tnel, haga clic en Aadir y luego haga clic
en las entradas individuales para configurar las siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel en el cortafuegos.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la interfaz de
tnel especificadas.
Para eliminar una entrada de trfico en claro o de tnel, seleccione la
casilla de verificacin de la entrada y haga clic en Eliminar.
Palo Alto Networks
Definicin de perfiles de QoS
Definicin de perfiles de QoS

Red > Perfiles de red > Perfiles de QoS
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases de
trfico de QoS. Puede establecer lmites generales en el ancho de banda independientemente
de la clase y tambin establecer lmites para clases individuales. Tambin puede asignar
prioridades a diferentes clases. Las prioridades determinan cmo se trata el trfico en
presencia de conflictos.
Nota: Consulte Configuracin de QoS para interfaces de cortafuegos en la
pgina 390 para obtener informacin acerca de la configuracin de interfaces de
cortafuegos para QoS y consulte Definicin de polticas de QoS en la pgina 393
para configurar las polticas que activarn las restricciones de QoS.
Tabla 142. Configuraciones de perfil de QoS

Campo
Descripcin
Nombre de perfil

guiones bajos.
Mximo de salida
Introduzca el ancho de banda mximo permitido para este perfil (Mbps).
Salida garantizada
Introduzca el ancho de banda garantizado para este perfil (Mbps).
Clases
Especifique cmo tratar clases de QoS individuales. Puede seleccionar

una o ms clases para configurar:
Clase: Si no configura una clase, puede incluirla en una poltica de QoS.
En este caso, el trfico est sujeto a los lmites generales de QoS. El
trfico que no coincide con una poltica de QoS se asignar a clase 4.
Prioridad: Haga clic y seleccione una prioridad para asignar a esta
clase. Estas se priorizan en el orden indicado (la mayor prioridad en
primer lugar):
tiempo real
alta
media
baja
Mximo de salida: Haga clic e introduzca un valor (Mbps) para esta
clase.
Salida garantizada: Haga clic e introduzca un valor (Mbps) para esta
clase.
Cuando se producen conflictos, se descarta el trfico con la menor
prioridad asignada. La prioridad en tiempo real utiliza su propia cola
separada.
Palo Alto Networks
Definicin de polticas de QoS

Polticas > QoS
Las polticas de QoS determinan la forma en la que se clasifica el trfico para su tratamiento,
cuando pasa por una interfaz con QoS activado. Para cada regla, especifique una de ocho
clases. Tambin puede asignar un programa para especificar qu regla est activa. El trfico
sin clasificar se asigna automticamente a clase 4.
Nota: Consulte Configuracin de QoS para interfaces de cortafuegos en la
pgina 390 para obtener informacin acerca de la configuracin de interfaces del
cortafuegos para QoS y consulte Definicin de perfiles de QoS en la pgina 392
para obtener informacin acerca de la configuracin de clases de servicio.
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de la
lista desplegable Sistema virtual y haga clic en Ir. Para aplicar un filtro a la lista, seleccinelo
de la lista desplegable Reglas de filtro. Para ver nicamente las reglas para zonas especficas,
seleccione una zona de las listas desplegables Zona de origen y/o Zona de destino y haga clic
en Filtrar por zona.
Nota: Las polticas compartidas introducidas desde Panorama aparecen en verde y
no se pueden modificar a nivel del dispositivo.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina. Se agrega una nueva regla con la
configuracin predeterminada a la parte inferior de la lista y se proporciona al siguiente
nmero de regla ms elevado.
Haga clic con el botn derecho del ratn sobre el nmero de una regla que quiera copiar y
seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco de
la regla y seleccione Duplicar en la parte inferior de la pgina (una regla seleccionada
tiene el fondo de color amarillo). La regla copiada se inserta debajo de la regla
seleccionada y se renumeran las reglas siguientes.
Tabla 143. Configuracin de regla QoS

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).

guiones bajos.
Descripcin
Etiqueta

Palo Alto Networks
Tabla 143. Configuracin de regla QoS (Continuacin)

Campo
Descripcin
Pestaa Origen
Zona de origen
Seleccione una o ms zonas de origen (el valor predeterminado es

cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable
virtual). Para definir nuevas zonas, consulte Definicin de zonas de
Direccin de origen
Especifique una combinacin de direcciones IPv4 o IPv6 de origen para

las que se puede sobrescribir la aplicacin identificada. Para seleccionar
direcciones especficas, elija seleccionar en la lista desplegable y realice
cualquiera de las siguientes acciones:
Seleccione la casilla de verificacin junto a las direcciones apropiadas
y/o grupos de direcciones
en la columna Disponible y haga clic en
Aadir para agregar sus selecciones a la columna Seleccionadas.
Introduzca los primeros caracteres de un nombre en el campo
Bsqueda para mostrar todas las direcciones y todos los grupos de
direcciones que comienzan con esos caracteres. La seleccin de un
elemento en la lista marcar la casilla de verificacin en la columna
Disponible. Repita este proceso tantas veces como sean necesarias y
luego haga clic en Aadir.
Introduzca una o ms direcciones IP (una por lnea), con o sin mscara
de red. El formato general es:
<ip_address>/<mask>
Para eliminar direcciones, seleccione las casillas de verificacin
apropiadas en la columna Seleccionadas y haga clic en Eliminar o
seleccione cualquiera para borrar todas las direcciones y los grupos de
direcciones.
Para agregar nuevas direcciones que se puedan utilizar en esta u otras
polticas, haga clic en Nueva direccin (consulte Definicin de
aplicaciones en la pgina 251). Para definir nuevos grupos de
direcciones, consulte Definicin de grupos de direcciones en la
pgina 248.
Usuario de origen
Especifique los grupos y usuarios de origen a los que se aplicar la

poltica de QoS.
Negar
Si la informacin especificada en esta pestaa NO coincide, seleccione la

casilla de verificacin para obtener la aplicacin de la poltica.
Pestaa Destino
Zona de destino
Seleccione una o ms zonas de origen (el valor predeterminado es

cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable
virtual). Para definir nuevas zonas, consulte Definicin de zonas de
Palo Alto Networks

Campo
Descripcin
Direccin de destino
Especifique una combinacin de direcciones IPv4 o IPv6 de origen para

las que se puede sobrescribir la aplicacin identificada. Para seleccionar
direcciones especficas, elija seleccionar en la lista desplegable y realice
cualquiera de las siguientes acciones:
Seleccione la casilla de verificacin junto a las direcciones apropiadas
y/o grupos de direcciones
en la columna Disponible y haga
clic en Aadir para agregar sus selecciones a la columna Seleccionadas.
Introduzca los primeros caracteres de un nombre en el campo
Bsqueda para mostrar todas las direcciones y todos los grupos de
direcciones que comienzan con esos caracteres. La seleccin de un
elemento en la lista marcar la casilla de verificacin en la columna
Disponible. Repita este proceso tantas veces como sean necesarias y
luego haga clic en Aadir.
Introduzca una o ms direcciones IP (una por lnea), con o sin mscara
de red. El formato general es:
<ip_address>/<mask>
Para eliminar direcciones, seleccione las casillas de verificacin
apropiadas en la columna Seleccionadas y haga clic en Eliminar o
seleccione cualquiera para borrar todas las direcciones y los grupos de
direcciones.
Para agregar nuevas direcciones que se puedan utilizar en esta u otras
polticas, haga clic en Nueva direccin (consulte Definicin de
aplicaciones en la pgina 251). Para definir nuevos grupos de
direcciones, consulte Definicin de grupos de direcciones en la
pgina 248.
Negar
Si la informacin especificada en esta pestaa NO coincide, seleccione la

casilla de verificacin para obtener la aplicacin de la poltica.
Pestaa Aplicacin
Aplicacin
Seleccione aplicaciones especficas para la regla de QoS. Para definir

nuevas aplicaciones, consulte Definicin de aplicaciones en la
Si una aplicacin tiene mltiples funciones, puede seleccionar una
aplicacin general o aplicaciones individuales. Si selecciona una
aplicacin general se incluirn todas las funciones y la definicin de la
aplicacin se actualizar automticamente a medida que se aadan
futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
QoS, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podr ver fcilmente miembros de
la aplicacin directamente desde la poltica, sin tener que ir hasta las
pestaas de objetos.
Palo Alto Networks

Campo
Descripcin
Pestaa Servicio/
URL/servicio
Servicio
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
Valor predeterminado de aplicacin: las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
en la pgina 259.
Categora de URL
Seleccione las categoras URL de la regla de QoS.

Seleccione cualquiera para garantizar que una sesin puede coincidir
con esta regla de QoS independientemente de la categora de URL.
Pestaa Otra
configuracin
Clase
Seleccione la clase de QoS para asignar a la regla y haga clic en

ACEPTAR. Las caractersticas de clase se definen en el perfil de QoS.
Consulte Definicin de perfiles de QoS en la pgina 392 para obtener
informacin acerca de la configuracin de ajustes para clases de QoS.
Programacin
Seleccione el icono de calendario para establecer un programa de la

poltica de QoS para aplicar.
Palo Alto Networks
Visualizacin de estadsticas de QoS

> QoS de red
La tabla en la pgina Polticas de QoS indica cuando QoS est activada e incluye un enlace
para mostrar estadsticas de QoS. Aparece un ejemplo en la siguiente ilustracin.
Ilustracin 45. Estadsticas de QoS
El panel izquierdo muestra la tabla de rbol de QoS y el panel derecho muestra datos en las
siguientes pestaas:
Ancho de banda de QoS: Muestra los grficos de ancho de banda en tiempo real para el
nodo y las clases seleccionados. La informacin se actualiza cada dos segundos.
Explorador de sesin: Enumera las sesiones activas del nodo y/o clase seleccionados.
Vista de aplicacin: Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Palo Alto Networks
Palo Alto Networks
Captulo 11
Configuracin de un Cortafuegos de la
serie VM
Este captulo describe cmo instalar el cortafuegos de la serie VM:
Requisitos y limitaciones del sistema en la pgina 400
Licencias del Cortafuegos de la serie VM en la pgina 401
Instalacin del Cortafuegos de la serie VM en la pgina 402
Solucin de problemas en la pgina 405
Descripcin general
El cortafuegos de la serie VM de Palo Alto Networks es una instancia virtual de PAN-OS. Est situada
para su uso en un entorno de centro de datos virtual y se adapta especialmente para implementaciones
en nubes privadas y pblicas. Al utilizar la tecnologa de mquina virtual, puede instalar esta solucin
en cualquier dispositivo x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar
hardware de Palo Alto Networks.
El cortafuegos de la serie VM tiene muchas caractersticas en comn con los cortafuegos de hardware
de Palo Alto Networks, incluidas interfaces de gestin y funciones comunes. La principal diferencia se
encuentra en los mtodos de implementacin utilizados en un entorno virtual para ajustarse a sus
necesidades. Una vez instalado el cortafuegos virtual, deber utilizarlo y gestionarlo de una manera muy
parecida a como lo hace con los cortafuegos de hardware.
El cortafuegos de la serie VM se distribuye mediante el formato abierto de virtualizacin (OVF), que es
un mtodo estndar de empaquetar e implementar mquinas virtuales.
Nota: Esta seccin cubre los pasos bsicos de instalacin necesarios para implementar un cortafuegos
de la serie VM. Para obtener informacin ms detallada y conocer casos de uso, consulte la nota tcnica
del cortafuegos de la serie VM en https://live.paloaltonetworks.com/community/documentation.
Palo Alto Networks
Configuracin de un Cortafuegos de la serie VM 399
Requisitos y limitaciones del sistema
Requisitos y limitaciones del sistema

Esta seccin enumera los requisitos y las limitaciones del cortafuegos de la serie VM.
Requisitos
El cortafuegos de la serie VM tiene los siguientes requisitos:
VMware ESX(i) con vSphere 4.1 y 5.0.
Un mnimo de dos vCPU por cada cortafuegos de la serie VM. Una se utilizar para el plano
de gestin y la otra para el plano de datos. Puede aadir hasta ocho vCPU adicionales para el
plano de datos aumentando su nmero de la manera siguiente: 2, 4 u 8 vCPU.
Un mnimo de dos interfaces de red (vmNIC). Una ser una vmNIC especfica para la interfaz
de gestin y la otra para el puerto de datos. A continuacin, podr aadir hasta ocho vmNIC
ms para el trfico de datos.
El cortafuegos de la serie VM requiere que el modo promiscuo se establezca como Aceptar
en el grupo de puertos del conmutador virtual utilizado por el cortafuegos o los puertos de
datos del conmutador virtual individuales que se utilizarn.
Un mnimo de 4 GB de memoria. Cualquier memoria adicional se utilizar nicamente en el

plano de gestin.
Un mnimo de 40 GB de espacio de disco virtual. Puede aadir un disco adicional para

realizar logs.
Limitaciones
Las prestaciones del cortafuegos de la serie VM son muy parecidas a las de los cortafuegos de
hardware de Palo Alto Networks, pero con las siguientes limitaciones:
nicamente se admite la versin lite de alta disponibilidad (HA) (activo/pasivo sin

conmutacin por error con estado).
La supervisin de enlaces de alta disponibilidad (HA) nicamente se admite en

instalaciones de VMware ESXi que admitan E/S de DirectPath.
Se puede configurar un total de 10 puertos. Se utilizar uno para la gestin y hasta 9 para
datos. Esto es una limitacin de VMware.
No se admiten sistemas virtuales.
nicamente se admite el controlador vmxnet3.
No se puede implementar ms de una instancia del cortafuegos de la serie VM en un host

ESXi al mismo tiempo.
No se admite vMotion.
Se requieren ncleos de CPU especficos.
No se admiten tramas gigantes.
No se admite la agregacin de enlaces.
400 Configuracin de un Cortafuegos de la serie VM
Palo Alto Networks
Licencias del Cortafuegos de la serie VM
Licencias del Cortafuegos de la serie VM

Hay tres niveles de licencias del cortafuegos de la serie VM (VM-100, VM-200 y VM-300) y
cada nivel se basa en capacidades de sesiones, reglas, zonas de seguridad, objetos de
direccin, tneles de VPN de IPSec y tneles de VPN SSL. Al adquirir una licencia, asegrese
de que adquiere la licencia correcta basndose en sus requisitos.
Cuando adquiera una licencia, recibir un cdigo de autenticacin de capacidades y un
nmero de serie temporal. Si no tiene una cuenta de asistencia tcnica existente, puede utilizar
el cdigo de autenticacin para registrarse. Una vez se verifique su cuenta y finalice el
registro, podr iniciar sesin y descargar el software del cortafuegos de la serie VM. Si tiene
una cuenta de asistencia tcnica existente, puede acceder al enlace Cdigo de autenticacin
de la serie VM de la pgina de software de asistencia tcnica para gestionar sus licencias del
cortafuegos de la serie VM y descargar el software.
Deber registrar su cortafuegos de la serie VM antes de la instalacin. Tras la instalacin,
deber activar la licencia desde la pgina Dispositivo > Licencias mediante su cdigo de
autenticacin. El dispositivo se pondr en contacto con el servidor de licencias de Palo Alto
Networks y actualizar su cuenta con un nuevo nmero de serie permanente. Si su dispositivo
no tiene acceso al sitio web de asistencia tcnica, podr exportar manualmente su licencia
temporal y, a continuacin, activarla mediante la pgina Cdigo de autenticacin de la serie
VM de carga del sitio web de asistencia tcnica.
Nota: Para completar el proceso de instalacin de licencias, debe reiniciar su
instancia del cortafuegos de la serie VM.
Despus de que el cortafuegos de la serie VM est instalado, tambin puede adquirir licencias
adicionales del mismo modo que con cortafuegos de hardware, lo que incluye: Prevencin de
amenazas, Filtrado de URL, GlobalProtect y WildFire.
Palo Alto Networks
Instalacin del Cortafuegos de la serie VM

Esta seccin describe los pasos necesarios para instalar el cortafuegos de la serie VM. Ya
debera tener una mquina virtual instalada y configurada.
Nota: No puede ejecutar la versin de mquina virtual de Panorama y el
cortafuegos de la serie VM de Palo Alto Networks en la misma mquina virtual.
Instalacin de un cortafuegos de la serie VM:

1.
Obtenga una licencia de la serie VM y, a continuacin, descargue la plantilla de formato

abierto de virtualizacin (OVF) desde el sitio web de software https://
support.paloaltonetworks.com.
El OVF se descarga como un archivo zip que se ampla en tres carpetas:
Extensin OVF: El archivo descriptivo de OVF que contiene todos los metadatos sobre
el paquete y su contenido.
Extensin MF: El archivo de manifiesto de OVF que contiene los resmenes de SHA-1
de los archivos individuales del paquete.
Extensin VMDK: El archivo de imagen de disco que contiene la versin virtual del
cortafuegos de PAN-OS.
Nota: Los archivos anteriores contienen la instalacin bsica. Cuando la
instalacin bsica haya finalizado, deber descargar e instalar la versin ms
reciente del software del cortafuegos de la serie VM desde el sitio web de asistencia
tcnica. Con ello garantizar que cuenta con los ajustes ms recientes
implementados desde la creacin del archivo de OVF bsico.
2.
Antes de implementar la plantilla, resulta de utilidad configurar conmutadores estndar virtuales y

conmutadores distribuidos virtuales que necesitar para el cortafuegos de la serie VM. El
cortafuegos de la serie VM requiere que todos los conmutadores virtuales conectados tengan
habilitado el modo promiscuo.
Para configurar un conmutador estndar virtual:
a. Configure un conmutador estndar virtual desde el cliente vSphere desplazndose

hasta Inicio > Inventario > Hosts y clsteres.
b. Haga clic en la pestaa Configuracin y, bajo Hardware, haga clic en Redes. Para cada
conmutador virtual conectado al cortafuegos de la serie VM, haga clic en Propiedades.
c. Resalte el conmutador virtual y haga clic en Editar. En Propiedades de vSwitch, haga

clic en la pestaa Seguridad y establezca Modo promiscuo: como Aceptar y, a
continuacin, haga clic en ACEPTAR. Este cambio se propagar a todos los grupos de
puertos del conmutador virtual.
Para configurar un conmutador distribuido virtual:
a. Desplcese hasta Inicio > Inventario > Redes. Resalte el Grupo de puertos
distribuidos que desee editar y seleccione la pestaa Resumen.
b. Haga clic en Editar configuracin y seleccione Polticas > Seguridad, establezca

Modo promiscuo: como Aceptar y, a continuacin, haga clic en ACEPTAR.
Palo Alto Networks
3.
Implemente la plantilla de OVF:
a. Inicie sesin en vCenter mediante el cliente vSphere. Tambin puede ir directamente al

host ESXi de destino si es necesario.
b. Desde el cliente vSphere, seleccione Archivo > Implementar plantilla de OVF.

c. Explore hasta la plantilla de OVF que descarg en el paso 1, seleccione el archivo y, a
continuacin, haga clic en Siguiente. Revise la ventana de informacin detallada de las
plantillas y, a continuacin, vuelva a hacer clic en Siguiente.
d. Indique un nombre para la instancia del cortafuegos de la serie VM y, en la ventana

Ubicacin de inventario:, seleccione un centro de datos y una carpeta y haga clic en
Siguiente.
e. Seleccione un host ESXi para el cortafuegos de la serie VM y haga clic en Siguiente.

f. Seleccione el almacn de datos que se utilizar para el cortafuegos de la serie VM y
haga clic en Siguiente.
g. Deje la configuracin predeterminada para el suministro del almacn de datos y haga

clic en Siguiente. El valor predeterminado es Thick Provision Lazy Zeroed.
Palo Alto Networks
h. Seleccione las redes que se utilizarn para las dos vmNIC iniciales. La primera vmNIC
se utilizar para la interfaz de gestin y la segunda vmNIC para el primer puerto de
datos. Asegrese de que las Redes de origen se asignan a las Redes de destino
correctas.
i. Revise la ventana de informacin detallada, haga clic en la casilla de verificacin

Activacin tras implementacin y, a continuacin, haga clic en Siguiente.
Puede supervisar la lista Tareas recientes para ver el progreso de la implementacin.
Cuando haya finalizado la implementacin, haga clic en la pestaa Resumen para revisar
el estado actual.
4.
Para realizar la configuracin inicial del cortafuegos de la serie VM, realice los siguientes
pasos:
a. La IP de gestin predeterminada es 192.168.1.1. Para cambiarla, inicie la consola

vSphere, haga clic en la pestaa Resumen y, bajo Comandos, haga clic en Abrir
consola. Tambin puede hacer clic con el botn derecho del ratn en VM y seleccionar
Abrir consola.
b. Inicie sesin con el nombre de usuario de inicio de sesin predeterminado

Administrador Contrasea Administrador y, a continuacin, escriba configure para
introducir el modo de configuracin.
c. Establezca la IP, mscara de red, puerta de enlace e IP de DNS que desee. Ejemplo:
set deviceconfig system ip-address 10.1.1.5 netmask
255.255.255.0 default-gateway 10.1.1.1 dns-setting servers
primary 10.0.0.245
d. Escriba commit para activar los cambios.

e. Compruebe la conectividad de red de su puerta de enlace predeterminada y un
servidor conocido. Ejemplo:
ping host 10.1.1.1 o ping host 10.0.0.245.
Palo Alto Networks
Solucin de problemas
5.
Ahora que el cortafuegos de la serie VM tiene conectividad de red y el software PAN-OS

bsico est instalado, deber actualizarlo a la versin ms reciente de PAN-OS (se
requiere una licencia de asistencia tcnica).
Nota: El software bsico del cortafuegos de la serie VM se instala con el archivo de
OVF. Es recomendable que realice una actualizacin a la actualizacin de
contenido y la versin de PAN-OS ms recientes para asegurarse de que tiene
todos los ajustes ms recientes. En cada versin con caractersticas, se crear una
nueva imagen base como parte del archivo de OVF.
a. Desde la interfaz web, desplcese hasta Dispositivo > Licencias y asegrese de que
tiene la licencia correcta para el cortafuegos de la serie VM y que la licencia est
activada.
Para obtener informacin detallada sobre la solicitud e instalacin de licencias,
consulte Instalacin de una licencia en la pgina 54.
b. Para actualizar el software PAN-OS del cortafuegos de la serie VM, desplcese hasta
Dispositivo > Software.
c. Haga clic en Actualizar para ver la versin de software ms reciente; asimismo, revise
Notas de versin para ver una descripcin de los cambios de una versin y la ruta de
migracin para instalar el software.
d. Haga clic en Descargar para recuperar el software y, a continuacin, haga clic en

Instalar para instalarlo.
Para obtener informacin detallada sobre la descarga e instalacin del software
PAN-OS, consulte Actualizacin/desactualizacin del software PAN-OS en la
pgina 54.
Muchos de los pasos de solucin de problemas para el cortafuegos de la serie VM son muy
parecidos a los de las versiones de hardware de PAN-OS. Si se produce algn problema,
debera comprobar los contadores de la interfaz y archivos de log de sistema y, si es necesario,
utilizar la depuracin para crear capturas. Para obtener informacin ms detallada sobre la
solucin de problemas de PAN-OS, consulte la nota tcnica de solucin de problemas basada
en paquetes en https://live.paloaltonetworks.com/community/documentation.
Parecido a un entorno fsico, a veces resulta de utilidad tener un cliente de solucin de
problemas independiente para capturar el trfico del entorno virtual. Puede que sea til crear
un sistema operativo nuevo desde cero con herramientas de solucin de problemas comunes
instaladas, como las siguientes: tcpdump, nmap, hping, traceroute, iperf, tcpedit, netcat, etc.
Hacia adelante, cada vez que sea necesario, el cliente de solucin de problemas puede
implementarse rpidamente en los conmutadores virtuales en cuestin y utilizarse para aislar
problemas de redes.
Para problemas relacionados con el rendimiento en el cortafuegos, primero compruebe el
Panel en la interfaz web del cortafuegos. Para obtener informacin en el servidor VM, en el
cliente vSphere, vaya a Inicio > Inventario > VM y plantillas, seleccione la instancia del
cortafuegos de la serie VM y haga clic en la pestaa Resumen. Bajo Recursos, compruebe las
Palo Alto Networks
estadsticas de la memoria consumida, la CPU y el almacenamiento. Para conocer el historial

de recursos, haga clic en la pestaa Rendimiento y supervise el consumo de recursos a lo
largo del tiempo.
Tambin puede ver alertas o crear un archivo de asistencia tcnica o de volcado de estadsticas
desde Dispositivo > Asistencia tcnica. Para obtener ms informacin, consulte
Visualizacin de informacin de asistencia tcnica en la pgina 128.
Palo Alto Networks
Captulo 12
Configuracin de Panorama
Este captulo describe cmo configurar el sistema de gestin centralizado de Panorama:
Configuracin de Panorama como dispositivo virtual en la pgina 408
Configuracin de Panorama en un dispositivo de la serie M en la pgina 412
Configuracin de alta disponibilidad (HA) en la pgina 413

Nota: Para obtener informacin sobre cmo utilizar Panorama, consulte Gestin
centralizada del dispositivo mediante Panorama en la pgina 419.
Descripcin general
Panorama es el sistema de gestin centralizado para la familia de cortafuegos de prxima
generacin de Palo Alto Networks, el cual est disponible como plataforma de hardware
especfica y como dispositivo virtual de VMware que cumple con sus necesidades de
consolidacin de servidor.
Panorama proporciona una visibilidad y una gestin centralizadas de todos los dispositivos
de su red. Dado que Panorama comparte el mismo aspecto basado en Internet que la interfaz
de los dispositivos individuales, puede pasar sin problemas a gestionar los dispositivos de
manera centralizada y reducir los esfuerzos administrativos para gestionar varios
dispositivos.
Para obtener informacin sobre cmo instalar Panorama en VMware ESX(i) 3.5 o posterior,
consulte Configuracin de Panorama como dispositivo virtual en la pgina 408
Para obtener informacin sobre cmo configurar el dispositivo de gestin M-100 basado en
hardware, consulte Configuracin de Panorama en un dispositivo de la serie M en la
pgina 412.
Palo Alto Networks
Configuracin de Panorama 407
Configuracin de Panorama como dispositivo virtual

Los requisitos para configurar un dispositivo virtual de Panorama son:
Requisitos del sistema

VMware ESX(i) 3.5 o posterior
CPU a 2 GHz
RAM de 2-4 GB (utilice 4 GB si tiene 10 o ms cortafuegos activos)
34 GB de espacio en disco
Cliente VMware vSphere 4.x o VMware Infrastructure 3.5
Utilice el nmero de serie asignado para registrar Panorama en el sitio web de asistencia
tcnica en
https://support.paloaltonetworks.com y descargue el archivo zip de imagen base de
Panorama ms reciente en el servidor en el que instalar Panorama.
El procedimiento de instalacin del dispositivo virtual requiere un archivo de plantilla de
formato abierto de virtualizacin (OVF), que se incluye en la imagen base. Tras registrar
Panorama en el sitio web de asistencia tcnica, podr acceder a la pgina de descargas de
software de Panorama.
Instalacin de Panorama
Siga estos pasos para instalar Panorama en su servidor ESX(i):
1.
Descomprima el archivo zip de Panorama para localizar el archivo de plantilla panoramaesx.ovf y realizar la instalacin.
2.
Abra el cliente VMware vSphere y conctese a su servidor VMware desde la pantalla de

inicio de sesin.
3.
Seleccione Archivo > Implementar plantilla de OVF.
4.
Explore para seleccionar el archivo panorama-esx.ovf desde la imagen base de Panorama

descomprimida recientemente y haga clic en Siguiente.
5.
Confirme que el nombre y la descripcin del producto coinciden con la versin

descargada y haga clic en Siguiente.
6.
Seleccione un nombre para la imagen de Panorama y haga clic en Siguiente.
7.
Seleccione una ubicacin del almacn de datos para instalar la imagen de Panorama y
8.
Si se le pide, seleccione Formato de aprovisionamiento grueso para el formato de disco y

9.
Confirme las opciones que ha seleccionado y, ha continuacin, haga clic en Finalizar para
comenzar el proceso de instalacin.
408 Configuracin de Panorama
Palo Alto Networks
10. Cuando la instalacin finalice, seleccione la imagen de Panorama recin instalada y haga
clic en el botn Activar.
Cuando se reinicie la mquina virtual de Panorama, el proceso de instalacin habr
finalizado. Vaya a la siguiente seccin para utilizar la consola y realizar la configuracin
inicial.
Configuracin de la interfaz de red de Panorama

Para configurar la interfaz de red de Panorama mediante la consola de mquina virtual de
Panorama en su servidor ESX(i):
1.
Inicie sesin en la CLI. Introduzca admin en los campos de nombre de usuario y de

contrasea.
2.
En el mensaje, escriba configure para cambiar al modo de configuracin.
3.
Defina la configuracin de acceso a la red para la interfaz de gestin. Introduzca los

siguientes comandos en una lnea:
set deviceconfig system ip-address <IP-Panorama> netmask <mscara de red>
default-gateway <IP-puerta de enlace> dns-setting servers primary <IP-DNS>
donde <IP-Panorama> es la direccin IP, <mscara de red> es la mscara de subred,
<IP-puerta de enlace> es la direccin IP de la puerta de enlace de red e <IP-DNS> es la
direccin IP del servidor del sistema de nombres de dominio (DNS).
4.
Escriba commit para guardar los cambios y activarlos.
5.
Escriba Exit para salir del modo de configuracin.
6.
Compruebe la conectividad de red con su puerta de enlace predeterminada u otro

servidor (<IP-destino>).
ping host <IP-destino>
Asegrese de que puede hacer ping de manera correcta en la puerta de enlace e Internet.
Pasos siguientes
Para iniciar sesin en Panorama y cambiar la contrasea predeterminada, consulte Inicio

de sesin en Panorama en la pgina 413.
Para establecer una capacidad adicional de almacenamiento de logs para su dispositivo

virtual de Panorama, consulte Ampliacin de la capacidad de almacenamiento de logs
en la pgina 410.
Para configurar la alta disponibilidad, consulte Configuracin de alta disponibilidad

(HA) en la pgina 413.
Para empezar a gestionar dispositivos mediante Panorama, consulte las siguientes

secciones:
Para aadir dispositivos, consulte Funciones, perfiles y cuentas de administrador de
Panorama en la pgina 426.
Para verificar que todos los dispositivos gestionados estn configurados con la
direccin IP del servidor de Panorama, consulte Configuracin del sistema,
configuracin y gestin de licencias en la pgina 32.
Palo Alto Networks
Ampliacin de la capacidad de almacenamiento de logs

De manera predeterminada, Panorama mantiene un almacenamiento interno para archivos de
log y datos estadsticos. La instalacin de Panorama predeterminada se establece con una
nica particin de disco para todos los datos; en la particin, se asignan 10 GB de espacio para
el almacenamiento de logs. Para admitir entornos que requieren ms espacio de
almacenamiento, puede seleccionar dos opciones:
Cree un disco virtual personalizado de hasta 2 TB para ESX o ESXi. Para obtener
instrucciones, consulte Adicin de un disco virtual en la pgina 410.
o
Configure un almacn de datos de NFS externo. Para obtener instrucciones, consulte

Configuracin de particiones de almacenamiento en la pgina 411.
Adicin de un disco virtual

Si requiere ms espacio de almacenamiento que los 10 GB proporcionados de manera
predeterminada en el dispositivo de Panorama, utilice los siguientes pasos para crear un disco
virtual personalizado:
1.
En su servidor ESX(i), seleccione la mquina virtual de Panorama.
2.
Haga clic en Editar configuracin.
3.
Haga clic en Aadir para iniciar el asistente de adicin de hardware.
4.
Seleccione Disco duro en la lista de tipos de hardware y haga clic en Siguiente.
5.
Seleccione la opcin Crear un nuevo disco virtual y haga clic en Siguiente.
6.
Seleccione SCSI para el tipo de disco virtual y haga clic en Siguiente.
7.
Seleccione Especificar un almacn de datos en el campo de ubicacin e introduzca un

nombre y una ruta o seleccinelos mediante el botn Examinar.
8.
Haga clic en Finalizar.

