PAN-OS AdminGuide 61-Spanish PDF

Palo Alto Networks
Gua del administrador de PAN-OS

Versin 6.1
Informacin de contacto
Sede de la empresa:
Palo Alto Networks

4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta gua

En esta gua se explican los procesos de configuracin y mantenimiento de su cortafuegos de prxima generacin de
Palo Alto Networks. Para obtener ms informacin, consulte los siguientes recursos:
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc.
Fecha de revisin: marzo 13, 2015
ii
Contenido
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Registro del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Activacin de la licencia y suscripciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Implementaciones de interfaz bsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Acerca de la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Planificacin de la implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 44
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Gestin de los administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks. . . . . . . . . . . . . . . . . 107
Puertos usados para funciones de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Puertos usados para HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Puertos usados para Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Puertos usados para User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica . . . . . . . . . . . . . . . . . . . . . . . . 112
Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113

Claves y certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Lista de revocacin de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Protocolo de estado de certificado en lnea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Implementacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Configuracin de la verificacin del estado de revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la verificacin del estado de revocacin de certificados utilizados
para la autenticacin de usuarios/dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la verificacin de estado de certificados usados para la descifrado
de SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
119
121
121
Configuracin de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Obtencin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creacin de un certificado de CA raz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Generacin de un certificado en un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importacin de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obtencin de un certificado desde una CA externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
125
126
127
128
Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo . . . . . . . . . . . 133
Revocacin y renovacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Revocacin de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Renovacin de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Claves seguras con un mdulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cifrado de una clave maestra con HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestin de la implementacin del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135
136
142
144
146
Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Conceptos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
149
149
149
152
152
153
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
156
157
158
160
166
167
Recursos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
ii
Uso del centro de comando de aplicacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Nivel de riesgo de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Grficos de ACC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Pginas de detalles de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Uso de ACC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Supervisin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Supervisin de datos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Supervisin del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Definicin de destinos de logs remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Habilitacin del reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Perfiles de reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Supervisin del Firewall mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Supervisin del cortafuegos mediante NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Plantillas de NetFlow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Identificacin de interfaces de cortafuegos en sistemas de supervisin externos . . . . . . . . . . . . . . . . . . . . 213
Gestin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Deshabilitacin de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Generacin de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Generacin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Programacin de informes para entrega de correos electrnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Descripcin de los campos de Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Conceptos de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Asignacin de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Habilitacin de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
iii
Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . .

Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado
en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . .
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . .
Configuracin de la asignacin de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . .
Envo de asignaciones de usuarios a User-ID mediante la API XML. . . . . . . . . . . . . . . . . . . . . . . . .
257
266
269
279
285
294
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con

otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Verificacin de la configuracin de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Descripcin general de App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Gestin de aplicaciones personalizadas o desconocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Prcticas recomendadas para utilizar App-ID en polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 312
Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Configuracin de polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades. . . . . . . . . . . . . . . . . .
Configuracin de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
314
315
317
321
Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

Firmas y desencadenadores de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta . . . . . . 327
Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 330
Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas . . . . . . . . . 333
Uso de consultas de DNS para identificar hosts infectados en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sinkholing de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de sinkholing de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Identificacin de hosts infectados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
334
335
336
340
Infraestructura de Content Delivery Network para actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . 342

Recursos de prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Conceptos de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
iv
347
348
350
352
353
Excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Reflejo del puerto de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Configuracin del proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Configuracin de la inspeccin de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Configuracin del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Configuracin de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Exclusin del trfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Exclusin de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Permisos para que los usuarios excluyan el descifrado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Configuracin del reflejo del puerto de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Desactivacin temporal del descifrado SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

Descripcin general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Proveedores de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Interaccin entre App-ID y categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Conceptos del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Perfil de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Acciones del perfil de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Listas de bloqueadas y permitidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Forzaje de bsquedas seguras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Pginas contenedoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Logs de encabezado HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Pginas de respuesta de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Categora de URL como criterio de coincidencia de poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Flujo de trabajo de categorizacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Componentes de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Flujo de trabajo de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Habilitacin de un proveedor de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Habilitacin de PAN-DB URL Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Habilitacin del filtrado de URL de BrightCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Determinacin de los requisitos de la poltica de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Supervisin de la actividad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Interpretacin de los logs de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Uso del ACC para supervisar la actividad web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Visualizacin de informes de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Visualizacin del informe de actividad del usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuracin de informes de filtrado de URL personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Configuracin de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Personalizacin de las pginas de respuesta de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
Configuracin de la cancelacin de administrador de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Habilitacin del forzaje de bsquedas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
Bloqueo de resultados de bsqueda sin la configuracin de bsqueda segura estricta . . . . . . . . . . . . 414
Habilitacin del forzaje de bsquedas seguras transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Ejemplos de casos de uso del filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

Caso de uso: control de acceso web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Caso de uso: uso de categoras de URL en la poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Solucin de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problemas en la activacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problemas de conectividad con la nube de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL clasificadas como no resueltas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categorizacin incorrecta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
429
429
430
431
432
433
Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Descripcin general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS para aplicaciones y usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfil de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Clases de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Poltica de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interfaz de salida de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trfico de texto claro y de tnel de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
438
438
439
440
441
442
443
Configuracin de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

Configuracin de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Caso de uso: QoS para un nico usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
QoS para aplicaciones de voz y vdeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Descripcin general de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intercambio de claves por red (IKE) para VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
466
466
466
467
467
Configuracin de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un tnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la supervisin de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prueba de conectividad VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interpretacin de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
471
471
473
476
479
481
482
Configuraciones rpidas de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VPN de sitio a sitio con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN de sitio a sitio con OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
483
488
494
VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
vi
Descripcin general de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502

Creacin de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
Habilitacin de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 505
Configuracin del portal para autenticar satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Configuracin de puertas de enlace de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Configuracin de la puerta de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
Configuracin del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Configuracin del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
Definicin de las configuraciones de satlites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Preparacin del dispositivo satlite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Verificacin de la configuracin de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Configuraciones rpidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Configuracin bsica de LSVPN con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Configuracin avanzada de LSVPN con enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Implementaciones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
Enrutadores virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Conceptos de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Configuracin de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Configuracin de OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Configuracin del reinicio correcto de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Confirmacin del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
BGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Configuracin de sesin y tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
Sesiones de capa de transporte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
UDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Configuracin de los tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572
Definicin de la configuracin de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Descripcin general de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Mensajes DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
vii
Direccin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Restricciones a la implementacin en Palo Alto Networks del DHCP . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como cliente DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure una interfaz como agente de rel DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supervisin y resolucin de problemas de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
579
580
581
582
585
587
587
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Objetivo del NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas NAT y polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT de origen y destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Capacidades de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sobresuscripcin de NAT de IP dinmica y puerto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estadsticas de memoria NAT de plano de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
589
589
589
590
591
592
593
594
LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Ajustes LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Configuracin de LACP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605
Poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Componentes de una regla de poltica de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612
Prcticas recomendadas de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Objetos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfil de proteccin contra ataques por denegacin de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupo de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
617
618
619
620
621
622
623
624
625
626
Enumeracin de reglas dentro de una base de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630

Use etiquetas para distinguir objetos visualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632
viii
Trucos y consejos para buscar objetos en poltica de seguridad.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Bsqueda de reglas de polticas de seguridad para perfiles de seguridad. . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de reglas desactivadas en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de los detalles de reenvo de logs en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de Detalles de log en poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bsqueda de reglas programadas en la poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
634
634
638
638
639
640
Uso de una lista de bloques dinmicos en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Visualizacin del lmite de direcciones IP para su modelo de cortafuegos . . . . . . . . . . . . . . . . . . . . .
Directrices de formato para listas de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Forzaje de polticas con una Lista de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulta de la lista de direcciones IP en la lista de bloque dinmico . . . . . . . . . . . . . . . . . . . . . . . . .
641
641
642
642
644
Recuperacin de una lista de bloque dinmico del servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644

Registro de direcciones IP y etiquetas dinmicamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Supervisin de cambios en el entorno virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
Habilitacin de supervisin de VM para el registro de cambios en la red virtual . . . . . . . . . . . . . . . . 647
Atributos supervisados en los entornos AWS y VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
Uso de grupos de direcciones dinmicas en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Comandos de la CLI para etiquetas y direcciones IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654
Registro de direcciones IP de clientes para solicitudes HTTP/HTTPS con proxy . . . . . . . . . . . . . . . . . . 656
Log de valores de X-Forwarded-For del log de trfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
Log de valores de X-Forwarded-For del log de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657
Reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658
PBF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Creacin de una regla de reenvo basada en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662
Caso de uso: PBF para acceso saliente con ISP duales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664
Sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .673

Descripcin de los sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Componentes y segmentacin de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Beneficios de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Uso de casos para sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Compatibilidad con plataformas y licencias de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Restricciones de los sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Funciones de administrador para sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Objetos compartidos para sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676
Comunicacin entre sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 677
Trfico entre VSYS que debe abandonar el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
Trfico entre VSYS que permanece en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
La comunicacin entre VSYS usa dos sesiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
Puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Zonas externas y puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682
Consideraciones de red para una puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
Configuracin de sistemas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Configuracin de la comunicacin entre sistemas virtuales dentro del cortafuegos . . . . . . . . . . . . . . . . . . 687
Configuracin de una puerta de enlace compartida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688
Funcionalidad de sistema virtual con otras funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
ix
Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
prxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.
Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red.
Integracin del cortafuegos en su red de gestin
Creacin del permetro de seguridad
Habilitacin de funciones de prevencin de amenazas bsicas
Prcticas recomendadas para completar la implementacin del cortafuegos
Primeros pasos
Primeros pasos

Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usar
para llevar a cabo las funciones de administracin del cortafuegos. Al usar el puerto de gestin, est separando
las funciones de gestin del cortafuegos de las funciones de procesamiento de datos, de modo que protege el
acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de
configuracin inicial desde el puerto de gestin, incluso aunque pretenda usar un puerto interno para gestionar
su dispositivo ms adelante.
Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de las
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de
gestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o
plantearse cargar manualmente actualizaciones de forma regular.
Los siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar un
nuevo cortafuegos en la red de gestin e implementarlo con una configuracin de seguridad bsica.
Determinacin de la estrategia de gestin
Realizacin de la configuracin inicial
Establecimiento de acceso a la red para servicios externos
Registro del cortafuegos
Activacin de la licencia y suscripciones
Gestin de la actualizacin de contenidos
Instalacin de actualizaciones de software

Los siguientes temas describen cmo integrar un nico cortafuegos de prxima generacin de
Palo Alto Networks en su red. Sin embargo, para obtener redundancia, debera implementar dos
cortafuegos en una configuracin de Alta disponibilidad.
Primeros pasos
Primeros pasos
Determinacin de la estrategia de gestin

El cortafuegos Palo Alto Networks se puede configurar y administrar localmente o de forma central usando
Panorama, el sistema de administracin de seguridad centralizado de Palo Alto Networks. Si tiene seis o ms
cortafuegos implementados en su red, use Panorama para obtener estas ventajas:
Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

de contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar
eficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticas
compartidas en todos los dispositivos o grupos de dispositivos.
Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. El
Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar
informes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de forma
central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.
Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua, verifique que el cortafuegos puede establecer una conexin
con Panorama. A partir de aqu, puede usar Panorama para configurar su cortafuegos de forma centralizada.
Primeros pasos
Primeros pasos
Realizacin de la configuracin inicial

De forma predeterminada, la direccin IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contrasea es
admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de
configuracin del cortafuegos. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin
(MGT), aunque no pretenda usar esta interfaz para la gestin de su cortafuegos, o usar una conexin de serie
directa al puerto de la consola del dispositivo.
Configuracin del acceso de red al cortafuegos
Paso 1
Obtenga la informacin necesaria de su

administrador de red.
Direccin IP para el puerto MGT

Mscara de red
Puerta de enlace predeterminada
Direccin de servidor DNS
Paso 2
Conecte su ordenador al cortafuegos.
Puede conectarse al cortafuegos de uno de estos modos:

Conecte un cable serie desde su ordenador al puerto de la consola
y conecte con el cortafuegos usando el software de emulacin de
terminal (9600-8-N-1). Espere unos minutos hasta que se
complete la secuencia de arranque; cuando el dispositivo est listo,
el mensaje cambiar al nombre del cortafuegos, por ejemplo
PA-500 login.
Conecte un cable Ethernet RJ-45 desde su ordenador hasta el
puerto de gestin del cortafuegos. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba
cambiar la direccin IP de su ordenador a una direccin de la red
192.168.1.0, como 192.168.1.2, para acceder a esta URL.
Paso 3
Cuando se le indique, inicie sesin en el

cortafuegos.
Debe iniciar sesin usando el nombre de usuario y contrasea

predeterminados (admin/admin). El cortafuegos comenzar
a inicializarse.
Paso 4
Configure la interfaz de gestin.
1.
Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, edite la Configuracin de interfaz de gestin.
2.
Introduzca la direccin IP, mscara de red y puerta de enlace

predeterminada.
3.
Fije la velocidad en negociacin automtica.
4.
Seleccione los servicios de gestin que permitir en la interfaz.

Asegrese de que ni Telnet ni HTTP estn seleccionados,
ya que estos servicios usan texto sin formato y no son
tan seguros como los otros servicios.
5.
Haga clic en ACEPTAR.
Primeros pasos
Primeros pasos
Configuracin del acceso de red al cortafuegos (Continuacin)
Paso 5
Paso 6
Paso 7
Paso 8
(Opcional) Configure los ajustes

generales del cortafuegos.
1.
Seleccione Dispositivo > Configuracin > Gestin y edite la

Configuracin general.
2.
Introduzca un nombre de host para el cortafuegos y el nombre

de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usar para unirse al dominio.
3.
Introduzca la Latitud y Longitud para permitir la colocacin

precisa del cortafuegos en el mapamundi.
4.
Configure los ajustes de DNS, hora y

fecha.
1.
Seleccione Dispositivo > Configuracin > Servicios y edite los

Servicios.
Debe configurar manualmente al

menos un servidor DNS en el
cortafuegos o no podr resolver
los nombres de host; no usar
configuraciones del servidor DNS
de otra fuente, como un ISP.
2.
En la pestaa Servicios, introduzca la direccin IP del servidor

DNS principal y, de manera opcional, del servidor DNS
secundario.
3.
Para usar el clster virtual de los servidores horarios en Internet,

introduzca el nombre de host pool.ntp.org como el servidor
NTP principal o aada la direccin IP de su servidor NTP
principal y, de manera opcional, un servidor NTP secundario.
4.
Para autenticar las actualizaciones horarias desde un servidor

NTP, seleccione la pestaa NTP, introduzca la direccin del
servidor NTP y seleccione Tipo de autenticacin que usar el
cortafuegos.
5.
Haga clic en Aceptar para guardar la configuracin.
Establezca una contrasea segura para la 1.

cuenta de administrador.
2.
Compile los cambios.

Al guardar los cambios de
configuracin, perder la conexin
con la interfaz web, ya que la
direccin IP habr cambiado.
Paso 9
Conecte el cortafuegos a su red.
Paso 10 Abra una sesin de gestin SSH en el

cortafuegos.
Primeros pasos
Seleccione Dispositivo > Administradores.

Seleccione la funcin admin.
3.
Introduzca la contrasea predeterminada actual y la nueva

contrasea.
4.
Haga clic en Confirmar. El dispositivo puede tardar hasta

90 segundos en guardar sus cambios.
1.
Desconecte el cortafuegos de su ordenador.
2.
Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de
que el puerto de conmutacin que conecta al cortafuegos
mediante un cable est configurado para negociacin
automtica.
Usando un software de emulacin de terminal, como PuTTY, inicie

una sesin SSH en el cortafuegos usando la nueva direccin IP que
le ha asignado.
Primeros pasos
Configuracin del acceso de red al cortafuegos (Continuacin)
Paso 11 Verifique el acceso a la red para los

servicios externos requeridos para la
gestin del cortafuegos, como el servidor
de actualizaciones de Palo Alto Networks,
de uno de estos modos:
Si no desea permitir que una red
externa acceda a la interfaz de gestin,
tendr que configurar un puerto de
datos para recuperar las actualizaciones
de servicio requeridas. Vaya a
Establecimiento de acceso a la red para
servicios externos.
Si planea permitir el acceso de la red
externa a la interfaz MGT, compruebe
que tiene conectividad y proceda a
Registro del cortafuegos y Activacin
de la licencia y suscripciones
Si ha conectado el puerto de gestin con un cable para tener acceso

desde una red externa, compruebe que tiene acceso al cortafuegos y
desde el mismo usando la utilidad ping de la CLI. Asegrese de que
tiene conexin a la puerta de enlace predeterminada, servidor DNS
y el servidor de actualizacin de Palo Alto Networks como se
muestra en el siguiente ejemplo:
admin@PA-200> ping host updates.paloaltonetworks.com
Haciendo ping a updates.paloaltonetworks.com (67.192.236.252) con
56(84) bytes de datos.
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms
Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.
Primeros pasos
Primeros pasos
Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el cortafuegos usa la interfaz de gestin para acceder a servicios remotos, como
servidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de una
red externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios
externos requeridos.
Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de cortafuegos. Si
desea ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.
Establecimiento de un puerto de datos para acceder a servicios externos
Paso 1
La interfaz que use necesitar una direccin IP esttica.

Decida el puerto que desea usar para
acceder a servicios externos y conctelo
al puerto del conmutador o al puerto del
enrutador.
Paso 2
Inicie sesin en la interfaz web.
Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.
Paso 3
(Opcional) El cortafuegos viene

preconfigurado con una interfaz de cable
virtual predeterminada entre los puertos
Ethernet 1/1 y Ethernet 1/2 (y sus
correspondientes zonas y polticas de
seguridad predeterminadas). Si no
pretende usar esta configuracin de cable
virtual, debe eliminar manualmente la
configuracin para evitar que interfiera
con otras configuraciones de interfaz
que defina.
Debe eliminar la configuracin en el siguiente orden:

1. Para eliminar la poltica de seguridad predeterminada, seleccione
Polticas > Seguridad, seleccione la regla y haga clic en
Eliminar.
Primeros pasos
2.
A continuacin, elimine el cable virtual predeterminado

seleccionando Red > Cables virtuales, seleccionando el cable
virtual y haciendo clic en Eliminar.
3.
Para eliminar las zonas fiables y no fiables predeterminadas,

seleccione Red > Zonas, seleccione cada zona y haga clic en
Eliminar.
4.
Por ltimo, elimine las configuraciones de interfaz

seleccionando Red > Interfaces y, a continuacin, seleccione
cada interfaz (ethernet1/1 y ethernet1/2) y haga clic en
Eliminar.
5.
Confirme los cambios.
Primeros pasos
Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)
Paso 4
Configure la interfaz.
1.
Seleccione Red > Interfaces y seleccione la interfaz que

corresponde al puerto en el que conect el cable en el paso 1.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu

depende de la topologa de su red, este ejemplo muestra los
pasos para Capa3.
3.
En la pestaa Configurar, ample el men desplegable Zona de

seguridad y seleccione Nueva zona.
4.
En el cuadro de dilogo Zona, defina un Nombre para una

nueva zona, por ejemplo L3-fiable, y haga clic en Aceptar.
5.
Seleccione la pestaa IPv4, seleccione el botn de opcin

Esttico, haga clic en Aadir en la seccin IP e introduzca la
direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24.
6.
Seleccione Avanzada > Otra informacin, ample el men

desplegable Perfil de gestin y seleccione Nuevo perfil de
gestin.
7.
Introduzca un Nombre para el perfil, como permitir_ping, y

seleccione a continuacin los servicios que desea permitir en la
interfaz. Estos servicios ofrecen acceso a la gestin del
dispositivo, as que seleccione solo los servicios que
correspondan a actividades de gestin que desee permitir en esta
interfaz. Por ejemplo, si desea utilizar la interfaz de gestin para
las tareas de configuracin del dispositivo a travs de la interfaz
web o CLI, no debera activar HTTP, HTTPS, SSH o Telnet
para poder evitar el acceso no autorizado a travs de esta
interfaz. Para permitir el acceso a los servicios externos,
probablemente solo tenga que activar Ping y despus hacer clic
en Aceptar.
8.
Para guardar la configuracin de la interfaz, haga clic en

Aceptar.
Primeros pasos
Primeros pasos
Paso 5
Dado que el cortafuegos usa la interfaz de 1.

gestin de manera predeterminada para
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el cortafuegos para enviar estas
solicitudes editando las rutas de servicios.
2.
Seleccione Dispositivo > Configuracin > Servicios >

Configuracin de ruta de servicios.
A fin de activar sus licencias y obtener el contenido y las

actualizaciones de software ms recientes, deber
cambiar la ruta de servicio para DNS, actualizaciones de
Palo Alto, actualizaciones de URL y WildFire.
Haga clic en el botn de opcin Personalizar y seleccione una
de estas opciones:
Para un servicio predefinido, seleccione IPv4 o IPv6 y haga
clic en el enlace al servicio para el que quiere modificar la
Interfaz de origen y seleccione la interfaz que acaba de
configurar.
Si se configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.
Para crear una ruta de servicio para un destino personalizado,
seleccione Destino y haga clic en Aadir. Introduzca un
nombre de destino y seleccione una interfaz de origen. Si se
configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.
Primeros pasos
3.
Haga clic en ACEPTAR para guardar esta configuracin.
4.
Repita los pasos del 2 al 3 indicados anteriormente para cada

ruta de servicio que quiera modificar.
5.
Primeros pasos
Paso 6
Paso 7
Configure una interfaz externa y una zona 1.

asociada y, a continuacin, cree las reglas
de polticas de seguridad NAT para
permitir que el cortafuegos enve
solicitudes de servicio desde la zona
interna a la externa.
Seleccione Red > Interfaces y, a continuacin, seleccione su

interfaz de orientacin externa. Seleccione Capa3 como el Tipo
de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6) y
cree la Zona de seguridad asociada (en la pestaa
Configuracin), tal como l3-nofiable. No necesita configurar
servicios de gestin en esta interfaz.
2.
Para configurar una regla de seguridad que permita el trfico

desde su red interna al servidor de actualizaciones de Palo Alto
Networks y los servidores DNS externos, seleccione Polticas >
Seguridad y haga clic en Aadir. Para realizar la configuracin
inicial, puede crear una regla simple que permita todo el trfico
de l3-fiable a l3-nofiable del siguiente modo:
3.
Si usa una direccin IP privada en la interfaz interna, necesitar

crear una regla NAT de origen para traducir la direccin a una
direccin enrutable pblicamente. Seleccione Polticas > NAT y,
a continuacin, haga clic en Aadir. Como mnimo deber
definir un nombre para la regla (pestaa General), especificar
una zona de origen y destino, l3-fiable a l3-nofiable en este caso
(pestaa Paquete original), y definir la configuracin de
traduccin de direccin de origen (pestaa Paquete traducido);
a continuacin debe hacer clic en Aceptar.
4.
Compile sus cambios.
Compruebe que tiene conectividad desde

el puerto de datos a los servicios externos,
incluida la puerta de enlace
predeterminada, el servidor DNS y el
servidor de actualizacin de Palo Alto
Networks.
Tras verificar que tiene la conectividad de
red necesaria, debe realizar el Registro del
cortafuegos y la Activacin de la licencia y
suscripciones.
10
Inicie la CLI y use la utilidad ping para comprobar que tiene

conectividad. Tenga en cuenta que los pings predeterminados se
envan desde la interfaz MGT, por lo que en este caso deber
especificar la interfaz de origen para las solicitudes de ping del
siguiente modo:
admin@PA-200> origen de ping 192.168.1.254 host
updates.paloaltonetworks.com
Hacer ping a updates.paloaltonetworks.com (67.192.236.252) desde
192.168.1.254 : 56(84) bytes de datos.
64 bytes desde 67.192.236.252: icmp_seq=1 ttl=242 tiempo=56.7 ms
^C
Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.
Primeros pasos
Primeros pasos

Paso 1
Inicie sesin en la interfaz web.
Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.
Paso 2
Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.
Paso 3
Vaya al sitio de asistencia de Palo Alto

Networks.
Paso 4
Si es el primer dispositivo de Palo Alto Networks que registra y an

Registre el dispositivo. El modo de
no tiene un inicio de sesin, haga clic en Registrar en el lado
registrarse depender de que tenga o no
un inicio de sesin en el sitio de asistencia
derecho de la pgina. Para registrarlo, debe aportar su nmero de
tcnica.
pedido de venta o ID de cliente, as como el nmero de serie de su
cortafuegos (que puede pegar desde el portapapeles) o el cdigo de
autorizacin recibido con su pedido. Tambin se le pedir que
establezca un nombre de usuario y una contrasea para acceder a
la comunidad de asistencia tcnica de Palo Alto Networks.
En una ventana o pestaa nueva del navegador, vaya a

https://support.paloaltonetworks.com.
Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y

haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
nmero de serie de su cortafuegos (que puede pegar desde el
portapapeles), su ciudad y su cdigo postal, y haga clic en
Registrar dispositivo.
Primeros pasos
11
Primeros pasos
Activacin de la licencia y suscripciones

Antes de que pueda empezar a usar su cortafuegos para proteger el trfico de su red, deber activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.
Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.
Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con mltiples sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales
si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma). Las
series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la licencia de prevencin de amenazas incluye asistencia bsica con WildFire, el servicio
de suscripcin a WildFire ofrece servicios mejorados para organizaciones que requieren cobertura inmediata
de las amenazas, habilitando actualizaciones de WildFire en fracciones de hora, reenvo de tipos de archivos
avanzados (APK, PDF, Microsoft Office y Java Applet), adems de la capacidad para cargar archivos usando
la API WildFire. Tambin se requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos
a un dispositivo WF-500 WildFire privado.
GlobalProtect: Ofrece soluciones de movilidad o capacidades VPN de a gran escala. De forma

predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar
licencias de puertas de enlace (suscripcin) para cada puerta de enlace.
Activacin de licencias
Paso 1
Encuentre los cdigos de activacin de

las licencias que ha adquirido.
Paso 2
Inicie la interfaz web y vaya a la pgina de Seleccione Dispositivo > Licencias.

licencias.
12
Al comprar las suscripciones debi recibir un mensaje de correo

electrnico del servicio de atencin al cliente de Palo Alto Networks
con los cdigos de activacin asociados a cada suscripcin. Si no
encuentra este mensaje, pngase en contacto con atencin al cliente
para recibir sus cdigos de activacin antes de continuar.
Primeros pasos
Primeros pasos
Activacin de licencias (Continuacin)
Paso 3
Active todas las licencias que ha

adquirido.
Una vez adquiridas sus licencias o suscripciones, actvelas siguiendo

uno de estos mtodos:
Recuperacin de claves de licencia desde el servidor de
licencias: Use esta opcin si ha activado su licencia en el portal de
asistencia tcnica.
Activacin de la funcin usando un cdigo de autorizacin: Use
esta opcin para habilitar las suscripciones adquiridas con un
cdigo de autorizacin para licencias que no han sido previamente
activadas en el portal de asistencia tcnica. Cuando se le indique,
introduzca el Cdigo de autorizacin y haga clic en Aceptar.
Carga manual de la clave de licencia: Use esta opcin si su
dispositivo no tiene conectividad con el sitio de asistencia tcnica
de Palo Alto Networks. En este caso, debe descargar un archivo
de clave de licencia del sitio de asistencia tcnica a travs de un
ordenador conectado a Internet y despus cargarlo en el
dispositivo.
Paso 4
Comprobar que la licencia se ha activado En la pgina Dispositivo > Licencias, compruebe que la licencia se
correctamente
haya activado correctamente. Por ejemplo, tras activar la licencia de
WildFire, debera ver que la licencia es vlida:
Primeros pasos
13
Primeros pasos
Gestin de la actualizacin de contenidos

Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una
infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar actualizaciones
de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en
la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De forma predeterminada, los
dispositivos utilizan el puerto de gestin para acceder a la infraestructura de CDN para realizar actualizaciones de
aplicaciones, de amenazas y de firma de antivirus, actualizaciones y bsquedas en BrightCloud y en base de datos
PAN-DB, as como acceso a la nube de WildFire de Palo Alto Networks. Para garantizar una proteccin constante
contra las amenazas ms recientes (incluidas aquellas que an no se han descubierto), debe asegurarse de mantener
actualizados sus dispositivos con las actualizaciones ms recientes de Palo Alto Networks.
Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:
Aunque puede descargar e instalar manualmente las actualizaciones de contenido en cualquier momento, se
recomienda Programar cada actualizacin. Las actualizaciones programadas se realizan de manera
automtica.
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requiere

suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas se
publican nuevas actualizaciones de aplicaciones.
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta

actualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugar
de la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar
los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener
una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones.
Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargar las actualizaciones
de contenido desde el portal de asistencia de Palo Alto Networks y cargarlas en su cortafuegos.
Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el acceso a estos
recursos externos puede restringirse empleando listas de control de acceso que permiten que el cortafuegos
acceda nicamente a un nombre de host o una direccin IP. En tales casos, para permitir el acceso a la CDN,
establezca la direccin del servidor de actualizaciones para usar el nombre de host
staticupdates.paloaltonetworks.com o la direccin IP 199.167.52.15.
14
Primeros pasos
Primeros pasos
Descarga de las bases de datos ms recientes
Paso 1
Verifique que el cortafuegos apunta a la

infraestructura de CDN.
Seleccione Dispositivo > Configuracin > Servicios.

Como prctica recomendada, establezca el Servidor de
actualizaciones para que acceda a
updates.paloaltonetworks.com. De esta forma el
cortafuegos podr recibir actualizaciones de contenidos desde el
servidor que est ms cercano en la infraestructura de CDN.
(Opcional) Si el cortafuegos ha restringido el acceso a Internet,
establezca la direccin del servidor de actualizaciones para usar
el nombre de host
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15.
Para obtener seguridad adicional, seleccione Verificar identidad del
servidor de actualizacin. El cortafuegos verificar que el servidor
desde el que se descarga el software o el paquete de contenidos cuenta
con un certificado SSL firmado por una autoridad fiable.
Paso 2
Inicie la interfaz web y vaya a la pgina

Actualizaciones dinmicas.
Seleccione Dispositivo > Actualizaciones dinmicas.
Paso 3
Compruebe las actualizaciones ms

recientes.
Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda

de la ventana) para comprobar las actualizaciones ms recientes.
El enlace de la columna Accin indica si una actualizacin est
disponible:
Descargar: Indica que hay disponible un nuevo archivo de
actualizacin. Haga clic en el enlace para iniciar la descarga
directamente en el cortafuegos. Tras descargarlo correctamente, el
enlace en la columna Accin cambia de Descargar a Instalar.
No puede descargar la base de datos de antivirus hasta que

haya instalado la base de datos de aplicaciones y amenazas.
Actualizar: Indica que hay una nueva versin de la base de datos de
BrightCloud disponible. Haga clic en el enlace para iniciar la
descarga e instalacin de la base de datos. La actualizacin de la base
de datos se inicia en segundo plano; al completarse aparece una
marca de verificacin en la columna Instalado actualmente. Tenga
en cuenta que si usa PAN-DB como base de datos de filtrado de
URL, no ver ningn enlace de actualizacin porque la base de
datos de PAN-DB se sincroniza automticamente con el servidor.
Para comprobar el estado de una accin, haga clic en

Tareas (en la esquina inferior derecha de la ventana).
Revertir: Indica que la versin de software correspondiente se ha
descargado anteriormente. Puede decidir revertir a la versin
instalada anteriormente de la actualizacin.
Primeros pasos
15
Primeros pasos
Descarga de las bases de datos ms recientes (Continuacin)
Paso 4
Instale las actualizaciones.

La instalacin puede tardar hasta
20 minutos en un dispositivo
PA-200, PA-500 o PA-2000, y
hasta dos minutos en los
cortafuegos de las series PA-3000,
PA-4000, PA-5000, PA-7050 o
VM-Series.
Paso 5
Programar cada actualizacin
Haga clic en el enlace Instalar de la columna Accin. Cuando se

complete la instalacin, aparecer una marca de verificacin en la
columna Instalado actualmente.
1.
Repita este paso en cada actualizacin que

desee programar.
Escalone las programaciones de
2.
actualizaciones, dado que el
cortafuegos no puede descargar
ms de una actualizacin a la vez.
Si ha programado la descarga de
varias actualizaciones al mismo
tiempo, solo la primera se realizar
correctamente.
3.
4.
Establezca la programacin de cada tipo de actualizacin

haciendo clic en el enlace Ninguna.
Especifique la frecuencia con que quiere que se produzcan las

actualizaciones seleccionando un valor del men desplegable
Periodicidad. Los valores disponibles varan en funcin del tipo
de contenido (las actualizaciones de WildFire estn disponibles
cada 15 minutos, cada 30 minutos o cada hora, mientras que
para otros tipos de contenidos pueden programarse
actualizaciones diarias o semanales).
Especifique la hora (o los minutos que pasan de una hora en el
caso de WildFire) y, si est disponible en funcin de la
Periodicidad seleccionada, el da de la semana para realizar la
actualizacin.
Especifique si quiere que el sistema use la opcin nicamente
descargar o, recomendado, Descargar e instalar la
actualizacin.
16
5.
En raras ocasiones puede haber errores en las actualizaciones de

contenido. Por este motivo, tal vez desee retrasar la instalacin
de nuevas actualizaciones hasta que lleven varias horas
publicadas. Puede especificar el tiempo de espera tras una
publicacin para realizar una actualizacin de contenido
introduciendo el nmero de horas de espera en el campo
Umbral (horas).
6.
Haga clic en Aceptar para guardar estos ajustes de

programacin.
7.
Haga clic en Confirmar para guardar estos ajustes en la

configuracin actual.
Primeros pasos
Primeros pasos
Instalacin de actualizaciones de software

Al instalar un nuevo cortafuegos, es buena idea actualizar a la versin de software ms reciente (o a la versin
actualizada recomendada por el distribuidor o el ingeniero de sistemas de Palo Alto Networks) para disfrutar de
los ltimos arreglos y mejoras de seguridad. Tenga en cuenta que antes de actualizar el software, debera
asegurarse de que tiene las actualizaciones de contenido ms recientes como se indica en la seccin anterior
(las notas de la versin para una actualizacin de software especificadas en la versin).
Actualizacin de PAN-OS
Paso 1
Inicie la interfaz web y vaya a la pgina

Software.
Seleccione Dispositivo > Software.
Paso 2
Compruebe las actualizaciones

de software.
Haga clic en Comprobar ahora para comprobar las actualizaciones

ms recientes. Si el valor de la columna Accin es Descargar, indica
que hay una actualizacin disponible.
Paso 3
Descargar la actualizacin.
Busque la versin que quiere y haga clic en Descargar. Cuando

se complete la descarga, el valor en la columna Accin cambia
a Instalar.
Si su cortafuegos no tiene acceso

a Internet desde el puerto de
gestin, puede descargar la
actualizacin de software desde el
portal de asistencia de Palo Alto
Networks. Despus podr
cargarla manualmente en su
cortafuegos.
Paso 4
Instale la actualizacin.
1.
Haga clic en Instalar.
2.
Reinicie el cortafuegos:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Dispositivo >

Configuracin > Operaciones y haga clic en Reiniciar
dispositivo en la seccin Operaciones de dispositivo de la
pantalla.
Primeros pasos
17
Primeros pasos

El trfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Fsicamente, el trfico
entra y sale del cortafuegos a travs de las interfaces. El cortafuegos determina el modo en que se acta en un
paquete basado en si el paquete coincide con una regla de poltica de seguridad. En el nivel ms bsico, cada regla de
poltica de seguridad debe identificar de dnde viene el trfico y a dnde va. En un cortafuegos de prxima
generacin Palo Alto Networks, las reglas de poltica de seguridad se aplican entre zonas. Una zona es un grupo
de interfaces (fsicas o virtuales) que proporciona una abstraccin de un rea de confianza para el cumplimiento
de una poltica simplificada. Por ejemplo, en el siguiente diagrama de topologa, hay tres zonas: fiable, no fiable
y DMZ. El trfico ahora puede circular libremente dentro de una zona, pero el trfico no podr circular entre
zonas hasta que defina una regla de poltica de seguridad que lo permita.
Puerta de enlace de seguridad

Zona: Fiable
Zona: No fiable
Zona: DMZ
Internet
Servidores: web, de correo electrnico,

DNS, de aplicacin
Los siguientes temas describen los componentes del permetro de seguridad y proporcionan pasos para
configurar las interfaces del cortafuegos, definiendo zonas y estableciendo una poltica de seguridad bsica que
permite el trfico entre su zona interna e Internet y a la DMZ. Creando inicialmente una base de reglas de
poltica de seguridad bsica como esta, podr analizar el trfico que circula por su red y usar esta informacin
para definir polticas ms granulares para habilitar aplicaciones de forma segura y evitando amenazas.
Implementaciones de interfaz bsica
Acerca de la poltica de seguridad
Planificacin de la implementacin
Configuracin de interfaces y zonas
Configuracin de polticas de seguridad bsicas
Si usa direcciones IP privadas en sus redes internas, tambin necesitar configurar su traduccin de direcciones
de red (NAT); consulte en Redes los conceptos NAT y las tareas de configuracin.
18
Primeros pasos
Primeros pasos
Implementaciones de interfaz bsica

Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de
implementacin.
Implementaciones de cable virtual
Implementaciones de capa 2
Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseo de redes con cortafuegos de Palo Alto Networks).

En una implementacin de cable virtual, el cortafuegos se instala de forma transparente en un segmento de red
uniendo dos puertos. Cuando utilice un cable virtual, podr instalar el cortafuegos en cualquier entorno de red
sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir
el trfico en funcin de los valores de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiples
subinterfaces y clasificar el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o una
combinacin de ambas.
De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 y
permite todo el trfico sin etiquetar. Seleccione esta implementacin para simplificar la instalacin y la
configuracin y/o evitar cambios de configuracin en los dispositivos de red que se encuentran alrededor.
Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se necesita conmutacin
o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la
configuracin antes de continuar con la configuracin de la interfaz para evitar que interfiera con otras
configuraciones de interfaz que defina. Para obtener instrucciones sobre cmo eliminar el Virtual Wire
predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3 en Establecimiento de un puerto
de datos para acceder a servicios externos.
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El firewall
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).
Primeros pasos
19
Primeros pasos
En una implementacin de capa 3, el cortafuegos enruta el trfico entre puertos. Se debe asignar una direccin
IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite
enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces
lgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura
multiempresa.
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales,
cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el cortafuegos en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)
How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)
20
Primeros pasos
Primeros pasos
Acerca de la poltica de seguridad

La Poltica de seguridad protege los activos de la red de amenazas y alteraciones, y ayuda a asignar los recursos
de red de manera ptima para mejorar la productividad y la eficiencia en los procesos comerciales. En el
cortafuegos de Palo Alto Networks, las reglas de polticas de seguridad determinan si una sesin se bloquear o
se permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP
de origen y destino, la aplicacin, el usuario y el servicio.
Para el trfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas
predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir
todo el trfico de intrazona (en la zona) y denegar el trfico interzona (entre zonas). Aunque estas reglas son
parte de la configuracin predefinida y son de solo lectura de forma predeterminada, puede cancelarlas y
cambiar un nmero limitado de ajustes, incluidas las etiquetas, accin (permitir o denegar) configuracin de log
y perfiles de seguridad.
Las reglas de polticas de seguridad se evalan de izquierda a derecha y de arriba abajo. Un paquete coincide con
la primera regla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no
se evalan. Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores
criterios de coincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en
el log de trfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla.
Por ejemplo, se pueden configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final
de una sesin.
Acerca de objetos de polticas
Acerca de los perfiles de seguridad
Acerca de objetos de polticas

Un objeto de poltica es un objeto nico o una unidad colectiva que agrupa identidades discretas, como direcciones
IP, URL, aplicaciones o usuarios. Con las Objetos de polticas que son una unidad colectiva, puede hacer
referencia al objeto en la poltica de seguridad en lugar de seleccionar manualmente varios objetos de uno en
uno. Por lo general, al crear un objeto de poltica, se agrupan objetos que requieran permisos similares en la
poltica. Por ejemplo, si su organizacin utiliza un conjunto de direcciones IP de servidor para autenticar
usuarios, podr agrupar el conjunto de direcciones IP de servidor como objeto de poltica de grupo de direcciones
y hacer referencia al grupo de direcciones en la poltica de seguridad. Al agrupar objetos, podr reducir
significativamente la carga administrativa al crear polticas.
Algunos ejemplos de objetos de poltica de aplicaciones y direcciones se muestran en las polticas de seguridad
que se incluyen en Creacin de reglas de seguridad. Si desea informacin sobre los otros objetos de polticas,
consulte Habilitacin de funciones de prevencin de amenazas bsicas.
Primeros pasos
21
Primeros pasos
Acerca de los perfiles de seguridad

Mientras que con las polticas de seguridad puede permitir o denegar el trfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploracin, que explora las aplicaciones permitidas en busca de
amenazas. Cuando el trfico coincide con la regla de permiso definida en la poltica de seguridad, los Perfiles de
seguridad que estn incluidos en la regla se aplican a la inspeccin de contenido adicional como comprobaciones
de antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de trfico. El
perfil de seguridad se aplica para explorar el trfico despus de que la poltica de seguridad
permita la aplicacin o categora.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
antispyware, proteccin de vulnerabilidades, filtrado de URL, bloqueo de archivos y filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en
busca de amenazas para obtener ms informacin.
22
Primeros pasos
Primeros pasos
Planificacin de la implementacin
Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitar
basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la informacin
de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu interfaces
pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones IP
obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin sobre
cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
Ilustracin: Ejemplo de topologa de capa 3
Zona DMZ
E1/12 10.1.1.1/24
Internet
Zona fiable
Zona no fiable
E1/4 192.168.1.4/24
E1/3 208.80.56.100/24
La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona
Tipos de implementacin
Interfaces
Ajustes de configuracin
No fiable
L3
Ethernet1/3
Direccin IP: 203.0.113.100/24

Enrutador virtual: predeterminado
Ruta predeterminada: 0.0.0.0/0
Siguiente salto: 203.0.113.1
Fiable
L3
Ethernet1/4
Direccin IP: 192.168.1.4/24

DMZ
L3
Ethernet1/13
Direccin IP: 10.1.1.1/24

Primeros pasos
23
Primeros pasos

Despus de planificar sus zonas y las correspondientes interfaces, podr configurarlas en el dispositivo. El modo
en que configure cada interfaz depender de la topologa de su red.
El siguiente procedimiento muestra cmo configurar una implementacin de capa 3 como se muestra en la
Ilustracin: Ejemplo de topologa de capa 3.
El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los
puertos Ethernet 1/1 y Ethernet 1/2 (y una poltica de seguridad y un enrutador virtual
predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe
eliminar manualmente la configuracin y confirmar el cambio antes de continuar para evitar que
interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cmo eliminar
el Virtual Wire predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3
en Establecimiento de un puerto de datos para acceder a servicios externos.
Paso 1
Configure una ruta predeterminada

hacia su enrutador de Internet.
1.
Seleccione Red > Enrutador virtual y, a continuacin, seleccione el

enlace predeterminado para abrir el cuadro de dilogo Enrutador
virtual.
2.
Seleccione la pestaa Rutas estticas y haga clic en Aadir.

Introduzca un Nombre para la ruta e introduzca la ruta en el campo
Destino (por ejemplo, 0.0.0.0/0).
3.
Seleccione el botn de opcin Direccin IP en el campo Siguiente

salto y, a continuacin, introduzca la direccin IP y la mscara de
red para su puerta de enlace de Internet (por ejemplo,
203.00.113.1).
4.
Paso 2
24
Haga clic en Aceptar dos veces para guardar la configuracin de

enrutador virtual.
Configure la interfaz externa

1.
(la interfaz que se conecta a Internet).
Seleccione Red > Interfaces y, a continuacin, seleccione la interfaz

que quiera configurar. En este ejemplo, estamos configurando
Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu depende de

la topologa de su red, este ejemplo muestra los pasos para Capa3.
3.
En la pestaa Configuracin, seleccione Nueva zona en el men

desplegable Zona de seguridad. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable y, a
continuacin, haga clic en Aceptar.
4.
En el men desplegable Enrutador virtual, seleccione

predeterminado.
5.
Para asignar una direccin IP a la interfaz, seleccione la pestaa

IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin
IP y la mscara de red para asignarlas a la interfaz, por ejemplo,
208.80.56.100/24.
6.
Para que pueda hacer ping en la interfaz, seleccione Avanzada >

Otra informacin, ample el men desplegable Perfil de gestin y
seleccione Nuevo perfil de gestin. Introduzca un Nombre para el
perfil, seleccione Ping y, a continuacin, haga clic en Aceptar.
7.
Para guardar la configuracin de la interfaz, haga clic en Aceptar.
Primeros pasos
Primeros pasos
Configuracin de interfaces y zonas (Continuacin)
Paso 3
Configure la interfaz que se conecta

a su red interna.
1.
En este ejemplo, la interfaz se

conecta a un segmento de red 2.
que utiliza direcciones IP
3.
privadas. Dado que las
direcciones IP privadas no se
pueden enrutar externamente,
tendr que configurar la NAT. 4.
Paso 4
Configure la interfaz que se conecta

a DMZ.
Seleccione Red > Interfaces y seleccione la interfaz que desee

configurar. En este ejemplo, estamos configurando Ethernet1/4
como la interfaz interna.
Seleccione Capa3 del men desplegable Tipo de interfaz.
seguridad y seleccione Nueva zona. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo Fiable y, a
Seleccione el mismo enrutador virtual que utiliz en el Paso 2; en
este ejemplo, el predeterminado.
5.

IPv4, haga clic en Aadir en la seccin IP e introduzca la direccin
IP y la mscara de red para asignarlas a la interfaz, por ejemplo,
192.168.1.4/24.
6.
Para permitirle que pueda hacer ping a la interfaz, seleccione el

perfil de gestin que ha creado en el Paso 2-6.
7.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa3 del men desplegable Tipo de interfaz. En este

ejemplo, estamos configurando Ethernet1/13 como la interfaz de
DMZ.
3.

seguridad y seleccione Nueva zona. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo DMZ y, a
4.
Seleccione el enrutador virtual que utiliz en el Paso 2; en este

ejemplo, el predeterminado.
5.
Para asignar una direccin IP a la interfaz, seleccione la pestaa IPv4,

haga clic en Aadir en la seccin IP e introduzca la direccin IP y la
mscara de red para asignarlas a la interfaz, por ejemplo, 10.1.1.1/24.
6.
Para permitirle que pueda hacer ping a la interfaz, seleccione el

perfil de gestin que ha creado en el Paso 2-6.
7.
Paso 5
Guarde la configuracin de la interfaz. Haga clic en Confirmar.
Paso 6
Conecte los cables del cortafuegos.
Conecte cables directos desde las interfaces que ha configurado al

conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estn

activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el

icono de la columna Estado de enlace es de color verde. Tambin puede
supervisar el estado de enlace desde el widget Interfaces en el Panel.
Primeros pasos
25
Primeros pasos
Configuracin de polticas de seguridad bsicas

Las polticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de poltica que puede
crear en el cortafuegos son: polticas de seguridad, NAT, calidad de servicio (QoS), reenvo basado en polticas
(PFB), descifrado, cancelacin de aplicaciones, portal cautivo, denegacin de servicio y proteccin de zonas.
Todas estas diferentes polticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones segn sea necesario para ayudar a
proteger su red. Esta seccin cubre las polticas de seguridad bsicas y los perfiles de seguridad predeterminados:
Creacin de reglas de seguridad
Comprobacin de sus polticas de seguridad
Supervisin del trfico de su red
Creacin de reglas de seguridad

Las polticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y
realizar un seguimiento del trfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implcita
para pasar trfico entre dos zonas diferentes es de denegacin, con lo que el trfico de dentro de una zona est
permitido. Para permitir el trfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el
flujo de trfico entre ellas.
Al configurar el marco bsico para proteger el permetro empresarial, es conveniente empezar con una poltica
de seguridad sencilla que permita el trfico entre las diferentes zonas sin ser demasiado restrictiva. Como se
muestra en la seccin siguiente, nuestro objetivo es reducir al mnimo la probabilidad de interrupcin de las
aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las
aplicaciones y las posibles amenazas para su red.
Al definir polticas, asegrese de que no crea una poltica que deniegue todo el trfico de
cualquier zona de origen a cualquier zona de destino, ya que esto interrumpir el trfico intrazona
que se permite de manera implcita. De manera predeterminada, se permite el trfico intrazona
porque las zonas de origen y de destino son las mismas y, por lo tanto, comparten el mismo nivel
de fiabilidad.
26
Primeros pasos
Primeros pasos
Definicin de reglas de seguridad bsicas
Paso 1
Permita el acceso a Internet a todos los

usuarios de la red empresarial.
Zona: De fiable a no fiable
De manera predeterminada, el
cortafuegos incluye una regla de
seguridad denominada regla1 que
permite todo el trfico desde la
zona fiable a la zona no fiable.
Puede eliminar la regla o
modificarla para reflejar su
convencin de denominacin de
zonas.
Para habilitar de manera segura aplicaciones necesarias para

operaciones comerciales cotidianas, crearemos una regla sencilla que
permitir el acceso a Internet. Para proporcionar una proteccin
bsica contra amenazas, adjuntaremos los perfiles de seguridad
predeterminados disponibles en el cortafuegos.
1. Seleccione Polticas > Seguridad y haga clic en Aadir.
2.
Asigne a la regla un nombre descriptivo en la pestaa General.
3.
En la pestaa Origen, establezca Zona de origen como Fiable.
4.
En la pestaa Destino, establezca Zona de destino como No fiable.

Para inspeccionar las reglas de poltica e identificar
visualmente las zonas de cada regla, cree una etiqueta con
el mismo nombre que la zona. Por ejemplo, para
codificar por colores la zona fiable y asignarle el color
verde, seleccione Objetos > Etiquetas, haga clic en
Aadir, indique Fiable en el campo Nombre y seleccione
el color verde en el campo Color.
5.
En la pestaa Categora de URL/servicio, seleccione

servicio-http y servicio-https.
6.
En la pestaa Acciones, realice estas tareas:

a. Establezca Configuracin de accin como Permitir.
b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, en Ajuste de perfil.
7.
Primeros pasos
Verifique que los logs estn habilitados al final de una sesin

bajo Opciones. nicamente se registrar el trfico que coincida
con una regla de seguridad.
27
Primeros pasos
Definicin de reglas de seguridad bsicas (Continuacin)
Paso 2
Permita que los usuarios de la red interna 1.

accedan a los servidores en DMZ.
2.
Zona: De fiable a DMZ
3.
4.
En la pestaa Destino, establezca Zona de destino como DMZ.
5.
En la pestaa Categora de URL/servicio, asegrese de

que Servicio est establecido como Valor predeterminado
de aplicacin.
6.
En la pestaa Acciones, establezca Configuracin de accin

como Permitir.
7.
Deje el resto de opciones con los valores predeterminados.
Si utiliza direcciones IP para

configurar el acceso a los
servidores en DMZ, asegrese
siempre de hacer referencia a las
direcciones IP originales del
paquete (es decir, las direcciones
anteriores a NAT) y la zona
posterior a NAT.
Paso 3
Restrinja el acceso desde Internet a los

servidores en DMZ nicamente a
direcciones IP de servidor especficas.
Por ejemplo, puede permitir que los
usuarios accedan a los servidores de
correo web nicamente desde fuera.
Zona: De no fiable a DMZ
Haga clic en Aadir en la seccin Polticas > Seguridad.
Para restringir el acceso entrante a DMZ desde Internet, configure

una regla que nicamente permita el acceso a direcciones IP de
servidores especficos y en los puertos predeterminados que utilicen
las aplicaciones.
1. Haga clic en Aadir para aadir una nueva regla y asignarle un
nombre descriptivo.
2.
En la pestaa Origen, establezca Zona de origen como

No fiable.
3.
En la pestaa Destino, establezca Zona de destino como DMZ.
4.
Establezca Direccin de destino como el objeto de direccin

Servidor web pblico que cre anteriormente. El objeto de
direccin de servidor web pblico hace referencia a la direccin
IP pblica (208.80.56.11/24) del servidor web accesible
en DMZ.
5.
Seleccione la aplicacin de correo web en la pestaa Aplicacin.

El Servicio est establecido como Valor
predeterminado de aplicacin de manera
predeterminada.
6.
28
Establezca Configuracin de accin como Permitir.
Primeros pasos
Primeros pasos
Paso 4
Permita el acceso desde DMZ a su red

interna (zona fiable). Para reducir al
mnimo los riesgos, nicamente debe
permitir el trfico entre servidores y
direcciones de destino especficos. Por
ejemplo, si tiene un servidor de aplicacin
en DMZ que necesita comunicarse con
un servidor de base de datos especfico de
su zona fiable, cree una regla para permitir
el trfico entre un origen y un destino
especficos.
1.
Haga clic en Aadir para aadir una nueva regla y asignarle un

nombre descriptivo.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como Fiable.
4.
Cree un objeto de direccin que especifique los servidores de su

zona fiable a los que se puede acceder desde DMZ.
5.
En la pestaa Destino de la regla de poltica de seguridad,

establezca Direccin de destino como el objeto Direccin que
cre anteriormente.
6.
Zona: De DMZ a fiable

antivirus, antispyware y contra vulnerabilidades bajo Ajuste
de perfil.
c. En la seccin Otros ajustes, seleccione la opcin
Deshabilitar inspeccin de respuesta de servidor. Este
ajuste deshabilita el anlisis antivirus y antispyware en las

respuestas del lado del servidor, con lo que reduce la carga del
cortafuegos.
Primeros pasos
29
Primeros pasos
Paso 5
Habilite los servidores de DMZ para

obtener actualizaciones y correcciones
urgentes de Internet. Por ejemplo,
digamos que desea permitir el servicio
Microsoft Update.
1.
Aada una nueva regla y asgnele una etiqueta descriptiva.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como No fiable.
4.
Cree un grupo de aplicaciones para especificar las aplicaciones

que desee permitir. En este ejemplo, permitimos actualizaciones
de Microsoft (ms-update) y dns.
Zona: De DMZ a no fiable
El Servicio est establecido como Valor

predeterminado de aplicacin de manera
predeterminada. Esto har que el cortafuegos permita
las aplicaciones nicamente cuando utilicen los puertos
estndar asociados a estas aplicaciones.
Paso 6
30
Guarde sus polticas en la configuracin

que se est ejecutando en el dispositivo.
5.
Establezca Configuracin de accin como Permitir.
6.
Adjunte los perfiles predeterminados para la proteccin

antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.
Haga clic en Confirmar.
Primeros pasos
Primeros pasos
Comprobacin de sus polticas de seguridad

Para verificar que ha configurado sus polticas bsicas de manera eficaz, compruebe si sus polticas de seguridad
se estn evaluando y determine qu regla de seguridad se aplica a un flujo de trfico.
Verificacin de coincidencia de poltica con un flujo
Para verificar la regla de poltica que coincide con

un flujo, utilice el siguiente comando de la CLI:
test security-policy-match source
<direccin_IP> destination <direccin_IP>
destination port <nmero_de_puerto>
protocol <nmero_de_protocolo>
El resultado muestra la regla que coincide mejor

con la direccin IP de origen y destino especificada
en el comando de la CLI.
Por ejemplo, para verificar la regla de poltica que se aplicar a

un servidor en DMZ con la direccin IP 208.90.56.11 cuando
accede al servidor de actualizacin de Microsoft, deber
probar con el comando siguiente:
test security-policy-match source 208.80.56.11
destination 176.9.45.70 destination-port 80
protocol 6
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
Supervisin del trfico de su red

Ahora que tiene establecida una poltica de seguridad bsica, podr revisar las estadsticas y los datos en el
Centro de comando de aplicacin (ACC), logs de trfico y logs de amenazas para observar tendencias en su red
y as identificar dnde necesita crear polticas ms especficas.
A diferencia de los cortafuegos tradicionales, que usan un puerto o un protocolo para identificar aplicaciones,
los cortafuegos de Palo Alto Networks usan la firma de aplicaciones (la tecnologa App-ID) para supervisar
aplicaciones. La firma de aplicaciones se basa en propiedades de aplicaciones exclusivas y caractersticas de
transacciones relacionadas junto con el puerto o protocolo. Por lo tanto, aunque el trfico utilice el
puerto/protocolo correcto, el cortafuegos puede denegar el acceso al contenido porque la firma de aplicacin
no coincide. Esta funcin le permite habilitar aplicaciones de manera segura permitiendo partes de la aplicacin
al mismo tiempo que bloquea o controla funciones dentro de la misma aplicacin. Por ejemplo, si permite la
aplicacin de exploracin web, un usuario podr acceder a contenido de Internet. As, si un usuario entra en
Facebook y luego juega al Scrabble en Facebook, el cortafuegos identificar los cambios de aplicacin y
reconocer Facebook como una aplicacin y Scrabble como una aplicacin de Facebook. Por lo tanto, si crea una regla
especfica que bloquee las aplicaciones de Facebook, se denegar el acceso a Scrabble para el usuario aunque
todava podr acceder a Facebook.
Primeros pasos
31
Primeros pasos
Supervisin del trfico de red
Uso del centro de comando de aplicacin.
En el ACC, revise las aplicaciones ms utilizadas y las aplicaciones de

alto riesgo en su red. El ACC resume grficamente la informacin de
logs para resaltar las aplicaciones que cruzan la red, quin las est
utilizando (con el ID de usuario habilitado) y el posible impacto en
la seguridad del contenido para ayudarle a identificar qu sucede en
la red en tiempo real. A continuacin, podr utilizar esta informacin
para crear polticas de seguridad adecuadas que bloqueen las
aplicaciones no deseadas y que permitan y habiliten aplicaciones de
manera segura.
Determine qu actualizaciones/modificaciones Por ejemplo:

son necesarias para sus reglas de seguridad de red Evale si desea permitir contenido basndose en la programacin,
e implemente los cambios.
los usuarios o los grupos.
Permita o controle determinadas aplicaciones o funciones dentro
de una aplicacin.
Descifre e inspeccione contenido.
Permita con exploracin en busca de amenazas y explotaciones.
Para obtener informacin sobre cmo ajustar sus polticas de
seguridad y para adjuntar perfiles de seguridad personalizados,
consulte Habilitacin de funciones de prevencin de amenazas
bsicas.
Visualizacin de los archivos log.
Especficamente, vea los logs de trfico y amenazas (Supervisar >

Logs).
Los logs de trfico dependen del modo en que sus polticas

de seguridad estn definidas y configuradas para registrar el
trfico. La pestaa ACC, sin embargo, registra aplicaciones y
estadsticas independientemente de la configuracin de la
poltica ; muestra todo el trfico permitido en su red, por lo
que incluye el trfico de intrazona que est permitido por la
poltica y el mismo trfico de zona que est permitido
implcitamente.
Interpretacin de los logs de filtrado de URL
32
Revise los logs de filtrado de URL para examinar alertas, URL y

categoras denegadas Los logs de URL se generan cuando un trfico
coincide con una regla de seguridad que tenga un perfil de filtrado
de URL adjunto con una accin de alertar, continuar, sobrescribir
o bloquear.
Primeros pasos
Primeros pasos
Habilitacin de funciones de prevencin de amenazas

bsicas
El cortafuegos de prxima generacin de Palo Alto Networks tiene funciones exclusivas de prevencin de
amenazas que le permiten proteger su red de ataques frente a tcnicas de evasin, tunelizacin o elusin. Las
funciones de prevencin de amenazas del cortafuegos incluyen el servicio WildFire, los perfiles de seguridad
que admiten las funciones Antivirus, Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL,
Bloqueo de archivos y Filtrado de datos y las funciones Denegacin de servicio (DoS) y Proteccin de zona.
Antes de que pueda aplicar funciones de prevencin de amenazas, primero debe configurar
zonas (para identificar una o ms interfaces de origen o destino) y polticas de seguridad. Para
configurar interfaces, zonas y las polticas necesarias para aplicar funciones de prevencin de
amenazas, consulte Configuracin de interfaces y zonas y Configuracin de polticas de
seguridad bsicas.
Para empezar a proteger su red ante amenazas, comience por aqu:
Habilitacin de WildFire
Exploracin del trfico en busca de amenazas
Control del acceso a contenido web
Primeros pasos
33
Primeros pasos
El servicio WildFire como parte del producto base. El servicio WildFire permite que el cortafuegos reenve
archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier actividad
malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan automticamente
firmas de software malintencionado que estarn disponibles en las descargas diarias del antivirus en un plazo de
24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones de firmas de antivirus
que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvo de tipos de archivos avanzados (APK, Flash, PDF, Microsoft Office y Java Applet)
Capacidad para cargar archivos usando la API de WildFire
Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado

Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable
Executable (PE) a la nube de WildFire para su anlisis es gratuita, para reenviar archivos a un dispositivo
WildFire privado se requiere una suscripcin a WildFire.
Paso 1
Paso 2
Confirme que su dispositivo est

registrado y que tiene una cuenta vlida
de asistencia tcnica, as como las
suscripciones que requiera.
Establezca las opciones de reenvo de
WildFire.
1.
Vaya al sitio de asistencia tcnica de Palo Alto Networks, inicie

sesin y seleccione Mis dispositivos.
2.
Verifique que el cortafuegos se incluye en la lista. Si no aparece,

consulte Registro del cortafuegos.
3.
(Opcional) Activacin de la licencia y suscripciones.
1.
Seleccione Dispositivo > Configuracin > WildFire y edite la

2.
(Opcional) Especifique el Servidor de WildFire al que reenviar

archivos. De forma predeterminada, el cortafuegos reenviar los
archivos a la nube pblica de WildFire alojada en EE. UU. Para
reenviar archivos a una nube de WildFire diferente, introduzca
un nuevo valor de la manera siguiente:
Para reenviar a una nube privada de WildFire, introduzca la
direccin IP o el nombre de dominio completo (FQDN) de
su dispositivo WF-500 WildFire.
Para reenviar archivos a la nube pblica de WildFire que se
ejecuta en Japn, introduzca
wildfire.paloaltonetworks.jp.
Si no tiene una suscripcin a

WildFire, nicamente podr
reenviar archivos ejecutables.
34
3.
(Opcional) Si desea cambiar el tamao de archivo mximo que

el cortafuegos puede reenviar para un tipo de archivo especfico,
modifique el valor en el campo correspondiente.
4.
Haga clic en ACEPTAR para guardar los cambios.
Primeros pasos
Primeros pasos
Habilitacin de WildFire (Continuacin)
Paso 3
Paso 4
Configure un perfil de bloqueo de

archivos para reenviar archivos a
WildFire.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de

archivos y haga clic en Aadir.
2.
Introduzca un nombre y, opcionalmente, una descripcin para

el perfil.
3.
Haga clic en Aadir para crear una regla de reenvo e introduzca

un nombre.
4.
En la columna Accin, seleccione Reenviar.
5.
Deje los otros campos establecidos como Cualquiera para

reenviar cualquier tipo de archivo compatible desde cualquier
aplicacin.
6.
Haga clic en Aceptar para guardar el perfil.
Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder a Internet.
Seleccione Polticas > Seguridad y bien seleccione una poltica

existente o cree una nueva poltica segn se describe en
Creacin de reglas de seguridad.
2.
Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.
3.
En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que
cre para el reenvo de WildFire. (Si no ve ningn men
desplegable en el que seleccionar un perfil, seleccione Perfiles
en el men desplegable Tipo de perfil.
Paso 5
Guarde la configuracin.
Paso 6
Verifique que el cortafuegos est

reenviando archivos a WildFire.
1.
Seleccione Supervisar > Logs > Filtrado de datos.
2.
Compruebe en la columna Accin las siguientes acciones:

Reenviar: Indica que el perfil de bloqueo de archivos
adjuntado a la poltica de seguridad reenvi el archivo de
forma correcta.
Wildfire-upload-success: Indica que el archivo se ha
enviado a WildFire. Esto significa que el archivo no est
firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
Wildfire-upload-skip: Indica que el archivo se identific
como apto para enviarse a WildFire por un perfil de bloqueo
de archivos o una poltica de seguridad, pero que no fue
necesario que WildFire lo analizase porque ya se haba
analizado previamente. En este caso, la accin mostrar
reenviar aparecer en el registro de filtrado de datos porque
era una accin de reenvo vlida, pero que no se envi y
analiz en WildFire porque el archivo ya se envi a la nube de
WildFire desde otra sesin, posiblemente desde otro firewall.
3.
Primeros pasos
Consulte los registros de WildFire seleccionando Supervisar >

Logs > Envos de WildFire. Si aparecen nuevos logs de
WildFire, se debe a que el cortafuegos est reenviando
correctamente los archivos a WildFire y a que WildFire est
devolviendo los resultados del anlisis de archivos.
35
Primeros pasos
Exploracin del trfico en busca de amenazas

Perfiles de seguridad ofrece proteccin de amenazas en polticas de seguridad. Por ejemplo, puede aplicar un
perfil de antivirus a una poltica de seguridad y todo el trfico que coincida con las polticas de seguridad se
analizar para buscar virus.
Las siguientes secciones indican los pasos necesarios para establecer una configuracin de prevencin de
amenazas bsica:
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades
Configuracin de bloqueo de archivos

Todos los cortafuegos de prxima generacin de Palo Alto Networks incluyen perfiles predefinidos de antivirus,
antispyware y proteccin de vulnerabilidades que puede incluir en las polticas de seguridad. Incluye un perfil de
antivirus predefinido, predeterminado, que usa la accin predeterminada para cada protocolo (bloquear trfico
HTTP, FTP y SMB y alerta de trfico SMTP, IMAP y POP3). Hay dos perfiles predefinidos de antispyware y
proteccin de zonas:
predeterminado:
Aplica la accin predeterminada a todo el spyware y eventos de proteccin de

vulnerabilidades de gravedad crtica, alta y media de cliente y servidor. No detecta los niveles bajo e
informativo.
estricto:
Aplica la respuesta de bloqueo a todo el spyware y eventos de proteccin de vulnerabilidades de

gravedad crtica, alta y media de cliente y servidor y usa la accin predeterminada para los eventos bajos e
informativos.
Para garantizar que el trfico que entra en su red est libre de amenazas, incluya los perfiles predefinidos en sus
polticas bsicas de acceso web. Al supervisar el trfico en su red y ampliar su base de reglas de poltica, puede
disear perfiles ms granulares para hacer frente a sus necesidades de seguridad especficas.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de

prevencin de amenazas.
La licencia de prevencin de amenazas rene en una licencia las

funciones de antivirus, antispyware y proteccin contra
vulnerabilidades.
Seleccione Dispositivo > Licencias para comprobar que la licencia
de prevencin de amenazas est instalada y es vlida (compruebe
la fecha de vencimiento).
Paso 2
36
Descargue las firmas de amenazas de

antivirus ms recientes.
1.
Seleccione Dispositivo > Actualizaciones dinmicas y haga clic

en Comprobar ahora en la parte inferior de la pgina para
recuperar las firmas ms recientes.
2.
En la columna Acciones, haga clic en Descargar para instalar

las firmas ms recientes de antivirus y de aplicaciones y
amenazas.
Primeros pasos
Primeros pasos
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades (Continuacin)
Paso 3
Programe actualizaciones de firmas.
1.
Realice una descarga e

instalacin diariamente para
recibir actualizaciones de antivirus
2.
y semanalmente para recibir
actualizaciones de aplicaciones y
amenazas.
Desde Dispositivo > Actualizaciones dinmicas, haga clic en el

texto que hay a la derecha de Programacin para recuperar
automticamente las actualizaciones de firmas de Antivirus y
Aplicaciones y amenazas.
Especifique la frecuencia y sincronizacin de las actualizaciones
y si la actualizacin se descargar e instalar o nicamente se
descargar. Si selecciona nicamente descargar, tendr que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Accin para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar
una compilacin.
3.
(Opcional) Tambin puede introducir un nmero de horas en

el campo Umbral para indicar el tiempo mnimo que debe
tener una firma antes de realizar la descarga. Por ejemplo,
si introduce 10, la firma debe tener al menos 10 horas de
antigedad antes de poder descargarla, independientemente
de la programacin.
4.
En una configuracin de HA, tambin puede hacer clic en la

opcin Sincronizar en el peer para sincronizar la actualizacin
de contenido con el peer de HA tras la descarga/instalacin.
Esto no har que se apliquen los ajustes de programacin al
dispositivo del peer, sino que tendr que configurar la
programacin en cada dispositivo.
Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Primeros pasos
37
Primeros pasos
Paso 4
Aada los perfiles de seguridad a una

poltica de seguridad.
1.
Incluya un duplicado o un perfil

de seguridad bsico a sus polticas 2.
de seguridad bsicas. De ese
modo, si quiere personalizar el
perfil puede hacer sin eliminar los
perfiles de solo lectura
predefinidos estricto o
predeterminado e incluir un
perfil personalizado.
Paso 5
38
Seleccione Polticas > Seguridad, seleccione la poltica deseada

para modificarla y, a continuacin, haga clic en la pestaa
Acciones.
En Ajuste de perfil, haga clic en el men desplegable junto a
cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos el valor predeterminado de Antivirus,
Proteccin contra vulnerabilidades y Antispyware.
Si no ve mens desplegables para la seleccin de perfiles,
seleccione Perfiles del men desplegable Perfil Tipo.
Primeros pasos
Primeros pasos

Los Perfiles de bloqueo de archivo le permiten identificar tipos de archivos especficos que quiera bloquear o
supervisar. El siguiente flujo de trabajo muestra cmo configurar un perfil de bloqueo de archivos bsico que
impide que los usuarios descarguen archivos ejecutables de Internet.
Paso 1
Paso 2
Cree el perfil de bloqueo de archivos.
Configure las opciones de bloqueo de

archivos.
1.

2.
Introduzca un nombre para el perfil de bloqueo de archivos, por

ejemplo, Bloquear_EXE.
3.
Opcionalmente, introduzca una descripcin, como

Bloquear la descarga de archivos exe desde
sitios web por parte de usuarios.
1.
Haga clic en Aadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como BloquearEXE.
3.
Defina las aplicaciones a las que se aplicar el bloqueo de

archivos, o bien djelo definido en Cualquiera.
4.
Establezca los tipos de archivos que se bloquearn. Por

ejemplo, para bloquear la descarga de archivos ejecutables,
debera seleccionar exe.
5.
Especifique la direccin en la que se bloquearn los archivos:

descarga, carga o ambos.
6.
Establezca la accin como una de las siguientes:

Continuar: (solo trfico web) Los archivos que coincidan con
los criterios seleccionados activarn una pgina de respuesta
que requiere que los usuarios hagan clic en Continuar para
continuar con la descarga/carga. Debe habilitar las pginas
de respuesta en las interfaces asociadas si quiere usar esta
opcin (Paso 4).
Las acciones reenviar y

continuar y reenviar solo
reenvan archivos a WildFire.
Bloquear: Los archivos que coincidan con los criterios

seleccionados tendrn su descarga/carga bloqueada.
Alertar: Los archivos que coincidan con los criterios
seleccionados estarn permitidos, pero generarn una
entrada de log en el log de filtrado de datos.
7.
Primeros pasos
39
Primeros pasos
Configuracin de bloqueo de archivos (Continuacin)
Paso 3
Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder al contenido.

Creacin de reglas de seguridad.
2.
Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.
3.
En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que cre.
Si no ve mens desplegables para la seleccin de perfiles,
seleccione Perfiles del men desplegable Perfil Tipo.
Paso 4
Paso 5
Habilitar las pginas de respuesta en el

perfil de gestin para cada interfaz en la
que incluye el perfil de bloqueo de
archivos con una accin continuar.
Probar la configuracin de bloqueo de

archivos
1.
Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.
2.
Seleccione Pginas de respuesta, as como cualquier otro

servicio de gestin necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.
5.
En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuracin de la

interfaz.
Acceda al PC cliente en la zona de confianza del cortafuegos e

intente descargar un archivo .exe de un sitio web de la zona no fiable.
Asegrese de que el archivo est bloqueado como se espera en
funcin de la accin definida en el perfil de bloqueo de archivos:
Si ha seleccionado la accin alerta, compruebe el log de filtrado
de datos para asegurarse de que ve una entrada de log para la
solicitud.
Si ha seleccionado la accin bloquear, debera mostrarse la pgina
de respuesta Pgina de bloque de bloqueo de archivo.
Si ha seleccionado la accin continuar, debera mostrarse la
pgina de respuesta Pgina de opcin continua de bloqueo de
archivo. Haga clic en Continuar para descargar el archivo. A
continuacin se muestra la Pgina de opcin continua de bloqueo
de archivo.
40
Primeros pasos
Primeros pasos
Control del acceso a contenido web

Filtrado de URL proporciona visibilidad y control sobre el trfico web de su red. Con el filtrado de URL
habilitado, el cortafuegos puede categorizar el trfico web en una o ms categoras (de aproximadamente 60). A
continuacin, puede crear polticas que especifiquen si se permite, bloquea o crea un log (alerta) para el trfico
basndose en la categora a la que pertenece. El siguiente flujo de trabajo muestra cmo habilitar PAN-DB para
el filtrado de URL, crear perfiles de seguridad y adjuntarlos a polticas de seguridad para aplicar una poltica de
filtrado de URL bsica.
Configuracin de filtrado de URL
Paso 1
Paso 2
Confirme la informacin de la licencia

para el filtrado de URL.
Descargue la base de datos de envos y

active la licencia.
1.
Obtenga e instale una licencia de filtrado de URL. Consulte

Activacin de la licencia y suscripciones para obtener
informacin detallada.
2.
Seleccione Dispositivo > Licencias y compruebe que la licencia

de filtrado de URL es vlida.
1.
Para descargar la base de datos de envos, haga clic en

Descargar junto a Descargar estado en la seccin Filtrado de
URL de PAN-DB de la pgina Licencias.
Paso 3
2.
Seleccione una regin (Norteamrica, Europa, APAC, Japn) y,

a continuacin, haga clic en Aceptar para iniciar la descarga.
3.
Cuando finalice la descarga, haga clic en Activar.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
Dado que el perfil de filtrado de 2.

URL predeterminado bloquea el
contenido de riesgo y propenso a 3.
las amenazas, duplique este perfil
cuando cree un nuevo perfil para
conservar la configuracin
predeterminada.
Seleccione el perfil predeterminado y, a continuacin, haga clic

en Duplicar. El nuevo perfil se denominar predeterminado-1.
Cree un perfil de filtrado de URL.
Primeros pasos
Seleccione el nuevo perfil y cmbiele el nombre.
41
Primeros pasos
Configuracin de filtrado de URL (Continuacin)
Paso 4
Defina cmo controlar el acceso al

contenido web.
1.
Si no est seguro de qu trfico desea

controlar, considere configurar las
categoras (excepto las bloqueadas de
forma predeterminada) en Alertar. A
continuacin puede utilizar las
herramientas de visibilidad en el
cortafuegos, como el Centro de comando
de aplicacin (ACC) y Appscope, para
determinar qu categoras web restringir a
grupos especficos o bloquear por
completo. A continuacin, puede volver y
modificar el perfil para bloquear y
permitir categoras del modo deseado.
En cada categora para la que quiera visibilidad o que quiera

controlar, seleccione un valor en la columna Accin de la
siguiente forma:
Si no le preocupa el trfico o una categora concreta (es decir,
no desea bloquear ni registrar), seleccione Permitir.
Para tener visibilidad del trfico de los sitios de una categora,
seleccione Alerta.
Para mostrar una pgina de respuesta a los usuarios que
intentan acceder a una categora particular para alertarles de
que el contenido al que estn accediendo puede no funcionar
correctamente, seleccione Continuar.
Para evitar el acceso al trfico que coincide con la poltica
asociada, seleccione bloquear (esta accin tambin genera
una entrada de log).
Tambin puede definir sitios web

especficos que deben permitirse siempre
o bloquearse siempre
independientemente de la categora y
habilitar la opcin de bsqueda segura
para filtrar los resultados de bsqueda al
definir el perfil de Filtrado de URL.
Paso 5
Adjunte el perfil de filtro de URL a una

2.
Haga clic en Aceptar para guardar el perfil de filtro de URL.
1.
Seleccione Polticas > Seguridad.
2.
Seleccione la poltica deseada para modificarla y despus haga

clic en la pestaa Acciones.
3.
Si es la primera vez que define un perfil de seguridad, seleccione

Perfiles en el men desplegable Tipo de perfil.
42
4.
En la lista de configuracin de perfiles, seleccione el perfil que

acaba de crear en el men desplegable Filtrado de URL. (Si no
ve mens desplegables para seleccionar perfiles, seleccione
Perfiles en el men desplegable Tipo de perfil).
5.
6.
Compile la configuracin.
Primeros pasos
Primeros pasos
Configuracin de filtrado de URL (Continuacin)
Paso 6
Habilite pginas de respuesta en el perfil 1.

de gestin en cada interfaz en la que filtre
trfico web.