El nuevo disco se mostrar en la lista de dispositivos de la mquina virtual.
9.
Inicie la mquina virtual de Panorama.

La primera vez que inicie la mquina tras aadir el nuevo disco, Panorama inicializar el
nuevo disco para su uso. Este proceso puede tardar entre varios minutos y un par de
horas, dependiendo del tamao del disco recin aadido.
Despus de que el sistema se inicie con el nuevo disco, los logs existentes del disco
predeterminado se desplazarn al nuevo disco virtual y todas las entradas de log futuras se
escribirn en el nuevo disco. Si se elimina el disco virtual, Panorama vuelve automticamente
a almacenar los logs en el disco interno predeterminado de 10 GB.
Si ya ha aadido un disco virtual y desea sustituirlo por otro mayor o por un disco virtual
distinto, primero deber eliminar el disco virtual instalado. Sin embargo, si elimina el primer
disco virtual, ya no podr acceder a los logs de dicho disco.
Palo Alto Networks
Nota: Para permitir la redundancia, utilice el disco virtual en una configuracin de

RAID. RAID 10 ofrece el mejor rendimiento de escritura para aplicaciones con
caractersticas de registro elevado. Para realizar ms mejoras en el rendimiento, optimice
las unidades para la escritura secuencial de un pequeo nmero de archivos de gran
tamao.
Configuracin de particiones de almacenamiento

Panorama > Configuracin > Configuracin de particin de almacenamiento
Para configurar un almacn de datos de NFS externo:
Haga clic en el enlace Configuracin de particin de almacenamiento en la pgina
Configuracin de Panorama y especifique los siguientes ajustes.
Nota: Debe reiniciar el servidor de Panorama despus de configurar los ajustes de
particin de almacenamiento.
Tabla 144.
Ajustes de particin de almacenamiento
Campo
Descripcin
Interno
Mantiene el espacio de almacenamiento para archivos de log y datos

estadsticos del dispositivo de Panorama.
NFS v3
Especifica un punto de montaje de servidor NFS externo. Configure los

siguientes ajustes:
Servidor: Especifique el nombre de dominio completo (FQDN) o la
direccin IP del servidor NFS.
Directorio de log: Especifique el nombre de ruta completo del
directorio en el que se almacenarn los logs.
Protocolo: Especifique el protocolo para la comunicacin con el
servidor NFS (UDP o TCP).
Puerto: Especifique el puerto para la comunicacin con el servidor NFS.
Tamao de lectura: Especifique el tamao mximo (bytes) para las
operaciones de lectura de NFS (rango: 256-32.768).
Tamao de escritura: Especifique el tamao mximo (bytes) para las
operaciones de escritura de NFS (rango: 256-32.768).
Copiar al configurar: Seleccione la casilla de verificacin para montar la
particin NFS y copiar los logs existentes en el directorio de destino del
servidor cuando se reinicie el dispositivo de Panorama.
Particin de logs de prueba: Haga clic para realizar una prueba que
monte la particin NFS y muestre un mensaje de accin correcta o fallo.
Palo Alto Networks
Configuracin de Panorama en un dispositivo de la serie M
Configuracin de Panorama en un dispositivo de la

serie M
La solucin de Panorama basada en hardware utiliza el dispositivo M-100. Consulte la Gua de
referencia de hardware de M-100 para obtener informacin sobre el montaje del rack del
dispositivo y su activacin.
Complete las siguientes tareas antes de empezar a realizar la configuracin inicial.
Registre su dispositivo M-100 en http://support.paloaltonetworks.com para obtener las

actualizaciones de software ms recientes y para activar la asistencia tcnica.
Obtenga una direccin IP para Panorama de su administrador del sistema.
Establezca la direccin IP de su equipo como 192.168.1.2 y la mscara de subred como

255.255.255.0.
Configuracin inicial
La configuracin inicial le permite utilizar la direccin IP predeterminada para acceder a la consola
de gestin de Panorama y, a continuacin, asignar una direccin IP en la interfaz de gestin para
que pueda gestionar el dispositivo a travs de su red.
Para realizar la configuracin inicial:
1.
Conecte su equipo al puerto de gestin (MGT) utilizando un cable Ethernet RJ-45 (incluido).
2.
Encienda su equipo.
3.
Inicie sesin en Panorama.
a. Abra un explorador de Internet en su equipo e introduzca https://192.168.1.1.

b. Escriba admin en los campos Nombre y Contrasea.
c. Haga clic en Inicio de sesin.
4.
Haga clic en Panorama > Configuracin. Haga clic en el icono de engranaje pequeo
(Editar...) de la tabla Configuracin de interfaz de gestin.
5.
Introduzca la nueva direccin IP e informacin de acceso a la red relacionada para utilizar la

interfaz de gestin (MGT) en su red de gestin empresarial. Haga clic en ACEPTAR.
6.
Compile sus cambios en el dispositivo. Haga clic en Compilar y seleccione Panorama como
Compilar tipo; a continuacin, haga clic en ACEPTAR.
7.
Desconecte su equipo del dispositivo M-100.
8.
Conecte el puerto MGT del panel frontal del dispositivo M-100 a la red de gestin
empresarial. Su dispositivo ya est configurado para acceder a su red.
Pasos siguientes:
Para iniciar sesin y verificar el acceso a la consola de gestin de Panorama, consulte Inicio
de sesin en Panorama en la pgina 413.
Para cambiar las credenciales de inicio de sesin predeterminadas, consulte Cambio de la

contrasea predeterminada en la pgina 413.
Palo Alto Networks
Inicio de sesin en Panorama
Inicio de sesin en Panorama

Para iniciar sesin en la interfaz web de Panorama:
1.
Inicie un explorador web e introduzca https://<direccin IP de Panorama>.

2.
Introduzca admin en los campos Nombre y Contrasea.
3.
Haga clic en Inicio de sesin.
Cambio de la contrasea predeterminada

Panorama est configurado con una contrasea predeterminada. Para mejorar la seguridad, es
recomendable que cambie la contrasea la primera vez que inicie sesin.
1.
Seleccione Panorama > Administradores > Administrador.
2.
Introduzca admin en el campo Contrasea antigua.
3.
Introduzca una nueva contrasea (con distincin entre maysculas y minsculas y de

hasta 15 caracteres) en el campo Nueva contrasea y vuelva a introducir la contrasea en
el campo Confirmar nueva contrasea.
4.
5.
Haga clic en Compilar y seleccione Panorama como Tipo.
6.
Configuracin de alta disponibilidad (HA)

Panorama > Alta disponibilidad
Nota: La alta disponibilidad nicamente se admite para dispositivos gestionados
que ejecuten la versin 4.0 o posterior. No es compatible con la versin 3.1 o
anteriores.
La alta disponibilidad (HA) permite la redundancia en el caso de un fallo de dispositivo. Para
garantizar la HA, puede implementar un par de dispositivos de Panorama basados en
hardware o un par de dispositivos virtuales de Panorama en una configuracin de peer de HA
que proporcionen conexiones sincronizadas con los cortafuegos gestionados. Entre los peers
de la configuracin de HA, un dispositivo debe designarse como activo y el otro como pasivo.
Los peers mantienen un latido o un ping ICMP peridico para verificar el estado operativo. Si
el dispositivo de Panorama activo deja de estar disponible, el servidor pasivo toma el control
temporalmente. Si Preferencia est habilitado, lo cual es el ajuste predeterminado, cuando el
dispositivo activo vuelva a estar activo, el dispositivo pasivo dejar el control y volver al
estado pasivo.
Palo Alto Networks
Nota: Para configurar un par de HA de dispositivos virtuales de Panorama, debe

tener dos licencias de Panorama con nmeros de serie exclusivos para cada
instancia virtual.
Al configurar HA para dispositivos virtuales de Panorama, tambin deber designar un nivel
de prioridad principal o secundario para cada peer del par. Esta configuracin principal o
secundaria determina qu peer est designado como el destinatario principal de los logs
enviados por los cortafuegos gestionados. Puede configurar Panorama para que utilice las
mismas instalaciones de almacenamiento de logs externo para los dispositivos principal y
secundario asignados (opcin NFS o sistema de archivos de red) o configurar los logs de
manera interna. Si utiliza la opcin NFS, nicamente el destinatario principal recibir los logs
enviados desde los cortafuegos gestionados. Sin embargo, si se habilitan los logs locales, los
logs se enviarn de manera predeterminada al destinatario principal y secundario.
Para habilitar HA en Panorama, configure los siguientes ajustes.
Tabla 145. Configuracin de HA de Panorama

Campo
Descripcin
Configuracin
Habilitar HA
Seleccione la casilla de verificacin para habilitar la HA.
Direccin IP de HA
del peer
Introduzca la direccin IP de la interfaz de HA1 especificada en la

configuracin de Enlace de control del cortafuegos peer.
Habilitar cifrado
Habilite el cifrado despus de exportar la clave de HA desde el peer de HA e

importarla a este dispositivo. La clave de HA de este dispositivo tambin
debe exportarse desde este dispositivo e importarse al peer de HA. Configure
este ajuste para la interfaz de HA1 principal.
La importacin/exportacin de claves se realiza en la pgina Certificados.
ConsulteImportacin,exportacinygeneracindecertificadosdeseguridaden
lapgina 94.
Nota: La conectividad de HA utiliza el puerto TCP 28 con el cifrado habilitado y
28769 y 49160 cuando el cifrado no est habilitado.
Tiempo de espera
para supervisin
(ms)
Introduzca la cantidad de tiempo (ms) que el sistema esperar antes de

reaccionar ante un fallo de un enlace de control (1.000-60.000 ms; valor
predeterminado: 3.000 ms).
Palo Alto Networks
Tabla 145. Configuracin de HA de Panorama (Continuacin)

Campo
Descripcin
Configuracin de
eleccin
Prioridad
Seleccione Principal o Secundario.
Preferente
Seleccione la casilla de verificacin para habilitar el dispositivo de Panorama

principal para reanudar el funcionamiento activo tras recuperarse de un
fallo. Si este ajuste est desactivado, el dispositivo secundario permanecer
activo incluso despus de que el dispositivo de mayor prioridad se recupere
de un fallo.
Tiempo de espera
para ser preferente
(min.)
Introduzca el tiempo que esperar un dispositivo pasivo antes de tomar el

control como dispositivo activo (rango: 1-60 min.; valor predeterminado: 1).
Tiempo de espera de
promocin (ms)
Introduzca el tiempo que esperar el dispositivo secundario antes de tomar

el control (rango: 0-60.000 ms; valor predeterminado: 2.000).
Intervalo de saludo
(ms)
Introduzca el nmero de milisegundos entre los paquetes de saludo enviados

para verificar que el otro dispositivo est operativo (rango: 8.000-60.000 ms;
valor predeterminado: 8.000).
Intervalo de
heartbeat (ms)
Especifique la frecuencia con la que Panorama enva pings ICMP al peer de

HA (rango: 1.000-60.000 ms; valor predeterminado: 1.000).
Tiempo de espera
ascendente tras fallo
de supervisor (ms)
Especifique el intervalo que Panorama esperar tras un fallo de supervisor de

ruta antes de intentar volver a introducir el estado pasivo (valor
predeterminado: 0 ms). Durante este perodo, el dispositivo no est
disponible para tomar el control como dispositivo activo en el caso de fallo.
Tiempo de espera
ascendente principal
adicional (ms)
Especifique el intervalo durante el cual el dispositivo preferente permanece

en el estado pasivo antes de tomar el control como dispositivo activo (valor
predeterminado: 7.000 ms).
Palo Alto Networks
Tabla 145. Configuracin de HA de Panorama (Continuacin)

Campo
Descripcin
Supervisin de rutas
Habilitado
Seleccione la casilla de verificacin para habilitar la supervisin de rutas. La

supervisin de rutas permite que Panorama supervise direcciones IP de
destino especificadas enviando mensajes de ping ICMP para asegurarse de
que responden.
Condicin de fallo
Seleccione si se produce una conmutacin por error cuando alguno o todos

los grupos de rutas supervisados presentan fallos al responder.
Grupos de rutas
Defina uno o ms grupos de rutas para supervisar direcciones de destino

especficas. Para aadir un grupo de rutas, especifique los siguientes ajustes
y haga clic en Aadir:
Nombre: Especifique un nombre para el grupo de rutas.
Habilitado: Seleccione la casilla de verificacin para habilitar el grupo de
rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
Intervalo de ping: Especifique un perodo de tiempo entre los mensajes de
eco de ICMP para verificar que la ruta est activa (rango: 1.000-60.000 ms;
valor predeterminado: 5.000).
IP de destino: Introduzca una o ms direcciones de destino que se
supervisarn (si hay varias direcciones, deben estar separadas por comas).
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 1.000-60.000 milisegundos; valor
predeterminado: 5.000 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 3 pings).
Para eliminar un grupo de rutas, seleccione el grupo y haga clic en Eliminar.
Cambio de la prioridad de logs en un par de HA

Cuando se produce una conmutacin por error para dispositivos virtuales de Panorama en
una configuracin de HA con logs basados en NFS, las prestaciones de logs se interrumpirn.
Para volver a habilitar los logs tras un fallo, debe hacer que el dispositivo de Panorama
secundario funcione como el principal para que pueda establecer una conexin con la
particin de logs basados en NFS.
Nota: En el caso de configuraciones que utilicen logs internos en lugar de NFS,
siga las instrucciones desde el Paso 2 del procedimiento de esta seccin para
cambiar la prioridad de logs del dispositivo secundario al principal.
Para el procedimiento siguiente, supongamos que el dispositivo principal activo se est
ejecutando en el servidor S1 y el dispositivo secundario pasivo se est ejecutando en S2. Se ha
producido una conmutacin por error y S2 se ha convertido en el dispositivo secundario
activo.
Para asignar S2 como el destinatario de logs principal, siga estos pasos:
1.
Apague S1.
Palo Alto Networks
2.
Configure S2 para que sea el principal y compile la configuracin:
a. Seleccione Panorama > Alta disponibilidad.

b. Edite la configuracin de eleccin y cambie Prioridad de Secundario a Principal.
c. Compile los cambios, reiniciando el dispositivo cuando se le pida. El reinicio es
necesario porque la configuracin hace referencia al almacenamiento de NFS.
3.
Ejecute el comando de la CLI request high-availability convert-to-primary.

Si S1 se conecta como el peer de HA a S2 y se especifica el almacenamiento de NFS, el
comando convert-to-primary fallar, lo que indica que el peer de HA (S1) debe apagarse
para que la operacin pueda realizarse correctamente. Si el peer no est conectado, el
sistema montar dinmicamente el disco NFS, convertir la propiedad de la particin en
S2 y desmontar la particin.
4.
Reinicie S2.
Cuando se active S2, podr escribir en la particin de logs basados en NFS.
Palo Alto Networks
Palo Alto Networks
Captulo 13
Gestin centralizada del dispositivo

mediante Panorama
Este captulo describe cmo utilizar el sistema de gestin centralizada Panorama para
gestionar mltiples cortafuegos:
Acceso a la interfaz web de Panorama en la seccin siguiente
Uso de la interfaz de Panorama en la pgina 420
Cmo aadir dispositivos en la pgina 424
Funciones, perfiles y cuentas de administrador de Panorama en la pgina 426
Especificacin de dominios de acceso de Panorama para administradores en la

pgina 431
Trabajo con objetos en la pgina 435
Trabajo con polticas en la pgina 432
Plantillas en la pgina 440
Logs en la pgina 443
Visualizacin de la informacin de implementacin del cortafuegos en la pgina 457
Copia de seguridad de las configuraciones del cortafuegos en la pgina 458
Programacin de configuracin de exportaciones en la pgina 458
Actualizacin del software de Panorama en la pgina 460
Palo Alto Networks
Gestin centralizada del dispositivo mediante Panorama 419
Acceso a la interfaz web de Panorama
Acceso a la interfaz web de Panorama

Para acceder a la interfaz del sistema de gestin centralizada de cortafuegos Panorama, inicie
sesin en la interfaz web del servidor de Panorama:
1.
Inicie su explorador web preferido e introduzca https://direccin IP de Panorama

2.
Introduzca el nombre de inicio de sesin y la contrasea y haga clic en Inicio de sesin.
Uso de la interfaz de Panorama

Panorama permite visualizar informacin de mltiples dispositivos en su red y gestionar
dispositivos desde una interfaz web centralizada.
Para mostrar informacin sobre los cortafuegos de Palo Alto Networks en la red, los
dispositivos deben estar conectados al servidor de Panorama.
Realice estos pasos para permitir la conexin de los dispositivos:
1.
Aada la direccin IP del servidor de Panorama a cada dispositivo. Consulte Definicin

2.
Utilice la interfaz de Panorama para aadir los dispositivos. Consulte Funciones, perfiles
y cuentas de administrador de Panorama en la pgina 426.
Algunas pestaas de configuracin de Panorama no aparecern hasta que se configuren sus

componentes respectivos. Por ejemplo, la pestaa Polticas y Objetivos solo aparecer despus
de aadir los grupos de dispositivos Panorama > Grupos de dispositivos; y Dispositivo y
Red solo aparecer despus de aadir las plantillas de Panorama > Plantillas.
Las pestaas de Panorama se describen en la tabla siguiente.
Tabla 146. Resumen de pestaas de Panorama

Pgina
Descripcin
Panel
Muestra informacin general de los dispositivos gestionados, como la versin de

software, el estado operativo de cada interfaz, la utilizacin de recursos y hasta 10
de las entradas ms recientes en los logs Sistema, Configuracin y Amenaza.
Todos los grficos disponibles aparecen de forma predeterminada, pero cada
usuario puede eliminar y agregar grficos individuales segn sea necesario.
ACC
Muestra los niveles generales de riesgo y amenaza de los dispositivos

gestionados. Consulte Uso del Centro de comando de aplicacin en la
pgina 275 y Identificacin de aplicaciones desconocidas y toma de medidas en
la pgina 301.
Supervisar
Permite visualizar logs e informes. Consulte Visualizacin de informes en la

pgina 298.
Polticas
Permite definir polticas que se compartirn entre los cortafuegos gestionados.

Consulte Logs e informes en la pgina 444 para obtener ms informacin sobre
el uso de las pginas en esta pestaa.
Objetos
Permite definir objetos de las polticas que se comparten en los cortafuegos

gestionados. Consulte Logs e informes en la pgina 444.
420 Gestin centralizada del dispositivo mediante Panorama
Palo Alto Networks
Tabla 146. Resumen de pestaas de Panorama (Continuacin)

Pgina
Descripcin
Red
Permite aplicar opciones de configuracin de red en los cortafuegos gestionados

mediante el uso de plantillas. Consulte Plantillas en la pgina 440.
Dispositivo
Permite aplicar opciones de configuracin de dispositivos en los cortafuegos

gestionados mediante el uso de plantillas. Consulte Plantillas en la pgina 440.
Panorama
Permite configurar Panorama y gestionar los cortafuegos implementados.

Consulte Pestaa Panorama en la seccin siguiente.
Pestaa Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al dispositivo Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Tabla 147. Resumen de pginas de Panorama

Pgina
Descripcin
Configuracin
Permite especificar el nombre de host de Panorama, la configuracin de red

de la interfaz gestionada y las direcciones de los servidores de red (DNS y
NTP). Consulte Definicin de configuracin de gestin en la pgina 32.
Plantillas
Permite crear plantillas que se pueden utilizar para gestionar las opciones de
configuracin en funcin de las pestaas Dispositivo y Red, lo que le permiten
implementar plantillas en mltiples dispositivos con configuraciones
similares. Consulte Plantillas en la pgina 440.
Auditora de
configuraciones
Permite visualizar y comparar archivos de configuracin. Consulte

Definicin de la configuracin de operaciones en la pgina 39.
Dispositivos
gestionados
Permite aadir dispositivos para que los gestione Panorama, forzar la

configuracin compartida en los dispositivos gestionados y ejecutar controles
completos de configuracin en dispositivos o en grupos de dispositivos.
Consulte Cmo aadir dispositivos en la pgina 424.
Grupos de
dispositivos
Permite definir grupos de dispositivos que se tratan como una unidad al crear
objetos y aplicar polticas en Panorama. Consulte Definicin de grupos de
dispositivos en la pgina 425.
Palo Alto Networks
Tabla 147. Resumen de pginas de Panorama (Continuacin)

Pgina
Descripcin
Recopiladores
gestionados
Permite configurar y gestionar los dispositivos recopiladores gestionados que

se utilizarn en su entorno para distribuir informacin de logs en los
cortafuegos gestionados por Panorama. Tambin puede utilizar esta pgina
para actualizar el software de sus recopiladores de logs. Primero debe
descargar el software de Panorama ms actualizado e instalar la versin en
sus recopiladores haciendo clic en Instalar en la pgina Recopiladores
gestionados.
Nota: Los recopiladores de logs se componen del software recopilador (parte del
paquete de software de Panorama) y de la plataforma de hardware M-100. M-100 se
puede configurar como un gestor de Panorama, un recopilador de logs, o ambos. El
comando operativo para cambiar el modo de M-100 es request system
logger-mode [panorama | logger]. Para ver el modo actual, ejecute show
system info | match logger_mode.
Si M-100 est en modo de recopilador de logs, nicamente CLI est disponible para
gestin.
Consulte Gestin de recopiladores de logs en la pgina 448.
Grupos de
recopiladores
Permite agrupar los recopiladores de logs para poder aplicar la misma

configuracin a todos los recopiladores del grupo. Tambin puede utilizar el
grupo recopilador para asignar cortafuegos a los recopiladores de logs.
Nota: Puede agregar hasta 4 dispositivos recopiladores de logs por grupo

recopilador. Consulte Definicin de grupos de recopiladores de logs en la
pgina 452.
Funciones de gestor
Permite especificar los privilegios y responsabilidades que se asignan a los

usuarios que requieren acceso a Panorama. Consulte Definicin de funciones
de administrador en la pgina 63.
Perfiles de la
contrasea
Permite definir perfiles de contrasea que posteriormente se pueden aplicar a

los gestores de Panorama. Puede configurar las siguientes opciones de perfil:
Perodo necesario para el cambio de contrasea (das)
Perodo de advertencia de vencimiento (das)
Recuento de inicio de sesin de gestor posterior al vencimiento
Perodo de gracia posterior al vencimiento (das)
Administradores
Permite definir las cuentas de los usuarios que necesitan acceder a Panorama.
Consulte Creacin de cuentas administrativas en la pgina 65.
Nota: En la pgina Administradores para , se muestra un icono de bloqueo en la
columna de la derecha si una cuenta est bloqueada. El administrador puede hacer clic
en el icono para desbloquear la cuenta.
Alta disponibilidad
Permite configurar un par de dispositivos de Panorama para que sean

compatibles con alta disponibilidad (HA). Consulte Configuracin de alta
disponibilidad (HA) en la pgina 413.
Gestin de
certificados
Permite configurar y gestionar perfiles de certificados, entidades de

certificacin de confianza y respondedores OCSP. Consulte Importacin,
exportacin y generacin de certificados de seguridad en la pgina 94.
Configuracin de
log
Permite definir destinos de traps (trap sinks) de SNMP (Simple Network

Management Protocol), servidores Syslog y direcciones de correo electrnico
para distribuir mensajes de log. Consulte Configuracin de logs en la
pgina 77.
Palo Alto Networks
Tabla 147. Resumen de pginas de Panorama (Continuacin)

Pgina
Descripcin
Perfiles de servidor
Permite especificar perfiles de servidores que proporcionan servicios a

Panorama.
Configuracin de ajustes de notificaciones por correo electrnico en la
pgina 92
Configuracin de destinos de traps SNMP en la pgina 83
Configuracin de ajustes de servidor RADIUS en la pgina 71
Configuracin de ajustes de servidor LDAP en la pgina 72
Configuracin de ajustes de Kerberos (autenticacin nativa de Active
Directory) en la pgina 73.
Configuracin de ajustes de flujo de red en la pgina 93
Perfil de
autenticacin
Permite especificar un perfil de acceso de autenticacin a Panorama. Consulte

Perfiles de autenticacin en la pgina 67.
Secuencia de
autenticacin
Permite especificar conjuntos de perfiles de autenticacin para acceder a

Panorama. Consulte Secuencia de autenticacin en la pgina 73.
Dominio de acceso
Permite limitar el acceso de administradores a Grupos de dispositivos,

Plantillas y a contextos de dispositivos que los administradores pueden
modificar en funcin de los perfiles. Consulte Funciones, perfiles y cuentas
de administrador de Panorama en la pgina 426.
Exportacin de
configuracin
programada
Permite recopilar configuraciones en ejecucin de dispositivos gestionados y

enviarlos diariamente a un servidor FTP (File Transfer Protocol) o mediante
SCP (Secure Copy) para garantizar la transferencia de los datos entre el
servidor de Panorama y un host remoto. Consulte Programacin de
configuracin de exportaciones en la pgina 458.
Software
Permite visualizar las versiones de software de Panorama disponibles y

descargar e instalar una versin de software de su eleccin. Consulte
Actualizacin del software de Panorama en la pgina 460.
Actualizaciones
dinmicas
Permite visualizar las definiciones de la aplicacin y la informacin sobre

amenazas de seguridad como firmas antivirus ms actualizadas (se requiere
licencia de prevencin de amenazas), as como actualizar Panorama con
nuevas definiciones. Consulte Actualizacin de definiciones de aplicaciones
y amenazas en la pgina 60.
Asistencia tcnica
Permite acceder a alertas sobre el producto y seguridad de Palo Alto

Networks. Consulte Visualizacin de informacin de asistencia tcnica en la
pgina 128.
Implementacin
Permite visualizar informacin actual de la licencia sobre los dispositivos

gestionados e instalar software, clientes y contenido dinmico en los
dispositivos. Consulte Visualizacin de la informacin de implementacin
del cortafuegos en la pgina 457.
Clave maestra y
diagnstico
Permite especificar una clave maestra para cifrar claves privadas en el

cortafuegos. Las claves privadas se almacenan con un formato cifrado de
manera predeterminada aunque no se especifique una nueva clave maestra.
Consulte Cifrado de claves privadas y contraseas del cortafuegos en la
pgina 99.
Palo Alto Networks
Cmo aadir dispositivos

Panorama > Dispositivos gestionados
La pgina Dispositivos gestionados permite crear una lista de los dispositivos que se
gestionarn de forma centralizada.
Si los dispositivos forman parte de un par de HA, debe aadir ambos dispositivos o sistemas
virtuales de peers (si est en modo de sistema multi-virtual system mode) al mismo grupo de
dispositivos, y Panorama debe implementar la configuracin en ambos dispositivos peer de
HA al mismo tiempo. Si define una regla a cortafuegos especficos en una configuracin de
HA, asegrese de incluir ambos cortafuegos en la seleccin del destino.
Nota: Panorama puede gestionar dispositivos PAN-OS con la misma versin
principal o en versiones anteriores compatibles, pero no en dispositivos con una
versin posterior. Por ejemplo, Panorama 4.0 puede gestionar dispositivos PAN-OS
de la versin 4.0 o anterior, pero no puede gestionar dispositivos PAN-OS de la
versin 4.1.
Nota: Los dispositivos gestionados se comunican con Panorama utilizando SSL
mediante el puerto TCP 3978.
Para aadir dispositivos:

1.
En la pestaa Panorama, haga clic en Dispositivos gestionados para abrir la pgina

Dispositivos gestionados.
2.
Haga clic en Aadir para abrir una ventana de edicin.
3.
Introduzca el nmero de serie del dispositivo que se va a aadir y haga clic en Aadir.
4.
Aada los dispositivos adicionales que sean necesarios.
5.
Haga clic en ACEPTAR. La ventana se cerrar y la pgina Dispositivos gestionados se

actualiza mostrando los nuevos dispositivos aadidos.
6.
Para eliminar un dispositivo:
a. Seleccione la casilla de verificacin junto al dispositivo en la tabla Dispositivos

gestionados.
b. Haga clic en Eliminar.

c. Haga clic en ACEPTAR.
Palo Alto Networks
7.
Seleccione la casilla de verificacin HA del peer de grupo para agrupar los dispositivos
con el modo de alta disponibilidad (HA) juntos.
Esta opcin permite identificar fcilmente dispositivos en modo de HA. Cuando
implementa polticas compartidas, puede implementar el par agrupado, en lugar de cada
dispositivo individualmente. Adems, cuando aade un nuevo dispositivo en
Dispositivos gestionados, si estn en modo de HA, ambos dispositivos se visualizarn
juntos, de forma que pueda aadir ambos dispositivos.
Cuando visualiza una par de HA, si la configuracin no es coincidente, aparecer un
indicador de advertencia. Tambin ver un indicador si los dispositivos de HA estn en
grupos de dispositivos diferentes.
Esta opcin tambin es independiente de cada seccin, por lo que si la activa o la
desactiva en un rea, no la activar/desactivar en todas las reas. La opcin HA del peer
de grupo est presente en las siguientes reas de Panorama:
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
Definicin de grupos de dispositivos

Panorama > Grupos de dispositivos
Los grupos de dispositivos se utilizan para gestionar polticas y objetos compartidos. Puede
definir grupos de dispositivos que se componen de cortafuegos y/o sistemas virtuales que
desea gestionar como grupo, como los cortafuegos que gestionan un grupo de sucursales o
departamentos individuales de una empresa. Cada grupo se considera una nica unidad al
aplicar polticas en Panorama.
Puede aadir cada dispositivo como mucho a un grupo de dispositivos. Como los sistemas
virtuales se consideran entidades independientes en Panorama, puede asignar sistemas
virtuales en un dispositivo a diferentes grupos de dispositivos.
La pgina Grupos de dispositivos muestra los grupos de dispositivos junto con su
informacin en la tabla siguiente.
Tabla 148. Configuracin de grupos de dispositivos

Campo
Descripcin
Nombre de grupo de
dispositivos
Introduzca un nombre para identificar el grupo (de hasta

Descripcin
Introduzca una descripcin para el grupo.
Dispositivos
Seleccione la casilla de verificacin junto al dispositivo en la tabla

Dispositivos gestionados y haga clic en Mover, seleccione el nuevo
grupo y haga clic en ACEPTAR.
Palo Alto Networks
Funciones, perfiles y cuentas de administrador de Panorama
Tabla 148. Configuracin de grupos de dispositivos (Continuacin)

Campo
Descripcin
Dispositivo principal
Seleccione un dispositivo que se utilizar como principal. El

dispositivo principal es el cortafuegos desde el que Panorama
recopila informacin de ID de usuarios para su uso en las polticas.
La informacin de grupo y usuario asignada recopilada es
especfica de cada grupo de dispositivos y solo puede provenir de
un dispositivo (el principal) del grupo.
HA del peer de grupo
Seleccione la casilla de para agrupar los dispositivos con el modo de

alta disponibilidad (HA) juntos.
Esta opcin permite identificar fcilmente dispositivos en modo de
HA. Cuando implementa polticas compartidas, puede
implementar el par agrupado, en lugar de cada dispositivo
individualmente. Adems, cuando aade un nuevo dispositivo en
Dispositivos gestionados, si estn en modo de HA, ambos
dispositivos se visualizarn juntos, de forma que pueda aadir
ambos dispositivos.
Cuando visualiza un par de HA, si la configuracin no es
coincidente, aparecer un indicador de advertencia. Tambin ver
un indicador si los dispositivos de HA estn en grupos de
dispositivos diferentes.
Esta opcin tambin es independiente de cada seccin, por lo que si
la activa o la desactiva en un rea, no la activar/desactivar en
todas las reas. La opcin HA del peer de grupo est presente en las
siguientes reas de Panorama:
Plantillas
Pestaa Polticas (pestaa Destino para todos los tipos de

polticas)
Funciones, perfiles y cuentas de administrador de

Panorama
Panorama admite las siguientes opciones para autenticar a usuarios administrativos que
intentan iniciar sesin en el dispositivo:
Base de datos local: La informacin de inicio de sesin y contrasea de usuario se

introduce directamente en la base de datos de Panorama.
RADIUS: Se utilizan servidores Remote Authentication Dial In User Service (RADIUS)

existentes para autenticar a los usuarios.
LDAP: Se utilizan servidores Lightweight Directory Access Protocol (LDAP) existentes

para autenticar a los usuarios.
Kerberos: Se utilizan servidores Kerberos existentes para autenticar a los usuarios.
Certificado de cliente: Se utilizan certificados de cliente existentes para autenticar a los

usuarios.
Palo Alto Networks
Cuando crea una cuenta administrativa, debe especificar el certificado de cliente (sin perfil de
autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP, Kerberos o autenticacin de
base de datos local). Este ajuste determina el modo en que se comprueba la autenticacin de la
contrasea. Si no especifica ningn perfil, la cuenta utilizar autenticacin local.
Nota: Es posible que algunos administradores de Panorama no tengan acceso al men
Panorama > Administradores. Si es el caso, el administrador puede hacer en su nombre
de usuario en la parte izquierda del enlace de cierre de sesin, en la parte inferior de la
interfaz web para cambiar su contrasea.
Las funciones de administrador determinan las funciones que el administrador tiene

permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta de
administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:
Configuracin de perfiles de autenticacin en la pgina 68.
Definicin de funciones de administrador de Panorama en la pgina 427.
Perfil del certificado en la pgina 97.
Especificacin de dominios de acceso de Panorama para administradores en la

pgina 431.
Perfil del certificado en la pgina 97.
Definicin de funciones de administrador de Panorama

Panorama > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cmo aadir cuentas de administrador, consulte Creacin
de cuentas administrativas de Panorama en la pgina 428.
Nota: La funcin de administrador se puede asignar mediante atributos
especficos del proveedor (VSA) RADIUS mediante el siguiente atributo:
PaloAlto-Panorama-Admin-Role = <NombreFuncinAdmin>,.
Tabla 149. Configuracin de funciones de administrador de Panorama

Campo
Descripcin
Nombre
Introduzca un nombre para identificar esta funcin de administrador (de

Descripcin
Introduzca una descripcin opcional de la funcin.
Permiso
Seleccione el mbito de la responsabilidad administrativa (Panorama o

Grupo de dispositivos y Plantilla).
Palo Alto Networks
Tabla 149. Configuracin de funciones de administrador de Panorama (Continuacin)

Campo
Descripcin
Interfaz de usuario web
Haga clic en los iconos de reas especificadas para indicar el tipo de

acceso permitido
para la interfaz web:
Acceso de lectura/escritura a la pgina indicada.
Acceso de solo lectura a la pgina indicada.
Sin acceso a la pgina indicada.
API XML
Seleccione el tipo de acceso de XML API

Informe: Accede a los informes del dispositivo.
Log: Accede a los logs del dispositivo.
Configuracin: Concede permisos para recuperar o modificar la
configuracin del dispositivo.
Solicitudes de operacin: Concede permisos para ejecutar comando de
operacin.
Compilar: Concede permisos para compilar la configuracin.
Agente de ID de usuarios: Accede al ID de usuario del agente.
Exportar: Concede permisos para exportar archivos del dispositivo,
incluyendo la configuracin, pginas de bloque o respuesta,
certificados, claves, etc.
Importar: Concede permisos para importar archivos al dispositivo,
incluyendo software, contenido, licencia, configuracin, certificados,
pginas de bloque, logs personalizados, etc.
Lnea de comandos
Seleccione el tipo de funcin para el acceso a la CLI:

Ninguno: El acceso a la CLI del dispositivo no est permitido.
Superlector: El acceso al dispositivo actual es de solo lectura.
Administrador de Panorama: El acceso a un dispositivo seleccionado es
completo, excepto al definir nuevas cuentas o sistemas virtuales.
Creacin de cuentas administrativas de Panorama

Panorama > Administradores
Las cuentas de administrador controlan el acceso a Panorama. Cada administrador puede
tener acceso completo o de solo lectura a Panorama y a todos los dispositivos gestionados, o se
puede asignar un acceso de administrador de Panorama, pero no tendr permisos para crear
cuentas de administrador o editar funciones, lo que permite acceder a la configuracin de
Panorama y no a los dispositivos gestionados. La cuenta admin predefinida tiene acceso
completo a Panorama y a los dispositivos gestionados.
Se admiten las siguientes opciones de autenticacin:
Autenticacin con contrasea: El usuario introduce un nombre de usuario y una

contrasea para iniciar sesin. No se necesitan certificados.
Autenticacin con certificado de cliente (web): Si selecciona esta casilla de verificacin, no

se necesitarn un nombre de usuario y una contrasea; el certificado ser suficiente para
autenticar el acceso al cortafuegos.
Palo Alto Networks
Autenticacin con clave pblica (SSH): El usuario puede generar un par de claves pblica
y privada en la mquina que requiere acceso al cortafuegos y, a continuacin, cargar la
clave pblica en el cortafuegos para permitir un acceso seguro sin exigir que el usuario
introduzca un nombre de usuario y una contrasea.
Nota: Para garantizar la seguridad de la interfaz de gestin del dispositivo, se
recomienda cambiar peridicamente las contraseas administrativas utilizando
una mezcla de minsculas, maysculas y nmeros. Tambin puede aplicar
Complejidad de contrasea mnima desde Configuracin > Gestin.
Tabla 150. Configuracin de cuentas de administrador

Campo
Descripcin
Nombre
Introduzca un nombre de inicio de sesin para el usuario (de hasta

Seleccione un perfil de autenticacin para la autenticacin del

administrador de acuerdo con los ajustes del perfil de autenticacin
especificado. Este ajuste se puede utilizar para RADIUS, LDAP o
autenticacin Kerberos.
Para obtener instrucciones sobre cmo configurar perfiles de
autenticacin, consulte Configuracin de perfiles de
autenticacin en la pgina 68.
Utilizar nicamente el
certificado de autenticacin de
cliente (web)

certificado de cliente para el acceso web. Si selecciona esta casilla de
verificacin, no se necesitarn un nombre de usuario y una
contrasea; el certificado ser suficiente para autenticar el acceso a
Panorama.
Contrasea/Confirmar
contrasea
Introduzca y confirme una contrasea que haga distincin entre

maysculas y minsculas para el usuario (de hasta 15 caracteres).
Tambin puede aplicar Complejidad de contrasea mnima desde

Configuracin > Gestin.
Es posible que algunos administradores de Panorama no tengan
acceso al men Panorama > Administradores. Si es el caso, el
administrador puede hacer en su nombre de usuario en la parte
izquierda del enlace de cierre de sesin, en la parte inferior de la
interfaz web para cambiar su contrasea local.
Palo Alto Networks
Tabla 150. Configuracin de cuentas de administrador (Continuacin)

Campo
Descripcin
Utilizar autenticacin de clave

pblica (SSH)

clave pblica SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pblica. La clave cargada se muestra
en el rea de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y
RSA (768-4.096 bits).
Nota: Si falla la autenticacin con clave pblica, se mostrar un mensaje
de nombre de usuario y contrasea al usuario.
Funcin
Seleccione una opcin para asignar una funcin a este usuario. La

funcin determina lo que el usuario puede ver y modificar.
Dinmico, podr seleccionar cualquiera de las siguientes
funciones especificadas previamente en la lista desplegable:
Superusuario (solo lectura): El acceso al dispositivo actual es
de solo lectura.
Administrador de Panorama: Acceso completo a las instancias
de Panorama.
Administrador basado en funcin: El acceso se basa en funciones
asignadas, como se define en Definicin de funciones de
administrador de Panorama en la pgina 427.
Si elige Basado en funcin, seleccione un perfil de funcin definido
anteriormente en la lista desplegable. Para obtener instrucciones
sobre cmo definir perfiles de funciones, consulte Definicin de
funciones de administrador de Panorama en la pgina 427.
Para el acceso basado en funciones, si selecciona un perfil asignado
a la funcin de administrador Grupo de dispositivos y Plantilla, se
muestra la pestaa Control de acceso. En esta pestaa Control de
acceso, puede definir el acceso a Grupos de dispositivos, Plantillas y
Contexto de dispositivo. Las definiciones de estos campos son las
mismas que la informacin de Especificacin de dominios de
acceso de Panorama para administradores en la pgina 431.
Nota: En la pgina Administradores de Panorama para , se muestra un icono

de bloqueo en la columna de la derecha si una cuenta est bloqueada. El
administrador puede hacer clic en el icono para desbloquear la cuenta.
Palo Alto Networks
Especificacin de dominios de acceso de Panorama para administradores
Especificacin de dominios de acceso de Panorama para

administradores
Panorama > Dominio de acceso
Utilice la pgina Dominio de acceso para especificar dominios de administradores basados en
funciones que tienen acceso a grupos de dispositivos y plantillas. Aadir un grupo de
dispositivos a un dominio de acceso permite gestionar polticas y objetos para ese grupo de
dispositivos. Aadir un cortafuegos individual a un dominio de acceso permite cambiar al
contexto del dispositivo de ese cortafuegos.
El dominio de acceso est vinculado a atributos especficos del proveedor (VSA) RADIUS y
nicamente se admite si se utiliza un servidor RADIUS para la autenticacin del
administrador. Si no se utiliza RADIUS, los ajustes de dominio de acceso de esta pgina se
ignorarn.
Nota: El dominio de acceso se puede asignar mediante RADIUS VSA utilizando

el siguiente atributo: PaloAlto-Panorama-Admin-Access-Domain =
<NombreDominioAcceso>,.
Tabla 151.
Configuracin de dominio de acceso
Campo
Descripcin
Nombre
Introduzca un nombre para el dominio de acceso (de hasta

Haga clic en Aadir para especificar grupos de dispositivos

predefinidos que se incluirn en el dominio de acceso.
Contexto de dispositivo
Seleccione el dispositivo(s) en el que el administrador puede hacer

un cambio de contexto para permitir modificaciones de la
configuracin local.
Plantillas
Haga clic en Aadir para especificar plantillas predefinidas que se

incluirn en el dominio de acceso.
Palo Alto Networks
Los grupos de dispositivos de Panorama permiten agrupar dispositivos de cortafuegos y
definir polticas y objetos que se pueden compartir en esos grupos de dispositivos.
Las siguientes secciones describen cmo definir polticas y objetos para grupos de
dispositivos:
Trabajo con polticas en la seccin siguiente
Trabajo con objetos en la pgina 435
Trabajo con polticas

Polticas
Panorama permite definir polticas que se comparten en los cortafuegos gestionados. Puede
aplicar reglas previas y posteriores que se aplicarn a un grupo de dispositivos y puede
aadir reglas previas y posteriores globales que se aplicarn a todos los grupos de
dispositivos. Se crea un mtodo de capa de aplicacin de polticas a los dispositivos
gestionados. La primera capa son las reglas de nivel del dispositivo que son locales.
Posteriormente puede aplicar reglas previas y posteriores a los grupos de dispositivos y
puede aadir otra capa de reglas globales previas y posteriores aplicables a todos los grupos
de dispositivos en la instancia de Panorama, tal y como se muestra en Ilustracin 46.
Ilustracin 46. Orden de polticas compartidas

Reglas previas compartidas globales
Reglas previas de grupos de dispositivos
Reglas especficas del cortafuegos
Reglas posteriores de grupos de dispositivos
Reglas posteriores compartidas globales
Puede encontrar informacin general sobre el trabajo con polticas en Polticas en la

pgina 199. Esta seccin describe las modificaciones y prcticas recomendadas aplicables a las
polticas en Panorama.
Las siguientes prcticas recomendadas son aplicables a Panorama:
Reglas previas: Las reglas previas se evalan antes de las reglas especficas de los
dispositivos y por lo general componen la mayora de la base de reglas compartidas de
una implementacin. No aplique reglas previas si necesita excepciones a nivel de
dispositivo.
Si no desea que los administradores puedan permitir aplicaciones en sitios especficos,
puede incluir una regla de denegacin para todas las zonas, usuarios y aplicaciones como
su ltima regla en el conjunto de reglas previas.
Palo Alto Networks
Reglas especficas del cortafuegos: Defina reglas para un cortafuegos concreto para crear
polticas especficas de sitios.
Reglas posteriores: Utilice estas reglas para especificar qu le suceder al trfico no

cubierto por reglas previas y reglas especficas del cortafuegos. Por ejemplo, si una regla
especifica algunas aplicaciones permitidas y la regla posterior es una regla de denegar
todo, las aplicaciones no cubiertas por la regla previa se detendrn. Puede aadir estas
reglas para permitir aplicaciones adicionales en funcin de la solicitud de los usuarios.
Tambin puede crear reglas de permitir a nivel de dispositivo como excepciones de
aplicaciones concretas que se permiten en una ubicacin individual.
Reglas previas globales: Las reglas previas globales se evalan antes que las reglas
especficas del cortafuegos o las de grupo de dispositivos y se aplican a todos los
dispositivos en los grupos de dispositivos gestionados.
Reglas previas posteriores: Utilice estas reglas para especificar qu le suceder al trfico
no cubierto por reglas previas de grupo de dispositivos y reglas especficas del
cortafuegos. Estas reglas se evalan en ltimo lugar y solo despus de las reglas previas
de grupo de dispositivos.
Las reglas compartidas globales solo las puede crear y modificar el administrador o
superusuario de Panorama. Estas reglas se pueden utilizar para aplicar polticas antes y
despus de cualquier regla aplicada por los administradores de grupos de dispositivos.
Las siguientes condiciones son aplicables cuando define polticas en Panorama:

Panorama aplica polticas a los grupos de dispositivos especificados y las polticas
compartidas globales se aplican a otra capa de polticas a los grupos de dispositivos.
Cuando cree una regla de grupo de dispositivos desde la instancia de Panorama,
seleccione la pestaa Polticas, seleccione el grupo de dispositivos cuyas reglas desee
crear y, a continuacin, defina las reglas. Para crear reglas globales que se aplican a todos
los dispositivos gestionados en los grupos de dispositivos, seleccione la opcin
Compartido en la lista desplegable Grupo de dispositivos, tal y como se muestra en
Ilustracin 47.
Ilustracin 47. Poltica compartida de Panorama

Tambin puede especificar que los objetos compartidos tengan preferencia sobre los
objetos del grupo de dispositivos, seleccionando la casilla de verificacin Precedencia de
objetos compartidos en Panorama > Configuracin > Gestin > Ajustes de Panorama.
Esta opcin es un ajuste de todo el sistema y est desactivada de manera predeterminada.
Cuando esta opcin est desactivada, los grupos de dispositivos cancelan los objetos
correspondientes que tengan el mismo nombre. Si la opcin est activada (seleccionada),
Palo Alto Networks
los objetos de grupos de dispositivos no pueden cancelar los objetos correspondientes con
el mismo nombre de una ubicacin compartida y cualquier objeto de un grupo de
dispositivos con el mismo nombre que un objeto compartido se cancelar.
Puede dirigir una regla de polticas a dispositivos individuales en el grupo de

dispositivos para el que se define la regla. Para dirigir a un dispositivo despus de crear
una poltica, haga clic en una entrada de la columna Destino y seleccione los dispositivos
en la ventana emergente. Para aplicar la regla a todos los dispositivos en un grupo de
dispositivos EXCEPTO al dispositivo de destino, seleccione la casilla de verificacin
Instalar en todos los dispositivos menos los especificados.
Ilustracin 48. Direccin de reglas de polticas a dispositivos individuales en Panorama
Las zonas no se crean en Panorama, pero puede seleccionar zonas en funcin de los
nombres que se recopilan de cualquier plantilla que se asigne a los mismos dispositivos
que los incluidos en un grupo de dispositivos. Si no hay ninguna zona disponible en las
plantillas, introduzca manualmente el nombre de una zona cuando cree una regla por
primera vez. En las reglas subsiguientes puede introducir nuevas zonas o seleccionarlas
de las que ha introducido anteriormente.
Nota: La recopilacin de objetos de plantillas no solo se aplica a las zonas, sino que
tambin se aplica a todos los objetos a los que se puede hacer referencia en la
pestaa Poltica/Objetos, procedente de las pestaas Dispositivos/Red. Se incluyen:
zonas, interfaces, certificados, Perfiles de red > Supervisar, perfiles de servidor
(Syslog, Correo electrnico, traps SNMP), sistemas virtuales en reglas PBF y las
bases de datos de usuario local de usuarios/grupos.
Cada tipo de poltica enumerada en el men lateral incluye pginas para definir reglas
previas y posteriores, as como reglas compartidas globales que se aplican previamente a
las reglas de grupo de dispositivos y a las reglas posteriores. Consulte pgina 432 para
obtener ms informacin acerca de las prcticas recomendadas para el uso de polticas.
Palo Alto Networks
Trabajo con objetos

Panorama admite la colaboracin de los objetos definidos en Panorama. Puede crear objetos
en Panorama y forzar las configuraciones de objetos en los cortafuegos gestionados. Los
objetos estarn disponibles para su uso en polticas definidas en los cortafuegos gestionados
individuales.
Nota: Todos los objetos personalizados deben tener nombres exclusivos y se deben evitar
nombres predefinidos como cualquiera o predeterminado. En concreto, el uso de los
mismos nombres de objeto con grupos de diferentes dispositivos puede causar confusin
en los dispositivos y en Panorama.
Todos los objetos en la pestaa Objetos y algunos objetos en la pestaa Dispositivo se pueden
gestionar de forma centralizada. Los objetos de la pestaa Dispositivo se gestionan en la
pestaa Panorama e incluyen: certificados, pginas de respuesta, perfiles del servidor (trap
SNMP, syslog, correo electrnico, RADIUS, LDAP y Kerberos), perfiles de autenticacin y
secuencias, y perfiles de certificados. Estos objetos tienen un campo Ubicacin que permite
seleccionar si el objeto debe existir en la implementacin (por ejemplo, prueba de grupo de
dispositivos). La tabla siguiente explica las opciones disponibles de asignacin de objetos y
colaboracin del campo Ubicacin.
Tabla 152. Opciones de asignacin de objetos y colaboracin

Campo
Descripcin
Panorama
Panorama permite mantener los objetos en local y no forzar los objetos a

ningn dispositivo gestionado. Para ello, seleccione Panorama en la lista
desplegable Ubicacin cuando defina el objeto.
Esta opcin solo est disponible en la pestaa Panorama y nicamente
para los siguientes elementos:
Perfiles del servidor, incluyendo trap SNMP, Syslog, correo electrnico,
RADIUS (Remote Authentication Dial In User Service), LDAP
(Lightweight Directory Access Protocol) y Kerberos.
Perfiles de autenticacin, secuencias de autenticacin y perfiles de
certificados.
Los grupos de dispositivos se utilizan para que los objetos y polticas

definidas en Panorama estn disponibles en los conjuntos especificados
de dispositivos. Para obtener informacin sobre cmo crear grupos de
dispositivos, consulte Definicin de grupos de dispositivos en la
pgina 425.
En la pestaa Polticas u Objetos, seleccione el grupo de dispositivos de
la lista desplegable Grupos de dispositivos cuando defina el objeto.
Nota: Si tiene objetos con el mismo nombre y uno de ellos es compartido y el otro
es especfico de un grupo de dispositivos, el objeto especfico del grupo de
dispositivos se utilizar para ese grupo de dispositivos.
En la pestaa Panorama, seleccione un grupo de dispositivos de la lista

desplegable Ubicacin cuando defina el objeto.
Palo Alto Networks
Tabla 152. Opciones de asignacin de objetos y colaboracin (Continuacin)

Campo
Descripcin
Compartido
Si crea un objeto compartido, el objeto estar disponible para su uso en

cualquier grupo de dispositivos. Solo Panorama y los administradores
pueden crear objetos en la ubicacin compartida.
En la pestaa Panorama, seleccione Compartido de la lista desplegable
Ubicacin cuando defina el objeto.
En la pestaa Objetos, seleccione la casilla de verificacin Compartido
cuando defina el objeto.
Palo Alto Networks
Trabajo con dispositivos

Cambiar de contexto permite a un administrador cambiar de gestionar una poltica
compartida en Panorama a gestionar ajustes especficos de dispositivos en un cortafuegos
individual (como una poltica especfica de dispositivos, configuracin de red y de
dispositivos). Utilice la lista desplegable Contexto sobre el men lateral para elegir un
dispositivo individual o la vista completa de Panorama. Puede seleccionar el nombre de
cualquier dispositivo que se haya aadido para que lo gestione Panorama (consulte
Funciones, perfiles y cuentas de administrador de Panorama en la pgina 426). Cuando
selecciona un dispositivo, la interfaz web se actualiza mostrando todas las pestaas y opciones
del dispositivo, lo que le permite gestionar todos los aspectos del dispositivo desde Panorama.
Nota: Solo puede cambiar el contexto a los dispositivos conectados. Los
dispositivos desconectados no se muestran en la lista desplegable.
Ilustracin 49. Seleccin del contexto
Palo Alto Networks
Operacin de compilacin en Panorama

Para compilar los cambios de configuracin en Panorama, haga clic en el icono Compilar para
abrir el cuadro de dilogo de compilacin. Este cuadro de dilogo permite compilar reas
concretas del entorno de Panorama, consulte Ilustracin 50.
Ilustracin 50. Cuadro de dilogo Compilar de Panorama

Las siguientes opciones estn disponibles en el cuadro de dilogo de compilacin.
Nota: Cuando realiza operaciones de compilacin en Panorama, es conveniente
que compile primero la configuracin de Panorama antes de compilar las
actualizaciones de configuracin en los dispositivos gestionados.
Compilar tipo: Seleccione el tipo de compilacin:
Panorama: Compila la configuracin candidata actual de Panorama.

Plantilla: Compila los cambios de plantilla de los dispositivos seleccionados de
Panorama. Cuando compila plantillas, puede seleccionar un subconjunto de
dispositivos si lo desea.
Grupo de dispositivos: Compila cambios de configuracin de los dispositivos de

Panorama a los sistemas virtuales/dispositivos seleccionados.
Grupos de recopiladores: Compila nicamente los cambios a los grupos

recopiladores de logs de Panorama. Se compilarn los cambios realizados en la pgina
Panorama > Grupos de recopiladores y se aplicarn dichos cambios al dispositivo
recopilador de logs.
Incluir plantillas de dispositivo y red: Esta opcin est disponible si compila un Grupo de
dispositivos de Panorama y es una operacin combinada que incluye los cambios en el
dispositivo y en la plantilla de red. La plantilla que se aplicar al dispositivo es la plantilla a
la que ste pertenece, segn se define en Panorama > Plantillas. Tambin puede seleccionar
Compilar tipo Plantilla para compilar plantillas a dispositivos.
Forzar valores de plantilla: Si realiza una compilacin de plantilla, puede seleccionar esta
opcin para eliminar objetos en los dispositivos o sistemas virtuales seleccionados que se
hayan omitido por la configuracin local. Si realiza una compilacin de grupo de
dispositivos, tambin deber activar la casilla de verificacin Incluir plantillas de
dispositivo y red, ya que la cancelacin solo puede realizarse en opciones de
configuracin de plantilla. De esta forma, los objetos cancelados heredarn los ajustes de la
plantilla. Consulte Cancelacin de ajustes de plantilla en la pgina 442.
Combinar con configuracin de candidato: Seleccione esta opcin para que el dispositivo
incluya su configuracin candidata local cuando Panorama solicite una compilacin. Si
esta opcin no est activada, la configuracin candidata local del dispositivo no se incluye.
Palo Alto Networks
Es importante dejar esta opcin sin seleccionar si tiene administradores locales que
realizan cambios en un dispositivo y no desea incluir estos cambios en la configuracin de
Panorama.
Vista previa de cambios: Haga clic en este botn para devolver una ventana de auditora
de configuraciones que muestra los cambios propuestos en la configuracin del candidato
en comparacin con la configuracin actualmente en ejecucin. Puede elegir el nmero de
lneas de contexto que se mostrarn o mostrar todas las lneas en funcin de los elementos
que se aaden, modifican o eliminan. Esta opcin est disponible si utiliza la compilacin
de grupo de dispositivos, de plantilla o Panorama.
Tambin puede ver el estado de compilacin de los dispositivos en Panorama >
Dispositivos gestionados y visualizando la columna ltimo estado de compilacin.
La funcin Auditora de configuraciones > del dispositivo realiza la misma funcin,
consulte Comparacin de archivos de configuracin en la pgina 53.
Una vez completada la compilacin, ver un mensaje Compilaciones completadas. Si hay
mensajes de advertencia, ver Compilacin completada con advertencias. Para ver las
advertencias, vaya a Panorama > Dispositivos gestionados y haga clic en el texto de la
columna ltimo estado de compilacin para ver los detalles.
Compatibilidad con versiones anteriores de Panorama

Si actualiza a Panorama 5.0 y gestiona los dispositivos con PAN-OS 4.0 o anterior, las
funciones de proteccin de vulnerabilidades simples y los perfiles de antispyware se
convierten automticamente a reglas de significado equivalente en esos dispositivos. Los
perfiles personalizados se convierten en excepciones que especifican acciones especficas de
firma, sin necesidad de reglas. Tras la migracin, se puede realizar un nmero limitado de
cambios en los perfiles migrados en Panorama si se necesita compatibilidad con dispositivos
con PAN-OS 4.0 y versiones anteriores.
Para reglas creadas durante la conversin de un simple perfil de estilo, la accin de las reglas
migradas se puede modificar y se pueden aadir algunas excepciones a la lista. Si se ha
convertido un perfil de estilo personalizado a un perfil basado en excepciones, la lista de
excepciones se puede modificar libremente, pero no se pueden crear reglas. Si el
administrador intenta realizar una compilacin utilizando un perfil incompatible, la
compilacin fallar y el fallo se anotar en la lista de Dispositivos gestionados en la columna
ltimo estado de compilacin.
Para gestionar dispositivos con diferentes versiones de software debe seleccionar, en la
configuracin de Grupos de dispositivos, un dispositivo principal que ejecute la versin de
software ms antigua del agente de ID de usuarios, para ser compatible con versiones
anteriores y poder aplicar las reglas de usuarios a los cortafuegos ms antiguos.
Palo Alto Networks
Plantillas
Plantillas
Panorama > Plantillas
La pgina Panorama Plantillas permite crear plantillas que se pueden utilizar para gestionar las
opciones de configuracin en funcin de las pestaas Dispositivo y Red, lo que le permiten implementar
plantillas en mltiples dispositivos con configuraciones similares. Tambin puede implementar una
configuracin de base, y, si fuera necesario, cancelar ajustes especficos del dispositivo. Por ejemplo,
puede implementar una configuracin bsica a un grupo de dispositivos global, pero configurar ajustes
especficos de zonas horarias directamente en los dispositivos en funcin de su ubicacin.
Si gestiona configuraciones de dispositivos con Panorama, puede utilizar una combinacin de ajustes de
configuracin de Grupo de dispositivos y Plantillas, pero estas funciones se gestionan de forma
independiente debido a las diferencias de los elementos que se pueden configurar. La funcin de
plantilla permite aplicar ajustes de dispositivo y de red, mientras que los grupos de dispositivos se
utilizan para gestionar polticas y objetos compartidos. Para obtener ms informacin sobre cmo aadir
y configurar plantillas de Panorama, consulte Configuracin de plantillas de Panorama en la
pgina 441.
Tabla 153 Configuracin de plantilla (Panorama)

Campo
Nombre
Descripcin
Introduzca un nombre de plantilla (de hasta 31 caracteres). Utilice nicamente
letras, nmeros, espacios, guiones y guiones bajos. El nombre hace distincin
entre maysculas y minsculas y debe ser exclusivo.
Este nombre aparecer en la pestaa Dispositivo y Red en el men
desplegable Plantilla. Si selecciona una plantilla de una de estas pestaas, los
ajustes que modifique solo se aplicarn a la plantilla seleccionada.
Descripcin
Introduzca una descripcin para la plantilla.
Sistemas virtuales
Seleccione la casilla de verificacin si la plantilla se utilizar en dispositivos

con mltiples sistemas virtuales. Si define ajustes de plantilla para dispositivos
multivirtuales, asegrese de que los ajustes estn configurados para cada
sistema virtual que desee configurar. En el caso de dispositivos sin sistemas
virtuales, la plantilla se aplicar al contexto vsys1 predefinido.
Nota: Las plantillas multivirtuales no se pueden aplicar en dispositivos de
sistemas virtuales simples. Adems, tampoco puede utilizar una plantilla para
crear sistemas virtuales.
Modo de
operacin
Modo de
deshabilitacin de
VPN
Defina el modo de funcionamiento de PAN-OS para la plantilla: normal, fips o

cc.
Si selecciona esta casilla de verificacin se ocultarn todas las opciones
relacionadas con VPN en las pestaas Dispositivo y Red. La posibilidad de
instalar licencias de portal de GlobalProtect o Gateway tambin est
desactivada en este modo.
Nota: Esta opcin est diseada para pases que no permiten conectividad
VPN. Los modelos de hardware de Palo Alto Networks que tienen el
indicador -NV en el nombre del modelo estn diseados para no permitir
configuraciones VPN. Esta opcin debe utilizarse si crea plantillas para estos
modelos.
Palo Alto Networks
Plantillas
Tabla 153 Configuracin de plantilla (Panorama)

Campo
Descripcin
Dispositivos
Esta ventana muestra todos los dispositivos gestionados por Panorama y

tambin permite mostrar grupos de dispositivos. Haga clic en la casilla de
verificacin junto a los dispositivos para aadirlos a la plantilla. Tambin
puede aadir todos los dispositivos de un grupo haciendo clic en la casilla de
verificacin junto al nombre del grupo.
Nota: Las plantillas se basan en dispositivos individuales, no en grupos de
dispositivos. Si aade un nuevo dispositivo al grupo, no se aade
automticamente a una plantilla.
Seleccione la casilla de para agrupar los dispositivos con el modo de alta
disponibilidad (HA) juntos.
Esta opcin permite identificar fcilmente dispositivos en modo de HA.
Cuando implementa polticas compartidas, puede implementar el par
agrupado, en lugar de cada dispositivo individualmente. Adems, cuando
aade un nuevo dispositivo en Dispositivos gestionados, si estn en modo de
HA, ambos dispositivos se visualizarn juntos, de forma que pueda aadir
ambos dispositivos.
HA del peer de
grupo
Cuando visualiza un par de HA, si la configuracin no es coincidente,

aparecer un indicador de advertencia. Tambin ver un indicador si los
dispositivos de HA estn en grupos de dispositivos diferentes.
Esta opcin tambin es independiente de cada seccin, por lo que si la activa o
la desactiva en un rea, no la activar/desactivar en todas las reas. La
opcin HA del peer de grupo est presente en las siguientes reas de
Panorama:
Plantillas
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Configuracin de plantillas de Panorama

Panorama > Plantillas
Para configurar las plantillas de Panorama, primero debe crear la plantilla y, a continuacin, aadirle los
dispositivos. Despus de crear la primera plantilla, ver el men desplegable Plantilla en las pestaas
Dispositivo y Red. Seleccione la plantilla que desee del men desplegable Plantilla y configure los
ajustes de red y dispositivo de la misma forma que si gestionara un dispositivo, si bien todas las
opciones que se definan se aplicarn nicamente a la plantilla seleccionada. Una vez haya configurado la
plantilla, puede realizar una compilacin desde Panorama que solo se aplique a las plantillas.
Para crear y configurar una plantilla, realice los pasos siguientes:
Cmo aadir una nueva plantilla