2.
Seleccione Pginas de respuesta, as como cualquier otro

servicio de gestin necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestin de interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.
5.
En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuracin de la interfaz.
Paso 7
Paso 8
Probar la configuracin de filtrado

de URL
Acceda al PC cliente en la zona de confianza del cortafuegos e

intente acceder a un sitio de la categora de bloqueados. Asegrese de
que el filtrado de URL se aplica basndose en la accin definida en el
perfil de filtrado de URL:
Si ha seleccionado alerta como la accin, compruebe el log de
filtrado de datos para asegurarse de que ve una entrada de log para
la solicitud.
Si ha seleccionado la accin continuar, debera mostrarse la
pgina de respuesta Pgina de continuacin y cancelacin de
filtrado de URL. Contine al sitio.
Si ha seleccionado la accin bloquear, debera mostrarse la pgina
de respuesta Pgina de bloque de coincidencia de categora y filtro
de URL.
Cmo obtener ms informacin

Si desea informacin ms detallada sobre cmo proteger su empresa ante amenazas, consulte Prevencin de
amenazas. Si desea informacin detallada sobre cmo explorar el trfico cifrado (SSH o SSL) en busca de
amenazas, consulte Descifrado.
Si desea ms informacin sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto
Networks, visite los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
Primeros pasos
43
Prcticas recomendadas para completar la implementacin del cortafuegos
Primeros pasos
Prcticas recomendadas para completar la implementacin

del cortafuegos
Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad bsicas, puede
empezar a configurar funciones ms avanzadas. Estos son algunos aspectos que debera considerar a
continuacin:
Obtenga informacin sobre las diferentes Interfaces de gestin que estn a su disposicin y cmo acceder
a ellas y utilizarlas.
Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuracin en la que dos
cortafuegos se colocan en un grupo y su configuracin se sincroniza para prevenir el fallo de un nico
punto en su red. Una conexin de latido entre los peers del cortafuegos garantiza una conmutacin por
error sin problemas en el caso de que falle un peer. La configuracin de los cortafuegos en un clster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
Configuracin de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestin en el cortafuegos. La prctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.
Gestin de los administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks
viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (tambin conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administracin o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuracin (o modificacin) no autorizada y registrar en logs las acciones de cada uno de los
administradores.
Habilite la identificacin de usuarios (User-ID): User-ID es una funcin de cortafuegos de prxima

generacin de Palo Alto Networks que le permite crear polticas y realizar informes basndose en usuarios
y grupos en lugar de direcciones IP individuales.
Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el trfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como trfico cifrado o de tnel.
Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas: Habilite esta
funcin opcional para habilitar que el cortafuegos acte como un sensor DNS pasivo seleccione enviar
informacin DNS escogida a Palo Alto Networks para su anlisis a fin de mejorar la inteligencia de
amenazas y las funciones de prevencin de amenazas.
Siga las Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7.
44
Primeros pasos
Gestin de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks a travs
de la interfaz web, la CLI y las interfaces de gestin de la API. El acceso administrativo basado en funciones a
las interfaces de gestin puede personalizarse para delegar tareas o permisos especficos a determinados
administradores. Consulte los siguientes temas para obtener informacin sobre opciones de gestin de
dispositivos, incluido cmo empezar a utilizar las interfaces de gestin y cmo personalizar las funciones de
administrador:
Interfaces de gestin
Gestin de los administradores de cortafuegos
Referencia: acceso de administrador a la interfaz web
Referencia: Nmeros de puerto usados por los dispositivos de Palo Alto Networks
Restablecimiento del cortafuegos a los ajustes predeterminados de fbrica
45
Los cortafuegos PAN-OS y Panorama ofrecen tres interfaces de usuario: una interfaz web, una interfaz de lnea
de comando (CLI) y una API de gestin basada en XML. Consulte los siguientes temas para saber cmo acceder
a cada una de las interfaces de gestin de dispositivos y cmo empezar a utilizarlas:
Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz grfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.
Uso de la interfaz de lnea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarqua de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rpidos y ofrece eficacia administrativa.
Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.
46
Uso de la interfaz web

Los siguientes temas describen cmo empezar a usar la interfaz web del cortafuegos. Si desea informacin
detallada sobre las pestaas y los campos que estn disponibles en la interfaz web, consulte Web Interface
Reference Guide (en ingls).
Inicio de la interfaz web
Navegacin en la interfaz web
Compilacin de cambios
Uso de pginas de configuracin
Campos obligatorios
Bloqueo de transacciones
Inicio de la interfaz web

Los siguientes exploradores web son compatibles para acceder a la interfaz web de cortafuegos de PAN-OS y
Panorama:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Abra un explorador de Internet e introduzca la direccin IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesin en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contrasea.
Para ver informacin sobre cmo utilizar una pgina especfica y una explicacin de los campos y opciones de
la pgina, haga clic en el icono Ayuda
del rea superior derecha de la pgina para abrir el sistema de ayuda
en lnea. Adems de mostrar ayuda contextual de una pgina, al hacer clic en el icono Ayuda se muestra un panel
de navegacin de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en l.
Navegacin en la interfaz web

Se aplican las siguientes convenciones cuando utilice la interfaz web.
Para mostrar los elementos del men para una categora de funciones general, haga clic en la pestaa, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.
Haga clic en un elemento en el men lateral para mostrar un panel.
47
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda de un elemento. Para
ocultar elementos del men secundario, haga clic en el icono
a la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en Eliminar. En la
mayora de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminacin
haciendo clic en Cancelar.
En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma informacin que el elemento seleccionado.
Para modificar un elemento, haga clic en su enlace subrayado.
Para ver la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la pgina. La
ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Use el men desplegable Mostrar para filtrar la lista de tareas.
48
El lenguaje de la interfaz web se controla mediante el lenguaje actual del ordenador que gestiona el
dispositivo si no se ha definido una preferencia de lenguaje especfico. Por ejemplo, si el equipo que utiliza
para gestionar el cortafuegos tiene como idioma establecido el espaol, cuando inicia sesin en el
cortafuegos, la interfaz web estar en espaol.
Para especificar el lenguaje que siempre se usar para una cuenta especfica de la configuracin regional del
ordenador, haga clic en el icono Idioma en la esquina inferior derecha de la pgina para que se abra la ventana
Preferencia de idioma. Haga clic en el men desplegable para seleccionar el lenguaje deseado y haga clic en
ACEPTAR para guardar sus cambios.
En las pginas que muestran la informacin que puede modificar (por ejemplo, la pgina Configuracin en la
pestaa Dispositivos), haga clic en el icono de la esquina superior derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, la configuracin actual de candidato se actualiza.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo Compilar.
49
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red:
Incluir los cambios de configuracin de dispositivo y red en la
operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales) Incluir los cambios de
configuracin de objetos compartidos en la operacin de compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuracin de
objetos y polticas en la operacin de compilacin.
Incluir configuracin del sistema virtual:

sistemas virtuales.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos paneles que muestra los
Incluir todos los sistemas virtuales o elegir Seleccionar uno o ms
cambios propuestos en la configuracin del candidato en comparacin con la configuracin actualmente en

ejecucin. Puede seleccionar el nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los
cambios estn indicados con colores dependiendo de los elementos que se han agregado, modificado o
eliminado.
Uso de pginas de configuracin

Las tablas de las pginas de configuracin incluyen opciones de seleccin de clasificacin y columna. Haga clic
en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga
clic en la flecha a la derecha de cualquier columna y seleccione casillas de verificacin para elegir qu columnas
mostrar.
Campos obligatorios
Los campos obligatorios se muestran con un fondo amarillo claro. Cuando pasa el ratn o hace clic en el rea
de entrada del campo, aparece un mensaje indicando que el campo es obligatorio.
50
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuracin o compilacin de informacin
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin:
Bloquea la realizacin de cambios en la configuracin por otros administradores.

Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse
por el administrador que lo configur o por un superusuario del sistema.
Bloqueo de compilacin:
Bloquea los cambios de compilacin por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores estn realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplic el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que estn
bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro
de dilogo Bloqueos. Haga clic en Aplicacin de un bloqueo, seleccione el mbito del bloqueo desde la lista
desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en
Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el
nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado en la barra superior para abrir la ventana
Bloqueos. Haga clic en el icono
del bloqueo que quiere quitar y haga clic en S para confirmar. Haga clic en
Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica seleccionando la casilla de
verificacin Adquirir bloqueo de compilacin automticamente en el rea de administracin de la pgina
Configuracin de dispositivo.
51
Uso de la interfaz de lnea de comandos (CLI)

La CLI de PAN-OS le permite acceder a cortafuegos y dispositivos de Panorama, ver informacin de estado y
configuracin y modificar configuraciones. El acceso a la CLI de PAN-OS se proporciona a travs de SSH,
Telnet o acceso directo a la consola.
Los siguientes temas describen cmo acceder a la CLI de PAN-OS y cmo empezar a utilizarla:
Acceso a la CLI de PAN-OS
Modos de operacin y configuracin
Para obtener ms informacin sobre la CLI, consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS.

Antes de empezar, verifique que el cortafuegos est instalado y que se ha establecido una conexin de SSH,
Telnet o directa con la consola.
Utilice la siguiente configuracin en la conexin directa de la consola:
Tasa de datos: 9600
Bits de datos: 8
Paridad: no
Bits de terminacin: 1
Control de flujo: Ninguno
1.
Abra la conexin de la consola.
2.
Introduzca el nombre de usuario administrativo. El valor predeterminado es admin.
3.
Introduzca la contrasea administrativa. El valor predeterminado es admin.
4.
La CLI de PAN-OS se abre en el modo de operacin y se muestra el siguiente mensaje de la CLI:

username@hostname>
Modos de operacin y configuracin

Cuando inicie sesin, la CLI de PAN-OS se abre en el modo de operacin. Puede alternar entre los modos de
operacin y navegacin en cualquier momento. Utilice el modo de operacin para ver el estado del sistema,
navegar por la CLI de PAN-OS y acceder al modo de configuracin. Utilice el modo de configuracin para ver
y modificar la jerarqua de configuracin.
Para introducir el modo de configuracin desde el modo operativo, use el comando configure:
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
52
Para salir del modo de configuracin y regresar al modo de operacin, use el comando abandonar o el
comando salir:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando de modo operativo cuando se est en el modo de configuracin, use el comando
run, por ejemplo:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#
Para dirigir un comando de modo operativo a un VSYS particular, especifique el VSYS de destino con el
siguiente comando:
username@hostname# set system setting target-vsys <nombre_vsys>
53
Uso de la API XML

La API XML de Palo Alto Networks utiliza solicitudes HTTP estndar para enviar y recibir datos, lo que permite
el acceso a varios tipos de datos en el dispositivo para que los datos puedan integrarse fcilmente con otros
sistemas y utilizarse en ellos. Use la API de gestin basada en XML para ver un cortafuegos o una configuracin
de Panorama, extraiga los datos de informe en un formato XML y ejecute los comandos operativos. Las
llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o wget
o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST. Al utilizar la API con herramientas de lneas de comandos, se admiten tanto el mtodo GET como el
mtodo POST de HTTP.
Debe generar una clave de API para empezar a utilizar la API XML. La clave de API autentica al usuario para
el cortafuegos, la aplicacin o Panorama. Despus de haber generado una clave de API, puede utilizar la clave
para realizar la configuracin del dispositivo y tareas de operacin, recuperar informes y logs e importar y
exportar archivos. Consulte Generacin de una clave de API para conocer los pasos necesarios para generar una
clave de API.
La siguiente tabla muestra la estructura de URL para solicitudes de la API:
Versin de PAN-OS
Estructura de URL de la API XML
Antes de PAN-OS 4.1.0
http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 y posterior
http(s)://hostname/api/?request-parameters-values
Definiciones de elementos de la estructura de URL:

hostname: Direccin IP o nombre de dominio del dispositivo.
request-parameters-values: Serie de varios pares de parmetro=valor separados por el carcter &. Estos
valores pueden ser palabras clave o valores de datos en formato estndar o XML (los datos de respuesta siempre
estn en formato XML).
Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener ms informacin sobre
cmo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Gua de uso de la API XML
de PAN-OS). Para acceder a la comunidad en lnea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.
Generacin de una clave de API

Para utilizar la API para gestionar un cortafuegos o una aplicacin, se necesita una clave de API para autenticar
todas las llamadas de la API. Se utilizan credenciales de cuenta de administrador para generar claves de API.
La prctica recomendada es crear una cuenta de administrador separada para la administracin
basada en XML.
54
Generacin de una clave de API
Paso 1
Paso 2
Cree una cuenta de administrador.
Solicite una clave de API.
5.
En la interfaz web de la pestaa Dispositivo > Administradores,

haga clic en Aadir.
6.
Introduzca un Nombre de inicio de sesin para el administrado.
7.
Introduzca y confirme una Contrasea para el administrador.
8.
Haga clic en ACEPTAR y Confirmar.
Sustituya los parmetros hostname, username y password de la

siguiente URL por los valores adecuados de sus credenciales de
cuenta de administrador:
http(s)://hostname/api/?type=keygen&user=username&pas
sword=password
La clave de API aparecer en un bloque XML. Por ejemplo:
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Paso 3
1.
En la pestaa Dispositivo > Administradores, abra la cuenta de

administrador asociada a la clave de API.
2.
Para PAN-OS 4.1.0 y versiones
posteriores, cada vez que se genera una
clave de API con las mismas credenciales 3.
de cuenta de administrador, se devuelven
claves de API exclusivas; adems, todas
las claves son vlidas.
4.
Puede decidir revocar y, a continuacin,
cambiar una clave de API asociada a una
cuenta de administrador cambiando la
contrasea asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarn de ser vlidas.
Introduzca y confirme una nueva Contrasea para la cuenta de

administrador.
(Opcional) Revoque o cambie una clave

de API.

Las claves de API asociadas a la cuenta de administrador antes
del cambio de contrasea se revocarn al seleccionar Confirmar.
(Opcional) Utilice las credenciales de cuenta de administrador
actualizadas para generar una nueva clave de API. Consulte
Paso 2.
Ejemplo de flujo de trabajo utilizando una clave de API:
Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web:
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
Al introducir la URL, aparecer un bloque XML que contiene la clave de API:
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe:
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=
55

Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa
predeterminada (admin), que proporciona un acceso completo de lectura-escritura (tambin conocido como
acceso de superusuario) al dispositivo.
Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite
acceder a las funciones de administracin o informes del cortafuegos. Esto le permite proteger
mejor el dispositivo de la configuracin (o modificacin) no autorizada y registrar en logs las
acciones de cada uno de los administradores.
Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:
Funciones administrativas
Autenticacin administrativa
Creacin de una cuenta administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
Funciones dinmicas: Funciones integradas que proporcionan acceso al cortafuegos en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer
un control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione
acceso a las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de funcin de administrador deber actualizar los perfiles
para asignar privilegios de forma explcita para nuevos componentes/caractersticas que se aadan al
producto. Si desea informacin sobre los privilegios que puede configurar para las funciones de
administrador personalizado, consulte Referencia: acceso de administrador a la interfaz web.
56
Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el cortafuegos. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo.
Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticacin se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.
Cuenta y autenticacin de administrador externas: La administracin y la autenticacin de la cuenta las

gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de
proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para
obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Creacin de una cuenta administrativa

Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de
cortafuegos. Como es comn delegar tareas administrativas especficas a administradores determinados con
funciones variables, Palo Alto Networks le recomienda que cree perfiles de funcin de administrador que
permitan que los administradores accedan nicamente a las reas de la interfaz de gestin que sean necesarias
para realizar sus trabajos. Puede asignar las distintas funciones que crea en cuentas de administrador individuales
y especificar los privilegios de acceso a cada interfaz de gestin: la interfaz web, la interfaz de la lnea de comando
(CLI) y la API de gestin basada en XML. Mediante la creacin de funciones de administrador con privilegios
de acceso muy detallados, puede garantizar la proteccin de los datos confidenciales de la empresa y la
privacidad de los usuarios finales.
El siguiente procedimiento describe cmo crear una cuenta de administrador local con autenticacin local, lo
que incluye cmo configurar el acceso de administrador para cada interfaz de gestin.
57
Creacin de un administrador local
Paso 1
Cree los perfiles de funcin de

administrador que tenga la intencin de
asignar a sus administradores (esto no es
aplicable si tiene la intencin de utilizar
funciones dinmicas). Los perfiles de
funcin de administrador definen qu
tipo de acceso dar a las diferentes
secciones de la interfaz web, CLI y API
XML para cada administrador al que
asigne una funcin.
Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
continuacin, haga clic en Aadir.
2.
Introduzca un nombre y, opcionalmente, una descripcin para

la funcin.
3.
En las pestaas Interfaz web, Lnea de comandos y/o API

XML, especifique el acceso que debe permitirse a cada interfaz
de gestin:
En las fichas Interfaz web y/o API XML, establezca los
niveles de acceso para cada rea funcional de la interfaz
haciendo clic en el icono para cambiarlo al ajuste deseado:
Habilitar, Solo lectura o Deshabilitar.
Puede utilizar este paso para establecer

privilegios de acceso especialmente
detallados para usuarios de la interfaz
web. Si desea informacin detallada sobre
qu habilita una opcin especfica en la
pestaa Interfaz web, consulte Privilegios
de acceso a la interfaz web.
En la ficha Lnea de comandos, especifique el tipo de acceso

que permitir a la CLI: superlector, deviceadmin o
devicereader (para funciones de dispositivo); vsysadmin o
vsysreader (para funciones de sistema virtual); o Ninguno
para deshabilitar completamente el acceso a la CLI.
4.
Por ejemplo, conceda a un administrador un acceso completo a un

dispositivo mediante la API XML, con la excepcin de la
importacin o la exportacin de archivos:
58
Creacin de un administrador local (Continuacin)
Paso 2
(Opcional) Establezca requisitos para

contraseas definidas por usuarios
locales.
Crear perfiles de contrasea: Defina la frecuencia con que los

administradores debern cambiar sus contraseas. Puede crear
varios perfiles de contrasea y aplicarlos a las cuentas de
administrador segn sea necesario para imponer la seguridad
deseada. Para crear un perfil de contrasea, seleccione
Dispositivo > Perfiles de la contrasea y haga clic en Aadir.
Configurar ajustes de complejidad mnima de la contrasea:
Defina reglas que rijan la complejidad de la contrasea, lo que
obligar a los administradores a crear contraseas ms difciles de
adivinar, descifrar o evitar. Al contrario de lo que pasa en los
perfiles de contraseas, que se pueden aplicar a cuentas
individuales, estas reglas se aplican a todo el dispositivo y a
todas las contraseas. Para configurar los ajustes, seleccione
Dispositivo > Configuracin y despus Editar en la seccin
Complejidad de contrasea mnima.
Paso 3
Cree una cuenta para cada administrador. 1.
Seleccione Dispositivo > Administradores y, a continuacin,

haga clic en Aadir.
2.
Introduzca un Nombre de usuario y una Contrasea para el

administrador, o cree un Perfil de autenticacin para utilizarlo
para validar las credenciales de un usuario administrativo en un
servidor de autenticacin externo. Consulte el Paso 4 para
obtener detalles sobre cmo configurar un perfil de
autenticacin.
3.
Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas o
un perfil basado en funcin personalizado si ha creado uno en
el Paso 1.
4.
(Opcional) Seleccione un perfil de contrasea.
5.
Haga clic en ACEPTAR para guardar la cuenta.
59
Creacin de un administrador local (Continuacin)
Paso 4
(Opcional) Configure la autenticacin en 1.

un servidor externo: LDAP, RADIUS o
Kerberos.
2.
El perfil de servidor especifica el modo en
el que el cortafuegos puede conectarse al 3.
servicio de autenticacin que tiene la
intencin de utilizar.
Seleccione Dispositivo > Perfil de autenticacin y, a

Introduzca un nombre de usuario para identificar un perfil de
autenticacin.
Defina las condiciones para bloquear al usuario administrativo.
a. Introduzca el tiempo de bloqueo. Este es el nmero de
minutos que se bloquea a un usuario cuando alcanza el
nmero mximo de intentos fallidos ((0-60 minutos; de
forma predeterminada es 0). 0 significa que el bloqueo
continuar mientras que no se desbloquee manualmente.
b. Introduzca el valor en Intentos fallidos. Nmero de intentos
de inicio de sesin fallidos que se permiten antes de bloquear
la cuenta (1-10; de forma predeterminada es 0). De forma
predeterminada, el nmero de intentos fallidos es 0, por lo
que no se bloquea al usuario aunque la autenticacin falle
repetidamente.
4.
Especifique a los usuarios y grupos que tienen permiso explcito

para autenticar. Al aadir una Lista de permitidas a un perfil de
autenticacin, puede limitar el acceso a usuarios especficos de
un grupo/directorio de usuarios.
Seleccione la casilla de verificacin Todos para permitir a
todos los usuarios.
Haga clic en Aadir e introduzca los primeros caracteres de
un nombre en el campo para que aparezca una lista de todos
los usuarios y grupos de usuarios que empiezan por esos
caracteres. Repita el proceso para aadir tantos
usuarios/grupos de usuarios como sea necesario.
5.
En el men desplegable Autenticacin, seleccione el tipo de

autenticacin que tiene la intencin de utilizar en su red.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, deber crear la base de datos local. Seleccione
Dispositivo > Base de datos de usuario local y aada los
usuarios y grupos que se autenticarn.
Paso 5
60
6.
Para acceder a un servidor de autenticacin externo (que no sea

una base de datos local), seleccione el perfil de servidor
adecuado en el men desplegable Perfil de servidor. Para crear
un nuevo perfil de servidor, haga clic en el enlace junto a Nuevo
y contine con la configuracin del acceso al servidor LDAP,
RADIUS o Kerberos.
7.
1.

Aunque los privilegios asociados con funciones de administrador dinmicos son fijos, puede configurar
privilegios a nivel granular para las funciones de administrador personalizadas. La configuracin de privilegios
a nivel granular garantiza que los administradores de nivel inferior no puedan a acceder a cierta informacin.
Puede crear funciones personalizadas para administradores de cortafuegos (consulte Creacin de una cuenta
administrativa), administradores de Panorama o administradores de grupo de dispositivos y plantilla (consulte
la Gua del administrador de Panorama). Los siguientes temas describen los privilegios que puede configurar
para las funciones de administrador personalizadas.
Privilegios de acceso a la interfaz web
Acceso a la interfaz web de Panorama
Privilegios de acceso a la interfaz web

Si desea impedir que un administrador basado en funciones acceda a pestaas especficas de la interfaz web,
puede deshabilitar la pestaa y el administrador ni siquiera la ver cuando inicie sesin con la cuenta
administrativa basada en funciones asociada. Por ejemplo, podra crear un perfil de funcin de administrador
para su personal de operaciones que nicamente proporcione acceso a las pestaas Dispositivo y Red y un perfil
separado para los administradores de seguridad que proporcione acceso a las pestaas Objetos, Poltica y
Supervisar.
La siguiente tabla describe los privilegios de acceso a nivel de pestaa que puede asignar al perfil de funcin de
administrador. Tambin proporciona referencias cruzadas a tablas adicionales que indican los privilegios
detallados dentro de una pestaa. Para obtener informacin especfica sobre cmo establecer el perfil de funcin
de administrador para proteger la privacidad del usuario final, consulte Definicin de ajustes de privacidad de
usuario en el perfil de funcin de administrador.
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Panel
Controla el acceso a la pestaa Panel. Si deshabilita

este privilegio, el administrador no ver la pestaa ni
tendr acceso a ninguno de los widgets del panel.
No
ACC
Controla el acceso al Centro de comando de aplicacin S

(ACC). Si deshabilita este privilegio, la pestaa ACC no
aparecer en la interfaz web. Recuerde que si quiere
proteger la privacidad de sus usuarios y a la vez seguir
proporcionando acceso al ACC, puede deshabilitar la
opcin Privacidad > Mostrar direcciones IP
completas y/o la opcin Mostrar nombres de
usuario en logs e informes.
No
61
Nivel de acceso
Descripcin
Supervisar
Solo
lectura
Deshabilitar
S
Controla el acceso a la pestaa Supervisar. Si
deshabilita este privilegio, el administrador no ver la
pestaa Supervisar ni tendr acceso a ninguno de los
logs, capturas de paquetes, informacin de sesin,
informes o Appscope. Para obtener un control ms
detallado sobre qu informacin de supervisin puede
ver el administrador, deje la opcin Supervisar
habilitada y, a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en Acceso
detallado a la pestaa Supervisar.
No
Polticas
Controla el acceso a la pestaa Polticas. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Polticas ni tendr acceso a ninguna informacin de
poltica. Para obtener un control ms detallado sobre
qu informacin de polticas puede ver el
administrador, por ejemplo, para habilitar el acceso a un
tipo de poltica especfico o para habilitar el acceso de
solo lectura a informacin de polticas, deje la opcin
Polticas habilitada y, a continuacin, habilite o
deshabilite nodos especficos en la pestaa como se
describe en Acceso detallado a la pestaa Poltica.
No
Objetos
Controla el acceso a la pestaa Objetos. Si deshabilita S

Objetos ni tendr acceso a ninguno de los objetos,
perfiles de seguridad, perfiles de reenvo de logs,
perfiles de descifrado o programaciones. Para obtener
un control ms detallado sobre qu objetos puede ver
el administrador, deje la opcin Objetos habilitada y, a
continuacin, habilite o deshabilite nodos especficos
en la pestaa como se describe en Acceso detallado a la
pestaa Objetos.
No
Red
Controla el acceso a la pestaa Red. Si deshabilita este S

privilegio, el administrador no ver la pestaa Red ni
tendr acceso a ninguna informacin de configuracin
de interfaz, zona, VLAN, Virtual Wire, enrutador
virtual, tnel de IPSec, DHCP, proxy DNS,
GlobalProtect o QoS o a los perfiles de red. Para
obtener un control ms detallado sobre qu objetos
puede ver el administrador, deje la opcin Red
detallado a la pestaa Red.
No
62
Habilitar
Nivel de acceso
Descripcin
Habilitar
Dispositivo
S
Controla el acceso a la pestaa Dispositivo. Si
pestaa Dispositivo ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo,
como informacin de configuracin de User-ID, alta
disponibilidad, perfil de servidor o certificado. Para
obtener un control ms detallado sobre qu objetos
puede ver el administrador, deje la opcin Objetos
detallado a la pestaa Dispositivo.
Solo
lectura
Deshabilitar
No
No puede habilitar el acceso a los nodos

Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un acceso

completo a la pestaa Dispositivo.
Acceso detallado a la pestaa Supervisar

En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las reas de la
pestaa Supervisar. Por ejemplo, puede que desee restringir el acceso de los administradores de operaciones
nicamente a los logs de configuracin y sistema debido a que no contienen datos de usuario confidenciales.
Aunque esta seccin de la definicin de funcin de administrador especifica qu reas de la pestaa Supervisar
puede ver el administrador, tambin puede emparejar los privilegios de esta seccin con privilegios de
privacidad, como deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, una
cosa que hay que tener en cuenta es que los informes generados por el sistema seguirn mostrando nombres de
usuario y direcciones IP incluso si desactiva esa funcionalidad en la funcin. Por este motivo, si no desea que el
administrador vea ninguna de la informacin de usuario privada, debera deshabilitar el acceso a informes
especficos como se indica en la tabla siguiente.
La siguiente tabla muestra las funciones de administrador y los niveles de acceso de la pestaa Supervisar para
las que estn disponibles.
Nivel de
acceso
Descripcin
Disponibilidad de la
Habilitar
funcin de administrador
Supervisar
Activa o desactiva el acceso a la pestaa

Supervisar. Si est deshabilitado, el
administrador no ver esta pestaa ni
ninguno de los logs o informes
asociados.
Cortafuegos: S
Lectura DeshaSolo
bilitar
No
Panorama: S
Plantilla/grupo de
dispositivos: S
63
Nivel de
acceso
Descripcin
Habilitar
Logs
Habilita o deshabilita el acceso a todos

los archivos de log. Tambin puede dejar
este privilegio habilitado y, a
continuacin, deshabilitar logs
especficos que no quiera que vea el
administrador. Tenga en cuenta que si
desea proteger la privacidad de sus
usuarios mientras sigue ofreciendo
acceso a uno o ms logs, puede
desactivar la opcin Privacidad >
Mostrar direcciones IP completas y la
opcin Mostrar nombres de usuario en
logs e informes.
Cortafuegos: S
Trfico
Lectura DeshaSolo
bilitar
No
No
No
No
Panorama: S
Plantilla/grupo de
dispositivos: S
Especifica si el administrador puede ver Cortafuegos: S

los logs de trfico.
Panorama: S
Plantilla/grupo de
dispositivos: S
Amenaza

los logs de amenaza.
Panorama: S
Plantilla/grupo de
dispositivos: S
Filtrado de URL Especifica si el administrador puede ver Cortafuegos: S
los logs de filtrado de URL.
Panorama: S
Plantilla/grupo de
dispositivos: S
Envos a
WildFire

los logs de WildFire. Estos logs
Panorama: S
solamente estn disponibles si tiene una
Plantilla/grupo de
suscripcin a WildFire.
dispositivos: S
No
Filtrado de
datos

los logs de filtrado de datos.
Panorama: S
No
No
Plantilla/grupo de
dispositivos: S
Coincidencias
HIP
64
Especifica si el administrador puede ver

los logs de coincidencias HIP. Los logs
de coincidencias HIP solamente estn
disponibles si tiene una suscripcin a la
puerta de enlace y una licencia de portal
de GlobalProtect.
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: S
Nivel de
acceso
Descripcin
Habilitar
Configuracin

los logs de configuracin.
Panorama: S
Lectura DeshaSolo
bilitar
No
No
No
No
No
Plantilla/grupo de
dispositivos: No
Sistema

los logs de sistema.
Panorama: S
Plantilla/grupo de
dispositivos: No
Alarmas

alarmas generadas por el sistema.
Panorama: S
Plantilla/grupo de
dispositivos: S
Captura de
paquetes
Appscope
Explorador de
sesin

capturas de paquetes (pcaps) de la
pestaa Supervisar. Recuerde que las
capturas de paquetes son datos de flujo
sin procesar y, por lo tanto, pueden
contener direcciones IP de usuarios. La
desactivacin de los privilegios Mostrar
direcciones IP completas no obstruir
la direccin IP en pcap y por ello deber
desactivar el privilegio Captura de
paquetes si le preocupa la privacidad de
los usuarios.
Cortafuegos: S
Panorama: No
Plantilla/grupo de
dispositivos: No

las herramientas de anlisis y visibilidad
de Appscope. La activacin de Appscope
permite acceder a todos los grficos de
Appscope.
Cortafuegos: S
Especifique si el administrador puede

examinar y filtrar las sesiones que se
estn ejecutando actualmente en el
cortafuegos. Recuerde que el explorador
de sesin muestra datos de flujo sin
procesar y, por lo tanto, puede contener
direcciones IP de usuarios. La
desactivacin de los privilegios Mostrar
direcciones IP completas no obstruir
la direccin IP en el navegador de sesin
y por ello deber desactivar el privilegio
Explorador de sesin si le preocupa la
privacidad de los usuarios.
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: S
Panorama: No
Plantilla/grupo de
dispositivos: No
65
Nivel de
acceso
Descripcin
Habilitar
Botnet
Especifica si el administrador puede

generar y ver informes de anlisis de
Botnet o ver informes de Botnet en
modo de solo lectura. La desactivacin
de los privilegios Mostrar direcciones IP
completas no obstruir la direccin IP
en los informes botnet programadas y
por ello deber desactivar el privilegio
Botnet si le preocupa la privacidad de los
usuarios.
Cortafuegos: S
Informes en
PDF
Gestionar
resumen de
PDF
Informes de
resumen en
PDF
66
Habilita o deshabilita el acceso a todos

los informes en PDF. Tambin puede
dejar este privilegio habilitado y, a
continuacin, deshabilitar informes en
PDF especficos que no quiera que vea el
administrador. Tenga en cuenta que si
desea proteger la privacidad de sus
usuarios mientras sigue ofreciendo
acceso a uno o ms informes, puede
Mostrar direcciones Ip completas y la
logs e informes.
Especifica si el administrador puede ver,
aadir o eliminar definiciones de
informes de resumen en PDF. Con el
acceso de solo lectura, el administrador
puede ver definiciones de informes de
resumen en PDF, pero no puede
aadirlas ni eliminarlas. Si desactiva esta
opcin, el administrador no puede ver las
definiciones de los informes ni
aadirlas/eliminarlas.
los informes de resumen PDF generado
en Supervisar > Informes. Si desactiva
esta opcin, la categora Informes de
resumen en PDF no muestra en el nodo
Informes.
Lectura DeshaSolo
bilitar
No
No
Panorama: No
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Nivel de
acceso
Descripcin
Habilitar
Informe de
actividad del
usuario

aadir o eliminar definiciones de
informes de actividad del usuario y
descargar los informes. Con el acceso de
solo lectura, el administrador puede ver
definiciones de informes de actividad del
usuario, pero no puede aadirlas,
eliminarlas ni descargarlas. Si deshabilita
esta opcin, el administrador no podr
ver esta categora de informe en PDF.
Cortafuegos: S
Grupos de
informes
Programador
de correo
electrnico

aadir o eliminar definiciones de grupos
de informes. Con el acceso de solo
lectura, el administrador puede ver
definiciones de grupos de informes, pero
no puede aadirlas ni eliminarlas. Si
deshabilita esta opcin, el administrador
no podr ver esta categora de informe
en PDF.
programar grupos de informes para
correo electrnico. Como los informes
generados que se envan por correo
pueden contener datos de usuario
confidenciales que no se eliminan al
Mostrar direcciones Ip completas o las
opciones de Mostrar nombres de
usuario en logs e informes, y adems
tambin pueden mostrar datos de logs a
los que el administrador no tiene acceso,
deber desactivar la opcin
Programador de correo electrnico si
usa los requisitos de privacidad del
usuario.
Lectura DeshaSolo
bilitar
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
67
Nivel de
acceso
Descripcin
Habilitar
Gestionar
Habilita o deshabilita el acceso a toda la Cortafuegos: S
informes
funcionalidad de informe personalizado. Panorama: S
personalizados Tambin puede dejar este privilegio
Lectura DeshaSolo
bilitar
No
No
habilitado y, a continuacin, deshabilitar Plantilla/grupo de

dispositivos: No
categoras de informes personalizados
especficas a los que no quiera que el
administrador pueda acceder. Tenga en
cuenta que si desea proteger la privacidad
de sus usuarios mientras sigue
ofreciendo acceso a uno o ms informes,
puede desactivar la opcin Privacidad >
Mostrar direcciones Ip completas y la
logs e informes.
Los informes programados para
ejecutarse en lugar de ejecutarse a
peticin mostrarn la direccin IP
e informacin de usuario. En este
caso, asegrese de restringir el
acceso a las reas de informe
correspondientes. Adems, la
funcin de informe personalizado
no restringe la capacidad de
generar informes que contengan
datos de log incluidos en logs que
estn excluidos de la funcin de
administrador.
Estadsticas de Especifica si el administrador puede

aplicacin
crear un informe personalizado que
incluya datos de la base de datos de

estadsticas de aplicacin.
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Log de filtrado
de datos

Cortafuegos: S
Panorama: S
incluya datos del log de filtrado de datos.
Plantilla/grupo de
dispositivos: No
No
Registro de
amenaza

incluya datos del log de amenaza.
No
No
Resumen de
amenaza
68

resumen de amenaza.
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Nivel de
acceso
Descripcin
Habilitar
Registro de
trfico

incluya datos del log de trfico.
Cortafuegos: S
Lectura DeshaSolo
bilitar
No
No
No
No
Ver informes
personalizados un informe personalizado que se haya
Panorama: S
programados
programado para su generacin.
No
Ver informes de Especifica si el administrador puede ver Cortafuegos: S

aplicacin
informes de aplicacin. Los privilegios Panorama: S
predefinidos
de privacidad no afectan a los informes
No
No
No
Resumen de
trfico

resumen de trfico.
Panorama: S
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Registro de Url

Cortafuegos: S
Panorama: S
incluya datos del log de filtrado de URL.
Plantilla/grupo de
dispositivos: No
Coincidencia
HIP

incluya datos del log de coincidencias
HIP.
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
Plantilla/grupo de
dispositivos: No
disponibles en el nodo Supervisar >

Informes y debe desactivar el acceso a
los informes si tienen los requisitos de
privacidad de usuario.
Ver informes de Especifica si el administrador puede ver
amenazas
informes de amenazas. Los privilegios de
predefinidos
privacidad no afectan a los informes
Plantilla/grupo de
dispositivos: No
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No

Vista
predefinida
Informes de
filtrado de URL

informes de filtrado de URL. Los
privilegios de privacidad no afectan a los
informes disponibles en el nodo
Supervisar > Informes y debe desactivar
el acceso a los informes si tienen los
requisitos de privacidad de usuario.
Cortafuegos: S
Panorama: S
Plantilla/grupo de
dispositivos: No
69
Nivel de
acceso
Descripcin
Habilitar
Vista
predefinida
Informes de
trfico

informes de trfico. Los privilegios de
privacidad no afectan a los informes
Cortafuegos: S
Lectura DeshaSolo
bilitar
No
Panorama: S
Plantilla/grupo de
dispositivos: No
Acceso detallado a la pestaa Poltica

Si habilita la opcin Poltica en el perfil de funcin de administrador, a continuacin podr habilitar, deshabilitar
o proporcionar acceso de solo lectura a nodos especficos dentro de la pestaa como sea necesario para la
funcin de administrador que est definiendo. Al habilitar el acceso a un tipo de poltica especfico, habilita la
capacidad de ver, aadir o eliminar reglas de poltica. Al habilitar un acceso de solo lectura a una poltica
especfica, habilita al administrador para que pueda ver la base de reglas de poltica correspondiente, pero no
aadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de poltica especfico, impide que el administrador
vea la base de reglas de poltica.
Dado que la poltica basada en usuarios especficos (por nombre de usuario o direccin IP) debe definirse
explcitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaa Poltica. Por lo tanto, solamente debera permitir el acceso a la
pestaa Poltica a administradores excluidos de restricciones de privacidad de usuario.
Nivel de acceso
Descripcin
Seguridad
NAT
70
Habilitar
Solo
lectura
Deshabilitar
S
Habilite este privilegio para permitir que el
administrador vea, aada y/o elimine reglas de polticas
de seguridad. Establezca el privilegio como de solo
lectura si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir que el
administrador vea la base de reglas de polticas de
seguridad, deshabilite este privilegio.
S
administrador vea, aada y/o elimine reglas de poltica
NAT. Establezca el privilegio como de solo lectura
si desea que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica NAT,
deshabilite este privilegio.
Nivel de acceso
Descripcin
QoS
Reenvo basado en
polticas
Active este privilegio para permitir que el

administrador visualice, aada o elimine las reglas
de poltica reenvo basado en polticas (PBF).
Establezca el privilegio como de solo lectura si desea
que el administrador pueda ver las reglas, pero
no modificarlas. Para impedir que el administrador
vea la base de reglas de poltica de PBF, deshabilite
este privilegio.
Descifrado
Solo
lectura
Deshabilitar
S
de QoS. Establezca el privilegio como de solo lectura si
desea que el administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador vea la
base de reglas de poltica de QoS, deshabilite este
privilegio.
S
de descifrado. Establezca el privilegio como de solo
administrador vea la base de reglas de poltica de
descifrado, deshabilite este privilegio.
S
de portal cautivo. Establezca el privilegio como de solo
administrador vea la base de reglas de poltica de portal
cautivo, deshabilite este privilegio.
Proteccin contra ataques Habilite este privilegio para permitir que el

S
por denegacin de
servicio
de proteccin contra ataques por denegacin de
Cancelacin de aplicacin Habilite este privilegio para permitir que el
Habilitar

de cancelacin de aplicacin. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de poltica de
cancelacin de aplicacin, deshabilite este privilegio.
Portal cautivo
servicio. Establezca el privilegio como de solo lectura si

desea que el administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador vea la
base de reglas de poltica de proteccin contra ataques
por denegacin de servicio, deshabilite este privilegio.
71
Acceso detallado a la pestaa Objetos

Un objeto es un contenedor que agrupa valores de filtros de polticas especficos (como direcciones IP, URL,
aplicaciones o servicios) para una definicin de reglas simplificada. Por ejemplo, un objeto de direccin puede
contener definiciones de direcciones IP especficas para servidores web y de aplicaciones en su zona DMZ.
Al decidir si desea permitir el acceso a la pestaa Objetos en su totalidad, determine si el administrador tendr
responsabilidades de definicin de polticas. Si no, probablemente el administrador no necesite acceder a la
pestaa. Sin embargo, si el administrador necesitar crear polticas, podr habilitar el acceso a la pestaa y, a
continuacin, otorgar privilegios de acceso detallados a nivel de nodo.
Al habilitar el acceso a un nodo especfico, otorga al administrador el privilegio de ver, aadir y eliminar el tipo
de objeto correspondiente. Al otorgar un acceso de solo lectura, permitir que el administrador vea los objetos
ya definidos, pero no podr crear o eliminar ninguno. Al deshabilitar un nodo, impide que el administrador vea
el nodo en la interfaz web.
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Direcciones
Especifica si el administrador puede ver, aadir o

eliminar objetos de direcciones para su uso en una
Grupos de direcciones
S
eliminar objetos de grupos de direcciones para su uso
en una poltica de seguridad.
Regiones
S
eliminar objetos de regiones para su uso en una poltica
de seguridad, de descifrado o DoS.
Aplicaciones

eliminar objetos de aplicaciones para su uso en una
poltica.
Grupos de aplicaciones
S
eliminar objetos de grupos de aplicaciones para su uso
en una poltica.
Filtros de aplicacin

eliminar filtros de aplicacin para la simplificacin de
bsquedas repetidas.
Servicios
S
eliminar objetos de servicio para su uso en la creacin
de polticas que limiten los nmeros de puertos que
puede utilizar una aplicacin.
Grupos de servicios
S
eliminar objetos de grupos de servicios para su uso en
una poltica de seguridad.
72
Nivel de acceso
Descripcin
Etiquetas (nicamente en Especifica si el administrador puede ver, aadir o

Panorama)
eliminar etiquetas que se hayan definido en el
Habilitar
Solo
lectura
Deshabilitar
dispositivo.
GlobalProtect

eliminar objetos y perfiles HIP. Puede restringir el
acceso a ambos tipos de objetos a nivel de
GlobalProtect, o bien proporcionar un control ms
detallado habilitando el privilegio GlobalProtect y
restringiendo el acceso a objetos HIP o perfiles HIP.
No
Objetos HIP
S
eliminar objetos HIP, que se utilizan para definir
perfiles HIP. Los objetos HIP tambin generan logs de
coincidencias HIP.
Perfiles HIP
S
eliminar perfiles HIP para su uso en una poltica de
seguridad y/o para generar logs de coincidencias HIP.
Objetos personalizados
S
Especifica si el administrador puede ver las firmas
personalizadas de spyware y vulnerabilidad. Puede
restringir el acceso para habilitar o deshabilitar el acceso
a todas las firmas personalizadas a este nivel, o bien
proporcionar un control ms detallado habilitando el
privilegio Objetos personalizados y, a continuacin,
restringiendo el acceso a cada tipo de firma.
No
Patrones de datos

eliminar firmas de patrones de datos personalizadas
para su uso en la creacin de perfiles de proteccin
contra vulnerabilidades personalizados.
Spyware
S
eliminar firmas de spyware personalizadas para su uso
en la creacin de perfiles de proteccin contra
vulnerabilidades personalizados.
Vulnerabilidades

eliminar firmas de vulnerabilidad personalizadas para
su uso en la creacin de perfiles de proteccin contra
vulnerabilidades personalizados.
Categora de URL
S
eliminar categoras de URL personalizadas para su uso
en una poltica.
Listas de bloque dinmico Especifica si el administrador puede ver, aadir o
eliminar listas de bloqueos dinmicos para su uso en

73
Nivel de acceso
Descripcin
Perfiles de seguridad
Antivirus
Solo
lectura
Deshabilitar
S
Especifica si el administrador puede ver perfiles de
seguridad. Puede restringir el acceso para habilitar o
deshabilitar el acceso a todos los perfiles de seguridad a
este nivel, o bien proporcionar un control ms
detallado habilitando el privilegio Perfiles de seguridad
y, a continuacin, restringiendo el acceso a cada tipo de
perfil.
No

eliminar perfiles de antivirus.
Antispyware

eliminar perfiles de antispyware.
Proteccin de
vulnerabilidades
S
eliminar perfiles de proteccin contra vulnerabilidades.
Filtrado de URL

eliminar perfiles de filtrado de URL.
Bloqueo de archivo

eliminar perfiles de bloqueo de archivos.
Filtrado de datos

eliminar perfiles de filtrado de datos.
Proteccin contra ataques Especifica si el administrador puede ver, aadir o

por denegacin de
eliminar perfiles de proteccin contra ataques por
servicio
denegacin de servicio.
Grupos de perfiles de
seguridad

eliminar grupos de perfiles de seguridad.
Reenvo de logs

eliminar perfiles de reenvo de logs.
Perfil de descifrado

eliminar perfiles de descifrado.
Programaciones
S
eliminar programaciones para limitar una poltica de
seguridad a una fecha y/o rango de tiempo especfico.
74
Habilitar
Acceso detallado a la pestaa Red

Al decidir si desea permitir el acceso a la pestaa Red en su totalidad, determine si el administrador tendr
responsabilidades de administracin de red, incluida la administracin de GlobalProtect. Si no, probablemente
el administrador no necesite acceder a la pestaa.
Tambin puede definir el acceso a la pestaa Red a nivel de nodo. Al habilitar el acceso a un nodo especfico,
otorga al administrador el privilegio de ver, aadir y eliminar las configuraciones de red correspondientes. Al
tener un acceso de solo lectura el administrador puede visualizar la configuracin ya definida, pero no crear ni
eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web.
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Interfaces

eliminar configuraciones de interfaces.
Zonas

eliminar zonas.
VLAN

eliminar VLAN.
Cables virtuales

eliminar cables virtuales.
Enrutadores virtuales
Especifica si el administrador puede ver, aadir,

modificar o eliminar enrutadores virtuales.
Tneles de IPSec

modificar o eliminar configuraciones de tneles de
IPSec.
DHCP

modificar o eliminar configuraciones de servidor
DHCP y retransmisin DHCP.
Proxy DNS

modificar o eliminar configuraciones de proxy DNS.
GlobalProtect
S
modificar configuraciones de portal y puerta de enlace
de GlobalProtect. Puede deshabilitar el acceso a las
funciones de GlobalProtect por completo, o bien
puede habilitar el privilegio GlobalProtect y, a
continuacin, restringir la funcin a las reas de
configuracin del portal o de la puerta de enlace.
No
Portales

modificar o eliminar configuraciones de portales de
GlobalProtect.
Puertas de enlace

modificar o eliminar configuraciones de puertas de
enlace de GlobalProtect.
75
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
MDM

modificar o eliminar configuraciones de servidores
MDM de GlobalProtect.
No
S
Controla el acceso al nodo Perfiles de red >
Criptogrfico de IPSec. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Criptogrfico de IPSec ni especificar protocolos y
algoritmos para la identificacin, autenticacin y
cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec.
QoS
Perfiles de red
Establece el estado predeterminado para habilitar o

deshabilitar para todos los ajustes de red descritos a
continuacin.
Puertas de enlace de IKE Controla el acceso al nodo Perfiles de red > Puertas
de enlace de IKE. Si deshabilita este privilegio, el
administrador no ver el nodo Puertas de enlace de
IKE ni definir puertas de enlace que incluyan la
informacin de configuracin necesaria para realizar la

negociacin del protocolo IKE con la puerta de enlace
del peer.
Si el estado del privilegio est establecido como de solo
lectura, podr ver las puertas de enlace de IKE
actualmente configuradas, pero no podr aadir ni
editar puertas de enlace.
Criptogrfico de IPSec

lectura, podr ver la configuracin criptogrfica de
IPSec actualmente establecida, pero no podr aadir ni
editar una configuracin.
Criptogrfico de IKE
76
Controla el modo en que los dispositivos intercambian S

informacin para garantizar una comunicacin segura.
Especifique los protocolos y algoritmos para la
identificacin, autenticacin y cifrado en tneles de
VPN basndose en la negociacin de SA de IPSec
(IKEv1 de fase 1).
Nivel de acceso
Descripcin
Habilitar
Supervisar
S
Supervisar. Si deshabilita este privilegio, el
Supervisar ni podr crear o editar un perfil de
supervisin que se utilice para supervisar tneles de
IPSec y supervisar un dispositivo de siguiente salto para
reglas de reenvo basado en polticas (PBF).
Solo
lectura
Deshabilitar

lectura, podr ver la configuracin de perfil de
supervisin actualmente establecida, pero no podr
aadir ni editar una configuracin.
Gestin de interfaz
Controla el acceso al nodo Perfiles de red > Gestin S

de interfaz. Si deshabilita este privilegio, el
Gestin de interfaz ni podr especificar los protocolos
que se utilizan para gestionar el cortafuegos.
lectura, podr ver la configuracin de perfil de gestin
de interfaz actualmente establecida, pero no podr
aadir ni editar una configuracin.
Proteccin de zona
S
Proteccin de zonas. Si deshabilita este privilegio, el
Proteccin de zonas ni podr configurar un perfil que
determine cmo responde el cortafuegos ante ataques
desde zonas de seguridad especificadas.

lectura, podr ver la configuracin de perfil de
proteccin de zonas actualmente establecida, pero no
podr aadir ni editar una configuracin.
Perfil de QoS
Controla el acceso al nodo Perfiles de red > QoS. Si S

deshabilita este privilegio, el administrador no ver el
nodo Perfiles de red > QoS ni podr configurar un
perfil de QoS que determine cmo se tratan las clases
de trfico de QoS.
lectura, podr ver la configuracin de perfil de QoS
actualmente establecida, pero no podr aadir ni editar
una configuracin.
77
Acceso detallado a la pestaa Dispositivo

Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Configuracin
Controla el acceso al nodo Configuracin.

Si deshabilita este privilegio, el administrador no
ver el nodo Configuracin ni tendr acceso a
como informacin de configuracin de gestin,
operaciones, servicio, Content-ID, Wildfire o sesin.
No
No
No

lectura, podr ver la configuracin actual, pero no
podr realizar ningn cambio.
Auditora de
configuraciones
Controla el acceso al nodo Auditora de

configuraciones. Si deshabilita este privilegio, el
administrador no ver el nodo Auditora de
configuraciones ni tendr acceso a ninguna
informacin de configuracin de todo el dispositivo.
Funciones de
administrador
Controla el acceso al nodo Funciones de gestor.

Esta funcin solamente puede permitirse para un
acceso de solo lectura.
ver el nodo Funciones de gestor ni tendr acceso
a ninguna informacin de todo el dispositivo relativa
a la configuracin de funciones de gestor.
Si establece este privilegio como de solo lectura, podr
ver la informacin de configuracin de todas las
funciones de gestor configuradas en el dispositivo.
Administradores
Controla el acceso al nodo Administradores.

Esta funcin solamente puede permitirse para un
acceso de solo lectura.
Si deshabilita este privilegio, el administrador no ver el
nodo Administradores ni tendr acceso a informacin
sobre su propia cuenta de administrador.
Si establece este privilegio como de solo lectura, el
administrador podr ver la informacin de
configuracin de su propia cuenta de administrador.
No ver informacin sobre las cuentas de otros
administradores configuradas en el dispositivo.
78
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Sistemas virtuales
Controla el acceso al nodo Sistemas virtuales.

Si deshabilita este privilegio, el administrador no ver
ni podr configurar sistemas virtuales.
Identificacin de usuarios Controla el acceso al nodo Identificacin de usuarios. S

lectura, podr ver los sistemas virtuales actualmente
configurados, pero no podr aadir ni editar una
configuracin.
Puertas de enlace
compartidas
Controla el acceso al nodo Puertas de enlace

compartidas. Las puertas de enlace compartidas
permiten que los sistemas virtuales compartan una
interfaz comn para las comunicaciones externas.
Si deshabilita este privilegio, el administrador no ver ni
podr configurar puertas de enlace compartidas.
lectura, podr ver las puertas de enlace compartidas
actualmente configuradas, pero no podr aadir ni
editar una configuracin.
nodo Identificacin de usuarios ni tendr acceso a
informacin de configuracin de identificacin de
usuarios de todo el dispositivo, como asignacin de
usuario, agentes de User-ID, servicio, agentes de
servicios de terminal, configuracin de asignacin de
grupo o configuracin de portal cautivo.
administrador podr ver informacin de configuracin
del dispositivo, pero no tendr permiso para realizar
ningn procedimiento de configuracin.
Origen de informacin
de VM
Controla el acceso al nodo Origen de informacin de S

VM que le permite configurar el agente de User-ID de
Windows/cortafuegos que recopilar el inventario de
VM automticamente. Si deshabilita este privilegio, el
administrador no ver el nodo Origen de informacin
de VM.
administrador podr ver los orgenes de informacin
de VM configurados, pero no podr aadir, editar o
eliminar ningn origen.
Este privilegio no est disponible para los
administradores Grupo de dispositivos
y plantilla.
79
Nivel de acceso
Descripcin
Habilitar
Alta disponibilidad
S
Controla el acceso al nodo Alta disponibilidad.
ver el nodo Alta disponibilidad ni tendr acceso
a informacin de configuracin de alta disponibilidad
de todo el dispositivo, como informacin de
configuracin general o supervisin de enlaces y rutas.
Solo
lectura
Deshabilitar

de alta disponibilidad del dispositivo, pero no tendr
permiso para realizar ningn procedimiento de
configuracin.
Gestin de certificados

deshabilitar para todos los ajustes de certificados
descritos a continuacin.
No
Certificados
Controla el acceso al nodo Certificados. Si deshabilita S

este privilegio, el administrador no ver el nodo
Certificados ni podr configurar o acceder a
informacin relativa a certificados de dispositivos o
entidades de certificacin de confianza
predeterminadas.

de certificados del dispositivo, pero no tendr permiso
para realizar ningn procedimiento de configuracin.
Perfil del certificado
Controla el acceso al nodo Perfil del certificado.

el nodo Perfil del certificado ni podr crear perfiles
del certificado.
administrador podr ver perfiles del certificado
actualmente configurados para el dispositivo, pero no
tendr permiso para crear o editar un perfil del
certificado.
OCSP responder
Controla el acceso al nodo OCSP responder.

ver el nodo OCSP responder ni podr definir un
servidor que se utilizar para verificar el estado de
revocacin de los certificados emitidos por el
dispositivo PAN-OS.
administrador podr ver la configuracin de OCSP
responder del dispositivo, pero no tendr permiso
para crear o editar una configuracin de OCSP
responder.
80
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Pginas de respuesta
Controla el acceso al nodo Pginas de respuesta.

el nodo Pginas de respuesta ni podr definir un
mensaje HTML personalizado que se descarga y se
visualiza en lugar de una pgina web o archivo
solicitado.

administrador podr ver la configuracin de Pginas
de respuesta del dispositivo, pero no tendr permiso
para crear o editar una configuracin de pginas de
respuesta.
Configuracin de log

deshabilitar para todos los ajustes de log descritos a
continuacin.
No
Sistema
S
Controla el acceso al nodo Configuracin de log >
Sistema. Si deshabilita este privilegio, el administrador
no ver el nodo Configuracin de log > Sistema ni
podr especificar los niveles de gravedad de las entradas

de logs del sistema que se registran de manera remota
con Panorama y se envan como traps SNMP, mensajes
de Syslog y/o notificaciones por correo electrnico.
administrador podr ver la configuracin de
Configuracin de log > Sistema del dispositivo, pero
no tendr permiso para crear o editar una
configuracin.
Configurar
S
Configuracin. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de log >
Configuracin ni podr especificar las entradas de logs
de configuracin que se registran de manera remota

con Panorama y se envan como mensajes de Syslog
y/o notificaciones por correo electrnico.
Configuracin de log > Configuracin del dispositivo,
pero no tendr permiso para crear o editar una
configuracin.
81
Nivel de acceso
Descripcin
Habilitar
Coincidencias HIP
S
Coincidencias HIP. Si deshabilita este privilegio, el
Coincidencias HIP ni podr especificar los ajustes de
log de coincidencias de perfil de informacin de host
(HIP) que se utilizan para proporcionar informacin
sobre polticas de seguridad que se aplican a clientes de
GlobalProtect.
Solo
lectura
Deshabilitar
No

Configuracin de log > Coincidencias HIP del
dispositivo, pero no tendr permiso para crear o editar
una configuracin.
Alarmas
S
Alarmas. Si deshabilita este privilegio, el administrador
no ver el nodo Configuracin de log > Alarmas ni
podr configurar notificaciones que se generan cuando
una regla de seguridad (o un grupo de reglas) se
incumple repetidas veces en un perodo de tiempo
establecido.

Configuracin de log > Alarmas del dispositivo, pero
no tendr permiso para crear o editar una
configuracin.
Gestionar logs
S
Gestionar logs. Si deshabilita este privilegio, el
Gestionar logs ni podr borrar los logs indicados.

administrador podr ver la informacin de
Configuracin de log > Gestionar logs, pero no podr
borrar ninguno de los logs.
Perfiles de servidor
82

deshabilitar para todos los ajustes de perfiles de
servidor descritos a continuacin.
Nivel de acceso
Descripcin
Habilitar
Traps SNMP
S
Controla el acceso al nodo Perfiles de servidor >
Traps SNMP. Si desactiva este privilegio, el
administrador no ver el nodo Perfiles de servidor >
Traps SNMP ni podr especificar uno o ms destinos
de trap SNMP que deben usarse para las entradas de
log de sistema.
Solo
lectura
Deshabilitar
Si define este privilegio como de solo lectura, el

administrador puede ver la informacin de Perfiles de
servidor > Logs de trap SNMP, pero no puede
especificar los destinos de trap SNMP.
Syslog
S
Syslog. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > Syslog ni podr
especificar uno o ms servidores de syslog.

servidor > Syslog, pero no puede especificar los
servidores de syslog.
Correo electrnico
S
Correo electrnico. Si desactiva este privilegio, el
administrador no ver el nodo Perfiles de servidor >
Correo electrnico ni podr especificar un perfil de
correo electrnico que pueda usarse para activar una
notificacin de correo electrnico para las entradas de
log de sistema y configuracin.

servidor > Correo electrnico, pero no puede
configurar ni enviar un correo electrnico de perfil.
Flujo de red
Controla el acceso al nodo Perfiles de servidor > Flujo S

de red. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > Flujo de red ni se
podr definir un perfil de servidor de NetFlow, que
especifica la frecuencia de la exportacin con los
servidores de NetFlow que recibir los datos
exportados.
servidor > Flujo de red, pero no puede definir un perfil
de Netflow.
83
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
RADIUS

RADIUS. Si desactiva este privilegio, el administrador
no ver el nodo Perfiles de servidor > RADIUS ni
podr configurar los ajustes para los servidores
RADIUS que se identifican en perfiles de
autenticacin.
S
LDAP. Si desactiva este privilegio, el administrador no
ver el nodo Perfiles de servidor > LDAP ni podr
configurar los ajustes para los servidores LDAP que se
usar para la autenticacin mediante los perfiles de
autenticacin.
No

servidor > RADIUS, pero no puede especificar los
ajustes de servidores RADIUS.
LDAP

administrador puede visualizar Perfiles de servidor >
LDAP pero no se pueden configurar los ajustes para los
servidores LDAP.
Kerberos
S
Kerberos. Si desactiva este privilegio, el administrador
no ver el nodo Perfiles de servidor > Kerberos ni
podr configurar un servidor Kerberos que permite a
los usuarios para autenticarse nativamente en un
controlador de dominios.

administrador puede visualizar Perfiles de servidor >
Kerberos pero no se pueden configurar los ajustes para
los servidores Kerberos.
Base de datos de usuario Establece el estado predeterminado para habilitar o
local
deshabilitar para todos los ajustes de base de datos de
usuario local descritos a continuacin.
84
Nivel de acceso
Descripcin
Habilitar
Usuarios
Controla el acceso al nodo Base de datos de usuario S

local > Usuarios. Si deshabilita este privilegio, el
administrador no ver el nodo Base de datos de
usuario local > Usuarios ni configurar una base de
datos local en el cortafuegos para almacenar
informacin de autenticacin para usuarios con acceso
remoto, administradores de dispositivos y usuarios de
portal cautivo.
Solo
lectura
Deshabilitar

administrador podr ver la informacin de Base de
datos de usuario local > Usuarios, pero no podr
configurar una base de datos local en el cortafuegos
para almacenar informacin de autenticacin.
Grupos de usuarios
Controla el acceso al nodo Base de datos de usuario S

local > Usuarios. Si deshabilita este privilegio, el
administrador no ver el nodo Base de datos de
usuario local > Usuarios ni podr aadir informacin
de grupos de usuarios a la base de datos local.
administrador podr ver la informacin de Base de
datos de usuario local > Usuarios, pero no podr
aadir informacin de grupos de usuarios a la base de
datos local.
Perfil de autenticacin
S
Controla el acceso al nodo Perfil de autenticacin.
el nodo Perfil de autenticacin ni podr crear o
editar perfiles de autenticacin que especifiquen ajustes
de base de datos local, RADIUS, LDAP o Kerberos
que se pueden asignar a cuentas de administrador.

administrador podr ver la informacin de Perfil de
autenticacin, pero no podr crear o editar un perfil de
autenticacin.
Secuencia de
autenticacin
S
Controla el acceso al nodo Secuencia de
autenticacin. Si deshabilita este privilegio, el
administrador no ver el nodo Secuencia de
autenticacin ni podr crear o editar una secuencia de
autenticacin.

autenticacin, pero no podr crear o editar una
secuencia de autenticacin.
85
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Dominio de acceso
Controla el acceso al nodo Dominio de acceso.

Si desactiva este privilegio, el administrador no ver
el nodo Dominio de acceso ni crear o editar un
dominio de acceso.
S
Controla el acceso al nodo Programacin de la
exportacin de logs. Si deshabilita este privilegio, el
administrador no ver el nodo Programacin de la
exportacin de logs ni podr programar exportaciones
de logs y guardarlas en un servidor File Transfer
Protocol (FTP) en formato CSV o usar Secure Copy
(SCP) para transferir datos de forma segura entre el
dispositivo y un host remoto.
No

administrador puede visualizar la informacin de
Dominio de acceso pero no se pueden crear ni estudiar
un dominio de acceso.
Programacin de la
exportacin de logs

programacin de la exportacin de logs, pero no
podr programar la exportacin de logs.
Software
Controla el acceso al nodo Software. Si deshabilita este S

privilegio, el administrador no ver el nodo Software,
no ver las versiones ms recientes del software
PAN-OS disponibles desde Palo Alto Networks, no
leer las notas de cada versin ni seleccionar una
versin para su descarga e instalacin.
administrador podr ver la informacin de Software,
pero no podr descargar ni instalar software.
Cliente de GlobalProtect
Controla el acceso al nodo Cliente de GlobalProtect. S

nodo Cliente de GlobalProtect, no ver las versiones
de GlobalProtect disponibles, no descargar el cdigo
ni activar el agente de GlobalProtect.
administrador podr ver las versiones de Cliente de
GlobalProtect disponibles, pero no podr descargar ni
instalar el software de agente.
86
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Actualizaciones
dinmicas
Controla el acceso al nodo Actualizaciones

dinmicas. Si deshabilita este privilegio, el
administrador no ver el nodo Actualizaciones
dinmicas, no podr ver las actualizaciones ms
recientes, no podr leer las notas de versin de cada
actualizacin ni podr seleccionar una actualizacin
para su carga e instalacin.
S
Controla el acceso al nodo Asistencia tcnica. Si
deshabilita este privilegio, el administrador no ver el
nodo Asistencia tcnica, no podr acceder a alertas de
productos y seguridad de Palo Alto Networks ni
generar archivos de asistencia tcnica o de volcado de
estadsticas.

administrador podr ver las versiones de
Actualizaciones dinmicas disponibles y leer las notas
de versin, pero no podr cargar ni instalar el software.
Licencias
Controla el acceso al nodo Licencias. Si deshabilita

este privilegio, el administrador no ver el nodo
Licencias ni podr ver las licencias instaladas o las
licencias activas.
administrador podr ver las Licencias instaladas, pero
no podr realizar funciones de gestin de licencias.
Asistencia tcnica

administrador podr ver el nodo Asistencia tcnica y
acceder a alertas de productos y seguridad, pero no
podr generar archivos de asistencia tcnica o de
volcado de estadsticas.
Clave maestra y
diagnstico
S
Controla el acceso al nodo Clave maestra y
diagnstico. Si deshabilita este privilegio, el
administrador no ver el nodo Clave maestra y
diagnstico ni podr especificar una clave maestra para
cifrar claves privadas en el cortafuegos.

administrador podr ver el nodo Clave maestra y
diagnstico y ver informacin sobre claves maestras
que se han especificado, pero no podr aadir ni editar
una nueva configuracin de clave maestra.
87
Definicin de ajustes de privacidad de usuario en el perfil de funcin de administrador

Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Privacidad

deshabilitar para todos los ajustes de privacidad
descritos a continuacin.
N/D
Mostrar direcciones IP
completas
S
Cuando se establece como deshabilitado, las
direcciones IP completas obtenidas a travs del trfico
que pasa por el cortafuegos de Palo Alto Networks no
se muestran en logs ni informes. En lugar de las
direcciones IP que suelen mostrarse, aparecer la
subred relevante.
N/D
N/D
N/D
Los informes programados se muestran en la

interfaz a travs de Supervisar > Informes, y
los informes que se envan a travs de correos
electrnicos programados seguirn mostrando
direcciones IP completas. Debido a esta
excepcin, recomendamos deshabilitar los
siguientes ajustes en la pestaa Supervisar:
Informes personalizados, Informes de
aplicacin, Informes de amenazas, Informes de
filtrado de URL, Informes de trfico y
Programador de correo electrnico.
Visualizacin de los
Cuando se establece como deshabilitado, los nombres S
nombres de usuario en los de usuario obtenidos a travs del trfico que pasa por el
logs e informes
cortafuegos de Palo Alto Networks no se muestran en
logs ni informes. Las columnas donde normalmente

apareceran los nombres de usuario estn vacas.
Los informes programados que se muestran en la
interfaz a travs de Supervisar > Informes o que
se envan a travs del programador de correo
electrnico seguirn mostrando los nombres de
usuario. Debido a esta excepcin, recomendamos
deshabilitar los siguientes ajustes en la pestaa
Supervisar: Informes personalizados, Informes de
aplicacin, Informes de amenazas, Informes de
filtrado de URL, Informes de trfico y Programador
de correo electrnico.
Ver archivos de captura
de paquetes
88
Cuando se establece como deshabilitado, los archivos S

de captura de paquetes que suelen estar disponibles en
los logs de trfico, amenaza y filtrado de datos no se
muestran.
Restriccin del acceso de administrador a funciones de confirmacin

Restriccin del acceso de los usuarios con el ajuste Compilar
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Compilar
Cuando se establece como deshabilitado, un

administrador no puede confirmar ningn cambio en
una configuracin.
N/D
Habilitar
Solo
lectura
Deshabilitar
Acceso detallado a ajustes globales

Restriccin del acceso de los usuarios con ajustes globales
Nivel de acceso
Descripcin
Global
S
deshabilitar para todos los ajustes globales descritos a
continuacin. En este momento, este ajuste solamente
es efectivo para Alarmas del sistema.
N/D
Alarmas del sistema
Cuando se establece como deshabilitado, un

administrador no puede ver ni reconocer alarmas que
se generen.
N/D
Concesin de acceso granular a la pestaa Panorama

La siguiente tabla muestra los niveles de acceso de pestaa Panorama y las funciones de administrador Panorama
personalizado para los que estn disponibles. Los administradores del cortafuegos no pueden acceder a ninguno
de esos privilegios.
Nivel de
acceso
Descripcin
Disponibilidad de Habilitar
la funcin de
administrador
Configuracin
S
Panorama: S
visualizar o editar la informacin de
Plantilla/grupo de
configuracin Panorama, como Gestin,
dispositivos: No
Operaciones, Servicios, WildFire o HSM.
Solo
lectura
Deshabilitar
Si define este privilegio como de solo

lectura, el administrador puede ver la
informacin pero no editarla.
Si desactiva este privilegio, el administrador
no podr ver ni editar la informacin.
89
Nivel de
acceso
Descripcin
la funcin de
administrador
Plantillas

editar, aadir o eliminar plantillas.
Panorama: S

lectura, el administrador puede ver las
configuraciones de plantilla, pero no
gestionarlas.
Solo
lectura
Deshabilitar
No
Plantilla/grupo de (No para los

administradores
dispositivos: S
de Grupo de
dispositivo y
plantilla)

no podr ver ni gestionar las
configuraciones de plantilla.
Auditora de
configuraciones ejecutar las auditoras de configuracin de
Panorama. Si desactiva este privilegio, el

administrador no podr ejecutar las
auditoras de configuracin de Panorama.
Dispositivos
gestionados
Panorama: S
Plantilla/grupo de
dispositivos: No
Panorama: S
aadir, editar, etiquetar o eliminar
Plantilla/grupo de
cortafuegos como dispositivos gestionados, dispositivos: S
e instalar actualizaciones de contenido o
software en ellos.
lectura, el administrador puede ver los
cortafuegos gestionados pero no aadir,
eliminar, etiquetar ni instalar
actualizaciones.
(No para las

funciones de
Grupo de
dispositivo y
plantilla)

no puede ver, aadir, editar, etiquetar,
eliminar ni instalar actualizaciones en los
cortafuegos gestionados.
Este privilegio solo se aplica a la
pgina Panorama > Dispositivos
gestionados. Un administrador con
privilegios de Implementacin de
dispositivos podr seguir usando las
pginas Panorama >
Implementacin de dispositivo
para instalar actualizaciones en

cortafuegos gestionados.
90
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Grupos de
dispositivos

editar, aadir o eliminar grupos de
dispositivos.
Panorama: S
Plantilla/grupo de (No para las

funciones de
dispositivos: S
Grupo de
dispositivo y
plantilla)
configuraciones de grupos de dispositivos,
pero no gestionarlas.
no podr ver ni gestionar las
configuraciones de grupos de dispositivos.
Recopiladores
gestionados

editar, aadir o eliminar recopiladores
gestionados.
Panorama: S
Plantilla/grupo de
dispositivos: No

configuraciones de recopiladores
gestionados, pero no gestionarlas.
no podr ver, editar, aadir ni eliminar las
configuraciones de recopiladores
gestionados.
Este privilegio solo se aplica a la
pgina Panorama > Recopiladores
gestionados. Un administrador con
privilegios de Implementacin de
dispositivos podr seguir usando las
pginas Panorama >
Implementacin de dispositivo
para instalar actualizaciones en

recopiladores de log.
Grupos de
recopiladores

editar, aadir o eliminar grupos de
recopiladores.
Panorama: S
Plantilla/grupo de
dispositivos: No

grupos de recopiladores pero no
gestionarlas.
no podr ver ni gestionar los grupos de
recopiladores.
91
Nivel de
acceso
Descripcin
la funcin de
administrador
Funciones de
administrador
No
Especifica si el administrador puede ver las Panorama: S
funciones de administrador de Panorama. Plantilla/grupo de
No puede activar el acceso completo a esta dispositivos: No
funcin: solo un acceso de solo lectura.
(Solo los administradores con Panorama
con una funcin dinmica pueden aadir,
editar o eliminar funciones personalizadas
de Panorama.) Con un acceso de solo
configuraciones de funcin de
administrador de Panorama, pero no puede
configurarlas.
Solo
lectura
Deshabilitar

no podr ver ni gestionar las funciones de
administrador de Panorama.
Administradores
No
Especifica si el administrador puede ver los Panorama: S
detalles de la cuenta de administrador de
Plantilla/grupo de
Panorama.
dispositivos: No
No puede activar el acceso completo a esta
funcin: solo un acceso de solo lectura.
(Solo los administradores con Panorama
con una funcin dinmica pueden aadir,
editar o eliminar administradores de
Panorama.) Con un acceso de solo lectura,
el administrador puede ver la informacin
sobre su cuenta, pero ninguna otra cuenta
de administrador de Panorama.

no puede ver informacin sobre ninguna
cuenta de administrador de Panorama,
incluyendo la suya propia.
Alta
disponibilidad
Especifica si el administrador puede ver y

gestionar los ajustes de alta disponibilidad
(HA) para el servidor de gestin de
Panorama.
Panorama: S
Plantilla/grupo de
dispositivos: No

informacin de configuracin de HA para
el servidor de gestin de Panorama pero no
puede gestionar la configuracin.
no podr ver ni gestionar los ajustes de
configuracin de HA para el servidor de
gestin de Panorama.
92
Nivel de
acceso
Descripcin
la funcin de
administrador
Administrador
de servicios
VMware
S
Especifica si el administrador puede ver y Panorama: S
editar ajustes de VMware Service Manager. Plantilla/grupo de
dispositivos: No
ajustes pero no realizar ningn
procedimiento operativo o de
configuracin relacionado.
Solo
lectura
Deshabilitar

no puede ver los ajustes ni realizar ningn
procedimiento operativo o de
configuracin relacionado.
Gestin de
certificados
S
Define el estado predeterminado, activado Panorama: S
o desactivado de todos los privilegios de
Plantilla/grupo de
gestin de certificados de Panorama.
dispositivos: No
No
Certificados
S
Panorama: S
editar, generar, eliminar, revocar, renovar o Plantilla/grupo de
exportar certificados. Este privilegio
dispositivos: No
tambin especifica si el administrador
puede importar o exportar claves HA.
No

certificados de Panorama pero no gestionar
los certificados o las claves HA.
no podr ver ni gestionar los certificador de
Panorama ni las claves HA.
Perfil del
certificado
S
Panorama: S
aadir, editar, eliminar o clonar los perfiles Plantilla/grupo de
de certificados de Panorama.
dispositivos: No
perfiles de certificados de Panorama, pero
no gestionarlos.