1.
En la pestaa Panorama, haga clic en Plantillas para abrir la pgina de plantillas.
2.
Haga clic en Aadir e introduzca las opciones de configuracin de la plantilla. Consulte

Configuracin de plantilla (Panorama) en la pgina 440.
Palo Alto Networks
Plantillas
3.
En el campo Dispositivos, ver una lista de todos los dispositivos gestionados por
Panorama. Haga clic en la casilla de verificacin junto a cada elemento para aadirlo a la
nueva plantilla. Si selecciona un grupo de dispositivos, se seleccionarn todos los
dispositivos de ese grupo.
4.
Haga clic en ACEPTAR para guardar la plantilla.
Configuracin de una plantilla

1.
Una vez que haya creado la plantilla, haga clic en la pestaa Dispositivo o Red y ver un
men desplegable Plantilla, tal y como se muestra en Ilustracin 51.
Ilustracin 51. Men Plantilla
2.
Haga clic en el men desplegable Plantilla y seleccione la plantilla que desea configurar.
3.
Haga clic en la pestaa Dispositivo o Red y defina las opciones de configuracin que
desee para la plantilla.
Nota: Si selecciona una plantilla de la pestaa Dispositivo o Red, solo puede
definir las opciones que forman parte de la configuracin. No puede definir
opciones operativas como cambiar el dispositivo a un modo de sistema multivirtual
y configurar una clave maestra.
4.
Una vez haya realizado todos los cambios en la configuracin, haga clic en Compilar y en
el men desplegable Compilar tipo seleccione Plantilla. Tambin puede utilizar la opcin
de compilacin Grupo de dispositivos y seleccionar las casillas de verificacin Incluir
plantillas de dispositivo y Red para incluir las plantillas en un grupo de dispositivos.
5.
Haga clic en la casilla de verificacin junto a cada plantilla que desee compilar y, a
continuacin, haga clic en ACEPTAR. Tambin puede ver una presentacin preliminar de
sus cambios en la ventana Compilar haciendo clic en el botn Vista previa de cambios. Se
abrir una ventana emergente mostrando los estados de compilacin.
Cancelacin de ajustes de plantilla

Si aplica una plantilla para controlar los ajustes de dispositivo y red en un cortafuegos, es
posible que desee cancelar algunos de esos ajustes y tenerlos controlados por la configuracin
del dispositivo local. Por ejemplo, puede implementar una configuracin bsica a un grupo de
dispositivos global, pero configurar ajustes especficos de zonas horarias directamente en los
dispositivos en funcin de su ubicacin, mediante una cancelacin.
Para cancelar la configuracin de dispositivo y red aplicada por una plantilla, solo tiene que
cambiar el contexto del dispositivo o acceder al dispositivo directamente, desplcese hasta la
configuracin que desee y haga clic en el botn Cancelar. El ajuste se copiar en la
configuracin local del dispositivo y ya no lo controlar la plantilla. Tambin puede revertir el
cambio haciendo clic en el botn Restablecer y el ajuste se heredar de la plantilla. Si realiza
Palo Alto Networks
Logs
una compilacin desde Panorama a un dispositivo gestionado que contiene cancelaciones,
puede seleccionar la casilla de verificacin Forzar valores de plantilla para que las plantillas
de Panorama sustituyan a los objetos cancelados.
Si cancela los ajustes de Dispositivo > Configuracin y dispositivo > Alta disponibilidad, la
cancelacin se aplica nicamente a los valores individuales y a los parmetros de los rboles
de configuracin y no se aplican a la configuracin completa del rbol. Se incluyen elementos
como servidores DNS, IP de gestin o configuracin de servidor NTP. En el caso de elementos
como interfaces y perfiles de servidor de RADIUS, las cancelaciones se aplican al rbol
completo, no a valores internos.
Para identificar ajustes que tiene plantillas aplicadas, ver los siguientes indicadores, tal y
como se muestra en Ilustracin 52:
Ilustracin 52. Indicadores de plantilla
El icono verde indica que se ha aplicado una plantilla y que no hay cancelaciones. El icono
verde y naranja indica que se ha aplicado una plantilla y que se han cancelado algunos
ajustes.
Eliminacin de plantillas
Para eliminar una plantilla, debe desactivar la plantilla en el dispositivo local. En el
dispositivo gestionado, desplcese hasta la pestaa Dispositivo > Configuracin > Gestin,
edite la pgina Ajustes de Panorama y haga clic en el botn Deshabilitar plantilla de
dispositivo y red. Si elimina el dispositivo de la configuracin en Panorama > Plantillas no se
eliminarn los valores de la plantilla en el dispositivo local.
Logs
Panorama ejecuta dos funciones: gestin de dispositivos y recopilacin de logs Para facilitar la
adaptacin a implementaciones de mayores dimensiones, puede utilizar el dispositivo M-100
para separar las funciones de gestin y recopilacin de logs de Panorama.
Las siguientes secciones describen las opciones disponibles para la recopilacin de logs:
Logs e informes en la seccin siguiente
Uso de Panorama para recopilacin de logs en la pgina 444
Palo Alto Networks
Logs
Logs e informes
Los logs e informes de Panorama proporcionan informacin sobe la actividad del usuario en
la red gestionada. Las estadsticas de informes se obtienen cada 15 minutos para su uso en
informes predefinidos programadas y personalizadas y en estadsticas que se envan a
Panorama cada hora. Si se activa el reenvo de logs, se envan cuando se generen en el
dispositivo.
La pestaa ACC de Panorama muestra informacin de los cortafuegos conectados; no
requieren un reenvo de logs explcito. El reenvo de logs es necesario para el almacenamiento
de logs a largo plazo y para generar informes de los logs guardados localmente en Panorama.
En la pestaa ACC, todas las tablas obtienen informacin dinmicamente de los cortafuegos.
Generacin de informes de actividad de usuario

Supervisar > Informes en PDF > Informe de actividad del usuario
El informe de actividad de usuario de Panorama resume la actividad del usuario en todos los
cortafuegos gestionados. Se basa en los datos del cortafuegos que se han enviado a Panorama.
Consulte Gestin de informes de actividad del usuario en la pgina 296 para obtener
informacin general sobre cmo crear informes de actividad de usuario.
Uso de Panorama para recopilacin de logs

El dispositivo de Panorama proporciona una completa solucin de recopilacin de logs para los
cortafuegos de Palo Alto Networks. Mediante M-100, esta solucin descarga el intensivo procesamiento
actual de recopilacin de logs que gestiona el servidor de gestin de Panorama. Una vez implementado,
cada cortafuegos de su entorno gestionado se puede configurar para enviar logs a uno o ms de los
recopiladores de logs. Si configura mltiples recopiladores de logs por cortafuegos, la capacidad de
almacenamiento se distribuye entre los recopiladores, creando un entorno ms flexible con redundancia.
Las funciones de ACC, Informes en PDF y Visor de logs de Panorama se utilizan para consultar
informacin agregada en todos los cortafuegos gestionados. Es el mismo proceso que se utiliza si los
logs se enviaran directamente a Panorama, pero en este caso, Panorama consulta a los recopiladores de
logs para obtener la informacin.
Para obtener informacin sobre el hardware M-100, consulte la Gua de referencia de hardware de M-100.
Nota: El dispositivo M-100 se enva con Panorama precargado y las funciones de
gestin de Panorama y las funciones de recopilacin de logs estn activadas de forma
predefinida. Si M-100 se va a utilizar para recopilar logs nicamente, debe cambiar el
modo a logger. El comando operativo para cambiar de modo es request system
logger-mode [panorama | logger]. Para ver el modo actual, ejecute show
system info | match logger_mode
Si M-100 est en modo de recopilador de logs, la nica CLI disponible es para gestin.
Si desea utilizar diferentes dispositivos para las funciones de gestin y recopilacin de
logs de Panorama, los cortafuegos de su red deben ejecutar PAN-OS 5.0.
Palo Alto Networks
Logs
Las siguientes secciones describen cmo implementar los recopiladores de logs:
Implementacin de recopilacin de logs distribuida en la seccin siguiente
Configuracin de M-100 como recopilador de logs en la pgina 446
Configuracin del servidor de Panorama para la gestin del recopilador de logs en la

pgina 447
Gestin de recopiladores de logs en la pgina 448
Definicin de grupos de recopiladores de logs en la pgina 452
Almacenamiento de recopilador de logs en la pgina 455
Implementacin de recopilacin de logs distribuida

Debe tener muchos aspectos en cuenta cuando implemente una solucin de recopilacin de
logs distribuida, entre los que se incluyen:
Determinar la ubicacin de los dispositivos M-100 en funcin de la topologa de su red y

de la ubicacin de los cortafuegos. Lo ideal es que el servidor de gestin de Panorama, los
cortafuegos y los recopiladores de logs estn conectados entre s en una red de gestin.
Puede configurar los cortafuegos para conectar mltiples recopiladores de logs en caso de
errores, por lo que es importante que cada cortafuegos puede alcanzar a su recolector(s)
asignado. Normalmente, el servidor de Panorama y los recopiladores de logs se instalan
en centros de datos.
Determinar las necesidades de almacenamiento en disco para la recopilacin de logs en

funcin del nmero de cortafuegos que gestionar y del tiempo de retencin deseado.
Debe analizar su entorno actual para determinar la cantidad de logs e informes que se
estn generando.
La ilustracin de Ilustracin 53 muestra una implementacin de recopilacin de logs bsica.

Los cortafuegos gestionados se configuran para enviar informacin del log al recopilador de
logs M-100. Los servidores de Panorama en modo de HA se comunican con los recopiladores
de logs para generar los informes y visualizar la informacin del log recopilada de los
cortafuegos gestionados.
En implementaciones de grandes dimensiones en las que existen mltiples recopiladores de
logs disponibles, puede asignar dos o ms recolectores de logs a cada cortafuegos. El primer
recopilador de logs que especifique ser el recopilador de logs principal del cortafuegos. Si el
recopilador de logs principal falla, el cortafuegos guardar en cach momentneamente la
informacin, para no perder ningn dato. Adems, enviar logs al recopilador de logs
Palo Alto Networks
Logs
secundario. Con independencia de las asignaciones de recopilacin de logs del cortafuegos,

los logs se equilibran entre todos los recopiladores de logs en el grupo para mantener un uso
de almacenamiento igual entre los grupos recopiladores.
Ilustracin 53. Recopilacin de logs distribuidos

Servidor de gestin Panorama
El administrador de Panorama consulta

los logs de los recopiladores
Recopiladores de logs
Los cortafuegos envan logs
a los recopiladores de logs
Cortafuegos gestionados
Configuracin de M-100 como recopilador de logs

Para configurar un recopilador de logs, primero debe definir la direccin IP del servidor de
Panorama que gestionar el recopilador de logs y, a continuacin, debe configurar la
informacin de IP del puerto de gestin (MGT) para acceder a su red. El resto de ajustes se
pueden configurar e implementar desde el servidor de gestin de Panorama.
1.
Inicie sesin en CLI con el nombre de usuario admin y contrasea admin predefinidas.
Para obtener ms informacin sobre el acceso a CLI, consulte la Gua de referencia de la
interfaz de lnea de comandos. El M-100 tiene un conector serie de 9 clavijas para el puerto de
la consola y un adaptador de 9 clavijas a 9 clavijas que se incluye con el dispositivo.
2.
Compruebe que el dispositivo est en modo logger ejecutando show system info
| match logger_mode. Si el dispositivo est en modo Panorama, ejecute request
system logger-mode logger. Responda S para confirmar el cambio y el dispositivo se
reiniciar.
Nota: Si M-100 est en modo recopilador de logs, la nica CLI disponible ser
para la gestin. La mayora de la configuracin se ejecuta en el administrador de
Panorama.
3.
Configure la direccin IP o FQDN del servidor de Panorama que se utilizar para

gestionar el recopilador de logs.
set deviceconfig system panorama-server ip-address <IP Panorama>.
Palo Alto Networks
Logs
Si su servidor de Panorama est en modo de HA, introduzca la direccin IP del

dispositivo peer: set deviceconfig system panorama-server-2 ip-address
<IP Panorama>.
4.
Obtenga una direccin IP de su administrador de red que se utilizar para el puerto de

gestin del recopilador de logs (MGT) y, a continuacin, configure el puerto de gestin.
set deviceconfig system ip-address <IP gestin> netmask <mscara de red>
default-gateway <IP puerta de enlace>
Tambin puede definir DNS aadiendo ajustes dns al comando anterior, pero mientras
pueda comunicarse mediante una direccin IP del servidor de Panorama, puede definir
DNS y el resto de opciones del servidor de gestin de Panorama.
El puerto MGT se utilizar para todas las comunicaciones, incluyendo la gestin de
dispositivos, recopilacin de logs y el recopilador de logs al recopilador de logs de
comunicaciones.
5.
Puede utilizar el servidor de Panorama para definir la contrasea de cada recopilador de

logs. Si desea definir la contrasea manualmente, ejecute set mgt-config users admin
password. Pulse Intro para escribir la clave y escriba y confirme la contrasea.
6.
Escriba commit para activar el cambio y exit para salir del modo de configuracin. Si
estaba conectado al puerto de gestin, perder la conectividad ya que la direccin IP se ha
modificado.
7.
Compruebe la conectividad de red de su puerta de enlace predeterminada u otro servidor

del puerto de la consola, o bien, compruebe el servidor de gestin de Panorama para
asegurarse de que puede alcanzar al recopilador de logs.
ping host <IP destino> o desde el servidor de gestin de Panorama ping host
<IP gestin recopilador logs>
Una vez que el recopilador de logs tiene las configuraciones bsicas necesarias, complete la
configuracin del servidor de gestin de Panorama. Consulte Configuracin del servidor de
Panorama para la gestin del recopilador de logs en la seccin siguiente.
Configuracin del servidor de Panorama para la gestin del recopilador de logs

El servidor de gestin de Panorama se utiliza para configurar y gestionar el recopilador de
logs de M-100 cuando se ha establecido la conectividad de red entre los dos sistemas. En
Panorama, puede gestionar la configuracin del recopilador de logs, el almacenamiento, la
retencin de logs, ajustes SNMP y la asignacin del cortafuegos gestionado para registrar los
recopiladores mediante grupos. Una vez configurados los recopiladores de logs, Panorama
consulta a los recopiladores para generar un informe por agregacin. Consulte Definicin de
grupos de recopiladores de logs en la pgina 452.
Nota: No puede migrar logs de cortafuegos existentes a M-100; nicamente se
reenviarn los nuevos datos de log, una vez completada la configuracin.
Para obtener una descripcin detallada de cada campo de Recopiladores gestionados,

consulte Gestin de recopiladores de logs en la pgina 448.
Para configurar recopiladores de log de Panorama:
1.
Asegrese de que el recopilador de logs que desea gestionar tiene una conectividad de
red bsica para que el servidor de gestin de Panorama se pueda comunicar con l.
Consulte Configuracin de M-100 como recopilador de logs en la pgina 446.
Palo Alto Networks
Logs
2.
En el servidor de gestin de Panorama, desplcese hasta Panorama > Recopiladores

gestionados y haga clic en Aadir para comenzar a aadir un recopilador de logs.
3.
En la pestaa General, especifique el nmero de serie del recopilador de logs y el nombre

del recopilador de logs (nombre de host). A continuacin, especifique la direccin IP de
Panorama, DNS, NTP, Zona horaria e informacin de ubicacin.
4.
Utilice la pestaa Autenticacin para actualizar la contrasea de la cuenta de

administrador local del recopilador de logs. Solo puede utilizar un hash de contrasea en
este campo. Puede crear un hash de contrasea utilizando el comando CLI de Panorama
request password-hash password password. Pulse Intro y se mostrar el valor del
hash. Copie el hash y pguelo en el campo Hash de la contrasea y Confirmar hash de la
contrasea.
5.
La pestaa Gestin se utiliza para configurar el puerto de gestin del recopilador de logs
y tiene la etiqueta MGT delante de M-100. Puede definir la MTU y otros ajustes de
interfaz, los servicios permitidos, y definir una lista de direcciones IP con permiso para
gestionar el recopilador de logs. La mayora de estos ajustes se deben haber configurado
al realizar la configuracin inicial del recopilador de logs para aadir el dispositivo a la
red.
El puerto MGT se utilizar para todas las comunicaciones entre el recopilador de logs y
los dispositivos gestionados.
Consulte Definicin de grupos de recopiladores de logs en la pgina 452.
6.
Haga clic en Compilar y, en la lista desplegable Compilar tipo seleccione Panorama y

7.
Haga clic en Compilar y en la lista desplegable Compilar tipo seleccione Grupo de

recopiladores, seleccione el recopilador de logs o el grupo que desea compilar y haga clic
en ACEPTAR. De esta forma se agregarn los cambios a los recopiladores de logs
seleccionados.
Se abrir una ventana emergente mostrando el estado de compilacin.
8.
El recopilador de logs debera estar configurado. El siguiente procedimiento es crear

Grupos de recopiladores para asignar cortafuegos a los recopiladores de logs. Consulte
Definicin de grupos de recopiladores de logs en la pgina 452.
Gestin de recopiladores de logs

Panorama > Recopiladores gestionados
Utilice la pgina Recopiladores gestionados para configurar, gestionar y actualizar
dispositivos recopiladores de logs.
El ajuste de esta pgina tambin existe en la CLI del recopilador de logs.
Tabla 154 Pgina Recopiladores gestionados

Campo
Descripcin
Pestaa General
N serie recopilador
Introduzca el nmero de serie del dispositivo recopilador de

logs.
Palo Alto Networks
Logs

Campo
Descripcin
Nombre del recopilador
Introduzca un nombre para identificar al recopilador de logs (de

hasta 31 caracteres). El nombre hace distincin entre maysculas
y minsculas y debe ser exclusivo. Utilice nicamente letras,
Es el nombre de host del recopilador de logs.
IP del servidor de Panorama
Especifique la direccin IP del servidor de Panorama que se

utiliza para gestionar este recopilador.
IP del servidor 2 de
Panorama
Especifique la direccin IP del dispositivo secundario si el

servidor de gestin de Panorama est en modo de HA.
Servidor DNS principal

principal. El servidor se utiliza para consultas DNS del
recopilador de logs, por ejemplo, para buscar el servidor de
Panorama.
Servidor de DNS secundario

secundario que deber utilizarse si el servidor principal no est
Servidor NTP principal
Introduzca la direccin IP o el nombre de host del servidor NTP

principal, si lo hubiera. Si no utiliza servidores NTP, puede
establecer la hora del dispositivo manualmente.
Servidor NTP secundario
Introduzca la direccin IP o el nombre de host de los servidores

NTP secundarios que debern utilizarse si el servidor principal
no est disponible (opcional).
Zona horaria
Seleccione la zona horaria del recopilador de logs.
Latitud
Introduzca la latitud (-90,0 a 90,0) del recopilador de logs que se

utiliza en las asignaciones de trfico y amenazas de Appscope.
Longitud
Introduzca la longitud (-90,0 a 180,0) del recopilador de logs que

se utiliza en las asignaciones de trfico y amenazas de Appscope.
Pestaa Autenticacin
Nombre de usuario
Este campo siempre mostrar admin y se utiliza para el nombre

de inicio de sesin en CLI local del recopilador de logs.
Modo
Seleccione Contrasea para introducir y confirmar manualmente

una contrasea que se utilizar para la autenticacin de CLI local,
o bien seleccione Hash de la contrasea para introducir un valor
de hash.
Para crear un hash de contrasea desde la CLI del servidor de
gestin de Panorama, ejecute el siguiente comando:
request password-hash password password123
Devolver un valor de hash para la contrasea password123 (Por
ejemplo, $1$urlishri$aLP2by.u2A1IQ/Njh5TFy9).
Copie el valor del hash de la CLI y cpielo en el campo Hash de
la contrasea. Cuando guarde los cambios, el nuevo hash se
configurar en el recopilador de logs y la nueva contrasea de
inicio de sesin del administrador local ser password123.
Palo Alto Networks
Logs

Campo
Descripcin
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos que

se permiten para la interfaz web y la CLI antes de bloquear la
cuenta (1-10; valor predeterminado: 0). 0 significa que no hay
ningn lmite.
Tiempo de bloqueo (min.)
Especifique el nmero de minutos que se bloquea a un usuario

(0-60 minutos) si se alcanza el nmero de intentos fallidos. El
valor predeterminado 0 significa que no hay ningn lmite en el
nmero de intentos.
Pestaa Gestin
Configure los ajustes del puerto de gestin con la etiqueta MGT

en la parte frontal del dispositivo. Este puerto se utiliza para
todas las comunicaciones del recopilador de logs.
Interfaz
La interfaz no se puede modificar y la etiqueta predefinida es

MGT.
Velocidad y dplex
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) y el

modo de transmisin de interfaz dplex completo (Completo),
dplex medio (Medio) o automtico (Auto).
Direccin IP
Introduzca la direccin IP de la interfaz de gestin del

La direccin IP de gestin predefinida es 192.168.1.1.
Mscara de red
Introduzca la mscara de red de la direccin IP, como

255.255.255.0.
Puerta de enlace
predeterminada
Introduzca la direccin IP del enrutador predeterminado (debe

Direccin IPv6
Introduzca la direccin IPv6 de la interfaz de gestin del

Puerta de enlace IPv6

predeterminada
Introduzca la direccin IPv6 del enrutador predeterminado (debe

MTU
Introduzca la unidad mxima de transmisin (MTU) en bytes

para los paquetes enviados en esta interfaz (512 a 1500, opcin
predefinida 1500).
Servicios de interfaz de
gestin
Seleccione los servicios que se activarn en la interfaz gestionada

en el dispositivo recopilador de logs:
SSH: Active la casilla de verificacin para activar secure
shell.
Ping: Active la casilla de verificacin para activar ping.
SNMP: Active la casilla de verificacin para activar
Simple Network Managed Protocol (protocolo de gestin

de red simple).
Palo Alto Networks
Logs

Campo
Descripcin
Direcciones IP permitidas
Haga clic en Aadir para introducir la lista de direcciones IP en

las que se permite la gestin.
Pestaa Discos
Haga clic en Aadir para definir el par de discos de RAID 1 que

se utilizar para almacenar los logs. Posteriormente puede aadir
los pares de discos adicionales que necesite para ampliar su
capacidad de almacenamiento.
Por defecto, M-100 est equipado con el primer par de RAID 1
activado con unidades instaladas en las bahas A1/A2. Puede
agregar hasta 3 pares RAID 1 ms para aumentar la capacidad de
almacenamiento, instalando nuevos pares RAID 1 en las bahas
B1/B2, C1/C2 y D1/D2. En el software, el par RAID 1 de las
bahas A1/A2 se denomina Par de discos <A|B|C|D>.
Consulte Almacenamiento de recopilador de logs en la
pgina 455.
Palo Alto Networks
Logs
Definicin de grupos de recopiladores de logs

Panorama > Grupos de recopiladores
Los grupos de recopiladores se utilizan para asignar cortafuegos gestionados de Panorama a
recopiladores de logs que se utilizarn para descargar el trabajo de recopilacin de logs que
normalmente gestionara el servidor de gestin de Panorama. Una vez se hayan
implementado los recopiladores de logs y configurado los cortafuegos, los logs definidos para
cada dispositivo se enviarn, y Panorama consultar los recopiladores de log, proporcionando
mayor visualizacin e informacin. Tambin puede utilizar grupos recopiladores para definir
la retencin del almacenamiento y los ajustes de SNMP.
Para obtener una descripcin detallada de cada una de las configuraciones de Grupos de
recopiladores, consulte Configuracin de Grupos de recopiladores en la pgina 453.
Para configurar grupos recopiladores de logs:
1.
En el servidor de gestin de Panorama, vaya a Panorama > Grupos de recopiladores.
2.
Haga clic en Aadir e introduzca un nombre para identificar el grupo recopilador.
3.
En el cuadro Mn. de perodo de retencin (das), introduzca el perodo de retencin de

todos los recopiladores de logs del grupo. Cuando se alcance el perodo de retencin, se
crear una entrada de incumplimiento en el log Sistema. Este log se genera en funcin de
la fecha de la ltima entrada del log recibida, que se resta de la fecha actual y, a
continuacin, se compara con el perodo de retencin definido.
4.
Haga clic en la pestaa Supervisin e introduzca los ajustes de SNMP de su entorno para
gestionar sus dispositivos mediante una solucin de gestin del sistema.
5.
Haga clic en la pestaa Reenvo de logs y, en la ventana Recopiladores, haga clic en

Aadir y seleccione los recopiladores de logs que formarn parte del grupo. Esta lista la
generan los recopiladores definidos en Panorama > Recopiladores gestionados.
Nota: Cuando aade el nmero de serie del servicio al grupo de recopiladores, el
dispositivo gestionado comenzar a enviar todos los logs al grupo recopilador. Para
que el dispositivo gestionado deje de enviar logs al administrador de Panorama,
elimine el dispositivo del grupo recopilador. Tambin ser necesario cuando migre
dispositivos gestionados a una instalacin diferente del administrador de
Panorama. Si lo olvida, deber ejecutar el comando operativo delete logcollector preference-list desde el dispositivo gestionado.
6.
Configure la asignacin que define los dispositivos que se reenviarn a una lista de
recopiladores preferidos en orden de preferencia. En la pestaa Reenvo de logs, haga clic
en Aadir en las ventanas de lista Dispositivos y Recolectores y aparecer la ventana
Dispositivos.
7.
En la lista desplegable Dispositivos, seleccione un cortafuegos gestionado y en

Recopiladores haga clic en Aadir y seleccione un recopilador de logs. Si selecciona
mltiples recopiladores, el primer recopilador aadido ser el recopilador principal, el
segundo ser el secundario, y as sucesivamente. Si el principal falla, los logs se enviarn
al secundario.
8.
Haga clic en Compilar y, en la lista desplegable Compilar tipo seleccione Panorama y

Palo Alto Networks
Logs
9.
Haga clic en Compilar y, en la lista desplegable Compilar tipo seleccione Grupo de

recopiladores y haga clic en ACEPTAR. Una vez completada la compilacin del grupo de
recopiladores, los cortafuegos gestionados asignados a los colectores comenzarn a
reenviar los logs a los recopiladores.
Cuando los logs del cortafuegos se envan a los recopiladores de logs, puede utilizar las
funciones de ACC de Panorama, Informes en PDF y el visor de logs para consultar la
informacin recopilada de todos sus cortafuegos gestionados. ACC consultar los datos
directamente de los recopiladores de logs, lo que significa que ACC consulta los datos
reenviados desde el cortafuegos. Si implementa M-100 como gestor de Panorama y
recopilador de logs, ACC tambin consultar los datos reenviados al recopilador de logs
que, en este caso, est en el mismo dispositivo.
Tabla 155 Configuracin de Grupos de recopiladores

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar este grupo de

recopiladores. Este nombre se utilizar para agrupar los
recopiladores de logs segn su configuracin y para
actualizaciones de software (hasta 31 caracteres). El nombre hace
Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos.
Almacenamiento de log
Indica las cuotas de almacenamiento de logs actuales del grupo

recopilador. Si hace clic en el texto de capacidad, se abrir la
ventana Configuracin de almacenamiento de logs. Desde aqu
puede distribuir el almacenamiento en diferentes funciones de
logs, como Trfico, Amenaza, Configuracin, Sistema y Alarma.
Tambin puede hacer clic en Restablecer valores
predeterminados para utilizar los ajustes de asignacin de logs
predefinidos.
Mn. de perodo de retencin

(das)
Especifique el perodo de retencin en das antes de purgar

los logs ms antiguos (intervalo 1-2000 das).
Palo Alto Networks
Logs
Tabla 155 Configuracin de Grupos de recopiladores (Continuacin)

Campo
Descripcin
Pestaa Supervisin
SNMP
La opcin SNMP permite recopilar informacin acerca de los

recopiladores de logs, incluyendo: estado de la conexin,
estadsticas de la unidad de disco, versin del software, uso
medio de la CPU, media de log/segundo y duracin de
almacenamiento por tipo de base de datos (minutos, horas, das,
semanas). La informacin de SNMP se basa en grupo por
recopilador.
Especifique los ajustes SNMP:
Ubicacin: Especifique la ubicacin del dispositivo recopilador
de logs.
Contacto: Especifique un contacto de correo electrnico para
este dispositivo.
Acceder a ajuste: Especifique la versin de SNMP que se
utilizar para comunicarse con el servidor de gestin de
Panorama (V2c o V3).
Si selecciona V3, debe especificar los siguientes ajustes:
Vistas: Haga clic en Aadir y configure los siguientes ajustes:
Ver: Especifique un nombre para una vista.
OID: Especifique el identificador de objeto (OID).
Opcin: (incluir o excluir) Seleccione si el OID debe

incluirse en la vista o excluirse de ella.
Mscara: Especifique un valor de mscara para un

filtro del OID en formato hexadecimal (por ejemplo,
0xf0).
Usuarios: Haga clic en Aadir y configure los siguientes

ajustes:
Usuarios: Especifique un nombre de usuario que
se utilizar como autenticacin entre el

recopilador de logs y el servidor de gestin
SNMP.
Ver: Especifique el grupo de vistas del usuario.
Authpwd: Especifique la contrasea de autenticacin

del usuario (8 caracteres como mnimo). nicamente
se admite el algoritmo de hash seguro (SHA).
Privpwd: Especifique la contrasea de cifrado del

usuario (8 caracteres como mnimo). nicamente se
admite el estndar de cifrado avanzado (AES).
Comunidad SNMP: Especifique la cadena de comunidad

SNMP que utilizar su entorno de gestin SNMP. SNMPv2c
nicamente (la opcin predefinida es pblica).
Palo Alto Networks
Logs
Tabla 155 Configuracin de Grupos de recopiladores (Continuacin)

Campo
Descripcin
Pestaa Reenvo de logs

Recopiladores
Haga clic en Aadir y seleccione el recopilador de logs de la lista

desplegable que formar parte de este grupo. La lista desplegable
mostrar todos los recopiladores disponibles en la pgina
Panorama > Recopiladores gestionados.
Dispositivos
Haga clic en Aadir y, a continuacin, haga clic en la lista

desplegable Dispositivos y seleccione el cortafuegos gestionado
que formar parte de este grupo recopilador.
Haga clic en Aadir en la ventana Recopiladores y seleccione el
recopilador que desea asignar a este cortafuegos para el reenvo
de logs.
Si observa la ventana Dispositivos, la columna Dispositivos
muestra todos los cortafuegos y la columna Recopiladores el
recopilador(s) asignado al cortafuegos.
El primer recopilador que especifique ser el recopilador de logs
principal del cortafuegos. Si el recopilador principal falla, el
cortafuegos enviar los logs al recopilador secundario. Si el
secundario falla, se utilizar el recopilador terciario, y as
sucesivamente.
Nota: Cuando aade el nmero de serie del servicio al grupo de
recopiladores, el dispositivo gestionado comenzar a enviar
todos los logs al grupo recopilador. Para que el dispositivo
gestionado deje de enviar logs al administrador de Panorama,
elimine el dispositivo del grupo recopilador. Tambin ser
necesario cuando migre dispositivos gestionados a una
instalacin diferente del administrador de Panorama. Si lo
olvida, deber ejecutar el comando operativo delete logcollector preference-list desde el dispositivo
gestionado.
Almacenamiento de recopilador de logs

A medida que su entorno crece, necesitar aumentar la capacidad de almacenamiento de los
dispositivos M-100 recopiladores de logs, o bien, es posible que necesite aadir nuevos
recopiladores de logs.
Por defecto, M-100 est equipado con el primer par de RAID 1 activado con unidades
instaladas en las bahas A1/A2. Puede agregar hasta 3 pares RAID 1 ms para aumentar la
capacidad de almacenamiento, instalando nuevos pares RAID 1 en las bahas B1/B2, C1/C2 y
D1/D2. En el software, el par RAID 1 de las bahas A1/A2 se denomina Par de discos A, B1/
B2 es Par de discos B, C1/C2 es Par de discos C, D1/D2 es Par de discos D.
Para obtener informacin sobre la sustitucin fsica de unidades de M-100, consulte la Gua de
referencia de hardware de M-100.
Palo Alto Networks
Logs
Nota: La matriz de discos RAID 1 de M-100 requiere que cada par de discos reflejado se
instale en las bahas correctas. El dispositivo se entrega con las unidades A1/A2 instaladas y
reflejadas. Para aadir ms discos, instale el siguiente par de discos en las bahas correctas, es
decir, B1/B2, C1/C2 y D1/D2. No puede instalar los nuevos discos en las bahas B1 y C1 por
ejemplo, y tratar de reflejarlas.
Para ampliar el almacenamiento en disco de M-100 utilizando la baha de unidades B1/B2:
1.
Obtenga dos unidades de disco M-100 idnticas de Palo Alto Networks.
2.
No es necesario que apague el recopilador de logs para agregar las nuevas unidades. Si
prefiere apagar el dispositivo, ejecute request shutdown system desde la CLI.
3.
Retire las bahas vacas B1/B2 e instale las unidades en las bahas del par de discos B.
4.
Vuelva a insertar las bahas de las unidades en B1/B2.
5.
En CLI, desplcese hasta el recopilador de logs y ejecute request system raid add
B1. La unidad B1 se inicializar y se formatear.
6.
Vuelva a ejecutar el comando en la unidad B2 request system raid add B2. Se

crear el reflejo Raid 1 y las unidades estarn listas para aadirse al grupo recopilador
desde el servidor de gestin de Panorama.
Nota: El tiempo necesario para reflejar los datos en la unidad puede variar entre
algunos minutos a horas, dependiendo de la cantidad de datos almacenados en la
unidad.
Utilice el comando show system raid detail para supervisar el progreso de la
configuracin RAID.
7.
Vaya al servidor de Panorama que gestione este recopilador de logs, vaya a Panorama >
Gestionar recopiladores y haga clic en el recopilador para abrir la ventana Recopilador.
Seleccione la pestaa Discos.
8.
El disco A ya debera existir. Haga clic en Aadir y seleccione Par de discos B y, a

continuacin, haga clic en ACEPTAR para que el nuevo par de discos est disponible en
el sistema.
Si aumenta o reduce la cantidad de almacenamiento de un recopilador de logs, el servidor de

gestin de Panorama reconocer la nueva informacin de capacidad de almacenamiento y los
grupos de recopiladores de logs se actualizarn para reequilibrar la carga de logs. Con
independencia de las asignaciones de recopilacin de logs del cortafuegos, los logs se
equilibran entre todos los recopiladores de logs en el grupo para mantener un uso de
almacenamiento igual entre los grupos recopiladores. Tenga en cuenta que durante este
proceso de reequilibrio es posible que experimente una gran cantidad de trfico de red a
medida que los datos de logs se mueven entre un recopilador y otro.
Para ver la capacidad del disco de un grupo o de un recopilador de logs individual, vaya a la
interfaz web del servidor de gestin de Panorama, desplcese a Panorama > Grupos de
recopiladores, haga clic en un nombre de grupo y, a continuacin, en la pestaa General.
Junto a Almacenamiento de log, ver un enlace que muestra la informacin de
almacenamiento total y disponible. Si hace clic en este enlace, se abrir la ventana
Configuracin de almacenamiento de logs, donde puede asignar el almacenamiento de
diferentes funciones.
Palo Alto Networks
Visualizacin de la informacin de implementacin del cortafuegos
Visualizacin de la informacin de implementacin del

cortafuegos
Panorama > Implementacin
Abra las pginas de Implementacin para ver informacin actualizada de implementacin de
los dispositivos gestionados y para gestionar las versiones de software de los dispositivos, tal
y como se describe en la tabla siguiente.
Tabla 156. Pginas de implementacin de Panorama

Campo
Descripcin
Software
Muestra las versiones del software de cortafuegos disponible para la

instalacin de los cortafuegos gestionados.
Cliente SSL VPN
Muestra las versiones de SSL del software del cliente VPN disponibles
para la instalacin de los cortafuegos gestionados.
Cliente de
GlobalProtect
Muestra las versiones del software cliente de GlobalProtect disponibles

para la instalacin de los cortafuegos gestionados.
Actualizaciones
dinmicas
Muestra las definiciones de amenazas y aplicaciones disponibles para su

uso en los cortafuegos gestionados. Consulte Actualizacin de
definiciones de aplicaciones y amenazas en la pgina 60 para obtener
informacin sobre el uso de esta pgina.
Licencias
Muestra el estado de cada dispositivo gestionado y el de su licencia

actual. Cada entrada indica si la licencia est activa (icono
) o inactiva
(icono
), junto con la fecha de vencimiento de las licencias activas.
Haga clic en Actualizar para actualizar la lista.
Haga clic en Activar para activar una licencia. Seleccione los
dispositivos gestionados para su activacin e introduzca el cdigo de
autenticacin que Palo Alto Networks ha proporcionado para el
dispositivo.
Realice cualquiera de las siguientes funciones en las pginas Software, SSL VPN o
GlobalProtect:
Haga clic en Actualizar para ver las versiones ms recientes del software disponibles en
Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios en la versin.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Durante la instalacin, se le preguntar si desea reiniciar cuando finalice la instalacin.
cortafuegos. Si selecciona dicha opcin, el cortafuegos se reiniciar.
Palo Alto Networks
Copia de seguridad de las configuraciones del cortafuegos
Haga clic en Cargar para instalar o activar una versin que ha almacenado anteriormente
en su equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde
archivo. Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en
ACEPTAR para instalar la imagen.
Haga clic en el icono Eliminar
para eliminar una versin obsoleta.
Copia de seguridad de las configuraciones del

cortafuegos
Panorama > Configuracin
Panorama guarda automticamente todas las configuraciones compiladas de los cortafuegos
gestionados. Puede configurar el nmero de versiones que se guardarn en el dispositivo de
Panorama utilizando los ajustes de Gestin en Configuracin en la pestaa Panorama. La
opcin predefinida es 100. Para obtener instrucciones sobre cmo configurar el nmero de
versiones, consulte Definicin de configuracin de gestin en la pgina 32.
Para gestionar las copias de seguridad de Panorama, seleccione Panorama > Dispositivos
gestionados y haga clic en Gestin en la columna Copias de seguridad de un dispositivo. Se
abrir una ventana mostrando las configuraciones guardada y compilada del dispositivo.
Haga clic en un enlace Cargar para restaurar la copia de seguridad a la configuracin
candidata y realice los cambios que desee. Haga clic en Compilar para restaurar la
configuracin cargada en el dispositivo. Para eliminar una configuracin guardada, haga clic
en el icono
.
Programacin de configuracin de exportaciones

Panorama > Exportacin de configuracin programada
Panorama guarda una copia de seguridad de las configuraciones que se ejecutan de todos los
dispositivos gestionados adems de sus propias configuraciones. Utilice la pgina
Exportacin de configuracin programada para recopilar las configuraciones ejecutadas de
todos los dispositivos gestionados, organcelas en un archivo gzip y programe el paquete para
su envo diario a un servidor FTP o SCP (Secure Copy) para transferir los datos de forma
segura a un remoto. Los archivos tienen formato XML y los nombres de archivo se basan en
los nmeros de serie de los dispositivos.
Utilice esta pgina para configurar una programacin para la recopilacin y exportacin de
las configuraciones de los dispositivos gestionados.
Tabla 157.
Programacin de configuracin de exportacin de lotes
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el trabajo de configuracin

de exportacin de lote (de hasta 31 caracteres). El nombre hace
Utilice nicamente letras, nmeros, guiones y guiones bajos.
Descripcin
Palo Alto Networks
Programacin de configuracin de exportaciones
Tabla 157.
Programacin de configuracin de exportacin de lotes (Continuacin)
Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el trabajo de

exportacin.
Tipo de log
Seleccione el tipo de log que desea exportar (trfico, amenaza, URL,

datos, coincidencia HIP).
Hora de inicio de exportacin

programada (a diario)
Especifique la hora del da a la que se iniciar la exportacin (reloj

de 24 horas, formato HH:MM).
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde

el cortafuegos a un host remoto. Puede utilizar SCP para exportar
logs de manera segura o puede utilizar FTP, que no es un protocolo
seguro.
Nombre de host
Introduzca la direccin IP o el nombre de host del servidor FTP.
Puerto
Introduzca el nmero de puerto en el servidor de destino.
Ruta
Especifique la ruta ubicada en el servidor FTP que se utilizar para

almacenar la informacin exportada.
Habilitar modo pasivo de FTP
Seleccione la casilla de verificacin para utilizar el modo pasivo de

FTP.
Nombre de usuario
Especifique el nombre de usuario en el sistema de destino.
Contrasea
Especifique la contrasea de usuario en el sistema de destino.
Confirmar contrasea
Conexin de servidor SCP de
prueba
Haga clic en este botn para probar la comunicacin entre el

cortafuegos y el host/servidor SCP.
Para activar la transferencia segura de los datos, debe verificar y
aceptar la clave de host del servidor SCP. La conexin no se
establece hasta que acepte la clave de host.
Palo Alto Networks
Actualizacin del software de Panorama
Actualizacin del software de Panorama

Panorama > Software
Para actualizar a una nueva versin del software de Panorama, puede ver las versiones ms
recientes del software de Panorama disponibles en Palo Alto Networks, leer las notas de
versin de cada versin y, a continuacin, seleccionar la versin que desee descargar e instalar
(se requiere una licencia de asistencia tcnica).
Para actualizar el software de Panorama, haga clic en Actualizar para ver las versiones ms
recientes del software disponibles en Palo Alto Networks. Para ver una descripcin de los
cambios de una versin, haga clic en Notas de versin junto a la versin.
Nota: Panorama ejecuta peridicamente una comprobacin de integridad del
sistema de archivos (FSCK) para evitar daos en el sistema de archivos de
Panorama. Esta comprobacin se realiza cada 8 reinicios o tras un reinicio 90 das
despus de realizar la ltima comprobacin de integridad del sistema. Si Panorama
ejecuta una comprobacin FSCK, ver una advertencia en la interfaz web y
pantallas de inicio de sesin de SSH indicando que se est ejecutando una
comprobacin FSCK y no podr iniciar sesin hasta que se complete. El tiempo
necesario para completar el proceso depende del tamao del sistema de
almacenamiento; dependiendo del tamao, puede tardar varias horas en poder
iniciar sesin en Panorama.
Para ver el progreso, configure el acceso de consola a Panorama.
1.
Para instalar una nueva versin:
a. Haga clic en Descargar junto a la versin que se instalar. Cuando la descarga haya
finalizado, se mostrar una marca de verificacin en la columna Descargado.
b. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
sistema Panorama.
2.
Para eliminar una versin obsoleta, haga clic en
junto a la versin.
Nota: El software se elimina para dejar espacio libre para la descarga de nuevas
versiones. Esto ocurre de forma automtica y no se puede controlar manualmente.
Palo Alto Networks
Captulo 14
Configuracin de WildFire
Este captulo describe cmo utilizar WildFire para elaborar anlisis e informes sobre el
software malintencionado que pase por el cortafuegos:
Acerca de WildFire en la seccin siguiente
Configuracin de WildFire en el cortafuegos en la pgina 465
Configuracin del reenvo de WildFire en la pgina 466
Log Filtrado de datos de WildFire en la pgina 467
Uso del portal de WildFire en la pgina 468
Acerca de WildFire
WildFire permite que los usuarios enven archivos al entorno virtual seguro basado en la nube
de Palo Alto Networks, donde se analizan automticamente en busca de actividades
malintencionadas. El sistema WildFire permite que el archivo se ejecute en un entorno
vulnerable y busca numerosos comportamientos y tcnicas malintencionados especficos,
como la modificacin de archivos de sistema, la deshabilitacin de caractersticas de
seguridad o el uso de una variedad de mtodos para evadir la deteccin.
Palo Alto Networks
Configuracin de WildFire 463
Acerca de WildFire
Los tipos de archivos admitidos incluyen los archivos Win32 Portable Executable (PE) (p. ej.,
exe, dll y scr). Al seleccionar los tipos de archivos en el perfil de objetos, puede seleccionar PE
para cubrir todos los tipos de archivos Win32 PE.
Los tipos de archivos pueden analizarse aunque estn comprimidos (zip, gzip) o a travs de
SSL si el descifrado est habilitado en la poltica. Para los tipos de archivos PE, los archivos
tambin se examinan de manera previa directamente en el dispositivo para buscar contenido
de alto riesgo antes de reenviarlos a WildFire.
Nota: Al seleccionar PE en la columna Tipos de archivos del perfil de objetos
para seleccionar una categora o tipos de archivos, no aada un tipo de archivo
individual que forme parte de esa categora o recibir entradas redundantes en los
logs Filtrado de datos. Por ejemplo, si selecciona PE, probablemente no desee
incluir exe de manera adicional. Esto tambin es aplicable al tipo de archivo zip, ya
que los tipos de archivos admitidos que se compriman se enviarn automticamente
a WildFire.
Al seleccionar una categora tambin garantizar que, como la compatibilidad con
un nuevo tipo de archivo se aade a una categora especfica, automticamente
pasar a formar parte de su perfil de objetos. Tambin puede seleccionar
Cualquiera para que todos los tipos de archivos admitidos se carguen en WildFire.
A medida que se detecte nuevo software malintencionado, WildFire generar
automticamente firmas de antivirus y distribuir dichas firmas entre los cortafuegos que
tengan una suscripcin de prevencin de amenazas. Estas firmas formarn parte de las firmas
de antivirus diarias que se actualizan cada 24-48 horas.
Si tiene una suscripcin a WildFire, tendr varias caractersticas nuevas habilitadas, entre las
que se incluyen:
Actualizaciones dinmicas de WildFire: Tendr a su disposicin una nueva seccin en

Dispositivo > Actualizaciones dinmicas denominada WildFire. Cuando se detecte nuevo
software malintencionado, se crearn firmas de WildFire en el sitio web de asistencia
tcnica cada hora y podr utilizar la programacin de actualizacin de WildFire para
impulsar nuevas firmas de WildFire cada 15, 30 o 60 minutos. A medida que se
descarguen nuevas firmas de WildFire en su cortafuegos, podr configurar el cortafuegos
para que realice acciones especficas en estas firmas, independientemente de las acciones
de las firmas de antivirus comunes.
Logs de WildFire integrados: A medida que el servidor WildFire cargue y analice

archivos, los datos de log se reenviarn al dispositivo despus del anlisis, junto con los
resultados del anlisis. Los logs se escriben en la pgina Supervisar > Logs > WildFire.
API de WildFire: La licencia de API de WildFire permite un acceso programtico al

servicio de WildFire en la nube, aparte de su uso por parte de cortafuegos de Palo Alto
Networks. La API de WildFire se puede utilizar para enviar, analizar y revisar informes
de archivos enviados al sistema WildFire. Puede cargar hasta 100 archivos al da.
Los resultados del anlisis detallado de los archivos enviados tambin estn disponibles a
travs del portal de WildFire; adems, puede ver esta informacin sin ninguna suscripcin.
Puede utilizar el portal de WildFire para ver qu usuarios son el destino, las aplicaciones que
se utilizaron y el comportamiento malintencionado que se observ. Tambin puede
configurar el portal de WildFire para enviar notificaciones por correo electrnico cuando haya
resultados disponibles para su revisin. Consulte Uso del portal de WildFire en la
pgina 468.
464 Configuracin de WildFire
Palo Alto Networks
Configuracin de WildFire en el cortafuegos
Configuracin de WildFire en el cortafuegos

Realice estas tareas para configurar su entorno y utilizar WildFire.
1.
En el cortafuegos, configure los ajustes de WildFire en la pgina Dispositivo >

Configuracin. Consulte Configuracin de ajustes de WildFire en el cortafuegos en la
pgina 465.
2.
En el cortafuegos, configure sus perfiles de bloqueo de archivos para incluir la accin

Reenviar o Continuar y reenviar. Consulte Configuracin del reenvo de WildFire en la
pgina 466 para conocer los procedimientos o consulte Perfiles de bloqueo de archivo
en la pgina 238 para obtener ms informacin.
3.
Incorpore las propiedades de bloqueo de archivos en una poltica de seguridad, igual que
hara con cualquier otro perfil de bloqueo de archivos. Consulte Polticas de seguridad
en la pgina 203.
4.
Acceda al portal de WildFire y configure los ajustes opcionales. Consulte Uso del portal
de WildFire en la pgina 468.
Ahora podr acceder al portal de WildFire para ver informes. Consulte Visualizacin de
informes de WildFire en la pgina 469.
Configuracin de ajustes de WildFire en el cortafuegos

Dispositivo > Configuracin > WildFire
Utilice la pestaa WildFire para controlar la informacin que se enviar al servidor WildFire.
Nota: Para reenviar contenido descifrado a WildFire, deber seleccionar la casilla de
verificacin Permitir reenvo de contenido descifrado del cuadro Dispositivo >
Configuracin > Inspeccin de contenidos > Filtrado de URL Configuracin.
Tabla 158. Ajustes de WildFire en el cortafuegos

Campo
Descripcin
Configuracin
general
Servidor WildFire
Especifique la URL de un servidor WildFire. Especifique el valor defaultcloud para permitir que el cortafuegos detecte automticamente al
servidor WildFire ms cercano.
Tamao de archivo
mximo (MB)
Especifique el tamao de archivo mximo que se reenviar al servidor

WildFire (rango: 1-10 MB; valor predeterminado: 2 MB). Los archivos que
sean ms grandes que el tamao especificado no se enviarn.
Palo Alto Networks
Configuracin del reenvo de WildFire
Tabla 158. Ajustes de WildFire en el cortafuegos (Continuacin)

Campo
Descripcin
Ajustes de
informacin de
sesin
Configuracin
Especifique la informacin que se reenviar al servidor WildFire. De

manera predeterminada, todo est seleccionado:
IP de origen: Direccin IP de origen que envi el archivo sospechoso.
Puerto de origen: Puerto de origen que envi el archivo sospechoso.
IP de destino: Direccin IP de destino del archivo sospechoso.
Puerto de destino: Puerto de destino del archivo sospechoso.
Vsys: Sistema virtual del cortafuegos que identific al posible software
malintencionado.
Aplicacin: Aplicacin de usuario que se utiliz para transmitir el
archivo.
Usuario: Usuario de destino.
URL: URL asociada al archivo sospechoso.
Nombre de archivo: Nombre del archivo que se envi.
Configuracin del reenvo de WildFire

Despus de configurar los ajustes de WildFire en el cortafuegos, ya est listo para configurar
el reenvo para permitir el envo de archivos al sistema WildFire para su anlisis. Primero
debe crear un perfil de bloqueo de archivos y, a continuacin, incluir dicho perfil en una
poltica de seguridad.
Para configurar un perfil de bloqueo de archivos para WildFire:
1.
Desplcese hasta Objetos > Perfiles de seguridad > Bloqueo de archivo.
2.
Haga clic en Aadir para aadir un nuevo perfil e introduzca un Nombre y una
Descripcin.
3.
Haga clic en Aadir en la ventana Perfil de bloqueo de archivo. Haga clic en el campo
Nombres e introduzca un nombre de regla.
4.
Seleccione las Aplicaciones que se identificarn para este perfil. Por ejemplo, si selecciona
la aplicacin navegacin web, el perfil identificar los archivos descargados cuando el
usuario descargue archivos desde una pgina web.
5.
En el campo Tipo de archivo seleccione los tipos de archivos que deseara reenviar para
su anlisis.
6.
En el campo Direccin, seleccione Cargar, Descargar o Ambos. Si selecciona Ambos, esto

identificar los archivos que el usuario ha cargado o descargado.
Palo Alto Networks
Log Filtrado de datos de WildFire
7.
En el campo Accin, seleccione Reenviar. Esto har que todos los archivos identificados
se reenven al sistema WildFire, se realizar un anlisis y, a continuacin, el archivo se
entregar al usuario. Si selecciona Continuar y reenviar, el usuario ver una pgina que le
preguntar si desea continuar antes de que se produzca la descarga.
Si WildFire determina que el archivo es un archivo de software malintencionado de da cero,

se generar un informe en el portal de WildFire y se crear una nueva firma de antivirus en un
perodo de 24-48 horas. Si es suscriptor de WildFire, tambin ver una entrada del log Filtrado
de datos en el cortafuegos y se crear una firma en un perodo de una hora.
Para configurar una poltica de seguridad para WildFire:
1.
Desplcese hasta Polticas > Seguridad.
2.
Haga clic en Aadir para crear una nueva poltica o seleccione una poltica existente.
3.
Haga clic en la pestaa Acciones y, bajo Ajuste de perfil, haga clic en la lista desplegable
ubicada junto a Bloqueo de archivo y seleccione el perfil de seguridad que cre.
4.

Nota: Cuando crea un perfil de bloqueo de archivos con la accin Continuar o
Continuar y reenviar (utilizado para el reenvo de WildFire), nicamente puede
elegir la aplicacin navegacin web. Si elige cualquier otra aplicacin, el trfico
que coincida con la poltica de seguridad no fluir hacia el cortafuegos debido al
hecho de que los usuarios no vern una pgina que les pregunte si desean
continuar.
Log Filtrado de datos de WildFire

Esta seccin describe las diversas acciones de reenvo que ver en los logs cuando WildFire
est configurado y se reenven archivos para su anlisis. Los logs se ubicarn en Supervisar >
Logs > Filtrado de datos.
Tabla 159. Descripciones del log Filtrado de datos de WildFire

Log
Descripcin
wildfire-upload-skip
Se mostrar esta accin para todos los ficheros identificados como

elegibles para ser enviados a WildFire a travs de un perfil/
poltica de seguridad de bloqueo de ficheros, pero para los que no
se necesit el anlisis de WildFire porque ya haban sido
analizados anteriormente. En este caso, la accin "forward"
aparecer en el log de Filtrado de Datos porque fue una accin de
envo vlida, pero no fue enviado a WildFire y analizado porque
ese fichero ya haba sido enviado a la nube de WildFire desde otra
sesin, probablemente desde otro cortafuegos.
wildfire-upload-success
El archivo se ha enviado a la nube. Esto significa que el archivo no

est firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
Palo Alto Networks
Uso del portal de WildFire

Para acceder al portal de WildFire, vaya a https://wildfire.paloaltonetworks.com e inicie sesin
con sus credenciales de asistencia tcnica de Palo Alto Networks o su cuenta de WildFire.
El portal se abrir para mostrar el panel, que enumera informacin de informes de resumen de
todos los cortafuegos asociados a la cuenta de WildFire o cuenta de asistencia tcnica
especfica (as como los archivos que se hayan cargado manualmente). La pantalla incluye el
nmero de archivos analizados e indica cuntos estn infectados con software
malintencionado, son buenos o estn pendientes de anlisis.
Nota: Para cargar un archivo manualmente, haga clic en Cargar archivo en la
esquina superior derecha de la pgina de WildFire.
Ilustracin 54. Panel de WildFire
Palo Alto Networks
Configuracin de ajustes en el portal de WildFire

Haga clic en el enlace Configuracin de la parte superior del portal de WildFire para
configurar los siguientes ajustes:
Tabla 160. Ajustes en el portal de WildFire

Campo
Descripcin
Contrasea
Para cambiar la contrasea, introduzca valores en los campos siguientes:

Contrasea actual: Introduzca su contrasea actual.
Nueva contrasea/Confirmar contrasea: Introduzca y vuelva a
introducir una contrasea nueva.
Zona horaria
Seleccione la zona horaria en la lista desplegable. Se trata de la zona

horaria que se utiliza para indicar cundo recibe archivos WildFire.
Notificaciones por
correo electrnico
Seleccione las notificaciones por correo electrnico que desea recibir. Las
notificaciones por correo electrnico se envan al usuario de WildFire que
est registrado en este momento. Para cada dispositivo y para los archivos
que se cargan manualmente en el servidor WildFire, puede seleccionar
cualquiera de las siguientes notificaciones por correo electrnico:
Software malintencionado: Se enva una notificacin por correo
electrnico cuando se determina que el archivo es software
malintencionado.
Ambos: Se enva una notificacin por correo electrnico para archivos
que se ha determinado que son software malintencionado o buenos.
Ninguna: No se enva ninguna notificacin por correo electrnico.
Visualizacin de informes de WildFire

Haga clic en el botn Informes de la parte superior del portal de WildFire para ver la lista de
informes disponibles. Tiene a su disposicin opciones de bsqueda en la parte superior de la
pgina y se incluyen controles de paginacin.
Para ver un informe individual, haga clic en el icono
ubicado a la izquierda del nombre
del informe. Para imprimir un informe detallado, utilice la opcin de impresin de su
explorador.
Palo Alto Networks
Ilustracin 55. Pgina de informes de WildFire
Palo Alto Networks
Apndice A
Pginas personalizadas
Las pginas de respuesta personalizadas le permiten avisar a los usuarios finales acerca de
incumplimientos de polticas o condiciones de acceso especiales. Cada pgina puede incluir
referencias al la direccin IP del usuario, la URL a la que se intenta acceder y la categora de
URL. Estos parmetros se pueden utilizar tambin en enlaces con sistemas de solucin de
etiquetado.
Este apndice proporciona el cdigo HTML para las siguientes pginas de respuesta
personalizadas predeterminadas:
Pgina de respuesta antivirus predeterminada en la seccin siguiente
Pgina de bloque de aplicacin predeterminada en la pgina 473
Pgina de bloque de bloqueo de archivo predeterminado en la pgina 473
Pgina de respuesta de filtrado de URL predeterminada en la pgina 474
Pgina de respuesta de la descarga de antispyware predeterminada en la pgina 475
Pgina de respuesta de exclusin de descifrado predeterminada en la pgina 476
Pgina de comfort del portal cautivo en la pgina 476
Pgina de continuacin y cancelacin de filtrado de URL en la pgina 476
Pgina de inicio de sesin de VPN SSL en la pgina 477
Pgina de notificacin de certificado SSL revocado en la pgina 478

Nota: Para obtener informacin acerca de la importacin y exportacin de pginas
de respuesta personalizadas, consulte Definicin de pginas de respuesta
personalizadas en la pgina 126.
Pgina de respuesta antivirus predeterminada

<html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Esto es una prueba</title>
<style>

</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Esto es una prueba.</p>
</div>
</body>
</html>
472
Palo Alto Networks
Pgina de bloque de aplicacin predeterminada

<html>
<head>
<title>Aplicacin bloqueada</title>
<style>
#content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;}
h1{font-size:20px;font-weight:bold;color:#196390;}
b{font-weight:bold;color:#196390;}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Aplicacin bloqueada</h1>
<p>Se ha bloqueado el acceso a la aplicacin que est intentando utilizar de
acuerdo con las polticas de la empresa. Pngase en contacto con su
administrador del sistema si cree que existe un error.</p>
<p><b>Usuario:</b> <usuario/> </p>
<p><b>Aplicacin:</b> <nombre de aplicacin/> </p>
</div>
</body>
</html>
Pgina de bloque de bloqueo de archivo predeterminado

<html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Esto es una prueba</title>
<style>
<!-/* Definiciones de tipo de letra */
@font-face
{font-family:"Microsoft Sans Serif";
panose-1:2 11 6 4 2 2 2 2 2 4;}
/* Definiciones de estilo */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
font-size:12.0pt;
h4
{margin-top:12.0pt;
margin-right:0in;
margin-left:0in;
font-size:14.0pt;
p.SanSerifName, li.SanSerifName, div.SanSerifName
{margin:0in;
text-autospace:none;
font-size:10.0pt;
font-family:"Microsoft Sans Serif";
font-weight:bold;}
p.BoldNormal, li.BoldNormal, div.BoldNormal
{margin:0in;
font-size:12.0pt;
font-weight:bold;}
Palo Alto Networks
473
span.Heading10
{color:black
font-weight:bold;}
p.SubHeading1, li.SubHeading1, div.SubHeading1
{margin-top:12.0pt;
margin-right:0in;
margin-left:0in;
font-size:12.0pt;
font-weight:bold;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
{page:Section1;}
-->
</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Esto es una prueba.</p>
</div>
</body>
</html>
Pgina de respuesta de filtrado de URL predeterminada

<html>
<head>
<title>Pgina web bloqueada</title>
<style>
</style>
</head>
<div id="contenido">
<h1>Pgina web bloqueada</h1>
<p>Se ha bloqueado el acceso a la pgina web que est intentando visitar de
<p><b>Usuario:</b> <user/> </p>
<p><b>URL:</b> <url/> </p>
<p><b>Categora:</b> <category/> </p>
</div>
</body>
</html>
474
Palo Alto Networks
Pgina de respuesta de la descarga de antispyware

predeterminada
<application-type>
<category>
<entry name="redes" id="1">
<subcategory>
<entry name="acceso remoto" id="1"/>
<entry name="proxy" id="2"/>
<entry name="tnel cifrado" id="3"/>
<entry name="enrutamiento" id="4"/>
<entry name="infraestructura" id="5"/>
<entry name="protocolo ip" id="6"/>
</subcategory>
</entry>
<entry name="colaboracin" id="2">
<subcategory>
<entry name="correo electrnico" id="7"/>
<entry name="mensajera instantnea" id="8"/>
<entry name="redes sociales" id="9"/>
<entry name="videoconferencia por internet" id="10"/>
<entry name="vdeo voip" id="11"/>
</subcategory>
</entry>
<entry name="multimedia" id="3">
<subcategory>
<entry name="vdeo" id="12"/>
<entry name="juegos" id="13"/>
<entry name="transmisin de audio" id="14"/>
</subcategory>
</entry>
<entry name="sistemas comerciales" id="4">
<subcategory>
<entry name="servicio de autenticacin" id="15"/>
<entry name="base de datos"id="16"/>
<entry name="erp-crm" id="17"/>
<entry name="empresa general" id="18"/>
<entry name="gestin" id="19"/>
<entry name="programas de oficina" id="20"/>
<entry name="actualizacin de software" id="21"/>
<entry name="copia de seguridad del almacenamiento" id="22"/>
</subcategory>
</entry>
<entry name="internet general" id="5">
<subcategory>
<entry name="uso compartido de archivos" id="23"/>
<entry name="utilidad de internet" id="24"/>
</subcategory>
</entry>
</category>
<technology>
<entry name="protocolo de red" id="1"/>
<entry name="cliente-servidor" id="2"/>
<nombre de entrada=id de "punto a punto"="3"/>
<nombre de entrada=id de "explorador web"="4"/>
</technology>
</application-type>
Palo Alto Networks
475
Pgina de respuesta de exclusin de descifrado

predeterminada
<h1>Inspeccin de SSL</h1>
<p>De acuerdo con las polticas de la empresa, se descifrar la conexin
cifrada de SSL que ha iniciado temporalmente, por lo que se puede
inspeccionar para virus, spyware y otro software malintencionado.</p>
<p>Una vez inspeccionada la conexin, se volver a cifrar y enviar a su
destino. No se almacenarn datos ni estarn disponibles para otros fines.</p>
<p><b>IP:</b> <url/> </p>
Pgina de comfort del portal cautivo