no podr ver ni gestionar los perfiles de
certificados de Panorama.
Configuracin
de log
S
Plantilla/grupo de
ajuste de logs.
dispositivos: No
93
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Sistema

configurar los ajustes que controlan el
reenvo de los logs de sistema a servicios
externos (Syslog, correo o servidores trap
SNMP).
Panorama: S
S
Plantilla/grupo de
reenvo de los logs de configuracin tema a dispositivos: No
servicios externos (Syslog, correo
electrnico o servidores trap SNMP).
Plantilla/grupo de
dispositivos: No

ajustes de reenvo de logs de sistema, pero
no gestionarlos.
no podr ver ni gestionar los ajustes.
En un dispositivo Panorama M-100,
este privilegio pertenece
nicamente a los logs de sistema
que Panorama genera por s mismo.
En un dispositivo virtual Panorama,
este privilegio se aplica a los logs de
sistema que genera Panorama y a los
logs de sistema que recopila
Panorama a partir de los
cortafuegos.
Configurar

ajustes de reenvo de logs de configuracin,
pero no gestionarlos.
En un dispositivo Panorama M-100,
este privilegio pertenece
nicamente a los logs de
configuracin que Panorama genera
por s mismo. En un dispositivo
virtual Panorama, este privilegio se
aplica a los logs de configuracin
que genera Panorama y a los logs de
configuracin que recopila
Panorama a partir de los
cortafuegos.
94
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Coincidencias
HIP

reenvo de los logs de coincidencia HIP
desde un dispositivo virtual Panorama a
servicios externos (Syslog, correo
electrnico o servidores trap SNMP).
Panorama: S
Plantilla/grupo de
dispositivos: No
La pgina Panorama > Grupos de

recopiladores controla el reenvo
de logs de coincidencia HIP desde
un dispositivo Panorama M-100. La
pgina Dispositivo > Configuracin
de log > Coincidencias HIP
controla el reenvo de logs de

coincidencia HIP directamente
desde los cortafuegos a los servicios
externos (sin agregacin en
Panorama).
ajustes de reenvo de logs de coincidencia
HIP, pero no gestionarlos.
Trfico

reenvo de los logs de trfico desde un
dispositivo virtual Panorama a servicios
externos (Syslog, correo electrnico o
servidores trap SNMP).
Panorama: S
Plantilla/grupo de
dispositivos: No

de logs de trfico desde un
dispositivo Panorama M-100. La
pgina Objetos > Reenvo de logs
controla el reenvo de logs de trfico
directamente desde los cortafuegos
a los servicios externos (sin
agregacin en Panorama).
ajustes de reenvo de logs de trfico, pero
no gestionarlos.
95
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Amenaza

reenvo de los logs de amenazas desde un
Panorama: S
Plantilla/grupo de
dispositivos: No

de logs de amenazas desde un
amenazas directamente desde los
cortafuegos a los servicios externos
(sin agregacin en Panorama).
ajustes de reenvo de logs de amenazas,
WildFire

reenvo de los logs de WildFire desde un
Panorama: S
Plantilla/grupo de
dispositivos: No

de logs de WildFire desde un
WildFire directamente desde los
cortafuegos a los servicios externos
(sin agregacin en Panorama).
ajustes de reenvo de logs de WildFire, pero
no gestionarlos.
96
Nivel de
acceso
Descripcin
Perfiles de
servidor
Traps SNMP

configurar perfiles de servidor de trap
SNMP.
la funcin de
administrador
Solo
lectura
Deshabilitar
S
Plantilla/grupo de
perfil de servidor.
dispositivos: No
Estos privilegios solo pertenecen a
los perfiles de servidor que se usan
para reenviar logs que Panorama
genera o recopila de cortafuegos y
los perfiles de servidor que se usan
para autenticar a los
administradores de Panorama. Las
pginas Dispositivo > Perfiles de
servidor controlan los perfiles de
servidor que se usan para reenviar
logs directamente desde los
cortafuegos a servicios externos
(sin agregacin en Panorama) y para
autenticar administradores de
cortafuegos.
No
Panorama: S
Plantilla/grupo de
dispositivos: No

perfiles de servidor de trap SNMP, pero no
gestionarlos.
servidor de trap SNMP.
Syslog

configurar perfiles de servidor Syslog.
perfiles de servidor Syslog, pero no
gestionarlos.
Panorama: S
Plantilla/grupo de
dispositivos: No

servidor Syslog.
97
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Correo
electrnico

configurar perfiles de servidor de correo
electrnico.
Panorama: S
S
configurar los perfiles de servidor RADIUS Plantilla/grupo de
que se usan para autenticar a los
dispositivos: No
administradores de Panorama.
S
configurar los perfiles de servidor Kerberos Plantilla/grupo de
dispositivos: No
Plantilla/grupo de
dispositivos: No

perfiles de servidor de correo electrnico,
servidor de correo electrnico.
RADIUS

perfiles de servidor RADIUS, pero no
gestionarlos.
servidor RADIUS.
LDAP

configurar los perfiles de servidor LDAP
Panorama: S
Plantilla/grupo de
dispositivos: No

perfiles de servidor LDAP, pero no
gestionarlos.
servidor LDAP.
Kerberos

perfiles de servidor Kerberos, pero no
gestionarlos.
servidor Kerberos.
98
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Perfil de
autenticacin
S
Panorama: S
aadir, editar, eliminar o clonar los perfiles Plantilla/grupo de
de autenticacin de los administradores de dispositivos: No
Panorama.
S
Panorama: S
aadir, editar, eliminar o clonar los
Plantilla/grupo de
dominios de acceso de los administradores dispositivos: No
de Panorama.

perfiles de autenticacin de Panorama, pero
no gestionarlos.
autenticacin de Panorama.
Secuencia de
autenticacin

aadir, editar, eliminar o clonar las
secuencias de autenticacin de los
Panorama: S
Plantilla/grupo de
dispositivos: No

secuencias de autenticacin de Panorama,
pero no gestionarlas.
no podr ver ni gestionar las secuencias de
autenticacin de Panorama.
Dominio de
acceso

dominios de acceso de Panorama, pero no
gestionarlos.
no podr ver ni gestionar los dominios de
acceso de Panorama.
99
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Exportacin de
configuracin
programada

aadir, editar, eliminar o clonar las
exportaciones de configuracin
programada de Panorama.
Panorama: S
No
S
Panorama: S
Especifica si el administrador puede: ver
informacin sobre las actualizaciones de
Plantilla/grupo de
software de Panorama; descargar, cargar o dispositivos: No
instalar actualizaciones; y ver las notas de la
versin asociadas.
Plantilla/grupo de
dispositivos: No

exportaciones programadas, pero no
gestionarlas.
no podr ver ni gestionar las exportaciones
programadas.
Software

software de Panorama y ver las notas de
versin asociadas, pero no puede realizar
ninguna operacin relacionada.
no puede ver las actualizaciones de software
Panorama, consulte las notas de versin
asociadas o realizar ninguna operacin
relacionada.
Este privilegio solo pertenece a
software instalado en un servidor de
gestin de Panorama. La pgina
Panorama > Implementacin de
dispositivo > Software controla el
acceso al software PAN-OS

implementado en cortafuegos y el
software Panorama en
recopiladores de log dedicados.
100
Nivel de
acceso
Descripcin
Solo
lectura
Deshabilitar
S
Panorama: S
informacin de asistencia de Panorama,
Plantilla/grupo de
alertas de productos y de seguridad; activar dispositivos: No
una licencia de asistencia, generar archivos
de asistencia tecnolgica y gestionar casos.
Actualizaciones Especifica si el administrador puede: ver

dinmicas
la funcin de
administrador
Panorama: S
Plantilla/grupo de
contenido de Panorama (por ejemplo,
dispositivos: No
actualizaciones de WildFire); descargar,
cargar, instalar o revertir las actualizaciones;
y ver las notas de la versin asociadas.
contenido de Panorama y ver las notas de
versin asociadas, pero no puede realizar
ninguna operacin relacionada.
no puede ver las actualizaciones de
contenido de Panorama, consulte las notas
de versin asociadas o realizar ninguna
operacin relacionada.
Este privilegio solo pertenece al
contenido instalado en un servidor
de gestin de Panorama. La pgina
Panorama > Implementacin de
dispositivo > Actualizaciones
dinmicas controla el acceso a las
actualizaciones de contenido
implementadas en los cortafuegos y
los recopiladores de log dedicados.
Asistencia
tcnica

informacin de asistencia de Panorama,
alertas de productos y de seguridad; pero no
activar una licencia de asistencia, generar
archivos de asistencia tecnolgica ni
gestionar casos.
no puede: ver informacin de asistencia de
Panorama, alertas de productos y de
seguridad; activar una licencia de asistencia,
generar archivos de asistencia tecnolgica ni
gestionar casos.
101
Nivel de
acceso
Descripcin
Solo
lectura
Deshabilitar
No
S
Panorama: S
Plantilla/grupo de
software instaladas en cortafuegos y
dispositivos: S
recopiladores de logs; descargar, cargar o
instalar actualizaciones; y ver las notas de la
versin asociadas.
Implementacin Define el estado predeterminado, activado

de dispositivos o desactivado de todos los privilegios de
implementacin de dispositivos.
la funcin de
administrador
Panorama: S
Plantilla/grupo de
dispositivos: S
Este privilegio pertenece solo a las

actualizaciones de software y
contenido que los administradores
de Panorama implementan en los
cortafuegos y los recopiladores de
logs dedicados. Las pginas
Panorama > Software y
Panorama > Actualizaciones
dinmicas controlan las
actualizaciones de software y
contenido instaladas en un servidor
de gestin de Panorama.
Software

software de Panorama y ver las notas de
versin asociadas, pero no puede
implementar las actualizaciones en
cortafuegos o recopiladores de logs
dedicados.
no podr ver informacin sobre las
actualizaciones de software ni las notas de
versin asociadas, como tampoco podr
implementar las actualizaciones en el
cortafuegos o los recopiladores de logs
dedicados.
102
Nivel de
acceso
Descripcin
la funcin de
administrador
Solo
lectura
Deshabilitar
Cliente SSL
VPN

software de cliente SSL VPN; descargar,
cargar o activar actualizaciones; y ver las
notas de la versin asociadas.
Panorama: S
S
Panorama: S
Plantilla/grupo de
software de cliente GlobalProtect;
dispositivos: S
descargar, cargar o activar actualizaciones, y
ver las notas de la versin asociadas.
Plantilla/grupo de
dispositivos: S

software de cliente SSL VPN y ver las notas
de versin asociadas, pero no puede activar
las actualizaciones en cortafuegos.
no puede ver informacin sobre las
actualizaciones de software de cliente SSL
VPN, ver las notas de versin asociadas, ni
activar las actualizaciones en cortafuegos.
Cliente de
GlobalProtect

software de cliente GlobalProtect y ver las
notas de versin asociadas, pero no puede
activar las actualizaciones en cortafuegos.
no puede ver informacin sobre las
actualizaciones de software de cliente
GlobalProtect, ver las notas de versin
asociadas ni activar las actualizaciones en
cortafuegos.
103
Nivel de
acceso
Descripcin
Solo
lectura
Deshabilitar
S
Panorama: S
actualizar y activar licencias de cortafuegos. Plantilla/grupo de
dispositivos: S
licencias de cortafuegos pero no actualizar
ni activar esas licencias.
Actualizaciones Especifica si el administrador puede: ver

dinmicas
la funcin de
administrador
Panorama: S
Plantilla/grupo de
contenido (por ejemplo, actualizaciones de dispositivos: S
aplicaciones) instaladas en cortafuegos y
recopiladores de logs dedicados; descargar,
cargar o instalar actualizaciones, y ver las
notas de la versin asociadas.
contenido y ver las notas de versin
asociadas, pero no puede implementar las
actualizaciones en cortafuegos o
recopiladores de logs dedicados.
contenido de Panorama y ver las notas de
versin asociadas, pero no puede
implementar las actualizaciones en
cortafuegos o recopiladores de logs
dedicados.
Licencias

no podr ver, actualizar o activar licencias
de cortafuegos.
Clave maestra
y diagnstico

configurar una clave maestra con la que
cifrar claves privadas en Panorama.
Panorama: S
Plantilla/grupo de
dispositivos: No

configuracin de clave maestra de
Panorama, pero no cambiarla.
no podr ver ni editar la configuracin de
clave maestra Panorama.
104
Acceso a la interfaz web de Panorama

Las funciones personalizadas de administrador de Panorama le permiten definir el acceso a las opciones de
Panorama y le dan la capacidad de dar acceso nicamente a los grupos de dispositivos y plantillas (pestaas
Polticas, Objetos, Red y Dispositivo).
Las funciones administrativas que puede crear son Panorama y Grupo de dispositivo y plantilla. No puede
conceder privilegios de acceso a la CLI a una funcin administrativa Grupo de dispositivo y plantilla. Si asigna
privilegios de superusuario para la CLI a una funcin de administrador Panorama, los administradores con esa
funcin pueden acceder a todas las funciones, independientemente de los privilegios de interfaz web que asigne.
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Panel
Controla el acceso a la pestaa Panel. Si deshabilita

este privilegio, el administrador no ver la pestaa ni
tendr acceso a ninguno de los widgets del panel.
No
ACC
Controla el acceso al Centro de comando de aplicacin S

(ACC). Si deshabilita este privilegio, la pestaa ACC no
aparecer en la interfaz web. Recuerde que si quiere
proteger la privacidad de sus usuarios y a la vez seguir
proporcionando acceso al ACC, puede deshabilitar la
opcin Privacidad > Mostrar direcciones IP
completas y/o la opcin Mostrar nombres de
usuario en logs e informes.
No
Supervisar
S
Controla el acceso a la pestaa Supervisar. Si
pestaa Supervisar ni tendr acceso a ninguno de los
logs, capturas de paquetes, informacin de sesin,
informes o Appscope. Para obtener un control ms
detallado sobre qu informacin de supervisin puede
ver el administrador, deje la opcin Supervisar
detallado a la pestaa Supervisar.
No
Polticas
Controla el acceso a la pestaa Polticas. Si deshabilita S

Polticas ni tendr acceso a ninguna informacin de
poltica. Para obtener un control ms detallado sobre
qu informacin de polticas puede ver el
administrador, por ejemplo, para habilitar el acceso a un
tipo de poltica especfico o para habilitar el acceso de
solo lectura a informacin de polticas, deje la opcin
Polticas habilitada y, a continuacin, habilite o
describe en Acceso detallado a la pestaa Poltica.
No
105
Nivel de acceso
Descripcin
Objetos
Habilitar
Solo
lectura
Deshabilitar
Controla el acceso a la pestaa Objetos. Si deshabilita S

Objetos ni tendr acceso a ninguno de los objetos,
perfiles de seguridad, perfiles de reenvo de logs,
perfiles de descifrado o programaciones. Para obtener
un control ms detallado sobre qu objetos puede ver
el administrador, deje la opcin Objetos habilitada y, a
continuacin, habilite o deshabilite nodos especficos
en la pestaa como se describe en Acceso detallado a la
pestaa Objetos.
No
Red
Controla el acceso a la pestaa Red. Si deshabilita este S

privilegio, el administrador no ver la pestaa Red ni
tendr acceso a ninguna informacin de configuracin
de interfaz, zona, VLAN, Virtual Wire, enrutador virtual,
tnel de IPSec, DHCP, proxy DNS, GlobalProtect o
QoS o a los perfiles de red. Para obtener un control ms
detallado sobre qu objetos puede ver el administrador,
deje la opcin Red habilitada y, a continuacin, habilite o
describe en Acceso detallado a la pestaa Red.
No
Dispositivo
S
Controla el acceso a la pestaa Dispositivo. Si
pestaa Dispositivo ni tendr acceso a ninguna
como informacin de configuracin de User-ID, alta
disponibilidad, perfil de servidor o certificado. Si desea
un control ms granular de los objetos que puede ver el
administrador, deje activada la opcin Dispositivo y
active o desactive nodos especficos de la pestaa tal y
como se describe en Acceso detallado a la pestaa
Dispositivo.
No
No
No puede habilitar el acceso a los nodos

Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un acceso

completo a la pestaa Dispositivo.
Panorama
Controla el acceso a la pestaa Panorama. Si desactiva S

este privilegio, el administrador no ver la pestaa de
Panorama y no tendr acceso a ninguna informacin
en toda Panorama, como los Dispositivos gestionados,
Recopiladores gestionados o Grupos de recopiladores.
Si desea un control ms granular de los objetos que
puede ver el administrador, deje activada la opcin
Panorama y active o desactive nodos especficos de la
pestaa tal y como se describe en Concesin de acceso
granular a la pestaa Panorama.
106
Referencia: Nmeros de puerto usados por los dispositivos

de Palo Alto Networks
Las siguientes tablas enumeran los puertos que usan los dispositivos de Palo Alto Networks para comunicarse
entre s o con otros servicios de la red.
Puertos usados para funciones de gestin
Puertos usados para HA
Puertos usados para Panorama
Puertos usados para User-ID
Puertos usados para funciones de gestin

Puerto de
destino
Protocolo
Descripcin
22
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz CLI del
cortafuegos.
80
TCP
Puerto que escucha el cortafuegos para recibir actualizaciones de OCSP cuando

acta como OCSP responder.
123
UDP
Puerto que usa el cortafuegos para las actualizaciones NTP.
443
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz web del
cortafuegos. Este es tambin el puerto en el que escucha el cortafuegos o el agente
User-ID para las actualizaciones de origen de informacin de VM. Este es el nico
puerto que se usa para la supervisin de un entorno AWS. Para supervisar un
entorno VMware vCenter/ESXi, el puerto de escucha cambia de forma
predeterminada a 443, aunque puede configurarse.
162
UDP
Puerto que el cortafuegos, Panorama o el recopilador de logs usa para enviar Traps
SNMP a un receptor de traps SNMP.
Este puerto no tiene que estar abierto en el dispositivo Palo Alto Networks.
El receptor de trap SNMP debe estar configurado para escuchar en este
puerto.
161
UDP
Puerto que escucha el cortafuegos para las solicitudes de sondeo SNMP del NMS.
514
TCP
514
UDP
6514
SSL
Puerto que usan el cortafuegos, Panorama o el Recopilador de logs para enviar logs
a un servidor de Syslog y los puertos a los que escucha el agente de User-ID (en el
cortafuegos o en un servidor de Windows) para la autenticacin Mensajes de syslog
que se usan con User-ID.
2055
UDP
Puerto predeterminado que usa el cortafuegos para enviar registros de NetFlow,

aunque puede configurarse.
107
Puerto de
destino
Protocolo
Descripcin
5008
TCP
Puerto que el gestor de seguridad mvil de GlobalProtect escucha para recibir

solicitudes HIP de las puertas de enlace de GlobalProtect.
Si est usando un sistema MDM de terceros, puede configurar la puerta de enlace
para que use un puerto distinto, tal y como requiera el proveedor de MDM.
6081
TCP
6082
TCP
Puertos usados para Portal cautivo.
Puertos usados para HA

Los cortafuegos configurados como peers HA (Alta disponibilidad) deben poder comunicarse entre s para
mantener la informacin de estado (enlace de control HA1) y sincronizar los datos (enlace de datos HA2). En
las implementaciones de HA activa/activa, las implementaciones de los cortafuegos peer tambin deben
reenviar paquetes a los peer HA que posee la sesin. El enlace HA3 es un enlace de capa 2 (MAC en MAC) y
no admite cifrado ni direcciones de capa 3.
Puerto de
destino
Protocolo
Descripcin
28769
TCP
28260
TCP
Se usa para el enlace de control HA1 para una comunicacin de texto clara entre los
cortafuegos de peer de HA. El enlace de HA1 es un enlace de capa 3 y requiere una
direccin IP.
28
TCP
Se usa para el enlace de control HA1 para una comunicacin cifrada (SSH en TCP)
entre los cortafuegos de peer de HA.
28770
TCP
Puerto de escucha para enlaces de copia de seguridad HA1.
28771
TCP
Usado para copias de seguridad de heartbeat. Palo Alto Networks recomienda

activar la copia de seguridad de heartbeat en la interfaz de MGT si usa un puerto en
banda para HA1 o los enlaces de copia de seguridad HA1.
99
IP
29281
UDP
Se usa para el enlace HA2 para sincronizar sesiones, reenviar tablas, las asociaciones
de la seguridad IPSec y las tablas ARP entre los cortafuegos en un par de HA. El
flujo de datos en el enlace HA2 siempre es unidireccional (excepto para el
mantenimiento de HA2); fluye desde el dispositivo activo (activo/pasivo), o el
activo-principal (activo/activo) al dispositivo pasivo (activo/pasivo) o activo
secundario (activo/activo). El enlace de HA2 es un enlace de capa 2 y utiliza el tipo
0x7261 de manera predeterminada.
El enlace de datos HA tambin puede configurarse para usar el IP (nmero de
protocolo 99) o UDP (puerto 29281) como el transporte, y por lo tanto permite que
el enlace de datos de HA abarque las subredes.
108
Puertos usados para Panorama

Puerto de destino
Protocolo Descripcin
22
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz CLI de Panorama.
443
TCP
Se usa para comunicarse desde un sistema cliente con la interfaz web de Panorama.
3978
TCP
Se usa para la comunicacin entre Panorama y los dispositivos gestionados o

recopiladores de logs gestionados, as como la comunicacin entre los recopiladores
de logs en un grupo de recopiladores como sigue:
La comunicacin entre Panorama y los dispositivos gestionados es una conexin
bidireccional en la que los cortafuegos gestionados reenvan logs a Panorama y
Panorama enva los cambios de configuracin a los dispositivos gestionados. Los
comandos de cambio de contexto se envan a travs de la misma conexin.
Los recopiladores de logs usan este puerto de destino para reenviar los logs a
Panorama.
Para una comunicacin entre el recopilador de logs predeterminado en un
Panorama en modo Panorama y para la comunicacin con los recopiladores de
logs en un modo de arquitectura DLC.
28769 (5.1 o posterior)
TCP
TCP
49160 (5.0 o anterior)
TCP
28
TCP
Se usa para una conectividad HA y la sincronizacin entre los peers HA de

Panorama usando una comunicacin cifrada (SSH en TCP). Cualquiera de los peers
puede iniciar la comunicacin.
TCP
Se usa para la comunicacin entre recopiladores de logs en un grupo de

recopiladores para la distribucin de logs.
TCP
La usa el dispositivo virtual Panorama para escribir logs en el almacn de datos NFS.

2049
Se usa para una conectividad HA y la sincronizacin entre los peers HA de

Panorama usando una comunicacin de texto clara. Cualquiera de los peers puede
iniciar la comunicacin.
109
Puertos usados para User-ID

User-ID es una funcin que permite la asignacin de direcciones IP de usuario a nombres de usuario y miembros
de grupo, permitiendo polticas basadas en grupo o usuario y visibilidad sobre las actividades de sus usuarios en su
red (por ejemplo, poder seguir rpidamente a un usuario que puede ser vctima de una amenaza). Para realizar esta
asignacin, el cortafuegos, el agente User-ID (instalado o en un sistema Windows, o el agente integrado de
PAN-OS que funciona en el cortafuegos) o el agente de servicios de terminal debe poder conectar con los servicios
de directorio de su red para realizar Asignacin de grupos y Asignacin de usuario. Adems, si los agentes
funcionan en sistemas externos al cortafuegos, deben poder conectar con el cortafuegos para comunicar la
direccin IP con las asignaciones de nombre de usuario al cortafuegos. La siguiente tabla muestra los requisitos de
comunicacin para User-ID junto con los nmeros de puerto necesarios para establecer las conexiones.
Puerto de
destino
Protocolo
Descripcin
389
TCP
Puerto que usa el cortafuegos para conectar con el servidor LDAP (texto normal o
StartTLS) para Asignacin de usuarios a grupos.
636
TCP
Puerto que usa el cortafuegos para conectar con el servidor LDAP (LDAP por SSL)
para Asignacin de usuarios a grupos. Se usa para las conexiones LDAP por SSL.
514
514
6514
TCP
UDP
SSL
Puertos en los que escucha el agente User-ID (e el cortafuegos o en un servidor de

Windows) para recibir mensajes Syslog de autenticacin para usar con User-ID.
5007
TCP
Puerto en el que escucha el cortafuegos para conocer informacin de asignacin

desde el agente User-ID o el agente de servidor de terminal. El agente enva la
asignacin de direccin IP y nombre de usuario junto con una marca de tiempo
cuando sabe de una asignacin nueva o actualizada. Adems, conecta con el
cortafuegos a intervalos regulares para actualizar las actualizaciones conocidas.
5006
TCP
Puerto al que escucha el agente User-ID para recibir solicitudes de API XML de
User-ID. El origen de esta comunicacin suele ser el sistema que ejecuta una
secuencia de comandos que invoque la API.
88
UDP
Puerto que usa el agente User-ID para autenticarse en un servidor Kerberos.
1812
UDP
Puerto que usa el agente User-ID para autenticarse en un servidor RADIUS.
135
TCP
Puerto que usa el agente User-ID para establecer conexiones WMI basadas en TC
con el asignador de extremos de llamada a procedimiento remoto (RPC) de
Microsoft. El asignador de extremos asigna al agente un puerto asignado
aleatoriamente en el intervalo de puertos 49152-65535. El agente usa esta conexin
para crear consultas RPC para las tablas de sesin y los logs de seguridad del
servidor AD o servidor Exchange. Este es tambin el puerto que se usa para acceder
a los servicios de terminal.
El agente User-ID tambin usa este puerto para conectar con sistemas cliente y
realizar sondeos de WMI.
110
Puerto de
destino
Protocolo
Descripcin
139
TCP
Puerto que usa el agente User-ID para establecer conexiones NetBIOS basadas en
TCP con el servidor AD, de modo que pueda enviar consultas RPC sobre logs de
seguridad e informacin de sesin.
El agente User-ID tambin usa este puerto para conectar con sistemas cliente para
sondeos de NetBIOS (admitidos nicamente en el agente User-ID basado en
Windows).
445
TCP
Puerto que usa el agente User-ID para conectar con Active Directory (AD)
mediante conexiones SMB basadas en TCP al servidor AD para acceder a la
informacin de inicio de sesin de usuario (administrador de trabajos de impresin
y Net Logon).
111
Restablecimiento del cortafuegos a los ajustes

predeterminados de fbrica
El restablecimiento del cortafuegos a los ajustes predeterminados de fbrica producir la prdida de todos los
ajustes y logs de configuracin.
Paso 1
Configure una conexin de consola con

el cortafuegos.
1.
Conecte un cable serie desde su ordenador al puerto de la

consola y conecte con el cortafuegos usando el software de
emulacin de terminal (9600-8-N-1).
Si su ordenador no tiene un puerto de serie de 9 clavijas,
use un conector de puerto USB a serie.
2.
Introduzca sus credenciales de inicio de sesin.
3.
Introduzca el siguiente comando de la CLI:

debug system maintenance-mode
El cortafuegos se reinicia en el modo de mantenimiento.

Paso 2
Restablezca el sistema a los ajustes

predeterminados de fbrica.
1.
2.
Cuando el dispositivo reinicia, pulse Intro para continuar hacia

el men de modo de mantenimiento.
Seleccione Restablecimiento de la configuracin

y pulse Intro.
predeterminada de fbrica
3.
De nuevo, seleccione Restablecimiento de la

configuracin predeterminada de fbrica y pulse Intro.
El cortafuegos se reinicia sin ningn ajuste de configuracin. El

nombre de usuario y contrasea predeterminados para iniciar
sesin en el cortafuegos es admin/admin.
Para realizar una configuracin inicial del cortafuegos y
configurar la conectividad de red, consulte Integracin del
cortafuegos en su red de gestin.
112
Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, as como el modo de obtenerlos y gestionarlos:
Claves y certificados
Revocacin de certificados
Implementacin de certificados
Configuracin de la verificacin del estado de revocacin de certificados
Configuracin de la clave maestra
Obtencin de certificados
Configuracin de un perfil de certificado
Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo
Revocacin y renovacin de certificados
Claves seguras con un mdulo de seguridad de hardware
113
Para garantizar la confianza entre las partes de una sesin de comunicacin segura, los dispositivos de Palo Alto
Networks utilizan certificados digitales. Cada certificado contiene una clave criptogrfica para cifrar el texto sin
formato o descifrar el texto cifrado. Cada certificado tambin incluye una firma digital para autenticar la
identidad del emisor. Este debe estar incluido en la lista de entidades de certificacin (CA) de confianza de la
parte que realiza la autenticacin. De manera opcional, la parte que realiza la autenticacin verifica que el emisor
no haya revocado el certificado (consulte Revocacin de certificados).
Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
Autenticacin de usuarios para portal cautivo, GlobalProtect, gestor de seguridad mvil y acceso a la interfaz
web del cortafuegos/Panorama.
Autenticacin de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
Autenticacin de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).
Descifrado de trfico SSL entrante y saliente. Un cortafuegos descifra el trfico para aplicar polticas de
seguridad y reglas y, a continuacin, vuelve a cifrarlo antes de reenviar el trfico al destino definitivo. Para el
trfico saliente, el cortafuegos acta como servidor proxy de reenvo, estableciendo una conexin SSL/TLS
con el servidor de destino. Para proteger una conexin entre s mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
prctica recomendada es utilizar diferentes claves y certificados para cada uso.
Tabla: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/certificado
Descripcin
Acceso administrativo
Un acceso seguro a las interfaces de administracin de dispositivos (acceso HTTPS a la

interfaz web) requiere un certificado de servidor para la interfaz de gestin (o una interfaz
designada en el plano de datos si el dispositivo no utiliza una interfaz de gestin) y,
opcionalmente, un certificado para autenticar al administrador.
Portal cautivo
En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o adems de credenciales
de nombre de usuario/contrasea) para la identificacin de usuarios, designe tambin un
certificado de usuario. Si desea obtener ms informacin sobre el portal cautivo, consulte
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvo fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo confa
en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvo para generar una copia del certificado del servidor de destino y
enviarla al cliente. Para definir el tamao de clave, consulte Configuracin del tamao de
clave para los certificados de servidor proxy SSL de reenvo Para mayor seguridad, almacene
la clave en un mdulo de seguridad de hardware (si desea informacin detallada, consulte
Claves seguras con un mdulo de seguridad de hardware).
114
Descripcin
Reenvo no fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo no
confa en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvo para generar una copia del certificado del servidor de
destino y enviarla al cliente.
Inspeccin de entrada SSL
Claves que descifran el trfico SSL/TLS entrante para su inspeccin y la aplicacin de la

poltica. Para esta aplicacin, importe en el cortafuegos una clave privada para cada servidor
que est sujeto a una inspeccin entrante SSL/TLS. Consulte Configuracin de la
inspeccin de entrada SSL.
Certificado SSL de exclusin Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debera descifrar el trfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configrelos como
certificados SSL de exclusin. Consulte Configuracin de excepciones de descifrado.
GlobalProtect
Todas las interacciones entre componentes de GlobalProtect se producen en conexiones de

SSL/TLS. Por lo tanto, como parte de la implementacin de GlobalProtect, implemente
certificados de servidor para todos los portales, puertas de enlace y gestores de seguridad
mvil de GlobalProtect. Opcionalmente, implemente certificados tambin para los usuarios
que realizan la autenticacin.
Observe que la funcin de VPN a gran escala (LSVPN) de GlobalProtect requiere que una
CA firme el certificado.
VPN de sitio a sitio (IKE)
En una implementacin de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre s. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte Descripcin general de VPN de
sitio a sitio.
Clave maestra
El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseas.
Si su red requiere una ubicacin segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un mdulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener ms informacin, consulte Cifrado de una clave maestra
con HSM.
Syslog seguro
Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor Syslog.

Consulte Configuracin del cortafuegos para autenticarlo con el servidor Syslog.
CA raz de confianza
Designacin de un certificado raz emitido por una CA en la que confa el cortafuegos. El

cortafuegos puede utilizar un certificado de CA raz autofirmado para emitir certificados
automticamente para otras aplicaciones (por ejemplo, Proxy SSL de reenvo).
Asimismo, si un cortafuegos debe establecer conexiones seguras con otros cortafuegos, la
CA raz que emite sus certificados debe estar incluida en la lista de CA raz de confianza del
cortafuegos.
115
Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes
de una sesin de comunicacin segura. La configuracin de un dispositivo para que compruebe el estado de
revocacin de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no
es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada
certificado de la cadena, excepto el certificado de CA raz, cuyo estado de revocacin no puede verificar el
dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin que emiti el certificado deber revocarlo.
Los dispositivos de Palo Alto Networks admiten los siguientes mtodos para verificar el estado de revocacin
de certificados. Si configura los dos, los dispositivos primero intentarn utilizar el mtodo OCSP; si el servidor
OCSP no est disponible, los dispositivos utilizarn el mtodo CRL.
Lista de revocacin de certificados (CRL)
Protocolo de estado de certificado en lnea (OCSP)

En PAN-OS, la verificacin del estado de revocacin de certificados es una funcin opcional. La
prctica recomendada es habilitarla para perfiles de certificados, que definen la autenticacin de
usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso
a la interfaz web del cortafuegos/Panorama.
Lista de revocacin de certificados (CRL)

Cada entidad de certificacin (CA) emite peridicamente una lista de revocacin de certificados (CRL) en un
repositorio pblico. La CRL identifica los certificados revocados por su nmero de serie. Despus de que la CA
revoque un certificado, la siguiente actualizacin de la CRL incluir el nmero de serie de ese certificado.
El cortafuegos de Palo Alto Networks descarga y guarda en cach la ltima emisin de la CRL de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en cach solamente se aplica a
certificados validados; si un cortafuegos nunca valid un certificado, el cortafuegos no almacenar la CRL para
la CA de emisin. Asimismo, la cach solamente almacena una CRL hasta que vence.
El cortafuegos admite las CRL solo en formato de reglas de codificacin distinguida (DER). Si el cortafuegos
descarga una CRL en cualquier otro formato (como en formato de correo con privacidad mejorada o PEM),
cualquier proceso de verificacin de revocaciones que use esa CRL fallar cuando un usuario realice una
actividad que active el proceso (por ejemplo, el envo de datos SSL salientes). El cortafuegos generar un log de
sistema para el fallo de verificacin. Si la verificacin se aplicaba a un certificado SSL, el cortafuegos tambin
mostrar la pgina de respuesta de notificacin de errores de certificados SSL al usuario.
Para usar CRL para comprobar el estado de verificacin de los certificados usados para el descifrado de trfico
SSL/TLS entrante/saliente, consulte Configuracin de la verificacin de estado de certificados usados para la
descifrado de SSL/TLS.
Para utilizar las CRL para verificar el estado de revocacin de certificados que autentiquen usuarios y
dispositivos, configure un perfil de certificado y asgnelo a las interfaces especficas de la aplicacin: portal
cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la
116
interfaz web del cortafuegos/Panorama. Para obtener ms informacin, consulte Configuracin de la

verificacin del estado de revocacin de certificados utilizados para la autenticacin de usuarios/dispositivos.
Protocolo de estado de certificado en lnea (OCSP)

Al establecer una sesin SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en lnea
(OCSP) para comprobar el estado de revocacin del certificado de autenticacin. El cliente que realiza la
autenticacin enva una solicitud que contiene el nmero de serie del certificado al OCSP responder (servidor).
El respondedor busca en la base de datos de la entidad de certificacin (CA) que emiti el certificado y devuelve
una respuesta con el estado (Correcto, Revocado o Desconocido) al cliente. La ventaja del mtodo OCSP es que puede
verificar el estado en tiempo real, en lugar de depender de la frecuencia de emisin (cada hora, diariamente o
semanalmente) de las CRL.
El cortafuegos de Palo Alto Networks descarga y guarda en cach informacin de estado de OCSP de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en cach solamente se aplica a
certificados validados; si un cortafuegos nunca valid un certificado, la cach del cortafuegos no almacenar la
informacin de OCSP para la CA de emisin. Si su empresa tiene su propia infraestructura de clave pblica
(PKI), puede configurar el cortafuegos como un OCSP responder (consulte Configuracin de un OCSP
Responder).
Para utilizar el OCSP para verificar el estado de revocacin de certificados cuando el cortafuegos funcione como
proxy SSL de reenvo, realice los pasos que se indican en Configuracin de la verificacin de estado de
certificados usados para la descifrado de SSL/TLS.
Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo,
GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec y acceso a la interfaz web
del cortafuegos/Panorama. Para utilizar OCSP para verificar el estado de revocacin de los certificados:
Configure un OCSP responder.

Habilite el servicio OCSP de HTTP en el cortafuegos.
Cree u obtenga un certificado para cada aplicacin.
Configure un perfil de certificado para cada aplicacin.
Asigne el perfil de certificado a la aplicacin relevante.
Para cubrir situaciones en las que el OCSP responder no est disponible, configure la CRL como mtodo de
retroceso. Para obtener ms informacin, consulte Configuracin de la verificacin del estado de revocacin de
certificados utilizados para la autenticacin de usuarios/dispositivos.
117
Los enfoques bsicos de implementacin de certificados para dispositivos de Palo Alto Networks son los
siguientes:
Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una

entidad de certificacin (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales ya
confiarn en el certificado debido a que los exploradores comunes incluyen certificados de CA raz de CA
conocidas en sus almacenes de certificados raz de confianza. Por lo tanto, para aplicaciones que requieran
que los clientes finales establezcan conexiones seguras con un dispositivo de Palo Alto Networks, adquiera
un certificado de una CA en la que confen los clientes finales para no tener que implementar previamente
certificados de CA raz en los clientes finales. (Algunas de estas aplicaciones son un portal de GlobalProtect
o gestor de seguridad mvil de GlobalProtect.) Sin embargo, observe que la mayora de CA externas no
pueden emitir certificados de firma. Por lo tanto, este tipo de certificado no es adecuado para las aplicaciones
(por ejemplo, descifrado SSL/TLS y VPN a gran escala) que requieran que el cortafuegos emita certificados.
Consulte Obtencin de un certificado desde una CA externa.
Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrn
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este mtodo es que la clave privada
no abandona el cortafuegos. Un CA de empresa tambin puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS). Consulte Importacin de un certificado y una
clave privada.
Generacin de certificados autofirmados: Puede Creacin de un certificado de CA raz autofirmado en

el cortafuegos y usarlo para emitir automticamente certificados para otras aplicaciones de cortafuegos.
Observe que si utiliza este mtodo para generar certificados para una aplicacin que requiera que un cliente
final confe en el certificado, los usuarios finales vern un error de certificado debido a que el certificado de
CA raz no est en su almacn de certificados raz de confianza. Para evitar esto, implemente el certificado
de CA raz autofirmado en todos los sistemas de usuario final. Puede implementar los certificados
manualmente o utilizar un mtodo de implementacin centralizado como un objeto de directiva de grupo
(GPO) de Active Directory.
118
Configuracin de la verificacin del estado de revocacin

de certificados
Para verificar el estado de revocacin de certificados, el cortafuegos utiliza el protocolo de estado de certificado
en lnea (OCSP) y/o listas de revocacin de certificados (CRL). Si desea informacin detallada de estos
mtodos, consulte Revocacin de certificados Si configura ambos mtodos, el cortafuegos primero intentar
utilizar el OCSP y solamente retroceder al mtodo CRL si el OCSP responder no est disponible. Si su empresa
tiene su propia infraestructura de clave pblica (PKI), puede configurar el cortafuegos para que funcione como
el OCSP responder.
Los siguientes temas describen cmo configurar el cortafuegos para verificar el estado de revocacin de
certificados:
Configuracin de un OCSP Responder
Configuracin de la verificacin del estado de revocacin de certificados utilizados para la

autenticacin de usuarios/dispositivos
Configuracin de la verificacin de estado de certificados usados para la descifrado de SSL/TLS
Configuracin de un OCSP Responder

Para utilizar el protocolo de estado de certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, debe configurar el cortafuegos para que acceda a un OCSP responder (servidor). La entidad que
gestiona el OCSP responder puede ser una entidad de certificacin (CA) externa o, si su empresa tiene su propia
infraestructura de clave pblica (PKI), el propio cortafuegos. Si desea informacin detallada sobre OCSP,
consulte Revocacin de certificados
119
Configuracin de un OCSP responder
Paso 1
Defina un OCSP responder.
1.
En un cortafuegos, seleccione Dispositivo > Gestin de

certificados > OCSP responder y haga clic en Aadir.
En Panorama, seleccione Dispositivo > Gestin de
certificados > OCSP responder, seleccione una Plantilla y
haga clic en Aadir.
2.
Introduzca un Nombre para identificar al respondedor (hasta

31 caracteres). El nombre distingue entre maysculas y
minsculas. Debe ser exclusivo y utilizar nicamente letras,
nmeros, espacios, guiones y guiones bajos.
3.
Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el respondedor estar disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.
4.
En el campo Nombre de host, introduzca el nombre de host

(recomendado) o la direccin IP del OCSP responder. A partir
de este valor, PAN-OS deriva automticamente una URL y la
aade al certificado que se est verificando.
Si configura el propio cortafuegos como OCSP responder, el
nombre de host debe resolverse en una direccin IP de la
interfaz que utiliza el cortafuegos para servicios de OCSP
(especificado en el Paso 3).
5.
Paso 2
Habilite la comunicacin de OCSP en el

cortafuegos.
1.

En un cortafuegos, seleccione Dispositivo > Configuracin >
Gestin.
En Panorama, seleccione Dispositivo > Configuracin >

Gestin y seleccione una Plantilla.
2.
Paso 3
120
Opcionalmente, para configurar el propio 1.

cortafuegos como OCSP responder,
2.
aada un perfil de gestin de interfaz a la
interfaz utilizada para servicios OCSP.
3.
En la seccin Configuracin de interfaz de gestin, edite para

seleccionar la casilla de verificacin OCSP de HTTP y haga clic
en ACEPTAR.
Seleccione Red > Perfiles de red > Gestin de interfaz.
Haga clic en Aadir para crear un nuevo perfil o haga clic en el
nombre de un perfil existente.
Seleccione la casilla de verificacin OCSP de HTTP y haga clic
en ACEPTAR.
4.
Seleccione Red > Interfaces y haga clic en el nombre de la

interfaz que utilizar el cortafuegos para servicios OCSP. El
Nombre de host de OCSP que se especific en el Paso 1 debe
resolverse con una direccin IP en esta interfaz.
5.
Seleccione Avanzada > Otra informacin y seleccione el perfil

de gestin de interfaz que configur.
6.

utilizados para la autenticacin de usuarios/dispositivos
El cortafuegos utiliza certificados para autenticar usuarios y dispositivos para aplicaciones tales como portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para
mejorar la seguridad, la prctica recomendada es configurar el cortafuegos para que verifique el estado de
revocacin de certificados que utilice para la autenticacin de dispositivos/usuarios.
Configuracin de la verificacin del estado de revocacin de certificados utilizados para la autenticacin de
usuarios/dispositivos
Paso 1
Configuracin de un perfil de certificado Asigne uno o ms certificados CA raz al perfil y seleccione el modo
para cada aplicacin.
en que el cortafuegos verifica el estado de revocacin de certificados.
El nombre comn (FQDN o direccin IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea informacin detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte Claves y certificados
Paso 2
Asigne los perfiles de certificados a las

aplicaciones relevantes.
Los pasos para asignar un perfil de certificado dependen de la

aplicacin que lo requiera.
Configuracin de la verificacin de estado de certificados usados para la

descifrado de SSL/TLS
El cortafuegos descifra el trfico SSL/TLS entrante y saliente para aplicar reglas y polticas de seguridad y
despus vuelve a cifrar el trfico antes de reenviarlo. (Si desea informacin detallada, consulte Inspeccin de
entrada SSL y Proxy SSL de reenvo.) Puede configurar el cortafuegos para comprobar el estado de revocacin
de los certificados usados para la descripcin como sigue.
Si habilita la verificacin del estado de revocacin de certificados de descifrado SSL/TLS,
aadir tiempo al proceso de establecimiento de la sesin. El primer intento de acceder a un sitio
puede fallar si la verificacin no termina antes de que se acabe el tiempo de espera de la sesin.
Por estos motivos, la verificacin est deshabilitada de manera predeterminada.
Paso 1
Acceda a la pgina
Configuracin de revocacin
de certificado de descifrado.
En un cortafuegos, seleccione Dispositivo > Configuracin > Sesin y, en la

seccin Caractersticas de sesin, seleccione Configuracin de revocacin de
certificado de descifrado.
En Panorama, seleccione Dispositivo > Configuracin > Sesin, seleccione
una Plantilla y, en la seccin Caractersticas de sesin, seleccione
Configuracin de revocacin de certificado de descifrado.
121
Paso 2
Defina los intervalos de tiempo

de espera especficos de
servicio para las solicitudes de
estado de revocacin.
Realice uno de los siguientes pasos o ambos, en funcin de su el cortafuegos

va a usar Protocolo de estado de certificado en lnea (OCSP) o el mtodo Lista
de revocacin de certificados (CRL) para comprobar el estado de revocacin
de los certificados. Si el cortafuegos utiliza ambos, primero intentar utilizar
OCSP; si el OCSP responder no est disponible, entonces el cortafuegos
intenta utilizar el mtodo CRL.
1. En la seccin CRL, seleccione la casilla de verificacin Habilitar e
introduzca el Tiempo de espera de recepcin. Este es el intervalo
(1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta
del servicio CRL.
2.
En la seccin OCSP, seleccione la casilla de verificacin Habilitar e

introduzca el Tiempo de espera de recepcin. Este es el intervalo
(1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta
del OCSP responder.
Dependiendo del valor de Tiempo de espera del estado del certificado que
especifique en el Paso 3, puede que el cortafuegos registre un tiempo de espera
antes de que pase cualquiera de los intervalos de Tiempo de espera de
recepcin o ambos.
Paso 3
Defina el intervalo de tiempo

de espera total para las
solicitudes de estado de
revocacin.
Introduzca el Tiempo de espera del estado del certificado. Este es el

intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una
respuesta de cualquier servicio de estado de certificado y aplica la lgica de
bloqueo de sesin que puede definir en el Paso 4. El Tiempo de espera del
estado del certificado se relaciona con el Tiempo de espera de recepcin de
OCSP/CRL de la manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud despus de que pase el menor de dos intervalos: el valor
de Tiempo de espera del estado del certificado o la suma de los dos
valores de Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un tiempo de espera de
solicitud despus de que pase el menor de dos intervalos: el valor de Tiempo
de espera del estado del certificado o el valor de Tiempo de espera de
recepcin de CRL.
Paso 4
Defina el comportamiento de
bloqueo para el estado de
certificado Desconocido o un
tiempo de espera de solicitud
de estado de revocacin.
Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el servicio

OCSP o CRL devuelva el estado de revocacin de certificados Desconocido,
seleccione la casilla de verificacin Bloquear sesin con estado de certificado
desconocido. De lo contrario, el cortafuegos continuar con la sesin.
Si desea que el cortafuegos bloquee sesiones SSL/TLS despus de que registre
un tiempo de espera de solicitud, seleccione la casilla de verificacin Bloquear
sesin al agotar el tiempo de espera de comprobacin de estado de
certificado. De lo contrario, el cortafuegos continuar con la sesin.
Paso 5
122
Guarde y aplique sus entradas. Haga clic en ACEPTAR y Confirmar.

Cada cortafuegos tiene una clave maestra predeterminada que cifra las claves privadas y otros secretos (como
contraseas y claves compartidas). La clave privada autentica a los usuarios cuando acceden a interfaces
administrativas del cortafuegos. La prctica recomendada para proteger las claves es configurar la clave maestra
en cada cortafuegos para que sea exclusiva y cambiarla peridicamente. Para mayor seguridad, utilice una clave
de ajuste almacenada en un mdulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener
ms informacin, consulte Cifrado de una clave maestra con HSM.
En una configuracin de alta disponibilidad (HA), asegrese de que ambos dispositivos del par
utilizan la misma clave maestra para cifrar claves privadas y certificados. Si las claves maestras
son diferentes, la sincronizacin de la configuracin de HA no funcionar correctamente.
Cuando exporta una configuracin de cortafuegos, la clave maestra cifra las contraseas de los
usuarios gestionados en servidores externos. Para los usuarios gestionados localmente, el
cortafuegos aade hash a las contraseas pero la clave maestra no las cifra.
Configuracin de una clave maestra
1.
En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic
en el icono Editar.
En Panorama, seleccione Panorama > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic en el
icono Editar.
2.
Introduzca la Clave maestra actual, si existe.
3.
Defina una Nueva clave principal y, a continuacin, seleccione la accin Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.
4.
(Opcional) Para especificar la Duracin de la clave maestra, introduzca el nmero de Das y/u Horas tras los cuales
vencer la clave. Si establece una duracin, cree una nueva clave maestra antes de que venza la clave anterior.
5.
(Opcional) Si establece la duracin de una clave, introduzca un Tiempo para el recordatorio que especifique el
nmero de Das y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviar un
recordatorio por correo electrnico.
6.
(Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener ms informacin, consulte
Cifrado de una clave maestra con HSM.
7.
123
Creacin de un certificado de CA raz autofirmado
Generacin de un certificado en un cortafuegos
Importacin de un certificado y una clave privada
Obtencin de un certificado desde una CA externa
124
Creacin de un certificado de CA raz autofirmado

Un certificado de una entidad de certificacin (CA) raz autofirmado es el certificado de mayor nivel de una
cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados automticamente
para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS y para dispositivos
satlite de una VPN a gran escala de GlobalProtect.
Al establecer una conexin segura con el cortafuegos, el cliente remoto debe confiar en la CA raz que emiti el
certificado. De lo contrario, el explorador del cliente mostrar una advertencia indicando que el certificado no
es vlido y podra (dependiendo de la configuracin de seguridad) bloquear la conexin. Para evitar esto, despus
de generar el certificado de CA raz autofirmado, imprtelo en los sistemas cliente.
Generacin de un certificado de CA raz autofirmado
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
3.
Haga clic en Generar.
4.
Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre maysculas y minsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
En el campo Nombre comn, introduzca el FQDN (recomendado) o la direccin IP de la interfaz en la que

configurar el servicio que utilizar este certificado.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solo aparece si el dispositivo admite mltiples sistemas virtuales.
7.
Deje el campo Firmado por en blanco para designar el certificado como autofirmado.
8.
Seleccione la casilla de verificacin Autoridad del certificado.
9.
No seleccione un OCSP responder. La verificacin del estado de revocacin de certificados no se aplica a certificados
de CA raz.
10. Haga clic en Generar y Confirmar.
125
Generacin de un certificado en un cortafuegos

El cortafuegos utiliza certificados para autenticar clientes, servidores, usuarios y dispositivos en varias
aplicaciones, entre las que se incluyen descifrado SSL/TLS, portal cautivo, GlobalProtect, VPN de sitio a sitio
de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para cada uso. Si desea
informacin detallada sobre certificados especficos de aplicaciones, consulte Claves y certificados
Para generar un certificado, primero debe crear o importar un certificado de CA raz para firmarlo. Si desea
informacin detallada, consulte Creacin de un certificado de CA raz autofirmado o Importacin de un
certificado y una clave privada.
Para utilizar el protocolo de estado de certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, realice la accin de Configuracin de un OCSP Responder antes de generar el certificado. Si desea
informacin detallada sobre la verificacin del estado, consulte Revocacin de certificados
Generacin de un certificado en el cortafuegos
1.
2.
3.
4.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
En el campo Nombre comn, introduzca el FQDN (recomendado) o la direccin IP de la interfaz en la que

6.
7.
En el campo Firmado por, seleccione el certificado de CA raz que emitir el certificado.
8.
Si es aplicable, seleccione un OCSP responder.
9.
(Opcional) Defina la Configuracin criptogrfica segn sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con l. El tamao de clave predeterminado y recomendado (Nmero de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.
10. (Opcional) Deber Aadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Si aade un atributo Nombre de host (nombre DNS), la prctica recomendada es que coincida con el Nombre
comn. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaa Certificados de dispositivos, haga clic en el Nombre del certificado.
12. Seleccione las casillas de verificacin que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificacin Certificado de GUI web segura.
13. Haga clic en ACEPTAR y Confirmar.
126

Si su empresa tiene su propia infraestructura de clave pblica (PKI), puede importar un certificado y una clave
privada en el cortafuegos desde la entidad de certificacin (CA) de su empresa. Los certificados de CA de
empresa (a diferencia de la mayora de certificados adquiridos a una CA externa de confianza) pueden emitir
automticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran escala.
En lugar de importar un certificado de CA raz autofirmado en todos los sistemas cliente, la
prctica recomendada es importar un certificado desde la CA de la empresa, dado que los
clientes ya mantienen una relacin de confianza con la CA de la empresa, lo cual simplifica la
implementacin.
Si el certificado que va a importar forma parte de una cadena de certificados, la prctica
recomendada es importar toda la cadena.
1.
Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizar para la autenticacin.
Al exportar una clave privada, debe introducir una frase de contrasea para cifrar la clave para su transporte.
Asegrese de que el sistema de gestin puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contrasea para descifrarla.
2.
3.
4.
Haga clic en Importar.
5.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
6.
7.
Introduzca la ruta y el nombre del Archivo de certificado que recibi de la CA o seleccione Examinar para buscar
el archivo.
8.
Seleccione un Formato de archivo:

Clave privada cifrada y certificado (PKCS12): Este es el formato predeterminado y ms comn, en el que la clave
y el certificado estn en un nico contenedor (Archivo del certificado). Si un mdulo de seguridad de hardware
(HSM) va a almacenar la clave privada para este certificado, seleccione la casilla de verificacin La clave privada
reside en el mdulo de seguridad de hardware.
Certificado codificado en Base64 (PEM): Debe importar la clave independientemente del certificado. Si un
mdulo de seguridad de hardware (HSM) almacena la clave privada para este certificado, seleccione la casilla de
verificacin La clave privada reside en el mdulo de seguridad de hardware y omita el paso 9. De lo contrario,
seleccione la casilla de verificacin Importar clave privada, introduzca Archivo de clave o Examinar y realice el
paso 9.
9.
Introduzca y vuelva a introducir (confirme) la Frase de contrasea utilizada para cifrar la clave privada.
10. Haga clic en ACEPTAR. La pestaa Certificados de dispositivos muestra el certificado importado.
127
Obtencin de un certificado desde una CA externa

La ventaja de obtener un certificado de una entidad de certificacin (CA) externa es que la clave privada no
abandona el cortafuegos. Para obtener un certificado de una CA externa, genere una solicitud de firma de
certificado (CSR) y envela a la CA. Despus de que la CA emita un certificado con los atributos especiales,
imprtelo en el cortafuegos. La CA puede ser una CA pblica conocida o una CA de la empresa.
Para utilizar el protocolo de estado de certificacin en lnea (OCSP) para verificar el estado de revocacin del
certificado, realice la accin de Configuracin de un OCSP Responder antes de generar la CSR.
Obtencin de un certificado de una CA externa
Paso 1
Solicite el certificado de una CA externa. 1.

certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados
> Certificados > Certificados de dispositivos y seleccione una
Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa

muestra el men desplegable Ubicacin. Seleccione un sistema
virtual para el certificado. Para que el certificado est disponible
para todos los sistemas virtuales, seleccione la opcin
compartida descrita en el subpaso 6.
3.
4.
Introduzca un Nombre del certificado. El nombre distingue

entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras,
nmeros, guiones y guiones bajos.
5.
En el campo Nombre comn, introduzca el FQDN

(recomendado) o la direccin IP de la interfaz en la que
6.
Para que el certificado est disponible para todos los sistemas

virtuales, seleccione la casilla de verificacin Compartido. Esta
casilla de verificacin solo aparece si el dispositivo admite
mltiples sistemas virtuales.
7.
En el campo Firmado por, seleccione Autoridad externa

(CSR).
8.
Si procede, seleccione un OCSP Responder.
9.
(Opcional) Deber Aadir los Atributos del certificado para

identificar de manera exclusiva el cortafuegos y el servicio que
vaya a utilizar el certificado.
Si aade un atributo Nombre de host, la prctica
recomendada es que coincida con el Nombre comn
(esto es obligatorio para GlobalProtect). El nombre de
host cumplimenta el campo Nombre alternativo del
asunto (SAN) del certificado.
10. Haga clic en Generar. La pestaa Certificados de dispositivos

muestra la CSR con el estado Pendiente.
128
Obtencin de un certificado de una CA externa
Paso 2
Paso 3
Paso 4
Enve la CSR a la CA.
Importe el certificado.
Configure el certificado.
1.
Seleccione la CSR y haga clic en Exportar para guardar el

archivo .csr en un equipo local.
2.
Cargue el archivo .csr en la CA.
1.
Cuando la CA enve el certificado firmado en respuesta a la

CSR, vuelva a la pestaa Certificados de dispositivos y haga
clic en Importar.
2.
Introduzca el Nombre de certificado utilizado para generar la

CSR en el Paso 1-4.
3.
Introduzca la ruta y el nombre del Archivo del certificado

PEM que envi la CA o seleccione Examinar para buscarlo.
4.
Haga clic en ACEPTAR. La pestaa Certificados de

dispositivos muestra el certificado de un estado de vlido.
1.
Haga clic en el Nombre del certificado.
2.
Seleccione las casillas de verificacin que se correspondan con

el uso que se pretende dar al certificado en el cortafuegos. Por
ejemplo, si el cortafuegos va a utilizar este certificado para
autenticar a los administradores que acceden a la interfaz web,
seleccione la casilla de verificacin Certificado de GUI web
segura.
3.
129

Los perfiles de certificados definen la autenticacin de usuarios y dispositivos para portal cautivo,
GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad mvil y acceso a la interfaz web del
cortafuegos/Panorama. Los perfiles especifican qu certificados deben utilizarse, cmo verificar el estado de
revocacin de certificados y cmo restringe el acceso dicho estado. Configure un perfil de certificado para cada
aplicacin.
La prctica recomendada es habilitar el protocolo de estado de certificado en lnea (OCSP) y/o
la verificacin del estado de la lista de revocacin de certificados (CRL) para perfiles de
certificados. Si desea informacin detallada sobre estos mtodos consulte Revocacin de
certificados.
Paso 1
Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificacin (CA) que asignar.
CA que asignar al perfil. Debe asignar al menos uno.
Generacin de un certificado en un cortafuegos.
Exporte un certificado de la CA de su empresa y, a continuacin,
imprtelo en el cortafuegos (consulte Paso 3).
Paso 2
Identifique el perfil de certificado.
1.

certificados > Perfil del certificado y haga clic en Aadir.
En Panorama, seleccione Dispositivo > Gestin de certificados
> Perfil del certificado, seleccione una Plantilla y haga clic en
Aadir.
130
2.
Introduzca un Nombre para identificar el perfil. El nombre

distingue entre maysculas y minsculas. Debe ser exclusivo y
utilizar nicamente letras, nmeros, espacios, guiones y guiones
bajos. Puede tener hasta 31 caracteres.
3.
Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el perfil estar disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.
Paso 3
Asigne uno o ms certificados.
Realice los siguientes pasos para cada certificado:

1. En la tabla Certificados de CA, haga clic en Aadir.
2.
Seleccione un Certificado de CA del Paso 1 o haga clic en

Importar y realice los siguientes subpasos:
a. Introduzca un nombre de certificado.
b. Introduzca la ruta y el nombre del Archivo de certificado
que export desde la CA de su empresa o seleccione
Examinar para buscar el archivo.
c. Haga clic en ACEPTAR.
3.
Opcionalmente, si el cortafuegos utiliza OCSP para verificar el

estado de revocacin de certificados, configure los siguientes
campos para cancelar el comportamiento predeterminado. Para
la mayora de las implementaciones, estos campos no son
aplicables.
De manera predeterminada, el cortafuegos utiliza la URL del
OCSP responder que estableci en el procedimiento
Configuracin de un OCSP Responder. Para cancelar ese
ajuste, introduzca una URL de OCSP predeterminada (que
comience por http:// o https://).
De manera predeterminada, el cortafuegos utiliza el
certificado seleccionado en el campo Certificado de CA para
validar las respuestas de OCSP. Para utilizar un certificado
diferente para la validacin, seleccinelo en el campo
Verificacin de certificado CA con OCSP.
4.
Haga clic en ACEPTAR. La tabla Certificados de CA muestra el

certificado asignado.
131
Paso 4
Defina los mtodos para verificar el

estado de revocacin de certificados y el
comportamiento de bloqueo asociado.
1.
Seleccione Utilizar CRL y/o Utilizar OCSP. Si selecciona

ambos, el cortafuegos probar primero con OCSP y volver al
mtodo CRL solo si OCSP responder no est disponible.
2.
Dependiendo del mtodo de verificacin, introduzca el Tiempo

de espera de recepcin de CRL y/o Tiempo de espera de
recepcin de OCSP. Estos son los intervalos (1-60 segundos)
tras los cuales el cortafuegos deja de esperar una respuesta del
servicio CRL/OCSP.
3.
Introduzca el Tiempo de espera del estado del certificado.

Este es el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta de cualquier servicio de estado de
certificado y aplica la lgica de bloqueo de sesin que defina. El
Tiempo de espera del estado del certificado se relaciona con
el Tiempo de espera de recepcin de OCSP/CRL de la
manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra
un tiempo de espera de solicitud despus de que pase el
menor de dos intervalos: el valor de Tiempo de espera del
estado del certificado o la suma de los dos valores de
Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepcin de CRL.
4.
Si desea que el cortafuegos bloquee sesiones cuando el servicio

OCSP o CRL devuelva el estado de revocacin de certificados
Desconocido, seleccione la casilla de verificacin Bloquear una
sesin si el estado del certificado es desconocido. De lo
contrario, el cortafuegos continuar con la sesin.
5.
Si desea que el cortafuegos bloquee sesiones despus de que

registre un tiempo de espera de solicitud de OCSP o CRL,
seleccione la casilla de verificacin Bloquear una sesin si no
se puede recuperar el estado del certificado dentro del
tiempo de espera. De lo contrario, el cortafuegos continuar
con la sesin.
Paso 5
132
Guarde y aplique sus entradas.
Configuracin del tamao de clave para los certificados de servidor proxy SSL de reenvo
Configuracin del tamao de clave para los certificados de

servidor proxy SSL de reenvo
Cuando responde a un cliente en una sesin de Proxy SSL de reenvo, el cortafuegos crea una copia del
certificado que le presenta el servidor de destino y lo usa para establecer su conexin con el cliente. Por defecto,
el cortafuegos genera certificados con el mismo tamao de clave que el certificado que le ha presentado el
servidor de destino. Sin embargo, puede cambiar el tamao de la clave que usa el cortafuegos para generar
certificados para establecer sesiones entre s y los clientes como sigue:
Configuracin del tamao de clave para las comunicaciones de servidor proxy SSL de reenvo
Paso 1
Seleccione Dispositivo > Configuracin > Sesin y, en la seccin Configuracin de descifrado, haga clic en
Configuracin de certificados de servidor proxy de reenvo.
Paso 2
Seleccione un Tamao de clave:

Definido por el host de destino: El cortafuegos determina el tamao de clave de los certificados que genera
para establecer las sesiones de proxy SSL con clientes en funcin del tamao de clave del certificado del
servidor de destino. Si el servidor de destino usa una clave RSA de 1024 bits, el cortafuegos genera un
certificado con un tamao de clave y un algoritmo hash SHA-1. Si el servidor de destino usa un tamao de
clave superior a 1024 bits (por ejemplo, 2048 bits o 4096 bits), el cortafuegos genera un certificado que usar
una clave RSA de 2048 bits y un algoritmo SHA-256. Es el ajuste predeterminado.
RSA de 1024 bits: El cortafuegos genera certificados que usan una clave RSA de 1024 bits y un algoritmo de
hash SHA-1 independiente del tamao de clave de los certificados del servidor de destino. A fecha de 31 de
diciembre de 2013, las entidades de certificacin pblicas (CA) y navegadores ms populares han limitado la
compatibilidad con los certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro, en funcin
de los ajustes de seguridad, cuando aparezcan esas claves el navegador puede advertir al usuario o bloquear
la sesin SSL/TLS por completo.
RSA de 2048 bits: El cortafuegos genera certificados que usan una clave RSA de 2048 bits y un algoritmo de
hash SHA-256 independiente del tamao de clave de los certificados del servidor de destino. Las CA pblicas
y los navegadores ms populares admiten claves de 2048 bits, que proporcionan ms seguridad que las claves
de 1024 bits.
El cambio del ajuste del tamao de la clave borra la cach del certificado actual.
Paso 3
Haga clic en Aceptar y Compilar.
133
Revocacin de un certificado
Renovacin de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin (CA) que emiti el certificado deber revocarlo. La siguiente tarea
describe cmo revocar un certificado para el que el cortafuegos sea la CA.
1.
Seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
Seleccione el certificado que desea revocar.
4.
Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y aade el nmero
de serie a la cach del respondedor del protocolo de estado de certificado en lnea (OCSP) o la lista de revocacin
de certificados (CRL). No necesita realizar una confirmacin.
Si un certificado vence, o lo har pronto, puede restablecer el perodo de validez. Si una entidad de certificacin
(CA) externa firm el certificado y el cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos utilizar informacin del OCSP responder
para actualizar el estado del certificado (consulte Configuracin de un OCSP Responder). Si el cortafuegos es
la CA que emiti el certificado, el cortafuegos lo sustituir por un nuevo certificado que tenga un nmero de
serie diferente pero los mismos atributos que el certificado anterior.
1.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
Seleccione el certificado que desea renovar y haga clic en Renovar.
4.
Introduzca un Nuevo intervalo de vencimiento (en das).
5.
134

Un mdulo de seguridad de hardware (HSM) es un dispositivo fsico que gestiona claves digitales. Un HSM
proporciona un almacenamiento seguro y la generacin de claves digitales. Ofrece tanto proteccin lgica como
fsica de estos materiales ante un uso no autorizado y posibles atacantes.
Los clientes HSM integrados con dispositivos de Palo Alto Networks habilitan una seguridad mejorada para las
claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvo como la inspeccin de
entrada SSL). Adems, puede utilizar el HSM para cifrar claves maestras de dispositivos.
Los siguientes temas describen cmo integrar un HSM con sus dispositivos de Palo Alto Networks:
Configuracin de la conectividad con un HSM
Cifrado de una clave maestra con HSM
Almacenamiento de claves privadas en un HSM
Gestin de la implementacin del HSM
135
Configuracin de la conectividad con un HSM

Los clientes HSM estn integrados con los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 y
VM-Series y en Panorama (dispositivo virtual y dispositivo M-100) para su uso con los siguientes HSM:
SafeNet Luna SA 5.2.1 o posterior
Thales Nshield Connect 11.62 o posterior

La versin del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la
documentacin del proveedor del HSM para conocer la matriz de compatibilidad de la versin de
servidor cliente.
Los siguientes temas describen cmo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:
Configuracin de la conectividad con un HSM SafeNet Luna SA
Configuracin de la conectividad con un HSM Thales Nshield Connect

Para configurar la conectividad entre el dispositivo de Palo Alto Networks y un HSM SafeNet Luna SA, debe
especificar la direccin del servidor HSM y la contrasea para conectarse a l en la configuracin del
cortafuegos. Adems, debe registrar el cortafuegos con el servidor HSM. Antes de comenzar la configuracin,
asegrese de que ha creado una particin para los dispositivos de Palo Alto Networks en el servidor HSM.
La configuracin del HSM no est sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deber configurar el HSM por separado en cada uno de los peers.
En implementaciones de HA activas-pasivas, deber realizar manualmente una conmutacin por
error para configurar y autenticar cada peer de HA individualmente en el HSM. Despus de
realizar esta conmutacin por error manual, la interaccin del usuario no ser necesaria para la
funcin de conmutacin por error.
136
Paso 1
Configure el cortafuegos para

que se comunique con el HSM
SafeNet Luna SA.
1.
Inicie sesin en la interfaz web del cortafuegos y seleccione

Dispositivo > Configuracin > HSM.
2.
Edite la seccin Proveedor de mdulo de seguridad de hardware y

seleccione Safenet Luna SA como el Proveedor configurado.
3.
Haga clic en Aadir e introduzca un Nombre de mdulo. Puede ser

cualquier cadena ASCII con una longitud de hasta 31 caracteres.
4.
Introduzca la direccin IPv4 del HSM como Direccin de servidor.

Si est realizando una configuracin de HSM de alta disponibilidad,
introduzca los nombres de mdulos y las direcciones IP de los
dispositivos del HSM adicionales.
5.
(Opcional) Si est realizando una configuracin de HSM de alta

disponibilidad, seleccione la casilla de verificacin Alta disponibilidad y
aada lo siguiente: un valor para Reintento de recuperacin
automtica y un Nombre de grupo de alta disponibilidad.
Si hay dos servidores HSM configurados, debera configurar la alta
disponibilidad. De lo contrario, el segundo servidor HSM no se utilizar.
6.
Paso 2
(Opcional) Configure una ruta de 1.

servicio para permitir que el
2.
cortafuegos se conecte al HSM.
De manera predeterminada, el
cortafuegos utiliza la interfaz de
gestin para comunicarse con el
HSM. Para utilizar una interfaz
diferente, debe configurar una
ruta de servicio.
3.
Haga clic en ACEPTAR y Compilar.

Seleccione Configuracin de ruta de servicios en el rea Caractersticas
de servicios.
Seleccione Personalizar en el rea Configuracin de ruta de servicios.
4.
Seleccione la pestaa IPv4.
5.
Seleccione HSM en la columna Servicio.
6.
Seleccione una interfaz para utilizarla para el HSM en el men

desplegable Interfaz de origen.
Si selecciona un puerto conectado a un plano de datos para
HSM, la emisin del comando CLI clear session all borrar
todas las sesiones HSM existentes, provocando que todos los
estados del HSM se desconecten y luego se conecten. Durante
los segundos que necesita el HSM para recuperarse, fallarn
todas las operaciones de SSL/TLS.
Paso 3

autenticarlo para el HSM.
7.
1.
Seleccione Dispositivo > Configuracin > HSM.
2.
Seleccione Configurar mdulo de seguridad de hardware en la zona

Operaciones de seguridad de hardware.
3.
Seleccione el Nombre de servidor del HSM en el men desplegable.
4.
Introduzca la Contrasea de administrador para autenticar el

cortafuegos para el HSM.
5.

El cortafuegos intenta realizar una autenticacin con el HSM y muestra
un mensaje de estado.
6.
137
Configuracin de la conectividad con un HSM SafeNet Luna SA (Continuacin)
Paso 4
Registre el cortafuegos (el cliente 1.

HSM) con el HSM y asgnelo a
2.
una particin en el HSM.
Si el HSM ya tiene un
cortafuegos con el mismo
<cl-name> registrado,
deber eliminar el registro 3.
duplicado utilizando el
siguiente comando antes
de que el registro pueda
realizarse correctamente:
Inicie sesin en el HSM desde un sistema remoto.

Registre el cortafuegos utilizando el siguiente comando:
client register -c <cl-name> -ip <fw-ip-addr>
siendo <cl-name> un nombre que asigna al cortafuegos para su uso en

el HSM y <fw-ip-addr> la direccin IP del cortafuegos que se est
configurando como cliente HSM.
Asigne una particin al cortafuegos utilizando el siguiente comando:
client assignpartition -c <cl-name> -p <partition-name>
siendo <cl-name> el nombre asignado al cortafuegos en el comando

client register y <partition-name> el nombre de una particin
configurada anteriormente que desee asignar al cortafuegos.
client delete -client

<cl-name>
siendo <cl-name> el nombre del

registro de cliente (cortafuegos)
que desea eliminar.
Paso 5
Paso 6

conectarlo a la particin del
HSM.
1.
2.
Haga clic en el icono Actualizar.
3.
Seleccione Configurar particin HSM en el rea Operaciones de

seguridad de hardware.
4.
Introduzca la Contrasea de particin para autenticar el cortafuegos

para la particin del HSM.
5.
(Opcional) Configure un HSM

1.
adicional para alta disponibilidad
(HA).
2.
Siga del Paso 1 al Paso 5 para aadir un HSM adicional para alta
disponibilidad (HA).
Este proceso aade un nuevo HSM al grupo de HA existente.
Si elimina un HSM de su configuracin, repita el Paso 5.
Esto quitar el HSM eliminado del grupo de HA.
Paso 7
Verifique la conectividad con el

HSM.
1.
2.
Compruebe el Estado de la conexin del HSM:

Verde: HSM est autenticado y conectado.
Rojo: HSM no se ha autenticado o no hay conectividad de red al HSM.
3.
Consulte las columnas siguientes del rea Estado de mdulo de

seguridad de hardware para determinar el estado de autenticacin:
Nmero de serie: El nmero de serie de la particin HSM si el HSM se
ha autenticado con xito.
Particin: Nombre de la particin del HSM que se asign al
cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.
138

El siguiente flujo de trabajo describe cmo configurar el cortafuegos para comunicarse con un HSM Thales
Nshield Connect. Esta configuracin requiere que configure un sistema de archivos remoto (RFS) para utilizarlo
como concentrador y as sincronizar datos de claves de todos los cortafuegos de su organizacin que estn
utilizando el HSM.
La configuracin del HSM no est sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deber configurar el HSM por separado en cada uno de los peers.
Si la configuracin del cortafuegos de alta disponibilidad est en modo activo-pasivo, deber
realizar manualmente una conmutacin por error para configurar y autenticar cada peer de HA
individualmente en el HSM. Despus de realizar esta conmutacin por error manual, la
interaccin del usuario no ser necesaria para la funcin de conmutacin por error.
Paso 1
Configure el servidor
Thales Nshield Connect
como el proveedor de
HSM del cortafuegos.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuracin

> HSM y edite la seccin Proveedor de mdulo de seguridad de hardware.
2.
Seleccione Thales Nshield Connect como el Proveedor configurado.
3.
Haga clic en Aadir e introduzca un Nombre de mdulo. Puede ser cualquier

cadena ASCII con una longitud de hasta 31 caracteres.
4.
Introduzca la direccin IPv4 como la Direccin de servidor del HSM.

Si est realizando una configuracin de HSM de alta disponibilidad, introduzca
los nombres de mdulos y las direcciones IP de los dispositivos del HSM
adicionales.
Paso 2
5.
Introduzca la direccin IPv4 de la Direccin de sistema de archivos remoto.
6.
(Opcional) Configure una 1.

ruta de servicio para
2.
permitir que el
cortafuegos se conecte al
3.
HSM.
4.
De manera
5.
predeterminada, el
6.
cortafuegos utiliza la
interfaz de gestin para
comunicarse con el HSM.
Para utilizar una interfaz
diferente, debe configurar
una ruta de servicio.
7.

Seleccione Configuracin de ruta de servicios en el rea Caractersticas de
servicios.
Seleccione Personalizar en el rea Configuracin de ruta de servicios.
Seleccione la pestaa IPv4.
Seleccione HSM en la columna Servicio.
Seleccione una interfaz para utilizarla para el HSM en el men desplegable
Interfaz de origen.
Si selecciona un puerto conectado a un plano de datos para HSM, la
emisin del comando CLI clear session all borrar todas las
sesiones HSM existentes, provocando que todos los estados del HSM
se desconecten y luego se conecten. Durante los segundos que necesita
el HSM para recuperarse, fallarn todas las operaciones de SSL/TLS.
139
Configuracin de la conectividad con un HSM Thales Nshield Connect (Continuacin)
Paso 3
Registre el cortafuegos (el 1.

cliente HSM) con el
servidor HSM.
2.
Este paso describe
brevemente el
procedimiento para
utilizar la interfaz del panel
frontal del HSM Thales
Nshield Connect. Si desea
informacin ms
detallada, consulte la
documentacin de Thales.
Paso 4
Configure el sistema de
archivos remoto para
aceptar conexiones del
cortafuegos.
Inicie sesin en la pantalla del panel frontal de la unidad HSM Thales Nshield
Connect.
En el panel frontal de la unidad, utilice el botn de navegacin de la derecha
para seleccionar Sistema > Configuracin del sistema > Configuracin de
cliente > Nuevo cliente.
3.
Introduzca la direccin IP del cortafuegos.
4.
Seleccione Sistema > Configuracin del sistema > Configuracin de

cliente > Sistema de archivos remoto e introduzca la direccin IP del equipo
cliente donde configure el sistema de archivos remoto.
1.
Inicie sesin en el sistema de archivos remoto (RFS) desde un cliente Linux.
2.
Obtenga el nmero de serie electrnico (ESN) y el hash de la clave KNETI. La

clave KNETI autentica el mdulo para clientes:
anonkneti <ip-address>
siendo <ip-address> la direccin IP del HSM.