<h1 ALIGN=CENTER>Portal cautivo</h1>
<h2 ALIGN=LEFT>De acuerdo con la poltica de seguridad de la empresa, debe
autenticar antes de acceder a la red.</h2>
<pan_form/>
Pgina de continuacin y cancelacin de filtrado de URL

<html>
<head>
<title>Pgina web bloqueada</title>
<style>
form td, form input {
font-size: 11px;
font-weight: bold;
}
#formtable {
height: 100%;
width: 100%;
}
#formtd {
vertical-align: middle;
}
#formdiv {
margin-left: auto;
margin-right: auto;
}
</style>
<script type="text/javascript">
function pwdCheck() {
if(document.getElementById("pwd")) {
document.getElementById("continueText").innerHTML = "Si necesita
acceder a esta pgina, solicite al administrador introducir la contrasea de
cancelacin aqu:";
}
}
</script>
</head>
<div id="content">
<h1>Pgina web bloqueada</h1>
<p>Se ha bloqueado el acceso a la pgina web que est intentando visitar de
476
Palo Alto Networks
<p><b>Usuario:</b> <user/> </p>

<p><b>URL:</b> <url/> </p>
<hr>
<p id="continueText">Si cree que esta pgina se ha bloqueado de forma
incorrecta, puede hacer clic en Continuar para ir a la pgina. Sin embargo,
esta accin se registrar.</p>
<div id="formdiv">
<pan_form/>
</div>
<a href="#" onclick="history.back();return false;">Volver a la pgina
anterior</a>
</div>
</body>
</html>
Pgina de inicio de sesin de VPN SSL

<HTML>
<HEAD>
<TITLE>Palo Alto Networks - VPN SSL</TITLE>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<link rel="stylesheet" type="text/css" href="/styles/
falcon_content.css?v=@@version">
<style>
td {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-weight: bold;
color: black; /*#FFFFFF; */
}
.msg {
background-color: #ffff99;
border-width: 2px;
border-color: #ff0000;
border-style: solid;
padding-left: 20px;
padding-right: 20px;
max-height: 150px;
height: expression( this.scrollHeight > 150 ? "150px" : "auto" ); /*
establece altura mxima para IE */
overflow: auto;
}
.alert {font-weight: bold;color: red;}
</style>
</HEAD>
<BODY bgcolor="#F2F6FA">
<table style="background-color: white; width:100%; height:45px; borderbottom: 2px solid #888888;">
<tr style="background-image:url(/images/logo_pan_158.gif); backgroundrepeat: no-repeat">
<td align="left"> </td>
</tr>
</table>
<div align="center">
<h1>Palo Alto Networks: Portal de VPN SSL</h1>
</div>
<div id="formdiv">
<pan_form/>
</div>
</BODY>
</HTML>
Palo Alto Networks
477
Pgina de notificacin de certificado SSL revocado

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<html>
<head>
<title>Error de certificado</title>
<style>
</style>
</head>
<div id="content">
<h1>Error de certificado</h1>
<p>Existe un problema con el certificado del servidor con el que intenta
ponerse en contacto.</p>
<p><b>Nombre de certificado:</b> <certname/> </p>
<p><b>IP:</b> <url/> </p>
<p><b>Emisor:</b> <issuer/> </p>
<p><b>Estado:</b> <status/> </p>
<p><b>Motivo:</b> <reason/> </p>
</div>
</body>
</html>
478
Palo Alto Networks
Apndice B
Categoras, subcategoras, tecnologas

y caractersticas de la aplicacin
El apndice enumera categoras relacionadas con la aplicacin definidas por Palo Alto
Networks:
Categoras y subcategoras de aplicacin en la seccin siguiente
Tecnologas de la aplicacin en la pgina 481
Caractersticas de la aplicacin en la pgina 481
La base de datos de Applipedia se puede encontrar tambin en el cortafuegos en Objetos >

Aplicaciones, en lnea en http://apps.paloaltonetworks.com/applipedia/ y una aplicacin
disponible en el Apple App Store.
Categoras y subcategoras de aplicacin

Se admiten las siguientes categoras y subcategoras de aplicacin:
sistema empresarial
servicio de autenticacin
base de datos
erp-crm
empresa general
gestin
programas de oficina
actualizacin de software
copia de seguridad de almacenamiento
colaboracin
correo electrnico
mensajera instantnea
Palo Alto Networks
479
Categoras y subcategoras de aplicacin
conferencia por internet

empresas sociales
utilidad de internet
redes sociales
vdeo voip
web-posting
internet general
uso compartido de archivos
utilidad de internet
multimedia
transmisin de audio
juegos
fotos y vdeos
redes
tnel cifrado
infraestructura
protocolo IP
proxy
acceso remoto
enrutamiento
480
desconocido
Palo Alto Networks
Tecnologas de la aplicacin
Tecnologas de la aplicacin
Se admiten las siguientes tecnologas de la aplicacin.
Tabla 161. Tecnologas de la aplicacin

Elemento
Descripcin
basado en explorador
Una aplicacin que se basa en un explorador web para funcionar.
servidor cliente
Una aplicacin que utiliza un modelo de servidor cliente donde uno

o ms clientes se comunican con un servidor en la red.
protocolo de red
Una aplicacin que se utiliza generalmente para la comunicacin

entre sistemas y que facilita la operacin de red. Eso incluye la
mayora de los protocolos de IP.
punto a punto
Una aplicacin que se comunica directamente con otros clientes

para transferir informacin en vez de basarse en un servidor central
para facilitar la comunicacin.
Caractersticas de la aplicacin
Se admiten las siguientes caractersticas de la aplicacin.
Tabla 162. Caractersticas de la aplicacin

Elemento
Descripcin
Evasiva
Utiliza un puerto o protocolo para cualquier cosa menos su

propsito inicial con la intencin de atravesar un cortafuegos.
Ancho de banda excesivo
Consume al menos 1 Mbps con regularidad en uso normal.
Proclive al uso indebido
Habitualmente utilizada para fines nefarios o fcilmente establecida

para llegar ms all de las intenciones del usuario.
Archivos de transaccin
Tiene la capacidad de transferir un archivo de un sistema a otro a

travs de una red.
Tuneliza otras aplicaciones
Puede incluir otras aplicaciones en su protocolo.
Utilizada por software

malintencionado
El software malintencionado es conocido por utilizar la aplicacin

con fines de propagacin, ataque o robo de datos o se distribuye con
software malintencionado.
Vulnerabilidades
Ha informado pblicamente de vulnerabilidades.
Ampliamente utilizado
Probablemente cuente con ms de 1.000.000 de usuarios.
Continuar buscando otras

aplicaciones
Indica al cortafuegos continuar buscando para ver si otras firmas de

la aplicacin coinciden. Si esta opcin no est seleccionada, se
informa de la primera firma coincidente y el cortafuegos detiene la
bsqueda de aplicaciones coincidentes adicionales.
Palo Alto Networks
481
Caractersticas de la aplicacin
482
Palo Alto Networks
Apndice C
Compatibilidad con los estndares

federales de procesamiento de la
informacin
Puede configurar el cortafuegos para admitir los Estndares federales de procesamiento de la
informacin 140-2 (FIPS 140-2) utilizados por organizaciones civiles y contratistas del
gobierno de EE.UU.
Para habilitar el modo FIPS en una versin de software compatible con FIPS, reinicie el
cortafuegos en modo mantenimiento y seleccione Establecer modo FIPS en el men principal.
Para obtener instrucciones acerca de reiniciar en modo de mantenimiento, consulte la Gua de
referencia de la interfaz de lnea de comandos de PAN-OS.
Cuando FIPS est habilitado, se aplica lo siguiente:
El dispositivo se restablece en la configuracin predeterminada de fbrica y se aplicarn

las opciones y restricciones de FIPS enumeradas a continuacin. La contrasea de admin
se restablece tambin a paloalto.
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Las cuentas se bloquean despus del nmero de intentos fallidos configurado en lapgina
Dispositivo > Configuracin > Gestin. Si el cortafuegos no est en modo FIPS, se puede
configurar de forma que no se bloquee nunca; incluso en modo FIPS, y si se requiere un
tiempo de bloqueo.
El cortafuegos determina automticamente el nivel adecuado de prueba automtica y

aplica el nivel de potencia apropiado en algoritmos de cifrado y conjuntos de cifrado.
Los algoritmos aprobados sin FIPS no se descifran y se ignoran durante el descifrado.
Al configurar IPSec, un subconjunto de los conjuntos de cifrado disponibles

habitualmente est disponible.
Los certificados generados automticamente e importados deben contener claves pblicas

de 2048 bits o ms.
La autenticacin basada en claves de SSH debe utilizar claves pblicas de RSA con 2048
bits o ms.
Palo Alto Networks
483
484
El puerto de serie est desactivado.
Las conexiones de gestin de Telnet, TFTP y HTTP no estn disponibles.
Se requiere un cifrado de alta disponibilidad.
La autenticacin de PAP est desactivada.
La compatibilidad con Kerberos est desactivada.
Palo Alto Networks
Apndice D
Licencias de cdigo abierto

El software incluido en este producto contiene software con derechos de autor cuya licencia se
ofrece de acuerdo con la Licencia pblica general (GPL). Una copia de dicha licencia se incluye
en este documento. Podemos enviarle el cdigo fuente correspondiente completo por un
perodo de tres aos tras nuestro ltimo envo de este producto enviando un giro postal o
cheque de 5 $ a:
Palo Alto Networks
Open Source Request
3300 Olcott St.
Santa Clara, Ca. 95054 (EE.UU.)
Puede que algunos componentes de este producto estn cubiertos por una o ms de las
licencias de cdigo abierto enumeradas en este apndice:
Licencia artstica en la pgina 487
BSD en la pgina 485
Licencia pblica general de GNU en la pgina 489
Licencia pblica general reducida de GNU en la pgina 494
MIT/X11 en la pgina 501
OpenSSH en la pgina 501
PSF en la pgina 505
PHP en la pgina 506
Zlib en la pgina 507
BSD
Los siguientes propietarios de los derechos de autor proporcionan software de acuerdo con la
licencia BSD:
Julian Steward
Thai Open Source Software Center Ltd
Palo Alto Networks
485
BSD
The Regents of the University of California
Nick Mathewson
Niels Provos
Dug Song
Todd C. Miller
University of Cambridge
Sony Computer Science Laboratories Inc.
La redistribucin y el uso en formato de cdigo fuente y binario, con o sin modificaciones,

estn permitidos siempre que se cumplan las siguientes condiciones:
1. Las redistribuciones del cdigo fuente deben mantener el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad.
2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre de los autores no podr utilizarse para aprobar o promocionar productos
derivados de este software sin un previo consentimiento por escrito especfico.
ESTE SOFTWARE SE PROPORCIONA TAL CUAL SIN GARANTAS EXPLCITAS O
IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS IMPLCITAS DE
COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO.
486
Palo Alto Networks
Licencia artstica
Licencia artstica
Este documento es una versin libre de Artistic License, distribuido como parte del kit Perl
v4.0 de Larry Wall, que est disponible desde la mayora de los principales sitios web de
archivos.
El objetivo de este documento es indicar las condiciones segn las cuales estos Paquetes
(consulte la definicin a continuacin), es decir, Crack, el descifrador de contraseas de
Unix, y CrackLib, la biblioteca de comprobacin de contraseas de Unix, cuyos derechos de
autor pertenecen a Alec David Edward Muffett, podrn copiarse, de manera que el
Propietario de los derechos de autor mantenga cierto control artstico sobre el desarrollo de
los Paquetes, al tiempo que se conceda a los usuarios del Paquete el derecho a utilizar y
distribuir el Paquete del modo que sea habitual, as como el derecho a realizar modificaciones
razonables.
Definiciones:
Un Paquete hace referencia al conjunto de los archivos distribuidos por el Propietario de los
derechos de autor y los elementos derivados de dicho conjunto de archivos creados mediante
una modificacin del texto o los segmentos de los mismos.
Una Versin estndar hace referencia a un Paquete si no se ha modificado o si se ha
modificado de acuerdo con los deseos del Propietario de los derechos de autor.
El Propietario de los derechos de autor es aquel que se indique en los derechos de autor del
Paquete.
Usted es un usuario que est considerando la idea de copiar o distribuir este Paquete.
Una Tasa de copia razonable es lo que pueda justificar basndose en los costes de los
soportes, los gastos de duplicacin, el tiempo empleado por las personas implicadas, etc. (No
ser necesario que lo justifique al Propietario de los derechos de autor, nicamente a la
comunidad informtica en general en calidad de mercado que deber afrontar la tasa.)
Disponible de manera gratuita significa que no se carga ninguna tasa por el artculo en s
mismo, aunque puede que existan tasas relacionadas con la manipulacin del artculo.
Tambin significa que los destinatarios del artculo podrn redistribuirlo de acuerdo con las
mismas condiciones en las que lo recibieron.
1. Podr realizar y entregar copias literales del formato de cdigo fuente de la Versin
estndar de este Paquete sin restricciones, siempre que duplique todos los avisos de derechos
de autor originales, as como los descargos de responsabilidad asociados.
2. Podr aplicar soluciones de problemas, soluciones de portabilidad y otras modificaciones
derivadas del Dominio pblico o del Propietario de los derechos de autor. Un Paquete
modificado de ese modo se seguir considerando la Versin estndar.
3. Podr modificar su copia de este Paquete de cualquier otro modo, siempre que incluya un
aviso destacado en cada archivo modificado indicando cmo, cundo y POR QU ha
modificado ese archivo y siempre que realice como mnimo UNA de las acciones siguientes:
a) Coloque sus modificaciones en el Dominio pblico o haga que estn Disponibles de manera
gratuita de cualquier otro modo, como por ejemplo, publicando dichas modificaciones en
Usenet o un medio equivalente, o colocando las modificaciones en un sitio web de archivos
principal, como uunet.uu.net, o permitiendo que el Propietario de los derechos de autor
incluya sus modificaciones en la Versin estndar del Paquete.
b) Utilice el Paquete modificado nicamente dentro de su corporacin u organizacin.
c) Cambie el nombre de los archivos ejecutables no estndar, de manera que los nombres no
entren en conflicto con los archivos ejecutables estndar, que tambin deben proporcionarse.
Asimismo, proporcione documentacin independiente para cada archivo ejecutable no
estndar que indique claramente en qu se diferencia de la Versin estndar.
Palo Alto Networks
487
Licencia artstica
d) Llegue a otros acuerdos de distribucin con el Propietario de los derechos de autor.

4. Puede distribuir los programas de este Paquete en formato de cdigo objeto o formato
ejecutable, siempre que realice como mnimo UNA de las acciones siguientes:
a) Distribuya una Versin estndar de los archivos ejecutables y de biblioteca, junto con
instrucciones (en las pginas del manual o equivalente) sobre dnde se puede obtener la
Versin estndar.
b) Acompae la distribucin con el cdigo fuente legible por mquina del Paquete con sus
modificaciones.
c) Acompae todos los archivos ejecutables no estndar con sus correspondientes archivos
ejecutables de la Versin estndar, denominando los archivos ejecutables no estndar
mediante nombres no estndar e indicando claramente las diferencias en las pginas del
manual (o equivalente), junto con instrucciones sobre dnde se puede obtener la Versin
estndar.
d) Llegue a otros acuerdos de distribucin con el Propietario de los derechos de autor.
5. Podr cobrar una Tasa de copia razonable por cualquier distribucin de este Paquete. Podr
cobrar la tasa que decida por la asistencia tcnica de este Paquete. NO PODR COBRAR
NINGUNA TASA POR EL PAQUETE EN S MISMO. Sin embargo, podr distribuir este
Paquete junto con otros programas (posiblemente comerciales) como parte de una
distribucin de software (posiblemente comercial) de mayor tamao, siempre que NO
ANUNCIE este Paquete como un producto suyo.
6. El nombre del Propietario de los derechos de autor no podr utilizarse para aprobar o
promocionar productos derivados de este software sin un previo consentimiento por escrito
especfico.
7. ESTE PAQUETE SE PROPORCIONA TAL CUAL SIN GARANTAS EXPLCITAS O
IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS IMPLCITAS DE
COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO.
488
Palo Alto Networks
Licencia pblica general de GNU

Versin 2, junio de 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc.
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 (EE.UU.)
Todo el mundo tiene derecho a copiar y distribuir copias literales de este documento de
licencia, pero no se permiten modificaciones.
Prembulo:
Las licencias de la mayora del software estn diseadas para restringir su libertad para
compartirlo y modificarlo. A diferencia de ellas, la Licencia pblica general de GNU est
diseada para garantizar la libertad de los usuarios para compartir y modificar el software
libre, asegurndose de que el software sea libre para todos los usuarios. Esta Licencia pblica
general se aplica a la mayora del software de Free Software Foundation y a cualquier otro
programa cuyos autores confirmen que la utiliza. (Parte del software de Free Software
Foundation est cubierta por la Licencia pblica general reducida de GNU.) Tambin puede
aplicarla a sus programas.
Cuando hablamos de software libre, nos referimos a la libertad de uso, no al precio. Nuestras
Licencias pblicas generales estn diseadas para garantizar que cuenta con la libertad
necesaria para distribuir copias de software libre (y cobrar por este servicio si lo desea), que
recibe el cdigo fuente o puede obtenerlo si lo desea, que puede cambiar el software o utilizar
partes del mismo en nuevos programas libres y que sabe cmo realizar estas acciones.
Para proteger sus derechos, debemos aplicar restricciones que impidan que nadie pueda
negarle dichos derechos o pedirle que renuncie a los mismos. Estas restricciones se traducen
en determinadas responsabilidades para usted si distribuye copias del software o si lo
modifica.
Por ejemplo, si distribuye copias de un programa, ya sea gratuitamente o cobrando una tasa,
deber otorgar a los destinatarios todos los derechos que usted tiene. Tambin deber
asegurarse de que reciben o pueden obtener el cdigo fuente. Adems, deber mostrarles
estas condiciones para que conozcan sus derechos.
Protegemos sus derechos a travs de dos pasos: (1) aplicamos derechos de autor al software y
(2) le ofrecemos esta licencia, que le otorga un permiso legal para copiar, distribuir y/o
modificar el software.
Asimismo, para proteger a cada autor y a nosotros mismos, queremos asegurarnos de que
todo el mundo comprende que no existe ninguna garanta para este software libre. Si otra
persona modifica el software y lo distribuye, queremos que sus destinatarios sepan que lo que
tienen no es el original, de manera que los problemas introducidos por otros no afecten a la
reputacin de los autores originales.
Por ltimo, todo programa libre est amenazado constantemente por las patentes de software.
Deseamos evitar el peligro de que los redistribuidores de un programa libre obtengan de
manera individual licencias de patente, apropindose de este modo del programa. Para
evitarlo, hemos dejado claro que cualquier patente deber otorgarse para el uso libre de todo
el mundo; de lo contrario, dicha licencia no podr realizarse.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Esta Licencia se aplica a cualquier programa o cualquier obra que contenga un aviso
introducido por el propietario de los derechos de autor que indique que podr distribuirse de
acuerdo con las condiciones de esta Licencia pblica general. El Programa, a continuacin,
hace referencia a dicho programa u obra; una obra basada en el Programa significa el
Palo Alto Networks
489
Programa o cualquier obra derivada de acuerdo con la ley de derechos de autor, es decir, una
obra que contenga el Programa o parte del mismo, ya sea de manera literal o con
modificaciones, y/o que est traducido a otro idioma. (En lo sucesivo, la traduccin se incluye
sin limitaciones en el trmino modificacin.) En este documento, al hablar de usted, se
estar haciendo referencia a cada titular de la Licencia.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar el Programa no est
restringida y los resultados del Programa nicamente estn cubiertos si su contenido
constituye una obra basada en el Programa (independientemente de si se ha creado
ejecutando el Programa). Su veracidad depender de lo que haga el Programa.
1. Podr copiar y distribuir copias literales del cdigo fuente del Programa cuando lo reciba, a
travs de cualquier medio, siempre que: publique de manera destacada y adecuada en cada
copia un aviso de derechos de autor y un descargo de responsabilidad de garanta adecuados;
mantenga intactos todos los avisos que hagan referencia a esta Licencia y a la ausencia de
cualquier tipo de garanta; y proporcione a todos los destinatarios del Programa una copia de
esta Licencia junto con el Programa.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias del Programa o cualquier parte del mismo, creando de este
modo una obra basada en el Programa, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
a) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
b) Deber encargarse de que para cualquier obra que distribuya o publique que, en su
totalidad o en parte, contenga o se haya derivado del Programa o cualquier parte del mismo
se ofrezca una licencia completa sin cargos para terceros de acuerdo con las condiciones de
esta Licencia.
c) Si el programa modificado lee comandos de manera interactiva al ejecutarse de manera
normal, deber encargarse de que, cuando empiece a ejecutarse para dicho uso interactivo del
modo habitual, imprima o muestre un anuncio que incluya un aviso de derechos de autor
adecuado y un aviso de que no existe ninguna garanta (o, de lo contrario, que indique que
proporciona una garanta) y de que los usuarios podrn redistribuir el programa de acuerdo
con estas condiciones, indicando al usuario cmo ver una copia de esta Licencia. (Excepcin:
si el propio Programa es interactivo pero por lo general no imprime dicho anuncio, su obra
basada en el Programa no deber imprimir un anuncio.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan del Programa y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en el Programa, la distribucin de la obra completa deber realizarse de acuerdo con
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan la
totalidad de la obra, incluyendo todas y cada una de las partes independientemente de su
autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos sobre
obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar la
distribucin de obras basadas en el Programa que se hayan derivado del mismo o que sean
colectivas.
490
Palo Alto Networks
Adems, la mera adicin de otra obra no basada en el Programa junto con el Programa (o una
obra basada en el Programa) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Podr copiar y distribuir el Programa (o una obra basada en el Programa, de acuerdo con la
Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las condiciones de
las Secciones 1 y 2 anteriores, siempre que tambin realice una de las acciones siguientes:
a) Deber adjuntarle el cdigo fuente legible por mquina correspondiente completo, que
deber distribuirse de acuerdo con las condiciones de las Secciones 1 y 2 anteriores en un
medio utilizado habitualmente para el intercambio de software;
b) Deber adjuntarle una oferta por escrito, vlida como mnimo durante tres aos, segn la
cual proporcionar a cualquier tercero, por un coste que no sea superior al coste que le
suponga realizar fsicamente la distribucin del cdigo fuente, una copia legible por mquina
completa del cdigo fuente correspondiente, la cual deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software; o
c) Deber adjuntarle la informacin que recibi relativa a la oferta para distribuir el cdigo
fuente correspondiente. (Esta alternativa nicamente est permitida para una distribucin no
comercial y solamente si ha recibido el Programa en formato de cdigo objeto o formato
ejecutable con dicha oferta, de acuerdo con la Subseccin b anterior.)
El cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una obra ejecutable, el cdigo fuente completo
significa todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de
definicin de interfaz asociados y las secuencias de comandos utilizadas para controlar la
compilacin y la instalacin del archivo ejecutable. Sin embargo, como excepcin especial, el
cdigo fuente distribuido no necesita incluir nada que se distribuya de manera habitual (en
formato de cdigo fuente o binario) con los componentes principales (compilador, kernel, etc.)
del sistema operativo en el que se ejecute el archivo ejecutable, a menos que el propio
componente acompae al archivo ejecutable.
Si la distribucin de archivos ejecutables o cdigo objeto se realiza permitiendo el acceso para
su copia desde una ubicacin designada, la oferta de un acceso equivalente para copiar el
cdigo fuente desde la misma ubicacin constituir una distribucin del cdigo fuente,
aunque no se obligue a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
4. No podr copiar, modificar, sublicenciar ni distribuir el Programa de manera distinta a la
indicada de manera explcita en esta Licencia. Cualquier intento de copiar, modificar,
sublicenciar o distribuir el Programa de otro modo ser nulo y cancelar automticamente sus
derechos de acuerdo con esta Licencia. Sin embargo, las licencias de las partes a las que haya
proporcionado copias o derechos de acuerdo con esta Licencia no vencern, siempre que
dichas partes cumplan todas las condiciones indicadas.
5. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir el Programa o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto, al
modificar o distribuir el Programa (o cualquier obra basada en el Programa), indica su
aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar el Programa o las obras basadas en el Programa.
6. Cada vez que redistribuya el Programa (o cualquier obra basada en el Programa), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir o modificar el Programa de acuerdo con estas condiciones. No podr imponer ms
restricciones en el ejercicio por parte de los destinatarios de los derechos concedidos en la
presente. No es responsable de garantizar el cumplimiento de esta Licencia por parte de
terceros.
Palo Alto Networks
491
7. Si, como consecuencia de una sentencia judicial o una alegacin de incumplimiento de

patente o por cualquier otro motivo (no limitado a problemas con patentes), se le imponen
condiciones (mediante una sentencia judicial, un acuerdo o de otro modo) que contradigan las
condiciones de esta Licencia, no se le eximir de las condiciones de esta Licencia. Si no puede
distribuir el Programa de manera que satisfaga simultneamente sus obligaciones de acuerdo
con esta Licencia y cualquier otra obligacin pertinente, como consecuencia no podr
distribuir el Programa de ningn modo. Por ejemplo, si una licencia de patente no permite la
redistribucin sin pago de derechos de autor del Programa por todos aquellos que reciban
copias directa o indirectamente a travs de usted, la nica forma en la que podr satisfacer
tanto esta condicin como esta Licencia sera renunciar por completo a la distribucin del
Programa.
Si cualquier parte de esta seccin se considera no vlida o no aplicable en circunstancias
especficas, deber aplicarse el sentido general de la seccin. En cualquier otra circunstancia,
deber aplicarse la seccin en su totalidad.
El objetivo de esta seccin no es inducirle a infringir patentes u otras exigencias de derechos
de propiedad o impugnar la validez de dichas exigencias; el nico objetivo de esta seccin es
proteger la integridad del sistema de distribucin de software libre, que se implementa
mediante prcticas de licencia pblica. Muchas personas han realizado contribuciones
generosas a la amplia variedad de software distribuido mediante dicho sistema confiando en
la aplicacin sistemtica de dicho sistema; depende del autor/donante decidir si est
dispuesto a distribuir software mediante cualquier otro sistema y un titular de la Licencia no
puede imponer su criterio.
El objetivo de esta seccin es dejar absolutamente claro lo que se cree que es una consecuencia
del resto de esta Licencia.
8. Si la distribucin y/o el uso del Programa est restringido en determinados pases debido a
patentes o interfaces con derechos de autor, el propietario de los derechos de autor original
que proporcione el Programa de acuerdo con esta Licencia podr aadir una limitacin de
distribucin geogrfica explcita que excluya dichos pases, de modo que la distribucin est
permitida nicamente en o entre pases que no estn excluidos por este motivo. En este caso,
esta Licencia incorpora la limitacin como si estuviera escrita en el cuerpo de esta Licencia.
9. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general cuando resulte oportuno. Dichas versiones nuevas sern equivalentes en
esencia a la versin actual, pero podrn diferir en detalles para responder a nuevos problemas
o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si el Programa especifica un
nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si el Programa no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas por
Free Software Foundation.
10. Si desea incorporar partes del Programa en otros programas libres cuyas condiciones de
distribucin sean diferentes, pngase en contacto con el autor para solicitarle permiso. En el
caso de software cuyos derechos de autor sean de Free Software Foundation, pngase en
contacto con Free Software Foundation; a veces hacemos excepciones en estos casos. Nuestra
decisin depender de dos objetivos: conservar el estado libre de todos los elementos
derivados de nuestro software libre y promover el uso compartido y la reutilizacin del
software en general.
AUSENCIA DE GARANTA
11. DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
492
Palo Alto Networks
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/

U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA SER
DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
12. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA DEL
MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA CON
USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O LA
IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON
OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Palo Alto Networks
493
Licencia pblica general reducida de GNU