A continuacin se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
En este ejemplo, B1E2-2D4C-E6A2 es el ESM y

5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI.
3.
Utilice el siguiente comando de una cuenta de superusuario para realizar la

configuracin del sistema de archivos remoto:
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
siendo <ip-address> la direccin IP del HSM,

<ESN>
el nmero de serie electrnico (ESN) y
<hash-Kneti-key>
el hash de la clave KNETI.
El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento:

rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4.
Utilice el siguiente comando para permitir un envo de cliente en el sistema de

archivos remoto:
rfs-setup --gang-client --write-noauth <FW-IPaddress>
siendo <FW-IPaddress> la direccin IP del cortafuegos.
140
Configuracin de la conectividad con un HSM Thales Nshield Connect (Continuacin)
Paso 5
Configure el cortafuegos
para autenticarlo para el
HSM.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo >

Configuracin > HSM.
2.
Seleccione Configurar mdulo de seguridad de hardware en el rea

3.

El cortafuegos intenta realizar una autenticacin con el HSM y muestra un
mensaje de estado.
4.
Paso 6
Paso 7
Sincronice el cortafuegos 1.
con el sistema de archivos 2.
remoto.
Verifique que el
cortafuegos puede
conectarse al HSM.

Seleccione Sincronizar con sistema de archivos remoto en la seccin
1.
2.
Compruebe el indicador de estado para verificar que el cortafuegos est

conectado al HSM:
Verde: HSM est autenticado y conectado.
Rojo: HSM no se ha autenticado o no hay conectividad de red al HSM.
3.
Consulte las columnas siguientes de la seccin Estado de mdulo de seguridad

de hardware para determinar el estado de autenticacin:
Nombre: Nombre del HSM que trata de ser autenticado.
Direccin IP: Direccin IP del HSM que se asign en el cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM: Autenticado o
No autenticado.
141
Cifrado de una clave maestra con HSM

En un cortafuegos de Palo Alto Networks hay configurada una clave maestra para cifrar todas las claves privadas
y contraseas. Si tiene requisitos de seguridad para almacenar sus claves privadas en una ubicacin segura, puede
cifrar la clave maestra utilizando una clave de cifrado que se almacene en un HSM. A continuacin, el
cortafuegos solicitar al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contrasea
o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicacin de alta seguridad
separada del cortafuegos para mayor seguridad.
El HSM cifra la clave maestra mediante una clave de ajuste. Para mantener la seguridad, esta clave de cifrado
debe cambiarse de vez en cuando. Por este motivo, se proporciona un comando en el cortafuegos para rotar la
clave de ajuste que cambia el cifrado de la clave maestra. La frecuencia de esta rotacin de la clave de ajuste
depende de su aplicacin.
El cifrado de clave maestra con un HSM no se admite en los cortafuegos configurados en un
modo FIPS o CC.
Los temas siguientes describen cmo descifrar la clave maestra inicialmente y cmo actualizar el cifrado de la
clave maestra.
Cifrado de la clave maestra
Actualizacin del cifrado de la clave maestra
Cifrado de la clave maestra

Si no ha cifrado anteriormente la clave maestra de un dispositivo, utilice el siguiente procedimiento para cifrarla.
Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y desea
descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualizacin del cifrado
de la clave maestra.
Cifrado de una clave maestra utilizando un HSM
Paso 1
Seleccione Dispositivo > Clave maestra y diagnstico.
Paso 2
Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseas del cortafuegos
en el campo Clave maestra.
Paso 3
Si est cambiando la clave maestra, introduzca la nueva clave maestra y confrmela.
Paso 4
Seleccione la casilla de verificacin HSM.

Duracin: Nmero de das y horas tras el cual vence la clave maestra (rango: 1-730 das).
Tiempo para el recordatorio: Nmero de das y horas antes del vencimiento en cuyo momento se notificar al
usuario del vencimiento inminente (rango: 1-365 das).

Paso 5
142
Actualizacin del cifrado de la clave maestra

La prctica recomendada es actualizar el cifrado de clave maestra con regularidad rotando la clave de ajuste de
clave maestra en el HSM Este comando es el mismo para los HSM SafeNet Luna SA y Thales Nshield Connect.
Actualizacin del cifrado de clave maestra
1.
Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM y
cifrar la clave maestra con la nueva clave de ajuste.
Si la clave maestra no est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.
143

Para mayor seguridad, las claves privadas utilizadas para habilitar el descifrado SSL/TLS (tanto el proxy SSL de
reenvo como la inspeccin de entrada SSL) pueden protegerse con un HSM de la manera siguiente:
Proxy SSL de reenvo: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvo se puede almacenar en el HSM. A continuacin, el cortafuegos
enviar los certificados que genere durante las operaciones de proxy SSL/TLS de reenvo al HSM para su
envo antes de reenviarlos al cliente.
Inspeccin de entrada SSL: Las claves privadas de los servidores internos para los que est haciendo una
inspeccin de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cmo importar claves privadas en el HSM, consulte la documentacin de su
proveedor de HSM. Despus de que las claves necesarias se encuentren en el HSM, podr configurar el
cortafuegos para ubicar las claves de la manera siguiente:
Para obtener instrucciones sobre cmo importar claves privadas en el HSM,

consulte la documentacin de su proveedor de HSM.
Paso 1
Importe las claves privadas

utilizadas en sus
implementaciones de proxy SSL
de reenvo y/o inspeccin de
entrada SSL en el HSM.
Paso 2
1.
(nicamente Thales Nshield
Connect) Sincronice los datos de
claves del sistema de archivos
2.
remoto del HSM con el
cortafuegos.
Paso 3
1.
Importe los certificados que se
correspondan con las claves
privadas que est almacenando en 2.
el HSM en el cortafuegos.
3.
4.
Paso 4
Seleccione Sincronizar con sistema de archivos remoto en la seccin

Desde la interfaz web del cortafuegos, seleccione Dispositivo > Gestin
de certificados > Certificados > Certificados de dispositivos.
Haga clic en Importar.
Introduzca el Nombre de certificado.
Introduzca el nombre de archivo del Archivo del certificado que
import en el HSM.
5.
Seleccione el Formato de archivo adecuado en el men desplegable.
6.
Seleccione la casilla de verificacin La clave privada reside en el

mdulo de seguridad de hardware.
7.
(nicamente certificados fiables 1.

de reenvo) Habilite el certificado
para su uso en el proxy SSL/TLS 2.
de reenvo.
3.
4.
144

Configuracin > HSM.
Seleccione Dispositivo > Gestin de certificados > Certificados >

Certificados de dispositivos.
Localice el certificado que import en el Paso 3.
Seleccione la casilla de verificacin Reenviar certificado fiable.
Almacenamiento de claves privadas en un HSM (Continuacin)
Paso 5
Verifique que el certificado se ha 1.

importado correctamente en el
cortafuegos.
2.
3.
Seleccione Dispositivo > Gestin de certificados > Certificados >

Localice el certificado que import en el Paso 3.
En la columna Clave, observe lo siguiente:
Si se muestra un icono de bloqueo, la clave privada del certificado puede
encontrarse en el HSM.
Si se muestra un icono de error, la clave privada no se ha importado en
el HSM o el HSM no est autenticado o conectado correctamente.
145
Gestin de la implementacin del HSM

Gestin del HSM
Visualice los ajustes de

configuracin del HSM.
Muestre la informacin detallada Seleccione Mostrar informacin detallada en la seccin Operaciones de seguridad
del HSM.
de hardware.
Aparecer informacin relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.
Exporte el archivo de
compatibilidad.
Seleccione Exportar archivo de asistencia en la seccin Operaciones de seguridad

de hardware.
Se crear un archivo de prueba para ayudar en la asistencia a los clientes cuando se
trate de solucionar un problema con una configuracin del HSM en el cortafuegos.
Restablezca la configuracin del Seleccione Restablecer configuracin de HSM en la seccin Operaciones de

HSM.
seguridad de hardware.
Seleccionar esta opcin elimina todas las conexiones del HSM. Todos los
procedimientos de autenticacin debern repetirse despus de utilizar esta opcin.
146
Alta disponibilidad
La alta disponibilidad (HA) es una configuracin en la que dos cortafuegos se colocan en un grupo y su
configuracin se sincroniza para prevenir el fallo de un nico punto en su red. Una conexin de latido entre los
peers del cortafuegos garantiza una conmutacin por error sin problemas en el caso de que falle un peer. La
configuracin de los cortafuegos en un clster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronizacin de sesin y configuracin. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, nicamente admiten HA lite sin capacidad de sincronizacin de sesin. Los siguientes
temas proporcionan ms informacin sobre la alta disponibilidad y sobre cmo configurarla en su entorno.
Descripcin general de la alta disponibilidad
Conceptos de HA
Configuracin de la HA activa/pasiva
Recursos de HA
Alta disponibilidad
147
Alta disponibilidad

En cortafuegos de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le
permite reducir al mnimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso
de que falle el dispositivo principal. Los dispositivos utilizan puertos de HA especficos o internos en el
cortafuegos para sincronizar datos (configuraciones de red, objeto y poltica) y mantener informacin de estado.
Los dispositivos no comparten informacin de la configuracin especfica de los dispositivos, como la direccin
IP del puerto de gestin o perfiles de administrador, la configuracin especfica de HA, datos de log y el Centro
de comando de aplicacin (ACC). Para obtener una vista consolidada de aplicaciones y logs a travs del par de
HA deber utilizar Panorama, el sistema de gestin centralizado de Palo Alto Networks.
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Las condiciones que activan una conmutacin por
error son las siguientes:
Falla una o ms de las interfaces supervisadas. (Supervisin de enlaces)
No se puede llegar a uno o ms de los destinos especificados en el dispositivo. (Supervisin de rutas)
El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat y mensajes de saludo)
Cuando haya comprendido los Conceptos de HA, vaya a Configuracin de la HA activa/pasiva.
148
Alta disponibilidad
Alta disponibilidad
Conceptos de HA
Conceptos de HA
Los siguientes temas ofrecen informacin conceptual sobre cmo funciona la HA en un cortafuegos de
Palo Alto Networks:
Modos de HA
Enlaces de HA y enlaces de copia de seguridad
Prioridad y preferencia de dispositivos
Activadores de conmutacin por error
Temporizadores de HA
Modos de HA
Puede configurar los cortafuegos para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea informacin sobre cmo
ajustar sus dispositivos en una configuracin activa/pasiva, consulte Configuracin de la HA activa/pasiva.
Los cortafuegos PA-200 y VM-Series admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de
sesiones y, por lo tanto, HA Lite no ofrece una conmutacin por error con estado.
Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan
sincronizadamente para gestionar la configuracin y la pertenencia de la sesin. La implementacin
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y nicamente se recomienda
para redes con enrutamiento asimtrico. Si desea informacin sobre el establecimiento de una configuracin
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota tcnica sobre
alta disponibilidad activa/activa).
Enlaces de HA y enlaces de copia de seguridad

Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener informacin de
estado. Algunos modelos del cortafuegos tienen puertos de HA especficos, como enlace de control (HA1) y
enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
En dispositivos con puertos de HA especficos como los cortafuegos de las series PA-3000, PA-4000, PA-5000
y PA-7050 (consulte Puertos de HA en el cortafuegos PA-7050), utilice los puertos de HA especficos para
gestionar la comunicacin y la sincronizacin entre los dispositivos. Para dispositivos sin puertos de HA
especficos, como los cortafuegos de las series PA-200, PA-500 y PA-2000, la prctica recomendada es utilizar
el puerto de gestin para el enlace de HA1 para permitir una conexin directa entre los planos de gestin de los
dispositivos y un puerto interno para el enlace de HA2.
Alta disponibilidad
149
Conceptos de HA
Alta disponibilidad
Los enlaces de HA1 y HA2 proporcionan sincronizacin para funciones que residen en el plano
de gestin. Utilizar las interfaces de HA especficas del plano de gestin es ms eficaz que
utilizar los puertos internos, ya que as se elimina la necesidad de pasar los paquetes de
sincronizacin a travs del plano de datos.
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto claro; puerto
28 para una comunicacin cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimtrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesin. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente de la de los enlaces
de HA principales.
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.
Puertos de HA en el cortafuegos PA-7050

Para la conectividad de HA en el PA-7050, consulte la siguiente tabla para obtener informacin detallada sobre
qu puertos de la tarjeta de gestin de conmutadores (SMC) son obligatorios y qu puertos de la tarjeta de
procesamiento de red (NPC) son adecuados. Para obtener una descripcin general de los mdulos y las tarjetas
de interfaz del cortafuegos PA-7050, consulte la Gua de referencia de hardware de PA-7050.
150
Alta disponibilidad
Alta disponibilidad
Conceptos de HA
Los siguientes puertos de la SMC estn diseados para la conectividad de HA:

Enlaces de HA Puertos de la SMC
y enlaces de
copia de
seguridad
Descripcin
Enlace de
control
Se utiliza para el control y la sincronizacin de HA. Conecte este

puerto directamente desde el puerto HA1-A del primer dispositivo al
puerto HA1-A del segundo dispositivo del par, o bien conctelos
juntos a travs de un conmutador o enrutador.
HA1-A
Velocidad: Ethernet
10/100/1000
HA1 no se puede configurar en puertos de datos NPC o el puerto

MGT.
Copia de
seguridad de
enlace de
control
HA1-B
Velocidad: Puerto Ethernet
10/100/1000
Se utiliza para el control y la sincronizacin de HA como copia de

seguridad para HA1-A. Conecte este puerto directamente desde el
puerto HA1-B del primer dispositivo al puerto HA1-B del segundo
dispositivo del par, o bien conctelos juntos a travs de un
conmutador o enrutador.
La copia de seguridad de HA1 no se puede configurar en puertos de
datos de NPC o el puerto de gestin.
Enlace de
datos
Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
cortafuegos PA-7050 con una configuracin de HA. Cada puerto
(High Speed Chassis
consta de cuatro enlaces internos de 10 gigabits para alcanzar una
Interconnect, interconexin
de bastidores de alta velocidad) velocidad combinada de 40 gigabits y se usa para enlaces de datos
HA2 en la configuracin activa/pasiva. En el modo activo/activo, el
puerto tambin se usa para reenvo de paquetes HA3 en sesiones de
enrutamiento asimtrica que requieren inspeccin de capa 7 para
App-ID y Content-ID.
HSCI-A
En una instalacin tpica, el puerto HSCI-A del primer bastidor se

conecta directamente al HSCI-A del segundo y el HSCI-B del primer
bastidor se conecta al HSCI-B del segundo. As se alcanzan
velocidades de transferencia mximas de 80 gigabits. En software,
ambos puertos (HSCI-A y HSCI-B) se tratan como una nica interfaz
HA.
Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre s.
Palo Alto Networks recomienda utilizar los puertos HSCI especficos
para las conexiones de HA2 y HA3. Sin embargo, pueden configurarse
los enlaces de HA2 y HA3 en puertos de datos de NPC, si es necesario.
Copia de
seguridad de
enlace de
datos
HSCI-B
Las interfaces Quad Port SFP (QSFP) (consulte la descripcin

anterior) del puerto HSCI-B se utilizan para aumentar el ancho de
banda para HA2/HA3.
(High Speed Chassis

Interconnect, interconexin
de bastidores de alta velocidad) Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre s.
Palo Alto Networks recomienda utilizar los puertos HSCI-B

especficos para las conexiones de copia de seguridad de HA2 y HA3.
Puede configurarse un enlace de copia de seguridad de HA2/HA3 en
los puertos de datos de NPC, si es necesario.
Alta disponibilidad
151
Conceptos de HA
Alta disponibilidad
Prioridad y preferencia de dispositivos

A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una
preferencia por el dispositivo que debera asumir el papel activo y gestionar el trfico. Si necesita utilizar un
dispositivo especfico del par de HA para proteger de manera activa el trfico, debe habilitar el comportamiento
de preferencia en ambos cortafuegos y asignar un valor de prioridad de dispositivo para cada dispositivo.
El dispositivo con el valor numrico ms bajo y, por lo tanto, mayor prioridad, se designar como activo y
gestionar todo el trfico de la red. El otro dispositivo estar en un estado pasivo y sincronizar informacin
de configuracin y estado con el dispositivo activo, de manera que est listo para pasar al estado activo en el
caso de producirse un fallo.
De manera predeterminada, la preferencia est deshabilitada en los cortafuegos y debe habilitarse en ambos
dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el cortafuegos con la mayor
prioridad (valor numrico ms bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una
preferencia, el evento se registra en los logs del sistema.
Activadores de conmutacin por error

Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Una conmutacin por error se activa cuando falla
una mtrica supervisada en el dispositivo activo. Las mtricas que se supervisan para detectar un fallo de
dispositivo son las siguientes:
Sondeos de heartbeat y mensajes de saludo

Los cortafuegos utilizan mensajes de saludo y heartbeats para comprobar que el peer responde y est
operativo. Los mensajes de saludo se envan desde un peer al otro en el intervalo de saludo configurado para
verificar el estado del dispositivo. El heartbeat es un ping ICMP para el peer de HA a travs del enlace de
control y el peer responde al ping para establecer que los dispositivos estn conectados y responden. De
manera predeterminada, el intervalo para el heartbeat es de 1.000 milisegundos. Si desea informacin
detallada sobre los temporizadores de HA que activan una conmutacin por error, consulte Temporizadores
de HA.
Supervisin de enlaces
Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y se supervisa su estado
(enlace activado o desactivado). Un grupo de enlaces puede contener una o ms interfaces fsicas. Se activa
un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El comportamiento
predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el dispositivo cambie el
estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisin de rutas
Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia. Los pings ICMP se utilizan
para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para pings es de 200 ms. Se
considera que no se puede llegar a una direccin IP cuando fallan 10 pings consecutivos (el valor
predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna o todas las direcciones
IP supervisadas. El comportamiento predeterminado es que cualquiera de las direcciones IP a las que no se
pueda llegar har que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto
supervisado.
152
Alta disponibilidad
Alta disponibilidad
Conceptos de HA
Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutacin por error si
falla una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han aadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automticamente los valores ptimos del temporizador de HA para la plataforma de cortafuegos especfica con
el fin de habilitar una implementacin de HA ms rpida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutacin por error y el perfil
Agresivo para ajustes ms rpidos del temporizador de conmutacin por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican nicamente como referencia y pueden cambiar en
versiones posteriores.
Valores de temporizador de HA Recomendada/Agresivo por plataforma
Temporizadores
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Tiempo de espera
Intervalo durante el cual el
ascendente tras fallo cortafuegos permanecer
de supervisor
activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutacin por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.
0/0
0/0
0/0
Tiempo de espera
para ser preferente
1/1
1/1
1/1
Alta disponibilidad
Descripcin
Tiempo que un dispositivo

pasivo o secundario activo
esperar antes de tomar el
control como dispositivo
activo o principal activo.
153
Conceptos de HA
Temporizadores
Alta disponibilidad
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
2000/1000
2000/1000
2000/500
Tiempo de espera de Tiempo que el dispositivo
promocin
pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperar antes
de tomar el control como
dispositivo activo o principal
activo despus de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
nicamente comenzar
despus de haber realizado una
declaracin de fallo de peer.
2000/500
2000/500
500/500
Este intervalo de tiempo se
Tiempo de espera
ascendente principal aplica al mismo evento que
adicional
Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms).
El intervalo de tiempo
adicional nicamente se aplica
al dispositivo activo en el
modo activo/pasivo y al
dispositivo principal activo
en el modo activo/activo. Se
recomienda este temporizador
para evitar una conmutacin
por error cuando ambos
dispositivos experimentan el
mismo fallo de supervisor de
enlace/ruta simultneamente.
500/500
7000/5000
Intervalo de
heartbeat
154
Frecuencia con la que los peers 1000/1000

de HA intercambian mensajes
de heartbeat en forma de un
ping ICMP.
Alta disponibilidad
Alta disponibilidad
Temporizadores
Intervalo de saludo
Conceptos de HA
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
8000/8000
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos est operativo.
El rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
3/3
N. mximo de flaps Se cuenta un flap cuando el
cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo.
Este valor indica el nmero
mximo de flaps permitidos
antes de que se determine
suspender el cortafuegos y que
el cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).
Alta disponibilidad
8000/8000
8000/8000
3/3
No aplicable
155
Alta disponibilidad
Requisitos para la HA activa/pasiva
Directrices de configuracin para la HA activa/pasiva
Definicin de las condiciones de conmutacin por error
Verificacin de conmutacin por error
156
Alta disponibilidad
Alta disponibilidad
Requisitos para la HA activa/pasiva

Para configurar la alta disponibilidad en sus cortafuegos de Palo Alto Networks, necesitar un par de
cortafuegos que cumplan los siguientes requisitos:
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina
virtual.
La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).
El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.
Determine la direccin IP de la conexin de HA1 (control) entre el par de dispositivos. La direccin IP

de HA1 de ambos peers debe estar en la misma subred si estn conectados directamente o si estn
conectados al mismo conmutador.
En el caso de dispositivos sin puertos de HA especficos, puede utilizar el puerto de gestin para la
conexin de control. Al utilizar el puerto de gestin obtiene un enlace de comunicacin directa entre
los planos de gestin de ambos dispositivos. Sin embargo, dado que los puertos de gestin no tienen
cables directos entre los dispositivos, asegrese de que tiene una ruta que conecte estas dos interfaces
a travs de su red.
Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si
los dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un cortafuegos existente y desea aadir un nuevo cortafuegos para HA pero el nuevo
cortafuegos tiene una configuracin existente, se recomienda que realice un Restablecimiento
del cortafuegos a los ajustes predeterminados de fbrica en el nuevo cortafuegos. Esto
garantizar que el nuevo cortafuegos tenga una configuracin limpia. Despus de configurar la
HA, deber sincronizar la configuracin del dispositivo principal con el dispositivo recin
introducido con la configuracin limpia.
Alta disponibilidad
157
Alta disponibilidad
Directrices de configuracin para la HA activa/pasiva

Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo. Estos
ajustes de HA no se sincronizan entre los dispositivos. Si desea informacin detallada sobre qu se sincroniza y
qu no, consulte HA Synchronization (en ingls).
Para ir a las instrucciones sobre cmo configurar los dispositivos en HA, consulte Configuracin de la HA
activa/pasiva.
La siguiente tabla enumera los ajustes que debe configurar de manera idntica en ambos dispositivos:
Ajustes de configuracin idnticos en PeerA y PeerB
La HA debe habilitarse en ambos dispositivos.

Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una
direccin MAC virtual para todas las interfaces configuradas. El formato de la direccin MAC virtual es 00-1B-17:00:
xx: yy, donde
00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz.
Cuando un nuevo dispositivo activo tome el control, se enviarn ARP gratuitos desde cada una de las interfaces
conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva
ubicacin de la direccin MAC virtual.
Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 debern establecerse con el tipo HA.
El modo de HA deber establecerse como Activo/pasivo.
Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo
no debe ser idntico.
Si es necesario, deber configurarse el cifrado del enlace de HA1 (para la comunicacin entre los peers de HA) en
ambos dispositivos.
Basndose en la combinacin de puertos de copia de seguridad de HA1 y HA2 que est utilizando, utilice las siguientes
recomendaciones para decidir si debera habilitar la copia de seguridad de heartbeat:
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto de administracin
Recomendacin: No habilitar copia de seguridad de heartbeat
HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de administracin
Recomendacin: No habilitar copia de seguridad de heartbeat
158
Alta disponibilidad
Alta disponibilidad
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
Ajustes de
configuracin
independientes
PeerA
PeerB
Enlace de control
Direccin IP del enlace de HA1 configurado en

este dispositivo (PeerA).
Direccin IP del enlace de HA1

configurado en este dispositivo (PeerB).
En el caso de dispositivos sin puertos de HA especficos, utilice la direccin IP del puerto de

gestin para el enlace de control.
Enlace de datos
De manera predeterminada, el enlace de HA2

utiliza Ethernet/capa 2.
La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
De manera predeterminada, el enlace de

HA2 utiliza Ethernet/capa 2.
Si utiliza una conexin de capa 3, configure
la direccin IP para el enlace de datos de
este dispositivo (PeerB).
Prioridad de
dispositivo (obligatorio
si se habilita la
preferencia)
El dispositivo que tiene la intencin de activar

debe tener un valor numrico ms bajo que su
peer. Por lo tanto, si PeerA va a funcionar
como el dispositivo activo, mantenga el valor
predeterminado de 100 y aumente el valor de
PeerB.
Si PeerB es pasivo, establezca el valor de

prioridad de dispositivo con un valor
mayor que el de PeerA. Por ejemplo,
establezca el valor como 110.
Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin
de fallo.
Seleccione las interfaces fsicas del cortafuegos que

deseara supervisar y defina la condicin de fallo
(todo o alguno) que activar una conmutacin por
error.
Seleccione un conjunto similar de

interfaces fsicas que deseara supervisar y
defina la condicin de fallo (todo o alguno)
que activar una conmutacin por error.
Supervisin de rutas:
Supervise una o ms
direcciones IP de
destino en las que el
cortafuegos pueda
utilizar pings ICMP
para verificar la
capacidad de respuesta.
Defina la condicin de fallo (todo o alguno), el

intervalo de ping y el recuento de pings. Esto es de
especial utilidad para supervisar la disponibilidad
de otros dispositivos de red interconectados. Por
ejemplo, supervise la disponibilidad de un
enrutador que se conecte a un servidor, la
conectividad del propio servidor o cualquier otro
dispositivo vital que se encuentre en el flujo del
trfico.
Seleccione un conjunto similar de

dispositivos o direcciones IP de destino
que se puedan supervisar para determinar
la activacin de una conmutacin por error
para PeerB. Defina la condicin de fallo
(todo o alguno), el intervalo de ping y el
recuento de pings.
Asegrese de que no sea probable que el

nodo/dispositivo que est supervisando no
responda, especialmente cuando tenga una carga
inferior, ya que esto podra provocar un fallo
de supervisin de rutas y activar una conmutacin
por error.
Alta disponibilidad
159
Alta disponibilidad
El siguiente procedimiento muestra cmo configurar un par de cortafuegos en una implementacin
activa/pasiva como se muestra en la topologa de ejemplo siguiente.
Internet
Conmutador
Pasivo
Enlace de HA2
Activo
Enlace de HA1
Conmutador
Servidores: web, de correo electrnico, DNS, de aplicacin
Conexin y configuracin de los dispositivos
Paso 1
Conecte los puertos de HA para

establecer una conexin fsica entre los
dispositivos.
En el caso de dispositivos con puertos de HA especficos, utilice

un cable Ethernet para conectar los puertos de HA1 y HA2
especficos del par de dispositivos. Utilice un cable cruzado si los
dispositivos estn conectados directamente entre s.
En el caso de dispositivos sin puertos de HA especficos,
seleccione dos interfaces de datos para el enlace de HA2 y el enlace
de HA1 de copia de seguridad. A continuacin, utilice un cable
Ethernet para conectar estas interfaces de HA internas entre
ambos dispositivos. Utilice el puerto de gestin para el enlace de
HA1 y asegrese de que los puertos de gestin pueden conectarse
entre s a travs de su red.
Seleccione un dispositivo del clster y realice estas tareas:
Paso 2
Habilite los pings en el puerto de gestin. 1.

La habilitacin de los pings permite que el
puerto de gestin intercambie informacin
2.
de copia de seguridad de heartbeat.
160
Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, haga clic en el icono Editar de la seccin
Configuracin de interfaz de gestin de la pantalla.
Seleccione Ping como servicio permitido en la interfaz.
Alta disponibilidad
Alta disponibilidad
Conexin y configuracin de los dispositivos (Continuacin)
Paso 3
1.
Seleccione Red > Interfaces.
2.
Confirme que el enlace est activado en los puertos que desee

utilizar.
3.
Seleccione la interfaz y establezca el tipo de interfaz como HA.
4.
Establezca los ajustes Velocidad de enlace y Dplex de enlace

segn sea adecuado.
Configure la conexin del enlace de

control.
1.
En Dispositivo > Alta disponibilidad > General, edite la seccin

Enlace de control (HA1).
Este ejemplo muestra un puerto interno

configurado con el tipo de interfaz HA.
2.
Seleccione la interfaz a la que ha conectado el cable para

utilizarla como el enlace de HA1 en el men desplegable Puerto.
Establezca la direccin IP y la mscara de red.
Si el dispositivo no tiene puertos de HA

especficos, configure los puertos de
datos para que funcionen como puertos
de HA.
En el caso de dispositivos con puertos de
HA especficos, vaya al Paso 4.
Paso 4
En el caso de dispositivos que utilicen el

puerto de gestin como el enlace de
control, la informacin de direccin IP se
cumplimenta previamente de manera
automtica.
Paso 5
(Opcional) Habilite el cifrado para la

conexin del enlace de control.
Introduzca una direccin IP de puerta de enlace nicamente si

las interfaces de HA1 estn en subredes separadas. No aada
una puerta de enlace si los dispositivos estn conectados
directamente.
1.
Exporte la clave de HA desde un dispositivo e imprtela al

dispositivo peer.
a. Seleccione Dispositivo > Gestin de certificados >
Certificados.
Esto suele utilizarse para proteger el

enlace si los dos dispositivos no estn
conectados directamente, es decir, si los
puertos estn conectados a un
conmutador o un enrutador.
b. Seleccione Exportar clave de HA. Guarde la clave de HA en

una ubicacin de red a la que pueda acceder el dispositivo
peer.
c. En el dispositivo peer, desplcese hasta Dispositivo > Gestin
de certificados > Certificados y seleccione Importar clave
de HA para desplazarse hasta la ubicacin donde guard la
clave e importarla en el dispositivo peer.
Alta disponibilidad
2.
Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Enlace de control (HA1).
3.
Seleccione Cifrado habilitado.
161
Alta disponibilidad
Paso 6
Paso 7
Configure la conexin del enlace de

control de copia de seguridad.
1.

Enlace de control (copia de seguridad de HA1).
2.
Seleccione la interfaz de copia de seguridad de HA1 y configure

la direccin IP y la mscara de red.
Configure la conexin del enlace de datos 1.

(HA2) y la conexin de HA2 de copia de
seguridad entre los dispositivos.
2.
3.

Enlace de datos (HA2).
4.
5.
6.
7.
162
Seleccione la interfaz para la conexin del enlace de datos.

Seleccione el mtodo Transporte. El valor predeterminado es
Ethernet y funcionar cuando el par de HA se conecte
directamente o a travs de un conmutador. Si necesita enrutar el
trfico del enlace de datos a travs de la red, seleccione IP o UDP
como modo de transporte.
Si utiliza IP o UDP como mtodo de transporte, introduzca la
direccin IP y la mscara de red.
Verifique que se ha seleccionado Habilitar sincronizacin de

sesin.
Seleccione Conexin persistente de HA2 para habilitar la
supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido (el valor
predeterminado son 10.000 ms), se producir la accin definida.
En el caso de una configuracin activa/pasiva, se generar un
mensaje de log de sistema crtico cuando se produzca un fallo de
conexin persistente de HA2.
Puede configurar la opcin Conexin persistente de
HA2 en ambos dispositivos o solamente un dispositivo
del par de HA. Si la opcin se habilita nicamente en un
dispositivo, solamente ese dispositivo enviar los
mensajes de conexin persistente. Si se produce un fallo,
se notificar al otro dispositivo.
Edite la seccin Enlace de datos (copia de seguridad de HA2),
seleccione la interfaz y aada la direccin IP y la mscara de red.
Alta disponibilidad
Alta disponibilidad
Paso 8
1.
Habilite la copia de seguridad de
heartbeat si su enlace de control utiliza un
puerto de HA especfico o un puerto
2.
interno.
No necesita habilitar la copia de seguridad
de heartbeat si est utilizando el puerto de
gestin para el enlace de control.
Paso 9

Configuracin de eleccin.
Seleccione Copia de seguridad de heartbeat.
Para permitir la transmisin de heartbeats entre los dispositivos,
deber verificar que el puerto de gestin entre ambos peers
puede enrutarse del uno al otro.
Habilitar la copia de seguridad de heartbeat tambin le
permite evitar una situacin de sndrome de cerebro
dividido. El sndrome de cerebro dividido se produce
cuando el enlace HA1 deja de funcionar y provoca que el
cortafuegos se omita, pese a que el dispositivo sigue
funcionando. En tales situaciones, cada peer cree que el
otro ha dejado de funcionar e intenta iniciar los servicios
que estn en funcionamiento, causando un sndrome de
cerebro dividido. Si el enlace de copia de seguridad de
heartbeat est habilitado, se evita el sndrome de cerebro
dividido, ya que los heartbeats redundantes y los
mensajes de saludo se transmiten a travs del puerto de
gestin.
Establezca la prioridad de dispositivo y

habilite la preferencia.
1.

Este ajuste nicamente es necesario si

desea asegurarse de que un dispositivo
especfico es el dispositivo activo
preferido. Para obtener informacin,
consulte Prioridad y preferencia de
dispositivos.
2.
Establezca el valor numrico de Prioridad de dispositivo.

Asegrese de establecer un valor numrico ms bajo en el
dispositivo al que desee asignar una mayor prioridad.
Si ambos cortafuegos tienen el mismo valor de prioridad
de dispositivo, el cortafuegos con la direccin MAC ms
baja en el enlace de control de HA1 ser el dispositivo
activo.
3.
Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Paso 10 (Opcional) Modifique los temporizadores 1.

de conmutacin por error.
De manera predeterminada, el perfil del 2.
temporizador de HA se establece como el
perfil Recomendada y es adecuado para
la mayora de implementaciones de HA.

Seleccione el perfil Agresivo para activar la conmutacin por
error ms rpido; seleccione Avanzado para definir valores
personalizados para activar la conmutacin por error en su
configuracin.
Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y
haga clic en Carga recomendada o Carga intensiva.
Los valores preestablecidos para su modelo de hardware
aparecern en la pantalla.
Alta disponibilidad
163
Alta disponibilidad
Paso 11 (Opcional, nicamente configurado en el

dispositivo pasivo) Modifique el estado de
enlace de los puertos de HA en el
dispositivo pasivo.
Establecer el estado de enlace como Auto permite reducir la cantidad

de tiempo que tarda el dispositivo pasivo en tomar el control cuando
se produce una conmutacin por error y le permite supervisar el
estado de enlace.
El estado de enlace pasivo es

Apagar de manera
predeterminada. Cuando habilite
HA, el estado de enlace de los
puertos de HA del dispositivo
activo ser de color verde; los del
dispositivo pasivo estarn desactivados y
se mostrarn de color rojo.
Para habilitar el estado de enlace del dispositivo pasivo para que

permanezca activado y refleje el estado de cableado de la interfaz
fsica:
1. En Dispositivo > Alta disponibilidad > General, edite la seccin
Configuracin Activa/Pasiva.
2.
Establezca Estado de los enlaces en el pasivo como Auto.

La opcin automtica reduce la cantidad de tiempo que tarda el
dispositivo pasivo en tomar el control cuando se produce una
conmutacin por error.
Aunque la interfaz se muestre de color verde (cableada y
activada), seguir descartando todo el trfico hasta que se
active una conmutacin por error.
Cuando modifique el estado de enlace pasivo, asegrese
de que los dispositivos adyacentes no reenvan el trfico
al cortafuegos pasivo basndose nicamente en el estado
de enlace del dispositivo.
Paso 12 Habilite la HA.
1.
Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Configuracin.
2.
Seleccione Habilitar HA.
3.
Establezca un ID de grupo. Este ID identifica de manera

exclusiva cada par de HA de su red y es esencial si tiene varios
pares de HA que compartan el mismo dominio de difusin en
su red.
4.
Establezca el modo como Activo Pasivo.
5.
Seleccione Habilitar sincronizacin de configuracin. Este

ajuste habilita la sincronizacin de los ajustes de configuracin
entre los dispositivos activo y pasivo.
6.
Introduzca la direccin IP asignada al enlace de control del

dispositivo peer en Direccin IP de HA de peer.
En el caso de dispositivos sin puertos de HA especficos, si el

peer utiliza el puerto de gestin para el enlace de HA1,
introduzca la direccin IP del puerto de gestin del peer.
7.
164
Introduzca Direccin IP de HA1 de copia de seguridad.
Alta disponibilidad
Alta disponibilidad
Paso 13 Guarde los cambios de configuracin.
Paso 14 Realice del Paso 2 al Paso 13 en el otro

dispositivo del par de HA.
1.
Paso 15 Cuando termine de configurar ambos
dispositivos, verifique que los dispositivos
estn emparejados en la HA
2.
activa/pasiva.
3.
En el dispositivo pasivo: El estado del dispositivo
local debera mostrarse como Pasivo y la
configuracin se sincronizar.
Alta disponibilidad
Acceda al Panel de ambos dispositivos y visualice el widget Alta

disponibilidad.
En el dispositivo activo, haga clic en el enlace Sincronizar en el
peer.
Confirme que los dispositivos estn emparejados y
sincronizados, como se muestra a continuacin:
En el dispositivo activo: El estado del dispositivo local debera

mostrarse como Activo y la configuracin se sincronizar.
165
Alta disponibilidad
Definicin de las condiciones de conmutacin por error

Configuracin de los activadores de conmutacin por error
Paso 1
Para configurar la supervisin de enlaces, 1.

defina las interfaces que desee supervisar.
Un cambio en el estado de enlace de estas 2.
interfaces activar una conmutacin por
3.
error.
Seleccione Dispositivo > Alta disponibilidad > Supervisin de

enlaces y rutas.
En la seccin Grupo de enlaces, haga clic en Aadir.
Asigne un nombre al Grupo de enlaces, aada las interfaces
para su supervisin y seleccione la Condicin de fallo para el
grupo. El grupo de enlaces que defina se aadir a la seccin
Grupo de enlaces.
Paso 2
(Opcional) Modifique la condicin de fallo 1.

de los grupos de enlaces que configur
2.
(en el paso anterior) en el dispositivo.
De manera predeterminada, el dispositivo
activar una conmutacin por error
cuando falle cualquier enlace supervisado.
Paso 3
1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el cortafuegos debera hacer ping para
verificar la conectividad de red.
2.
Seleccione la seccin Supervisin de enlaces.

Establezca la Condicin de fallo como Todos.
El ajuste predeterminado es Cualquiera.
En la seccin Grupo de rutas de la pestaa Dispositivo > Alta

disponibilidad > Supervisin de enlaces y rutas, seleccione la
opcin Aadir para su configuracin: Cable virtual, VLAN o
Enrutador virtual.
Seleccione el elemento adecuado del men desplegable para el
Nombre y haga clic en Aadir para aadir las direcciones IP
(origen y/o destino, segn se le pida) que desee supervisar.
A continuacin, seleccione la Condicin de fallo del grupo.
El grupo de rutas que defina se aadir a la seccin Grupo de
rutas.
Paso 4
(Opcional) Modifique la condicin de

fallo para todos los grupos de rutas
configurados en el dispositivo.
Establezca la Condicin de fallo como Todos.

El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo

activar una conmutacin por error
cuando falle cualquier ruta supervisada.
Paso 5
Guarde sus cambios.
Si est utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea informacin sobre cmo configurar SNMP,
consulte Configuracin de los destinos de Trap SNMP.
Como EngineID se genera utilizando el nmero de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deber aplicar una licencia vlida para obtener un EngineID exclusivo para cada cortafuegos.
166
Alta disponibilidad
Alta disponibilidad

Para comprobar que su configuracin de HA funciona correctamente, active una conmutacin por error manual
y verifique que los dispositivos cambian de estado correctamente.
Paso 1
Suspenda el dispositivo activo.
Haga clic en el enlace Suspender dispositivo local en la pestaa

Dispositivo > Alta disponibilidad > Comandos de operacin.
Paso 2
Verifique que el dispositivo pasivo ha

tomado el control como activo.
En el Panel, verifique que el estado del dispositivo pasivo cambia a

Activo en el widget Alta disponibilidad.
Paso 3
Restablezca el dispositivo suspendido a

un estado funcional. Espere un par de
minutos y, a continuacin, verifique que
se ha producido la preferencia, si se ha
habilitado.
1.
En el dispositivo que suspendi anteriormente, seleccione el

enlace Hacer que el dispositivo local sea funcional de la
pestaa Dispositivo > Alta disponibilidad > Comandos
operativos.
2.
En el widget Alta disponibilidad del Panel, confirme que el

dispositivo ha tomado el control como dispositivo activo y que
el peer ahora est en un estado pasivo.
Alta disponibilidad
167
Recursos de HA
Alta disponibilidad
Recursos de HA
Para obtener ms informacin sobre la HA, consulte las siguientes fuentes:
Active/Active HA (en ingls)
High Availability Synchronization (en ingls)
High Availability Failover Optimization (en ingls)
Upgrading an HA pair (en ingls)
Examples: Deploying HA (en ingls)
168
Alta disponibilidad
Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la informacin para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red, y generar un informe personalizado
sobre el patrn de trfico. Los siguientes temas describen cmo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:
Uso del panel
Uso del centro de comando de aplicacin
Uso de Appscope
Realizacin de capturas de paquetes
Supervisin del cortafuegos
Reenvo de logs a servicios externos
Supervisin del Firewall mediante SNMP
Supervisin del cortafuegos mediante NetFlow
Plantillas de NetFlow
Identificacin de interfaces de cortafuegos en sistemas de supervisin externos
Gestin de informes
Descripcin de los campos de Syslog
Informes y logs
169
Uso del panel
Informes y logs
Uso del panel

Los widgets de la pestaa Panel muestran informacin general del dispositivo, como la versin de software, el
estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 de las entradas ms recientes en los logs
Sistema, Configuracin y Amenaza. Todos los widgets disponibles aparecen de forma predeterminada, pero
cada administrador puede eliminar y agregar widgets individuales segn sea necesario.
Haga clic en el icono
para actualizar el panel o un widget individual. Para cambiar el intervalo de
actualizacin automtica, seleccione un intervalo del men desplegable (1 min, 2 min, 5 min o Manual). Para
agregar un widget al panel, haga clic en el men desplegable Widget, seleccione una categora y luego el nombre
del widget. Para eliminar un widget, haga clic en
en la barra de ttulos.
La siguiente tabla describe los widgets del panel.
Grficos del panel
Descripciones
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque indica el nmero
relativo de sesiones (pase el ratn sobre el bloque para ver el nmero) y el color indica el
riesgo de seguridad, desde verde (ms bajo) a rojo (ms alto). Haga clic en una aplicacin
para ver su perfil de aplicacin.
Aplicaciones principales de
alto riesgo
Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
con la mayora de las sesiones.
Informacin general
Muestra el nombre del dispositivo, el modelo, la versin del software de PAN-OS, la

aplicacin, las amenazas, las versiones de definicin del filtro de URL, la fecha y hora
actuales y el perodo de tiempo transcurrido desde el ltimo reinicio.
Estado de la interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un estado
desconocido (gris).
Registros de amenazas
Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas entradas en el log

Amenazas. El ID de amenaza es una descripcin malintencionada de una URL que incumple
el perfil de filtro de URL.
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 ltimas entradas en el log Configuracin.
Logs de filtrado de datos
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de datos.
Registros de filtrado de URL
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de URL.
Registros del sistema
Muestra la descripcin y la fecha y hora de las ltimos 10 entradas en el log Sistema.

Una entrada Configuracin instalada indica que se han llevado a cabo cambios
en la configuracin correctamente.
Recursos del sistema
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero de sesiones que
muestra el nmero de sesiones establecidas a travs del cortafuegos.
Administradores registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora de inicio de sesin
para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea ms
informacin sobre HA, consulte Alta disponibilidad.
Bloqueos
Muestra bloqueos de configuracin realizados por los administradores.
170
Informes y logs
Informes y logs

La pestaa ACC describe visualmente las tendencias e incluye una vista del historial de trfico de la red.
Nivel de riesgo de ACC
Grficos de ACC
Pginas de detalles de ACC
Uso de ACC
Informes y logs
171
Informes y logs
Nivel de riesgo de ACC

La pestaa ACC muestra el nivel de riesgo general para todo el trfico de red, los niveles de riesgo y el nmero
de amenazas detectadas para las aplicaciones ms activas y con mayor riesgo en su red, as como el nmero de
amenazas detectadas en las categoras de aplicacin ms activas y en todas las aplicaciones con cualquier nivel
de riesgo. Utilice el ACC para visualizar datos de aplicacin de la hora, el da, la semana o el mes anterior o
cualquier perodo de tiempo definido de forma personalizada. Los niveles de Riesgo (1=ms bajo a 5=ms alto)
indican el riesgo de seguridad relativo de la aplicacin dependiendo de criterios como si la aplicacin puede
compartir archivos, es proclive al uso indebido o intenta esquivar los cortafuegos.
172
Informes y logs
Informes y logs
Grficos de ACC
Se muestran 5 grficos en la pestaa Centro de comando de aplicacin (ACC):
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Coincidencias HIP
Grfico de ACC
Descripcin
Aplicacin
Muestra informacin de aplicacin agrupada por los siguientes atributos:

Aplicaciones
Aplicaciones de alto riesgo
Categoras
Subcategoras
Tecnologa
Riesgo
Cada grfico puede incluir el nmero de sesiones, los bytes transmitidos y recibidos, el nmero de
amenazas, la categora de aplicacin, las subcategoras de aplicacin, la tecnologa de aplicacin y el
nivel de riesgo, si es necesario.
Filtrado de URL
Muestra informacin de URL/categora agrupada por los siguientes atributos:

Categoras de URL
URL
Categoras de URL bloqueadas
URL bloqueadas
Cada grfico puede incluir la URL, la categora de URL y el nmero de repeticiones (nmero de
intentos de acceso, si es necesario).
Prevencin de
amenazas
Muestra informacin de amenaza agrupada por los siguientes atributos:

Amenazas
Tipos
Spyware
Llamada a casa de spyware
Descargas de spyware
Vulnerabilidades
Virus
Cada grfico puede incluir el ID de la amenaza, el recuento (nmero de incidencias), el nmero de
sesiones y el subtipo (por ejemplo, vulnerabilidad) segn corresponda.
Informes y logs
173
Informes y logs
Grfico de ACC
Descripcin
Filtrado de datos
Muestra informacin sobre los datos filtrados por el cortafuegos agrupada por los siguientes
atributos:
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
Muestra la informacin de host recopilada por el cortafuegos agrupada por:

Objetos HIP
Perfiles HIP
174
Informes y logs
Informes y logs
Pginas de detalles de ACC

Para ver informacin detallada adicional, haga clic en cualquiera de los enlaces de los grficos de ACC. Se abrir
una pgina de detalles para mostrar informacin acerca del elemento en la lista principal y las listas adicionales
de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploracin web en el grfico Aplicacin,
se abrir la pgina Informacin de aplicacin para la exploracin web:
Informes y logs
175
Informes y logs
Uso de ACC
En el siguiente procedimiento se describe cmo utilizar la pestaa ACC y cmo personalizar su vista:
Uso de ACC
Paso 1
En ACC, cambie uno o varios de los ajustes en la parte superior de la pgina.

Utilice los mens desplegables para seleccionar Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP para visualizarlos.
Seleccione un sistema virtual, si los sistemas virtuales estn definidos.
Seleccione un perodo de tiempo en el men desplegable Tiempo. El valor predeterminado es ltima hora.
Seleccione un mtodo de orden en el men desplegable Ordenar por. Puede ordenar los grficos en orden
descendente por nmero de sesiones, bytes o amenazas. El valor predeterminado es por nmero de sesiones.
Para el mtodo de orden seleccionado, seleccione el mayor nmero de aplicaciones y categoras de aplicacin
que aparecen en cada grfico en el men desplegable Principal. Haga clic en el icono de envo para aplicar la
configuracin seleccionada.
Paso 2
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de logs en la esquina inferior
derecha de la pgina, como se muestra a continuacin. El contexto de los logs coincide con la informacin que
aparece en la pgina.
Paso 3
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Despus de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.
176
Informes y logs
Informes y logs
Uso de Appscope
Uso de Appscope
Los informes de Appscope proporcionan herramientas de visibilidad y anlisis para detectar los
comportamientos problemticos, lo que permite comprender los cambios en el uso de las aplicaciones y la
actividad del usuario, y los usuarios y las aplicaciones que consumen la mayor parte del ancho de banda de la
red, e identificar las amenazas en la red.
Con los informes de Appscope, puede comprobar rpidamente si algn comportamiento es inusual o
inesperado. Cada informe proporciona una ventana dinmica y personalizable por el usuario en la red; al pasar
el ratn por encima y hacer clic en las lneas y barras de los grficos, se abre informacin detallada acerca de la
aplicacin especfica, categora de la aplicacin, usuario u origen del ACC. Los grficos de Appscope ofrecen la
posibilidad de:
Alternar entre los atributos de la leyenda para ver solamente los detalles del grfico que desea revisar. La
posibilidad de incluir o excluir datos del grfico permite cambiar la escala y revisar los detalles ms
detenidamente.
Hacer clic en un atributo del grfico de barras y ver los detalles de las sesiones relacionadas en el ACC. Haga
clic en un nombre de aplicacin, una categora de aplicacin, un nombre de amenaza, una categora de
amenaza, una direccin IP de origen o una direccin IP de destino en cualquier grfico de barras para filtrar
el atributo y ver las sesiones relacionadas en el ACC.
Exportar un grfico o un mapa a PDF o como una imagen. Para garantizar la portabilidad y la visualizacin
fuera de lnea, puede exportar los grficos y mapas como PDF o imgenes PNG.
Los siguientes informes de Appscope estn disponibles:
Informe de resumen
Informe del supervisor de cambios
Informe del supervisor de amenazas
Informe del mapa de amenazas
Informe del supervisor de red
Informe del mapa de trfico
Informes y logs
177
Uso de Appscope
Informes y logs
Informe de resumen
El informe de resumen de Appscope muestra grficos de los cinco principales ganadores, perdedores,
aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y orgenes.
178
Informes y logs
Informes y logs
Uso de Appscope
Informe del supervisor de cambios

El informe del supervisor de cambios de Appscope muestra los cambios realizados en un perodo de tiempo
especfico. Por ejemplo, el siguiente grfico muestra las principales aplicaciones adquiridas en la ltima hora en
comparacin con el ltimo perodo de 24 horas. Las principales aplicaciones se determinan por el recuento de
sesiones y se ordenan por porcentajes.
El informe del supervisor de cambios contiene los siguientes botones y opciones.

Botn
Descripcin
Determina el nmero de registros con la mayor medicin incluidos en el

grfico.
Determina el tipo de elemento indicado: Aplicacin, Categora de
aplicacin, Origen o Destino.
Muestra mediciones de elementos que han ascendido durante el perodo
de medicin.
Muestra mediciones de elementos que han descendido durante el
perodo de medicin.
Muestra mediciones de elementos que se han agregado durante el
perodo de medicin.
Muestra mediciones de elementos que se han suspendido durante el
perodo de medicin.
Informes y logs
179
Uso de Appscope
Botn
Informes y logs
Descripcin
Aplica un filtro para mostrar nicamente el elemento seleccionado.

Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si ordenar entradas por porcentajes o incremento bruto.
Exporta el grfico como imagen .png o PDF.

Especifica el perodo durante el que se realizaron las mediciones de
cambio.
180
Informes y logs
Informes y logs
Uso de Appscope
Informe del supervisor de amenazas

El informe del supervisor de amenazas de Appscope muestra un recuento de las principales amenazas durante
el perodo de tiempo seleccionado. Por ejemplo, la siguiente ilustracin muestra los 10 principales tipos de
amenaza en las ltimas 6 horas.
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botn
Descripcin
Determina el nmero de registros con la mayor medicin incluidos en

el grfico.
Determina el tipo de elemento medido: Amenaza, Categora de
amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de columna
apilado o un grfico de rea apilado.
Especifica el perodo durante el que se realizaron las mediciones.
Informes y logs
181
Uso de Appscope
Informes y logs
Informe del mapa de amenazas

El informe del mapa de amenazas de Appscope muestra una vista geogrfica de amenazas, incluida la gravedad.
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico.
El cortafuegos usa la geolocalizacin para crear mapas de amenazas. El cortafuegos se incluye en la parte
inferior de la pantalla del mapa de amenazas si no ha especificado las coordenadas de geolocalizacin
(Dispositivo > Configuracin > Gestin, seccin Configuracin general) en el cortafuegos.
El informe del mapa de amenazas contiene los siguientes botones y opciones.

Botn
Descripcin

el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Aplica un filtro para mostrar nicamente el tipo de elemento

seleccionado.
Acerque y aleje el mapa.
Indica el perodo durante el que se realizaron las mediciones.
182
Informes y logs
Informes y logs
Uso de Appscope
Informe del supervisor de red

El informe del supervisor de red de Appscope muestra el ancho de banda dedicado a diferentes funciones de
red durante el perodo de tiempo especificado. Cada funcin de red est indicada con colores como se indica en
la leyenda debajo del grfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicacin en los
7 ltimos das basndose en la informacin de sesin.
El informe del supervisor de red contiene los siguientes botones y opciones.

Botn
Descripcin

el grfico.
Determina el tipo de elemento indicado: Aplicacin, Categora de
aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento seleccionado.
Ninguno muestra todas las entradas.

Determina si la informacin se presenta en un grfico de columna
apilado o un grfico de rea apilado.
Indica el perodo durante el que se realizaron las mediciones de
cambio.
Informes y logs
183
Uso de Appscope
Informes y logs
Informe del mapa de trfico

El informe del mapa de trfico de Appscope muestra una vista geogrfica de los flujos de trfico segn las
sesiones o los flujos.
El cortafuegos usa la geolocalizacin para crear mapas de trfico. El cortafuegos se incluye en la parte inferior
de la pantalla del mapa de trfico si no ha especificado las coordenadas de geolocalizacin (Dispositivo >
Configuracin > Gestin, seccin Configuracin general) en el cortafuegos.
Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
mapa de trfico contiene los siguientes botones y opciones.
Botones
Descripcin

el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Acerque y aleje el mapa.

Indica el perodo durante el que se realizaron las mediciones de
cambio.
184
Informes y logs
Informes y logs

PAN-OS admite capturas de paquetes para la resolucin de problemas o la deteccin de aplicaciones
desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las
capturas de paquetes se almacenan de forma local en el dispositivo y estn disponibles para su descarga en su
equipo local.
Captura de paquetes est destinado exclusivamente a la resolucin de problemas. Esta funcin
puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario.
Recuerde deshabilitar la funcin despus de finalizar la captura de paquetes.
La tabla siguiente describe la configuracin de la captura de paquetes en Supervisar > Captura de paquetes.
Campo
Descripcin
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo filtro y
especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP, incluir todo
el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el filtro.
Filtrado
Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la coincidencia Haga clic para alternar la opcin activar o desactivar anterior a la coincidencia.
La opcin anterior a la coincidencia se agrega para fines de resolucin de problemas

avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a travs
de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros
preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede
ocurrir, por ejemplo, si falla una bsqueda de ruta.
Establezca la configuracin anterior a la coincidencia como Activada para emular una
coincidencia positiva de cada paquete entrando en el sistema. Eso permite al
cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un
paquete puede alcanzar la etapa de filtrado, se procesar de acuerdo con la
configuracin del filtro y se descartar si no consigue cumplir los criterios de filtrado.
Informes y logs
185
Campo
Descripcin
Captura de paquetes
Haga clic para alternar activar o desactivar capturas de paquetes.
Informes y logs
Para los perfiles de antispyware y proteccin contra vulnerabilidades, puede habilitar

capturas de paquetes extendidas para reglas y excepciones definidas en el perfil. Esta
funcionalidad permite al cortafuegos capturar de 1 a 50 paquetes y proporciona ms
contexto al analizar los logs de amenaza.
Para definir la longitud de captura de paquetes extendida:
1. Seleccione Dispositivo > Configuracin > Content-ID.
2.
Edite la seccin Configuracin de deteccin de amenaza para especificar la

Longitud de captura para el nmero de paquetes que debe capturarse.
3.
Visualice la captura de paquetes en Supervisar > Logs > Amenaza.

Localice la entrada de log de amenaza y haga clic en el icono de flecha verde
(Captura de paquetes) en la fila correspondiente para ver la captura.
Fase de captura de
paquetes
Haga clic en Aadir y especifique lo siguiente:

Etapa: Indique el punto en el que capturar el paquete:
Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete
no se puede desplegar.
Cortafuegos: Cuando el paquete tiene una coincidencia de sesin o se crea un
primer paquete con una sesin correctamente
Recibir: Cuando se recibe el paquete en el procesador de plano de datos.
Transmitir: Cuando se transmite el paquete en el procesador de plano de datos.
Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe
comenzar por una letra y puede incluir letras, dgitos, puntos, guiones bajos o
guiones.
Recuento de paquetes: Especifica el nmero de paquetes despus del que se
detiene la captura.
Recuento de bytes: Especifica el nmero de bytes despus del que se detiene la
captura.
Archivos capturados
Seleccione Eliminar para quitar un archivo de captura de paquetes de la lista en la que

se muestran los archivos capturados.
Borrar toda la
configuracin
Seleccione Borrar toda la configuracin para borrar completamente la configuracin

de captura de paquetes.
186
Informes y logs
Informes y logs

Las siguientes secciones describen los mtodos que puede usar para supervisar el cortafuegos y ofrecer
instrucciones de configuracin bsicas.
Supervisin de aplicaciones y amenazas
Supervisin de datos de logs
Supervisin del panel
Visualizacin de informes
Adems, puede configurar el cortafuegos (a excepcin de los cortafuegos de las series PA-4000
y PA-7050) para exportar los datos de flujo a un recopilador NetFlow para el anlisis y la
generacin de informes. Para establecer la configuracin de NetFlow, consulte PAN-OS Web
Interface Reference Guide (en ingls).
Informes y logs
187
Informes y logs
Supervisin de aplicaciones y amenazas

Todos los cortafuegos de prxima generacin de Palo Alto Networks estn equipados con la tecnologa
App-ID, la cual permite identificar las aplicaciones que cruzan su red con independencia del protocolo, el
cifrado o la tctica de evasin. De este modo, puede optar por el Uso del centro de comando de aplicacin para
supervisar las aplicaciones. ACC resume grficamente la base de datos de logs para resaltar las aplicaciones que
cruzan su red, quin las usa y su posible impacto en la seguridad. ACC se actualiza de forma dinmica de acuerdo
con la clasificacin de trfico continua que App-ID realiza; si una aplicacin cambia de puerto o
comportamiento, App-ID contina observando el trfico, mostrando los resultados en ACC.
Puede investigar rpidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo
clic que muestra una descripcin de la aplicacin, sus caractersticas clave, sus caractersticas de comportamiento
y quin la usa. La visibilidad adicional de categoras de URL, amenazas y datos ofrece una perspectiva completa
de la actividad de la red. Con ACC, puede obtener informacin rpidamente acerca del trfico que cruza su red
y traducir la informacin a una poltica de seguridad con ms informacin.
188
Informes y logs
Informes y logs
Supervisin de datos de logs

Todos los cortafuegos de prxima generacin de Palo Alto Networks pueden generar logs que ofrecen un
seguimiento auditado de las actividades y eventos del cortafuegos. Hay diversos logs para distintos tipos de
actividades y eventos. Por ejemplo, los logs de amenaza registran todo el trfico que genera una alarma de
seguridad en el cortafuegos, los logs de filtrado de URL registran todo el trfico que coincide con un perfil de
filtrado de URL asociado a una poltica de seguridad y los logs de configuracin registran todos los cambios en
la configuracin del cortafuegos.
Puede optar por el Reenvo de logs a servicios externos o ver los logs localmente en el dispositivo del modo
siguiente:
Visualizacin de los archivos log
Filtrado de datos de logs
Visualizacin de los archivos log

El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de trfico,
amenazas, filtrado de URL, filtrado de datos y perfil de informacin de host (HIP). Puede visualizar los logs
actuales en cualquier momento. Para ubicar entradas especficas, puede aplicar filtros a la mayora de los campos
de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos de
administracin basado en funcin. Cuando muestra logs, solo se incluye la informacin de cuyo
permiso dispone. Para obtener informacin acerca de los permisos de administrador, consulte
Funciones administrativas.
De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):
Informes y logs
189
Informes y logs
Para mostrar detalles adicionales, haga clic en el icono de catalejo
de una entrada.
La siguiente tabla incluye informacin sobre cada tipo de log:

Grficos de
descripciones del log
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas incluyen
la fecha y la hora, las zonas de origen y destino, las direcciones y los puertos, el nombre
de la aplicacin, el nombre de la regla de seguridad aplicada al flujo, la accin de la regla
(permitir, denegar o descartar), la interfaz de entrada y salida, el nmero de bytes y la
razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la sesin,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino
(el valor Recuento ser superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesin o si se ha
denegado o descartado la sesin. Un descarte indica que la regla de seguridad que ha
bloqueado el trfico ha especificado una aplicacin cualquiera, mientras que
denegacin indica que la regla ha identificado una aplicacin especfica.
Si se descarta el trfico antes de identificar la aplicacin, como cuando una regla descarta
todo el trfico para un servicio especfico, la aplicacin aparece como no aplicable.
190
Informes y logs
Informes y logs
Grficos de
descripciones del log
Descripcin
Amenaza
Muestra una entrada cuando el trfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Proteccin DoS) que se haya adjuntado a una poltica de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicacin y la accin de alarma (permitir
o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento ser superior a uno).
La columna Tipo indica el tipo de amenaza, como virus o spyware. La columna
Nombre es la descripcin de la amenaza o URL y la columna Categora es la categora
de la amenaza (como registrador de pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realizacin de capturas de paquetes.
Filtrado de URL
Muestra logs para todo el trfico que coincide con un perfil de filtrado de URL
adjuntado a una poltica de seguridad. Por ejemplo, si la poltica bloquea el acceso a sitios
web y categoras de sitios web especficos o si la poltica est configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener informacin sobre cmo
definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envos a WildFire
Muestra logs de los archivos cargados y analizados por la nube de WildFire. Los datos
de los logs se vuelven a enviar al dispositivo despus del anlisis junto con los resultados
del anlisis.
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que informaciones
confidenciales como nmeros de tarjetas de crdito o de la seguridad social abandonen
el rea protegida por el cortafuegos. Consulte Configuracin de filtrado de datos para
obtener informacin sobre cmo definir perfiles de filtrado de datos.
Este log tambin muestra informacin de los perfiles de bloqueo de archivos. Por
ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que estaban
bloqueados. Si reenva archivos a WildFire, podr ver los resultados de dicha accin. En
este caso, si reenva archivos PE a WildFire, por ejemplo, el log mostrar que el archivo
se ha reenviado y tambin el estado para determinar si se ha cargado correctamente en
WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la direccin IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuracin y los
valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripcin del evento.
Coincidencias HIP
Muestra los flujos de trfico que coinciden con el objeto HIP o el perfil HIP que ha
configurado.
Informes y logs
191
Informes y logs
Filtrado de datos de logs

Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Utilice la rea de filtro de la siguiente forma:
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarn ambos elementos y la bsqueda encontrar entradas que coinciden con ambos
(bsqueda Y).
Para definir otros criterios de bsqueda, haga clic en Aadir filtro de log. Seleccione el tipo de bsqueda (y/o),
el atributo a incluir en la bsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Aadir para agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha definido
en la ventana emergente Expresin. Cada uno se agrega como una entrada en la lnea Filtro de
la pgina de log. Si establece el filtro en Tiempo recibido como ltimos 60 segundos,
algunos enlaces de la pgina en el visor de logs podran no mostrar resultados ya que el nmero
de pginas puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificacin
si desea continuar utilizando la misma opcin. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportacin de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el lmite de filas mostradas en informes CSV, utilice el campo Mx. de filas
en exportacin CSV de la pestaa Exportacin e informes de logs (seleccione Dispositivo > Configuracin >
Gestin > Configuracin de log e informes).
Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
o Manual).
30 segundos, 10 segundos
Para cambiar el nmero de entradas de logs por pgina, seleccione el nmero de filas en el men desplegable
Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina en la parte inferior
de la pgina para navegar por la lista de logs. Seleccione la casilla de verificacin Resolver nombre de host para
iniciar la resolucin de direcciones IP externas en nombres de dominio.
192
Informes y logs
Informes y logs
Supervisin del panel

Tambin puede supervisar los datos de log locales directamente desde el panel aadiendo los widgets asociados:
Informes y logs
193
Informes y logs
El cortafuegos tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de grfico o tabla. Consulte Acerca de los informes para obtener informacin ms detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.
194
Informes y logs
Informes y logs

Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante
eventos crticos que requieran su atencin, o puede que tenga polticas que requieran que archive los datos
durante ms tiempo del que pueden ser almacenados en el cortafuegos. En estos casos, desear enviar sus datos
de logs a un servicio externo para su archivo, notificacin o anlisis.
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
Configurar el cortafuegos para que acceda a los servicios remotos que recibirn los logs. Consulte
Definicin de destinos de logs remotos.
Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
En el caso de los logs de trfico y amenazas, la habilitacin del reenvo de logs incluye la configuracin de
un perfil de reenvo de logs o un perfil de reenvo de logs predeterminado. Para obtener ms informacin,
consulte Perfiles de reenvo de logs.
Informes y logs
195
Informes y logs
Definicin de destinos de logs remotos

Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el cortafuegos debe
conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el cortafuegos, puede definir
esta informacin en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que
desee que interacte el cortafuegos. El tipo de destino de log que necesita configurar y qu logs se reenvan
depender de sus necesidades. Algunas situaciones frecuentes de reenvo de logs son:
Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin,
puede generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de
correo electrnico y/o Configuracin de los destinos de Trap SNMP.
Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de

dispositivos, puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog.
Esto permite la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o
ArcSight. Adems, puede proteger el canal entre el cortafuegos y el servidor Syslog. Consulte
Configuracin del cortafuegos para autenticarlo con el servidor Syslog.
Para aadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitacin del
reenvo de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.
196
Informes y logs
Informes y logs
Configuracin de alertas de correo electrnico

Configuracin de alertas de correo electrnico
Paso 1
Cree un perfil de servidor para su

servidor de correo electrnico.
1.
Seleccione Dispositivo > Perfiles de servidor > Correo

electrnico.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada de servidor

de correo electrnico e introduzca la informacin necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrnico (puede aadir hasta cuatro servidores de correo
electrnico al perfil):
Servidor: Nombre para identificar el servidor de correo
electrnico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
Mostrar nombre: El nombre que aparecer en el campo De
del correo electrnico.
De: La direccin de correo electrnico desde la que se
enviarn las notificaciones de correo electrnico.
Para: La direccin de correo electrnico a la que se enviarn
las notificaciones de correo electrnico.
Destinatario adicional: Si desea que las notificaciones se
enven a una segunda cuenta, introduzca la direccin
adicional aqu. Solo puede aadir un destinatario adicional.
Para aadir varios destinatarios, aada la direccin de correo
electrnico de una lista de distribucin.
Puerta de enlace: La direccin IP o el nombre de host de la
puerta de enlace SMTP que se usar para enviar los mensajes
de correo electrnico.
5.
Haga clic en Aceptar para guardar el perfil de servidor.
Paso 2
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el cortafuegos.
distintos tipos de log, consulte Common Event Format
Configuration Guide (Gua de configuracin de formato de eventos
comunes).
Paso 3
Guarde el perfil de servidor y confirme

los cambios.
Informes y logs
1.
2.
Haga clic en Confirmar para guardar los cambios en la

configuracin actual.
197
Informes y logs
Configuracin de los destinos de Trap SNMP

SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la supervisin de los
dispositivos de su red. Puede configurar su cortafuegos para enviar traps SNMP a su software de gestin de
SNMP para alertarle de amenazas o eventos crticos del sistema que requieran su atencin inmediata.
Tambin puede usar SNMP para supervisar el cortafuegos. En este caso, su gestor de SNMP
debe estar configurado para obtener estadsticas del cortafuegos en lugar de (o adems de)
hacer que el cortafuegos enve traps al gestor. Para obtener ms informacin, consulte
Configuracin del cortafuegos para autenticarlo con el servidor Syslog.
Configuracin de los destinos de Trap SNMP
Paso 1
Para conocer el ID de motor del cortafuegos, deber configurar el

cortafuegos para SNMP v3 y enviar un mensaje GET desde el gestor
de SNMP o el explorador de MIB de la manera siguiente:
En muchos casos, el explorador de
1. Habilite la interfaz para permitir solicitudes SNMP entrantes:
MIB o el gestor de SNMP
Si va a recibir mensajes SNMP GET en la interfaz de gestin,
detectar automticamente el ID
seleccione Dispositivo > Configuracin > Gestin y haga clic
de motor tras una conexin
en Editar en la seccin Configuracin de interfaz de gestin
correcta al agente de SNMP del
de la pantalla. En la seccin Servicios, seleccione la casilla de
cortafuegos. Normalmente
verificacin SNMP y haga clic en Aceptar.
encontrar esta informacin en la
seccin de configuracin del
Si va a recibir mensajes SNMP GET en una interfaz distinta,
agente de la interfaz. Consulte la
deber asociar un perfil de gestin a la interfaz y habilitar la
documentacin de su producto
gestin de SNMP.
especfico para obtener
2. Configure el cortafuegos para SNMP v3 como se describe en el
instrucciones sobre cmo
Paso 2 en Configuracin de la supervisin de SNMP. Si no
encontrar la informacin del
configura
el cortafuegos para SNMP v3, su explorador de MIB
agente.
no le permitir obtener el ID de motor.
(nicamente SNMP v3) Obtenga el ID

de motor para el cortafuegos.
3.
198
Conecte su explorador de MIB o gestor de SNMP al

cortafuegos y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El
valor devuelto es el ID de motor exclusivo del cortafuegos.
Informes y logs
Informes y logs
Configuracin de los destinos de Trap SNMP (Continuacin)
Paso 2
Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c
o V3, como se explica a continuacin:
SNMP V2c
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del cortafuegos, segn se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para
el gestor de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no
estar cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado
(AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.
Paso 4

Paso 5
Habilite el gestor de SNMP para que

interprete las traps que recibe del
cortafuegos.
Cargue los archivos MIB de PAN-OS en su software de gestin de

SNMP y complelos. Consulte las instrucciones especficas para
realizar este proceso en la documentacin de su gestor de SNMP.
Definicin de servidores Syslog

Syslog es un mecanismo de transporte de logs estndar que permite aadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, cortafuegoss o impresoras, de diferentes proveedores a un
repositorio central para su archivo y anlisis, as como para elaborar informes.
Informes y logs
199
Informes y logs
El cortafuegos genera seis tipos de logs que pueden reenviarse a un servidor Syslog externo: trfico, amenaza,
WildFire, coincidencia del perfil de informacin de host (HIP), configuracin y sistema. Si quiere reenviar todos
o algunos de estos logs a un servicio externo para un almacenamiento y un anlisis a largo plazo, puede utilizar
TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro.
Configuracin del reenvo de Syslog
Paso 1
Cree un perfil de servidor que contenga

la informacin para conectarse a los
servidores Syslog.
1.
Seleccione Dispositivo > Perfiles de servidor > Syslog.
2.

para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada del servidor
Syslog e introduzca la informacin necesaria para conectar con
el servidor Syslog (puede aadir hasta cuatro servidores Syslog
al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor: Direccin IP o nombre de dominio completo
(FQDN) del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes
de Syslog (el valor predeterminado es UDP en el puerto 514);
debe usar el mismo nmero de puerto en el cortafuegos y en
el servidor Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se
debe utilizar, BSD o IETF. Tradicionalmente, el formato
BSD es a travs de UDP y el formato IETF es a travs de
TCP/SSL. Para configurar el reenvo de Syslog seguro con la
autenticacin de cliente, consulte Configuracin del
cortafuegos para autenticarlo con el servidor Syslog.
Instalaciones: Seleccione uno de los valores de Syslog
estndar, que se usa para calcular el campo de prioridad (PRI)
en la implementacin de su servidor Syslog. Debe seleccionar
el valor que asigna cmo usa el campo PRI para gestionar sus
mensajes de Syslog.
200
5.
(Opcional) Para personalizar el formato de los mensajes de

Syslog que enva el cortafuegos, seleccione la pestaa Formato
de log personalizado. Si desea ms informacin sobre cmo
crear formatos personalizados para los distintos tipos de log,
consulte Common Event Format Configuration Guide (Gua de
configuracin de formato de eventos comunes).
6.
Informes y logs
Informes y logs
Configuracin del reenvo de Syslog (Continuacin)
Paso 2
1.
(Opcional) Configure el formato de
encabezado utilizado en los mensajes de
Syslog. La seleccin del formato de
2.
encabezado ofrece ms flexibilidad para
3.
filtrar y crear informes sobre los datos de
log para algunos SIEM.
Seleccione Dispositivo > Configuracin > Gestin y haga clic en

el icono Editar de la seccin Configuracin de log e informes.
Seleccione Exportacin e informes de logs.
Seleccione una de las siguientes opciones en el men
desplegable Enviar nombre de host en Syslog:
FQDN: (Valor predeterminado) Concatena el nombre de host
y el nombre de dominio definidos en el dispositivo de envo.
Nombre de host: Utiliza el nombre de host definido en el
dispositivo de envo.
Direccin IPv4: Utiliza la direccin IPv4 de la interfaz
utilizada para enviar logs en el dispositivo. De manera
predeterminada, esta es la interfaz de gestin del dispositivo.
Direccin IPv6: Utiliza la direccin IPv6 de la interfaz
utilizada para enviar logs en el dispositivo. De manera
predeterminada, esta es la interfaz de gestin del dispositivo.
Se trata de una configuracin

global y se aplica a todos los
perfiles de servidores Syslog
configurados en el dispositivo.
Ninguno: Deja el campo Nombre de host sin configurar en

el dispositivo. No hay ningn identificador para el dispositivo
que enva los logs.
4.
Paso 3
Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos en guardar sus cambios.
Paso 4
Habilite el reenvo de logs.
Consulte Habilitacin del reenvo de logs.