Versin 2.1, febrero de 1999
Copyright (C) 1991, 1999 Free Software Foundation, Inc.
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 (EE.UU.)
Todo el mundo tiene derecho a copiar y distribuir copias literales de este documento de
licencia, pero no se permiten modificaciones.
[Esta es la primera versin publicada de la Licencia pblica general reducida. Tambin
representa la continuacin de la Licencia pblica para bibliotecas de GNU, versin 2, de ah
que el nmero de versin sea 2.1.]
Prembulo:
Las licencias de la mayora del software estn diseadas para restringir su libertad para
compartirlo y modificarlo. A diferencia de ellas, las Licencias pblicas generales de GNU
estn diseadas para garantizar la libertad de los usuarios para compartir y modificar el
software libre, asegurndose de que el software sea libre para todos los usuarios.
Esta licencia, la Licencia pblica general reducida, se aplica a determinados paquetes de
software designados especficamente (por lo general bibliotecas) de Free Software Foundation
y otros autores que decidan utilizarla. Usted tambin puede utilizarla, pero le sugerimos que
primero considere detenidamente si esta Licencia o la Licencia pblica general comn es la
mejor estrategia que debe seguirse en cualquier caso concreto, basndose en las explicaciones
siguientes.
Cuando hablamos de software libre, nos referimos a la libertad de uso, no al precio. Nuestras
Licencias pblicas generales estn diseadas para garantizar que cuenta con la libertad
necesaria para distribuir copias de software libre (y cobrar por este servicio si lo desea), que
recibe el cdigo fuente o puede obtenerlo si lo desea, que puede cambiar el software y utilizar
partes del mismo en nuevos programas libres y que sabe cmo realizar estas acciones.
Para proteger sus derechos, debemos aplicar restricciones que impidan que los distribuidores
puedan negarle dichos derechos o pedirle que renuncie a los mismos. Estas restricciones se
traducen en determinadas responsabilidades para usted si distribuye copias de la biblioteca o
si la modifica.
Por ejemplo, si distribuye copias de la biblioteca, ya sea gratuitamente o cobrando una tasa,
deber otorgar a los destinatarios todos los derechos que nosotros le proporcionamos a usted.
Tambin deber asegurarse de que reciben o pueden obtener el cdigo fuente. Si vincula otro
cdigo a la biblioteca, deber proporcionar archivos objeto completos a los destinatarios, de
modo que puedan volver a vincularlos a la biblioteca despus de realizar modificaciones en la
biblioteca y volver a compilarla. Adems, deber mostrarles estas condiciones para que
conozcan sus derechos.
Protegemos sus derechos a travs de dos pasos: (1) aplicamos derechos de autor a la biblioteca
y (2) le ofrecemos esta licencia, que le otorga un permiso legal para copiar, distribuir y/o
modificar la biblioteca.
Para proteger a cada distribuidor, queremos dejar bien claro que la biblioteca libre no tiene
ningn tipo de garanta. Asimismo, si otra persona modifica la biblioteca y la distribuye, los
destinatarios deben saber que lo que tienen no es la versin original, de manera que los
problemas que puedan introducir otros no afecten a la reputacin del autor original.
Por ltimo, las patentes de software suponen una amenaza constante a la existencia de
cualquier programa libre. Queremos asegurarnos de que una empresa no pueda restringir de
manera eficaz a los usuarios de un programa libre obteniendo una licencia restrictiva de un
titular de patente. Por lo tanto, insistimos que cualquier licencia de patente obtenida para una
versin de la biblioteca debe permitir la libertad de uso total especificada en esta Licencia.
494
Palo Alto Networks
La mayora del software de GNU, incluidas algunas bibliotecas, est cubierta por la Licencia
pblica general de GNU comn. Esta licencia, la Licencia pblica general reducida de GNU,
se aplica a determinadas bibliotecas designadas y es bastante diferente de la Licencia pblica
general comn. Utilizamos esta licencia para determinadas bibliotecas con el fin de permitir la
vinculacin de dichas bibliotecas a programas que no sean libres.
Cuando un programa est vinculado a una biblioteca, ya sea estadsticamente o mediante una
biblioteca compartida, la combinacin de ambos es en trminos legales una obra combinada,
es decir, una obra derivada de la biblioteca original. Por lo tanto, la Licencia pblica general
comn permite dicha vinculacin nicamente si la totalidad de la combinacin se ajusta a sus
criterios de libertad de uso. La Licencia pblica general reducida permite criterios ms
relajados para la vinculacin de otro cdigo a la biblioteca.
Esta Licencia se denomina Licencia pblica general reducida porque reduce la proteccin
de la libertad del usuario en comparacin con la Licencia pblica general comn. Tambin
reduce la ventaja de otros desarrolladores de software libre sobre programas que no sean
libres de la competencia. Estas desventajas son el motivo por el que utilizamos la Licencia
pblica general comn para muchas bibliotecas. Sin embargo, la Licencia pblica general
reducida ofrece ventajas en determinadas circunstancias especiales.
Por ejemplo, en ocasiones poco frecuentes, puede que exista la necesidad especial de fomentar
el uso ms extendido posible de una determinada biblioteca, de modo que se convierta en un
estndar de facto. Para lograrlo, se debe permitir que los programas que no sean libres utilicen
la biblioteca. Un caso ms frecuente es que una biblioteca libre haga el mismo trabajo que
bibliotecas que no sean libres ampliamente utilizadas. En este caso, al limitar la biblioteca libre
nicamente a software libre las ventajas son mnimas, de modo que utilizamos la Licencia
pblica general reducida.
En otros casos, el permiso para utilizar una biblioteca especfica en programas que no sean
libres permite que un mayor nmero de personas utilice un gran cuerpo de software libre. Por
ejemplo, el permiso para utilizar la biblioteca GNU C en programas que no sean libres permite
que muchas ms personas utilicen todo el sistema operativo GNU, as como su variante, el
sistema operativo GNU/Linux.
Aunque la Licencia pblica general reducida reduce la proteccin de la libertad de los
usuarios, garantiza que el usuario de un programa vinculado a la biblioteca tenga la libertad y
los medios para ejecutar ese programa utilizando una versin modificada de la biblioteca.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
Preste especial atencin a la diferencia entre una obra basada en la biblioteca y una obra
que utiliza la biblioteca. La primera incluye cdigo derivado de la biblioteca, mientras que la
segunda debe combinarse con la biblioteca para funcionar.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Este Contrato de licencia se aplica a cualquier biblioteca de software u otro programa que
incluya un aviso introducido por el propietario de los derechos de autor u otra parte
autorizada que indique que puede distribuirse de acuerdo con las condiciones de esta Licencia
pblica general reducida (tambin denominada esta Licencia). En este documento, al hablar
de usted, se estar haciendo referencia a cada titular de la Licencia.
Una biblioteca significa un conjunto de funciones y/o datos de software preparados de
modo que se puedan vincular de manera conveniente a programas (que utilizan algunos de
esos datos y funciones) para generar archivos ejecutables.
La Biblioteca, que aparece a continuacin, hace referencia a cualquier biblioteca de software
u obra que se haya distribuido de acuerdo con estas condiciones. Una obra basada en la
Biblioteca significa la Biblioteca o cualquier obra derivada de acuerdo con la ley de derechos
de autor, es decir, una obra que contenga la Biblioteca o parte de la misma, ya sea de manera
literal o con modificaciones, y/o que est traducida de manera directa a otro idioma. (En lo
sucesivo, la traduccin se incluye sin limitaciones en el trmino modificacin.)
Palo Alto Networks
495
El Cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una biblioteca, el cdigo fuente completo significa
todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de definicin
de interfaz asociados y las secuencias de comandos utilizadas para controlar la compilacin y
la instalacin de la biblioteca.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar un programa utilizando la
Biblioteca no est restringida y los resultados de dicho programa nicamente estn cubiertos
si su contenido constituye una obra basada en la Biblioteca (independientemente del uso de la
Biblioteca en una herramienta para su creacin). Su veracidad depender de lo que hagan la
Biblioteca y el programa que utiliza la Biblioteca.
1. Podr copiar y distribuir copias literales del cdigo fuente completo de la Biblioteca cuando
lo reciba, a travs de cualquier medio, siempre que: publique de manera destacada y
adecuada en cada copia un aviso de derechos de autor y un descargo de responsabilidad de
garanta adecuados; mantenga intactos todos los avisos que hagan referencia a esta Licencia y
a la ausencia de cualquier tipo de garanta; y distribuya una copia de esta Licencia junto con la
Biblioteca.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias de la Biblioteca o cualquier parte de la misma, creando de este
modo una obra basada en la Biblioteca, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
* a) La obra modificada deber ser ella misma una biblioteca de software.
* b) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
* c) Deber encargarse de que se ofrezca una licencia de la totalidad de la obra sin cargos
para terceros de acuerdo con las condiciones de esta Licencia.
* d) Si unas instalaciones de la Biblioteca modificada hacen referencia a una funcin o una
tabla de datos que deber proporcionar un programa que utilice las instalaciones, que no sea
como argumento transmitido cuando se solicitan las instalaciones, deber encargarse de
buena fe de garantizar que, en el caso de que una aplicacin no proporcione dicha funcin o
tabla, las instalaciones sigan funcionando y lleven a cabo la parte de sus objetivos que sigan
teniendo sentido.
(Por ejemplo, una funcin de una biblioteca para calcular races cuadradas tiene un
objetivo que est bien definido en su totalidad, independientemente de la aplicacin. Por lo
tanto, la Subseccin 2d requiere que cualquier funcin proporcionada por una aplicacin o
cualquier tabla que utilice esta funcin sea opcional: si la aplicacin no la proporciona, la
funcin de races cuadradas seguir calculando races cuadradas.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan de la Biblioteca y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en la Biblioteca, la distribucin de la obra completa deber realizarse de acuerdo con
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan la
totalidad de la obra, incluyendo todas y cada una de las partes independientemente de su
autor.
496
Palo Alto Networks
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos sobre
obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar la
distribucin de obras basadas en la Biblioteca que se hayan derivado de la misma o que sean
colectivas.
Adems, la mera adicin de otra obra no basada en la Biblioteca junto con la Biblioteca (o una
obra basada en la Biblioteca) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Puede decidir aplicar las condiciones de la Licencia pblica general de GNU comn en
lugar de las de esta Licencia a una copia especfica de la Biblioteca. Para ello, deber modificar
todos los avisos que hacen referencia a esta Licencia para que hagan referencia a la Licencia
pblica general de GNU comn, versin 2, en lugar de a esta Licencia. (Si existe una versin
ms reciente que la versin 2 de la Licencia pblica general de GNU comn, podr especificar
esa versin si lo desea.) No realice ninguna otra modificacin en estos avisos.
Una vez realizada esta modificacin en una copia especfica, ser irreversible para dicha
copia, de modo que la Licencia pblica general de GNU comn se aplicar a todas las copias
posteriores y las obras derivadas de dicha copia.
Esta opcin resulta de utilidad cuando desea copiar parte del cdigo de la Biblioteca en un
programa que no es una biblioteca.
4. Podr copiar y distribuir la Biblioteca (o una parte o una obra derivada de la misma, de
acuerdo con la Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores, siempre que le adjunte el cdigo fuente legible
por mquina correspondiente completo, que deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software.
Si la distribucin de cdigo objeto se realiza permitiendo el acceso para su copia desde una
ubicacin designada, la oferta de un acceso equivalente para copiar el cdigo fuente desde la
misma ubicacin satisfar el requisito de distribucin del cdigo fuente, aunque no se obligue
a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
5. Un programa que no contenga obras derivadas de ninguna parte de la Biblioteca pero que
est diseado para funcionar con la Biblioteca tras su compilacin o vinculacin a la misma se
denomina una obra que utiliza la Biblioteca. Dicha obra, por s sola, no es una obra derivada
de la Biblioteca y, por lo tanto, queda fuera del mbito de esta Licencia.
Sin embargo, la vinculacin de una obra que utiliza la Biblioteca a la Biblioteca crea un
archivo ejecutable que es una obra derivada de la Biblioteca (porque contiene partes de la
Biblioteca), en lugar de una obra que utiliza la Biblioteca. Por lo tanto, el archivo ejecutable
est cubierto por esta Licencia. La Seccin 6 indica las condiciones para la distribucin de
dichos archivos ejecutables.
Cuando una obra que utiliza la Biblioteca utiliza material de un archivo de encabezado que
forma parte de la Biblioteca, el cdigo objeto de la obra puede ser una obra derivada de la
Biblioteca aunque el cdigo fuente no lo sea. Su veracidad es especialmente significativa si la
obra puede vincularse sin la Biblioteca o si la obra es en s misma una biblioteca. El umbral de
veracidad no est definido de manera precisa segn la ley.
Si un archivo objeto de este tipo utiliza nicamente parmetros numricos, diseos de
estructuras de datos y descriptores de acceso y macros pequeas y funciones en lnea
pequeas (de diez lneas o menos de longitud), el uso del archivo objeto no estar restringido,
independientemente de si es legalmente una obra derivada. (Los archivos ejecutables que
incluyan este cdigo objeto y partes de la Biblioteca seguirn rigindose por la Seccin 6.)
Si, por el contrario, la obra es una obra derivada de la Biblioteca, podr distribuir el cdigo
objeto de la obra de acuerdo con las condiciones de la Seccin 6. Cualquier archivo ejecutable
que contenga esa obra tambin se regir por la Seccin 6, est o no vinculado directamente a la
propia Biblioteca.
Palo Alto Networks
497
6. Como excepcin a las Secciones anteriores, tambin puede combinar o vincular una obra
que utiliza la Biblioteca a la Biblioteca para producir una obra que contenga partes de la
Biblioteca y distribuir dicha obra de acuerdo con las condiciones que elija, siempre que las
condiciones permitan la modificacin de la obra para su uso por parte del cliente y la
ingeniera inversa para la depuracin de dichas modificaciones.
Deber incluir un aviso destacado en cada copia de la obra que indique que se utiliza la
Biblioteca en ella y que la Biblioteca y su uso estn cubiertos por esta Licencia. Deber
proporcionar una copia de esta Licencia. Si durante su ejecucin la obra muestra avisos de
derechos de autor, deber incluir el aviso de derechos de autor de la Biblioteca entre ellos, as
como una referencia que enve al usuario a la copia de esta Licencia. Adems, deber realizar
una de las acciones siguientes:
* a) Deber adjuntar a la obra el cdigo fuente legible por mquina correspondiente
completo de la Biblioteca incluyendo las modificaciones que se hayan utilizado en la obra (que
deber distribuirse de acuerdo con las Secciones 1 y 2 anteriores) y, si la obra es un archivo
ejecutable vinculado a la Biblioteca, la obra que utiliza la Biblioteca legible por mquina
completa, como cdigo objeto y/o cdigo fuente, de modo que el usuario pueda modificar la
Biblioteca y, a continuacin, volver a vincularla para producir un archivo ejecutable
modificado que contenga la Biblioteca modificada. (Se da por hecho que el usuario que
cambie el contenido de los archivos de definicin de la Biblioteca no tiene necesariamente que
ser capaz de volver a compilar la aplicacin para utilizar las definiciones modificadas.)
* b) Utilice un mecanismo de biblioteca compartida adecuado para realizar la vinculacin a
la Biblioteca. Un mecanismo adecuado es uno que: (1) en el tiempo de ejecucin, utilice una
copia de la biblioteca que ya est presente en el sistema informtico del usuario, en lugar de
copiar funciones de biblioteca en el archivo ejecutable; y (2) funcione correctamente con una
versin modificada de la biblioteca, si el usuario instala una, siempre que la versin
modificada sea compatible con la interfaz de la versin con la que se haya creado la obra.
* c) Deber adjuntar a la obra una oferta por escrito, vlida como mnimo durante tres aos,
segn la cual proporcionar al mismo usuario los materiales especificados en la Subseccin 6a
anterior, por un coste que no sea superior al coste que le suponga realizar esta distribucin.
* d) Si la distribucin de la obra se realiza permitiendo el acceso para su copia desde una
ubicacin designada, ofrezca un acceso equivalente para copiar los materiales especificados
anteriormente desde la misma ubicacin.
* e) Verifique que el usuario ya ha recibido una copia de estos materiales o que ya enviado
una copia a este usuario.
En el caso de un archivo ejecutable, el formato obligatorio de la obra que utiliza la Biblioteca
debe incluir los datos y las utilidades necesarios para reproducir el archivo ejecutable a partir
de la misma. Sin embargo, como excepcin especial, los materiales que deben distribuirse no
necesitan incluir nada que se distribuya de manera habitual (en formato de cdigo fuente o
binario) con los componentes principales (compilador, kernel, etc.) del sistema operativo en el
que se ejecute el archivo ejecutable, a menos que el propio componente acompae al archivo
ejecutable.
Puede suceder que este requisito contradiga las restricciones de licencia de otras bibliotecas
patentadas que normalmente no acompaan al sistema operativo. Dicha contradiccin
significa que no podr utilizarlas junto con la Biblioteca en un archivo ejecutable que
distribuya.
7. Puede introducir instalaciones de biblioteca que sean una obra basada en la Biblioteca unas
junto a otras en una nica biblioteca junto con otras instalaciones de biblioteca no cubiertas
por esta Licencia y distribuir dicha biblioteca combinada, siempre que se permita de cualquier
otro modo la distribucin separada de la obra basada en la Biblioteca y las otras instalaciones
de biblioteca y siempre que realice las dos acciones siguientes:
498
Palo Alto Networks
* a) Deber adjuntar a la biblioteca combinada una copia de la misma obra basada en la

Biblioteca, sin combinarla con ninguna de las otras instalaciones de biblioteca. Esto deber
distribuirse de acuerdo con las condiciones de las Secciones anteriores.
* b) Deber incluir un aviso destacado en la biblioteca combinada que indique que parte de
la misma es una obra basada en la Biblioteca y que explique dnde encontrar el formato sin
combinar adjunto de la misma obra.
8. No podr copiar, modificar, sublicenciar, vincular ni distribuir la Biblioteca de manera
distinta a la indicada de manera explcita en esta Licencia. Cualquier intento de copiar,
modificar, sublicenciar, vincular o distribuir la Biblioteca de otro modo ser nulo y cancelar
automticamente sus derechos de acuerdo con esta Licencia. Sin embargo, las licencias de las
partes a las que haya proporcionado copias o derechos de acuerdo con esta Licencia no
vencern, siempre que dichas partes cumplan todas las condiciones indicadas.
9. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir la Biblioteca o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto, al
modificar o distribuir la Biblioteca (o cualquier obra basada en la Biblioteca), indica su
aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar la Biblioteca o las obras basadas en la Biblioteca.
10. Cada vez que redistribuya la Biblioteca (o cualquier obra basada en la Biblioteca), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir, vincular o modificar la Biblioteca de acuerdo con estas condiciones. No podr
imponer ms restricciones en el ejercicio por parte de los destinatarios de los derechos
concedidos en la presente. No es responsable de garantizar el cumplimiento de esta Licencia
por parte de terceros.
11. Si, como consecuencia de una sentencia judicial o una alegacin de incumplimiento de
patente o por cualquier otro motivo (no limitado a problemas con patentes), se le imponen
condiciones (mediante una sentencia judicial, un acuerdo o de otro modo) que contradigan las
condiciones de esta Licencia, no se le eximir de las condiciones de esta Licencia. Si no puede
distribuir la Biblioteca de manera que satisfaga simultneamente sus obligaciones de acuerdo
con esta Licencia y cualquier otra obligacin pertinente, como consecuencia no podr
distribuir la Biblioteca de ningn modo. Por ejemplo, si una licencia de patente no permite la
redistribucin sin pago de derechos de autor de la Biblioteca por todos aquellos que reciban
copias directa o indirectamente a travs de usted, la nica forma en la que podr satisfacer
tanto esta condicin como esta Licencia sera renunciar por completo a la distribucin de la
Biblioteca.
Si cualquier parte de esta seccin se considera no vlida o no aplicable en circunstancias
especficas, deber aplicarse el sentido general de la seccin. En cualquier otra circunstancia,
deber aplicarse la seccin en su totalidad.
El objetivo de esta seccin no es inducirle a infringir patentes u otras exigencias de derechos
de propiedad o impugnar la validez de dichas exigencias; el nico objetivo de esta seccin es
proteger la integridad del sistema de distribucin de software libre, que se implementa
mediante prcticas de licencia pblica. Muchas personas han realizado contribuciones
generosas a la amplia variedad de software distribuido mediante dicho sistema confiando en
la aplicacin sistemtica de dicho sistema; depende del autor/donante decidir si est
dispuesto a distribuir software mediante cualquier otro sistema y un titular de la Licencia no
puede imponer su criterio.
El objetivo de esta seccin es dejar absolutamente claro lo que se cree que es una consecuencia
del resto de esta Licencia.
12. Si la distribucin y/o el uso de la Biblioteca est restringido en determinados pases
debido a patentes o interfaces con derechos de autor, el propietario de los derechos de autor
original que proporcione la Biblioteca de acuerdo con esta Licencia podr aadir una
Palo Alto Networks
499
limitacin de distribucin geogrfica explcita que excluya dichos pases, de modo que la
distribucin est permitida nicamente en o entre pases que no estn excluidos por este
motivo. En este caso, esta Licencia incorpora la limitacin como si estuviera escrita en el
cuerpo de esta Licencia.
13. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general reducida cuando resulte oportuno. Dichas versiones nuevas sern
equivalentes en esencia a la versin actual, pero podrn diferir en detalles para responder a
nuevos problemas o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si la Biblioteca especifica un
nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si la Biblioteca no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas por
Free Software Foundation.
14. Si desea incorporar partes de la Biblioteca en otros programas libres cuyas condiciones de
distribucin sean incompatibles con estas, pngase en contacto con el autor para solicitarle
permiso. En el caso de software cuyos derechos de autor sean de Free Software Foundation,
pngase en contacto con Free Software Foundation; a veces hacemos excepciones en estos
casos. Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los
elementos derivados de nuestro software libre y promover el uso compartido y la
reutilizacin del software en general.
AUSENCIA DE GARANTA
15. DADO QUE LA LICENCIA DE LA BIBLIOTECA SE PROPORCIONA DE MANERA
GRATUITA, LA BIBLIOTECA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
U OTRAS PARTES PROPORCIONAN LA BIBLIOTECA TAL CUAL SIN GARANTAS DE
CALIDAD Y EL RENDIMIENTO DE LA BIBLIOTECA. SI LA BIBLIOTECA RESULTARA
SER DEFECTUOSA, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
16. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA LA BIBLIOTECA DEL
IMPOSIBILIDAD DE UTILIZAR LA BIBLIOTECA (ENTRE LOS QUE SE INCLUYEN LA
POR USTED O TERCEROS O LA INCAPACIDAD DE LA BIBLIOTECA DE FUNCIONAR
CON OTRO SOFTWARE), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U
OTRA PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
500
Palo Alto Networks
MIT/X11
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Todos los derechos reservados.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard. Todos los
derechos reservados.
Copyright (C) 1998 Bjorn Reese y Daniel Stenberg.
Copyright (C) 2000 Gary Pennington y Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>.
Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>.
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>.
Por la presente se concede permiso, de manera gratuita, a cualquier persona que obtenga una
copia de este software y los archivos de documentacin asociados (el Software) para
comercializar el Software sin restricciones, lo cual incluye, entre otros, el derecho a utilizar,
copiar, modificar, combinar, publicar, distribuir, sublicenciar y/o vender copias del Software,
as como para permitir a las personas a las que se proporcione el Software que realicen dichas
acciones, siempre que se cumplan las siguientes condiciones:
El aviso de derechos de autor anterior y este aviso de permiso debern incluirse en todas las
copias o partes considerables del Software.
EL SOFTWARE SE PROPORCIONA TAL CUAL, SIN GARANTAS DE NINGN TIPO,
YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
DE COMERCIABILIDAD, ADECUACIN A UN FIN ESPECFICO Y CUMPLIMIENTO. LOS
AUTORES O LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR NO SERN
RESPONSABLES EN NINGN CASO DE NINGUNA RECLAMACIN, DAOS Y
PERJUICIOS O CUALQUIER OTRA OBLIGACIN, YA SEA EN UNA ACCIN
CONTRACTUAL, DE INCUMPLIMIENTO CONTRACTUAL O DE OTRO TIPO,
DERIVADOS O RELACIONADOS CON EL SOFTWARE O EL USO U OTRAS ACCIONES
REALIZADAS CON EL SOFTWARE.
OpenSSH
Este archivo forma parte del software OpenSSH.
Las licencias que se aplican a los componentes de este software son las siguientes. En primer
lugar, haremos un resumen e indicaremos todos los componentes que se incluyen en una
licencia BSD o una licencia que sea ms libre que esta.
OpenSSH no contiene cdigo GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo (Finlandia).
Todos los derechos reservados.
En lo que a m respecta, el cdigo que he escrito para este software puede utilizarse libremente
con cualquier fin. Cualquier versin derivada de este software debe marcarse claramente
como tal. Si la obra derivada es incompatible con la descripcin del protocolo en el archivo
RFC, deber tener un nombre que no sea ssh o Secure Shell.
[Tatu contina]
Sin embargo, con ello no doy a entender que se otorgarn licencias a patentes o derechos de
autor que sean propiedad de terceros. Asimismo, el software incluye partes que no estn bajo
mi control directo. Por lo que yo s, todo el cdigo fuente incluido se utiliza de acuerdo con
Palo Alto Networks
501
OpenSSH
los contratos de licencia relevantes y puede utilizarse libremente con cualquier fin (siendo la
licencia de GNU la ms restrictiva); consulte a continuacin para obtener informacin
detallada.
[Sin embargo, ninguna de esas condiciones es relevante en este momento. Todos estos
componentes de software con licencia restringida de los que habla se han eliminado de
OpenSSH:
-RSA ya no se incluye y se encuentra en la biblioteca OpenSSL.
-IDEA ya no se incluye y su uso se ha descartado.
-DES ahora es externo y se encuentra en la biblioteca OpenSSL.
-GMP ya no se utiliza y, en su lugar, solicitamos cdigo BN de OpenSSL.
-Zlib ahora es externo y se encuentra en una biblioteca.
-La secuencia de comandos make-ssh-known-hosts ya no se incluye.
-TSS se ha eliminado.
-MD5 ahora es externo y se encuentra en la biblioteca OpenSSL.
-La compatibilidad con RC4 se ha sustituido por la compatibilidad con ARC4 de OpenSSL.
-Blowfish ahora es externo y se encuentra en la biblioteca OpenSSL.]
[La licencia contina]
Tenga en cuenta que toda la informacin y los algoritmos criptogrficos utilizados en este
software estn disponibles de manera pblica en Internet y en cualquier librera principal,
librera cientfica y oficina de patentes de todo el mundo. Podr encontrar ms informacin en
http://www.cs.hut.fi/english.html (en ingls).
El estado legal de este programa es una combinacin de todos estos permisos y restricciones.
Utilcelo nicamente bajo su propia responsabilidad. Usted ser el responsable de cualquier
consecuencia legal; no afirmo de ningn modo que la posesin o el uso de este elemento sea
legal o no en su pas y no asumo ningn tipo de responsabilidad en su nombre.
AUSENCIA DE GARANTA
DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA SER
DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA DEL
IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON
OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
502
Palo Alto Networks
OpenSSH
2) El detector de ataques de compensacin CRC de 32 bits de deattack.c ha sido

proporcionado por CORE SDI S.A. de acuerdo con una licencia de tipo BSD.
Detector de ataques criptogrfico para cdigo fuente de ssh.
Copyright (c) 1998 CORE SDI S.A., Buenos Aires (Argentina).
Todos los derechos reservados. La redistribucin y el uso en formato de cdigo fuente y
binario, con o sin modificaciones, estn permitidos siempre que se mantenga este aviso de
derechos de autor.
ESTE SOFTWARE SE PROPORCIONA TAL CUAL Y SE RENUNCIA A CUALQUIER
GARANTA EXPLCITA O IMPLCITA. CORE SDI S.A. NO SER RESPONSABLE EN
NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS,
ESPECIALES, EJEMPLARES O RESULTANTES DERIVADOS DEL USO O EL USO
INDEBIDO DE ESTE SOFTWARE.
Ariel Futoransky <futo@core-sdi.com> <http://www.core-sdi.com>
3) ssh-keyscan ha sido proporcionado por David Mazieres de acuerdo con una licencia de tipo
BSD.
Copyright 1995, 1996 de David Mazieres <dm@lcs.mit.edu>.
La modificacin y la redistribucin en formato de cdigo fuente y binario estn permitidas
siempre que se acredite debidamente al autor y el proyecto OpenBSD manteniendo intacto
este aviso de derechos de autor.
4) La implementacin de Rijndael de Vincent Rijmen, Antoon Bosselaers y Paulo Barreto es de
dominio pblico y se distribuye con la siguiente licencia:
@version 3.0 (diciembre de 2000)
Cdigo ANSI C optimizado para el cifrado Rijndael (ahora AES)
@author Vincent Rijmen <vincent.rijmen@esat.kuleuven.ac.be>
@author Antoon Bosselaers <antoon.bosselaers@esat.kuleuven.ac.be>
@author Paulo Barreto <paulo.barreto@terra.com.br>
Por la presente este cdigo es de dominio pblico.
LOS AUTORES PROPORCIONAN ESTE SOFTWARE TAL CUAL Y RENUNCIAN A
CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE INCLUYEN LAS
GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. LOS AUTORES O COLABORADORES NO SERN RESPONSABLES EN
NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS,
ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE INCLUYEN EL
SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE USO, DATOS O
BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL), SEA CUAL SEA
SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR
CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO CONTRACTUAL
(INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE CUALQUIER
MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LES HAYA AVISADO DE LA
POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
5) Un componente del cdigo fuente de ssh se rige por una licencia BSD de tres clusulas de la
Universidad de California, ya que hemos extrado estas partes de cdigo de Berkeley original.
Copyright (c) 1983, 1990, 1992, 1993, 1995.
The Regents of the University of California. Todos los derechos reservados.
Palo Alto Networks
503
OpenSSH

3. El nombre de la Universidad y el de sus colaboradores no podrn utilizarse para aprobar o
promocionar productos derivados de este software sin un previo consentimiento por escrito
especfico.
THE REGENTS OF THE UNIVERSITY OF CALIFORNIA Y LOS COLABORADORES
PROPORCIONAN ESTE SOFTWARE TAL CUAL Y RENUNCIAN A CUALQUIER
GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO. THE
REGENTS OF THE UNIVERSITY OF CALIFORNIA Y LOS COLABORADORES NO SERN
RESPONSABLES EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS,
INDIRECTOS, IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS
QUE SE INCLUYEN EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA
PRDIDA DE USO, DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD
COMERCIAL), SEA CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE
RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA O
INCUMPLIMIENTO CONTRACTUAL (INCLUIDA LA NEGLIGENCIA U OTRAS
ACCIONES), DERIVADOS DE CUALQUIER MODO DEL USO DE ESTE SOFTWARE,
AUNQUE SE LES HAYA AVISADO DE LA POSIBILIDAD DE DICHOS DAOS Y
PERJUICIOS.
6) Los componentes restantes del software se proporcionan de acuerdo con una licencia BSD
de 2 condiciones estndar de la cual las siguientes personas son los propietarios de los
derechos:
-Markus Friedl
-Theo de Raadt
-Niels Provos
-Dug Song
-Aaron Campbell
-Damien Miller
-Kevin Steves
-Daniel Kouril
-Wesley Griffin
-Per Allansson
-Nils Nordman
-Simon Wilkinson
EL AUTOR PROPORCIONA ESTE SOFTWARE TAL CUAL Y RENUNCIA A
CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE INCLUYEN LAS
GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. EL AUTOR NO SER RESPONSABLE EN NINGN CASO DE LOS DAOS Y
PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS, ESPECIALES, EJEMPLARES O
RESULTANTES (ENTRE LOS QUE SE INCLUYEN EL SUMINISTRO DE BIENES O
504
Palo Alto Networks
PSF
SERVICIOS SUSTITUTIVOS; LA PRDIDA DE USO, DATOS O BENEFICIOS; O LA