Debe configurar cada tipo de log para el reenvo y especificar la
gravedad para la que se registrar el evento.
Los logs de WildFire son un tipo de log de amenaza, pero no
se registran y reenvan junto con los logs de amenaza. Si bien
los logs de WildFire utilizan el mismo formato de Syslog que
los logs de amenaza, el subtipo de amenaza est predefinido
como WildFire. Por lo tanto, debe habilitar el
registro/reenvo para logs de WildFire de manera distinta a la
de los logs de amenaza.
Paso 5
Revise los logs del servidor Syslog.
Para analizar los logs, consulte Descripcin de los campos de Syslog.
Configuracin del cortafuegos para autenticarlo con el servidor Syslog

Para habilitar la autenticacin de cliente para Syslog a travs de SSL, puede utilizar una CA de confianza o una
CA de firma automtica para generar certificados que puedan utilizarse para una comunicacin Syslog segura.
Compruebe lo siguiente al generar un certificado para una comunicacin Syslog segura:
La clave privada debe estar disponible en el dispositivo de envo; las claves no pueden almacenarse en un
mdulo de seguridad de hardware (HSM).
Informes y logs
201
Informes y logs
El sujeto y el emisor del certificado no deben ser idnticos.
El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicacin Syslog segura.
Configuracin del cortafuegos para autenticarlo con el servidor Syslog
Paso 1
Para verificar que el dispositivo de envo est autorizado para

Si el servidor Syslog requiere
comunicarse con el servidor Syslog, debe habilitar lo siguiente:
autenticacin de cliente, genere el
certificado para la comunicacin
El servidor y el dispositivo de envo deben tener certificados
segura. Si desea informacin detallada
firmados por la CA de empresa; tambin puede generar un
sobre certificados, consulte Gestin
certificado autofirmado en el cortafuegos, exportar el certificado de
de certificados.
CA raz desde el cortafuegos e importarlo en el servidor Syslog.
Utilice la CA de empresa o el certificado autofirmado para generar
un certificado con la direccin IP del dispositivo de envo (como
Nombre comn) y habilitado para su uso en una comunicacin
Syslog segura. El servidor Syslog utiliza este certificado para verificar
que el cortafuegos est autorizado para comunicarse con el servidor
Syslog.
Realice los siguientes pasos para generar el certificado en el
cortafuegos o en Panorama:
1. Seleccione Dispositivo > Gestin de certificados > Certificados >
2.
Haga clic en Generar para crear un nuevo certificado que estar

firmado por una CA de confianza o la CA autofirmada.
3.
Introduzca un Nombre para el certificado.
4.
En Nombre comn, introduzca la direccin IP del dispositivo que

enviar logs al servidor Syslog.
5.
Seleccione Compartido si desea que el certificado sea de tipo

compartido en Panorama o en todos los sistemas virtuales en un
cortafuegos de sistema virtual mltiple.
6.
En Firmado por, seleccione la CA de confianza o la CA

autofirmada que sea de confianza para el servidor Syslog y el
dispositivo de envo.
7.
Haga clic en Generar. Se generarn el certificado y el par de claves.
8.
Haga clic en el enlace con el nombre del certificado y habilite la

opcin Certificado de Syslog seguro para garantizar el acceso
seguro al servidor Syslog.
9.
10. Verifique los detalles del certificado y que est marcado para Uso
como Certificado para Syslog seguro.
202
Informes y logs
Informes y logs
Habilitacin del reenvo de logs

Una vez creados los perfiles de servidor que establecen la ubicacin a la que se envan los logs (consulte
Definicin de destinos de logs remotos), debe habilitar el reenvo de logs. Para cada tipo de log, puede
especificar si se reenva a Syslog, correo electrnico, receptor de traps SNMP o Panorama.
Para poder reenviar los archivos de log a un gestor de Panorama o a un recopilador de logs de
Panorama, el cortafuegos se debe configurar como un dispositivo gestionado. Entonces podr
habilitar el reenvo de logs a Panorama para cada tipo de log. Para logs reenviados a Panorama,
tiene a su disposicin la compatibilidad con el reenvo centralizado de logs a un servidor Syslog
externo.
La forma de habilitar el reenvo depende del tipo de log:
Logs de trfico: Habilita el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado. Para obtener
informacin sobre la configuracin de un perfil de reenvo de logs, consulte Perfiles de reenvo de logs.
Logs de amenaza: Habilita el reenvo de logs de amenaza creando un perfil de reenvo de logs (Objetos >
Reenvo de logs) que especifique qu niveles de seguridad desea reenviar y, a continuacin, aadindolo a las
polticas de seguridad para las que desea activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). Para obtener
informacin sobre la configuracin de un perfil de reenvo de logs, consulte Perfiles de reenvo de logs.
La siguiente tabla resume los niveles de gravedad de las amenazas:
Gravedad
Descripcin
Crtico
Amenazas graves, como aquellas que afectan a las instalaciones

predeterminadas de software ampliamente implementado, que
comprometen profundamente los servidores y dejan el cdigo de
explotacin al alcance de los atacantes. El atacante no suele necesitar
ningn tipo de credenciales de autenticacin o conocimientos acerca de
las vctimas y el objetivo no necesita ser manipulado para que realice
ninguna funcin especial.
Alto
Amenazas que tienen la habilidad de convertirse en crticas pero que

tienen factores atenuantes; por ejemplo, pueden ser difciles de explotar,
no conceder privilegios elevados o no tener un gran grupo de vctimas.
Medio
Amenazas menores en las que se minimiza el impacto, como ataques DoS

que no comprometen al objetivo o explotaciones que requieren que el
atacante est en la misma LAN que la vctima, afectan solo a
configuraciones no estndar o aplicaciones oscuras u ofrecen acceso muy
limitado. Adems, las entradas de log de Presentaciones de WildFire con
un veredicto de malware se registran como amenazas de nivel medio.
Bajo
Amenazas con nivel de advertencia que tienen muy poco impacto en la

infraestructura de la organizacin. Suelen requerir acceso local o fsico al
sistema y con frecuencia suelen ocasionar problemas en la privacidad de
las vctimas, problemas de DoS y fugas de informacin. Las coincidencias
de perfiles de filtrado de datos se registran como bajas.
Informes y logs
203
Informes y logs
Gravedad
Descripcin
Informativo
Eventos sospechosos que no suponen una amenaza inmediata, pero que

se registran para indicar que podra haber problemas ms serios. Las
entradas de logs de filtrado de URL y las entradas de logs de
Presentaciones de WildFire con un veredicto benigno se registran como
informativas.
Logs de configuracin: Habilita el reenvo de logs de configuracin especificando un perfil de servidor en

la configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de configuracin).
Logs de sistema: Habilita el reenvo de logs de sistema especificando un perfil de servidor en la

configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de sistema). Debe seleccionar un
perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de
sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente
tabla resume los niveles de gravedad de los logs de sistema:
Gravedad
Descripcin
Crtico
Fallos de hardware, lo que incluye la conmutacin por error de HA y los fallos de

enlaces.
Alto
Problemas graves, incluidas las interrupciones en las conexiones con dispositivos

externos, como servidores Syslog y RADIUS.
Medio
Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus.
Bajo
Notificaciones de menor gravedad, como cambios de contrasea de usuario.
Informativo
Inicios de sesin/cierres de sesin, cambio de nombre o contrasea de

administrador, cualquier cambio de configuracin y el resto de eventos no
cubiertos por los otros niveles de gravedad.
Perfiles de reenvo de logs

Los perfiles de reenvo de logs permiten reenviar los logs de trfico y amenazas a Panorama o a un sistema
externo. Puede aadir un perfil de reenvo de logs a una zona de seguridad para reenviar los logs de proteccin
de zona o a una poltica de seguridad para reenviar los logs de trfico que coincidan con dicha poltica. Adems,
puede configurar un perfil de reenvo de logs predeterminado (la configuracin del perfil predeterminado se
utilizar como la configuracin de reenvo de logs predeterminada para las nuevas zonas de seguridad y las
nuevas polticas de seguridad). Esto permite incluir de forma coherente la configuracin de reenvo de logs
preferida de su organizacin en las nuevas polticas y zonas automticamente y sin que los administradores
tengan que aadirlas manualmente en cada ocasin.
En las siguientes secciones se describe cmo crear un perfil de reenvo de logs y cmo habilitar un perfil para
usarlo como la configuracin de reenvo de logs predeterminada para las nuevas polticas de seguridad o zonas
de seguridad:
Creacin de un perfil de reenvo de logs
Configuracin o cancelacin de un perfil de reenvo de logs predeterminado
204
Informes y logs
Informes y logs
Creacin de un perfil de reenvo de logs

Cree un perfil de reenvo de logs que se pueda aadir a las polticas de seguridad y zonas de seguridad para
reenviar los logs de trfico y amenazas a Panorama o a un sistema externo. Los logs reenviados se pueden enviar
como traps SNMP, mensajes de Syslog o notificaciones de correo electrnico.
Habilitacin de un perfil de reenvo de logs
Paso 1
Aada un perfil de reenvo de logs.
1.
Seleccione Objeto > Perfil de reenvo de logs y Aadir para

aadir un nuevo grupo de perfiles de seguridad.
2.
Asigne al grupo de perfiles un Nombre descriptivo para facilitar

su identificacin al aadir el perfil a polticas de seguridad o
zonas de seguridad.
3.
Si el cortafuegos est en modo de Sistema virtual mltiple,

habilite el perfil para que sea Compartido entre todos los
sistemas virtuales.
4.
Aada la configuracin para los logs de trfico, amenazas y

WildFire:
Active la casilla de verificacin Panorama para determinar la
gravedad de los logs de trfico, amenazas o WildFire que
desee reenviar a Panorama.
Especifique los logs que desee reenviar a destinos adicionales:
destinos Trap SNMP, servidores de Correo electrnico o
servidores Syslog.
Paso 1
Aada el perfil de reenvo de logs a una

5.
Haga clic en Aceptar para guardar el perfil de reenvo de logs.
1.
Seleccione Polticas > Seguridad y Aadir o modifique la

El trfico que coincida con la poltica de 2.

seguridad y su perfil de reenvo de logs se
reenviar a los destinos definidos en su
perfil.
Para obtener ms informacin sobre las
polticas de seguridad, consulte Poltica de
seguridad.
Paso 1
Paso 1
Seleccione Acciones y el perfil de reenvo de logs que ha creado

en la lista desplegable Perfil de reenvo de logs.
Las entradas del log de amenazas se generan de acuerdo
con los perfiles de seguridad que ha configurado adems
de la configuracin definida en el perfil de reenvo de
logs. Para obtener ms informacin sobre los perfiles de
seguridad, consulte Perfiles de seguridad.
3.
Haga clic en Aceptar para guardar la poltica de seguridad.
Aada el perfil de reenvo de logs a una

zona de seguridad.
1.
Seleccione Red > Zonas y Aadir o modifique la zona de

seguridad.
Para obtener ms informacin sobre la

configuracin de zonas de seguridad,
consulte Configuracin de interfaces y
zonas.
2.
Seleccione el perfil de reenvo de logs en la lista desplegable

Ajuste de log.
3.
Haga clic en Aceptar para guardar la zona de seguridad.
Guarde sus cambios.
Informes y logs
Seleccione Confirmar.
205
Informes y logs

Aada un perfil de reenvo de logs nuevo o modifique uno existente para usarlo como la configuracin de reenvo
de logs predeterminada para las nuevas reglas de la poltica de seguridad o las nuevas zonas de seguridad. Cuando
un administrador crea una poltica de seguridad o una zona de seguridad, el perfil de reenvo de logs predeterminado
se selecciona automticamente como la configuracin de reenvo de logs de la poltica o la zona (el administrador
puede seleccionar manualmente otra configuracin de reenvo de logs si lo desea). Utilice las siguientes opciones
para configurar un perfil de reenvo de logs predeterminado o para cancelar su configuracin predeterminada.
Si no hay ningn perfil de seguridad predeterminado, la configuracin del perfil para la nueva
poltica de seguridad se establece en Ninguno de forma predeterminada.
Configure un perfil de reenvo de logs

predeterminado.
1.
Seleccione Objetos > Reenvo de logs y Aadir para aadir un nuevo

perfil de reenvo de logs o modificar un perfil existente.
2.
Asigne al grupo de perfiles de seguridad el Nombre predeterminado:
3.
4.
Confirme que el perfil de reenvo de logs predeterminado se incluye en

las nuevas polticas de seguridad de forma predeterminada:
a. Seleccione Polticas > Seguridad y Aadir para aadir una nueva
b. Seleccione la pestaa Acciones y asegrese de que el campo
Reenvo de logs muestra el perfil predeterminado seleccionado:
5.
Confirme que el perfil de reenvo de logs predeterminado se incluye en

las nuevas zonas de seguridad de forma predeterminada:
a. Seleccione Red > Zonas y Aadir para aadir una nueva zona de
seguridad.
b. Asegrese de que el campo Ajuste de log muestra el perfil de
reenvo de logs predeterminado seleccionado:
Cancele un perfil de reenvo de logs

predeterminado.
206
Si tiene un perfil de reenvo de logs predeterminado existente y no desea

que se aplique la configuracin de reenvo de logs definida en dicho perfil
a una nueva poltica de seguridad o una nueva zona de seguridad,
modifique el campo Ajuste de log en la poltica o la zona segn sus
preferencias.
Informes y logs
Informes y logs

Todos los cortafuegos de Palo Alto Networks son compatibles con mdulos de base de informacin de gestin
(MIB) de SNMP de red estndar, as como con mdulos MIB empresariales privados. Puede configurar un
gestor de SNMP para recibir estadsticas del cortafuegos. Por ejemplo, puede configurar su gestor de SNMP
para que supervise las interfaces, sesiones activas, sesiones simultneas, porcentajes de uso de sesin,
temperatura o tiempo de actividad en el cortafuegos.
Los cortafuegos de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es
compatible con las solicitudes SNMP SET.
Configuracin de la supervisin de SNMP
Paso 1
Habilite la interfaz para permitir

solicitudes SNMP entrantes:
Si va a recibir mensajes SNMP GET en la interfaz de gestin, seleccione

Dispositivo > Configuracin > Gestin y haga clic en Editar en la seccin
Configuracin de interfaz de gestin de la pantalla. En la seccin
Servicios, seleccione la casilla de verificacin SNMP y haga clic en
Aceptar.
Si va a recibir mensajes SNMP GET en una interfaz distinta, deber
asociar un perfil de gestin a la interfaz y habilitar la gestin de SNMP.
Paso 2
Desde la interfaz web del

cortafuegos, configure los ajustes
para permitir que el agente de
SNMP del cortafuegos responda a
las solicitudes GET entrantes del
gestor de SNMP.
1.
Seleccione Dispositivo > Configuracin > Operaciones >

Configuracin de SNMP.
2.
Especifique la ubicacin fsica del cortafuegos y el nombre o

direccin de correo electrnico de un contacto de gestin.
3.
Seleccione la versin SNMP y, a continuacin, introduzca los detalles

de configuracin de la siguiente forma (segn la versin SNMP que
utilice) y, a continuacin, haga clic en ACEPTAR:
V2c: Introduzca la cadena de comunidad SNMP que permitir que
el gestor de SNMP acceda al agente de SNMP del cortafuegos. El
valor predeterminado es pblico. Como se trata de una cadena de
comunidad ampliamente conocida, es recomendable usar un valor
que no se adivine tan fcilmente.
V3: Debe crear al menos una vista y un usuario para poder utilizar
SNMPv3. La vista especifica a qu informacin de gestin tiene
acceso el gestor. Si desea permitir el acceso a toda la informacin
de gestin, solamente tiene que introducir el OID de nivel ms alto
de .1.3.6.1 y especificar la opcin como incluir (tambin puede
crear vistas que excluyan determinados objetos). Utilice 0xf0 como
la mscara. A continuacin, cuando cree un usuario, seleccione la
vista que acaba de crear y especifique la contrasea de
autenticacin y la contrasea privada.
La configuracin de autenticacin (la cadena de comunidad para V2c
o el nombre de usuario y las contraseas para V3) establecida en el
cortafuegos debe coincidir con el valor configurado en el gestor de
SNMP.
Informes y logs
4.
Haga clic en ACEPTAR para guardar la configuracin.
5.
Haga clic en Confirmar para guardar estos ajustes de SNMP.
207
Informes y logs
Configuracin de la supervisin de SNMP (Continuacin)
Paso 3
Active el gestor de SNMP para

interpretar las estadsticas del
cortafuegos.
Cargue los archivos MIB de PAN-OS en su software de gestin de SNMP

y, si es necesario, complelos. Consulte las instrucciones especficas para
realizar este proceso en la documentacin de su gestor de SNMP.
Paso 4
Identifique las estadsticas que

desee supervisar.
Use un explorador de MIB para examinar los archivos MIB de PAN-OS y

localizar los identificadores de objeto (OID) que se corresponden con las
estadsticas que desea supervisar. Por ejemplo, imagnese que desea
supervisar el porcentaje de uso de sesin del cortafuegos. Usando un
explorador de MIB ver que estas estadsticas se corresponden con los
OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.
Paso 5
Configure el software de gestin de Consulte las instrucciones especficas para realizar este proceso en la
SNMP para que supervise los OID documentacin de su gestor de SNMP.
que le interesan.
Paso 6
Cuando haya terminado la

configuracin del cortafuegos y el
gestor de SNMP podr empezar a
supervisar el cortafuegos desde su
software de gestin de SNMP.
208
A continuacin, un ejemplo de la apariencia de un gestor de SNMP al

mostrar las estadsticas del porcentaje de uso de sesin en tiempo real de
un cortafuegos de la serie PA-500 supervisado:
Informes y logs
Informes y logs

NetFlow es un protocolo estndar del sector que permite que el cortafuegos registre estadsticas en el trfico IP
que pasa por sus interfaces. El cortafuegos exporta las estadsticas como campos de NetFlow a un recopilador
NetFlow. El recopilador NetFlow es un servidor que puede utilizar para analizar el trfico de la red con fines de
seguridad, administracin, contabilidad y solucin de problemas. Todos los cortafuegos son compatibles con la
versin 9 de NetFlow, a excepcin de los cortafuegos de las series PA-4000 y PA-7050. Los cortafuegos solo
son compatibles con NetFlow unidireccional, pero no bidireccional. Puede habilitar NetFlow para que exporte
todos los tipos de interfaces, a excepcin de las de alta disponibilidad (HA), tarjeta de log o reflejo de descifrado.
Para identificar las interfaces del cortafuegos en un recopilador NetFlow, consulte Identificacin de interfaces
de cortafuegos en sistemas de supervisin externos.
El cortafuegos es compatible con plantillas de NetFlow estndar y de empresa (especficas de PAN-OS). Los
recopiladores NetFlow requieren plantillas para descifrar los campos exportados. El cortafuegos selecciona una
plantilla segn el tipo de datos que va a exportar: trfico IPv4 o IPv6, con o sin NAT y con campos estndar o
especficos de empresa. Para ver una lista de plantillas y definiciones de campo admitidas, consulte Plantillas de
NetFlow. El cortafuegos actualiza las plantillas peridicamente para aplicar los cambios. Debe configurar la
frecuencia de actualizacin segn los requisitos del recopilador NetFlow que utilice.
Paso 1
Paso 2
Cree un perfil de servidor NetFlow.
1.
Seleccione Dispositivo > Perfil de servidor > NetFlow y haga

clic en Aadir.
2.
Introduzca un Nombre para el perfil.
3.
Especifique la frecuencia con la que el cortafuegos actualiza las

plantillas (en Minutos o Paquetes) y exporta los registros
(Tiempo de espera activo en minutos).
4.
Active la casilla de verificacin Tipos de campos de PAN-OS si

desea que el cortafuegos exporte los campos de App-ID y
User-ID.
5.
Para cada recopilador NetFlow (hasta dos por perfil) que reciba
campos, haga clic en Aadir y especifique un Nombre de
servidor, nombre de host o direccin IP que faciliten la
identificacin (Servidor NetFlow), y acceda al Puerto (el valor
predeterminado es 2055).
6.
Asigne el perfil del servidor NetFlow a las 1.

interfaces que transfieren el trfico que
desea analizar.
2.
En este ejemplo, asigne el perfil a una
interfaz de capa 3 existente.
Informes y logs
3.
Seleccione Red > Interfaces > Ethernet y haga clic en un

nombre de Interfaz para editarlo.
En la lista desplegable Perfil de NetFlow, seleccione el perfil del
servidor NetFlow y haga clic en Aceptar.
Haga clic en Compilar y ACEPTAR.
209
Informes y logs
El cortafuegos de Palo Alto Networks admite las siguientes plantillas de NetFlow:
Plantilla
ID
IPv4 Standard
256
IPv4 Enterprise
257
IPv6 Standard
258
IPv6 Enterprise
259
IPv4 con NAT Standard
260
IPv4 con NAT Enterprise 261
En la siguiente tabla se incluyen los campos de NetFlow que el cortafuegos puede enviar junto con las plantillas
que los definen:
Valor Campo
Descripcin
Plantillas
IN_BYTES
Contador de entrada con una longitud de N * 8 bits para el Todas las plantillas
nmero de bytes asociado a un flujo IP. De forma
predeterminada, N es 4.
IN_PKTS
Contador de entrada con una longitud de N * 8 bits para el Todas las plantillas
nmero de paquetes asociado a un flujo IP. De forma
predeterminada, N es 4.
PROTOCOL
Byte de protocolo IP.
Todas las plantillas
TOS
Configuracin de byte de tipo de servicio al especificar la

interfaz de entrada.
TCP_FLAGS
Total de marcas de TCP de este flujo.
L4_SRC_PORT
Nmero de puerto de origen de TCP/UDP (por ejemplo

FTP, Telnet o equivalente).
IPV4_SRC_ADDR
Direccin de origen IPv4.
IPv4 Standard
IPv4 Enterprise
IPv4 con NAT Enterprise
10
INPUT_SNMP
ndice de interfaz de entrada. La longitud del valor es de 2 Todas las plantillas

bytes de forma predeterminada, pero es posible utilizar
valores superiores. Para obtener ms informacin sobre
cmo los cortafuegos de Palo Alto Networks generan
ndices de interfaces, consulte Identificacin de interfaces de
cortafuegos en sistemas de supervisin externos.
11
L4_DST_PORT
Nmero de puerto de destino de TCP/UDP (por ejemplo

FTP, Telnet o equivalente).
210
Informes y logs
Informes y logs
Valor Campo
Descripcin
Plantillas
12
Direccin de destino IPv4.
IPv4 Standard
IPV4_DST_ADDR
IPv4 Enterprise
14
OUTPUT_SNMP

ndice de interfaz de salida. La longitud del valor es de 2
bytes de forma predeterminada, pero es posible utilizar
valores superiores. Para obtener ms informacin sobre
cmo los cortafuegos de Palo Alto Networks generan
ndices de interfaces, consulte Identificacin de interfaces de
cortafuegos en sistemas de supervisin externos.
21
LAST_SWITCHED
Tiempo de actividad del sistema en milisegundos en el

momento de conmutar el ltimo paquete de este flujo.
22
FIRST_SWITCHED
Tiempo de actividad del sistema en milisegundos en el

momento de conmutar el primer paquete de este flujo.
27
IPV6_SRC_ADDR
Direccin de origen IPv6.
IPv6 Standard
IPv6 Enterprise
28
IPV6_DST_ADDR
Direccin de destino IPv6.
IPv6 Standard
IPv6 Enterprise
32
ICMP_TYPE
Tipo de paquete del protocolo de mensajes de control de

Internet (ICMP). Esto se indica como:
Tipo de ICMP * 256 + cdigo de ICMP

61
DIRECTION
Direccin de flujo:
0 = entrada
1 = salida
148
flowId

Identificador de flujo nico en un dominio de observacin.
Puede usar este elemento de informacin para diferenciar los
distintos flujos si las claves de flujo, como las direcciones IP y
los nmeros de puertos, no se indican o se indican en
registros independientes.
233
firewallEvent
Indica un evento del cortafuegos:
0 = Ignorar (no vlido)

1 = Flujo creado
2 = Flujo eliminado
3 = Flujo denegado
4 = Alerta de flujo
5 = Actualizacin de flujo
Informes y logs
211
Informes y logs
Valor Campo
Descripcin
Plantillas
225
postNATSourceIPv4
Address
La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard

la de sourceIPv4Address, a excepcin de que indica un valor IPv4 con NAT Enterprise
modificado que una funcin de middlebox (dispositivo
intermedio de control) NAT genera una vez pasado el
paquete al punto de observacin.
226
postNATDestinationI La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard
Pv4Address
la de destinationIPv4Address, a excepcin de que indica un IPv4 con NAT Enterprise
valor modificado que una funcin de middlebox (dispositivo
intermedio de control) NAT genera una vez pasado el
paquete al punto de observacin.
227
postNAPTSourceTran La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard
sportPort
la de sourceTransportPort, a excepcin de que indica un
intermedio de control) NAPT (traduccin de puerto de
direccin de red) genera una vez pasado el paquete al punto
de observacin.
228
postNAPTDestinatio
nTransportPort
346
privateEnterpriseNum Nmero de empresa privado nico que identifica a Palo Alto IPv4 Enterprise
ber
Networks: 25461.
La definicin de este elemento de informacin es idntica a IPv4 con NAT Standard

la de destinationTransportPort, a excepcin de que indica un IPv4 con NAT Enterprise
intermedio de control) NAPT (traduccin de puerto de
direccin de red) genera una vez pasado el paquete al punto
de observacin.
IPv6 Enterprise
56701 App-ID
Nombre de una aplicacin identificada por App-ID. El

nombre puede tener hasta 32 bytes.
IPv4 Enterprise
IPv6 Enterprise
56702 User-ID
Nombre de usuario identificado por User-ID. El nombre

puede tener hasta 64 bytes.
IPv4 Enterprise
IPv6 Enterprise
212
Informes y logs
Informes y logs
Identificacin de interfaces de cortafuegos en sistemas de

supervisin externos
Si utiliza un recopilador NetFlow (consulte Supervisin del cortafuegos mediante NetFlow) o un gestor de
SNMP (consulte Supervisin del Firewall mediante SNMP) para supervisar los flujos de trfico, un ndice de
interfaz (objeto ifindex de SNMP) identifica la interfaz del cortafuegos que transporta un flujo concreto. La
frmula que el cortafuegos de Palo Alto Networks utiliza para calcular los ndices de interfaces vara en funcin
de la plataforma y de si la interfaz es fsica o lgica.
No puede utilizar SNMP para supervisar interfaces lgicas, sino solo interfaces fsicas. Puede
utilizar NetFlow para supervisar interfaces lgicas o fsicas.
La mayora de los recopiladores NetFlow utilizan SNMP para determinar el nombre de un interfaz
fsica segn el ndice de interfaz de SNMP.
Los ndices de interfaces fsicas estn comprendidos en un intervalo de 1-9999, el cual calcula el cortafuegos del
modo siguiente:
Plataforma de cortafuegos
Clculo
Ejemplo de ndice de interfaz
Puerto de gestin + desplazamiento de

Serie VM, series PA-200, PA-500, puerto fsico
Puerto de gestin: es una constante que
PA-2000, serie PA-3000, serie
depende de la plataforma.
PA-4000, serie PA-5000
Cortafuegos de la serie PA-5000,

Eth1/4 =2 (puerto de gestin) +
4 (puerto fsico) = 6
No basada en bastidor:
La plataforma de la serie
PA-4000 es compatible
con SNMP, pero no con
NetFlow.
2 para cortafuegos basados en

hardware (por ejemplo, cortafuegos
de la serie PA-5000)
1 para el cortafuegos de la serie VM
Desplazamiento de puerto fsico: es el
nmero del puerto fsico.
Basada en bastidor:
Cortafuegos PA-7050
Esta plataforma es
compatible con SNMP,
pero no con NetFlow.
Cortafuegos PA-7050, Eth3/9 =

(Mx. de puertos * ranura) +
desplazamiento de puerto fsico + puerto de [64 (mx. de puertos) * 3 (ranura)] +
gestin
9 (puerto fsico) + 5 (puerto de
Nmero mximo de puertos: es una
gestin) = 206
constante de 64.
Ranura: es el nmero de ranura del
bastidor de la tarjeta de interfaz de red.
Desplazamiento de puerto fsico: es el
nmero del puerto fsico.
Puerto de gestin: es una constante de 5
para los cortafuegos PA-7050.
Los ndices de interfaces lgicas para todas las plataformas son nmeros de nueve dgitos que el cortafuegos
calcula del modo siguiente:
Informes y logs
213
Tipo de
interfaz
Intervalo
Interfaz de
capa 3
101010001- Tipo: 1
199999999
Ranura de Puerto de
Subinterfaz:
interfaz: 1-9 interfaz: 1-9 sufijo 1-9999
(01-09)
(01-09)
(0001-9999)
Eth1/5.22 = 100000000 (tipo) +

100000 (ranura) + 50000 (puerto) +
22 (sufijo) = 101050022
Interfaz de
capa 2
101010001- Tipo: 1
199999999
Ranura de Puerto de
Subinterfaz:
(01-09)
(01-09)
(0001-9999)
Eth2/3.6 = 100000000 (tipo) +

200000 (ranura) + 30000 (puerto) +
6 (sufijo) = 102030006
Subinterfaz
Vwire
101010001- Tipo: 1
199999999
Ranura de Puerto de
Subinterfaz:
(01-09)
(01-09)
(0001-9999)
Eth4/2.312 = 100000000 (tipo) +

400000 (ranura) + 20000 (puerto) +
312 (sufijo) = 104020312
VLAN
200000001- Tipo: 2
200009999
00
00
Sufijo de
VLAN:
1-9999
(0001-9999)
VLAN.55 = 200000000 (tipo) +

55 (sufijo) = 200000055
Bucle invertido
300000001- Tipo: 3
300009999
00
00
Sufijo de bucle Loopback.55 = 300000000 (tipo)

+ 55 (sufijo) = 300000055
invertido:
1-9999
(0001-9999)
Tnel
400000001- Tipo: 4
400009999
00
00
Sufijo de
tnel: 1-9999
(0001-9999)
Tunnel.55 = 400000000 (tipo) +

55 (sufijo) = 400000055
Grupo de
agregados
500010001- Tipo: 5
500089999
00
Sufijo AE:
1-8 (01-08)
Subinterfaz:
sufijo 1-9999
(0001-9999)
AE5.99 = 500000000 (tipo) +

50000 (sufijo AE) + 99 (sufijo) =
500050099
214
Dgito 9 Dgitos 7-8 Dgitos 5-6
Dgitos 1-4
Informes y logs
Ejemplo de ndice de interfaz
Informes y logs
Informes y logs
Gestin de informes
Gestin de informes
Las funciones de generacin de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
polticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estn protegidos y
sean productivos.
Acerca de los informes
Deshabilitacin de informes predefinidos
Generacin de informes personalizados
Generacin de informes de Botnet
Gestin de informes de resumen en PDF
Generacin de informes de actividad del usuario/grupo
Gestin de grupos de informes
Programacin de informes para entrega de correos electrnicos
Informes y logs
215
Gestin de informes
Informes y logs
Acerca de los informes

El cortafuegos incluye informes predefinidos que puede utilizar tal cual o bien puede crear informes
personalizados que satisfagan sus necesidades por lo que respecta a datos especficos y tareas tiles o combinar
informes predefinidos y personalizados para compilar la informacin que necesita. El cortafuegos proporciona
los siguientes tipos de informes:
Informes predefinidos: Le permiten ver un resumen rpido del trfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categoras: Aplicaciones, Trfico, Amenaza y Filtrado
de URL. Consulte Visualizacin de informes.
Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a peticin sobre
el uso de la aplicacin y la actividad de URL para un usuario especfico o para un grupo de usuarios. El
informe incluye las categoras de URL y un clculo del tiempo de exploracin estimado para usuarios
individuales. Consulte Generacin de informes de Botnet.
Informes personalizados: Cree y programe informes personalizados que muestren exactamente la

informacin que desee ver, filtrando segn las condiciones y las columnas que deben incluirse. Tambin
puede incluir generadores de consultas para un desglose ms especfico de los datos de informe. Consulte
Generacin de informes personalizados.
Informes de resumen en PDF: Agregue hasta 18 informes/grficos predefinidos o personalizados de las

categoras Amenaza, Aplicacin, Tendencia, Trfico y Filtrado de URL a un documento PDF. Consulte
Gestin de informes de resumen en PDF.
Informes de Botnet: Le permiten utilizar mecanismos basados en el comportamiento para identificar

posibles hosts infectados por Botnet en la red. Consulte Generacin de informes de Botnet.
Grupos de informes: Combine informes personalizados y predefinidos en grupos de informes y compile

un nico PDF que se enviar por correo electrnico a uno o ms destinatarios. Consulte Gestin de grupos
de informes.
Los informes se pueden generar segn se necesiten, con una planificacin recurrente, y se puede programar su
envo diario por correo electrnico.
216
Informes y logs
Informes y logs
Gestin de informes
El cortafuegos proporciona una variedad de ms de 40 informes predefinidos que se generan cada da. Estos
informes se pueden visualizar directamente en el cortafuegos. Adems de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento y los informes ms antiguos se purgan para almacenar
informes recientes. Por lo tanto, para una retencin a largo plazo de los informes, puede exportar los informes
o programar los informes para la entrega por correo electrnico. Para deshabilitar informes seleccionados y
conservar recursos del sistema en el cortafuegos, consulte Deshabilitacin de informes predefinidos.
Los informes de actividad de usuario/grupo deben generarse a peticin o programarse para una
entrega por correo electrnico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.
Paso 1
Paso 2
Seleccione Supervisar > Informes.

Los informes se dividen en secciones en el lado derecho de la ventana: Informes personalizados, Informes de
aplicacin, Informes de trfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen
en PDF.
Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del da anterior se mostrar
en la pantalla.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha disponible en el calendario de la parte
inferior de la pgina y seleccione un informe dentro de la misma seccin. Si cambia secciones, se restablecer la
seleccin del tiempo.
Paso 3
Para visualizar un informe fuera de lnea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la pgina. A continuacin,
imprima o guarde el archivo.
Informes y logs
217
Gestin de informes
Informes y logs
Deshabilitacin de informes predefinidos

El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automticamente cada da.
Si no utiliza algunos o todos estos informes predefinidos, podr deshabilitar los informes seleccionados y
conservar recursos del sistema en el cortafuegos.
Antes deshabilitar uno o ms informes predefinidos, asegrese de que el informe no se incluye en ningn
informe de grupos o informe PDF. Si el informe predefinido deshabilitado se incluye en un informe de grupos
o PDF, el informe de grupos/PDF se presentar sin datos.
Deshabilitar informes predefinidos
1.
2.
Seleccione Dispositivo > Configuracin > Gestin en el cortafuegos.

Haga clic en el icono Editar en la seccin Configuracin de log e informes y seleccione la pestaa Exportacin e
informes de logs.
3.
Para deshabilitar informes:

Cancele la seleccin de la casilla de verificacin correspondiente a cada informe que quiera deshabilitar.
Seleccione Anular seleccin para deshabilitar todos los informes predefinidos.
4.
218
Haga clic en ACEPTAR y seleccione Confirmar los cambios.
Informes y logs
Informes y logs
Gestin de informes

Para crear informes personalizados con un fin concreto, debe considerar los atributos o la informacin clave
que quiere recuperar y analizar. Esta consideracin le guiar a la hora de realizar las siguientes selecciones en un
informe personalizado:
Seleccin
Descripcin
Origen de datos
Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orgenes de datos: bases de datos de resumen y logs detallados.
Las bases de datos de resumen estn disponibles para estadsticas de trfico,
amenaza y aplicacin. El cortafuegos agrega los logs detallados en trfico, aplicacin
y amenaza en intervalos de 15 minutos. Los datos estn condensados; es decir, las
sesiones estn agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensacin permite un
tiempo de respuesta ms rpido al generar informes.
Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho ms en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.
Atributos
Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su seleccin en un informe. Desde la lista de Columnas
disponibles, puede aadir los criterios de seleccin para datos coincidentes y para
agregar la informacin detallada (Columnas seleccionadas).
Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenacin y agrupacin disponibles varan basndose en
el origen de datos seleccionado.
La opcin Ordenar por especifica el atributo que se utiliza para la agregacin. Si no
selecciona un atributo segn el cul ordenar, el informe devolver el primer nmero N
de resultados sin ninguna agregacin.
La opcin Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuacin, todos los datos del informe se presentarn en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, si selecciona Hora para
Agrupar por y desea disponer de los 25 grupos principales durante un perodo de 24
horas, los resultados del informe se generan cada hora durante un perodo de 24 horas.
La primera columna del informe ser la hora y el siguiente conjunto de columnas ser
el resto de las columnas del informe seleccionadas.
Informes y logs
219
Gestin de informes
Seleccin
Informes y logs
Descripcin
El siguiente ejemplo muestra el modo en que los criterios Columnas seleccionadas y

Ordenar por/Agrupar por trabajan en conjunto al generar informes:
Las columnas dentro de un crculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarn y se incrementar el recuento de repeticiones (o sesiones).
La columna dentro de un crculo azul indica el orden de clasificacin seleccionado.
Cuando se especifica el orden de clasificacin (Ordenar por), los datos se ordenan (y
agregan) segn el atributo seleccionado.
La columna dentro de un crculo verde indica la seleccin de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuacin, para cada uno de los
N grupos principales, el informe enumera los valores del resto de las columnas
seleccionadas.
220
Informes y logs
Informes y logs
Seleccin
Gestin de informes
Descripcin
Por ejemplo, si un informe tiene las siguientes selecciones:
El resultado ser el siguiente:
El informe est anclado por Da y se ordena por Sesiones. Enumera los 5 das (5 grupos) con el mximo de trfico
en el perodo de tiempo de ltimos 7 das. Los datos se enumeran segn las 5 principales sesiones de cada da para
las columnas seleccionadas: Categora de aplicacin, Subcategora de aplicacin y Riesgo.
Perodo de tiempo
Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un perodo de tiempo que vaya desde los ltimos
15 minutos hasta los ltimos 30 das. Los informes se pueden ejecutar a peticin o se
pueden programar para su ejecucin cada da o cada semana.
Generador de consultas
El generador de consultas le permite definir consultas especficas para ajustar aun ms

los atributos seleccionados. Le permite ver solamente lo que desee en su informe
utilizando los operadores y y o y un criterio de coincidencia y, a continuacin, incluir o
excluir datos que coincidan o nieguen la consulta del informe. Las consultas le
permiten generar una intercalacin de informacin ms centrada en un informe.
Informes y logs
221
Gestin de informes
Informes y logs
1.
Seleccione Supervisar > Gestionar informes personalizados.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.

Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla.
A continuacin, podr editar la plantilla y guardarla como un informe personalizado.
3.
Seleccione la base de datos que debe utilizarse para el informe.
Cada vez que cree un informe personalizado, se crear un informe Vista de log automticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero aade la frase Log View al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
ms informacin, consulte Gestin de grupos de informes.
4.
Seleccione la casilla de verificacin Programado para ejecutar el informe cada noche. A continuacin, el informe
estar disponible para su visualizacin en la columna Informes del lateral.
5.
Defina los criterios de filtrado. Seleccione el Perodo de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.
6.
(Opcional) Seleccione los atributos de Generador de consultas si desea limitar aun ms los criterios de seleccin.
Para crear una consulta de informe, especifique lo siguiente y haga clic en Aadir. Repita las veces que sean necesarias
para crear la consulta completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta como una negativa. Si, por ejemplo, decide hacer
coincidir las entradas de las ltimas 24 horas o se originan en la zona no fiable, la opcin de negacin produce una
coincidencia en las entradas que no se hayan producido en las ltimas 24 horas o no pertenezcan a la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la eleccin de la base de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de trfico) muestra una consulta que coincide
si se ha recibido la entrada de log de trfico en las ltimas 24 horas de la zona no fiable.
7.
Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes segn sea necesario para
cambiar la informacin que se muestra en el informe.
8.
Haga clic en ACEPTAR para guardar el informe personalizado.
222
Informes y logs
Informes y logs
Gestin de informes
Generacin de informes personalizados (Continuacin)
Ejemplos de informes personalizados
Si desea configurar un informe sencillo en el que utiliza la base de datos de resumen de trfico de los ltimos
30 das y ordena los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos por da de
la semana. Debera configurar el informe personalizado para que tuviera un aspecto parecido a este:
Y el resultado en PDF del informe debera tener un aspecto parecido a este:
Informes y logs
223
Gestin de informes
Informes y logs
Generacin de informes personalizados (Continuacin)
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debera configurar el informe
para que tuviera un aspecto parecido a este:
El informe debera mostrar a los principales usuarios del grupo de usuarios de gestin de productos ordenados
por bytes, de la manera siguiente:
224
Informes y logs
Informes y logs
Gestin de informes

La funcin Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Para evaluar las amenazas, el cortafuegos utiliza los logs de
amenaza, URL y filtrado de datos que tienen datos sobre la actividad de usuario/red y consulta la lista de URL
malintencionadas en PAN-DB, proveedores de DNS dinmico conocidos y dominios registrados recientemente.
Con estos orgenes de datos, el cortafuegos correlaciona e identifica los hosts que visitaron sitios de malware y
sitios de DNS dinmico, dominios registrados recientemente (en los ltimos 30 das) y aplicaciones
desconocidas utilizadas, y busca la presencia de trfico de Internet Relay Chat (IRC).
Para los host que coincidan con los criterios, se asigna un margen de confianza del 1 al 5 para indicar la
probabilidad de infeccin de Botnet (1 indica la probabilidad de infeccin ms baja y 5 la ms alta). Como los
mecanismos de deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de
hosts ordenada basndose en un nivel de confianza.
Configuracin de informes de Botnet

Utilice estos ajustes para especificar tipos de trfico sospechoso que pueda indicar actividad de Botnet.
1.
2.
Seleccione Supervisar > Botnet y haga clic en el botn Configuracin del lado derecho de la pgina.
Para el trfico HTTP, seleccione la casilla de verificacin Habilitar para los eventos que desea incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios que se estn comunicando con URL con
software malintencionado conocidas basndose en las categoras de filtrado de URL de software malintencionado
y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en dominios que se han registrado en los
ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.
3.
Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga.
Bytes mximos: Tamao mximo de carga.
Informes y logs
225
Gestin de informes
Informes y logs
4.
Seleccione la casilla de verificacin para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.

Despus de configurar el informe de Botnet, especifique consultas de informe para generar informes de anlisis
de Botnet. El generador de consultas le permite incluir o excluir atributos tales como direcciones IP de origen
o de destino, usuarios, zonas, interfaces, regiones o pases para filtrar los resultados del informe.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar informes a peticin
haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado se
muestra en Supervisar > Botnet.
Para gestionar informes de Botnet, haga clic en el botn Ajuste de informe en el lado derecho de la pantalla.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
1.
En Perodo de ejecucin del informe, seleccione el intervalo de tiempo para el informe (ltimas 24 horas o
ltimo da del calendario).
2.
Seleccione el N. de filas que desea incluir en el informe.
3.
Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.
4.
Cree la consulta de informe especificando lo siguiente y, a continuacin, haga clic en Aadir para agregar la
expresin configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o destino.
Operador: Especifique el operador para relacionar el atributo con un valor.
Valor: Especifique el valor para coincidir.
5.
Seleccione Negar para aplicar la negacin a la consulta especificada, lo que significa que el informe contendr
toda la informacin que no sea resultado de la consulta definida.
6.
226
Informes y logs
Informes y logs
Gestin de informes
Gestin de informes de resumen en PDF

Los informes de resumen en PDF contienen informacin recopilada de informes existentes, basndose en datos
de los 5 principales de cada categora (en vez de los 50 principales). Tambin pueden contener grficos de
tendencias que no estn disponibles en otros informes.
Generacin de informes de resumen en PDF
Paso 1
Configure un Informe de resumen
1.
Seleccione Supervisar > Informes en PDF > Gestionar

resumen de PDF.
2.

para el informe.
3.
Utilice la lista desplegable para cada grupo de informes y

seleccione uno o varios de los elementos para disear el informe
de resumen en PDF. Puede incluir un mximo de 18 elementos
de informe.
en PDF.
Para eliminar un elemento del informe, haga clic en el

icono x o cancele la seleccin del men desplegable para el
grupo de informes adecuado.
Para reorganizar los informes, arrastre y coloque los iconos
en otra rea del informe.
Informes y logs
4.
Haga clic en ACEPTAR para guardar el informe.
5.
227
Gestin de informes
Informes y logs
Generacin de informes de resumen en PDF
Paso 2
228
Vea el informe.
Para descargar y ver el informe de resumen en PDF, consulte

Visualizacin de informes.
Informes y logs
Informes y logs
Gestin de informes

Los informes de actividad del usuario/grupo resumen la actividad web de usuarios individuales o grupos de
usuarios. Ambos informes incluyen la misma informacin con un par de excepciones: Resumen de navegacin
por categora de URL y Clculos de tiempo de exploracin se incluyen en Informes de actividad del usuario, pero
no se incluyen en Informes de actividad del grupo.
User-ID se debe configurar en el cortafuegos para acceder a lista de usuarios/grupos de usuarios.
1.
Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.
3.
Cree el informe:
Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Direccin IP (IPv4 o IPv6) del usuario que ser el asunto del informe.
Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
informacin de grupos de usuarios en el informe.
4.
Seleccione el perodo de tiempo para el informe en el men desplegable.

El nmero de logs analizados en un informe de actividad del usuario est determinado por el nmero de filas
definido en Mx. de filas en informe de actividad de usuario en la seccin Configuracin de log e informes
en Dispositivo > Configuracin > Gestin.
5.
Seleccione Incluir exploracin detallada para incluir logs de URL detallados en el informe.
La informacin de navegacin detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6.
Para ejecutar el informe a peticin, haga clic en Ejecutar ahora.
7.
Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.
Informes y logs
229
Gestin de informes
Informes y logs
Gestin de grupos de informes

Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y enviar como un
informe agregado en PDF nico con una pgina de ttulo opcional y todos los informes constituyentes incluidos.
Configuracin de grupos de informes
Paso 1
Configure grupos de informes.

Debe configurar un
Grupo de informes para
enviar informes por

correo electrnico.
1.
Cree un perfil de servidor para su servidor de correo electrnico.
2.
Defina el Grupo de informes. Un grupo de informes puede compilar

informes predefinidos, informes de resumen en PDF, informes
personalizados e informes Vista de log en un nico PDF.
a. Seleccione Supervisar > Grupo de informes.
b. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el
grupo de informes.
c. (Opcional) Seleccione Pgina de ttulo y aada un Ttulo para el PDF
creado.
d. Seleccione informes de la columna izquierda y haga clic en Aadir
para mover cada informe al grupo de informes en la derecha.
El informe Vista de log es un tipo de informe que se crea

automticamente cada vez que crea un informe personalizado y
utiliza el mismo nombre que el informe personalizado. Este informe
mostrar los logs que se han utilizado para crear el contenido del
informe personalizado.
Para incluir los datos de vista de log al crear un grupo de informes,
aada su informe personalizado a la lista Informes personalizados y,
a continuacin, para aadir el informe Vista de log, seleccione el
nombre del informe coincidente en la lista Vista de log. El informe
incluir los datos del informe personalizado y los datos de log que se
han utilizado para crear el informe personalizado.
e. Haga clic en ACEPTAR para guardar la configuracin.
f. Para utilizar el grupo de informes, consulte Programacin de
informes para entrega de correos electrnicos.
230
Informes y logs
Informes y logs
Gestin de informes

Los informes se pueden programar para una entrega diaria o semanal en un da especificado. Los informes
programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrnico comienza despus de que
se hayan generado todos los informes programados.
1.
Seleccione Supervisar > Informes en PDF > Programador de correo electrnico.
2.
Seleccione el Grupo de informes para la entrega de correos electrnicos. Para configurar un grupo de informes,
consulte Gestin de grupos de informes.
3.
Seleccione la frecuencia con la que generar y enviar el informe en Periodicidad.
4.
Seleccione el perfil del servidor de correo electrnico que debe utilizarse para entregar los informes. Para configurar
un perfil de servidor de correo electrnico, consulte Cree un perfil de servidor para su servidor de correo electrnico.
5.
Cancelar correos electrnicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando aade destinatarios a Cancelar correos electrnicos del destinatario, el
informe no se enva a los destinatarios configurados en el perfil de servidor de correo electrnico. Utilice esta opcin
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrnico.
Informes y logs
231
Informes y logs

Esta es una lista de los campos estndar de cada uno de los cinco tipos de logs que se reenvan a un servidor
externo. Para facilitar el anlisis, la coma es el delimitador; cada campo es una cadena de valores separados por
comas (CSV). La etiqueta FUTURE_USE se aplica a los campos que los dispositivos no implementan
actualmente.
Los logs de WildFire son un subtipo de logs de amenazas y utilizan el mismo formato que Syslog.
Logs de trfico
Logs de amenaza
Logs de coincidencias HIP
Logs de sistema
Gravedad de Syslog
Formato de logs/eventos personalizados
Secuencias de escape
Logs de trfico
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categora, FUTURE_USE, Nmero de
secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos, Razn del fin de sesin*
Nombre de campo
Descripcin
Fecha de registro (receive_time)
Hora a la que se recibi el log en el plano de gestin.
Nmero de serie (serial)
Nmero de serie del dispositivo que gener el log.
Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema
y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
Iniciar: sesin iniciada.
Finalizar: sesin finalizada.
Colocar: sesin colocada antes de identificar la aplicacin; no hay ninguna regla
que permita la sesin.
Denegar: sesin colocada despus de identificar la aplicacin; hay una regla para
bloquear o no hay ninguna regla que permita la sesin.
232
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Tiempo generado (time_generated) Hora a la que se gener el log en el plano de datos.

IP de origen (src)
Direccin IP de origen de la sesin original.
IP de destino (dst)
Direccin IP de destino de la sesin original.
NAT IP origen (natsrc)
Si se ejecuta un NAT de origen, es el NAT de direccin IP de origen posterior.
NAT IP destino (natdst)
Si se ejecuta un NAT de destino, es el NAT de direccin IP de destino posterior.
Nombre de regla (rule)
Nombre de la regla con la que ha coincidido la sesin.
Usuario de origen (srcuser)
Nombre del usuario que inici la sesin.
Usuario de destino (dstuser)
Nombre del usuario para el que iba destinada la sesin.
Aplicacin (app)
Aplicacin asociada a la sesin.
Sistema virtual (vsys)
Sistema virtual asociado a la sesin.
Zona de origen (from)
Zona de origen de la sesin.
Zona de destino (to)
Zona de destino de la sesin.
Interfaz de entrada (inbound_if)
Interfaz de origen de la sesin.
Interfaz de salida (outbound_if)
Interfaz de destino de la sesin.
Perfil de reenvo de logs (logset)
Perfil de reenvo de logs aplicado a la sesin.
ID de sesin (sessionid)
Identificador numrico interno aplicado a cada sesin.
Nmero de repeticiones
(repeatcnt)
Nmero de sesiones con el mismo IP de origen, IP de destino, Aplicacin y Subtipo

observados en 5 segundos. Utilizado nicamente para ICMP.
Puerto de origen (sport)
Puerto de origen utilizado por la sesin.
Puerto de destino (dport)
Puerto de destino utilizado por la sesin.
NAT puerto origen (natsport)
NAT de puerto de origen posterior.
NAT puerto destino (natdport)
NAT de puerto de destino posterior.
Informes y logs
233
Informes y logs
Nombre de campo
Descripcin
Marcas (flags)
Campo de 32 bits que proporciona informacin detallada sobre la sesin; este

campo puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.
Protocolo (proto)
Protocolo IP asociado a la sesin.
Accin (action)
Accin realizada para la sesin; los valores son Permitir o Denegar:

Permitir: la poltica permiti la sesin.
Denegar: la poltica deneg la sesin.
Bytes (bytes)
Nmero total de bytes (transmitidos y recibidos) de la sesin.
Bytes enviados (bytes_sent)
Nmero de bytes en la direccin cliente a servidor de la sesin.

Disponible en todos los modelos excepto la serie PA-4000.
Bytes recibidos (bytes_received)
Nmero de bytes en la direccin servidor a cliente de la sesin.

Paquetes (packets)
Nmero total de paquetes (transmitidos y recibidos) de la sesin.
Fecha de inicio (start)
Hora de inicio de sesin.
Tiempo transcurrido (elapsed)
Tiempo transcurrido en la sesin.
Categora (category)
Categora de URL asociada a la sesin (si es aplicable).
Nmero de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo

de log tiene un espacio de nmero nico. Este campo no es compatible con los
cortafuegos PA-7050.
Marcas de accin (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
234
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Ubicacin de origen (srcloc)
Pas de origen o regin interna para direcciones privadas; la longitud mxima es de

32 bytes.
Ubicacin de destino (dstloc)
Pas de destino o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.
Paquetes enviados (pkts_sent)
Nmero de paquetes de cliente a servidor de la sesin.

Paquetes recibidos (pkts_received) Nmero de paquetes de servidor a cliente de la sesin.

Razn del fin de sesin
(session_end_reason)
Novedad en la versin 6.1
Razn por la que ha finalizado una sesin. Si la finalizacin ha tenido varias causas,
este campo solo muestra la ms importante. Los valores de la posible razn de
finalizacin de la sesin son los siguientes en orden de prioridad (el primero es el
ms importante):
threat: el cortafuegos ha detectado una amenaza asociada a una accin de
restablecimiento, borrado o bloqueo (direccin IP).
policy-deny: la sesin ha hecho coincidir una poltica de seguridad con una accin
de denegacin o borrado.
tcp-rst-from-client: el cliente ha enviado un restablecimiento de TCP al servidor.
tcp-rst-from-server: el servidor ha enviado un restablecimiento de TCP al cliente.
resources-unavailable: la sesin se ha cancelado debido a una limitacin de
recursos del sistema. Por ejemplo, la sesin podra haber superado el nmero de
paquetes que no funcionan permitidos por flujo o por la cola de paquetes que no
funcionan globales.
tcp-fin: uno o varios hosts de la conexin han enviado un mensaje FIN de TCP
para cerrar la sesin.
tcp-reuse: se reutiliza una sesin y el cortafuegos cierra la sesin anterior.
decoder: el decodificador detecta una nueva conexin en el protocolo (como
HTTP-Proxy) y finaliza la conexin anterior.
aged-out: la sesin ha caducado.
unknown: este valor se aplica en las siguientes situaciones:
Terminaciones de sesiones a las que no se aplican los motivos anteriores (por
ejemplo, un comando clear session all).
Para logs generados en una versin de PAN-OS que no admite el campo de
razn de finalizacin de sesin (versiones posteriores a PAN-OS 6.1), el valor
ser unknown (desconocido) despus de una actualizacin de la versin actual
de PAN-OS o despus de que los logs se carguen en el cortafuegos.
En Panorama, los logs recibidos de los cortafuegos para los que la versin de
PAN-OS no admite razones de finalizacin de sesin tendrn un valor
unknown.
n/a: este valor se aplica cuando el tipo de log de trfico no es end.
Informes y logs
235
Informes y logs
Logs de amenaza
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Varios, ID de amenaza,
Categora, Gravedad, Direccin, Nmero de secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes, Resumen de archivo, Nube,
FUTURE_USE, Agente de usuario*, Tipo de archivo*, X-Forwarded-For*, Sitio de referencia*, Remitente*,
Asunto*, Destinatario*, ID de informe*
Nombre de campo
Descripcin
Fecha de registro (receive_time) Hora a la que se recibi el log en el plano de gestin.

Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y
Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundacin, Datos y WildFire:
URL: log de filtrado de datos
Virus: deteccin de virus
Spyware: deteccin de spyware
Vulnerabilidades: deteccin de exploits de vulnerabilidades
Archivo: log de tipo de archivo
Analizar: exploracin detectada mediante un perfil de proteccin de zona
Inundacin: inundacin detectada mediante un perfil de proteccin de zona
Datos: patrn de datos detectado desde un perfil de proteccin de zona
WildFire: log de WildFire
Tiempo generado
(time_generated)
Hora a la que se gener el log en el plano de datos.
IP de origen (src)
Direccin IP de origen de la sesin original.
IP de destino (dst)
Direccin IP de destino de la sesin original.
NAT IP origen (natsrc)
Si se ejecuta un NAT de origen, es el NAT de direccin IP de origen posterior.
NAT IP destino (natdst)
Si se ejecuta un NAT de destino, es el NAT de direccin IP de destino posterior.
Nombre de regla (rule)
Nombre de la regla con la que ha coincidido la sesin.
Usuario de origen (srcuser)
Nombre del usuario que inici la sesin.
Usuario de destino (dstuser)
Nombre del usuario para el que iba destinada la sesin.
Aplicacin (app)
Aplicacin asociada a la sesin.
236
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Sistema virtual asociado a la sesin.
Zona de origen (from)
Zona de origen de la sesin.
Zona de destino (to)
Zona de destino de la sesin.
Interfaz de entrada
Interfaz de origen de la sesin.
(inbound_if)
Interfaz de salida
Interfaz de destino de la sesin.
(outbound_if)
Perfil de reenvo de logs
Perfil de reenvo de logs aplicado a la sesin.
(logset)
ID de sesin (sessionid)
Identificador numrico interno aplicado a cada sesin.
(repeatcnt)
Nmero de sesiones con el mismo IP de origen, IP de destino, Aplicacin y Subtipo

observados en 5 segundos. Utilizado nicamente para ICMP.
Puerto de origen (sport)
Puerto de origen utilizado por la sesin.
Puerto de destino (dport)
Puerto de destino utilizado por la sesin.
NAT puerto origen (natsport)
NAT de puerto de origen posterior.
NAT puerto destino (natdport)
NAT de puerto de destino posterior.
Marcas (flags)
Campo de 32 bits que proporciona informacin detallada sobre la sesin; este campo
puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.
Protocolo (proto)
Informes y logs
Protocolo IP asociado a la sesin.
237
Informes y logs
Nombre de campo
Descripcin
Accin (action)
Accin realizada para la sesin; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
Alerta: amenaza o URL detectada pero no bloqueada.
Permitir: alerta de deteccin de inundacin.
Denegar: mecanismo de deteccin de inundacin activado y denegacin de trfico
basndose en la configuracin.
Colocar: amenaza detectada y se descart la sesin asociada.
Colocar todos los paquetes: amenaza detectada y la sesin permanece, pero se
colocan todos los paquetes.
Restablecer cliente: amenaza detectada y se enva un TCP RST al cliente.
Restablecer servidor: amenaza detectada y se enva un TCP RST al servidor.
Restablecer ambos: amenaza detectada y se enva un TCP RST tanto al cliente como
al servidor.
Bloquear URL: la solicitud de URL se bloque porque coincida con una categora
de URL que se haba establecido como bloqueada.
Varios (misc)
Campo de longitud variable con un mximo de 1.023 caracteres.

El URI real cuando el subtipo es URL.
Nombre de archivo o tipo de archivo cuando el subtipo es Archivo.
Nombre de archivo cuando el subtipo es Virus.
Nombre de archivo cuando el subtipo es WildFire.
ID de amenaza (threatid)
Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripcin

seguida de un identificador numrico de 64 bits entre parntesis para algunos subtipos:
8000 - 8099: deteccin de exploracin
8500 - 8599: deteccin de inundacin
9999: log de filtrado de URL
10000 - 19999: deteccin de llamada a casa de spyware
20000 - 29999: deteccin de descarga de spyware
30000 - 44999: deteccin de exploits de vulnerabilidades
52000 - 52999: deteccin de tipo de archivo
60000 - 69999: deteccin de filtrado de datos
100000 - 2999999: deteccin de virus
3000000 - 3999999: distribucin de firmas de WildFire
4000000 - 4999999: firmas de Botnet basadas en DNS
Categora (category)
Para el subtipo URL, es la categora de URL; para el subtipo WildFire, es el veredicto

del archivo y es Malo o Bueno; para otros subtipos, el valor es Cualquiera.
Gravedad (severity)
Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crtico.
238
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Direccin (direction)
Indica la direccin del ataque: cliente a servidor o servidor a cliente.

0: la direccin de la amenaza es cliente a servidor.
1: la direccin de la amenaza es servidor a cliente.
Nmero de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de

log tiene un espacio de nmero exclusivo. Este campo no es compatible con los
cortafuegos PA-7050.
Marcas de accin (actionflags)
Ubicacin de origen (srcloc)
Pas de origen o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.
Ubicacin de destino (dstloc)
Pas de destino o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.
Tipo de contenido (contenttype) nicamente es aplicable cuando el subtipo es URL.

Tipo de contenido de los datos de respuesta HTTP. La longitud mxima es de 32 bytes.
ID de captura de paquetes
(pcap_id)
ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un

ID para correlacionar archivos de captura de paquetes de amenaza con capturas de
paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza
contendrn un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID
que haga referencia al archivo de captura de paquetes ampliado.
Resumen de archivo (filedigest)
Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.

La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por
el servicio WildFire.
Nube (cloud)
Solamente para el subtipo WildFire; el resto de los tipos no utilizan este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de
WildFire (pblica) desde donde se carg el archivo para su anlisis.
Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan este campo.
Agente de usuario (user_agent)
El campo Agente de usuario especifica el explorador web que utiliza el usuario para
acceder a la URL (por ejemplo, Internet Explorer). Esta informacin se enva en la
solicitud de HTTP al servidor.
Tipo de archivo (filetype)
Especifica el tipo de archivo que el cortafuegos ha reenviado para el anlisis de

WildFire.
X-Forwarded-For (xff)
El campo X-Forwarded-For del encabezado HTTP contiene la direccin IP del usuario

que ha solicitado la pgina web. Permite identificar la direccin IP del usuario, lo que
es especialmente til si tiene un servidor proxy en su red que reemplaza la direccin IP
del usuario por su propia direccin en el campo de direccin IP de origen del
encabezado del paquete.
Informes y logs
239
Informes y logs
Nombre de campo
Descripcin
Sitio de referencia (referer)
El campo Sitio de referencia del encabezado HTTP contiene la direccin URL de la

pgina web que enlaza al usuario a otra pgina web. Es el origen que redirige (remite)
al usuario a la pgina web solicitada.
Remitente (sender)
Especifica el nombre del remitente de un mensaje de correo electrnico que WildFire

considera malintencionado al analizar el enlace del mensaje de correo electrnico
reenviado por el cortafuegos.
Asunto (subject)
Especifica el asunto de un mensaje de correo electrnico que WildFire considera

malintencionado al analizar el enlace del mensaje de correo electrnico reenviado por
el cortafuegos.
Destinatario (recipient)
Especifica el nombre del destinatario de un mensaje de correo electrnico que

WildFire considera malintencionado al analizar el enlace del mensaje de correo
electrnico reenviado por el cortafuegos.
ID de informe (reportid)
Identifica la solicitud de anlisis en la nube de WildFire o el dispositivo WildFire.
Logs de coincidencias HIP

generado, Usuario de origen, Sistema virtual, Nombre de la mquina, SO, Direccin de origen, HIP, Nmero
de repeticiones, Tipo HIP, FUTURE_USE, Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de coincidencias HIP; no utilizado.
Tiempo generado
(time_generated)
Usuario de origen (srcuser) Nombre del usuario que inici la sesin.

Sistema virtual asociado al log de coincidencias HIP.
Nombre de la mquina
(machinename)
Nombre de la mquina del usuario.
240
Informes y logs
Informes y logs
Nombre de campo
Descripcin
SO
Sistema operativo instalado en la mquina o el dispositivo del usuario (o en el sistema

cliente).
Direccin de origen (src)
Direccin IP del usuario de origen.
HIP (matchname)
Nombre del perfil u objeto HIP.
(repeatcnt)
Nmero de veces que ha coincidido el perfil HIP.
Tipo HIP (matchtype)
Especifica si el campo HIP representa un objeto HIP o un perfil HIP.
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo de log
tiene un espacio de nmero nico. Este campo no es compatible con los cortafuegos
PA-7050.
Marcas de accin
(actionflags)
generado, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuracin, Nmero
de secuencia, Marcas de accin, Detalle antes del cambio*, Detalle despus del cambio*
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de configuracin; no utilizado.
Tiempo generado
(time_generated)
Host (host)
Nombre de host o direccin IP de la mquina cliente.
Sistema virtual asociado al log de configuracin.
Comando (cmd)
Comando ejecutado por el administrador; los valores son Aadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.
Administrador (admin)
Nombre de usuario del administrador que realiza la configuracin.
Cliente (client)
Cliente utilizado por el administrador; los valores son Web y CLI.
Resultado (result)
Resultado de la accin de configuracin; los valores son Enviada, Correctamente, Fallo y No

autorizado.
Informes y logs
241
Informes y logs
Nombre de campo
Descripcin
Ruta de configuracin
(path)
Ruta del comando de configuracin emitido; puede tener una longitud de hasta 512 bytes.
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de log
tiene un espacio de nmero exclusivo. Este campo no es compatible con los cortafuegos
PA-7050.
Marcas de accin
(actionflags)
Detalle antes del cambio

(before_change_detail)
Este campo solo se incluye en los logs personalizados y no tiene el formato predeterminado.
Contiene la xpath completa antes del cambio de configuracin.
Detalle despus del cambio Este campo solo se incluye en los logs personalizados y no tiene el formato predeterminado.
(after_change_detail)
Contiene la xpath completa despus del cambio de configuracin.
Logs de sistema
generado, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Mdulo, Gravedad,
Descripcin, Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.
Subtipo (subtype)
Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptogrfico, DHCP, Proxy DNS, Denegacin de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado de URL y VPN.
Tiempo generado
(time_generated)
Sistema virtual asociado al log de configuracin.
ID de evento (eventid)
Cadena que muestra el nombre del evento.
Objeto (object)
Nombre del objeto asociado al evento del sistema.
Mdulo (module)
Este campo nicamente es vlido cuando el valor del campo Subtipo es General.
Proporciona informacin adicional acerca del subsistema que genera el log; los valores son
General, Gestin, Autenticacin, HA, Actualizar y Bastidor.
242
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Gravedad (severity)
Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crtico.
Descripcin (opaque)
Descripcin detallada del evento, hasta un mximo de 512 bytes.
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada tipo de log
tiene un espacio de nmero nico. Este campo no es compatible con los cortafuegos
PA-7050.
Marcas de accin
(actionflags)
Gravedad de Syslog
La gravedad de Syslog se establece basndose en el tipo de log y el contenido.
Tipo/gravedad de log
Gravedad de Syslog
Trfico
Informacin
Configurar
Informacin
Amenaza/Sistema: Informativo
Informacin
Amenaza/Sistema: Bajo
Aviso
Amenaza/Sistema: Medio
Advertencia
Amenaza/Sistema: Alto
Error
Amenaza/Sistema: Crtico
Crtico
Formato de logs/eventos personalizados

Para facilitar la integracin con sistemas de anlisis de logs externos, el cortafuegos le permite personalizar el
formato de logs; tambin le permite aadir pares de atributos personalizados Clave: Valor. El formato de los
mensajes personalizados puede configurarse bajo Dispositivo > Perfiles de servidor > Syslog > Perfil de servidor
Syslog > Formato de log personalizado.
Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte CEF
Configuration Guide (en ingls).
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecer entre comillas dobles. Adems, si aparecen
comillas dobles dentro de un campo, se definirn como carcter de escape anteponindoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecer entre comillas dobles.
Informes y logs
243
Informes y logs
244
Informes y logs
User-ID
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin de Palo Alto
Networks que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:
Descripcin general de User-ID
Conceptos de User-ID
Habilitacin de User-ID
Asignacin de usuarios a grupos
Asignacin de direcciones IP a usuarios
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros

cortafuegos
Habilitacin de poltica basada en usuarios y grupos
Verificacin de la configuracin de User-ID
User-ID
245
User-ID

User-ID integra sin problemas los cortafuegos de Palo Alto Networks con una gama de ofertas de servicios de
directorio y terminal empresariales, lo que le permite vincular polticas de seguridad y actividad de aplicaciones
a usuarios y grupos y no solo direcciones IP. Adems, con User-ID habilitado, el centro de comando de
aplicacin (ACC), Appscope, los informes y los logs incluyen nombres de usuarios adems de direcciones IP de
usuarios.
El cortafuegos de prxima generacin de Palo Alto Networks admite la supervisin de los siguientes servicios
empresariales:
Microsoft Active Directory
Lightweight Directory Access Protocol (LDAP)
eDirectory Novell
Citrix Metaframe Presentation Server o XenApp
Microsoft Terminal Services
Para poder crear polticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de Asignacin de grupos conectndose directamente a su servidor de
directorio LDAP.
Para poder aplicar las polticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesin y/o sondear clientes, as como escuchar mensajes de
Syslog de servicios de autenticacin. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesin de portal cautivo. Puede personalizar los mecanismos que utiliza para la Asignacin
de usuario para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.
246
User-ID
User-ID
Ilustracin: User-ID
Joe
Sondeo
de clientes
eDirectory
Portal
cautivo
GlobalProtect
Controlador
de dominios
Agente de
servicios Aerohive AP
de terminal
Blue Coat
AUTENTICACIN DE USUARIOS
Juniper UAC
RECEPTOR DE SYSLOG
EVENTO DE AUTENTICACIN
Directorios
Servicios Servicios de
de terminal autenticacin
Dispositivos de Joe
11.11.11.11
12.12.12.12
API XML
Directorios
Funciones/grupos de Joe
Active Directory
LDAP
Administradores de TI
Empleados de la sede
INFORMAR Y APLICAR POLTICA
Vaya a Conceptos de User-ID para obtener informacin sobre cmo funciona User-ID y a Habilitacin de
User-ID para obtener instrucciones sobre cmo configurar User-ID en el cortafuegos.
User-ID
247
User-ID
Asignacin de grupos
Asignacin de usuario
Asignacin de grupos
Para definir las polticas de seguridad basndose en usuarios o grupos, el cortafuegos debe recuperar la lista de grupos
y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta funcin como Asignacin de
usuarios a grupos, debe crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse al servidor y
autenticarlo, as como el modo de buscar en el directorio la informacin de usuarios y grupos. Tras conectarse al
servidor LDAP y configurar la funcin de asignacin de grupos para la identificacin de usuarios, podr seleccionar
usuarios o grupos al definir sus polticas de seguridad. El cortafuegos admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.
A continuacin podr definir polticas basndose en los miembros de grupos en lugar de en usuarios
individuales para una administracin simplificada. Por ejemplo, la siguiente poltica de seguridad permite el
acceso a aplicaciones internas especficas basndose en los miembros de grupos:
Asignacin de usuario
Contar con los nombres de los usuarios y grupos es nicamente una pieza del puzzle. El cortafuegos tambin
necesita saber qu direcciones IP asignar a qu usuarios de modo que las polticas de seguridad puedan aplicarse
correctamente. La Ilustracin: User-ID muestra los diferentes mtodos que se utilizan para identificar usuarios
y grupos en su red y presenta el modo en que la asignacin de usuarios y la asignacin de grupos trabajan en
conjunto para habilitar la visibilidad y la aplicacin de la seguridad basada en usuarios y grupos.
248
User-ID
User-ID
Los temas siguientes describen los diferentes mtodos de asignacin de usuarios:
Supervisin de servidor
Sondeo de cliente
Asignacin de puertos
Syslog
Portal cautivo
GlobalProtect
API XML de User-ID
Supervisin de servidor
Con la supervisin de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si est configurado) y conexiones de servicio
de impresin y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Adems, dado que los usuarios
pueden iniciar sesin en cualquiera de los servidores del dominio, debe configurar la supervisin de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesin de usuarios.
Dado que la supervisin de servidor requiere muy pocos gastos y dado que la mayora de los usuarios por lo
general puede asignarse con este mtodo, se recomienda como el mtodo de asignacin de usuarios bsico para
la mayora de implementaciones de User-ID. Consulte Configuracin de la asignacin de usuarios mediante el
agente de User-ID de Windows o Configuracin de la asignacin de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener informacin detallada.
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows tambin
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotacin de direcciones IP, debido a que los cambios se
reflejarn en el cortafuegos ms rpido, permitiendo una aplicacin ms precisa de las polticas basadas en
usuarios. Sin embargo, si la correlacin entre direcciones IP y usuarios es bastante esttica, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de trfico de red
(basndose en el nmero total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debera estar
situado lo ms cerca posible de los clientes finales.
Si el sondeo est habilitado, el agente sondear peridicamente cada direccin IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Adems, cuando el cortafuegos se encuentre una direccin IP para la que no tenga una asignacin de usuarios,
enviar la direccin al agente para un sondeo inmediato.
User-ID
249
User-ID
Consulte Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows o

Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener
Asignacin de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar informacin de asignacin de usuarios de eventos de inicio de
sesin y cierre de sesin a User-ID. Consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal para obtener informacin detallada sobre la configuracin.
Syslog
En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalmbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticacin de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualizacin de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticacin generados por el servicio externo,
as como que aada la informacin a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuracin de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener informacin detallada sobre la configuracin.
250
User-ID
User-ID
Ilustracin: Integracin de User-ID con Syslog
bash > ssh host

ltimo inicio de sesin: 29/02/2013 desde localhost
[user@host ~]
Autenticacin de Unix
Autenticacin de proxy
Autenticacin 802.1x
Autenticacin
802.1x
Receptor de Syslog
Dispositivos de Joe
11.11.11.11
12.12.12.12
Funciones/grupos
de Joe
Administradores de TI
Empleados de la sede
Portal cautivo
Si el cortafuegos o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web
(HTTP o HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de
manera transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de
autenticacin RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Consulte Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
GlobalProtect
En el caso de usuarios mviles o con itinerancia, el cliente GlobalProtect proporciona la informacin de
asignacin de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicacin ejecutndose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesin
para un acceso mediante VPN al cortafuegos. A continuacin, esta informacin de inicio de sesin se aade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicacin de polticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder
User-ID
251
User-ID
acceder a la red, la asignacin de direcciones IP a nombres de usuarios se conoce de manera explcita. Esta es
la mejor solucin en entornos confidenciales en los que deba estar seguro de quin es un usuario para permitirle
el acceso a una aplicacin o un servicio. Para obtener ms informacin sobre cmo configurar GlobalProtect,
consulte la Gua del administrador de GlobalProtect.
API XML de User-ID

Para otros tipos de acceso de usuario que no se puedan asignar utilizando ninguno de los mtodos de asignacin
de usuarios estndar o el portal cautivo (por ejemplo, para aadir asignaciones de usuarios que se conecten desde
una solucin de VPN externa o usuarios que se conecten a una red inalmbrica con 802.1x), puede utilizar la
API XML de User-ID para capturar eventos de inicio de sesin y enviarlos al agente de User-ID o directamente
al cortafuegos. Consulte Envo de asignaciones de usuarios a User-ID mediante la API XML para obtener
252
User-ID
User-ID
Debe completar las siguientes tareas para configurar el cortafuegos para utilizar usuarios y grupos en la
aplicacin de polticas, la creacin de logs y la elaboracin de informes:

User-ID
253
User-ID

Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el cortafuegos
recupere informacin de asignacin de usuario a grupo:
Prcticas recomendadas para la asignacin de grupos en un entorno de Active Directory:
Si tiene un nico dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede aadir controladores de dominio
adicionales para la tolerancia a errores.
Si tiene varios dominios y/o varios bosques, deber crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catlogo global.
Paso 1
254
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva
entrada de servidor LDAP y, a continuacin,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y Puerto que
debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo, si ha
personalizado su esquema de LDAP, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del rbol de LDAP donde desee que el
cortafuegos comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura, seleccione la
casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
10. Haga clic en Aceptar para guardar el perfil.
User-ID
User-ID
Asignacin de usuarios a grupos (Continuacin)
Paso 2
Aada el perfil de servidor LDAP a la configuracin de asignacin de grupos de User-ID.

1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de asignacin de
grupo y haga clic en Aadir.
2. Introduzca un nombre exclusivo para

identificar la configuracin de asignacin de
grupo.
3. Seleccione el Perfil de servidor que cre en el
Paso 1.
4. (Opcional) Para filtrar los grupos a los que
User-ID realiza un seguimiento para la
asignacin de grupo, en la seccin Objetos de
grupo, introduzca un Filtro de bsqueda
(consulta LDAP) y, a continuacin, especifique
la Clase de objeto (definicin de grupo), el
Nombre de grupo y el Miembro de grupo.
5. (Opcional) Para filtrar los usuarios a los que
User-ID realiza un seguimiento para la
asignacin de grupo, en la seccin Objetos de
usuario, introduzca un Filtro de bsqueda
(consulta LDAP) y, a continuacin, especifique
la Clase de objeto (definicin de usuario) y el
Nombre de usuario.
6. (Opcional) Para hacer que la informacin de User-ID coincida con la informacin de encabezado de correo
electrnico identificada en los enlaces y archivos adjuntos de correos electrnicos reenviados a WildFire,
introduzca la lista de dominios de correo electrnico de su organizacin en la seccin Dominios de correo,
en el campo Lista de dominios. Utilice comas para separar varios dominios (hasta 256 caracteres). Despus
de hacer clic en ACEPTAR (paso 9), PAN-OS cumplimenta automticamente el campo Atributos de correo
electrnico basndose en su tipo de servidor LDAP (Sun/RFC, Active Directory o Novell). Cuando se
produzca una coincidencia, el nombre de usuario de la seccin de encabezado de correo electrnico de log de
WildFire contendr un vnculo que abre la pestaa ACC, filtrada por el usuario o el grupo de usuarios.
7. Asegrese de que la casilla de verificacin Habilitado est seleccionada.
8. (Opcional) Para limitar qu grupos aparecen en la poltica de seguridad, seleccione la pestaa Lista de
inclusin de grupos y explore el rbol de LDAP para ubicar los grupos que desee. En el caso de cada grupo
que desee incluir, seleccinelo en la lista Grupos disponibles y haga clic en el icono de adicin para
moverlo a la lista Grupos incluidos.
9. Haga clic en ACEPTAR para guardar la configuracin.
Paso 3
User-ID
255
User-ID

Las tareas que necesita realizar para asignar direcciones IP a nombres de usuarios dependen del tipo y la
ubicacin de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar
la asignacin de sus sistemas cliente:
Para asignar usuarios a medida que inicien sesin en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o ms servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuracin de la asignacin de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que est integrado con PAN-OS (Configuracin de la asignacin de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientacin sobre qu configuracin de agente es
adecuada para su red y el nmero y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en ingls).
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin del agente de servidor de terminal de Palo Alto
Networks para la asignacin de usuarios para obtener instrucciones sobre cmo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se est ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperacin de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.
Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalmbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la funcin de asignacin de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticacin de esos servicios. Consulte Configuracin de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.
En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
XML de User-ID para aadir asignaciones de usuarios directamente al cortafuegos. Consulte Envo de
asignaciones de usuarios a User-ID mediante la API XML.
Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad
segn el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener ms informacin, consulte
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos.
256
User-ID
User-ID
Configuracin de la asignacin de usuarios mediante el agente de User-ID

de Windows
En la mayora de los casos, la gran parte de los usuarios de su red tendrn inicios de sesin en sus servicios de
dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los servidores
en busca de eventos de inicio de sesin y cierre de sesin y realiza la asignacin de direcciones IP a usuarios. El
modo en que configure el agente de User-ID depender del tamao de su entorno y la ubicacin de sus
servidores de dominio. La prctica recomendada es que ubique sus agentes de User-ID cerca de sus servidores
supervisados (es decir, los servidores supervisados y el agente de User-ID de Windows no deberan estar
separados por un enlace WAN). Esto se debe a que la mayor parte del trfico para la asignacin de usuarios se
produce entre el agente y el servidor supervisado, y nicamente una pequea cantidad del trfico (la diferencia
de asignaciones de direcciones IP desde la ltima actualizacin) se produce desde el agente al cortafuegos.
Los siguientes temas describen cmo instalar y configurar el agente de User-ID y cmo configurar el
cortafuegos para que recupere informacin de asignacin de usuarios del agente:
Instalacin del agente de User-ID
Configuracin del agente de User-ID para la asignacin de usuarios
Instalacin del agente de User-ID

El siguiente procedimiento muestra cmo instalar el agente de User-ID en un servidor miembro en el dominio
y configurar la cuenta de servicio con los permisos obligatorios. Si est actualizando, el instalador eliminar
automticamente la versin anterior; no obstante, es conveniente hacer una copia de seguridad del archivo
config.xml antes de ejecutar el instalador.
Para obtener informacin sobre los requisitos del sistema para instalar el agente de User-ID
basado en Windows y para obtener informacin sobre las versiones admitidas del sistema
operativo del servidor, consulte Operating System (OS) Compatibility User-ID Agent (en ingls)
en las notas de versin de agente de User-ID, que estn disponibles en la pgina Actualizaciones
de software de Palo Alto Networks.
User-ID
257
User-ID
Instalacin del agente de User-ID de Windows
Paso 1
Debe instalar el agente de User-ID en un sistema que ejecute una

de las versiones de SO admitidas: consulte Operating System
(OS) Compatibility User-ID Agent (en ingls) en las notas de
El agente de User-ID consulta los logs del
versin de agente de User-ID.
controlador de dominio y el servidor
Asegrese de que el sistema en el que tiene la intencin de instalar
Exchange mediante llamadas a
el agente de User-ID sea miembro del dominio al que pertenecen
procedimiento remoto de Microsoft
los servidores que supervisar.
(MSRPC), que requieren una
transferencia completa de todo el log en La prctica recomendada es instalar el agente de User-ID cerca de
cada consulta. Por lo tanto, siempre
los servidores que supervisar (hay ms trfico entre el agente de
debera instalar uno o ms agentes de
User-ID y los servidores supervisados que entre el agente de
User-ID en cada ubicacin que tenga
User-ID y el cortafuegos, de modo que ubicar el agente cerca de
servidores que tengan que supervisarse.
los servidores supervisados optimiza el uso del ancho de banda).
Decida dnde instalar los agentes de
User-ID.
Para obtener informacin ms

detallada sobre dnde instalar
agentes de User-ID, consulte
Architecting User Identification
(User-ID) Deployments (en
ingls).
Paso 2
Descargue el instalador de agente de

User-ID.
Para garantizar la asignacin de usuarios ms completa, debe

supervisar todos los servidores que contengan informacin de
inicio de sesin de usuarios. Puede que necesite instalar varios
agentes de User-ID para supervisar eficazmente todos sus
recursos.
1.
2.
La prctica recomendada es instalar la
misma versin del agente de User-ID que
la versin de PAN-OS que se est
3.
ejecutando en los cortafuegos.
Paso 3
Inicie sesin en el sitio de asistencia tcnica de Palo Alto

Networks.
Seleccione Actualizaciones de software en la seccin
Gestionar dispositivos.
Desplcese hasta la seccin Agente de identificacin de usuarios
de la pantalla y haga clic en Descargar para descargar la versin
del agente de User-ID que quiera instalar.
4.
Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas

donde tenga la intencin de instalar el agente.
Ejecute el instalador como administrador. 1.
Para iniciar una lnea de comandos como administrador, haga

clic en Iniciar, haga clic con el botn derecho en Lnea de
comandos y, a continuacin, seleccione Ejecutar como
administrador.
2.
Desde la lnea de comandos, ejecute el archivo .msi que ha

descargado. Por ejemplo, si guard el archivo .msi en el
escritorio, debera introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
258
3.
Siga los mensajes de configuracin para instalar el agente con los

ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\User-ID Agent, pero puede hacer clic en Examinar
para seleccionar una ubicacin diferente.
4.
Cuando finalice la instalacin, haga clic en Cerrar para cerrar la

ventana de configuracin.
User-ID
User-ID
Instalacin del agente de User-ID de Windows (Continuacin)
Paso 4
Inicie la aplicacin del agente de User-ID. 1.
Paso 5
(Opcional) Cambie la cuenta de servicio

que utiliza el agente de User-ID para
iniciar sesin.
User-ID
Haga clic en Iniciar y seleccione Agente de User-ID.
De manera predeterminada, el agente utiliza la cuenta de

administrador utilizada para instalar el archivo .msi. Sin embargo,
puede que quiera cambiarla por una cuenta restringida de la manera
siguiente:
1. Seleccione Identificacin de usuarios > Configuracin y haga
clic en Editar.
2.
Seleccione la pestaa Autenticacin e introduzca el nombre de

cuenta de servicio que quiera que utilice el agente de User-ID en
el campo Nombre de usuario para Active Directory.
3.
Introduzca la Contrasea para la cuenta especificada.
259
User-ID
Instalacin del agente de User-ID de Windows (Continuacin)
Paso 6
(Opcional) Asigne permisos de cuenta a la 1.

carpeta de instalacin.
Otorgue permisos a la cuenta de servicio para la carpeta de

instalacin:
Solamente necesita realizar este paso si la

cuenta de servicio que configur para el
agente de User-ID no es miembro del
grupo de administradores para el dominio
o miembro de los grupos Operadores de
servidor y Lectores de log de evento.
a. Desde el Explorador de Windows, desplcese hasta

C:\Program Files\Palo Alto Networks, haga clic con el
botn derecho en la carpeta y seleccione Propiedades.
b. En la pestaa Seguridad, haga clic en Aadir para aadir la
cuenta de servicio del agente de User-ID y asignarle permisos
para Modificar, Leer y ejecutar, Enumerar contenido de
carpeta y Leer; a continuacin, haga clic en ACEPTAR para
guardar la configuracin de la cuenta.
2.
Otorgue permisos a la cuenta de servicio para el subrbol de

registro del agente de User-ID:
a. Ejecute regedit32 y desplcese hasta el subrbol de Palo
Alto Networks en una de las siguientes ubicaciones:
Sistemas de 32 bits: HKEY_LOCAL_MACHINE\Software\
Palo Alto Networks
Sistemas de 64 bits: HKEY_LOCAL_MACHINE\Software\

WOW6432Node\Palo Alto Networks
b. Haga clic con el botn derecho en el nodo de Palo Alto

Networks y seleccione Permisos.
c. Asigne a la cuenta de servicio de User-ID Control completo
y, a continuacin, haga clic en ACEPTAR para guardar el
ajuste.
3.
En el controlador de dominio, aada la cuenta de servicio a los

grupos integrados para habilitar privilegios para leer los eventos
de logs de seguridad (grupo Lectores de log de evento) y abrir
sesiones (grupo Operadores de servidor):
a. Ejecute MMC e inicie el complemento de usuarios y equipos
de Active Directory.
b. Desplcese hasta la carpeta Builtin del dominio y, a
continuacin, haga clic con el botn derecho en cada grupo
que necesite editar (Lectores de log de evento y Operadores
de servidor) y seleccione Aadir al grupo para abrir el cuadro
de dilogo de propiedades.
c. Haga clic en Aadir e introduzca el nombre de la cuenta de
servicio que configur para ser utilizada por el servicio de
User-ID y, a continuacin, haga clic en Comprobar nombres
para validar que tiene el nombre de objeto adecuado.
d. Haga clic en ACEPTAR dos veces para guardar la
configuracin.
260
User-ID
User-ID
Configuracin del agente de User-ID para la asignacin de usuarios

El agente de User-ID de Palo Alto Networks es un servicio de Windows que se conecta con servidores de su
red (por ejemplo, servidores Active Directory, Microsoft Exchange y Novell eDirectory) y supervisa los logs en
busca de eventos de inicio de sesin y cierre de sesin. El agente utiliza esta informacin para asignar direcciones
IP a nombres de usuarios. Los cortafuegos de Palo Alto Networks se conectan con el agente de User-ID para
recuperar esta informacin de asignacin de usuarios, habilitando la visibilidad de la actividad de los usuarios
por nombre de usuario en lugar de por direccin IP. Esto tambin habilita la aplicacin de la seguridad basada
en usuarios y grupos.
Para obtener informacin sobre las versiones del sistema operativo del servidor admitidas por el
agente de User-ID, consulte Operating System (OS) Compatibility User-ID Agent (en ingls) en
las notas de versin de agente de User-ID, que estn disponibles en la pgina Actualizaciones
de software de Palo Alto Networks.
Asignacin de direcciones IP a usuarios mediante el agente de User-ID
Paso 1
User-ID
Seleccione Agente de User-ID en el men Inicio de Windows.
261
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID (Continuacin)
Paso 2
Defina los servidores que debera

supervisar el agente de User-ID para
recopilar informacin de asignacin de
direcciones IP a usuarios.
1.
Seleccione Identificacin de usuarios > Descubrimiento.
2.
En la seccin Servidores de la pantalla, haga clic en Aadir.
3.
Introduzca un Nombre y una Direccin de servidor para el

servidor que vaya a supervisarse. La direccin de red puede ser
un FQDN o una direccin IP.
El agente de User-ID puede supervisar

hasta 100 servidores y escuchar mensajes 4.
de Syslog de hasta 100 emisores de Syslog.
Recuerde que para recopilar todas las
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para
supervisar los archivos de log de
seguridad en todos los servidores que
contengan eventos de inicio de sesin.
5.
(Opcional) Para permitir que el cortafuegos detecte

automticamente controladores de dominio en su red mediante
bsquedas de DNS, haga clic en Descubrir automticamente.
La deteccin automtica nicamente localiza los
controladores de dominio del dominio local; deber
aadir manualmente los servidores Exchange, los
servidores eDirectory y los emisores de Syslog.
6.
262
Seleccione el Tipo de servidor (Microsoft Active Directory,

Microsoft Exchange, Novell eDirectory, o Emisor de syslog) y,
a continuacin, haga clic en ACEPTAR para guardar la entrada
del servidor. Repita este paso para este servidor que vaya a
supervisarse.
(Opcional) Para ajustar la frecuencia con la que el cortafuegos

sondea los servidores configurados en busca de informacin de
asignacin, seleccione Identificacin de usuarios >
Configuracin y haga clic en Editar para editar la seccin
Configuracin. En la pestaa Supervisin de servidor,
modifique el valor del campo Frecuencia de supervisin de log
de servidor (segundos). La prctica recomendada es que
debera aumentar el valor de este campo a 5 segundos en
entornos con controladores de dominio de mayor antigedad o
enlaces de alta latencia. Haga clic en ACEPTAR para guardar los
cambios.
User-ID
User-ID
Paso 3
1.
(Opcional) Si ha configurado el agente
para que se conecte a un servidor Novell
eDirectory, debe especificar el modo en 2.
que el agente debera buscar el directorio.
Seleccione Identificacin de usuarios > Configuracin y haga

clic en Editar en la seccin Configuracin de la ventana.
Seleccione la pestaa eDirectory y, a continuacin,
cumplimente los campos siguientes:
Base de bsqueda: Punto de partida o contexto raz para las
consultas del agente, por ejemplo: dc=domain1,
dc=example, dc=com.
Enlazar nombre distintivo: Cuenta que debe utilizarse para
enlazarla con el directorio, por ejemplo: cn=admin, ou=IT,
dc=domain1, dc=example, dc=com.
Enlazar contrasea: Contrasea de la cuenta de enlace. El
agente guardar la contrasea cifrada en el archivo de
configuracin.
Filtro de bsqueda: Consulta de bsqueda para entradas de
usuarios (el valor predeterminado es objectClass=Person).
Prefijo del dominio de servidor: Prefijo que identifica de
manera exclusiva al usuario. Esto solamente es obligatorio si
hay espacios de nombres solapados, como diferentes
usuarios con el mismo nombre de dos directorios diferentes.
Utilizar SSL: Seleccione la casilla de verificacin para utilizar
SSL para el enlace de eDirectory.
Comprobar certificado de servidor: Seleccione la casilla de
verificacin para comprobar el certificado de servidor de
eDirectory al utilizar SSL.
Paso 4
(Opcional) Habilite el sondeo de clientes. 1.

El sondeo de clientes es de utilidad en
entornos en los que las direcciones IP no
estn estrechamente ligadas a los usuarios, 2.
porque garantiza que las direcciones
asignadas anteriormente siguen siendo
vlidas. Sin embargo, a medida que
aumenta el nmero total de direcciones IP
obtenidas, tambin lo hace la cantidad de
trfico generado. La prctica
recomendada es habilitar el sondeo
nicamente en segmentos de red en los
que la rotacin de direcciones IP sea
elevada.
En la pestaa Sondeo de clientes, seleccione la casilla de

verificacin Habilitar sondeo de WMI y/o la casilla de
verificacin Habilitar sondeo de NetBIOS.
Asegrese de que el cortafuegos de Windows permitir el
sondeo de clientes aadiendo una excepcin de administracin
remota al cortafuegos de Windows para cada cliente sondeado.
Para que el sondeo de NetBIOS funcione de forma
efectiva, cada PC cliente sondeado debe proporcionar un
puerto 139 en el cortafuegos de Windows y debe tener
los servicios de uso compartido de archivos e impresoras
activados. El sondeo de WMI siempre es preferible antes
que el sondeo de NetBIOS cuando sea posible.
Para obtener informacin ms detallada

sobre la colocacin de agentes de User-ID
mediante el sondeo de clientes, consulte
Architecting User Identification
(User-ID) Deployments (en ingls).
User-ID
263
User-ID
Paso 5
Haga clic en ACEPTAR para guardar los ajustes de configuracin del

agente de User-ID y, a continuacin, haga clic en Confirmar para
reiniciar el agente de User-ID y cargar los nuevos ajustes.
Paso 6
(Opcional) Defina el conjunto de usuarios

para los que no necesite proporcionar
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.
Cree un archivo ignore_user_list.txt y gurdelo en la carpeta

User-ID Agent del servidor de dominio donde el agente est
instalado.
Tambin puede utilizar la lista

para identificar a
usuarios que desee obligar a
autenticar mediante un portal
cautivo.
ignore-user
Paso 7
264
Configure los cortafuegos para

conectarlos al agente de User-ID.
Enumere las cuentas de usuario que deben ignorarse; no hay ningn

lmite en el nmero de cuentas que puede aadir a la lista. Cada
nombre de cuenta de usuario debe estar en una lnea separada. Por
ejemplo:
SPAdmin
SPInstall
TFSReport
Realice los siguientes pasos en cada cortafuegos que quiera conectar

al agente de User-ID para recibir asignaciones de usuarios:
1. Seleccione Dispositivo > Identificacin de usuarios > Agentes
de User-ID y haga clic en Aadir.
2.
Introduzca un Nombre para el agente de User-ID.
3.
Introduzca la direccin IP del Host de Windows en el que est

instalado el agente de User-ID.
4.
Introduzca el nmero de Puerto en el que el agente escuchar

solicitudes de asignacin de usuarios. Este valor debe coincidir
con el valor configurado en el agente de User-ID. De manera
predeterminada, el puerto se establece como 5007 en el
cortafuegos y en versiones ms recientes del agente de User-ID.
Sin embargo, algunas versiones anteriores del agente de User-ID
utilizan el puerto 2010 como valor predeterminado.
5.
Asegrese de que la configuracin est Habilitada y, a

continuacin, haga clic en ACEPTAR.
6.
7.
Verifique que el estado Conectado aparece como conectado

(una luz verde).
User-ID
User-ID
Paso 8
User-ID
Verifique que el agente de User-ID est 1.

asignando correctamente direcciones IP a
nombres de usuarios y que los
2.
cortafuegos pueden conectarse con el
agente.
Inicie el agente de User-ID y seleccione Identificacin de

usuarios.
Verifique que el estado del agente muestra El agente se est
ejecutando. Si el agente no se est ejecutando, haga clic en
Iniciar.
3.
Para verificar que el agente de User-ID se puede conectar con

servidores supervisados, asegrese de que el estado de cada
servidor sea Conectado.
4.
Para verificar que los cortafuegos se pueden conectar con el

agente de User-ID, asegrese de que el estado de cada
dispositivo conectado sea Conectado.
5.
Para verificar que el agente de User-ID est asignando

direcciones IP a nombres de usuarios, seleccione Supervisando
y asegrese de que la tabla de asignaciones se cumplimenta.
Tambin puede seleccionar Bsqueda para buscar usuarios
especficos o Eliminar para borrar asignaciones de usuarios de
la lista.
265
User-ID
Configuracin de la asignacin de usuarios mediante el agente de User-ID

integrado en PAN-OS
El siguiente procedimiento muestra cmo configurar el agente integrado en PAN-OS en el cortafuegos para la
asignacin de usuarios. El agente de User-ID integrado realiza las mismas tareas que el agente basado en
Windows a excepcin del sondeo de clientes de NetBIOS (se admite el sondeo de WMI).
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado
Paso 1
Servidores de dominio Windows 2008 o posteriores: Aada la

Cree una cuenta de Active Directory
cuenta al grupo Lectores de log de evento. Si est utilizando el
(AD) para el agente del cortafuegos que
agente de User-ID incluido en el dispositivo, la cuenta tambin
tenga los niveles de privilegios necesarios
debe ser miembro del grupo Usuarios COM distribuidos.
para iniciar sesin en cada servicio o host
que tenga la intencin de supervisar para Servidores de dominio Windows 2003: Asigne permisos
recopilar datos de asignacin de usuarios.
Gestionar logs de seguridad y auditora a travs de polticas de
grupo.
Sondeo de WMI: Asegrese de que la cuenta tiene los derechos
necesarios para leer el espacio de nombres CIMV2; de manera
predeterminada, las cuentas de administrador de dominio y
operador de servidor tienen este permiso.
Autenticacin de NTLM: Como el cortafuegos debe unirse al
dominio si est utilizando la autenticacin de NTLM con un agente
de User-ID incluido en el dispositivo, la cuenta de Windows que
cree para el acceso a NTLM deber tener privilegios
administrativos. Tenga en cuenta que, debido a las restricciones de
AD sobre los sistemas virtuales que se ejecutan en el mismo host,
si ha configurado varios sistemas virtuales, nicamente vsys1 podr
unirse al dominio.
266
User-ID
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuacin)
Paso 2
1.
Defina los servidores que debera
supervisar el cortafuegos para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
4.
Recuerde que para recopilar todas las
5.
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para que el 6.
cortafuegos pueda supervisar los archivos
de log de seguridad en todos los
servidores que contengan eventos de
inicio de sesin.
Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario.
En la seccin Supervisor del servidor de la pantalla, haga clic en
Aadir.
Introduzca un Nombre y una Direccin de red para el servidor.
La direccin de red puede ser un FQDN o una direccin IP.
Seleccione el Tipo de servidor.
Asegrese de que la casilla de verificacin Habilitado est
seleccionada y, a continuacin, haga clic en ACEPTAR
(Opcional) Para permitir que el cortafuegos detecte
automticamente controladores de dominio en su red mediante
bsquedas de DNS, haga clic en Descubrir.
La funcin de deteccin automtica es nicamente para

controladores de dominio; deber aadir manualmente
los servidores Exchange o eDirectory que desee
supervisar.
7.
Paso 3
User-ID
Establezca las credenciales de dominio de 1.

la cuenta que utilizar el cortafuegos para
acceder a recursos de Windows. Esto es 2.
necesario para supervisar servidores
Exchange y controladores de dominio, as
como para el sondeo de WMI.
(Opcional) Para ajustar la frecuencia con la que el cortafuegos

sondea servidores configurados para obtener informacin de
asignacin, edite la seccin Configuracin del agente de
User-ID de Palo Alto Networks de la pantalla y, a continuacin,
seleccione la pestaa Supervisor del servidor. Modifique el
valor del campo Frecuencia del supervisor de log del servidor
(seg.). La prctica recomendada es que debera aumentar el
valor de este campo a 5 segundos en entornos con DC de mayor
antigedad o enlaces de alta latencia. Haga clic en ACEPTAR
para guardar los cambios.
Edite la seccin Configuracin del agente de User-ID de Palo
Alto Networks de la pantalla.
En la pestaa Autenticacin de WMI, introduzca el Nombre de
usuario y la Contrasea de la cuenta que se utilizar para
sondear los clientes y supervisar los servidores. Introduzca el
nombre de usuario mediante la sintaxis de dominio/nombre de
usuario.
267
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuacin)
Paso 4
(Opcional) Habilite el sondeo de WMI.
1.
El agente incluido en el dispositivo

no admite el sondeo de NetBIOS; 2.
nicamente se admite en el agente
de User-ID basado en Windows.
3.
Paso 5
Paso 6
que se sondeen todas las direcciones IP obtenidas.

Asegrese de que el cortafuegos de Windows permitir el
sondeo de cliente aadiendo una excepcin de administracin
remota al cortafuegos de Windows para cada cliente sondeado.
Haga clic en Aceptar para guardar los ajustes de configuracin
de agente de User-ID.
2.
Haga clic en Confirmar para guardar la configuracin.
(Opcional) Defina el conjunto de usuarios 1.

para los que no necesite proporcionar
2.
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.
Abra una sesin de CLI al cortafuegos.

Para aadir la lista de cuentas de usuario para las que no desea
que el cortafuegos realice la asignacin, ejecute el comando
siguiente:
set user-id-collector ignore-user <value>
donde <value> es una lista de las cuentas de usuario que hay que
ignorar; no hay ningn lmite en el nmero de cuentas que puede
aadir a la lista. Separe las entradas con un espacio y no incluya
el nombre de dominio con el nombre de usuario. Por ejemplo:
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
3.
Verifique la configuracin.
(Opcional) Si es necesario, modifique el valor de Intervalo de

sondeo para garantizar que sea lo suficientemente largo para
1.
Tambin puede utilizar la lista

ignore-user para identificar a
usuarios que desee obligar a
autenticar mediante un portal
cautivo.
Paso 7
En la pestaa Sondeo de clientes, seleccione la casilla de

verificacin Habilitar pruebas.
1.
Desde la CLI, introduzca el siguiente comando:

show user server-monitor state all
2.
268
En la pestaa Dispositivo > Identificacin de usuarios >

Asignacin de usuario de la interfaz web, verifique que el
Estado de cada servidor que ha configurado para la supervisin
de servidor est Conectado.
User-ID
User-ID
Configuracin de User-ID para recibir asignaciones de usuarios desde un

emisor de Syslog
Los siguientes temas describen cmo configurar el agente de User-ID (ya sea el agente de Windows o el agente
integrado en el cortafuegos) como receptor de Syslog:
Configuracin del agente de User-ID integrado como receptor de Syslog
Configuracin del agente de User-ID de Windows como receptor de Syslog
Configuracin del agente de User-ID integrado como receptor de Syslog

El siguiente flujo de trabajo describe cmo configurar el agente de User-ID integrado en PAN-OS para recibir
mensajes de Syslog de servicios de autenticacin.
El agente de User-ID integrado en PAN-OS acepta Syslogs nicamente a travs de SSL y UDP.
Recopilacin de asignaciones de usuarios de emisores de Syslog
Paso 1
Determine si hay un filtro de Syslog

predefinido para sus emisores de Syslog
en concreto.
1.
Palo Alto Networks proporciona varios

filtros de Syslog predefinidos, que se
distribuyen como actualizaciones de
contenido de aplicacin y, por lo tanto, se
actualizan dinmicamente como filtros
nuevos. Los filtros predefinidos son
generales para el cortafuegos, mientras
2.
que los filtros manuales solamente se
aplican a un sistema virtual.
Los filtros de Syslog nuevos de
una versin de contenido en
particular se documentarn en la
nota de versin correspondiente
junto con la regex especfica
utilizada para definir el filtro.
User-ID
Verifique que su base de datos de aplicaciones o aplicaciones y

amenazas est actualizada:
a. Seleccione Dispositivo > Actualizaciones dinmicas.
b. Haga clic en Comprobar ahora (ubicado en la esquina
inferior izquierda de la ventana) para comprobar las
actualizaciones ms recientes.
c. Si hay una nueva actualizacin disponible, haga clic en
Descargar e Instalar para descargarla e instalarla.
Compruebe qu filtros predefinidos estn disponibles:
a. Seleccione Dispositivo > Identificacin de usuarios >
b. En la seccin Supervisor del servidor de la pantalla, haga clic
en Aadir.
c. Seleccione Emisor de syslog como el Tipo de servidor.
d. Seleccione el men desplegable Filtro y compruebe si hay un
filtro para el fabricante y el producto desde los que tiene la
intencin de reenviar Syslogs. Si el filtro que necesita est
disponible, vaya al Paso 5 para obtener instrucciones sobre
cmo definir los servidores. Si el filtro que necesita no est
disponible, vaya al Paso 2.
269
User-ID
Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)
Paso 2
Defina manualmente los filtros de Syslog 1.

para extraer la informacin de asignacin
de direcciones IP a nombres de usuario de
User-ID desde mensajes de Syslog.
Para que el agente de User-ID los analice,
los mensajes de Syslog deben cumplir los
siguientes criterios:
Cada mensaje de Syslog debe ser una
cadena de texto de una sola lnea. Los
saltos de lnea estn delimitados por un
retorno de carro y una nueva lnea
(\r\n) o por una nueva lnea (\n).
El tamao mximo permitido de un
mensaje de Syslog individual es de
2.048 bytes.
Los mensajes de Syslog enviados a
travs de UDP deben estar incluidos en
un nico paquete; los mensajes
enviados a travs de SSL pueden
repartirse entre varios paquetes.
Un nico paquete puede contener
varios mensajes de Syslog.
Revise los Syslogs generados por el servicio de autenticacin

para identificar la sintaxis de los eventos de inicio de sesin.
Esto le permite crear los patrones de coincidencias que
permitirn que el cortafuegos identifique y extraiga los eventos
de autenticacin de los Syslogs.
Mientras revisa los Syslogs, determine tambin si el
nombre de dominio se incluye en las entradas de log.
Si los logs de autenticacin no contienen informacin
de dominio, considere la opcin de definir un nombre
de dominio personalizado cuando aada el emisor de
Syslog a la lista de servidores supervisados en el Paso 5.
2.

Asignacin de usuario y edite la seccin Configuracin del
agente de User-ID de Palo Alto Networks.
3.
En la pestaa Filtrados de Syslog, haga clic en Aadir para

aadir un nuevo perfil de anlisis de Syslog.
4.
Introduzca un nombre para el Perfil de anlisis de Syslog.
5.
Especifique el Tipo de anlisis que debe utilizarse para filtrar y

descartar la informacin de asignacin de usuarios
seleccionando una de las opciones siguientes:
Identificador Regex: Con este tipo de anlisis puede
especificar expresiones regulares para describir patrones de
bsqueda e identificar y extraer informacin de asignacin de
usuario de los mensajes de Syslog. Vaya al Paso 3 para
obtener instrucciones sobre cmo crear los identificadores
regex.
Identificador de campo: Con este tipo de anlisis, se
especifica una cadena para que coincida con el evento de
autenticacin y cadenas de prefijo y sufijo para identificar la
informacin de asignacin de usuarios en los Syslogs. Vaya al
Paso 4 para obtener instrucciones sobre cmo crear los
identificadores de campo.
270
User-ID
User-ID
Paso 3
Si seleccion Identificador Regex como 1.

el Tipo de anlisis, cree los patrones de
coincidencias de regex para identificar los
eventos de autenticacin y extraer la
informacin de asignacin de usuarios.
El ejemplo siguiente muestra una
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator

authentication success User:johndoe1
Source:192.168.3.212
2.
Si el Syslog contiene un espacio

y/o una tabulacin independiente 3.
como delimitador, debe utilizar \s
(para un espacio) y/o \t (para una
tabulacin) con el fin de que el
agente analice el Syslog.
4.
User-ID
Especifique cmo hacer coincidir eventos de autenticacin

correctos en los Syslogs introduciendo un patrn de
coincidencias en el campo Regex de eventos. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
invertida antes del espacio es un carcter regex de escape
estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}.
Introduzca la regex para identificar el principio del nombre de
usuario en los mensajes de autenticaciones realizadas con xito
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe1 en el mensaje de ejemplo y extraera
acme\johndoe1 como User-ID.
Si los Syslogs no contienen informacin de dominio y
requiere nombres de dominio en sus asignaciones de
usuarios, asegrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.
Introduzca la regex para identificar la parte de la direccin IP de
los mensajes de autenticacin correcta en el campo Regex de
direccin. Por ejemplo, la expresin regular Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) coincidira
con una direccin IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
271
User-ID
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.

coincidencias en el campo Cadena de eventos. Por ejemplo,
cuando coincidan con el mensaje de Syslog de muestra, debera
introducir la cadena authentication success para identificar
eventos de autenticacin en el Syslog.
2.
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:
Introduzca la cadena de coincidencia para identificar el principio

del campo del nombre de usuario en el mensaje de Syslog de
autenticacin en el campo Prefijo de nombre de usuario.
Por ejemplo, la cadena User: identifica el principio del
campo del nombre de usuario en el Syslog de muestra.

Source:192.168.3.212
3.
Introduzca el Delimitador de nombre de usuario para marcar

el final del campo del nombre de usuario en un mensaje de
Syslog de autenticacin. Por ejemplo, si el nombre de usuario
est seguido de un espacio, debera introducir \s para indicar
que el campo del nombre de usuario est delimitado por un
espacio independiente en el log de muestra.
4.

del campo de la direccin IP en el log de eventos de
autenticacin en el campo Prefijo de direccin. Por ejemplo, la
cadena Source: identifica el principio del campo de la direccin
en el log de ejemplo.

y/o una tabulacin independiente 5.
6.
Paso 5
Defina los servidores que enviarn

1.
mensajes de Syslog al cortafuegos para la
asignacin de usuarios.
2.

Puede definir hasta 50 emisores de Syslog

por sistema virtual y hasta un total de 100
servidores supervisados, incluidos
emisores de Syslog o servidores Microsoft
Active Directory, Microsoft Exchange o
Novell eDirectory. El cortafuegos
descartar los mensajes de Syslog
recibidos de servidores que no estn en
esta lista.
Aadir.
En la seccin Supervisor del servidor de la pantalla, haga clic en
3.
Introduzca un Nombre y una Direccin de red para el servidor.
4.
Seleccione Emisor de syslog como el Tipo de servidor.
5.

seleccionada.
6.
(Opcional) Si los Syslogs que enva el dispositivo de

autenticacin no incluyen informacin de dominio en los logs
de eventos de inicio de sesin, introduzca el Nombre de
dominio predeterminado que deber adjuntarse a las
asignaciones de usuarios.
Un emisor de Syslog que utilice

SSL para conectarse solamente
7.
mostrar el Estado Conectado
cuando haya una conexin SSL
activa. Los emisores de Syslog que
utilicen UDP no mostrarn
ningn valor para Estado.
272
Introduzca el Delimitador de direccin para marcar el final del

campo de la direccin IP en el mensaje de autenticacin correcta
en el campo. Por ejemplo, si la direccin est seguida de un salto
de lnea, debera introducir \n para indicar que el campo de la
direccin est delimitado por una nueva lnea.
User-ID
User-ID
Paso 6
Habilite servicios de receptor de Syslog

en el perfil de gestin asociado a la
interfaz utilizada para la asignacin de
usuarios.
1.

2.
Seleccione SSL de escucha de Syslog de User-ID y/o UDP de

escucha de Syslog de User-ID, dependiendo de los protocolos
que defini cuando configur sus emisores de Syslog en la lista
Supervisin de servidor.
En el agente de User-ID de Windows, el puerto de
escucha predeterminado para Syslog a travs de UDP o
TCP es 514, pero el valor del puerto puede configurarse.
Para la funcin Asignacin de usuario sin agente en el
cortafuegos, solamente se admiten Syslogs a travs de
UDP y SSL, y los puertos de escucha (514 para UDP y
6514 para SSL) no pueden configurarse; se habilitan
nicamente a travs del servicio de gestin.
3.
Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.
Incluso despus de habilitar el servicio de receptor de
Syslog de User-ID en la interfaz, esta solamente aceptar
conexiones con Syslog desde servidores que tengan una
entrada correspondiente en la configuracin de los
servidores supervisados de User-ID. Las conexiones o
los mensajes de servidores que no estn en la lista se
descartarn.
Paso 7
User-ID
273
User-ID
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Para ver cuntas asignaciones de usuarios se detectaron a travs de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick

2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
Configuracin del agente de User-ID de Windows como receptor de Syslog

El siguiente flujo de trabajo describe cmo configurar un agente de User-ID basado en Windows para escuchar
Syslogs de servicios de autenticacin.
El agente de User-ID de Windows acepta Syslogs nicamente a travs de TCP y UDP.
274
User-ID
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog
Paso 1
Haga clic en Iniciar y seleccione Agente de User-ID.
Paso 2
Defina manualmente los filtros de Syslog 1.

para extraer la informacin de asignacin
de direcciones IP a nombres de usuario de
User-ID desde mensajes de Syslog.
Revise los Syslogs generados por el servicio de autenticacin

para identificar la sintaxis de los eventos de inicio de sesin.
Esto le permite crear los patrones de coincidencias que
permitirn que el cortafuegos identifique y extraiga los eventos
de autenticacin de los Syslogs.
Para que el agente de User-ID los analice,

los mensajes de Syslog deben cumplir los
siguientes criterios:
Cada mensaje de Syslog debe ser una
cadena de texto de una sola lnea. Los
saltos de lnea estn delimitados por un
retorno de carro y una nueva lnea
(\r\n) o por una nueva lnea (\n).
El tamao mximo permitido de un
mensaje de Syslog individual es de
2.048 bytes.
Los mensajes de Syslog enviados a
travs de UDP deben estar incluidos en
un nico paquete; los mensajes
enviados a travs de SSL pueden
repartirse entre varios paquetes.
Un nico paquete puede contener
varios mensajes de Syslog.
Mientras revisa los Syslogs, determine tambin si el

nombre de dominio se incluye en las entradas de log. Si
los logs de autenticacin no contienen informacin de
dominio, considere la opcin de definir un nombre de
dominio personalizado cuando aada el emisor de Syslog
a la lista de servidores supervisados en el Paso 5.
2.
Seleccione Identificacin de usuarios > Configuracin y haga

clic en Editar en la seccin Configuracin del cuadro de dilogo.
3.
En la pestaa Syslog, haga clic en Aadir para aadir un nuevo

perfil de anlisis de Syslog.
4.
Introduzca un Nombre de perfil y una Descripcin.
5.
Especifique el Tipo de anlisis que debe utilizarse para filtrar y

descartar la informacin de asignacin de usuarios
seleccionando una de las opciones siguientes:
Regex: Con este tipo de anlisis puede especificar
expresiones regulares para describir patrones de bsqueda e
identificar y extraer informacin de asignacin de usuarios de
los mensajes de Syslog. Vaya al Paso 3 para obtener
instrucciones sobre cmo crear los identificadores regex.
Campo: Con este tipo de anlisis, se especifica una cadena
para que coincida con el evento de autenticacin y cadenas de
prefijo y sufijo para identificar la informacin de asignacin
de usuarios en los Syslogs. Vaya al Paso 4 para obtener
instrucciones sobre cmo crear los identificadores de campo.
User-ID
275
User-ID
Syslog (Continuacin)
Paso 3
1.
Si seleccion Regex como el Tipo de
anlisis, cree los patrones de coincidencias
de regex para identificar los eventos de
autenticacin y extraer la informacin de
asignacin de usuarios.
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:

Source:192.168.3.212
2.

coincidencias en el campo Regex de eventos. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
invertida antes del espacio es un carcter regex de escape
estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}.
Introduzca la regex para identificar el principio del nombre de
usuario en los mensajes de autenticaciones realizadas con xito
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe1 en el mensaje de ejemplo y extraera
acme\johndoe1 como User-ID.
Si los Syslogs no contienen informacin de dominio y
requiere nombres de dominio en sus asignaciones de
usuarios, asegrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.
3.
y/o una tabulacin independiente
4.
276
Introduzca la regex para identificar la parte de la direccin IP de

los mensajes de autenticacin correcta en el campo Regex de
direccin. Por ejemplo, la expresin regular Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) coincidira
con una direccin IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
User-ID
User-ID
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.

coincidencias en el campo Cadena de eventos. Por ejemplo,
cuando coincidan con el mensaje de Syslog de muestra, debera
introducir la cadena authentication success para identificar
eventos de autenticacin en el Syslog.
2.
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:

del campo del nombre de usuario en el mensaje de Syslog de
autenticacin en el campo Prefijo de nombre de usuario. Por
ejemplo, la cadena User: identifica el principio del campo del
nombre de usuario en el Syslog de muestra.

Source:192.168.3.212
Paso 5
3.
Introduzca el Delimitador de nombre de usuario para marcar

el final del campo del nombre de usuario en un mensaje de
Syslog de autenticacin. Por ejemplo, si el nombre de usuario
est seguido de un espacio, debera introducir \s para indicar
que el campo del nombre de usuario est delimitado por un
espacio independiente en el log de muestra.
4.

del campo de la direccin IP en el log de eventos de
autenticacin en el campo Prefijo de direccin. Por ejemplo, la
cadena Source: identifica el principio del campo de la direccin
en el log de ejemplo.

5.
y/o una tabulacin independiente
6.
Introduzca el Delimitador de direccin para marcar el final del

campo de la direccin IP en el mensaje de autenticacin correcta
en el campo. Por ejemplo, si la direccin est seguida de un salto
de lnea, debera introducir \n para indicar que el campo de la
direccin est delimitado por una nueva lnea.
Habilite el servicio de escucha de Syslog

en el agente.
1.
Seleccione la casilla de verificacin Habilitar servicio de Syslog.
2.
(Opcional) Modifique el nmero del Puerto del servicio de

Syslog para que coincida con el nmero del puerto utilizado por
3.
Para guardar la configuracin de Syslog de agente, haga clic en

ACEPTAR.
1.
Defina los servidores que enviarn
mensajes de Syslog al agente de User-ID. 2.
Puede definir hasta 100 emisores de
3.
Syslog. El agente de User-ID descartar
los mensajes de Syslog recibidos de
4.
servidores que no estn en esta lista.
5.
6.
Seleccione Identificacin de usuarios > Descubrimiento.

En la seccin Servidores de la pantalla, haga clic en Aadir.
Introduzca un Nombre y una Direccin de servidor para el
servidor que vaya a enviar Syslogs al agente.
Seleccione Emisor de syslog como el Tipo de servidor.
Seleccione un Filtro que defini en el Paso 2.
(Opcional) Si los Syslogs que enva el dispositivo de
autenticacin no incluyen informacin de dominio en los logs
de eventos de inicio de sesin, introduzca el Nombre de
dominio predeterminado que deber adjuntarse a las
el emisor de Syslog (valor predeterminado = 514).
Paso 6
7.
User-ID
277
User-ID
Paso 7
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Para ver cuntas asignaciones de usuarios se detectaron a travs de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick

2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
278
User-ID
User-ID
Asignacin de direcciones IP a nombres de usuario mediante un portal

cautivo
Si el cortafuegos recibe una solicitud de una zona que tiene habilitado identificacin de usuarios (User-ID) y la
direccin IP de origen no tiene datos de usuario asociados con la misma todava, comprobar su poltica de
portal cautivo en busca de una coincidencia para determinar si se realizar la autenticacin. Esto es de utilidad
en entornos donde tenga clientes que no hayan iniciado sesin en sus servidores de dominio, como clientes
Linux. Este mtodo de asignacin de usuarios nicamente se activa para el trfico web (HTTP o HTTPS) que
coincida con una poltica/regla de seguridad, pero que no se haya asignado utilizando un mtodo diferente.
Mtodos de autenticacin de portal cautivo
Modos de portal cautivo
Configuracin de portal cautivo
Mtodos de autenticacin de portal cautivo

El portal cautivo utiliza los siguientes mtodos para obtener datos de usuario del cliente cuando una solicitud
coincide con una poltica de portal cautivo:
Mtodo de autenticacin
Descripcin
Autenticacin de NTLM
El cortafuegos utiliza un mecanismo de respuesta por desafo cifrado para obtener

las credenciales del usuario desde el explorador. Si se configura correctamente, el
explorador proporcionar las credenciales al cortafuegos de manera transparente
sin preguntar al usuario, pero mostrar un mensaje de solicitud de credenciales si es
necesario. Si el explorador no puede realizar la autenticacin NTLM o esta falla, el
cortafuegos retroceder a una autenticacin con formato web o certificado de
cliente, dependiendo de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows.
Formato web
Las solicitudes se redirigen a un formato web para su autenticacin. Puede

configurar un portal cautivo para que utilice una base de datos de usuario local,
RADIUS, LDAP o Kerberos para autenticar usuarios. Aunque siempre se
solicitarn las credenciales a los usuarios, este mtodo de autenticacin funciona
con todos los exploradores y sistemas operativos.
Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al
usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el cortafuegos. Este es el nico mtodo de autenticacin que
habilita una autenticacin transparente para clientes de Mac OS y Linux.
User-ID
279
User-ID
Modos de portal cautivo

El modo de portal cautivo define cmo se capturan las solicitudes para su autenticacin:
Modo
Descripcin
Transparente
El cortafuegos intercepta el trfico del explorador mediante la regla de portal

cautivo y representa la URL de destino original, emitiendo un HTTP 401 para
invocar la autenticacin. Sin embargo, como el cortafuegos no tiene el certificado
real para la URL de destino, el explorador mostrar un error de certificado a los
usuarios que intenten acceder a un sitio seguro. Por lo tanto, nicamente debera
utilizar este modo cuando sea absolutamente necesario, como en implementaciones
de capa 2 o cable virtual (Virtual Wire).
Redirigir
El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige

a una interfaz de capa 3 en el cortafuegos utilizando una redireccin HTTP 302
para realizar la autenticacin. Este es el modo preferido porque proporciona una
mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere
una configuracin de capa 3 adicional. Otra ventaja del modo Redirigir es que
permite el uso de cookies de sesin, que permiten que el usuario siga explorando
sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo. Esto
es de especial utilidad para los usuarios que se desplazan de una direccin IP a otra
(por ejemplo, de la LAN corporativa a la red inalmbrica) porque no tendrn que
volver a autenticar al cambiar de direccin IP siempre que la sesin permanezca
abierta. Adems, si tiene la intencin de utilizar la autenticacin de NTLM, deber
utilizar el modo Redirigir porque el explorador nicamente proporcionar
credenciales a sitios fiables.
Configuracin de portal cautivo

El siguiente procedimiento muestra cmo configurar un portal cautivo utilizando el agente de User-ID
integrado en PAN-OS para redirigir solicitudes que coincidan con una poltica de portal cautivo a una interfaz
de capa 3 en el cortafuegos.
Si tiene la intencin de utilizar un portal cautivo sin utilizar las otras funciones de User-ID
(asignacin de usuarios y grupos), no necesita configurar un agente.
Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS
En esta versin del producto, el cortafuegos debe ser capaz de

comunicarse con los servidores a travs de la interfaz de gestin, as
que debe asegurarse de que la red en la que se encuentran sus
servidores de directorio es accesible desde esta interfaz. Si esta
configuracin no funciona en su entorno, deber configurar el portal
cautivo utilizando el agente de User-ID basado en Windows.
Paso 1
Asegrese de que el cortafuegos tiene

una ruta hacia los servidores que
supervisar para recopilar datos de
usuario (por ejemplo, sus controladores
de dominio y sus servidores Exchange).
Paso 2
Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el FQDN
para resolver sus direcciones de
del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com
280
User-ID
User-ID
Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuacin)
Paso 3
(nicamente en el modo Redirigir) Cree

una interfaz de capa 3 a la que redirigir
solicitudes de portal cautivo.
1.
Cree un perfil de gestin para habilitar la interfaz para que

muestre pginas de respuesta de portal cautivo:
a. Seleccione Red > Gestin de interfaz y haga clic en Aadir.
b. Introduzca un Nombre para el perfil, seleccione Pginas de
respuesta y, a continuacin, haga clic en Aceptar.
Paso 4
(nicamente en el modo Redirigir) Para

redirigir usuarios de forma transparente
sin mostrar errores de certificado, instale
un certificado que coincida con la
direccin IP de la interfaz a la que est
redirigiendo solicitudes. Puede generar un
certificado autofirmado o importar un
certificado firmado por una CA externa.
2.
Cree la interfaz de capa 3. Asegrese de adjuntar el perfil de

gestin que acaba de crear (en la pestaa Avanzado > Otra
informacin del cuadro de dilogo Interfaz Ethernet).
3.
Cree un registro DNS A que asigne la direccin IP que

configur en la interfaz de capa 3 a un nombre de host de
intranet (es decir, un nombre de host que no tiene ningn punto
en el nombre, como ntlmhost).
Para utilizar un certificado autofirmado, primero deber crear un

certificado de CA raz y, a continuacin, utilizar esa CA para firmar
el certificado que utilizar para el portal cautivo de la manera
siguiente:
1. Para crear un certificado de CA raz, seleccione Dispositivo >
Al configurar un portal cautivo

por primera vez, puede que los
certificados importados no
funcionen. Si tiene la intencin de
utilizar un certificado importado, 2.
complete la configuracin inicial
sin especificar un Certificado de
servidor. Despus de poner en
funcionamiento el portal cautivo,
podr volver y cambiar al
certificado importado.
3.
User-ID
Gestin de certificados > Certificados > Certificados de

dispositivos y, a continuacin, haga clic en Generar. Introduzca
un Nombre de certificado, como RootCA. No seleccione
ningn valor en el campo Firmado por (esto es lo que indica que
est autofirmado). Asegrese de seleccionar la casilla de

verificacin Autoridad del certificado y, a continuacin, haga
clic en Generar para generar el certificado.
Para crear el certificado que se utilizar para el portal cautivo,
haga clic en Generar. Introduzca un Nombre de certificado e
introduzca el nombre de DNS del host de intranet para la
interfaz como el Nombre comn. En el campo Firmado por,
seleccione la CA que cre en el paso anterior. Aada un atributo
de direccin IP y especifique la direccin IP de la interfaz de
capa 3 a la que redirigir las solicitudes. Seleccione Generar el
certificado.
Para configurar clientes para que confen en el certificado,

seleccione el certificado de CA en la pestaa Certificados de
dispositivos y haga clic en Exportar. A continuacin deber
importar el certificado como una CA raz de confianza en todos
los exploradores de cliente, ya sea configurando manualmente el
explorador o aadiendo el certificado a las races de confianza
en un objeto de directiva de grupo (GPO) de Active Directory.
281
User-ID
Paso 5
Configure un mecanismo de
1.
autenticacin para utilizarlo cuando se
invoque el formato web. Tenga en cuenta
que aunque tenga la intencin de utilizar
NTLM, tambin deber configurar un
mecanismo de autenticacin secundario
que pueda utilizarse si falla la
autenticacin de NTLM o si el agente de
usuario no la admite.
Prcticas recomendadas:
Si utiliza RADIUS para autenticar
a usuarios desde el formato web,
asegrese de introducir un
dominio de RADIUS. Esto se
2.
utilizar como el dominio
predeterminado si los usuarios no
proporcionan uno al iniciar sesin.
Si utiliza AD para autenticar a
usuarios desde el formato web,
asegrese de introducir
sAMAccountName como
LogonAttribute.
282
Configure el cortafuegos para conectarse al servicio de

autenticacin que tiene intencin de utilizar para que pueda
acceder a las credenciales de autenticacin.
Si tiene la intencin de autenticar mediante LDAP, Kerberos
o RADIUS, deber crear un perfil de servidor que indique al
cortafuegos cmo conectarse al servicio y acceder a las
credenciales de autenticacin de sus usuarios. Seleccione
Dispositivo > Perfiles de servidor y aada un nuevo perfil
para el servicio especfico al que acceder.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, primero deber crear la base de datos local.
Seleccione Dispositivo > Base de datos de usuario local y
aada los usuarios y grupos que se autenticarn.
Cree un perfil de autenticacin que haga referencia al perfil de
servidor o base de datos de usuario local que acaba de crear.
Seleccione Dispositivo > Perfil de autenticacin y aada un
nuevo perfil para utilizarlo con el portal cautivo. Para obtener
informacin detallada sobre cmo crear un tipo especfico de
perfil de autenticacin, consulte la ayuda en lnea.
User-ID
User-ID
Paso 6
(Opcional) Configure la autenticacin de 1.

certificado de cliente. Tenga en cuenta
que no necesita configurar tanto un perfil 2.
de autenticacin como un perfil de
3.
certificado de cliente para habilitar el
portal cautivo. Si configura los dos, el
usuario deber autenticar utilizando los
dos mtodos.
Consulte la ayuda en lnea para
obtener detalles de otros campos
de perfil de certificado, como si
debe usar CRL u OCSP.
Genere certificados para cada usuario que vaya a autenticar

mediante el portal cautivo.
Descargue el certificado de CA en el formato Base64.
Importe el certificado de CA raz desde la CA que gener los
certificados de cliente al cortafuegos:
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
certificado que descarg de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
4.
Cree el perfil de certificado de cliente que utilizar cuando

configure el portal cautivo.
a. Seleccione Dispositivo > Certificados > Gestin de
certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
b. En el men desplegable Campo de nombre de usuario,
seleccione el campo de certificado que contenga la
informacin de la identidad del usuario.
c. En el campo Certificados de CA, haga clic en Aadir,
seleccione el certificado de CA raz de confianza que acaba de
importar y, a continuacin, haga clic en ACEPTAR.
Paso 7
Habilite la autenticacin de NTLM.
1.
Al utilizar el agente de
identificacin de usuarios incluido
2.
en el dispositivo, el cortafuegos
debe poder resolver
correctamente el nombre de DNS 3.
de su controlador de dominio para
que el cortafuegos se una al
dominio. Las credenciales que
4.
proporcione aqu se utilizarn para
unir el cortafuegos al dominio tras
la correcta resolucin de DNS.
User-ID

agente de User-ID de Palo Alto Networks de la pantalla.
En la pestaa NTLM, seleccione la casilla de verificacin
Habilitar procesamiento de autenticacin de NTLM.
Introduzca el dominio de NTLM con el que el agente de
User-ID del cortafuegos debera comprobar las credenciales de
NTLM.
Introduzca el nombre de usuario y la contrasea de la cuenta de
Active Directory que cre en el Paso 1 de Asignacin de
direcciones IP a usuarios mediante el agente de User-ID
integrado para la autenticacin de NTLM.
283
User-ID
Paso 8
Configure los ajustes del portal cautivo.
1.

Configuracin de portal cautivo y edite la seccin Portal
cautivo de la pantalla.
2.

seleccionada.
3.
Establezca el Modo. Este ejemplo muestra cmo configurar el

modo Redirigir.
4.
(nicamente en el modo Redirigir) Seleccione el Certificado de

servidor que el cortafuegos debera utilizar para redirigir
solicitudes a travs de SSL. Este es el certificado que cre en el
Paso 4.
5.
(nicamente en el modo Redirigir) Especifique el valor de

Redirigir host, que es el nombre de host de intranet que
resuelve a la direccin IP de la interfaz de capa 3 a la que est

redirigiendo solicitudes, segn lo especificado en el Paso 3.
6.
Seleccione el mtodo de autenticacin que deber utilizarse si

falla NTLM (o si no est utilizando NTLM):
Si est utilizando la autenticacin de LDAP, Kerberos,
RADIUS o base de datos local, seleccione el Perfil de
autenticacin que cre en el Paso 5.
Si est utilizando la autenticacin de certificado de cliente,
seleccione el Perfil de certificado que cre en el Paso 6.
284
7.
8.
Haga clic en Confirmar para guardar la configuracin de portal

cautivo.
User-ID
User-ID
Configuracin de la asignacin de usuarios para usuarios del servidor de

terminal
Los usuarios individuales del servidor de terminal parecen tener la misma direccin IP y, por lo tanto, una
asignacin de direcciones IP a nombres de usuarios no es suficiente para identificar a un usuario especfico. Para
habilitar la identificacin de usuarios especficos en servidores de terminal basados en Windows, el agente de
servicios de terminal (agente de TS) de Palo Alto Networks asignar un intervalo de puertos a cada usuario. A
continuacin, notificar a cada cortafuegos conectado sobre el intervalo de puertos asignado, lo que permitir
que el cortafuegos cree una tabla de asignaciones de direcciones IP, puertos y usuarios y habilite la aplicacin de
polticas de seguridad basadas en usuarios y grupos. Para los servidores de terminal que no sean de Windows,
puede configurar la API XML de User-ID para que extraiga informacin de asignacin de usuarios.
Las siguientes secciones describen cmo configurar la asignacin de usuarios para usuarios del servidor de
terminal:
Configuracin del agente de servidor de terminal de Palo Alto Networks para la asignacin de
usuarios
Recuperacin de asignaciones de usuarios de un servidor de terminal mediante la API XML de

User-ID
Configuracin del agente de servidor de terminal de Palo Alto Networks para la

asignacin de usuarios
Utilice el siguiente procedimiento para instalar el agente de TS en el servidor de terminal. Debe instalar el agente
de TS en todos los servidores de terminal en los que sus usuarios inicien sesin para asignar correctamente a
todos sus usuarios.
Para obtener informacin sobre los servidores de terminal admitidos por el agente de TS,
consulte Operating System (OS) Compatibility TS Agent (en ingls) en las notas de versin de
agente de servicios de terminal, que estn disponibles en la pgina Actualizaciones de software
de Palo Alto Networks.
Instalacin del agente de servidor de terminal de Windows
Paso 1
Descargue el instalador de agente de TS.
1.
Inicie sesin en el sitio de asistencia tcnica de Palo Alto

Networks.
2.
Seleccione Actualizaciones de software en la seccin

Gestionar dispositivos.
3.
Desplcese hasta la seccin Terminal Services Agent y haga

clic en Descargar para descargar la versin del agente que
quiera instalar.
4.
Guarde el archivo TaInstall64.x64-x.x.x-xx.msi o

TaInstall-x.x.x-xx.msi (asegrese de seleccionar la versin
adecuada basndose en si el sistema Windows est ejecutando

un sistema operativo de 32 bits o de 64 bits) en los sistemas en
los que tenga la intencin de instalar el agente.
User-ID
285
User-ID
Instalacin del agente de servidor de terminal de Windows (Continuacin)
Paso 2
Ejecute el instalador como administrador. 1.
2.
Para iniciar una lnea de comandos como administrador, haga

clic en Iniciar, haga clic con el botn derecho en Lnea de
comandos y, a continuacin, seleccione Ejecutar como
administrador.
Desde la lnea de comandos, ejecute el archivo .msi que ha
descargado. Por ejemplo, si guard el archivo .msi en el
escritorio, debera introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-6.0.
0-1.msi
3.
Siga los mensajes de configuracin para instalar el agente con los

ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\Terminal Server Agent, pero puede hacer clic en
Examinar para seleccionar una ubicacin diferente.
4.
Cuando finalice la instalacin, haga clic en Cerrar para cerrar la

ventana de configuracin.
Si est actualizando a una versin de agente de TS con un
controlador ms reciente que el de la instalacin
existente, el asistente de instalacin le solicitar reiniciar
el sistema despus de actualizar con el fin de utilizar el
controlador ms reciente.
Paso 3
286
Inicie la aplicacin del agente de servidor Haga clic en Iniciar y seleccione Agente de servidor de terminal.
de terminal.
User-ID
User-ID
Paso 4
Defina el intervalo de puertos para el

agente de TS que debe asignarse a los
usuarios finales.
Los campos Intervalo de

asignacin del puerto de origen
del sistema y Puertos de origen
reservados del sistema
1.
Seleccione Configurar.
2.
Establezca el Intervalo de asignacin del puerto de origen

(valor predeterminado: 20000-39999). Este es el intervalo
completo de nmeros de puertos que el agente de TS adjudicar
para la asignacin de usuarios. El intervalo de puertos que
especifique no puede solaparse con el Intervalo de asignacin
del puerto de origen del sistema.
3.
(Opcional) Si hay puertos/intervalos de puertos en la asignacin

del puerto de origen que no desea que el agente de TS adjudique
a sesiones de usuario, especifquelos como Puertos de origen
reservados. Para incluir varios intervalos, utilice comas sin
espacios, por ejemplo: 2000-3000,3500,4000-5000.
4.
Especifique el nmero de puertos que deben asignarse a cada

usuario individual tras su inicio de sesin en el servidor de
terminal en el campo Tamao de inicio de asignacin de
puertos por usuario (valor predeterminado: 200).
5.
Especifique el Tamao mximo de asignacin de puertos por

usuario, que es el nmero mximo de puertos que el agente de
especifican el intervalo de puertos 6.

que se asignar a las sesiones que
no sean de usuarios. Asegrese de
que los valores especificados en
estos campos no se solapan con
los puertos que design para el
trfico de usuarios. Estos valores
solamente pueden cambiarse
editando los correspondientes
ajustes de registro de Windows.
User-ID
servidor de terminal puede asignar a un usuario individual.

Especifique si desea continuar procesando el trfico del usuario
si el usuario se queda sin puertos asignados. De manera
predeterminada, est seleccionada la opcin Fallo en el enlace
de puertos cuando se utilizan los puertos disponibles, que
indica que la aplicacin no enviar trfico cuando se hayan
utilizado todos los puertos. Para habilitar a los usuarios para que
sigan utilizando aplicaciones cuando se queden sin puertos,
cancele la seleccin de esta casilla de verificacin. Recuerde que
puede que este trfico no se identifique con User-ID.
287
User-ID
Paso 5
Paso 6
Configure los cortafuegos para

conectarlos al agente de servidor de
terminal.
Verifique que el agente de servidor de

terminal est asignando correctamente
direcciones IP a nombres de usuarios y
que los cortafuegos pueden conectarse
con el agente.
Realice los siguientes pasos en cada cortafuegos que quiera conectar

al agente de servidor de terminal para recibir asignaciones de
usuarios:
de servidor de terminal y haga clic en Aadir.
2.
Introduzca un Nombre para el agente de servidor de terminal.
3.
Introduzca la direccin IP del Host de Windows en el que est

instalado el agente de servidor de terminal.
4.
Introduzca el nmero de Puerto en el que el agente escuchar

solicitudes de asignacin de usuarios. Este valor debe coincidir
con el valor configurado en el agente de servidor de terminal.
De manera predeterminada, el puerto se establece como 5009
en el cortafuegos y en el agente. Si lo cambia aqu, tambin debe
cambiar el campo Puerto de escucha en la pantalla Configurar
del agente de servidor de terminal.
5.

6.
7.
Verifique que el estado Conectado aparece como conectado

(una luz verde).
1.
Inicie el agente de servidor de terminal y verifique que los

cortafuegos pueden conectarse asegurndose de que el Estado
de conexin de cada dispositivo de la lista de conexin es
Conectado.
2.
Para verificar que el agente de servidor de terminal est

asignando correctamente intervalos de puertos a nombres de
usuarios, seleccione Supervisando y asegrese de que la tabla de
asignaciones se cumplimenta.
Recuperacin de asignaciones de usuarios de un servidor de terminal mediante la API

XML de User-ID
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estndar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL
o usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST.
288
User-ID
User-ID
Para habilitar un servidor de terminal que no sea de Windows para que enve informacin de asignacin de
usuarios directamente al cortafuegos, cree secuencias de comandos que extraigan los eventos de inicio de sesin
y cierre de sesin de usuarios y utilcelas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuacin defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget y proporcionando la clave de API del cortafuegos para lograr comunicaciones seguras. La creacin de
asignaciones de usuarios desde sistemas multiusuario como servidores de terminal requiere el uso de los
siguientes mensajes de la API:
<multiusersystem>: Establece la configuracin para un sistema multiusuario de la API XML en el

cortafuegos. Este mensaje permite la definicin de la direccin IP de servidor de terminal (esta ser la
direccin de origen para todos los usuarios de ese servidor de terminal). Adems, el mensaje de
configuracin <multiusersystem> especifica el intervalo de nmeros de puertos de origen que debe
adjudicarse para la asignacin de usuarios y el nmero de puertos que debe adjudicarse a cada usuario
individual despus de iniciar sesin (lo que se denomina tamao de bloque). Si quiere utilizar el intervalo de
asignacin del puerto de origen predeterminado (1025-65534) y el tamao de bloque (200), no necesita
enviar un evento de configuracin <multiusersystem> al cortafuegos. En vez de eso, el cortafuegos generar
automticamente la configuracin del sistema multiusuario de la API XML con los ajustes predeterminados
tras recibir el primer mensaje de evento de inicio de sesin de usuario.
<blockstart>: Se utiliza con los mensajes <login> y <logout> para indicar el nmero de puerto de
origen de partida asignado al usuario. A continuacin, el cortafuegos utiliza el tamao de bloque para
determinar el intervalo de nmeros de puertos que debe asignarse a la direccin IP y al nombre de usuario
del mensaje de inicio de sesin. Por ejemplo, si el valor de <blockstart> es 13200 y el tamao de bloque
configurado para el sistema multiusuario es 300, el intervalo del puerto de origen asignado al usuario es del
13200 al 13499. Cada conexin iniciada por el usuario debera utilizar un nmero de puerto de origen
exclusivo dentro del intervalo asignado, permitiendo que el cortafuegos identifique al usuario basndose en
sus asignaciones de direcciones IP, puertos y usuarios para la aplicacin de reglas de polticas de seguridad
basadas en usuarios y grupos. Cuando un usuario agota todos los puertos asignados, el servidor de terminal
debe enviar un nuevo mensaje <login> que asigne un nuevo intervalo de puertos para el usuario con el fin
de que el cortafuegos pueda actualizar la asignacin de direcciones IP, puertos y usuarios. Adems, un nico
nombre de usuario puede tener varios bloques de puertos asignados simultneamente. Cuando un
cortafuegos recibe un mensaje <logout> que incluye un parmetro <blockstart>, elimina la correspondiente
asignacin de direccin IP, puerto y usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un
mensaje <logout> con un nombre de usuario y una direccin IP, pero sin <blockstart>, elimina al usuario
de su tabla. Y si el cortafuegos recibe un mensaje <logout> nicamente con una direccin IP, elimina el
sistema multiusuario y todas las asignaciones asociadas al mismo.
Los archivos XML que el servidor de terminal enva al cortafuegos pueden contener varios tipos
de mensajes y estos mensajes no tienen que estar en ningn orden especfico dentro del archivo.
Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes, el cortafuegos
los procesar en el siguiente orden: solicitudes multiusersystem en primer lugar, seguidas de
inicios de sesin y cierres de sesin.
El siguiente flujo de trabajo ofrece un ejemplo de cmo utilizar la API XML de User-ID para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
User-ID
289
User-ID
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean de Windows
Paso 1
Genere la clave de API que se

utilizar para autenticar la
comunicacin de la API entre
el cortafuegos y el servidor de
terminal. Para generar la clave,
debe proporcionar
credenciales de inicio de
sesin para una cuenta
administrativa; la API est
disponible para todos los
administradores (incluidos los
administradores basados en
funciones con privilegios de la
API XML habilitados).
Todos los caracteres
especiales de la
contrasea deben estar
codificados con
URL/porcentaje.
Paso 2
290
Desde un explorador, inicie sesin en el cortafuegos. A continuacin, para

generar la clave de API para el cortafuegos, abra una nueva ventana del
explorador e introduzca la siguiente URL:
https://<Firewall-IPaddress>/api/?type=keygen&user=<username>&
password=<password>
donde <Firewall-IPaddress> es la direccin IP o FQDN del cortafuegos y

<username> y <password> son las credenciales para la cuenta de usuario
administrativo del cortafuegos. Por ejemplo:
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
El cortafuegos responde con un mensaje que contiene la clave, por ejemplo:

<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
A continuacin puede ver un mensaje de configuracin de muestra:

(Opcional) Genere un
mensaje de configuracin que <uid-message>
el servidor de terminal enviar
<payload>
para especificar el intervalo de
<multiusersystem>
puertos y el tamao de bloque
<entry ip="10.1.1.23" startport="20000"
de los puertos por usuario que
endport="39999" blocksize="100">
utiliza su agente de servicios
</multiusersystem>
de terminal.
</payload>
<type>update</type>
Si el agente de servicios de
<version>1.0</version>
terminal no enva un mensaje
</uid-message>
de configuracin, el
cortafuegos automticamente donde entry ip especifica la direccin IP asignada a los usuarios del servidor
de terminal, startport y endport especifican el intervalo de puertos que debe
crear una configuracin de
agente de servidor de terminal utilizarse al asignar puertos a usuarios individuales y blocksize especifica el
mediante los siguientes ajustes nmero de puertos que debe asignarse a cada usuario. El tamao de bloque
predeterminados tras recibir el mximo es 4000 y cada sistema multiusuario puede asignar un mximo de 1000
bloques.
primer mensaje de inicio de
sesin:
Si define un tamao de bloque y/o intervalo de puertos personalizado, recuerde
que debe configurar los valores de modo que se asignen todos los puertos del
Intervalo de puertos
predeterminado: De 1025 a intervalo y que no haya huecos ni puertos sin utilizar. Por ejemplo, si establece
el intervalo de puertos como 1000-1499, podra establecer el tamao de bloque
65534
como 100, pero no como 200. Esto se debe a que si lo estableciera como 200,
Tamao de bloque por
habra puertos sin utilizar al final del intervalo.
usuario: 200
Nmero mximo de
sistemas multiusuario: 1000
User-ID
User-ID
Paso 3
Cree una secuencia de

comandos que extraiga los
eventos de inicio de sesin y
cree el archivo de entrada
XML que debe enviarse al
cortafuegos.
Asegrese de que la secuencia
de comandos aplica la
asignacin de intervalos de
nmeros de puertos con
lmites fijos y sin que los
puertos se solapen. Por
ejemplo, si el intervalo de
puertos es 1000-1999 y el
tamao de bloque es 200, los
valores aceptables de
blockstart seran 1000, 1200,
1400, 1600 o 1800. Los
valores de blockstart 1001,
1300 o 1850 no seran
aceptables porque algunos de
los nmeros de puertos del
intervalo se quedaran sin
utilizar.
A continuacin se muestra el formato del archivo de entrada de un evento de

inicio de sesin XML de User-ID:
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
</uid-message>
El cortafuegos utiliza esta informacin para cumplimentar su tabla de

asignaciones de usuarios. Basndose en las asignaciones extradas del ejemplo
anterior, si el cortafuegos recibiera un paquete cuya direccin y cuyo puerto de
origen fueran 10.1.1.23:20101, asignara la solicitud al usuario jparker para la
aplicacin de polticas.
Cada sistema multiusuario puede asignar un mximo de 1.000 bloques
de puertos.
La carga de eventos de
inicio de sesin que el
servidor de terminal
enva al cortafuegos
puede contener varios
eventos de inicio de
sesin.
User-ID
291
User-ID
Paso 4
Cree una secuencia de

comandos que extraiga los
eventos de cierre de sesin y
cree el archivo de entrada
XML que debe enviarse al
cortafuegos.
Tras recibir un mensaje de
evento logout con un
parmetro blockstart, el
cortafuegos elimina la
correspondiente asignacin de
direccin IP, puerto y usuario.
Si el mensaje logout contiene
un nombre de usuario y una
direccin IP, pero ningn
parmetro blockstart, el
cortafuegos eliminar todas
las asignaciones del usuario.
Si el mensaje logout
solamente contiene una
direccin IP, el cortafuegos
eliminar el sistema
multiusuario y todas las
asignaciones asociadas.
Paso 5
292
Asegrese de que las

secuencias de comandos que
cree incluyan un modo de
aplicar dinmicamente que el
intervalo de bloques de
puertos asignado mediante la
API XML coincida con el
puerto de origen asignado al
usuario en el servidor de
terminal y que la asignacin se
elimine cuando el usuario
cierre sesin o cuando cambie
la asignacin de puertos.
A continuacin se muestra el formato del archivo de entrada de un evento de

cierre de sesin XML de User-ID:
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23"
blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
</uid-message>
Tambin puede borrar del cortafuegos la entrada del sistema

multiusuario mediante el siguiente comando de la CLI: clear xml-api
multiusersystem
Una forma de hacerlo sera utilizar reglas de NAT netfilter para ocultar sesiones
de usuarios detrs de los intervalos de puertos especficos asignados a travs de
la API XML basndose en el UID. Por ejemplo, para garantizar que un usuario
cuyo User-ID sea jjaso se asigne a una traduccin de direcciones de red de
origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos
que cree debera incluir lo siguiente:
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
Del mismo modo, las secuencias de comandos que cree tambin deberan
garantizar que la configuracin de enrutamiento de la tabla de IP elimine
dinmicamente la asignacin de SNAT cuando el usuario cierre sesin o cuando
cambie la asignacin de puertos:
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
User-ID
User-ID
Paso 6
Defina cmo empaquetar los

archivos de entrada XML que
contienen los eventos de
configuracin, inicio de sesin
y cierre de sesin en mensajes
wget o cURL para su
transmisin al cortafuegos.
Para aplicar los archivos al cortafuegos mediante wget:

> wget --post file <filename>
https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&file-name=<inp
ut_filename.xml>&client=wget&vsys=<VSYS_name>
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml

al cortafuegos en 10.2.5.11 utilizando la clave
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con wget tendra el
siguiente aspecto:
> wget --post file login.xml
https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx
7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1
Para aplicar el archivo al cortafuegos mediante cURL:

> curl --form file=@<filename>
https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&vsys=<VSYS_name
>
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml

al cortafuegos en 10.2.5.11 utilizando la clave
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con cURL tendra el
siguiente aspecto:
> curl --form file@login.xml
https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%
2BgzEA9UOnlZRg&vsys=vsys1
Paso 7
Verifique que el cortafuegos

est recibiendo correctamente
eventos de inicio de sesin de
los servidores de terminal.
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y,

a continuacin, ejecutando los siguientes comandos de la CLI:
Para verificar si el servidor de terminal se est conectando con el cortafuegos a
travs de XML:
admin@PA-5050> show user xml-api multiusersystem
Host
Vsys
Users
Blocks
---------------------------------------10.5.204.43
vsys1
5
2
Para verificar que el cortafuegos est recibiendo asignaciones de un servidor de

terminal a travs de XML:
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43
Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1
User-ID
293
User-ID
Envo de asignaciones de usuarios a User-ID mediante la API XML

Aunque la funcin User-ID proporciona muchos de los mtodos listos para usar para obtener informacin de
asignacin de usuarios, puede que tenga algunas aplicaciones o algunos dispositivos que capturen informacin
de usuario que no se pueda integrar de forma nativa con User-ID. En este caso, puede utilizar la API XML de
User-ID para crear secuencias de comandos personalizadas que le permitan aprovechar datos de usuarios
existentes y enviarlos al agente de User-ID o directamente al cortafuegos.
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estndar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o
usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST. Para aprovechar datos de usuarios de un sistema existente (como una aplicacin personalizada
desarrollada internamente u otro dispositivo que no est admitido por uno de los mecanismos de asignacin de
usuarios existentes) puede crear secuencias de comandos personalizadas para extraer los datos y enviarlos al
cortafuegos o al agente de User-ID mediante la API XML.
Para habilitar un sistema externo para que enve informacin de asignacin de usuarios al agente de User-ID o
directamente al cortafuegos, puede crear secuencias de comandos que extraigan los eventos de inicio de sesin
y cierre de sesin de usuarios y utilizarlas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuacin defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget mediante la clave de API del cortafuegos para lograr comunicaciones seguras. Para obtener informacin
ms detallada, consulte PAN-OS XML API Usage Guide (en ingls).
294
User-ID
User-ID
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos
Configuracin de un cortafuegos para compartir datos de

asignacin de usuarios con otros cortafuegos
Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las asignaciones
de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad segn el grupo o
usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las asignaciones de usuarios y, a
continuacin, las redistribuya a los otros cortafuegos. El cortafuegos de redistribucin puede utilizar cualquier
mtodo para recopilar asignaciones de usuarios y asignaciones de grupos y, a continuacin, actuar como agente
de User-ID para compartir esa informacin con otros cortafuegos. Los cortafuegos receptores deben estar
configurados para extraer la informacin de asignacin directamente desde el cortafuegos de redistribucin y
no necesitan comunicarse directamente con ningn servidor de dominio.
Cortafuegos 1
Cortafuegos
de redistribucin
Cortafuegos 2
Servidor de dominio
Cortafuegos 3
El siguiente procedimiento describe cmo configurar la redistribucin de informacin de User-ID.