INTERRUPCIN DE LA ACTIVIDAD COMERCIAL), SEA CUAL SEA SU CAUSA Y SEGN
CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO,
RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO CONTRACTUAL (INCLUIDA LA
NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE CUALQUIER MODO DEL USO
DE ESTE SOFTWARE, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD DE
DICHOS DAOS Y PERJUICIOS.
PSF
1. Este CONTRATO DE LICENCIA se suscribe entre Python Software Foundation (PSF) y el
individuo o la organizacin (Titular de la licencia) que acceda y utilice de cualquier otro
modo el software Python 2.3 en formato de cdigo fuente o binario y su documentacin
asociada.
2. De acuerdo con las condiciones de este Contrato de licencia, PSF concede por la presente al
Titular de la licencia una licencia mundial, sin pago de derechos de autor y no exclusiva para
reproducir, analizar, comprobar, ejecutar y/o mostrar pblicamente, preparar obras
derivadas, distribuir y utilizar de cualquier otro modo Python 2.3 en solitario o en cualquier
versin derivada, siempre que se mantengan el Contrato de licencia de PSF y el aviso de
derechos de autor de PSF (Copyright (c) 2001, 2002, 2003 Python Software Foundation. Todos
los derechos reservados.) en Python 2.3 en solitario o en cualquier versin derivada
preparada por el Titular de la licencia.
3. En el caso de que el Titular de la licencia prepare una obra derivada basada o que incorpore
Python 2.3 o cualquier parte del mismo y desee que la obra derivada est disponible para
otros como se indica en la presente, el Titular de la licencia acepta por la presente incluir en
dicha obra un breve resumen de los cambios realizados en Python 2.3.
4. PSF pone Python 2.3 a disposicin del Titular de la licencia TAL CUAL. PSF NO OFRECE
GARANTAS DE NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS. COMO EJEMPLO
Y SIN QUE SEA UNA LIMITACIN, PSF NO OFRECE Y RENUNCIA A CUALQUIER
GARANTA DE COMERCIABILIDAD O ADECUACIN A UN FIN ESPECFICO O QUE
AFIRME QUE EL USO DE PYTHON 2.3 NO INFRINGIR DERECHOS DE TERCEROS.
5. PSF NO SER RESPONSABLE PARA CON EL TITULAR DE LA LICENCIA O
CUALQUIER OTRO USUARIO DE PYTHON 2.3 POR DAOS Y PERJUICIOS
IMPREVISTOS, ESPECIALES O RESULTANTES O POR PRDIDAS COMO RESULTADO
DE MODIFICAR, DISTRIBUIR O UTILIZAR DE OTRO MODO PYTHON 2.3 O CUALQUIER
OBRA DERIVADA DEL MISMO, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD
DE LOS MISMOS.
6. Este Contrato de licencia se resolver automticamente si se produce un incumplimiento
grave de sus condiciones.
7. Ningn elemento de este Contrato de licencia se considerar que crea ningn tipo de
relacin de agencia, asociacin o empresa conjunta entre PSF y el Titular de la licencia. Este
Contrato de licencia no concede permiso para utilizar marcas comerciales de PSF o su nombre
comercial con el significado de marca comercial para aprobar o promocionar productos o
servicios del Titular de la licencia o de terceros.
8. Al copiar, instalar o utilizar de otro modo Python 2.3, el Titular de la licencia acepta estar
vinculado a las condiciones de este Contrato de licencia.
Palo Alto Networks
505
PHP
PHP
Licencia PHP, versin 3.01.
Copyright (c) 1999 - 2009 The PHP Group. Todos los derechos reservados.
3. El nombre PHP no podr utilizarse para aprobar o promocionar productos derivados de
este software sin un previo consentimiento por escrito. Para obtener un consentimiento por
escrito, pngase en contacto con group@php.net.
4. Los productos derivados de este software no podrn denominarse PHP ni podrn incluir
PHP en su nombre sin un previo consentimiento por escrito de group@php.net. Podr
indicar que su software funciona junto con PHP denominndolo X para PHP, en lugar de
denominarlo X de PHP o X_php.
5. The PHP Group podr publicar versiones revisadas y/o nuevas de la licencia cuando
resulte oportuno. Se proporcionar un nmero de versin distintivo a cada versin. Una vez
que se haya publicado el cdigo cubierto de acuerdo con una versin especfica de la licencia,
podr seguir utilizndolo de acuerdo con las condiciones de esa versin. Tambin puede
decidir utilizar dicho cdigo cubierto de acuerdo con las condiciones de cualquier versin
posterior de la licencia publicada por The PHP Group. nicamente The PHP Group tiene
derecho a modificar las condiciones aplicables al cdigo cubierto creado de acuerdo con esta
licencia.
6. Las redistribuciones de cualquier tipo debern mantener la siguiente declaracin: Este
producto incluye software PHP, disponible de manera gratuita en
<http://www.php.net/software/>.
EL EQUIPO DE DESARROLLO DE PHP PROPORCIONA ESTE SOFTWARE TAL CUAL
Y RENUNCIA A CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE
INCLUYEN LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A
UN FIN ESPECFICO. EL EQUIPO DE DESARROLLO DE PHP NO SER RESPONSABLE
EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS,
IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE
INCLUYEN EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE
USO, DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL),
SEA CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA
SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO
CONTRACTUAL (INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE
CUALQUIER MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LE HAYA AVISADO
DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Este software se compone de contribuciones voluntarias realizadas por numerosos individuos
en nombre de The PHP Group.
Puede ponerse en contacto con The PHP Group enviando un correo electrnico a
group@php.net.
Para obtener ms informacin sobre The PHP Group y el proyecto PHP, consulte
<http://www.php.net> (en ingls).
PHP incluye el motor Zend, disponible de manera gratuita en <http://www.zend.com>.
506
Palo Alto Networks
Zlib
Zlib
Copyright (C) 1995-2005 Jean-Loup Gailly y Mark Adler.
Este software se proporciona tal cual, sin ninguna garanta explcita o implcita. Los autores
no sern responsables en ningn caso de los daos y perjuicios derivados del uso de este
software.
Se concede permiso a cualquier persona para utilizar este software con cualquier fin, incluidas
aplicaciones comerciales, y para modificarlo y redistribuirlo libremente, respetando las
siguientes restricciones:
1.El origen de este software no debe falsearse; usted no puede afirmar que cre el software
original. Si utiliza este software en un producto, puede incluir un reconocimiento en la
documentacin del producto, pero no es necesario.
2.Las versiones cuyo cdigo fuente est modificado deben indicarse claramente como tales y
no deben presentarse falsamente como si fueran el software original.
3.Este aviso no puede eliminarse ni modificarse en ninguna distribucin de cdigo fuente.
Jean-Loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu
Palo Alto Networks
507
Zlib
508
Palo Alto Networks
ndice
A
Active Directory
agente de ID de usuarios 324
configuracin del agente de ID de
usuarios 326
desinstalacin y actualizacin del agente de ID
de usuarios 329
instalacin del agente de ID de usuarios 325
actualizaciones dinmicas
acerca de 60
programacin 60
actualizacin
con alta disponibilidad 56
definiciones de aplicaciones y amenazas 60
programaciones 60
software de Panorama 459, 461
software PAN-OS 54, 67, 432
actualizacin de HA 56
administrador
bloqueo de pgina 67, 422, 431
cuentas, acerca de 60
cuentas, creacin 65
funciones, acerca de 60
funciones, definicin 63
opciones de autenticacin 60
perfiles, acerca de 60
agente
configuracin de GlobalProtect 386
configuracin del servidor de terminal 330
GlobalProtect 367
ID de usuario 310
uso de GlobalProtect 386
agente de ID de usuarios
configuracin de Active Directory 326
configuracin de portal cautivo 317
configuracin del cortafuegos 312
descripcin general 307
desinstalacin y actualizacin para Active
Directory 329
instalacin de Active Directory 325
para Active Directory, acerca de 324
agente de servicios de terminal (Agente de Ts) 330
agente de TS
actualizacin 330
509 ndice
configuracin del cortafuegos para

admitir 330
configuracin en el servidor de terminal 331
desinstalacin 335
instalacin 330
agregacin de grupos 150
agregacin de interfaces Ethernet
configuracin 151
grupos 150
alarmas
configuracin del log 81
icono de alarmas 93
log 75
no reconocidas 93
reconocidas 93
umbrales 193
visualizacin 93
visualizacin del icono 93
almacenamiento de candidata 39, 44
alta disponibilidad
acerca de 102
activo/activo 102
activo/pasivo 102
actualizacin del software PAN-OS 56
configuracin 109, 111
configuracin en Panorama 413
definicin de interfaces 161
habilitacin 111
interfaces 161
notas acerca de la configuracin 110
notas de configuracin 119
Panorama 413
reglas de funcionamiento y conmutacin por
error 102
alta disponibilidad activa/activa 102
alta disponibilidad activa/pasiva 102
alta disponibilidad pasiva/activa 102
amenazas
actualizacin de definiciones 60
lista de ACC 277
anuncio de enrutador 142, 146, 155
API XML 19
aplicaciones
actualizacin de definiciones de amenazas 60
bsqueda 250
Palo Alto Networks
caractersticas 252, 481

categoras 252, 479
definicin 251
definicin de filtros 257
definicin de grupos 257
detalles 250
excepciones 230
filtros 249
identificacin desconocidas 301
pgina de ACC 277
pgina de respuesta 473
personalizacin con cancelacin de
aplicaciones 222
subcategora 252
Subcategoras 479
tecnologas 481
aplicaciones desconocidas
identificacin 301
solicitud de ID de aplicacin 303
toma de medidas 302
aplicacin de grupos, definicin 257
aplicacin de polticas de excepcin 267
AS
BGP 165
descripcin 165
asociaciones de seguridad (SA) 339
auditora de configuraciones 53
autenticacin
base de datos local 60
GlobalProtect 368
IKE 340
LDAP 60
opciones para administrador 60
RADIUS 60
remota 32, 53
secuencia 73
autenticacin remota 32, 53
ayuda 24
B
base de conocimientos 128
base de datos de usuario, VPN SSL 69
BGP
acerca de 164
configuracin de enrutador virtual 176
descripcin 165
enrutadores virtuales 173
perfiles de redistribucin 169
bloqueo de archivos
configuracin 238
definicin de perfiles 238
perfiles, definicin 267
bloqueo de cuenta de usuario 67, 431
bloqueo en la pgina del administrador 67, 422,
431
bloqueo, perfiles de archivo 238
botnets
acerca de 291
informes 291
510 ndice
C
cable virtual 130
definicin 133
interfaces 150
interfaces, configuracin 148
cables cruzados 110
calidad de servicio (QoS) 389
campos obligatorios 27
captura de paquetes 290
acceso 290
ajuste de perfiles 229, 231, 233, 234
captura de archivos 303
configuracin de ajustes de captura 303
ID de aplicacin 303
realizacin de capturas 303
caractersticas y ventajas 18
carga de seguridad encapsulada (ESP) 341
centro de comando de aplicacin (ACC), uso 275
certificados
CA de confianza 94
CRL 50
descifrado 94
exportacin 95
generacin 96
GlobalProtect 368
importacin 95
OCSP 50
renovacin 95
revocacin 95
Servidor de Panorama 96
web 94
certificados de seguridad 94
cifrado de claves privadas y contraseas 99
clave maestra y pgina de diagnstico 99
clave privada, cifrado 99
clientes
botnet infectado 291
descarga y activacin de GlobalProtect 385
clientes infectados de botnet 291
comodn
categoras de URL personalizadas 261
patrones para listas de permitidas y
bloqueadas 236
comparacin de configuraciones 53
compilacin
cambios 26
opciones 26
Panorama 439
configuraciones, auditora 53
configuracin activa, actualizacin 39, 44
configuracin candidata
acerca de 39, 44
almacenamiento y restablecimiento 39, 44
configuracin de dplex 137, 148, 160, 161
configuracin de inspeccin de contenidos 47
configuracin de notificacin de correo electrnico
definicin 92, 93
en perfiles de logs 268
configuracin de red 32, 53
Palo Alto Networks
configuracin de VPN de muestra 351

configuracin del sistema 126
configuracin, VPN de muestra 351
conmutacin por error 192
contrasea
cifrado 99
complejidad de contrasea mnima 38
nueva 22
perfiles 64
proteccin de datos 48
convenciones tipogrficas 15
copia de seguridad de las configuraciones del
cortafuegos 459
correo electrnico
programacin de entrega de informes 297
cortafuegos
agente de ID de usuarios 312
caractersticas y ventajas 18
configuracin de ajustes de WildFire 465
introduccin 17
latitud y longitud 33
navegacin en la interfaz de usuario 27
uso de la interfaz web 23
cortafuegos de la serie VM
instalacin 399, 402
limitaciones 400
requisitos 400
solucin de problemas 405
cortafuegos virtual 399
cmo aadir dispositivos a Panorama 420
CRL 50
cuentas
creacin de administrador 65
perfiles de autenticacin 67
requisitos de nombre de usuario y
contrasea 61
D
definicin de las plantillas de configuracin 461
denegacin de servicio (Dos), perfiles 243
desactualizacin del software 57
descarte aleatorio temprano 193
descodificadores y acciones 229
descripcin general de red 130
destinos de logs
acerca de 77
correo electrnico 92, 93
syslog 84
traps SNMP 83
destinos de traps SNMP
definicin 83
deteccin de reconocimiento 190
DHCP
opciones de cortafuegos 186
retransmisin 186
Palo Alto Networks
servidores 186
direcciones
definicin 245
definicin de grupo 248
definicin de grupos de direcciones 248
definicin de intervalos 245
direcciones IPv6 246
dispositivo principal 426
dispositivos
cmo aadir 424
gestin 31
principal 426
DNS
servidores 186
dominios de acceso
cortafuegos 61, 67
Panorama 432
DoS
definicin de polticas 225
perfiles 243
perfiles de proteccin 243
duplicar deteccin de direccin (DAD) 141, 146,
154
E
edicin de ajustes en una pgina 25
encabezado de autenticacin (AH) 341
enlaces de pgina de log 276
enrutadores virtuales
configuracin 167, 168, 183
configuracin de multicast 183
definicin 167
estadsticas de tiempo de ejecucin 186
protocolos de enrutamiento 164
siguiente salto 168
enrutamiento
acerca de enrutadores virtuales y protocolos de
enrutamiento 164
multicast 166
enrutamiento multicast
acerca de 166
configuracin 183
entidad de certificacin (CA)
certificado de CA de confianza 94
CRL 50
GlobalProtect 368
OCSP 50
entradas de ARP
en interfaces L3 principales 147
en interfaces VLAN 143, 156
en subinterfaces L3 154
estado de los enlaces en el pasivo 117
estado del enlace
ajuste 137, 148, 160, 161
visualizacin 274
Ethernet 138
etiquetas
en cables virtuales 134
ndice 511
en subinterfaces L2 137, 149

en subinterfaces L3 144
excepciones de aplicacin 230
explorador de sesin 291
exploradores compatibles 28
exploradores, compatibles 28
exportaciones
certificados 94
lote de configuracin 459
programacin de logs 78
exportaciones de logs 78
exportaciones de lote de configuracin 459
expresiones regulares, patrones de datos 260
F
filtrado de datos
coincidencias HIP en pgina de ACC 277
configuracin de patrn 242
configuracin de perfil 241, 243
lista 277
patrones de datos 263
pgina de ACC 277
perfiles 241
perfiles y patrones 242
visualizacin de logs 75, 291
filtrado de URL
categorizacin dinmica 235
configuracin de cancelacin 48
configuracin de perfil 235
lista 277
pgina de ACC 277
pgina de respuesta de continuacin y
cancelacin 127, 476
pginas de respuesta 127
visualizacin de log 290
visualizacin de logs 76
filtros
aplicacin 249, 257
subcategora 249
FIPS 483
firmas
personalizadas 264
spyware 264
vulnerabilidad 264
firmas personalizadas
acerca de 264
spyware 264
vulnerabilidad 264
flujo de red
acerca de 93
configuracin 93
formato abierto de virtualizacin (OVF) 408
funciones
acerca de 60
definicin de administrador 63
512 ndice
G
gestin de configuraciones 39, 44
gestin de configuracin 39, 44
GlobalProtect
acerca de 367
agentes 367
autenticacin 368
configuracin 369
configuracin de agentes 386
configuracin de portales 374
configuracin de puertas de enlace 380
copia de seguridad de portal 365
descarga y activacin de clientes 385
pgina de respuesta 127
portales 367
proceso de conexin 368
puertas de enlace 367
uso del agente 386
VPN a gran escala 355
grupo de servicios
definicin 259
grupo Diffie-Hellman (DH) 341, 349
grupos
agregacin de interfaz 150
definicin de servicio 259
dispositivo 425
grupos de direcciones, definicin 248
grupos de dispositivos
asignacin y colaboracin de objetos 436
cmo aadir 425
seleccin 436
uso 436
grupos de enlaces, HA 117
grupos de perfil de seguridad, definicin 267
grupos de perfiles, definicin 267
grupos de rutas, HA 416
grupos de servicios, definicin 259
H
hora
ajuste 32, 53
zona 33
I
ID de aplicacin, solicitud 303
identificacin del peer 343
identificacin local 343
identificacin, IKE 340
IKE
acerca de 338, 340
AH 341
autenticacin 340
configuracin de perfiles criptogrficos 349
definicin de perfiles criptogrficos 348
ESP 341
grupo DH 341
identificacin 340
Palo Alto Networks
modo de intercambio 343

perfiles criptogrficos, acerca de 340
proteccin ante fallo del peer 343
implementaciones 130
implementaciones L2, acerca de 132
implementaciones L3, acerca de 132
implementacin, visualizacin de la
informacin 458
informacin confidencial, proteccin 48
informacin de asistencia tcnica 128
informacin de asistencia tcnica,
visualizacin 128
informes
actividad del usuario 296, 445
Appscope 279
creacin de grupos personalizados 296
personalizados 299
programacin de entrega de correo
electrnico 297
resumen en PDF 294
visualizacin 298
visualizacin de WildFire 470
50 principales 298
informes de Appscope
informe de resumen 280
informe del mapa de amenazas 283, 284, 287
informe del supervisor de cambios 281
informe del supervisor de red 285
visualizacin 279
informes de grupos personalizados 296
informes de resumen en PDF
creacin 295, 297
diseo 295
visualizacin 294, 295
informes personalizados 299
informes y logs
identificacin de aplicaciones
desconocidas 301
informes personalizados 299
uso del Centro de comando de aplicacin 275
uso del panel 274
visualizacin de informes 298, 299
visualizacin de informes de Appscope 279
visualizacin de informes de resumen en
PDF 294
instalacin, Panorama 408
interfaces
agregacin de grupos 150
alta disponibilidad 161
configuracin de Ethernet de agregacin 151,
152
L2, principal 136
L3, principal 138
resumen de 135
subinterfaces L2 137, 160
subinterfaces L3 144
tap 160
visualizacin de estado 136, 274
interfaces de cables virtuales
Palo Alto Networks
configuracin de subinterfaces 149

interfaces de loopback
definicin 157, 158
puerto de gestin 32
interfaces de loopback sin numerar 157
interfaces de tnel 344
interfaces Ethernet, configuracin 152
interfaces HA 161
interfaces L2
configuracin 136
principal 136
subinterfaces 137, 160
interfaces L3
configuracin 138
loopback 157, 158
principal 138
puertas de enlace compartidas 126
subinterfaces 144
interfaces tap, definicin 160
interfaz de gestin
CLI 19
configuracin 32, 53
opciones 19
Panorama 19
web 19
interfaz web
campos obligatorios 27
compilacin de cambios 26
exploradores compatibles 28
navegacin 27
uso 23
uso de tablas 27
intervalo de saludo, HA 415
inundaciones, configuracin de proteccin de
zonas 193, 392
inundacin de ICMP 194
inundacin de UDP 194
inundacin SYN 193
IPSec
AH 341
configuracin de perfiles criptogrficos 349
configuracin de tneles 344
definicin de perfiles criptogrficos 349
descripcin general de VPN a gran escala 355
duracin 341
ESP 341
grupo DH 341
nmero de tneles 339
IPv6 191
K
Kerberos
configuracin de ajustes de servidor 73
funciones de administrador 60
ndice 513
latitud y longitud 33
LDAP
autenticacin 60
configuracin de ajustes de servidor 72
licencias
cdigo abierto 485
instalacin 54, 94
licencias de cdigo abierto 485
lista de amenazas 277
lista de aplicaciones 277
lista de bloqueo
patrones de comodines 236
perfil de filtrado de URL 236
lista de permitidas
patrones de comodines 236
perfil de filtrado de URL 237
listas de bloqueos dinmicos 262
log amenaza 269
acerca de 76
definicin de logs remotos 267
visualizacin 290
log configuracin
acerca de 75
definicin de logs remotos 79, 80, 81, 82
visualizacin 291
log de trfico 268
definicin de logs remotos 267
visualizacin 290
log sistema
acerca de 75
visualizacin 291
logs 290
acerca de 75
ajustes de configuracin 79
alarmas 75, 81
almacenamiento en un servidor FTP 78
amenaza 76
borrado 82
coincidencia HIP 291
configuracin 75
configuracin de coincidencias HIP 81
definicin de logs remotos
para la configuracin 79, 80, 81, 82
para logs de amenazas y trfico 267
enlaces desde pginas de ACC 276
gestin 82
programacin de exportaciones 78
resolucin de nombre de host 289
sistema 75
visualizacin 288
visualizacin del filtro de URL 290
WildFire 76
LSA 165
MD5 176
MIB 51, 84
modificacin de ajustes en una pgina 25
modo de intercambio 343
modo tap
descripcin 133
opcin de implementacin 133
multicast de origen especfico (SSM) 185
514 ndice
N
NAT
ejemplos de poltica 212
NAT64 212
polticas 207
tipos 208
navegacin 27
navegacin de la interfaz de usuario 27
NFS 410
almacenamiento de logs externo 410
alta disponibilidad de Panorama 414
particiones de almacenamiento 410
no fragmentar (DF) 196
nombre de dominio 33
nombre de host, definicin 32, 53
NSSA (not so stub area) 174
NT LAN Manager (NTLM) 225, 311
nuevo anlisis de sesiones 49
O
objetos
colaboracin en Panorama 436
obtencin de ayuda 24
OCSP 50
opciones de descarte, perfiles DOS 195
opciones de implementacin
cable virtual 130
Capa 2 132
Capa 3 132
modo tap 133
PPPoE 132
OSPF
acerca de 164
P
panel
cortafuegos 274
Panorama
acceso 420
actualizacin del software 459, 461
alta disponibilidad 413
bloqueo de cuenta de usuario 67, 422, 431
certificado de servidor 96
Palo Alto Networks
compilacin 439
configuracin 407
configuracin de direccin IP 34
cmo aadir dispositivos 424
creacin de cuentas administrativas 428
descripcin de interfaz 420
dispositivo de hardware 412
dispositivo virtual 408
dominios de acceso 432
funciones de administrador 428
habilitacin de acceso 34
instalacin 408
interfaz de usuario 420
logs 444
objetos 436
opciones de administrador 426
panel 420
pestaa 421
pestaa ACC 420
pestaa dispositivo 421
pestaa objetos 420
pestaa panorama 421
pestaa polticas 420
pestaa red 421
pestaa supervisar 420
pestaas 420
plantillas 441
plantillas, configuracin 442
polticas compartidas, definicin 420, 433
PAN-OS, actualizacin del software 54
particiones de almacenamiento 410
Panorama 410
patrones de datos
cmo aadir nuevos 260
definicin 263
perfiles de filtrado de datos 242
reglas 260
pgina de bloqueo de archivo 473
pginas de bloque HTML 471
pginas de respuesta
antivirus 126, 471
ayuda del portal de GlobalProtect 127
bloqueo de aplicacin 126, 473
bloqueo de archivos 126, 473
continuacin y cancelacin de filtrado de
URL 127, 476
definicin 126
exclusin de descifrado de SSL 127
inicio de sesin del portal de
GlobalProtect 127
notificacin de certificado SSL revocado 478
opcin continua de bloqueo de archivo 127
pgina de notificacin de errores de certificado
SSL 127
portal cautivo 126, 476
tipos 98, 126
pginas de respuesta antivirus 471
perfil de antispyware
Palo Alto Networks
acerca de 230
definicin 230
perfil de informacin de host (HIP)
coincidencias en pgina de ACC 277
configuracin 373
configuracin de objetos 370
configuracin del log coincidencias HIP 81
log coincidencias 291
perfiles
acerca de seguridad 227
acerca de supervisin 192
antispyware 230
antivirus 229
antivirus, descodificadores y acciones 229
antivirus, excepciones de aplicacin 230
ataques basados en paquetes 190
bloqueo de archivos 238, 267
configuracin de perfiles criptogrficos de
IKE 349
configuracin de perfiles criptogrficos de
IPSec 349
criptogrfico de IKE 348
criptogrfico de IPSec 349
definicin de reenvo de logs 268
deteccin de reconocimiento 190
filtrado de datos 241
filtrado de URL 235
gestin de interfaz 191
grupos de seguridad 228, 267
logs 267
proteccin contra inundaciones 190
proteccin de vulnerabilidades 232, 235
proteccin de zonas 193, 392
QoS 389, 392
red 190
redistribucin 169
supervisor de tnel 192
perfiles criptogrficos 348, 349
perfiles criptogrficos, acerca de 340
perfiles de antivirus
configuracin 229
definicin 229
perfiles de autenticacin
acerca de 67
configuracin 68
configuracin de Kerberos 73
configuracin de LDAP 72
configuracin de RADIUS 71
perfiles de gestin de interfaz 191
perfiles de proteccin de vulnerabilidades 232, 235
perfiles de red 190
perfiles de redistribucin
acerca de 169
configuracin 170
perfiles de seguridad
acciones 227
acerca de 227
definicin 267
perfiles de supervisin 192
ndice 515
poltica compartida
definicin 420, 433
dispositivo principal 426
poltica de descifrado 269
polticas
acerca de 199
acerca de NAT 207
acerca de seguridad 203
acerca del reenvo basado en polticas 216
compartidas 420, 433
definicin de descifrado 219
definicin de DoS 225
definicin de NAT 210
definicin de objetos de direcciones 245
definicin de portal cautivo 223
directrices de definicin 200
especificacin de usuarios y aplicaciones 202
otros objetos de las polticas 244
patrones de datos 263
QoS 393
reglas posteriores 434
reglas previas 433
sistemas virtuales 121
tipos 199
y sistemas virtuales 122, 124
polticas compartidas globales 433
polticas de cancelacin de aplicacin
acerca de 221
definicin 222
polticas de seguridad
acerca de 203
definicin 203
portal
acerca de 367
GlobalProtect 367
portal cautivo 67
configuracin de cortafuegos para 317
pgina de comfort 126, 476
PPPoE
acerca de 132
configuracin 139
implementaciones 132
prioridad de dispositivo, HA 415
programaciones
definicin 267, 271
proteccin ante fallo del peer 343
proteccin contra inundaciones 190
proteccin de ataques basados en paquetes 190,
195
proteccin de datos
cambio de contrasea 48
cmo aadir 48
protocolos de enrutamiento
acerca de 164
BGP 173
516 ndice

OSPF 173
RIP 171
proxy
DNS, acerca de 188
proxy DNS
acerca de 188
configuracin 188
puerta de enlace
acerca de 367
GlobalProtect 367
puertas de enlace compartidas
acerca de 123
configuracin 126
interfaces L3 126
interfaz comn 123
puertas de enlace de IKE
acerca de 340
puertos HA1 y HA2 111
punto de encuentro 183
Q
QoS
clases 392, 393
configuracin 206
configuracin de las interfaces del
cortafuegos 389
configuracin de prioridad 392
configuracin de salida 392
instrucciones de configuracin 389
marca 206
perfiles 389, 392
polticas 393
trfico de tnel 390
trfico en claro 390
R
RADIUS
autenticacin 60
definicin de la configuracin de servidor 71
reconocimiento de alarmas 93
reenvo basado en polticas (PBF)
acerca de 216
definicin 216
y perfiles de supervisin 192
reenvo de logs
configuracin de perfil 268
regiones
acerca de 248
polticas 248
reglas
aplicacin de poltica de excepcin 267
poltica de seguridad 203
reglas posteriores en polticas 434
Palo Alto Networks
reglas previas en polticas 433

reinicio del cortafuegos 41
reinicio del dispositivo 32, 42, 53
reloj, ajuste 32, 53
requisitos de nombre de usuario y contrasea 61
resolucin de nombre de host 289
restablecimiento de candidata 39, 44
RIP
acerca de 164
S
secreto perfecto hacia adelante (PFS) 341
secuencias de autenticacin
acerca de 74
configuracin 74
seguridad
definicin de grupos de perfiles 228, 267
grupos de perfil 267
servicio BrightCloud 235
servicios, definicin 258
servidor FTP, almacenamiento de logs en 78
servidores
definicin de Kerberos 73
definicin de LDAP 72
definicin de RADIUS 71
definicin de syslog 84
servidores NIS 187
servidores NTP 187
servidores syslog
campos personalizados de syslog 85
definicin 84
Servidores WINS 187
siguiente salto 168
sistemas virtuales
acerca de 121
comunicaciones entre 122
definicin 121, 124, 126
definicin de varios 124
flujo de trfico interno 122
habilitacin 33
habilitacin de varios 33
interfaz comn de puertas de enlace
compartidas 123
polticas 121
puertas de enlace compartidas 123
varios 122
y zonas de seguridad 122
zonas de seguridad 121
SNMP
cadena de comunidad 51
configuracin de MIB 51
definicin de destinos de traps 83
MIB 84
Palo Alto Networks
software
actualizacin 54, 67, 432, 459, 461
actualizacin de Panorama 461
desactualizacin 57
versin 274
software PAN-OS
actualizacin 54, 67, 432
versin 274
solicitud de asistencia tcnica 128
SPT (Shortest Path Tree) 185
SSL
configuracin de reglas de descifrado 216, 220
definicin de polticas de descifrado 219
polticas de descifrado 267
referencias de notas tcnicas 219
subcategora
aplicacin 252
filtrado 249
supervisor de tnel
conmutacin por error 192
esperar recuperacin 192
perfiles 192
T
tablas, uso en la interfaz web 27
tiempo de espera 415
tiempo de espera de URL dinmica 47
tiempo de espera pasivo, HA 415
tipografa, convenciones 15
tipos de implementaciones 130
transferencia de estado representacional (REST) 19
Transport Layer Security (TLS) 72
trfico de tnel y QoS 390
trfico en claro y QoS 390
tneles
acerca de VPN 339
configuracin 344
divisin para SSL VPN 382
nmero de IPSec 339
tneles de VPN
acerca de 339
claves de seguridad manuales 339
IKE 339
proteccin 339
U
umbrales de respuesta 193, 194
umbrales, alarma 193
utilizacin de CPU 274
utilizacin de la memoria 274
utilizacin del disco 274
V
varios sistemas virtuales 33, 122, 124
velocidad de enlace y dplex 137, 148, 160, 161
velocidad, enlace 137, 148, 160, 161
versin, software 274
ndice 517
visualizacin
dispositivos 426
explorador de sesin 291
informacin de sesin 291
logs 288
VLAN
interfaces L2 152
interfaces, definicin 152
VMware ESX(i) 408
VPN
acerca de 338
configuracin de muestra 351
configuracin de tneles 339
descripcin general de VPN a gran escala 355
implementacin de VPN a gran escala 355
perfiles criptogrficos de IPSec e IKE 340
SSL, acerca de 389
VPN a gran escala y protocolos de
enrutamiento dinmico 365
VPN a gran escala
VPN SSL
acerca de 389
base de datos de usuario local 69
pgina de comfort 127
tneles divididos 382
vSphere 408
W
WildFire
acerca de 463
configuracin de ajustes de cortafuegos 465
configuracin de ajustes en el portal 469
configuracin del reenvo 466
descripciones del log 467
panel 468
suscripcin 464
tareas de configuracin 465
tipos de archivos admitidos 464
uso del portal 468
visualizacin de informes 470
Z
zonas
definicin 163
en polticas de seguridad 204
en polticas NAT 210
perfiles de proteccin 193, 392
zonas de seguridad
acerca de 162
definicin 163
en polticas de seguridad 204
en polticas NAT 210
interfaces 162
518 ndice
Palo Alto Networks

PA-5.0 Administrators Guide Spanish

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PA-5.0 Administrators Guide Spanish

Uploaded by

Copyright:

Available Formats

Gua del administrador

de Palo Alto Networks

7/9/13 Borrador de la revisin final - Palo Alto Networks

Palo Alto Networks, Inc.

julio 9, 2013 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Preparacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . 32

Palo Alto Networks

Definicin de la configuracin de inspeccin de contenidos . . . . . . . . . . . . . . . . .

Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . .

Actualizacin de definiciones de aplicaciones y amenazas . . . . . . . . . . . . .

Configuracin de perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Definicin de pginas de respuesta personalizadas . . . . . . . . . . . . . . . . .

Implementacin de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Interfaces del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Servidor DHCP y retransmisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Definicin de perfiles de gestin de interfaz . . . . . . . . . . . . . . . . . . . . . . . . 191

Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Definicin de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 264

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Descripcin general de la identificacin de usuarios . . . . . . . . . . . . . . . . . 307

Palo Alto Networks

Configuracin de Asignacin de usuario de PAN-OS . . . . . . . . . . . . . . . . . . . . . 319

Redes privadas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

IPSec e IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367

Palo Alto Networks

Configuracin y activacin del agente de GlobalProtect . . . . . . . . . . . . . 385

Compatibilidad del cortafuegos con QoS . . . . . . . . . . . . . . . . . . . . . . . . . 389

Definicin de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . 420

Cmo aadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424

Palo Alto Networks

Funciones, perfiles y cuentas de administrador de Panorama . . . . . . . . . . 426

Especificacin de dominios de acceso de Panorama

Acerca de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

Configuracin del reenvo de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Pgina de respuesta antivirus predeterminada . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Pgina de comfort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476

Categoras y subcategoras de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . 479

Palo Alto Networks

Palo Alto Networks

julio 9, 2013 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Acerca de esta gua en la seccin siguiente

Convenciones tipogrficas en la pgina 15

Notas y precauciones en la pgina 15

Documentacin relacionada en la pgina 15

Acerca de esta gua

Captulo 1, Introduccin: proporciona una descripcin general del cortafuegos.

Captulo 2, Primeros pasos: describe cmo instalar el cortafuegos.

Captulo 3, Gestin de dispositivos: describe cmo realizar la configuracin del

Captulo 4, Configuracin de red: describe cmo configurar el cortafuegos para su red,

Captulo 5, Polticas y perfiles de seguridad: describe cmo configurar perfiles y

Captulo 6, Informes y logs: describe cmo visualizar los informes y registros

Palo Alto Networks

Captulo 7, Configuracin del cortafuegos para la identificacin de usuarios: describe

Captulo 8, Configuracin de tneles de IPSec: describe cmo configurar tneles de