Configuracin de un cortafuegos para redistribuir asignaciones de usuarios
Paso 1
Configure el cortafuegos de
redistribucin.
Las configuraciones de User-ID
solamente se aplican a un nico
sistema virtual. Para redistribuir
asignaciones de User-ID de varios
sistemas virtuales, debe configurar
los ajustes de asignacin de
usuarios en cada sistema virtual
por separado, utilizando una clave
precompartida exclusiva en cada
configuracin.
User-ID
1.

agente de User-ID de Palo Alto Networks.
2.
Seleccione Redistribucin.
3.
Introduzca un Nombre del recopilador.
4.
Introduzca y confirme la Clave precompartida que permitir

que otros cortafuegos se conecten con este cortafuegos para
recuperar informacin de asignacin de usuarios.
5.
Haga clic en ACEPTAR para guardar la configuracin de

redistribucin.
295
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos
User-ID
Configuracin de un cortafuegos para redistribuir asignaciones de usuarios (Continuacin)
Paso 2
Paso 3
Cree un perfil de gestin de interfaz que 1.

habilite el servicio de User-ID y adjntelo
a la interfaz a la que se conectarn el resto 2.
de cortafuegos para recuperar
Seleccione Red > Perfiles de red > Gestin de interfaz y haga

clic en Aadir.
Introduzca un Nombre para el perfil y, a continuacin,
seleccione los servicios permitidos. Como mnimo, seleccione
Servicio de User-ID y HTTPS.
3.
4.
Seleccione Red > Interfaces > Ethernet y seleccione la interfaz

que tiene la intencin de utilizar para la redistribucin.
5.
En la pestaa Avanzada > Otra informacin, seleccione el

Perfil de gestin que acaba de crear.
6.
Realice los siguientes pasos en cada cortafuegos que quiera que

pueda recuperar asignaciones de usuarios:
de User-ID.
Si el cortafuegos de redistribucin
2. Haga clic en Aadir e introduzca un Nombre de agente de
tiene varios sistemas virtuales
User-ID para el cortafuegos de redistribucin.
configurados para la
redistribucin, asegrese de que
3. Introduzca el nombre de host o la direccin IP de la interfaz del
est utilizando la clave
cortafuegos que configur para la redistribucin en el campo
precompartida que corresponda al
Host.
sistema virtual del que quiera que 4. Introduzca 5007 como nmero de Puerto en el que el
este cortafuegos recupere
cortafuegos de redistribucin escuchar solicitudes de User-ID.
asignaciones de User-ID.
5. Introduzca el Nombre del recopilador que especific en la
configuracin del cortafuegos de redistribucin (Paso 1-3).
Configure los otros cortafuegos para

recuperar asignaciones de usuarios del
cortafuegos de redistribucin.
6.
Introduzca y confirme la Recopilador anterior a la clave

compartida. El valor de clave que introduzca aqu debe
coincidir con el valor configurado en el cortafuegos de
redistribucin (Paso 1-4).
7.
(Opcional) Si est utilizando el cortafuegos de redistribucin

para recuperar asignaciones de grupos adems de asignaciones
de usuarios, seleccione la casilla de verificacin Utilizar como
Proxy LDAP.
8.
(Opcional) Si est utilizando el cortafuegos de redistribucin

para la autenticacin de portal cautivo, seleccione la casilla de
verificacin Utilizar para autenticacin NTLM.
9.

10. Confirme los cambios.
296
User-ID
User-ID
Configuracin de un cortafuegos para redistribuir asignaciones de usuarios (Continuacin)
Paso 4
Verifique la configuracin.
En la pestaa Agentes de User-ID, verifique que la entrada del

cortafuegos de redistribucin que acaba de aadir muestra un icono
verde en la columna Conectado.
Si aparece un icono rojo, compruebe los logs de trfico
(Supervisar > Logs > Trfico) para identificar el problema. Tambin
puede comprobar si se han recibido datos de asignacin de usuarios
ejecutando los siguientes comandos de operacin de la CLI:
show user ip-user-mapping (para ver informacin de asignacin
de usuarios en el plano de datos)

show user ip-user-mapping-mp (para ver asignaciones en el plano
de gestin).

Para habilitar una poltica de seguridad basada en usuarios y/o grupos, debe habilitar User-ID para cada zona
que contenga usuarios que desee identificar. A continuacin, podr definir polticas que permitan o denieguen
el trfico basndose en el nombre de usuario o la pertenencia a un grupo. Adems, puede crear polticas de portal
cautivo para habilitar la identificacin de direcciones IP que todava no tienen datos de usuario asociados a las
mismas.
Paso 1
User-ID
Habilite User-ID en las zonas de origen 1.

que contengan los usuarios que enviarn 2.
solicitudes que requieran controles de
acceso basados en usuarios.
3.
Seleccione Red > Zonas.

Haga clic en el Nombre de la zona en la que desee habilitar
User-ID para abrir el cuadro de dilogo Zona.
Seleccione la casilla de verificacin Habilitacin de la
identificacin de usuarios y, a continuacin, haga clic en
Aceptar.
297
User-ID
Habilitacin de poltica basada en usuarios y grupos (Continuacin)
Paso 2
Cree polticas de seguridad basadas en

usuarios y/o grupos.
1.
La prctica recomendada es crear

polticas basadas en grupos en
lugar de en usuarios siempre que
sea posible. Esto evita que tenga
que actualizar continuamente sus
polticas (lo que requiere una
confirmacin) cada vez que
cambie su base de usuarios.
Despus de configurar User-ID, podr seleccionar un nombre

de usuario o grupo al definir el origen o el destino de una regla
de seguridad:
a. Seleccione Polticas > Seguridad y haga clic en Aadir para
crear una nueva poltica o haga clic en un nombre de regla de
poltica existente para abrir el cuadro de dilogo Regla de
b. Especifique qu usuarios y/o grupos deben coincidir en la
poltica de una de las siguientes formas:
Si desea especificar usuarios/grupos en concreto como
criterios de coincidencia, seleccione la pestaa Usuario y
haga clic en el botn Aadir en la seccin Usuario de origen
para mostrar una lista de usuarios y grupos detectados por
la funcin de asignacin de grupos del cortafuegos.
Seleccione los usuarios y/o grupos que deben aadirse a la
poltica.
Si desea que la poltica coincida con cualquier usuario que
se haya autenticado correctamente o no y no necesita
conocer el nombre especfico del usuario o grupo,
seleccione Usuario conocido o Desconocido en la lista
desplegable que se encuentra encima de la lista Usuario de
origen.
2.
298
Configure el resto de la poltica segn sea adecuado y, a

continuacin, haga clic en Aceptar para guardarla. Para obtener
informacin detallada sobre otros campos de la poltica de
seguridad, consulte Configuracin de polticas de seguridad
bsicas.
User-ID
User-ID
Habilitacin de poltica basada en usuarios y grupos (Continuacin)
Paso 3
Cree sus polticas de portal cautivo.
1.
Seleccione Polticas > Portal cautivo.
2.
Haga clic en Aadir e introduzca un Nombre para la poltica.
3.
Defina los criterios de coincidencia para la regla

cumplimentando las pestaas Origen, Destino y Categora de
URL/servicio segn sea adecuado para que coincidan con el
trfico que desee autenticar. Los criterios de coincidencia de
estas pestaas son los mismos que los criterios que defini al
crear una poltica de seguridad. Consulte Configuracin de
polticas de seguridad bsicas para obtener informacin
detallada.
4.
Defina la Accin que se debe realizar en el trfico que coincida

con la regla. Puede elegir entre lo siguiente:
No hay ningn portal cautivo: Permite el paso del trfico sin
abrir una pgina de portal cautivo para su autenticacin.
Formato web: Abre una pgina de portal cautivo en la que el
usuario debe introducir explcitamente las credenciales de
autenticacin o utilizar la autenticacin de certificado de
cliente.
Reto de explorador: Abre una solicitud de autenticacin de
NTLM en el explorador web del usuario. El explorador web
responder utilizando las credenciales de inicio de sesin
actuales del usuario. Si las credenciales de inicio de sesin no
estn disponibles, se pedir al usuario que las proporcione.
5.
El ejemplo siguiente muestra una poltica de portal cautivo que indica

al cortafuegos que debe abrir un formato web para autenticar a
usuarios desconocidos que enven solicitudes de HTTP desde la
zona fiable a la zona no fiable.
Paso 4
User-ID
Guarde sus ajustes de poltica.
299
User-ID

Despus de configurar la asignacin de grupos y la asignacin de usuarios y habilitar User-ID en sus polticas
de seguridad y polticas de portal cautivo, debera verificar que funciona correctamente.
Paso 1
Paso 2
Verifique que la asignacin de grupos

funciona.
Desde la CLI, introduzca el siguiente comando:
Verifique que la asignacin de usuarios

funciona.
Si est utilizando el agente de User-ID incluido en el dispositivo,

podr verificarlo desde la CLI utilizando el siguiente comando:
show user group-mapping statistics
show user ip-user-mapping-mp all

IP
(sec)
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
210
Total: 5 users
*: WMI probe succeeded
Paso 3
Compruebe su poltica de seguridad.
Desde una mquina en la zona donde est habilitado User-ID,

intente acceder a sitios y aplicaciones para comprobar las reglas
que ha definido en su poltica y asegrese de que el trfico se
permite y deniega del modo esperado.
Tambin puede utilizar el comando test
security-policy-match para determinar si la poltica se ha
configurado correctamente. Por ejemplo, supongamos que tiene
una regla que bloquea al usuario duane y le impide jugar a World of
Warcraft. Podra comprobar la poltica del modo siguiente:
test security-policy-match application
worldofwarcraft source-user acme\duane source any
destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
300
User-ID
User-ID
Verificacin de la configuracin de User-ID (Continuacin)
Paso 4
Compruebe su configuracin de portal

cautivo.
1.
Desde la misma zona, vaya a una mquina que no sea miembro

de su directorio, como un sistema Mac OS, e intente hacer ping
a un sistema externo a la zona. El ping debera funcionar sin
requerir autenticacin.
2.
Desde la misma mquina, abra un explorador y desplcese hasta

un sitio web en una zona de destino que coincida con una
poltica de portal cautivo que haya definido. Debera ver el
formato web de portal cautivo.
3.
Inicie sesin utilizando las credenciales correctas y confirme que

se le ha redirigido a la pgina solicitada.
4.
Tambin puede comprobar su poltica de portal cautivo

utilizando el comando test cp-policy-match de la manera
siguiente:
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
Paso 5
User-ID
Verifique que los nombres de usuario se muestran en los archivos de log (Supervisar > Logs).
301
User-ID
Verificacin de la configuracin de User-ID (Continuacin)
Paso 6
302
Verifique que los nombres de usuario se muestran en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debera ver una lista de los usuarios que intentaron acceder a las
aplicaciones como en el ejemplo siguiente.
User-ID
App-ID
Para habilitar aplicaciones de forma segura en su red, los cortafuegos de prxima generacin de Palo Alto
Networks ofrecen proteccin tanto para aplicaciones como para Internet (App-ID y filtrado de URL) frente a
una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos.
App-ID le permite visualizar las aplicaciones de la red, para que as pueda saber cmo funcionan y comprender
las caractersticas de su comportamiento y su riesgo relativo. Los conocimientos de esta aplicacin le permiten
crear y aplicar polticas de seguridad para habilitar, inspeccionar y moldear las aplicaciones que desee y bloquear
las que no desee. Cuando defina polticas para empezar a permitir el trfico, App-ID empezar a clasificar el
trfico sin ninguna configuracin adicional.
Descripcin general de App-ID
Gestin de aplicaciones personalizadas o desconocidas
Prcticas recomendadas para utilizar App-ID en polticas
Aplicaciones con compatibilidad implcita
Puertas de enlace de nivel de aplicacin
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP
App-ID
303
App-ID

App-ID, un sistema de clasificacin de trfico patentado nicamente disponible en cortafuegos de Palo Alto
Networks, determina qu es la aplicacin, independientemente del puerto, el protocolo, el cifrado (SSH o SSL)
o cualquier otra tctica evasiva utilizada por la aplicacin. Aplica mltiples mecanismos de clasificacin (firmas
de aplicaciones, descodificacin de protocolos de aplicaciones y heurstica) al flujo de trfico de su red para
identificar aplicaciones de forma precisa.
App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
El trfico se compara con la poltica para comprobar si est permitido en la red.
A continuacin, se aplican firmas al trfico permitido para identificar la aplicacin en funcin de sus
propiedades y caractersticas de transacciones. La firma tambin determina si la aplicacin se est utilizando
en su puerto predeterminado o si est utilizando un puerto no estndar. Si la poltica permite el trfico, a
continuacin este se examina en busca de amenazas y se analiza en mayor profundidad para identificar la
aplicacin de manera ms granular.
Si App-ID determina que el cifrado (SSL o SSH) ya est en uso y se est aplicando una poltica de descifrado,
la sesin se descifra y las firmas de la aplicacin se aplican de nuevo sobre el flujo descifrado.
Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas
en contextos para detectar otras aplicaciones que podran estar pasando por dentro del protocolo (por
ejemplo, Yahoo! Instant Messenger a travs de HTTP). Los descifradores validan que el trfico cumple con
la especificacin del protocolo y ofrecen asistencia para la NAT transversal y la apertura de pinholes
dinmicos para aplicaciones como SIP y FTP.
Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas
y anlisis de protocolos, podrn utilizarse la heurstica o los anlisis de comportamiento para determinar la
identidad de la aplicacin.
Cuando se identifica la aplicacin, la comprobacin de la poltica determina cmo tratar la aplicacin: por
ejemplo, bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada
de archivos y patrones de datos o moldearla utilizando QoS.
304
App-ID
App-ID

Palo Alto Networks proporciona actualizaciones semanales de App-ID para identificar nuevas aplicaciones. De
manera predeterminada, App-ID siempre est habilitado en el cortafuegos y no necesita habilitar una serie de
firmas para identificar aplicaciones conocidas. Normalmente, las nicas aplicaciones clasificadas como trfico
desconocido (tcp, udp o tcp no sincronizado) en el ACC y los logs de trfico son aplicaciones disponibles
comercialmente que todava no se han aadido a App-ID, aplicaciones internas o personalizadas de su red o
posibles amenazas.
En ocasiones, el cortafuegos puede determinar que una aplicacin es desconocida por los siguientes motivos:
Datos incompletos: Se establece un protocolo, pero no se ha enviado ningn paquete de datos antes del
tiempo de espera.
Datos insuficientes: Se establece un protocolo seguido por uno o ms paquetes de datos; sin embargo, no se
han intercambiado suficientes paquetes de datos para identificar la aplicacin.
Las siguientes opciones estn disponibles para gestionar aplicaciones desconocidas:
Cree polticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP
desconocido o por una combinacin de zona de origen, zona de destino y direcciones IP.
Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que atraviesan
su red, en el caso de cualquier trfico desconocido, puede registrar una captura de paquetes. Si la captura de
paquetes revela que la aplicacin es una aplicacin comercial, puede enviar esta captura de paquetes a Palo
Alto Networks para que App-ID lo desarrolle. Si es una aplicacin interna, puede crear una App-ID
personalizada y/o definir una poltica de cancelacin de aplicacin.
Cree una App-ID personalizada con una firma y adjntela a una poltica de seguridad, o bien cree una
App-ID personalizada y defina una poltica de cancelacin de aplicacin. Una App-ID personalizada le
permite personalizar la definicin de la aplicacin interna (sus caractersticas, categora y subcategora, riesgo,
puerto y tiempo de espera) y ejercer un control granular de las polticas para reducir al mnimo el rango de
trfico no identificado en su red. La creacin de una App-ID personalizada tambin le permite identificar
correctamente la aplicacin en el ACC y los logs de trfico y resulta de utilidad a la hora de realizar
auditoras/informes de las aplicaciones de su red. En el caso de una aplicacin personalizada, puede
especificar una firma y un patrn que identifiquen de manera exclusiva la aplicacin y la adjunten a una
poltica de seguridad que permita o niegue la aplicacin.
Para recopilar los datos correctos y as crear una firma de aplicacin personalizada, necesitar
comprender bien las capturas de paquetes y cmo se forman los datagramas. Si la firma se crea
de manera demasiado amplia, puede que incluya otro trfico similar de forma accidental; si se
define de manera demasiado reducida, el trfico evadir la deteccin si no coincide exactamente
con el patrn.
Las App-ID personalizadas se almacenan en una base de datos separada del cortafuegos y su
base de datos no se ve afectada por las actualizaciones semanales de App-ID.
Los descifradores de protocolos de aplicaciones admitidos que habilitan el cortafuegos para que
detecte las aplicaciones que puedan estar pasando a travs de un tnel por dentro del protocolo
incluyen los siguientes, segn la actualizacin de contenido 424: HTTP, HTTPS, DNS, FTP,
IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger,
GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin conocido como
CIFS). Adems, con la versin 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha
ampliado para incluir TCP desconocido y UDP desconocido.
App-ID
305
App-ID
De forma alternativa, si desea que el cortafuegos procese la aplicacin personalizada utilizando el mtodo
rpido (la inspeccin de capa 4 en lugar de utilizar App-ID para la inspeccin de capa 7), puede hacer
referencia a la App-ID personalizada en una poltica de cancelacin de aplicacin. Una cancelacin de
aplicacin con una aplicacin personalizada evitar que el motor de App-ID procese la sesin, lo cual es una
inspeccin de capa 7. Por el contrario, obliga a que el cortafuegos gestione la sesin como un cortafuegos
de inspeccin de estado normal en la capa 4, con lo que ahorra tiempo de procesamiento de la aplicacin.
Por ejemplo, si crea una aplicacin personalizada que se activa en el encabezado de un host www.misitioweb.com,
los paquetes se identifican primero como exploracin web y, a continuacin, se identifican con su aplicacin
personalizada (cuya aplicacin principal es exploracin web). Dado que la aplicacin principal es exploracin
web, la aplicacin personalizada se inspecciona como capa 7 y se examina en busca de contenido y
vulnerabilidades.
Si define una cancelacin de aplicacin, el cortafuegos deja de procesar en la capa 4. El nombre de la
aplicacin personalizada se asigna a la sesin para ayudar a identificarla en los logs y no se examina el trfico
en busca de amenazas.
Si desea informacin ms detallada, consulte los siguientes artculos:
Identificacin de aplicaciones desconocidas
Vdeo: Cmo configurar una App-ID personalizada
Custom Application Signatures (en ingls)
306
App-ID
App-ID
Consulte el ACC para obtener la lista de aplicaciones de su red y determine qu aplicaciones permitir o
bloquear. Si est migrando desde un cortafuegos donde defini reglas basadas en puertos, para obtener
una lista de las aplicaciones que se ejecutan en un puerto determinado, busque el nmero de puerto en el
explorador de aplicaciones (Objetos > Aplicaciones) del cortafuegos de Palo Alto Networks o en
Applipedia.
Utilice predeterminado de aplicacin para el Servicio. El cortafuegos compara el puerto utilizado con la lista
de puertos predeterminados para esa aplicacin. Si el puerto utilizado no es un puerto predeterminado
para la aplicacin, el cortafuegos descarta la sesin y registra en el log el mensaje appid policy lookup deny.
Si tiene una aplicacin a la que se accede desde varios puertos y desea limitar los puertos en los que se
utiliza la aplicacin, especifquelo en los objetos Servicio/Grupo de servicios de las polticas.
Utilice filtros de aplicacin para incluir dinmicamente nuevas aplicaciones en reglas de poltica existentes.
Vea un ejemplo.
App-ID
307
App-ID

Cuando cree una poltica para permitir aplicaciones especficas, tambin debe asegurarse de permitir cualquier
otra aplicacin de la que dependa la aplicacin en cuestin. En muchos casos, no tiene que permitir de manera
explcita el acceso a las aplicaciones dependientes para que el trfico fluya, ya que el cortafuegos es capaz de
determinar las dependencias y permitirlas de manera implcita. Esta compatibilidad implcita tambin se aplica
a las aplicaciones personalizadas que se basen en HTTP, SSL, MS-RPC o RTSP. Las aplicaciones para las que el
cortafuegos no pueda determinar las aplicaciones dependientes a tiempo requerirn que permita de manera
explcita las aplicaciones dependientes al definir sus polticas. Puede determinar las dependencias de las
aplicaciones en Applipedia.
La tabla siguiente enumera las aplicaciones para las que el cortafuegos tiene una compatibilidad implcita (segn
la actualizacin de contenido 469).
Tabla: Aplicaciones con compatibilidad implcita
Aplicacin
Admite implcitamente
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
facebook
http, ssl
chat de facebook
jabber
complemento social de facebook
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
good-for-enterprise
http, ssl
308
App-ID
App-ID
Aplicacin
google-cloud-print
http, ssl, jabber
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ssl, http, rtmp
infront
http
instagram
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
panos-global-protect
http
App-ID
309
App-ID
Aplicacin
panos-web-interface
http
pastebin
http
pastebin-posting
http
pinterest
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
twitter
http
whatsapp
http, ssl
xm-radio
rtsp
310
App-ID
App-ID

El cortafuegos de Palo Alto Networks no clasifica el trfico por puerto y protocolo; en lugar de eso, identifica
la aplicacin basndose en sus propiedades y caractersticas de transacciones exclusivas mediante la tecnologa
App-ID. Sin embargo, algunas aplicaciones requieren que el cortafuegos abra pinholes dinmicamente para
establecer la conexin, determinar los parmetros de la sesin y negociar los puertos que se utilizarn para la
transferencia de datos; estas aplicaciones utilizan la carga de la capa de aplicacin para comunicar los puertos
TCP o UDP dinmicos en los que la aplicacin abre conexiones de datos. Para dichas aplicaciones, el
cortafuegos sirve de puerta de enlace de nivel de aplicacin (ALG) y abre un pinhole durante un tiempo limitado
y para transferir exclusivamente datos o trfico de control. El cortafuegos tambin realiza una reescritura de la
NAT de la carga cuando es necesario.
En lo que respecta a la versin 464, el cortafuegos de Palo Alto Networks ofrece compatibilidad NAT ALG
para los siguientes protocolos: FTP, H.225, H.248, MGCP, MySQL, Oracle/SQLNet/TNS, RPC, RTSP, SCCP,
SIP y UNIStim.
Cuando el cortafuegos sirve de ALG para el protocolo de inicio de sesin (SIP), de manera
predeterminada realiza la NAT en la carga y abre pinholes dinmicos para los puertos de medios.
En algunos casos, dependiendo de las aplicaciones del SIP en uso en su entorno, los puntos de
finalizacin del SIP tienen inteligencia de NAT incorporada en sus clientes. En esos casos,
quizs deba deshabilitar la funcin de ALG del SIP para evitar que el cortafuegos modifique las
sesiones de sealizacin. Cuando la ALG del SIP est deshabilitada, si App-ID determina que
una sesin es de tipo SIP, no se traduce la carga y no se abren pinholes dinmicos. Consulte
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP.
App-ID
311
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP
App-ID
Deshabilitacin de la puerta de enlace de nivel de

aplicacin (ALG) SIP
El cortafuegos de Palo Alto Networks utiliza la puerta de enlace de nivel de aplicacin (ALG) del protocolo de
inicio de sesin (SIP) para abrir pinholes dinmicos en el cortafuegos donde la NAT est habilitada. Sin
embargo, algunas aplicaciones (como las de VoIP) tienen inteligencia de NAT incorporada en la aplicacin
cliente. En estos casos, la ALG del SIP del cortafuegos puede interferir en las sesiones de sealizacin y
provocar que la aplicacin cliente deje de funcionar.
Una solucin a este problema es definir una poltica de cancelacin de aplicacin para el SIP, pero utilizar este
enfoque deshabilita la App-ID y la funcin de deteccin de amenazas. Un enfoque mejor es deshabilitar la ALG
del SIP, lo cual no deshabilita la App-ID ni la deteccin de amenazas.
El siguiente procedimiento describe cmo deshabilitar la ALG del SIP.
Deshabilitacin de la ALG del SIP
1.
Seleccione Objetos > Aplicaciones.
2.
Seleccione la aplicacin sip.

Puede escribir sip en el cuadro Bsqueda para ayudar a encontrar la aplicacin sip.
3.
Seleccione Personalizar... para ALG en la seccin Opciones del cuadro de dilogo Aplicacin.
4.
Seleccione la casilla de verificacin Deshabilitar ALG del cuadro de dilogo Aplicacin - sip y haga
clic en ACEPTAR.
5.
Cierre el cuadro de dilogo Aplicacin y compile el cambio.
312
App-ID
El cortafuegos de prxima generacin de Palo Alto Networks protege y defiende su red ante amenazas de
productos y amenazas avanzadas persistentes (APT). Los mecanismos de deteccin con varios elementos del
cortafuegos incluyen un enfoque basado en firmas (IPS/comando y control/antivirus), un enfoque basado en
la heurstica (deteccin de bots), un enfoque basado en Sandbox (WildFire) y un enfoque basado en anlisis con
el protocolo de capa 7 (App-ID).
Las amenazas de productos son exploits que son menos sofisticados y que se detectan y previenen ms
fcilmente con una combinacin de las capacidades de antivirus, antispyware, proteccin contra
vulnerabilidades y filtrado de URL/identificacin de aplicaciones del cortafuegos.
Las amenazas avanzadas son cometidas por cibercriminales organizados o grupos malintencionados que utilizan
vectores de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad intelectual
y datos financieros. Estas amenazas son ms evasivas y requieren mecanismos de supervisin inteligentes para
realizar una investigacin detallada de host y de red en busca de software malintencionado. El cortafuegos de
prxima generacin de Palo Alto Networks, en combinacin con WildFire y Panorama proporciona una
solucin completa que intercepta y detiene la cadena de ataque y ofrece visibilidad para evitar un incumplimiento
de la seguridad en sus infraestructuras de red, incluidas las mviles y las virtualizadas.
Configuracin de polticas y perfiles de seguridad
Prevencin de ataques de fuerza bruta
Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
Habilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas
Uso de consultas de DNS para identificar hosts infectados en la red
Infraestructura de Content Delivery Network para actualizaciones dinmicas
Recursos de prevencin de amenazas
313

Las siguientes secciones ofrecen ejemplos de configuracin de prevencin de amenazas bsica.
Configuracin de filtrado de datos
Para obtener informacin sobre cmo controlar el acceso web como parte de su estrategia de prevencin de
amenazas, consulte Filtrado de URL.
314

A continuacin se describen los pasos necesarios para configurar los Perfiles de seguridad de antivirus,
antispyware y proteccin contra vulnerabilidades.
Todas las firmas antispyware y de proteccin contra vulnerabilidades tienen una accin
predeterminada definida por Palo Alto Networks. Puede ver la accin predeterminada
navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de
seguridad > Proteccin contra vulnerabilidades y, a continuacin, seleccionando un perfil.
Haga clic en la pestaa Excepciones y despus en Mostrar todas las firmas; ver una lista
de las firmas con la accin predeterminada en la columna Accin. Para cambiar la accin
predeterminada, debe crear un nuevo perfil y, a continuacin, crear reglas con una accin no
predeterminada y/o aadir excepciones de firma individuales a Excepciones en el perfil.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de

prevencin de amenazas.
La licencia de prevencin de amenazas rene en una licencia las

funciones de antivirus, antispyware y proteccin contra
vulnerabilidades.
Seleccione Dispositivo > Licencias para verificar que la licencia de
Prevencin de amenazas est instalada y comprobar la fecha de
vencimiento.
Paso 2
Descargue las firmas de amenazas de

antivirus ms recientes.
1.
Seleccione Dispositivo > Actualizaciones dinmicas y haga clic

en Comprobar ahora en la parte inferior de la pgina para
recuperar las firmas ms recientes.
En la columna Acciones, haga clic en Descargar para instalar las

firmas ms recientes de antivirus y de aplicaciones y amenazas.
Paso 3
Programe actualizaciones de firmas.
1.
Desde Dispositivo > Actualizaciones dinmicas, haga clic en el

texto que hay a la derecha de Programacin para recuperar
automticamente las actualizaciones de firmas de Antivirus y
2.
Especifique la frecuencia y sincronizacin de las actualizaciones

y si la actualizacin se descargar e instalar o nicamente se
descargar. Si selecciona nicamente descargar, tendr que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Accin para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar
una compilacin.
3.
(Opcional) Tambin puede introducir un nmero de horas en

el campo Umbral para indicar el tiempo mnimo que debe
tener una firma antes de realizar la descarga. Por ejemplo,
si introduce 10, la firma debe tener al menos 10 horas de
antigedad antes de poder descargarla, independientemente
de la programacin.
4.
En una configuracin de HA, tambin puede hacer clic en la

opcin Sincronizar en el peer para sincronizar la actualizacin
de contenido con el peer de HA tras la descarga/instalacin.
Esto no har que se apliquen los ajustes de programacin al
dispositivo del peer, sino que tendr que configurar la
programacin en cada dispositivo.
315

Recomendaciones para las programaciones de antivirus
La recomendacin general para programar las actualizaciones de firmas de antivirus es realizar una descarga e instalacin
diariamente en el caso de los antivirus y semanalmente para las aplicaciones y vulnerabilidades.
Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Paso 4
Aada los perfiles de seguridad a una

1.
Seleccione Polticas > Seguridad, seleccione la poltica deseada

para modificarla y, a continuacin, haga clic en la pestaa
Acciones.
2.
En Ajuste de perfil, haga clic en el men desplegable junto a

cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos Antivirus, Proteccin contra vulnerabilidades
y Antispyware.
Si no se haba definido ningn perfil de seguridad
anteriormente, seleccione Perfiles en el men
desplegable Tipo de perfil. Ver una lista de opciones
para seleccionar los perfiles de seguridad.
Paso 5
316
Configuracin de filtrado de datos

A continuacin se describen los pasos necesarios para configurar un perfil de filtrado de datos que detecte los
nmeros de la seguridad social y un patrn identificado en documentos .doc y .docx.
Ejemplo de configuracin de filtrado de datos
Paso 1
Cree un perfil de seguridad de filtrado

de datos.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de datos y haga

clic en Aadir.
2.
Introduzca un Nombre y una Descripcin para el perfil. En este

ejemplo, el nombre es FD_Perfil1 y la descripcin es Deteccin de nmeros
de la seguridad social.
3.
(Opcional) Si quiere recopilar los datos bloqueados por el filtro, marque

la casilla de verificacin Captura de datos.
Debe establecer una contrasea como se describe en el Paso 2 si
est utilizando la funcin de captura de datos.
Paso 2
(Opcional) Proteja el acceso a los logs

de filtrado de datos para evitar que
otros administradores vean datos
confidenciales.
1.
Seleccione Dispositivo > Configuracin > Content-ID.
2.
Haga clic en Gestionar proteccin de datos en la seccin

Caractersticas de ID de contenido.
3.
Establezca la contrasea obligatoria para ver los logs de filtrado de datos.
Cuando habilite esta opcin, se le

pedir la contrasea cuando visualice
logs en Supervisar > Logs > Filtrado
de datos.
317
Ejemplo de configuracin de filtrado de datos (Continuacin)
Paso 3
Defina el patrn de datos que se usar 1.

en el perfil de filtrado de datos.
En este ejemplo, usaremos la palabra
clave confidencial y estableceremos la
opcin de bsqueda de nmeros de la 2.
seguridad social con guiones (por
ejemplo, 987-654-4320).
3.
Es recomendable establecer los
umbrales apropiados y definir
las palabras clave dentro de los
documentos para reducir los
falsos positivos.
4.
318
Desde la pgina Perfil de filtrado de datos, haga clic en Aadir y

seleccione Nuevo en el men desplegable Patrn de datos. Tambin
puede configurar patrones de datos desde Objetos > Firmas
personalizadas > Patrones de datos.
Para este ejemplo, d a la firma de patrn de datos el nombre Detectar
nmeros de la seguridad social y aada la descripcin Patrn de
datos para detectar nmeros de la seguridad social.
En la seccin Ponderacin de SSN# introduzca 3. Consulte Valores de
peso y umbral para obtener ms informacin.
(Opcional) Tambin puede establecer patrones personalizados que

quedarn sujetos a este perfil. En este caso, especifique un patrn en el
campo Regex de los patrones personalizados y determine una
ponderacin. Puede aadir mltiples expresiones coincidentes al mismo
perfil del patrn de datos. En este ejemplo, crearemos un patrn
personalizado llamado SSN_Personalizado con un patrn
personalizado de confidencial (el patrn distingue entre maysculas y
minsculas) y usaremos una ponderacin de 20. Usamos el trmino
confidencial en este ejemplo porque sabemos que nuestros
documentos de Word de la seguridad social contienen esta palabra, as
que definimos esa concretamente.
Paso 4
Paso 5
Especifique qu aplicaciones se
filtrarn y determine los tipos de
archivo.
1.
Establezca Aplicaciones en Cualquiera. Esto detectar las aplicaciones

compatibles tales como: exploracin web, FTP o SMTP. Si quiere
concretar ms la aplicacin, puede seleccionarla de la lista. Para
aplicaciones como Microsoft Outlook Web App que usan SSL, tendr
que habilitar el descifrado. Asegrese de que comprende el nombre de
cada aplicacin. Por ejemplo, Outlook Web App, que es el nombre de
Microsoft para esta aplicacin, se identifica como la aplicacin
outlook-web en la lista de aplicaciones de PAN-OS. Puede comprobar
los logs de una aplicacin determinada para identificar el nombre
definido en PAN-OS.
2.
Establezca Tipos de archivos como doc y docx para analizar

nicamente archivos doc y docx.
Especifique la direccin del trfico que 1.

se filtrar y los valores de umbral.
Establezca la direccin como Ambos. Se analizarn tanto los archivos

que se cargan como los que se descargan.
2.
Establezca el Umbral de alerta en 35. En este caso, se iniciar una alerta

si hay 5 casos de nmeros de la seguridad social y un caso del trmino
confidencial. La frmula es 5 casos de SSN con una ponderacin
de 3 = 15, ms 1 caso del trmino confidencial con una ponderacin
de 20 = 35.
3.
Establezca el umbral de bloqueo en 50. El archivo se bloquear si hay

50 casos de un SSN o existe el trmino confidencial en el archivo. En
este caso, si el archivo doc contena 1 caso de la palabra confidencial
con una ponderacin de 20 que equivale a 20 hacia el umbral, y el archivo
doc tiene 15 nmeros de la seguridad social con una ponderacin de 3,
equivale a 45. Si suma 20 y 45 obtendr 65, que supera el umbral de
bloqueo de 50.
319
Paso 6
Adjunte el perfil de filtrado de datos a la 1.

regla de seguridad.
2.
Seleccione Polticas > Seguridad y seleccione la regla de poltica de

seguridad a la que aplicar el perfil.
Haga clic en la regla de la poltica de seguridad para modificarla y
despus haga clic en la pestaa Acciones. En el men desplegable
Filtrado de datos, seleccione el nuevo perfil de filtrado de datos que ha
creado y haga clic en Aceptar para guardar. En este ejemplo, el nombre
de la regla de filtrado de datos es FD_Perfil1.
Paso 7
Paso 8
En la prueba debe usar nmeros de la seguridad social reales y cada nmero

debe ser exclusivo. Asimismo, al definir patrones personalizados como
hicimos en este ejemplo con la palabra confidencial, el patrn distingue
Si tiene problemas para conseguir que
entre maysculas y minsculas. Para que la prueba sea sencilla, tal vez prefiera
funcione el filtrado de datos, puede
hacerla usando primero solo un patrn de datos y despus probando los
comprobar el log Filtrado de datos o el
nmeros de la seguridad social.
log Trfico para comprobar la
1. Acceda a un PC cliente en la zona fiable del cortafuegos y enve una
aplicacin que est probando y
solicitud de HTTP para cargar un archivo .doc o .docx que contenga la
asegurarse de que el documento de
informacin exacta que defini para el filtrado.
prueba tiene el nmero adecuado de
2.
Cree un documento de Microsoft Word con una instancia del trmino
instancias de nmeros exclusivos de la
confidencial y cinco nmeros de la seguridad social con guiones.
seguridad social. Por ejemplo, una
aplicacin como Microsoft Outlook
3. Cargue el archivo a un sitio web. Use un sitio HTTP a menos que tenga
Web App puede que se identifique
configurado el descifrado, en cuyo caso puede usar HTTPS.
como exploracin web, pero si observa 4. Seleccione los logs Supervisar > Logs > Filtrado de datos.
los logs, ver que la aplicacin es
5. Localice el log que se corresponda con el archivo que acaba de cargar.
outlook-web. Aumente tambin la
Para ayudar a filtrar los logs, utilice el origen de su PC cliente y el destino
cantidad de nmeros de la seguridad
del servidor web. La columna Accin del log mostrar Restablecer
social o el patrn predeterminado para
ambos. Ahora puede incrementar la cantidad de nmeros de la
asegurarse de que alcanza los umbrales.
seguridad social en el documento para comprobar el umbral de bloqueo.
320
Compruebe la configuracin de
filtrado de datos.

Este ejemplo describe los pasos bsicos necesarios para configurar el bloqueo y el reenvo de archivos. En esta
configuracin, ajustaremos las opciones necesarias para indicar a los usuarios que continen antes de descargar
archivos .exe de los sitios web. Al probar este ejemplo, tenga en cuenta que puede haber otros sistemas entre
usted y el origen que bloquean el contenido.
Paso 1
Paso 2
Paso 3
Cree el perfil de bloqueo de archivos.
Configure las opciones de bloqueo de

archivos.
Aada el perfil de bloqueo de archivos a

1.

2.
Introduzca un nombre para el perfil de bloqueo de archivos, por

ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripcin, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.
1.
Haga clic en Aadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como BloquearEXE.
3.
Establezca las Aplicaciones para el filtrado, por ejemplo

exploracin web.
4.
En Tipos de archivos seleccione exe.
5.
En Direccin seleccione descarga.
6.
En Accin seleccione continuar. Al seleccionar la opcin de

continuar, se mostrar a los usuarios una pgina de respuesta
que les indica que hagan clic en continuar antes de que se
descargue el archivo.
7.
1.

Configuracin de polticas de seguridad bsicas.
2.
Haga clic en la pestaa Acciones en la regla de la poltica.
3.
En la seccin Ajuste de perfil, haga clic en el men desplegable

y seleccione el perfil de bloqueo de archivos que ha configurado.
En este caso, el nombre de perfil es BloquearEXE.
4.
Si no se ha definido ningn perfil de seguridad previamente,

seleccione el men desplegable Tipo de perfil y seleccione Perfiles.
Ver una lista de opciones para seleccionar los perfiles de seguridad.
321
Configuracin de bloqueo de archivos (Continuacin)
Paso 4
Para comprobar su configuracin de bloqueo de archivos, acceda a un PC cliente en la zona fiable del cortafuegos
y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una pgina de
respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones, como
nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una pgina
que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de Bloqueo
de archivos:
Ejemplo: Pgina de respuesta de bloqueo de archivos predeterminada
Paso 5
(Opcional) Defina pginas de respuesta de bloqueo de archivos (Dispositivo > Pginas de respuesta). Esto le
permite ofrecer ms informacin a los usuarios cuando ven una pgina de respuesta. Puede incluir informacin
como la informacin de polticas de empresa e informacin de contacto de un departamento de soporte tcnico.
Cuando crea un perfil de bloqueo de archivos con la accin Continuar o Continuar y reenviar (utilizado
para el reenvo de WildFire), nicamente puede elegir la aplicacin de navegacin web. Si elige cualquier
otra aplicacin, el trfico que coincida con la poltica de seguridad no fluir hacia el cortafuegos debido
al hecho de que los usuarios no vern una pgina que les pregunte si desean continuar. Asimismo, si el
sitio web utiliza HTTPS, necesitar tener instaurada una poltica de descifrado.
Tal vez desee comprobar sus logs para confirmar qu aplicacin se est usando al probar esta caracterstica. Por ejemplo,
si est utilizando Microsoft Sharepoint para descargar archivos, aunque est utilizando un explorador web para acceder al
sitio, la aplicacin en realidad es sharepoint-base o sharepoint-document. Tal vez quiera establecer el tipo de
aplicacin como Cualquiera para probar.
322

Un ataque de fuerza bruta utiliza un gran volumen de solicitudes/respuestas de la misma direccin IP de origen
o destino para introducirse en un sistema. El atacante emplea un mtodo de ensayo y error para adivinar la
respuesta a un reto o una solicitud.
El perfil de proteccin contra vulnerabilidades del cortafuegos incluye firmas para protegerle de ataques de
fuerza bruta. Cada firma tiene un ID, Nombre de amenaza y Gravedad y se activa cuando se registra un patrn.
El patrn especifica las condiciones y el intervalo en los que el trfico se identifica como un ataque de fuerza
bruta; algunas firmas estn asociadas a otra firma secundaria de una gravedad menor que especifica el patrn
con el que debe coincidir. Cuando un patrn coincide con la firma o la firma secundaria, activa la accin
predeterminada de la firma.
Para aplicar la proteccin:
Aada el perfil de vulnerabilidad a una regla de seguridad. Consulte Configuracin de antivirus, antispyware
y proteccin contra vulnerabilidades.
Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas emergentes.
Consulte Gestin de la actualizacin de contenidos.
Firmas y desencadenadores de ataques de fuerza bruta
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta
323
Firmas y desencadenadores de ataques de fuerza bruta

La tabla siguiente enumera algunas firmas para ataques de fuerza bruta y las condiciones que las activan:
ID de firma
Nombre de amenaza
ID de firma secundaria Condiciones de activacin
40001
FTP: Intento de fuerza

bruta en el inicio de
sesin
40000
40003
40004
40005
40006
40007
Frecuencia: 10 veces en 60 segundos

Patrn: La firma secundaria 40000 registra el
mensaje de respuesta de FTP con el cdigo de
error 430 para indicar que se envi un nombre de
usuario o una contrasea no vlido despus del
comando de aprobacin.
DNS: Intento de registro 40002

en cach con replicacin
SMB: Intento de fuerza 31696

bruta en la contrasea de
usuario
LDAP: Intento de fuerza 31706

bruta en el inicio de
sesin de usuario
HTTP: Intento de fuerza 31708

bruta en autenticacin de
usuario
CORREO: Intento de
fuerza bruta en el inicio
de sesin de usuario
31709
Patrn: La firma secundaria 40002 registra un

encabezado de respuesta de DNS con un recuento
de 1 para los campos de registro Pregunta,
Respuesta, Autoridad y Recurso adicional.
Patrn: La firma secundaria 31696 registra el
cdigo de error de respuesta 0x50001 y el cdigo
de error 0xc000006d para cualquier comando smb.
Patrn: La firma secundaria 31706 busca el cdigo
de resultado 49 en un bindResponse(27) de LDAP;
el cdigo de resultado 49 indica credenciales no
vlidas.
de estado HTTP 401 con WWW-Authenticate en el
campo de encabezado de respuesta; el cdigo de
estado 401 indica un fallo de autenticacin.
Patrn: La firma secundaria 31709 funciona en
aplicaciones smtp, pop3 e imap. La condicin de
activacin de cada aplicacin es la siguiente:
smtp: cdigo de respuesta 535
imap: fallo de inicio de sesin/registro
ausente/incorrecto
pop3: ERR en el comando PASS de pop3.
40008
324
Intento de fuerza bruta

en autenticacin de
MySQL
31719

de error 1045 en la etapa mysql clientauth.
ID de firma
Nombre de amenaza
40009

en autenticacin de
Telnet
31732

en autenticacin de
usuario de Microsoft
SQL Server
31753
40010
40011
40012
40013
40014
40015
40016
40017
40018
40019

Patrn: La firma secundaria 31732 busca inicio de
sesin incorrecto en el paquete de respuesta.
Patrn: La firma secundaria 31753 busca Fallo de
inicio de sesin del usuario en el paquete de respuesta.
Intento de fuerza bruta 31754

en autenticacin de
usuario de base de datos
de Postgres

en autenticacin de
de Oracle

en autenticacin de
de Sybase

en autenticacin de
de DB2

en autenticacin de
usuario de SSH
31914

autenticacin de contrasea del usuario en el paquete de
respuesta.
autenticacin de contrasea del usuario en el paquete de
respuesta.
inicio de sesin en el paquete de respuesta.
Patrn: La firma secundaria 31764 busca el punto

de cdigo 0x1219 con cdigo de gravedad 8 y
cdigo de comprobacin de seguridad 0xf.
Patrn: La firma secundaria 31914 recibe una
alerta por cada conexin al servidor SSH.
Intento de inundacin de 31993

solicitudes con el
mtodo INVITE de SIP
VPN: Intento de fuerza 32256

VPN SSL de caja de
PAN
HTTP: Intento de
denegacin de servicio
de Apache
32452
HTTP: Intento de
de IIS
32513
Patrn: La firma secundaria 31993 busca el

mtodo INVITE en sesiones de SIP en las que se
haya invitado a un cliente para que participe en una
llamada.
Patrn: La firma secundaria 32256 busca
x-private-pan-sslvpn: auth-failed en el encabezado de
respuesta HTTP.
Patrn: La firma secundaria busca 32452 que
tenga longitud de contenido pero no incluya
\r\n\r\n en la solicitud.
Patrn: La firma secundaria 32513 busca %3f en la
ruta de uri http con .aspx.
325
ID de firma
Nombre de amenaza
40020
Intento de agotamiento
de nmero de llamadas
de Digium Asterisk
IAX2
32785
MS-RDP: Intento de
conexin a escritorio
remoto de MS
33020
40021
40022
40023
40028
40030
40031
40032
40033
40034
326
Patrn: La firma secundaria 32785 busca el campo

de nmero de llamadas en un mensaje de Asterisk.
Patrn: La firma secundaria 33020 busca la accin
CONNECT en la solicitud de ms-rdp.
HTTP: Intento de fuerza 33435

bruta con fuga de
informacin de
Microsoft ASP.Net
SIP: Intento de solicitud 33592
de registro de SIP
SIP: Ataque de fuerza

bruta en mensaje SIP
Bye
34520

de respuesta 500 y el encabezado de respuesta
contiene \nX-Powered-By: ASP\.NET
Patrn: La firma secundaria 33592 busca el
mtodo REGISTER de SIP que registra la
direccin indicada en el campo de encabezado
Para con un servidor SIP.
Patrn: La firma secundaria 34520 busca la
solicitud SIP BYE que se utiliza para finalizar una
llamada.
HTTP: Ataque de fuerza 34548

NTLM HTTP

bruta con HTTP
prohibido

bruta con herramienta
HOIC
DNS: Ataque de
de fuerza bruta en
consultas ANY
34842
SMB: Vulnerabilidad de 35364

falta de entropa en la
autenticacin NTLM en
SMB de de Microsoft
Windows

de estado HTTP 407 y un fallo de autenticacin
con un servidor proxy de NTLM.
respuesta HTTP 403 que indica que el servidor
est rechazando una solicitud de HTTP vlida.
solicitud de HTTP desde la herramienta de
denegacin distribuida de servicio High Orbit Ion
Cannon (HOIC).
Patrn: La firma secundaria 34842 busca
consultas de registro DNS ANY.
Patrn: La firma secundaria 35364 busca una
solicitud de negociacin de SMB (0x72). Varias
solicitudes en un breve perodo de tiempo podran
indicar un ataque para CVE-2010-0231.
Personalizacin de la accin y las condiciones de activacin para una firma

de fuerza bruta
El cortafuegos incluye dos tipos de firmas de fuerza bruta predefinidas: firma principal y firma secundaria. Una
firma secundaria es una nica incidencia de un patrn de trfico que coincide con la firma. Una firma principal
est asociada a una firma secundaria y se activa cuando se producen varios eventos dentro de un intervalo de
tiempo y coinciden con el patrn de trfico definido en la firma secundaria.
Por lo general, una firma secundaria tiene de manera predeterminada la accin Permitir porque un nico evento
no es indicativo de un ataque. En la mayora de los casos, la accin de una firma secundaria est establecida como
Permitir para que el trfico legtimo no quede bloqueado y no se generen logs de amenaza para eventos que no
sean destacados. Por lo tanto, Palo Alto Networks nicamente le recomienda cambiar la accin predeterminada
despus de haberlo considerado detenidamente.
En la mayora de los casos, la firma de fuerza bruta es un evento destacado debido a su patrn recurrente. Si
desea personalizar la accin de una firma de fuerza bruta, puede realizar una de las siguientes acciones:
Cree una regla para modificar la accin predeterminada para todas las firmas de la categora de fuerza bruta.
Puede definir la accin para permitir, alertar, bloquear, restablecer o descartar el trfico.
Defina una excepcin para una firma especfica. Por ejemplo, puede buscar una CVE y definir una excepcin
para ella.
Para una firma principal, puede modificar tanto las condiciones de activacin como la accin; para una firma
secundaria, solamente puede modificarse la accin.
Para mitigar un ataque de manera eficaz, se recomienda la accin Bloquear direccin IP antes
que la accin Colocar o Restaurar para la mayora de firmas de fuerza bruta.
Personalizacin del umbral y la accin para una firma
Paso 1
Paso 2
Cree un nuevo perfil de proteccin

contra vulnerabilidades.
Cree una regla que defina la accin para

todas las firmas de una categora.
1.
Seleccione Objetos > Perfiles de seguridad > Proteccin de

vulnerabilidades.
2.
Haga clic en Aadir e introduzca un Nombre para el perfil de

proteccin contra vulnerabilidades.
1.
Seleccione Reglas, haga clic en Aadir e introduzca un Nombre

para la regla.
2.
Establezca la Accin. En este ejemplo, est establecida como

Bloquear.
3.
Establezca la Categora como Fuerza bruta.
4.
(Opcional) Si est bloqueando, especifique si desea bloquear el

servidor o el cliente; el valor predeterminado es cualquiera.
5.
Consulte el Paso 3 para personalizar la accin para una firma

especfica.
6.
Consulte el Paso 4 para personalizar el umbral de activacin

para una firma principal.
7.
Haga clic en Aceptar para guardar la regla y el perfil.
327
Paso 3
(Opcional) Personalice la accin para una 1.

firma especfica.
Seleccione Excepciones y haga clic en Mostrar todas las

firmas para buscar la firma que desee modificar.
Para ver todas las firmas de la categora Fuerza bruta, busque
(la categora contiene 'fuerza bruta' ).
2.
Para editar una firma especfica, haga clic en la accin

predeterminada predefinida en la columna Accin.
3.
Establezca la accin como Permitir, Alertar o Bloquear IP.
4.
Si selecciona Bloquear IP, realice estas tareas adicionales:

a. Especifique el Perodo de tiempo (en segundos) despus del
cual activar la accin.
b. En el campo Seguir por, defina si desea bloquear la direccin
IP por Origen de IP o por Origen y destino de IP.
328
5.
6.
Para cada firma modificada, seleccione la casilla de verificacin

de la columna Habilitar.
7.
Paso 4
Personalice las condiciones de activacin 1.

para una firma principal.
Haga clic en
para editar el atributo de tiempo y los criterios
de agregacin para la firma.
Una firma principal que pueda editarse se

marcar con este icono:
.
En este ejemplo, los criterios de bsqueda
fueron la categora Fuerza bruta y
CVE-2008-1447.
2.
Para modificar el umbral de activacin, especifique el Nmero

de resultados por x segundos.
3.
Especifique si desea agregar el nmero de resultados por

Origen, Destino u Origen y destino.
Paso 5
Aada este nuevo perfil a una regla de

seguridad.
Paso 6
Guarde sus cambios.
4.
1.
329
Prcticas recomendadas para proteger su red ante

evasiones de capa 4 y capa 7
Para supervisar y proteger su red de la mayora de ataques de capa 4 y capa 7, aqu tiene un par de recomendaciones.
Actualice a la ltima versin del software PAN-OS y la ltima versin de publicacin de contenido para
asegurarse de que tiene las ltimas actualizaciones de seguridad. Consulte Gestin de la actualizacin de
contenidos y Instalacin de actualizaciones de software.
Para servidores web, cree una poltica de seguridad para que solo se permitan los protocolos que admite el
servidor. Por ejemplo, garantice que solo se permite el trfico HTTP a un servidor web. Si ha definido una
poltica de anulacin de aplicaciones para una aplicacin personalizada, asegrese de restringir el acceso a
una zona de origen especfica o un conjunto de direcciones IP.
Adjunte los siguientes perfiles de seguridad a sus polticas de seguridad para proporcionar una proteccin
basada en firmas.
Cree un perfil de proteccin contra vulnerabilidades para bloquear todas las vulnerabilidades con
gravedad baja y alta.
Cree un perfil de antispyware para bloquear todo el spyware.
Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
Bloquee todas las aplicaciones o trfico desconocidos mediante la poltica de seguridad. Normalmente, las
nicas aplicaciones clasificadas como trfico desconocido son aplicaciones internas o personalizadas de su
red, o posibles amenazas. Dado que el trfico desconocido puede ser una aplicacin no compatible, un
protocolo anormal o una aplicacin conocida que utiliza puertos no estndar, el trfico desconocido se
debe bloquear. Consulte Gestin de aplicaciones personalizadas o desconocidas.
Cree un perfil de bloqueo de archivos que bloquee tipos de archivos Portable Executable (PE) para trfico
de SMB (bloqueo de mensajes del servidor) basado en Internet para que no pase de las zonas fiables a las
no fiables (aplicaciones ms-ds-smb).
Para lograr una proteccin adicional, cree una poltica antivirus para detectar y bloquear los archivos DLL
malintencionados conocidos.
330
Cree un perfil de proteccin de zona configurado para ofrecer proteccin frente a los ataques basados en
paquetes.
Quite las marcas de tiempo de TCP de los paquetes SYN para que el cortafuegos pueda reenviar los
paquetes. Si quita la opcin de marca de tiempo de TCP de un paquete SYN, la pila TCP de ambos
extremos de la conexin TCP no admite las marcas de tiempo de TCP. Por lo tanto, mediante la
deshabilitacin de la marca de tiempo de TCP de un paquete SYN, puede evitar un ataque que utilice
distintas marcas de tiempo en varios paquetes para el mismo nmero de secuencia.
Descarte los paquetes mal formados.
Descarte segmentos de TCP no coincidentes y superpuestos. Al establecer deliberadamente conexiones

con datos superpuestos, pero diferentes, los atacantes pueden intentar conseguir una interpretacin
equivocada de la intencin de la conexin. Esto puede utilizarse para inducir deliberadamente falsos
positivos o falsos negativos. Un atacante puede utilizar la replicacin de IP y la prediccin de nmeros
de secuencia para interceptar la conexin de un usuario e introducir sus propios datos en la conexin.
PAN-OS utiliza este campo para descartar dichas tramas con datos no coincidentes y superpuestos. Los
casos en los que el segmento recibido se descarta son aquellos en los que el segmento recibido se incluye
en otro segmento, el segmento recibido se superpone en parte de otro segmento o el segmento contiene
por completo otro segmento.
Verifique que est habilitada la compatibilidad con IPv6 si ha configurado direcciones IPv6 en sus hosts de
red. (Red > Interfaces > Ethernet > IPv6)
Esto permite acceder a hosts IPv6 y filtra los paquetes IPv6 que estn resumidos en paquetes IPv4. Al
habilitar la compatibilidad con IPv6 se evita que las direcciones de multidifusin IPv6 sobre IPv4 se
aprovechen para el reconocimiento de red.
Habilite la compatibilidad con trfico de multidifusin para que el cortafuegos pueda aplicar la poltica
sobre trfico de multidifusin. (Red > Enrutador virtual > Multidifusin)
Habilite el siguiente comando de la CLI para borrar la marca de bit URG en el encabezado TCP y
desautorice el procesamiento de paquetes fuera de banda.
El puntero de urgencia en el encabezado TCP se utiliza para promover un paquete para su procesamiento
inmediato retirndolo de la cola de procesamiento y envindolo a travs de la pila TCP/IP en el host. Este
proceso se denomina procesamiento fuera de banda. Debido a que la implementacin del puntero de
urgencia vara segn el host, para eliminar la ambigedad, utilice el siguiente comando de la CLI para
desautorizar el procesamiento fuera de banda; el byte fuera de banda en la carga se convierte en parte de la
carga y el paquete no se procesa con urgencia. Al hacer este cambio, elimina la ambigedad del modo de
procesamiento del paquete en el cortafuegos y en el host, y el cortafuegos ve exactamente el mismo flujo
en la pila de protocolos como el host al que se destina el paquete.
set deviceconfig setting tcp urgent-data clear
Si configura el cortafuegos para quitar la marca de bit URG y el paquete no tiene ninguna otra marca en el
encabezado TCP, utilice el siguiente comando de la CLI para configurar el cortafuegos para que descarte
los paquetes sin marcas:
set deviceconfig setting tcp drop-zero-flag yes
Habilite el siguiente comando de la CLI para deshabilitar bypass-exceed-queue.

La derivacin de cola excedente es obligatoria para los paquetes que no funcionan. Esta situacin es ms
comn en un entorno asimtrico en el que el cortafuegos recibe paquetes que no funcionan. Para la
identificacin de determinadas aplicaciones (App-ID), el cortafuegos realiza un anlisis heurstico. Si los
paquetes se reciben sin que funcionen, los datos deben copiarse en una cola para realizar el anlisis para la
aplicacin.
set deviceconfig setting application bypass-exceed-queue no
331
Habilite los siguientes comandos de la CLI para deshabilitar la inspeccin de paquetes cuando se alcance el
lmite de paquetes que no funcionan. El cortafuegos de Palo Alto Networks puede recopilar hasta 32
paquetes que no funcionan por sesin. Este contador identifica si los paquetes han superado el lmite de
32 paquetes. Cuando el ajuste de derivacin se establece como no, el dispositivo descarta los paquetes que
no funcionan que superan el lmite de 32 paquetes. Es necesario confirmar.
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd tcp-bypass-exceed-queue no
set deviceconfig setting ctd udp-bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para comprobar la marca de tiempo de TCP. La marca de
tiempo de TCP registra cundo se envi el segmento y permite que el cortafuegos verifique si la marca de
tiempo es vlida para esa sesin. Los paquetes con marcas de tiempo no vlidas se descartan si esta
configuracin est habilitada.
set deviceconfig setting tcp check-timestamp-option yes
332
Prevencin de amenazasHabilitacin de la recopilacin de DNS pasivo para mejorar la inteligencia contra amenazas
Habilitacin de la recopilacin de DNS pasivo para mejorar

la inteligencia contra amenazas
El DNS pasivo es una funcin opcional que permite al cortafuegos actuar como un sensor de DNS pasivo y
enviar la informacin de DNS seleccionada a Palo Alto Networks para que sea analizada y poder mejorar as las
funciones de inteligencia y prevencin de amenazas. Los datos recopilados incluyen consultas DNS no
recursivas (es decir, con origen en la resolucin recursiva local, no en clientes individuales) y cargas de paquetes
de respuesta. Los datos enviados mediante la funcin de supervisin de DNS pasivo se componen solamente
de asignaciones de nombres de dominio a direcciones IP. Palo Alto Networks no conserva ningn registro del
origen de estos datos y no tiene ninguna posibilidad de asociarlos al remitente en el futuro.
El equipo de investigacin de amenazas de Palo Alto Networks usa esta informacin para conocer mejor el
funcionamiento de la propagacin de malware y las tcnicas de evasin que se aprovechan del sistema DNS. La
informacin recopilada a travs de estos datos se usa para mejorar la precisin y la capacidad para detectar
software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB URL filtering), las firmas de
comando y control basadas en DNS y WildFire.
Las respuestas de DNS solo se reenvan a Palo Alto Networks y solo se producen cuando se cumplen los
siguientes requisitos:
El bit de respuesta de DNS se ha establecido
El bit truncado de DNS no se ha establecido
El bit recursivo de DNS no se ha establecido
El cdigo de respuesta de DNS es 0 o 3 (NX)
El recuento de preguntas de DNS es superior a 0
El recuento de RR de respuestas de DNS es superior a 0 o, si es 0, las marcas deben ser 3 (NX)
El tipo de registro de consulta de DNS es A, NS, CNAME, AAAA, MX
La supervisin de DNS pasivo est deshabilitada de forma predeterminada, pero se recomienda habilitarla para
facilitar la mejora de la inteligencia contra amenazas. Utilice el siguiente procedimiento para habilitar el DNS
pasivo:
Habilitacin del DNS pasivo
1.
Seleccione Objetos > Perfiles de seguridad > Antispyware.
2.
Seleccione un perfil existente para modificarlo o configure un perfil nuevo.

El perfil de antispyware se debe adjuntar a una poltica de seguridad aplicable al trfico de
DNS externo del servidor DNS.
3.
Seleccione la pestaa Firmas DNS y haga clic en la casilla de verificacin Habilitar supervisin
de DNS pasivo.
4.
Haga clic en Aceptar y, a continuacin, en Confirmar.
333
Uso de consultas de DNS para identificar hosts infectados

en la red
La accin DNS sinkhole de los perfiles de antispyware permite que el cortafuegos genere una respuesta errnea
a una consulta de DNS para un dominio malintencionado conocido, lo que hace que el nombre de dominio
malintencionado se resuelva como la direccin IP que defina. Esto permite identificar los hosts de su red que
han sido infectados con malware. En los siguientes temas se describe la accin DNS sinkhole y se proporcionan
instrucciones para habilitarla y supervisar los logs para identificar los hosts infectados.
Sinkholing de DNS
Configuracin de sinkholing de DNS
Identificacin de hosts infectados
334
Sinkholing de DNS
La funcin de sinkholing de DNS facilita la identificacin de hosts infectados en la red protegida mediante
trfico DNS en situaciones en las que el cortafuegos no puede ver la consulta de DNS del cliente infectado (es
decir, el cortafuegos no puede ver el originador de la consulta de DNS). En una implementacin tpica, donde
el cortafuegos est antes del servidor DNS local, el log de amenazas identificar la resolucin DNS local como
el origen del trfico en lugar del host infectado. Las consultas de DNS de malware de sinkholing resuelven este
problema de visibilidad generando respuestas errneas a las consultas de host de cliente dirigidas a dominios
malintencionados, de modo que los clientes que intenten conectarse a dominios malintencionados (mediante
comando y control, por ejemplo) intenten conectarse en su lugar a una direccin IP sinkhole que defina, como
se describe en Configuracin de sinkholing de DNS. Los hosts infectados pueden identificarse fcilmente en
los logs de trfico porque cualquier host que intente conectarse a la direccin IP sinkhole est infectado casi con
toda seguridad con malware.
Ilustracin: Ejemplo de sinkholing de DNS
Servidor
DNS pblico
Servidor
hacker
1. Un botnet en el host de cliente 192.168.2.10 enva

una consulta DNS para un servidor hacker (dominio
malintencionado).
2. El servidor DNS interno retransmite la solicitud a
travs del cortafuegos al servidor DNS pblico.
3. La firma DNS del cortafuegos detecta la solicitud del
dominio malintencionado y genera la respuesta DNS
con la direccin de sinkhole IPv4 10.15.0.20 y IPv6
fd97:3dec:4d27:e37c:5:5:5:5.
4. A continuacin, el botnet intenta comunicarse con el
servidor hacker, pero en vez de eso realiza el envo a
la direccin IP de sinkhole.
5. La sesin atraviesa el cortafuegos desde el usuario
hasta la direccin de sinkhole.
6. A continuacin, el administrador de seguridad puede
identificar a todos los hosts de cliente que tratan de
comunicarse con la direccin IP de sinkhole buscando
la direccin IP de sinkhole en los logs de amenazas y
trfico.
7. Luego el departamento de soporte tcnico elimina el
botnet de todos los hosts infectados.
Nota: Los hosts de cliente y la direccin IP de sinkhole
deben estar en zonas diferentes para que las
sesiones atraviesen el cortafuegos. La direccin IP
de sinkhole no tiene que ser un host activo,
simplemente una direccin IP no utilizada.
Enrutador
Zona no
fiable
Cortafuegos
Zona de sinkhole
Direccin IP de sinkhole
IPv4 - 10.15.0.20
IPv6fd97:3dec:4d27:e37c:5:5:5:5.
Zona
fiable
Conmutador
Servidor
DNS interno
Escritorio
192.168.2.10
335

Para habilitar el sinkholing de DNS, debe habilitar la accin en un perfil de antispyware y adjuntar el perfil a una
regla de seguridad. Cuando un host de cliente intenta acceder a un dominio malintencionado, el cortafuegos
falsifica la direccin IP de destino del paquete mediante la direccin IP configurada como la direccin de
sinkhole de DNS.
Paso 1
Obtenga una direccin IPv4 y una

direccin IPv6 para utilizarlas como las
direcciones IP de sinkhole.
Para los siguientes pasos de configuracin, se utilizan las siguientes

direcciones de sinkhole de DNS de ejemplo:
Direccin de sinkhole de DNS IPv4: 10.15.0.20

La direccin de sinkhole de DNS debe
Direccin de sinkhole de DNS IPv6: fd97:3dec:4d27:e37c:5:5:5:5
estar una zona distinta de la de los hosts
de cliente para garantizar que cuando un
host infectado intentar iniciar una sesin
con la direccin IP de sinkhole, se
enrutar a travs del cortafuegos. Las
direcciones IPv4 y IPv6 son necesarias
porque el software malintencionado
puede realizar consultas de DNS
mediante uno o ambos protocolos.
Estas direcciones de sinkhole se
deben reservar con este fin y no es
necesario asignarlas a un host
fsico. Adems, puede utilizar un
servidor honey-pot (trampa)
como host fsico para analizar ms
detenidamente el trfico
malintencionado.
336
Configuracin de sinkholing de DNS (Continuacin)
Paso 2
Configure la interfaz de sinkhole y la

zona.
1.
2.
El trfico de la zona en la que se
encuentran los hosts de cliente se debe
3.
enrutar a la zona en la que se ha definido
la direccin IP de sinkhole para que se
registre el trfico.
Seleccione Red > Interfaces y seleccione una interfaz para

configurarla como la interfaz de sinkhole.
En la lista desplegable Tipo de interfaz, seleccione Capa3.
Para aadir una direccin IPv4, seleccione la pestaa IPv4,
seleccione Esttico y, a continuacin, haga clic en Aadir. En
este ejemplo, 192.168.2.0/24 es la direccin de sinkhole de DNS
IPv4.
Utilice una zona especfica para el 4.

trfico de sinkhole, ya que el host
infectado enviar trfico a esta
zona.
5.
Seleccione la pestaa IPv6, haga clic en Esttico y, a

continuacin, haga clic en Aadir y especifique una direccin
IPv6 y una mscara de subred. En este ejemplo,
fd97:3dec:4d27:e37c::/64 es la direccin de sinkhole IPv6.
6.
Para aadir una zona para sinkhole, seleccione Red > Zonas y
haga clic en Aadir.
7.
Especifique un Nombre para la zona.
8.
En la lista desplegable Tipo, seleccione Capa3.
9.
En la seccin Interfaces, haga clic en Aadir y aada la interfaz

que ha configurado.
Haga clic en Aceptar para guardar.
10. Haga clic en ACEPTAR.

Paso 3
Habilite el sinkholing de DNS en el perfil 1.

de antispyware.
2.
Seleccione Objetos > Perfiles de seguridad > Antispyware.

Modifique un perfil existente o seleccione uno de los perfiles
predeterminados existentes y duplquelo.
3.
Asigne un Nombre al perfil y, a continuacin, seleccione la

pestaa Firmas DNS.
4.
En la lista desplegable Accin para consultas de DNS,

seleccione sinkhole.
5.
En el campo Sinkhole IPv4, especifique la direccin de sinkhole

IPv4 que ha configurado en el Paso 2 (10.15.0.20 en este
ejemplo).
6.
En el campo Sinkhole IPv6, especifique la direccin de sinkhole

IPv6 que ha configurado en el Paso 2
(fd97:3dec:4d27:e37c:5:5:5:5 en este ejemplo).
La direccin de sinkhole predeterminada es la direccin
de bucle invertido (127.0.0.1 para IPv4 y ::1 para IPv6).
7.
(Opcional) En la lista desplegable Captura de paquetes,

seleccione Paquete nico o Captura extendida. La opcin de
paquete nico captura el primer paquete de la sesin y la opcin
de captura extendida se puede establecer en 1-50 paquetes. Las
capturas de paquetes se pueden utilizar a continuacin para un
anlisis ms detallado.
8.
337
Paso 4
Edite la regla de la poltica de seguridad 1.

que permite el trfico de los hosts de
2.
cliente de la zona de confianza a la zona
que no es de confianza para incluir la zona
3.
de sinkhole como un destino y adjuntar el
perfil de antispyware.
Para asegurarse de identificar el trfico de 4.
los hosts infectados, realice estos cambios
en las reglas de seguridad que permiten el
trfico de los hosts de cliente de la zona de
confianza a la zona que no es de
confianza. Al aadir la zona de sinkhole
5.
como un destino en la regla, permite que
los clientes infectados enven consultas de
6.
DNS falsas al sinkhole de DNS.
Paso 5
1.
Para asegurarse de poder identificar los
hosts infectados, compruebe si el trfico
desde el host de cliente de la zona de
confianza hasta la nueva zona de sinkhole
se est registrando.
En este ejemplo, el cliente de host
infectado es 192.168.2.10 y la direccin
IPv4 de sinkhole es 10.15.0.20.

Seleccione una regla existente que permita el trfico de la zona
del host de cliente a la zona que no es de confianza.
En la pestaa Destino, seleccione Aadir para aadir la zona de
sinkhole. Esto permite que el trfico del host de cliente fluya
hasta la zona de sinkhole.
En la pestaa Acciones, seleccione la casilla de verificacin Log
al iniciar sesin para habilitar el registro de logs. De este modo,
garantiza que el trfico de los hosts de cliente de la zona de
confianza se registre al acceder a las zonas que no son de
confianza o de sinkhole.
En la seccin Ajuste de perfil, seleccione el perfil de
Antispyware en el que ha habilitado el sinkholing de DNS.
Haga clic en Aceptar para guardar la regla de seguridad y, a
continuacin, en Confirmar.
En un host de cliente de la zona de confianza, abra un smbolo
del sistema y ejecute el siguiente comando:
C:\>ping <direccin de sinkhole>
La salida del siguiente ejemplo muestra la solicitud de ping a la

direccin de sinkhole de DNS en 10.15.0.2 y el resultado, que es
Request timed out debido a que en este ejemplo la direccin
IP de sinkhole no se ha asignado a un host fsico:
C:\>ping 10.15.0.20
Pinging 10.15.0.20 with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 10.15.0.20:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
2.
En el cortafuegos, seleccione Supervisar > Logs > Trfico y

busque la entrada de log con el origen 192.168.2.10 y el destino
10.15.0.20. Esto confirma que el trfico para la direccin IP de
sinkhole atraviesa las zonas del cortafuegos.
Puede buscar o filtrar los logs y mostrar solo los logs con
el destino 10.15.0.20. Para ello, haga clic en la direccin
IP (10.15.0.20) en la columna Destino, lo que aadir el
filtro (addr.dst en 10.15.0.20) al campo de bsqueda.
Haga clic en el icono Aplicar filtro a la derecha del
campo de bsqueda para aplicar el filtro.
338
Paso 6
Identifique un dominio malintencionado Para buscar un dominio malintencionado para su anlisis:

que pueda utilizar para comprobar si la
1. Seleccione Dispositivo > Actualizaciones dinmicas y, en la
funcionalidad del sinkhole de DNS se ha
seccin Antivirus, haga clic en el enlace Notas de versin para
configurado correctamente.
la base de datos de antivirus actual instalada. Adems, puede
encontrar las notas de la versin de los antivirus en el sitio de
Debe probar esta funcin mediante un
asistencia tcnica en Actualizaciones dinmicas. En la mayora
dominio malintencionado incluido en la
de los casos, la actualizacin de las firmas es una actualizacin
base de datos de firmas de antivirus actual
incremental, por lo que solo se incluyen los nuevos virus y
del cortafuegos. Las firmas DNS
firmas DNS. Hay muchas firmas de antivirus y firmas DNS ya
utilizadas para identificar dominios
instaladas en el cortafuegos.
malintencionados son solo una parte de la
base de datos de firmas de antivirus
completa, la cual contiene cientos de
miles de firmas.
2.
En la segunda columna de las notas de la versin, busque un

elemento de lnea con una extensin de dominio (por ejemplo,
com, edu, o net). En la columna de la izquierda se muestra el
nombre del dominio. Por ejemplo, en la versin de antivirus
1117-1560, hay un elemento en la columna de la izquierda
llamado tbsbana y en la columna de la derecha se muestra
net.
A continuacin se muestra el contenido de las notas de la
versin para este elemento de lnea:
conficker:tbsbana1 variants: net
Dado que este dominio se muestra en la base de datos actual,

funcionar para el anlisis.
Paso 7
Pruebe la accin sinkhole.
1.
Es similar a la accin que se realizara si el 2.

host de cliente estuviera infectado y la
aplicacin malintencionada estuviera
intentando acceder a un servidor hacker
mediante consultas de DNS.
En el host de cliente, abra un smbolo del sistema.

Realice la accin NSLOOKUP para una direccin URL
identificada como un dominio malintencionado conocido en el
Paso 6.
Por ejemplo, si se usa la direccin URL track.bidtrk.com:
C:\>nslookup track.bidtrk.com
Server: my-local-dns.local
Address: 10.0.0.222
Non-authoritative answer:
Name: track.bidtrk.com.org
Addresses: fd97:3dec:4d27:e37c:5:5:5:5
10.15.0.20
En la salida, observe que la accin NSLOOKUP para el

dominio malintencionado se ha falsificado mediante las
direcciones IP de sinkhole configuradas (10.15.0.20). Dado que
el dominio coincide con una firma DNS malintencionada, se
realiza la accin sinkhole.
3.
Seleccione Supervisar > Logs > Amenaza y busque la entrada

de log de amenaza correspondiente para comprobar si se ha
realizado la accin correcta en la solicitud NSLOOKUP.
4.
Haga ping a track.bidtrk.com, lo que genera trfico de red

para la direccin de sinkhole.
339
Identificacin de hosts infectados

Despus de configurar la funcin de sinkholing de DNS y comprobar si el trfico para un dominio
malintencionado se dirige a la direccin de sinkhole, debe supervisar regularmente el trfico para la direccin
de sinkhole para poder hacer un seguimiento de los hosts infectados y eliminar la amenaza.
Verificacin y generacin de informes de sinkhole de DNS
Paso 1
Utilice Appscope para identificar los

hosts de cliente infectados.
1.
Seleccione Supervisar > Appscope y seleccione Supervisor de

amenazas.
2.
Haga clic en el botn Mostrar spyware de la parte superior de

la pgina mostrada.
3.
Seleccione un intervalo de tiempo.

En la siguiente captura de pantalla se muestran tres casos de
consultas de DNS sospechosas, generadas cuando el host de
cliente de prueba realiz una accin NSLOOKUP en un
dominio malintencionado conocido. Haga clic en el grfico para
ver ms detalles del evento.
340
Verificacin y generacin de informes de sinkhole de DNS (Continuacin)
Paso 2
Configure un informe personalizado para 1.

identificar todos los hosts de cliente que 2.
envan trfico a la direccin IP de
3.
sinkhole, que es 10.15.0.20 en este
ejemplo.
Reenve la informacin a un
gestor de SNMP, a un servidor
Syslog o a Panorama para habilitar
las alertas para estos eventos.
En este ejemplo, el host de cliente
infectado realiza una accin
NSLOOKUP para un dominio
malintencionado conocido incluido en la
base de datos de firmas DNS de Palo Alto
Networks. A continuacin, la consulta se
enva al servidor DNS local, el cual
reenva la solicitud a travs del
cortafuegos a un servidor DNS externo.
La poltica de seguridad del cortafuegos
con el perfil de antispyware configurado
coincide con la consulta enviada a la base
de datos de firmas DNS, la cual falsifica a
continuacin la respuesta mediante la
direccin de sinkhole de 10.15.0.20 y
fd97:3dec:4d27:e37c:5:5:5:5. El cliente
intenta iniciar una sesin y el log de trfico
registra la actividad con el host de origen
y la direccin de destino, que se dirige a la
direccin de sinkhole falsa.
La visualizacin del log de trfico en el
cortafuegos permite identificar cualquier
host de cliente que enve trfico a la
direccin de sinkhole. En este ejemplo,
los logs muestran que la direccin de
origen 192.168.2.10 ha enviado la
4.
consulta de DNS malintencionada. A
continuacin, el host se puede buscar y
limpiar. Sin la opcin de sinkhole de DNS,
el administrador solo vera el servidor
DNS local como el sistema que ha
realizado la consulta y no vera el host de
cliente infectado. Si intenta ejecutar un
informe en el log de amenazas mediante la
accin sinkhole, el log muestra el
servidor DNS local, pero no el host
5.
infectado.
Seleccione Supervisar > Gestionar informes personalizados.

Haga clic en Aadir y asigne un Nombre al informe.
Defina un informe personalizado que capture el trfico para la
direccin de sinkhole del modo siguiente:
Base de datos: seleccione Registro de trfico.
Programado: habilite Programado para que el informe se
ejecute cada noche.
Perodo de tiempo: 30 das.
Columnas seleccionadas: seleccione Direccin de origen o
Usuario de origen (si ha configurado User-ID) para
identificar el host de cliente infectado en el informe y
seleccione Direccin de destino, la cual ser la direccin de
sinkhole.
En la seccin de la parte inferior de la pantalla, cree una
consulta personalizada para el trfico de la direccin de
sinkhole (10.15.0.20 en este ejemplo). Puede especificar la
direccin de destino en la ventana Generador de consultas
(addr.dst en 10.15.0.20) o seleccionar lo siguiente en cada
columna y hacer clic en Aadir: Connector = and, Attribute =
Destination Address, Operator = in y Value = 10.15.0.20.
Haga clic en Aadir para aadir la consulta.
Haga clic en Ejecutar ahora para ejecutar el informe. El

informe muestra todos los hosts de cliente que han enviado
trfico a la direccin de sinkhole, lo que indica que es probable
que estn infectados. A continuacin, puede hacer un
seguimiento de los hosts y comprobarlos para detectar spyware.
Para ver los informes programados que se han ejecutado,

seleccione Supervisar > Informes.
341
Infraestructura de Content Delivery Network para

actualizaciones dinmicas
Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red de entrega de
contenidos) para entregar actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos
dispositivos acceden a los recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones
y de ID de contenidos. Para activar y programar las actualizaciones de contenidos, consulte Gestin de la
actualizacin de contenidos.
La siguiente tabla enumera los recursos de Internet a los que accede el cortafuegos para una funcin o
aplicacin:
Recurso
URL
Direcciones estticas (si se requiere un

servidor esttico)
Base de datos de
aplicaciones
updates.paloaltonetworks.com:443
direccin IP 199.167.52.15
Base de datos
amenazas/antivirus
updates.paloaltonetworks.com:443
downloads.paloaltonetworks.com:443
Como prctica recomendada, establezca
el servidor de actualizaciones para que
acceda a updates.paloaltonetworks.com.
De esta forma el dispositivo de Palo Alto
Networks podr recibir actualizaciones
de contenidos desde el servidor que est
ms cercano en la infraestructura de
CDN.
PAN-DB URL Filtering
*.urlcloud.paloaltonetworks.com
Se resuelve como la direccin URL
principal
s0000.urlcloud.paloaltonetworks.com y, a
continuacin, se redirige al servidor
regional ms prximo:
Las direcciones IP estticas no estn

disponibles. No obstante, puede resolver
manualmente una direccin URL como una
direccin IP y permitir el acceso a la direccin
IP del servidor regional.
s0100.urlcloud.paloaltonetworks.com
Filtrado de URL de
BrightCloud
342
database.brightcloud.com:443/80
service.brightcloud.com:80
Pngase en contacto con el Servicio de

atencin al cliente de BrightCloud.
Recurso
URL
Direcciones estticas (si se requiere un

servidor esttico)
WildFire
beta.wildfire.paloaltonetworks.com:
443/80
mail.wildfire.paloaltonetworks.com:25 o la
beta-s1.wildfire.paloaltonetworks.com:
443/80
wildfire.paloaltonetworks.com:443/80 o
54.241.8.199
Solo es posible acceder a los sitios Las direcciones URL/IP regionales son las
siguientes:
Beta por un cortafuegos que est
ejecutando una versin Beta.
ca-s1.wildfire.paloaltonetworks.com:44 o
mail.wildfire.paloaltonetworks.com:25
54.241.34.71
wildfire.paloaltonetworks.com:443/80
va-s1.wildfire.paloaltonetworks.com:443 o
174.129.24.252
eu-s1.wildfire.paloaltonetworks.com:443 o
54.246.95.247
sg-s1.wildfire.paloaltonetworks.com:443 o
54.251.33.241
jp-s1.wildfire.paloaltonetworks.com:443 o
54.238.53.161
portal3.wildfire.paloaltonetworks.com:443/8
0 o 54.241.8.199
ca-s3.wildfire.paloaltonetworks.com:443 o
54.241.34.71
va-s3.wildfire.paloaltonetworks.com:443 o
23.21.208.35
eu-s3.wildfire.paloaltonetworks.com:443 o
54.246.95.247
sg-s3.wildfire.paloaltonetworks.com:443 o
54.251.33.241
jp-s3.wildfire.paloaltonetworks.com:443 o
54.238.53.161
wildfire.paloaltonetworks.com.jp:443/80 o
180.37.183.53
wf1.wildfire.paloaltonetowrks.jp:443 o
180.37.180.37
wf2.wildfire.paloaltonetworks.jp:443 o
180.37.181.18
portal3.wildfire.paloaltonetworks.jp:443/80
o 180.37.183.53
343

Para obtener ms informacin sobre la prevencin de amenazas, consulte las siguientes fuentes:
Creating Custom Threat Signatures (en ingls)
Threat Prevention Deployment (en ingls)
Understanding DoS Protection (en ingls)
Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden identificar,
utilice los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
344
Descifrado
Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el trfico para ofrecer
gran visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo Alto Networks ofrece la
capacidad de aplicar polticas de seguridad al trfico cifrado, que de otra manera no podran bloquearse ni
moldearla de acuerdo con los ajustes de seguridad que ha configurado. Use el descifrado en un cortafuegos para
evitar que entre en su red contenido malicioso o que salga de ella contenido sensible, escondido como trfico
cifrado. La activacin del descifrado en un cortafuegos de Palo Alto Networks puede incluir la preparacin de
claves y certificados necesarios para el descifrado, la creacin de una poltica de descifrado y la configuracin de
un reflejo de puerto de descifrado. Consulte los siguientes temas para saber ms sobre el descifrado y
configurarlo:
Descripcin general del descifrado
Conceptos de descifrado
Configuracin del proxy SSL de reenvo
Configuracin de la inspeccin de entrada SSL
Configuracin del Proxy SSH
Configuracin de excepciones de descifrado
Permisos para que los usuarios excluyan el descifrado SSL
Configuracin del reflejo del puerto de descifrado
Desactivacin temporal del descifrado SSL
Descifrado
345
Descifrado

Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro) se usan
para asegurar el trfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH encapsulan el
trfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto el cliente y el servidor
que cuenten con las claves para descodificar los datos y los certificados, lo que garantiza la confianza entre los
dispositivos. El trfico que se ha cifrado con los protocolos SSL y SSH puede descifrarse para garantizar que
esos protocolos se estn usando nicamente para los fines deseados y no para ocultar una actividad no deseada
o contenido malicioso.
Los cortafuegos de Palo Alto Networks descifran el trfico cifrado mediante claves que transforman las cadenas
(contraseas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin cifrar a texto
cifrado (recifrado del trfico cuando abandone el dispositivo). Los certificados se usan para definir al cortafuegos
como un interlocutor de confianza y crear una conexin segura. El cifrado SSL (tanto en la inspeccin de entrada
como el proxy de reenvo) requiere certificados para establecer la confianza entre dos entidades para asegurar una
conexin SSL/TLS. Los certificados tambin pueden usarse al excluir a los servidores del descifrado SSL. Puede
integrar un mdulo de seguridad de hardware (HSM) con un cortafuegos para permitir una seguridad mejorada
para las claves privadas usadas en el proxy de envo SSL como en el descifrado de inspeccin de entrada SSL. Para
saber ms sobre el almacenamiento y generacin de claves con un HSM e integrar el HSM en su cortafuegos,
consulte Claves seguras con un mdulo de seguridad de hardware. El descifrado SSH no requiere certificados.
El descifrado del cortafuegos de Palo Alto Networks se basa en polticas y puede usarse para descifrar, examinar
y controlar las conexiones SSL y SSH entrantes y salientes. Las polticas de descifrado le permiten especificar el
trfico que se desea descifrar en funcin de la categora de URL, destino u origen para poder bloquear o
restringir el trfico especificado segn sus ajustes de seguridad. El cortafuegos usa certificados y claves para
descifrar el trfico especificado por la poltica al texto normal, y despus aplica App-ID y los ajustes de seguridad
en el trfico de texto normal, incluidos Descifrado, Antivirus, Vulnerabilidades, Antispyware, Filtrado de URL
y perfiles de bloqueo de archivos. Cuando el trfico se haya descifrado y examinado en el cortafuegos, el trfico
de texto sin cifrar se volver a cifrar a medida que salga del cortafuegos para asegurar su privacidad y seguridad.
Use el descifrado basado en polticas en el cortafuegos para conseguir resultados como los siguientes:
Evite que el malware oculto como trfico cifrado se introduzca en una red de su empresa.
Evite que la informacin corporativa sensible salga de la red corporativa.
Asegrese de que las aplicaciones correctas se ejecuten en una red segura.
Descifre el trfico de forma selectiva; por ejemplo, puede excluir del descifrado el trfico de sitios financieros
o sanitarios mediante la configuracin de excepciones de descifrado.
Las tres polticas de descifrado que se ofrecen en el cortafuegos, Proxy SSL de reenvo, Inspeccin de entrada
SSL y Proxy SSH, proporcionan mtodos para detectar y examinar especficamente trfico saliente SSL, trfico
SSL entrante y trfico SSH, respectivamente. Las polticas de descifrado proporcionan los ajustes para que
especifique qu trfico descifrar y qu perfiles de descifrado se pueden seleccionar al crear una poltica con el
objetivo de aplicar ajustes de seguridad ms granulares al trfico descifrado, como por ejemplo para buscar
certificados del servidor, modos no admitidos y fallos. Este descifrado basado en polticas en el cortafuegos le
ofrece visibilidad y controla del trfico cifrado SSL y SSH de acuerdo con parmetros configurables.
Tambin puede optar por extender una configuracin de descifrado en el cortafuegos para incluir el Reflejo del
puerto de descifrado, lo que permite el reenvo de trfico descifrado como texto sin cifrar a una solucin externa
para su anlisis y archivado.
346
Descifrado
Descifrado
Para saber ms sobre las claves y certificados para el descifrado, las polticas de descifrado y el reflejo de los
puertos de descifrado, consulte los siguientes temas:
Polticas de claves y certificados para el descifrado
Proxy SSL de reenvo
Proxy SSH
Excepciones de descifrado
Reflejo del puerto de descifrado
Descifrado
347
Descifrado
Polticas de claves y certificados para el descifrado

Las claves son cadenas de nmeros que suelen generarse mediante una operacin matemtica que incluir
nmeros aleatorios y nmeros primos altos. Las claves se usan para transformar otras cadenas (como
contraseas y secretos compartidos) de texto sin cifrar en texto cifrado (en un proceso llamado cifrado) y texto
cifrado en texto sin cifrar (en el proceso de descifrado). Las claves pueden ser simtricas (se usa la misma clave
para cifrar y descifrar) o asimtricas (se usa una clave para el cifrado y una clave relacionada matemticamente
para el descifrado). Cualquier sistema puede generar una clave.
Los certificados X.509 se usan para establecer la confianza entre un cliente y un servidor para establecer una
conexin SSL. Un cliente que intente autenticar un servidor (o un servidor que autentique un cliente) conoce la
estructura del certificado X.509 y por ello sabe cmo extraer la informacin de identificacin del servidor de
los campos del certificado, como su FQDN o direccin IP (llamados nombre comn o CN en el certificado) o el
nombre de la organizacin, departamento o usuario para el que se emiti el certificado. Todos los certificados
debe emitirlos una entidad de certificacin (CA). Cuando la CA verifica un cliente o servidor, la CA emite el
certificado y lo firma con su clave privada.
Con una poltica de descifrado configurada, la sesin SSL/TLS entre el cliente y el servidor solo se establece si
el cortafuegos confa en la CA que firma el certificado del servidor. Para establecer esa confianza, el cortafuegos
debe tener el certificado de la CA raz del servidor en su lista de certificados de confianza (CTL) y usa la clave
pblica de ese certificado de CA raz para comprobar la firma. A continuacin, el cortafuegos presenta una copia
del certificado del servidor con la firma del certificado de reenvo fiable al cliente para que lo autentique.
Tambin puede configurar el cortafuegos para que utilice una CA de empresa como certificado de reenvo fiable
para el proxy SSL de reenvo. Si el cortafuegos no tiene el certificado de CA de raz del servidor en su CTL,
presentar una copia del certificado de servidor firmado por el certificado de reenvo no fiable al cliente. El
certificado no fiable de reenvo garantiza que a los clientes les aparezca un mensaje con una advertencia de
certificacin cuando intenten acceder a los sitios alojados en un servidor con certificados que no sean de
confianza.
Para obtener ms informacin sobre los certificados, consulte Gestin de certificados.
Para controlar las CA de confianza en las que confa su dispositivo, use la pestaa
Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas en la interfaz web del cortafuegos.
Tabla: Claves y certificados de dispositivos de Palo Alto Networks describe las distintas claves y certificados que
usan los dispositivos de Palo Alto Networks para el descifrado. Una prctica recomendada es utilizar diferentes
claves y certificados para cada uso.
348
Descifrado
Descifrado
Tabla: Claves y certificados de dispositivos de Palo Alto Networks

Descripcin
Reenvo fiable
Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el

sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en
la que confa el cortafuegos. Para configurar un certificado de reenvo fiable en el
cortafuegos, consulte el Paso 2 en la tarea Configuracin del proxy SSL de reenvo. Por
defecto, el cortafuegos determina el tamao de clave que debe usar para el certificado
cliente en funcin del tamao de clave del servidor de destino. Sin embargo, puede
tambin definir un tamao de clave especfico para que use el cortafuegos. Consulte
Configuracin del tamao de clave para los certificados de servidor proxy SSL de
reenvo. Si desea mayor seguridad, almacene el certificado de reenvo fiable en un
mdulo de seguridad de hardware (HSM), consulte Almacenamiento de claves privadas
en un HSM.
Reenvo no fiable
Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el

sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en
la que el cortafuegos NO confa. Para configurar un certificado no fiable de reenvo en
el cortafuegos, consulte el Paso 3 en la tarea Configuracin del proxy SSL de reenvo.
Certificado SSL de exclusin Certificados de servidores que quiere excluir del descifrado SSL/TLS. Por ejemplo, si
ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el

descifrado SSL (por ejemplo, servicios web de sus sistemas de RR. HH.), importe los
correspondientes certificados en el cortafuegos y configrelos como certificados SSL
de exclusin. Consulte Exclusin de un servidor del descifrado.
Descifrado
Certificado que se usa para descifrar el trfico SSL/TLS entrante para su inspeccin y
la aplicacin de polticas. Para esta aplicacin, debe importar el certificado de servidor
para los servidores a los que realiza una inspeccin de entrada SSL o almacenarlos en
un HSM (consulte Almacenamiento de claves privadas en un HSM).
349
Descifrado
Proxy SSL de reenvo

Utilice una poltica de descifrado del proxy SSL de reenvo para descifrar y examinar el trfico SSL/TLS de
usuarios internos a Internet. El descifrado del proxy SSL de reenvo evita que el malware oculto como trfico
cifrado SSL se introduzca en la red de su empresa; por ejemplo, si un empleado est usando su cuenta de Gmail
desde la oficina y abre un archivo adjunto con un virus, el descifrado del proxy SSL de reenvo evitar que el
virus infecte el sistema del cliente y entre en la red de la empresa.
Con el descifrado del proxy SSL de reenvo, el cortafuegos se encuentra entre el cliente interno y el servidor
externo. El cortafuegos usa certificados de reenvo seguro o reenvo no seguro para establecerse como agente
externo de confianza entre el cliente y el servidor (si desea informacin detallada en los certificados, consulte
Polticas de claves y certificados para el descifrado). Cuando el cliente inicia una sesin SSL con el servidor, el
cortafuegos intercepta la solicitud SSL del cliente y la reenva al servidor. El servidor enva un certificado
destinado al cliente, que el cortafuegos intercepta. Si el certificado del servidor est firmado por una entidad CA
en la que el cortafuegos confa, el cortafuegos crear una copia del certificado del servidor firmado con el
certificado de reenvo fiable, y enviar el certificado al cliente para que lo autentique. Si el certificado del servidor
est firmado por una CA en la que el cortafuegos no confa, el cortafuegos crear una copia del certificado del
servidor, lo firmar con el certificado no fiable de reenvo y lo enviar al cliente. En este caso, el cliente ver una
advertencia de pgina bloqueada indicando que el sitio con el que intenta conectar no es fiable, y tendr la opcin
de continuar o terminar la sesin. Cuando el cliente autentique el certificado, la sesin SSL se establecer y el
cortafuegos funcionar como proxy de reenvo fiable hacia el sitio al que est accediendo el cliente.
A medida que el cortafuegos siga recibiendo trfico SSL del servidor que est destinado al cliente, lo descifrar
en un trfico de texto claro y aplicar polticas de seguridad al trfico. A continuacin el trfico se recifrar en
el cortafuegos, que enviar el trfico cifrado al cliente.
Ilustracin: Proxy SSL de reenvo muestra este proceso en detalle.
350
Descifrado
Descifrado
Ilustracin: Proxy SSL de reenvo
Consulte Configuracin del proxy SSL de reenvo si desea ms detalles sobre la configuracin del proxy SSL de
reenvo.
Descifrado
351
Descifrado

Use Inspeccin de entrada SSL para descifrar y examinar el trfico SSL entrante de un cliente a un servidor de
destino (cualquier servidor para el que tenga el certificado y pueda importar en el cortafuegos). Por ejemplo, si
un empleado se ha conectado remotamente a un servidor web alojado en la red de la empresa e intenta agregar
documentos internos restringidos a su carpeta de Dropbox (que usa SSL para la transmisin de datos), se puede
usar la inspeccin de entrada SSL para asegurar que los datos confidenciales no salen de la red segura de la
empresa mediante un bloqueo o restriccin de la sesin.
La configuracin de la inspeccin de entrada SSL incluye la importacin de un certificado y clave del servidor
de destino en el cortafuegos. Como el certificado y la clave del servidor de destino se importan en el cortafuegos,
este puede acceder a la sesin SSL entre el servidor y el cliente y descifran y examinan el trfico de forma
transparente, en lugar de actuar como un proxy. El cortafuegos puede aplicar polticas de seguridad al trfico
descifrado, detectar contenido malicioso y controlar la ejecucin de aplicaciones en este canal seguro.
Ilustracin: Inspeccin de entrada SSL muestra este proceso en detalle.
Ilustracin: Inspeccin de entrada SSL
Consulte Configuracin de la inspeccin de entrada SSL si desea ms detalles sobre la configuracin del proxy
SSL de reenvo.
352
Descifrado
Descifrado
Proxy SSH
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo atraviesan
para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El descifrado SSH no
requiere ningn certificado, y la clave que se usa para el descifrado SSH se genera automticamente al iniciar el
cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya existe una clave. De lo contrario, se
genera una clave. Esta clave se usa para descifrar las sesiones SSH de todos los sistemas virtuales configurados
en el dispositivo. La misma clave se usa para descifrar todas las sesiones SSH v2.
En una configuracin Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el cliente
inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenva al servidor. A continuacin
el cortafuegos intercepta la respuesta del servidor y la reenva al cliente, estableciendo un tnel SSH entre el
cortafuegos y el cliente y un tnel SSH entre el cortafuegos y el servidor, por lo que el cortafuegos funciona
como proxy. A medida que el trfico fluye entre el cliente y el servidor, el cortafuegos puede distinguir si el
trfico SSH se enruta normalmente o si usa un tnel SSH (reenvo de puertos). Las inspecciones de contenido
y amenazas no se realizan en los tneles SSH, sin embargo, si el cortafuegos identifica tneles SSH, el trfico
con tnel SSH se bloquear y restringir de acuerdo con las polticas de seguridad configuradas.
Ilustracin: Descifrado del proxy SSH muestra este proceso en detalle.
Ilustracin: Descifrado del proxy SSH
Consulte Configuracin del Proxy SSH si desea ms detalles sobre la configuracin de una poltica de
proxy SSH.
Descifrado
353
Descifrado
Excepciones de descifrado
Hay trfico que puede excluirse del descifrado mediante criterios de comparacin (con una poltica de
descifrado) o mediante la especificacin del servidor de destino (mediante certificados); mientras que algunas
aplicaciones se excluyen del descifrado por defecto.
Las aplicaciones que no funcionen adecuadamente cuando las descifra el cortafuegos se excluirn
automticamente del descifrado SSL. Las aplicaciones que se excluyen por defecto del descifrado SSL son
aquellas que suelen fallar por el descifrado porque la aplicacin busca detalles especficos en el certificado que
pueden no estar presentes en el certificado generado por el proxy SSL de reenvo. Consulte el artculo de la base
de conocimientos (KB) List of Applications Excluded from SSL Decryption (Lista de aplicaciones excluidas del
cifrado SSL) si desea una lista actualizada de las aplicaciones excluidas por defecto del descifrado SSL en el
cortafuegos.
Puede configurar excepciones de descifrado para ciertas categoras o aplicaciones de URL que pueden no
funcionar adecuadamente cuando el descifrado est activado o por cualquier otro motivo, incluidos los fines
legales o de privacidad. Puede usar una poltica de descifrado para excluir el trfico del descifrado en funcin
del origen, el destino y la categora de URL. Por ejemplo, con el descifrado SSL activado, puede excluir el trfico
que se categoriza como financiero o sanitario del descifrado mediante la seleccin de categora URL.
Tambin puede excluir servidores del descifrado SSL segn el nombre comn (CN) del certificado del servidor.
Por ejemplo, si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL
(por ejemplo, servicios web de sus sistemas de RR. HH.), puede excluir esos servidores del descifrado
importando el certificado del servidor al cortafuegos y modificndolo para que sea un certificado SSL de
exclusin.
Para excluir el trfico del descifrado segn el origen, destino o categora de URL o para excluir el trfico de un
servidor especfico del descifrado, consulte Configuracin de excepciones de descifrado.
354
Descifrado
Descifrado
Reflejo del puerto de descifrado

El reflejo del puerto de descifrado permite crear una copia del trfico descifrado desde un cortafuegos y enviarlo
a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin formato, como
NetWitness o Solera, para su archivado y anlisis. Esta funcin es necesaria para aquellas organizaciones que
necesitan la captura integral de datos con fines forenses o histricos o para prevenir la fuga de datos (DLP). El
reflejo del puerto de descifrado solo est disponible en las plataformas de las series PA-7050, PA-5000 y
PA-3000 y necesita la instalacin de una licencia gratuita para su activacin.
Tenga en cuenta que el descifrado, almacenamiento, inspeccin y uso del trfico SSL est legislado en algunos
pases y puede que sea necesario tener el consentimiento del usuario para poder usar la funcin de reflejo del
puerto de cifrado. Adems, el uso de esta funcin podra hacer que usuarios maliciosos con accesos
administrativos al cortafuegos recopilaran nombres de usuario, contraseas, nmeros de la seguridad social,
nmeros de tarjetas de crdito u otra informacin sensible para enviarla a travs de un canal cifrado. Palo Alto
Networks le recomienda consultar a su asesor corporativo antes de activar y usar esta funcin en un entorno de
produccin.
La Ilustracin: Reflejo del puerto de descifrado muestra el proceso del reflejo del puerto de descifrado y la
seccin Configuracin del reflejo del puerto de descifrado describe como otorgar una licencia a esta funcin y
utilizarla.
Ilustracin: Reflejo del puerto de descifrado
SSL/TLS
SSL/TLS
www.google.com
Texto sin formato
Prevencin de prdida de datos
Descifrado
355
Descifrado

La configuracin del descifrado del Proxy SSL de reenvo en el cortafuegos requiere configurar los certificados
necesarios para el descifrado del proxy SSL de reenvo y crear una poltica de descifrado del proxy SSL de
reenvo. El cortafuegos puede utilizar certificados autofirmados o certificados firmados por una CA de empresa
para realizar el descifrado del proxy SSL de reenvo.
Por defecto, el cortafuegos determina el tamao de clave que debe usar para los certificados
cliente en funcin del tamao de clave del certificado del servidor de destino. Si lo desea, puede
definir un tamao de clave esttica independiente del tamao de clave del certificado del servidor
de destino. Consulte Configuracin del tamao de clave para los certificados de servidor proxy
SSL de reenvo.
Utilice la siguiente tarea para configurar el proxy SSL de reenvo, incluido cmo configurar los certificados y
crear una poltica de descifrado.
Paso 1
356
Asegrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaa Red >
Interfaces > Ethernet. La columna Tipo de interfaz muestra si
estn configuradas como interfaces de
Virtual Wire, capa 2 o capa 3.
una interfaz est configurada para ser una interfaz de Virtual Wire,
Capa 2 o Capa 3. Puede seleccionar una interfaz para modificar su
configuracin, incluido qu tipo de interfaz es.
Descifrado
Descifrado
Configuracin del proxy SSL de reenvo (Continuacin)
Paso 2
Configure el certificado fiable de reenvo. Para usar un certificado autofirmado:

Utilice un certificado autofirmado o un 1. Seleccione Dispositivo > Gestin de certificados >
certificado firmado por una CA de
Certificados.
empresa.
2. Haga clic en Generar en la parte inferior de la ventana.
Uso de certificados autofirmados
3. Introduzca un nombre de certificado, como mi-reenvio-fiable.
Cuando el certificado del servidor al que 4.
se est conectando el cliente est firmado
por una CA incluida en la lista de CA de
confianza del cortafuegos, este firmar
una copia del certificado del servidor con 5.
un certificado fiable de reenvo
6.
autofirmado que deber presentarse al
cliente para su autenticacin. En este
caso, el certificado autofirmado debe
importarse en cada sistema cliente para
que el cliente reconozca el cortafuegos
como una CA de confianza.
7.
Utilice certificados autofirmados para el 8.
descifrado del proxy SSL de reenvo si no
utiliza una CA de empresa o si solamente
9.
debe realizar el descifrado para un
nmero limitado de sistemas cliente (o si
tiene la intencin de utilizar una
implementacin centralizada).
Escriba un Nombre comn, como 192.168.2.1. Debera ser la

direccin IP o el FQDN que aparecer en el certificado. En este
caso estamos usando la IP de la interfaz fiable. Evite usar
espacios en este campo.
Deje en blanco el campo Firmado por.
Haga clic en la casilla de verificacin Autoridad del certificado
para habilitar el cortafuegos para que emita el certificado. Al
seleccionar esta casilla de verificacin, se crea una entidad de
certificacin (CA) en el cortafuegos que se importar a los
exploradores de los clientes, de modo que los clientes confen en
el cortafuegos como CA.
Haga clic en Generar para generar el certificado.
Haga clic en nuevo certificado my-fwd-trust para modificarlo y
activar la opcin Reenviar certificado fiable.
Exporte el certificado fiable de reenvo para importarlo en
sistemas cliente resaltando el certificado y haciendo clic en
Exportar en la parte inferior de la ventana. Elija el formato
PEM y no seleccione la opcin Exportar clave privada. Como
el certificado est autofirmado, imprtelo en la lista de CA raz
de confianza del explorador de los sistemas cliente para que los
clientes confen en l. Al importar en el explorador del cliente,
asegrese de que el certificado se aade al almacn de
certificados de entidades de certificacin raz de confianza. En
sistemas Windows, la ubicacin de importacin predeterminada
es el almacn de certificados personales. Tambin puede
simplificar este proceso utilizando una implementacin
centralizada, como un objeto de directiva de grupo (GPO) de
Active Directory.
Si el certificado fiable de reenvo no se importa en los
sistemas cliente, los usuarios vern advertencias de
certificacin en cada sitio SSL que visiten.
10. Haga clic en Aceptar para guardar.
Descifrado
357
Descifrado
Para usar un certificado firmado por un CA de empresa, genere

una CSR:
Una CA de empresa puede emitir un
1. Seleccione Dispositivo > Gestin de certificados > Certificados
certificado de firma que el cortafuegos
y haga clic en Generar.
puede utilizar para, a continuacin, firmar
los certificados de los sitios que requieran 2. Introduzca un Nombre de certificado, como my-fwd-proxy.
un descifrado SSL. Enve una solicitud de 3. En la lista desplegable Firmado por, seleccione Autoridad
firma de certificado (CSR) para que la CA
externa (CSR).
de empresa lo firme y lo valide. A
4. (Opcional) Si su CA de empresa lo requiere, aada Atributos
continuacin, el cortafuegos podr
del certificado para identificar ms informacin detallada del
utilizar el certificado de CA de empresa
cortafuegos, como el pas o el departamento.
firmado para el descifrado del proxy SSL
de reenvo. Dado que los sistemas cliente 5. Haga clic en ACEPTAR para guardar la CSR. El certificado
pendiente ahora se muestra en la pestaa Certificados de
ya confan en la CA de empresa, con esta
dispositivos.
opcin, no necesita distribuir el
certificado a los sistemas cliente antes de 6. Exporte la CSR:
configurar el descifrado.
a. Seleccione el certificado pendiente que aparece en la pestaa
Con un CA de empresa
b. Haga clic en Exportar para descargar y guardar el archivo del

certificado.
Deje Exportar clave privada sin seleccionar para
garantizar que la clave privada permanezca protegida en
el cortafuegos.
c. Haga clic en ACEPTAR.
d. Proporcione el archivo del certificado a su CA de empresa.
Cuando reciba el certificado de CA de empresa firmado de su
CA de empresa, gurdelo para importarlo en el cortafuegos.
7.
Importe el certificado de CA de empresa firmado en el

cortafuegos:
Certificados y haga clic en Importar.
b. Introduzca el Nombre de certificado pendiente de manera
exacta (en este caso, my-fwd-trust). El Nombre de certificado
que introduzca debe coincidir de manera exacta con el
nombre del certificado pendiente para que este se valide.
c. Seleccione el Archivo del certificado que recibi de su CA de
empresa.
d. Haga clic en ACEPTAR. El certificado se muestra como
vlido con las casillas de verificacin Clave y CA
seleccionadas.
e. Seleccione el certificado validado, en este caso, my-fwd-proxy,
para habilitarlo como Reenviar certificado fiable y utilizarlo
para el descifrado del proxy SSL de reenvo.
f. Haga clic en ACEPTAR.
358
Descifrado
Descifrado
Paso 3
Configure el certificado no fiable de

reenvo.
Con el descifrado del proxy SSL de
reenvo, cuando el sitio al que se est
conectando el cliente utilice un certificado
firmado por una CA que no se encuentre
en la lista de CA de confianza del
cortafuegos, este presentar un
certificado no fiable de reenvo al cliente.
El certificado no fiable de reenvo
garantiza que a los clientes les aparezca un
mensaje con una advertencia de
certificacin cuando intenten acceder a
los sitios alojados en un servidor con
certificados que no sean de confianza.
1.
2.
Introduzca un nombre de certificado, como mi-reenvio-nofiable.
3.
Defina el nombre comn, por ejemplo 192.168.2.1. Deje

Firmado por en blanco.
4.
Haga clic en la casilla de verificacin Autoridad del certificado

para habilitar el cortafuegos para que emita el certificado.
5.
Haga clic en Generar para generar el certificado.
6.
7.
Haga clic en nuevo certificado my-ssl-fw-untrust para modificarlo

y active la opcin Reenviar certificado no fiable.
No exporte el certificado no fiable de reenvo para su
importacin en sistemas cliente. Si el certificado fiable de
reenvo se importa en sistemas cliente, los usuarios no
vern advertencias de certificacin en los sitios SSL con
certificados no fiables.
8.
Paso 4
(Opcional) Define el tamao de clave de 1.

los certificados Proxy SSL de reenvo que
el cortafuegos presenta a los clientes.
Un cambio de tamao de clave
borra la cach de certificados
actual.
Paso 5
(Opcional) Cree un perfil de descifrado.

Seleccione Dispositivo > Configuracin > Sesin y, en la
seccin Configuracin de descifrado, haga clic en
Configuracin de certificados de servidor proxy de reenvo.
2.
Seleccione un Tamao de clave: Definido por el host de

destino (predeterminado), RSA de 1024 bits o RSA de 2048
bits.
1.
Seleccione Objetos > Perfiles de descifrado y haga clic en

Aadir.
Los perfiles de descifrado se pueden

2.
asociar a una poltica de descifrado,
habilitando el cortafuegos para que
bloquee y controle diversos aspectos del
trfico que se est descifrando. Se puede
utilizar un perfil de descifrado del proxy
SSL de reenvo para realizar
comprobaciones de certificados de
3.
servidor, modos no compatibles y fallos y
bloquear o restringir el trfico segn los
resultados. Para obtener una lista
completa de las comprobaciones que
se pueden realizar, desplcese hasta
Objetos > Perfiles de descifrado en el
cortafuegos y haga clic en el icono de
ayuda.
Descifrado
Haga clic en Generar en la parte inferior de la pgina de

certificados.
Seleccione la pestaa Proxy SSL de reenvo para bloquear y

controlar aspectos especficos del trfico de tnel de SSL. Por
ejemplo, puede decidir finalizar sesiones si los recursos del
sistema no estn disponibles para procesar el descifrado
seleccionando Bloquear sesiones si no hay recursos
disponibles.
Haga clic en ACEPTAR para guardar el perfil.
359
Descifrado
Paso 6
Configure una poltica de descifrado.
1.
Seleccione Polticas > Descifrado y haga clic en Aadir.
2.
En la pestaa General, otorgue a la poltica un Nombre

descriptivo.
3.
En las pestaas Origen y Destino, seleccione Cualquiera para la

Zona de origen y la Zona de destino para descifrar todo el
trfico SSL destinado a un servidor externo. Si desea especificar
trfico con determinados orgenes o destinos para el descifrado,
haga clic en Aadir.
4.
En la pestaa Categora de URL, deje Cualquiera para descifrar

todo el trfico. Si solamente desea aplicar este perfil a
determinadas categoras de sitios web, haga clic en Aadir.
La seleccin de una categora de URL resulta de utilidad
cuando se excluyen determinados sitios del descifrado.
Consulte Configuracin de excepciones de descifrado.
5.
En la pestaa Opciones, seleccione Descifrar y seleccione

Proxy SSL de reenvo como el Tipo de descifrado que debe
realizarse.
Paso 7
360
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar

ajustes adicionales al trfico descifrado (consulte el Paso 5).
7.
Haga clic en ACEPTAR para guardar.
Con una poltica de descifrado de Proxy SSL de reenvo activada,

todo el trfico identificado por la poltica se descifra. El trfico
descifrado se bloquea y restringe de acuerdo con los perfiles
configurados en el cortafuegos (incluidos los perfiles de descifrado
asociados a la poltica y los perfiles Antivirus, Vulnerabilidad,
Antispyware, Filtrado de URL y Bloqueo de archivo). El trfico
vuelve a cifrarse a medida que sale del cortafuegos.
Descifrado
Descifrado

La configuracin de Inspeccin de entrada SSL incluye la instalacin del certificado del servidor de destino en
el cortafuegos y la creacin de una poltica de descifrado de inspeccin de entrada SSL.
Utilice la siguiente tarea para configurar la inspeccin de entrada SSL.
Paso 1
Asegrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaa Red >
Virtual Wire, capa 2 o capa 3.
una interfaz est configurada para ser una interfaz de Virtual
Wire, Capa 2 o Capa 3. Puede seleccionar una interfaz para
modificar su configuracin, incluido qu tipo de interfaz es.
Paso 2
Asegrese de que el certificado del

servidor de destino est instalado en el
cortafuegos.
En la interfaz web, seleccione Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivos para
ver los certificados instalados en el cortafuegos.

Para importar el certificado del servidor de destino en el cortafuegos:
1. En la pestaa Certificados de dispositivos, seleccione
Importar.
Paso 3
2.
Introduzca un Nombre de certificado descriptivo.
3.
Busque y seleccione el Archivo del certificado del servidor de

destino.
4.
1.

Aadir.

2.
trfico que se est descifrando. Se puede
utilizar un perfil de descifrado de
inspeccin de entrada SSL para realizar
3.
comprobaciones de modos no
compatibles y fallos y bloquear o
restringir el trfico segn los resultados.
Para obtener una lista completa de las
comprobaciones que se pueden realizar,
seleccione Objetos > Perfiles de
descifrado y, a continuacin, haga clic en
el icono de ayuda.
Descifrado
Seleccione la pestaa Inspeccin de entrada SSL para bloquear

y controlar aspectos especficos del trfico SSL. Por ejemplo,
puede decidir finalizar sesiones si los recursos del sistema no
estn disponibles para procesar el descifrado seleccionando
Bloquear sesiones si no hay recursos disponibles.
361
Descifrado
Configuracin de la inspeccin de entrada SSL (Continuacin)
Paso 4
1.
2.

descriptivo.
3.
En la pestaa Destino, haga clic en Aadir para aadir la

Direccin de destino del servidor de destino.
4.
En la pestaa Categora de URL, deje Cualquiera para descifrar

todo el trfico. Si solamente desea aplicar este perfil a
determinadas categoras de sitios web, haga clic en Aadir.
La seleccin de una categora de URL resulta de utilidad
cuando se excluyen determinados sitios del descifrado.
Consulte Configuracin de excepciones de descifrado.
5.

Inspeccin de entrada SSL como el Tipo de trfico que debe
descifrarse.
Seleccione el Certificado para el servidor interno que es el
destino del trfico SSL entrante.
Paso 5
362
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar la

configuracin adicional para el trfico descifrado.
7.
Con una poltica de descifrado de inspeccin de entrada SSL

habilitada, todo el trfico SSL identificado por la poltica se descifrar
e inspeccionar. El trfico descifrado se bloquea y restringe de
acuerdo con los perfiles configurados en el cortafuegos (incluidos los
perfiles de descifrado asociados a la poltica y los perfiles Antivirus,
Vulnerabilidad, Antispyware, Filtrado de URL y Bloqueo de archivo).
El trfico vuelve a cifrarse a medida que sale del cortafuegos.
Descifrado
Descifrado

La configuracin de Proxy SSH no requiere certificados y la clave utilizada para descifrar sesiones SSH se genera
automticamente en el cortafuegos durante el inicio.
Utilice la siguiente tarea para configurar el descifrado del proxy SSL.
Configure el descifrado proxy SSH
Paso 1
Asegrese de que las interfaces adecuadas

Virtual Wire, capa 2 o capa 3. El
descifrado solo se puede realizar en cable
virtual, interfaces de capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaa Red >

una interfaz est configurada para ser una interfaz de Virtual Wire,
Capa 2 o Capa 3. Puede seleccionar una interfaz para modificar su
configuracin, incluido qu tipo de interfaz es.
Paso 2
1.

2.
trfico que se est descifrando. El perfil de
descifrado se puede utilizar para realizar
comprobaciones de certificados de
3.
servidor, modos no compatibles y fallos y
bloquear o restringir el trfico segn los
resultados. Para obtener una lista
completa de las comprobaciones que se
pueden realizar, desplcese hasta Objetos
> Perfiles de descifrado en el
cortafuegos y, a continuacin, haga clic en
el icono de ayuda.
Paso 3
Paso 4
Descifrado

Aadir.
Seleccione la pestaa SSH para bloquear y controlar aspectos
especficos del trfico de tnel de SSH. Por ejemplo, puede
decidir finalizar sesiones si los recursos del sistema no estn
disponibles para procesar el descifrado seleccionando Bloquear
sesiones si no hay recursos disponibles.
1.
2.

descriptivo.
3.
En las pestaas Origen y Destino, seleccione Cualquiera para

descifrar todo el trfico SSH.
4.
En la pestaa Categora de URL, seleccione Cualquiera para

descifrar todo el trfico SSH.
5.

Proxy SSH como el Tipo de trfico que debe descifrarse.
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar la

configuracin adicional para el trfico descifrado.
7.
Haga clic en ACEPTAR para guardar.
Con una poltica de descifrado del proxy SSH habilitada, todo el

trfico SSH identificado por la poltica se descifrar e identificar
como trfico SSH regular o como trfico de tnel de SSH. El trfico
de tnel de SSH se bloquea y restringe de acuerdo con los perfiles
configurados en el cortafuegos. El trfico vuelve a cifrarse a medida
que sale del cortafuegos.
363
Descifrado

Puede excluir a propsito el trfico del descifrado a basado en criterios de coincidencia, como el origen, destino,
categora URL o servicio del trfico. Tambin puede excluir del descifrado el trfico de un servidor especfico.
Consulte los siguientes temas para configurar Excepciones de descifrado:
Exclusin del trfico del descifrado
Exclusin de un servidor del descifrado
Exclusin del trfico del descifrado

Para excluir a propsito las aplicaciones o cierto trfico de otras polticas de descifrado SSL o SSH existente,
puede crear una nueva poltica de descifrado que defina el trfico para excluir del descifrado con la accin No
hay ningn descifrado seleccionado en la poltica. Puede definir el trfico para la exclusin basada en polticas de
acuerdo con los criterios de coincidencia, como origen, destino, categoras de URL o el servicio (puerto o
protocolo). Asegrese de que la poltica de descifrado que excluye el trfico del descifrado aparece en el primer
lugar de su lista de polticas de descifrado. Para ello, arrastre y suelte la poltica por encima del resto de polticas
de descifrado.
Consulte el siguiente procedimiento para configurar una poltica de descifrado que excluya el trfico del
descifrado SSL o SSH.
Exclusin de trfico de una poltica de descifrado
Paso 1
364
Cree una poltica de descifrado.
1.
Vaya a Polticas > Descifrado y haga clic en Aadir.
Utilice una poltica de descifrado para

excluir trfico del descifrado de acuerdo
con las zonas o direcciones de origen y
destino y las categoras de URL del
trfico. Este ejemplo muestra cmo
excluir el trfico categorizado como
financiero o sanitario del descifrado del
proxy SSL de reenvo.
2.
Otorgue a la poltica un Nombre descriptivo, como

No-Decrypt-Finance-Health.
3.
En las pestaas Origen y Destino, seleccione Cualquiera para la

Zona de origen y la Zona de destino para aplicar la regla
No-Decrypt-Finance-Health en todo el trfico SSL destinado a un
servidor externo.
4.
En la pestaa Categora de URL, haga clic en Aadir para aadir

las categoras de URL servicios financieros y salud y medicina a
la poltica, especificando que el trfico que coincida con estas
categoras no se descifrar.
5.
En la pestaa Opciones, seleccione No hay ningn descifrado y

seleccione el Tipo de poltica de descifrado de la que est
excluyendo el trfico. Por ejemplo, para excluir el trfico
categorizado como financiero o sanitario de una poltica de
descifrado del proxy SSL de reenvo configurada por separado,
seleccione Proxy SSL de reenvo como el Tipo.
6.
Haga clic en ACEPTAR para guardar la poltica de descifrado

No-Decrypt-Finance-Health.
Descifrado
Descifrado
Exclusin de trfico de una poltica de descifrado (Continuacin)
Paso 2
Mueva la poltica de descifrado a la parte En la pgina Descifrado > Polticas, seleccione la poltica
superior de la lista de polticas de
No-Decrypt-Finance-Health y haga clic en Mover hacia arriba hasta que
descifrado.
aparezca en la parte superior de la lista (o puede arrastrarla y soltarla).
El orden en que aparecen las polticas de descifrado es el mismo
orden en que se aplican al trfico de red. Si mueve la poltica con la
accin No hay ningn descifrado aplicada a la parte superior de la
lista, garantizar que el trfico especificado no se descifre de acuerdo
con otra poltica configurada.
Paso 3
Una poltica de descifrado con la opcin No hay ningn descifrado

habilitada garantiza que el trfico especificado permanezca cifrado a
medida que pasa por el cortafuegos y que el trfico no se descifre de
acuerdo con otras polticas de descifrado configuradas y enumeradas
en la pgina Polticas > Descifrado.

Puede excluir el trfico de un servidor de destino del descifrado SSL segn el nombre comn (CN) del
certificado del servidor. Por ejemplo, si ha habilitado el descifrado SSL, puede configurar una excepcin de
descifrado para el servidor en su red corporativa que aloja los servicios web para su sistema de RR. HH.
Consulte el siguiente procedimiento para configurar un certificado de servidor de modo que el trfico del
servidor de destino se excluya del descifrado:
Paso 1
Importe el certificado del servidor de destino en el cortafuegos:

1. En la pestaa Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivo, seleccione
Importar.
2. Introduzca un Nombre de certificado descriptivo.
3. Busque y seleccione el Archivo del certificado del servidor de destino.
Paso 2
Seleccione el certificado del servidor de destino en la pestaa Certificados de dispositivo y habiltelo como un
Certificado SSL de exclusin.
Con el certificado del servidor de destino importado en el cortafuegos y designado como Certificado SSL de
exclusin, el trfico del servidor no se descifrar cuando pase a travs del cortafuegos.
Descifrado
365
Descifrado

En algunos casos, puede necesitar avisar a los usuarios de que cierto trfico web se descifra y permitirles
terminar sesiones que no quieran que se inspeccionen. Con la exclusin de SSL activada, la primera vez que un
usuario intente navegar a un sitio HTTPS o aplicacin que coincida con su poltica de descifrado, el cortafuegos
mostrar una pgina de respuesta que notifica al usuario de que la sesin va a descifrarse. Los usuarios pueden
permitir el descifrado y continuar a la pgina haciendo clic en S o excluir el descifrado haciendo clic en No para
terminar la sesin. Los usuarios que excluyan el descifrado SSL no pueden continuar a la pgina web solicitada
ni a cualquier otro sitio HTTPS al que intenten acceder durante las siguientes 24 horas.
El cortafuegos incluye una pgina de exclusin del descifrado SSL predefinida que puede activar. Tambin
puede personalizar la pgina con su propio texto o imgenes.
Paso 1
(Opcional) Personalizar la pgina de

exclusin del descifrado SSL
1.
Seleccione Dispositivo > Pginas de respuesta.
2.
Seleccione el enlace Pgina de exclusin de descifrado de

SSL.
3.
Seleccione la pgina Predefinido y haga clic en Exportar.
4.
Con el editor de textos de HTML que prefiera, edite la pgina.
5.
Si desea aadir una imagen, aloje la imagen en un servidor web

accesible desde sus sistemas de usuario final.
6.
Aada una lnea al HTML para sealar la imagen. Por ejemplo:

<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
7.
8.
Guarde la imagen editada con un nuevo nombre de archivo.

Asegrese de que la pgina conserva su codificacin UTF-8.
De nuevo en el cortafuegos, seleccione Dispositivo > Pginas
de respuesta.
9.
Seleccione el enlace Pgina de exclusin de descifrado

de SSL.
10. Haga clic en Importar y, a continuacin, introduzca la ruta y el

nombre de archivo en el campo Importar archivo o examine
para encontrar el archivo.
11. (Opcional) Seleccione el sistema virtual en el que se usar esta
pgina de inicio de sesin en la lista desplegable Destino o
seleccione Compartido para que est disponible para todos los
sistemas virtuales.
12. Haga clic en ACEPTAR para importar el archivo.
13. Seleccione la pgina de respuesta que acaba de importar y haga
clic en Cerrar.
366
Descifrado
Descifrado
Permisos para que los usuarios excluyan el descifrado SSL (Continuacin)
Paso 2
Activar exclusin de descifrado SSL
1.
2.
En la pgina Dispositivo > Pginas de respuesta, haga clic en

el enlace Deshabilitado.
Seleccione Pgina de exclusin de SSL y haga clic en
ACEPTAR.
3.
Paso 3
Compruebe que la pgina de exclusin

aparece cuando intenta desplazarse a
un sitio.
Descifrado
Desde un navegador, vaya a un sitio cifrado que coincida con su

poltica de descifrado.
Compruebe si se muestra la nueva pgina de respuesta de exclusin
de descifrado SSL.
367
Descifrado

Antes de que pueda habilitar el reflejo del puerto de descifrado, debe obtener e instalar una licencia de reflejo
del puerto de descifrado. La licencia es gratuita y puede activarse a travs del portal de asistencia tcnica como
se describe en el siguiente procedimiento. Despus de instalar la licencia de reflejo del puerto de descifrado y
reiniciar el cortafuegos, puede habilitar el reflejo del puerto de descifrado.
La habilitacin del reflejo del puerto de descifrado incluye la habilitacin del reenvo de trfico descifrado y la
configuracin de una interfaz de reflejo de descifrado. A continuacin puede crear un perfil de descifrado que
especifique la interfaz y la adjunte a una poltica de descifrado. Para obtener ms informacin sobre cmo
implementar el reflejo del puerto de descifrado, consulte Reflejo del puerto de descifrado.
Utilice el siguiente procedimiento para obtener e instalar una licencia de reflejo del puerto de descifrado y
configurar el reflejo del puerto de descifrado.
Paso 1
368
Solicite una licencia para cada dispositivo 1.

en el que quiera habilitar el reflejo del
puerto de descifrado.
2.
Inicie sesin en el sitio de Asistencia tcnica Palo Alto Networks

y navegue a la pestaa Activos.
3.
Seleccione Reflejo de puerto de descifrado. Aparecer un aviso

legal.
4.
Si est de acuerdo con los requisitos y las posibles implicaciones

legales, haga clic en Comprendo las condiciones y deseo
continuar.
5.
Haga clic en Activar.
Seleccione la entrada del dispositivo para el que quiera obtener

una licencia y seleccione Acciones.
Descifrado
Descifrado
Configuracin del reflejo del puerto de descifrado (Continuacin)
Paso 2
Paso 3
Instale la licencia de reflejo del puerto de 1.

descifrado en el cortafuegos.

Licencias.
2.
Haga clic en Recuperar claves de licencia del servidor de

licencias.
3.
Verifique que la licencia se ha activado en el cortafuegos.
4.
Reinicie el cortafuegos (Dispositivo > Configuracin >

Operaciones). Esta funcin no estar disponible para su
configuracin hasta que no vuelva a cargarse PAN-OS.
Habilite la capacidad de reflejar el trfico En un cortafuegos con un nico sistema virtual:

descifrado. Se necesitan permisos de
1. Seleccione Dispositivo > Configuracin > Content-ID.
superusuario para realizar este paso.
2. Seleccione la casilla de verificacin Permitir reenvo de
contenido descifrado.
3.
En un cortafuegos con varios sistemas virtuales:

1. Seleccione Dispositivo > Sistema virtual.
Paso 4
Configure una interfaz de reflejo de

descifrado.
2.
Seleccione un sistema virtual para su edicin o cree un nuevo

sistema virtual seleccionando Aadir.
3.
Seleccione la casilla de verificacin Permitir reenvo de

contenido descifrado.
4.
1.
Seleccione Red > Interfaces > Ethernet.
2.
Seleccione la interfaz Ethernet que quiera configurar para el

reflejo del puerto de descifrado.
3.
Seleccione Reflejo de descifrado como el Tipo de interfaz.

Este tipo de interfaz solo aparece si la licencia de Reflejo de
puerto de descifrado est instalada.
4.
Descifrado
369
Descifrado
Configuracin del reflejo del puerto de descifrado (Continuacin)
Paso 5
Configure un perfil de descifrado para

habilitar el reflejo del puerto de
descifrado.
1.
2.
Seleccione Objetos > Perfiles de descifrado.

Seleccione la Interfaz que debe utilizarse para Reflejo de
descifrado.
El men desplegable Interfaz contiene todas las interfaces

Ethernet que se han definido como el tipo: Reflejo de
descifrado.
3.
Especifique si desea reflejar el trfico descifrado antes o despus

de aplicar las polticas.
De manera predeterminada, el cortafuegos reflejar todo el
trfico descifrado en la interfaz antes de la bsqueda de polticas
de seguridad, lo que le permitir reproducir eventos y analizar el
trfico que genere una amenaza o active una accin de descarte.
Si solamente desea reflejar el trfico descifrado despus de
aplicar las polticas de seguridad, seleccione la casilla de
verificacin Reenviado solo. Con esta opcin, solamente se
reflejar el trfico reenviado a travs del cortafuegos. Esta
opcin es de utilidad si est reenviando el trfico descifrado a
otros dispositivos de deteccin de amenazas, como un
dispositivo de DLP u otro sistema de prevencin de intrusiones
(IPS).
4.
Paso 6
Paso 7
370
Establezca una poltica de descifrado para 1.

el reflejo del puerto de descifrado.
2.
Haga clic en ACEPTAR para guardar el perfil de descifrado.

Seleccione Polticas > Descifrado.
Haga clic en Aadir para configurar una poltica de descifrado o
seleccione una poltica de descifrado existente para editarla.
3.
En la pestaa Opciones, seleccione Descifrar y el Perfil de

descifrado creado en el Paso 4.
4.
Haga clic en ACEPTAR para guardar la poltica.
Descifrado
Descifrado

En algunos casos puede que desee desactivar temporalmente el descifrado SSL. Por ejemplo, si sus usuarios
tienen problemas para acceder a un sitio o aplicacin cifrado, puede que desee desactivar el descifrado SSL para
poder solucionar el problema. Aunque puede desactivar las polticas de descifrado asociadas, la modificacin de
las polticas supone un cambio que requiere una compilacin. En su lugar, use el siguiente comando para
desactivar temporalmente el descifrado SSL y vuelva a activarlo tras terminar la resolucin de problemas. Este
comando no requiere una compilacin y no persiste en su configuracin tras un reinicio.
Desactivacin del descifrado SSL set system setting ssl-decrypt skip-ssl-decrypt yes
Reactivacin del descifrado SSL set system setting ssl-decrypt skip-ssl-decrypt no
Descifrado
371
Descifrado
372
Descifrado
Filtrado de URL
La solucin de filtrado de URL de Palo Alto Networks es una potente funcin de PAN-OS que se utiliza para
supervisar y controlar el modo en que los usuarios acceden a Internet a travs de HTTP y HTTPS. Los
siguientes temas ofrecen una descripcin general del filtrado de URL, informacin de configuracin y solucin
de problemas y las prcticas recomendadas para sacar el mximo partido de esta funcin:
Descripcin general del filtrado de URL
Conceptos del filtrado de URL
Flujo de trabajo de categorizacin de PAN-DB
Habilitacin de un proveedor de filtrado de URL
Determinacin de los requisitos de la poltica de filtrado de URL
Supervisin de la actividad web
Personalizacin de las pginas de respuesta de filtrado de URL
Configuracin de la cancelacin de administrador de URL
Habilitacin del forzaje de bsquedas seguras
Ejemplos de casos de uso del filtrado de URL
Solucin de problemas del filtrado de URL
Filtrado de URL
373
Filtrado de URL

La funcin de filtrado de URL de Palo Alto Networks complementa la funcin App-ID, ya que le permite
configurar su cortafuegos para identificar y controlar el acceso al trfico web (HTTP y HTTPS). Al implementar
perfiles de filtrado de URL en polticas de seguridad y al utilizar categoras de URL como criterios de
coincidencia en polticas (portal cautivo, descifrado, seguridad y QoS), obtendr una visibilidad y un control
completos del trfico que atraviesa su cortafuegos y podr habilitar y controlar de forma segura el modo en que
sus usuarios acceden a Internet.
La solucin de filtrado de URL de Palo Alto Networks utiliza una base de datos de filtrado de URL que contiene
millones de sitios web y en la que cada sitio web se ubica en una de aproximadamente 60 categoras diferentes.
A continuacin, se aplica un perfil de filtrado de URL que contiene la lista de categoras a una poltica de
seguridad que permite el trfico web (HTTP/HTTPS) de los usuarios internos a Internet. Despus de aplicar
el perfil de filtrado de URL y establecer la categora de la accin de alerta o bloqueo, obtendr una completa
visibilidad de los sitios web a los que acceden los usuarios y, a continuacin, podr decidir qu sitios web o
categoras de sitios web deberan permitirse, bloquearse o registrarse en logs. Adems, en el perfil de filtrado de
URL puede definir una lista de URL que siempre se bloquearn o permitirn y puede crear categoras de URL
personalizadas que contengan una lista de URL que pueda utilizarse del mismo modo que la lista de categoras
predeterminadas. Estas mismas categoras de URL tambin se pueden utilizar como criterio de coincidencia en
otras polticas, como portal cautivo, descifrado y QoS.
Proveedores de filtrado de URL
Interaccin entre App-ID y categoras de URL
Proveedores de filtrado de URL

Los cortafuegos de Palo Alto Networks admiten dos proveedores para el filtrado de URL:
PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks, que est estrechamente
integrada en PAN-OS mediante el uso de almacenamiento en cach local de alto rendimiento para lograr el
mximo rendimiento en lnea de las bsquedas de URL, mientras que una arquitectura de nube distribuida
proporciona cobertura para los sitios web ms recientes. Adems, PAN-DB se integra perfectamente con
WildFire de modo que siempre que WildFire detecta un sitio malintencionado, actualiza la categora de URL
de PAN-DB correspondiente como malware, lo que bloquea de inmediato el acceso futuro al sitio siempre
que haya adjuntado un perfil de filtrado de URL a la regla de la poltica de seguridad. Para ver una lista de
categoras de PAN-DB URL Filtering, consulte
https://urlfiltering.paloaltonetworks.com/CategoryList.aspx.
BrightCloud: Base de datos de URL externa, propiedad de Webroot, Inc., que est integrada en los
cortafuegos de PAN-OS. Para obtener informacin sobre la base de datos de URL de BrightCloud, visite
http://brightcloud.com.
Para obtener instrucciones sobre cmo configurar el cortafuegos para usar uno de los proveedores de filtrado
de URL admitidos, consulte Habilitacin de un proveedor de filtrado de URL.
374
Filtrado de URL
Filtrado de URL
Interaccin entre App-ID y categoras de URL

La funcin de filtrado de URL de Palo Alto Networks, en combinacin con la funcin de identificacin de
aplicaciones (App-ID), ofrece una proteccin sin precedentes frente a una amplia variedad de riesgos en los
mbitos de la ley, la normativa, la productividad y el uso de recursos. Mientras que App-ID le permite controlar
a qu aplicaciones pueden acceder los usuarios, el filtrado de URL ofrece control sobre la actividad web
relacionada. Cuando se combinan con User-ID, tambin puede aplicar estos controles basndose en usuarios y
grupos.
Con el panorama actual de aplicaciones y el modo en que muchas aplicaciones utilizan HTTP y HTTPS, deber
determinar cundo utilizar App-ID y cundo utilizar el filtrado de URL para definir polticas de acceso web
completas. En la mayora de los casos, si existe una firma de App-ID, sera conveniente que utilizara App-ID
para controlar el contenido a nivel de aplicacin. Por ejemplo, aunque puede controlar el acceso a Facebook y/o
LinkedIn mediante el filtrado de URL, esto no bloqueara el uso de todas las aplicaciones relacionadas, como el
correo electrnico, el chat y cualquier aplicacin nueva que se introduzca despus de que implemente su poltica.
En algunos casos, le interesar utilizar tanto el filtrado de URL como App-ID, pero para garantizar que no haya
conflictos en sus polticas, es importante comprender cul es el comportamiento de estas funciones cuando se
utilizan en conjunto. Palo Alto Networks genera firmas para muchas aplicaciones y dichas firmas pueden ser
muy detalladas con respecto a diversas funciones dentro de las aplicaciones basadas en Internet, mientras que
el filtrado de URL solamente aplicara acciones basndose en un sitio web o una categora de URL en concreto.
Por ejemplo, puede que desee bloquear los sitios de redes sociales en general, pero quiera permitir que varios
sitios de dicha categora sean accesibles para departamentos especficos y, a continuacin, controlar qu
funciones del sitio web estarn disponibles para los usuarios con permiso. Para obtener ms informacin,
consulte Ejemplos de casos de uso del filtrado de URL.
Filtrado de URL
375
Filtrado de URL
Categoras de URL
Perfil de filtrado de URL
Acciones del perfil de filtrado de URL
Listas de bloqueadas y permitidas
Forzaje de bsquedas seguras
Pginas contenedoras
Logs de encabezado HTTP
Pginas de respuesta de filtrado de URL
Categora de URL como criterio de coincidencia de poltica
376
Filtrado de URL
Filtrado de URL
Categoras de URL
Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una de las aproximadamente 60
categoras de URL diferentes. Hay dos formas de usar la categorizacin de URL en el cortafuegos:
Bloquear o permitir el trfico segn la categora de URL: Puede crear un perfil de filtrado de URL que
especifique una accin para cada categora de URL y adjuntar el perfil a una poltica. El trfico que coincida
con poltica dependera de la configuracin del filtrado de URL en el perfil. Por ejemplo, para bloquear todos
los sitios web de juego, debe establecer la accin de bloqueo para la categora de URL juegos en el perfil de
URL y adjuntarla a las reglas de la poltica de seguridad que permiten el acceso web. Consulte Configuracin
de filtrado de URL para obtener ms informacin.
Establecer la coincidencia con el trfico segn la categora de URL para la aplicacin de la poltica:
Si desea que una regla de una poltica especfica se aplique solamente al trfico web de los sitios de una
categora especfica, debe aadir la categora como un criterio de coincidencia al crear la regla de la poltica.
Por ejemplo, puede usar la categora de URL aplicaciones de transmisin multimedia en una poltica de QoS para
aplicar controles de ancho de banda a todos los sitios web categorizados como aplicaciones de transmisin
multimedia. Consulte Categora de URL como criterio de coincidencia de poltica para obtener ms
informacin.
Al agrupar sitios web en categoras, resulta ms fcil definir acciones basndose en determinados tipos de sitios
web. Adems de las categoras de URL estndar, hay tres categoras adicionales:
No resuelto
Indica que el sitio web no se ha encontrado en la base de datos de filtrado de URL local
y que el cortafuegos no ha podido conectarse con la base de datos de la nube para
comprobar la categora. Cuando se realiza una bsqueda de categora de URL, en
primer lugar el cortafuegos comprueba la cach del plano de datos en busca de la URL.
Si no se encuentra ninguna coincidencia, a continuacin comprueba la cach del plano
de gestin y si no se encuentra ninguna coincidencia aqu, consulta la base de datos de
URL en la nube.
Al decidir qu accin realizar para el trfico categorizado como No resuelto, tenga en
cuenta que si establece una accin de bloqueo, puede perjudicar mucho a los usuarios.
Para obtener ms informacin sobre la solucin de problemas de bsqueda, consulte
Solucin de problemas del filtrado de URL.
Direcciones IP privadas
Indica que el sitio web es un nico dominio (no tiene subdominios), la direccin IP est
en el intervalo de IP privadas o el dominio raz de la URL es desconocido para la nube.
Desconocido
Dado que el sitio web todava no se ha categorizado, no existe en la base de datos de

filtrado de URL del cortafuegos ni en la base de datos de la nube de URL.
Al decidir qu accin realizar para el trfico categorizado como Desconocido, tenga en
cuenta que si establece una accin de bloqueo, puede perjudicar mucho a los usuarios,
ya que podra haber muchos sitios vlidos que todava no estn en la base de datos de
URL. Si desea tener una poltica muy estricta, podra bloquear esta categora, de modo
que no se pueda acceder a los sitios web que no existan en la base de datos de URL.
Consulte Configuracin de filtrado de URL.
Filtrado de URL
377
Filtrado de URL
Perfil de filtrado de URL

Un perfil de filtrado de URL es un conjunto de controles de filtrado de URL que se aplican a reglas de polticas
de seguridad individuales para aplicar su poltica de acceso web. El cortafuegos incluye un perfil predeterminado
que se ha configurado para bloquear categoras propensas a las amenazas, como malware, phishing y contenido
para adultos. Puede utilizar el perfil predeterminado en una poltica de seguridad, duplicarlo para utilizarlo como
punto de partida para nuevos perfiles de filtrado de URL o aadir un nuevo perfil de URL que tenga todas las
categoras establecidas como permitidas para lograr visibilidad del trfico de su red. A continuacin, podr
personalizar los perfiles de URL recin aadidos y aadir listas de sitios web especficos que siempre deberan
bloquearse o permitirse, lo que proporciona un control ms detallado de las categoras de URL. Por ejemplo,
puede que desee bloquear los sitios de redes sociales, pero permitir algunos sitios web que formen parte de la
categora de redes sociales.
En los temas siguientes se describen los componentes del perfil de filtrado de URL:
Pginas contenedoras
378
Filtrado de URL
Filtrado de URL

El perfil de filtrado de URL especifica una accin para cada categora de URL conocida. De forma
predeterminada, al crear un perfil de filtrado de URL, la accin se configura para permitir todas las categoras.
Esto significa que los usuarios pueden navegar por todos los sitios libremente sin ser registrados.
El perfil de filtrado de URL predeterminado se configura para permitir el acceso a todas las
categoras de URL, a excepcin de las categoras propensas a las amenazas, las cuales se
bloquean (consumo de drogas, contenido para adultos, juego, hacking, malware, phishing,
contenido cuestionable y armas). Como prctica recomendada, cuando necesite un perfil de
filtrado de URL personalizado, duplique el perfil predeterminado en lugar de crear uno nuevo
para conservar esta configuracin.
Accin
Descripcin
alerta
El sitio web est permitido y se genera una entrada de log en el log de filtrado de URL.
permitir
El sitio web est permitido y no se genera ninguna entrada de log.
bloquear
El sitio web est bloqueado y el usuario ver una pgina de respuesta y no podr ir al sitio
web. Se generar una entrada de log en el log de filtrado de URL.
continuar
El usuario recibir una pgina de respuesta indicando que el sitio se ha bloqueado debido a
la poltica de la empresa, pero se le dar la opcin de ir al sitio web. La accin continuar se
suele usar para categoras que se consideran inofensivas y se usa para mejorar la experiencia
del usuario mediante la posibilidad de continuar si considera que el sitio se ha categorizado
incorrectamente. El mensaje de la pgina de respuesta se puede personalizar para incluir
informacin detallada especfica de su empresa. Se generar una entrada de log en el log de
filtrado de URL.
La pgina Continuar no se mostrar correctamente en mquinas cliente configuradas
para usar un servidor proxy.
cancelar
El usuario ver una pgina de respuesta indicando que se requiere una contrasea para
permitir el acceso a los sitios web de la categora en cuestin. Con esta opcin, el
administrador de seguridad o el miembro del departamento de soporte tcnico
proporcionara una contrasea que concedera un acceso temporal a todos los sitios web de
la categora en cuestin. Se generar una entrada de log en el log de filtrado de URL.
Consulte Configuracin de la cancelacin de administrador de URL.
La pgina Cancelar no se mostrar correctamente en mquinas cliente configuradas
para usar un servidor proxy.
ninguno
La accin ninguno solo se aplica a las categoras de URL personalizadas. Seleccione ninguno
para asegurarse de que si existen varios perfiles de URL, la categora personalizada no tendr
ningn efecto en otros perfiles. Por ejemplo, si tiene dos perfiles de URL y la categora de
URL personalizada se ha establecido en bloquear en uno de los perfiles, la accin del otro
perfil se debe establecer en ninguno si no desea que se aplique.
Adems, para eliminar una categora de URL personalizada, se debe establecer en ninguno
en cualquier perfil en el que se use.
Filtrado de URL
379
Filtrado de URL

Las listas de bloqueadas y de permitidas le permiten definir URL o direcciones IP especficas en el perfil de
filtrado de URL que siempre se permitirn o siempre se bloquearn, independientemente de la accin definida
para la categora de URL. Al introducir las URL en la Lista de bloqueadas o Lista de permitidas, introduzca cada URL
o direccin IP en una nueva fila separada por una nueva lnea. Cuando utilice comodines en las URL, siga estas
reglas:
No incluya HTTP y HTTPS al definir las URL. Por ejemplo, introduzca www.paloaltonetworks.com o
paloaltonetworks.com en lugar de https://www.paloaltonetworks.com.
Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre maysculas y
minsculas.
Por ejemplo: Si desea impedir que un usuario acceda a cualquier sitio web que est dentro del dominio
paloaltonetworks.com, tambin debera aadir *.paloaltonetworks.com para que se realice la accin
especificada, independientemente del prefijo de dominio que se aada a la direccin (http://, www o un
prefijo de subdominio, como mail.paloaltonetworks.com). Lo mismo ocurre con el sufijo de subdominio; si
desea bloquear paloaltonetworks.com/en/US, debe aadir tambin paloaltonetworks.com/*.
Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se
consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo. Un testigo puede ser cualquier nmero
de caracteres ASCII que no contenga un carcter separador o *. Por ejemplo, los siguientes patrones son
vlidos:
*.yahoo.com (los testigos son: *, yahoo y com)
www.*.com (los testigos son: www, * and com)
www.yahoo.com/search=* (los testigos son: www, yahoo, com, search, *)
Los siguientes patrones no son vlidos porque el carcter * no es el nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
380
Filtrado de URL
Filtrado de URL

Muchos motores de bsqueda incluyen una opcin de bsqueda segura que filtra las imgenes y los vdeos para
adultos del trfico de devolucin de consultas de bsqueda. En el cortafuegos, puede usar la opcin de
Habilitacin del forzaje de bsquedas seguras para que el cortafuegos bloquee los resultados de la bsqueda si
el usuario final no va a usar la configuracin de bsqueda segura ms estricta en la consulta de bsqueda. El
cortafuegos puede forzar la bsqueda segura para los siguientes proveedores de bsquedas: Google, Yahoo,
Bing, Yandex y YouTube. Este ajuste es la mejor opcin, si bien los proveedores de bsquedas no garantizan
que funcione con todos los sitios web.
Para usar esta funcin, debe habilitar la opcin Forzaje de bsquedas seguras en un perfil de filtrado de URL y
adjuntarlo a una poltica de seguridad. A continuacin, el cortafuegos bloquea el trfico de devolucin de
consultas de bsqueda al que no se aplique la configuracin de bsqueda segura ms estricta. Hay dos mtodos
para bloquear los resultados de las bsquedas:
Bloqueo de resultados de bsqueda sin la configuracin de bsqueda segura estricta: Cuando un usuario final
intenta realizar una bsqueda sin habilitar primero la configuracin de bsqueda segura ms estricta, el
cortafuegos bloquea los resultados de la consulta de bsqueda y muestra la pgina de bloque de bsqueda
segura de filtrado de URL. De forma predeterminada, esta pgina proporciona una direccin URL al
proveedor de bsquedas para configurar la bsqueda segura.
Habilitacin del forzaje de bsquedas seguras transparente: Cuando un usuario final intenta realizar una
bsqueda sin habilitar primero la configuracin de bsqueda segura estricta, el cortafuegos bloquea los
resultados de la bsqueda mediante un cdigo de estado HTTP 503 y redirige la consulta de bsqueda a una
direccin URL que incluye los parmetros de bsqueda segura. Para habilitar esta funcin, importe una
pgina de bloque de bsqueda segura de filtrado de URL nueva que contenga Javascript para reescribir la
direccin URL de bsqueda de modo que incluya los parmetros de bsqueda segura estricta. Con esta
configuracin, los usuarios no vern la pgina de bloque, sino que sern redirigidos automticamente a una
consulta de bsqueda que fuerza las opciones de bsqueda segura ms estrictas. Este mtodo de forzaje de
bsquedas seguras requiere la versin de publicacin de contenido 475 o posterior y solo es compatible con
las bsquedas en Google, Yahoo y Bing.
Adems, dado que la mayora de los proveedores de bsquedas ahora usan SSL para devolver resultados de
bsqueda, tambin debe configurar una poltica de Descifrado de modo que el trfico de bsqueda permita que
el cortafuegos inspeccione el trfico de bsqueda y fuerce la bsqueda segura.
En las publicaciones de contenido se aaden peridicamente mejoras del forzaje de bsquedas
seguras y asistencia para los nuevos proveedores de bsquedas. Esta informacin se detalla en
las notas de la versin de contenido sobre aplicaciones y amenazas. Cada proveedor de
bsquedas es el que valora si un sitio es seguro o no, y no Palo Alto Networks.
La configuracin de bsqueda segura vara segn el proveedor de bsquedas, como se detalla en la Tabla:
Configuracin de bsqueda segura de proveedores de bsquedas.
Filtrado de URL
381
Filtrado de URL
Tabla: Configuracin de bsqueda segura de proveedores de bsquedas

Proveedor de
bsquedas
Descripcin de la configuracin de bsqueda segura
Google/YouTube
Permiten la bsqueda segura en equipos individuales o en toda la red mediante la direccin IP

virtual de bsqueda segura de Google:
Forzaje de bsquedas seguras en Google en equipos individuales:
En la seccin de ajustes de bsqueda de Google, la opcin Filtrar resultados explcitos habilita

la funcin de bsqueda segura. Una vez habilitada, la configuracin se almacena en una cookie
del explorador como FF= y se pasa al servidor cada vez que el usuario realiza una bsqueda en
Google.
La anexin de safe=active a una direccin URL de consulta de bsqueda de Google tambin
habilita la configuracin de bsqueda segura ms estricta.
Forzaje de bsquedas seguras en Google y YouTube mediante una direccin IP virtual:
Google proporciona servidores que bloquean SafeSearch (forcesafesearch.google.com) en cada

bsqueda en Google y YouTube. Si aade una entrada DNS para www.google.com y
www.youtube.com (y otros subdominios correspondientes a pases de Google y YouTube)
que incluya un registro CNAME que apunte a forcesafesearch.google.com para la
configuracin de su servidor DNS, puede garantizar que todos los usuarios de su red usen la
configuracin de bsqueda segura estricta cada vez que realicen una bsqueda en Google o
YouTube.
Esto tambin se puede conseguir mediante la configuracin de un proxy DNS (Red >
Proxy DNS) y el establecimiento del origen de herencia como la interfaz de capa 3 en la
que el cortafuegos recibe la configuracin de DNS del proveedor de servicios mediante
DHCP. Debe configurar el proxy DNS con Entradas estticas para www.google.com y
www.youtube.com mediante la direccin IP local para el servidor de
forcesafesearch.google.com.
Yahoo
Permite la bsqueda segura solamente en equipos individuales. Las preferencias de bsqueda de

Yahoo incluyen tres opciones de SafeSearch: Estricta, Moderada o Desactivada. Una vez
habilitada, la configuracin se almacena en una cookie del explorador como vm= y se pasa al
servidor cada vez que el usuario realiza una bsqueda en Yahoo.
La anexin de vm=r a una direccin URL de consulta de bsqueda de Yahoo tambin habilita la
configuracin de bsqueda segura ms estricta.
Al realizar una bsqueda en Yahoo Japan (yahoo.co.jp) tras iniciar sesin con una cuenta
de Yahoo, el usuario final debe habilitar la opcin de bloqueo de SafeSearch.
Bing
Permite la bsqueda segura en equipos individuales o mediante su programa Bing in the

Classroom. La configuracin de Bing incluye tres opciones de SafeSearch: Estricta, Moderada
o Desactivada. Una vez habilitada, la configuracin se almacena en una cookie del explorador
como adlt= y se pasa al servidor cada vez que el usuario realiza una bsqueda en Bing.
La anexin de adlt=strict a una direccin URL de consulta de bsqueda de Bing tambin
habilita la configuracin de bsqueda segura ms estricta.
El motor de bsqueda SSL de Bing no fuerza los parmetros de URL de bsqueda segura y, por
lo tanto, debe considerar la posibilidad de bloquear Bing en SSL para el forzaje de bsquedas
seguras completo.
382
Filtrado de URL
Filtrado de URL
Pginas contenedoras
Una pgina de contenedor es la pgina principal a la que accede un usuario al visitar un sitio web, pero se pueden
cargar sitios web adicionales dentro de la pgina principal. Si se habilita la opcin Pgina de contenedor de log
nicamente en el perfil de filtrado de URL, solamente se registrar la pgina de contenedor principal y no las
pginas posteriores que puedan cargarse en la pgina de contenedor. Dado que el filtrado de URL
potencialmente puede generar muchas entradas de log, puede que quiera activar esta opcin; de este modo, las
entradas de log solamente incluirn esos URI cuando el nombre de archivo de la pgina solicitada coincida con
los tipos MIME especficos. El conjunto predeterminado incluye los siguientes tipos MIME:
application/pdf
application/soap+xml
application/xhtml+xml
text/html
text/plain
text/xml
Si ha habilitado la opcin Pgina de contenedor de log nicamente, puede que no siempre
haya una entrada de log de URL correlacionada para amenazas detectadas por antivirus o
proteccin contra vulnerabilidades.
Filtrado de URL
383
Filtrado de URL

El filtrado de URL proporciona visibilidad y control sobre el trfico web de su red. Para aumentar la visibilidad
en el contenido web, puede configurar el perfil de filtrado de URL para registrar un log de atributos de
encabezado HTTP incluido en una solicitud web. Cuando un cliente solicita una pgina web, el encabezado
HTTP incluye los campos de agente de usuario, sitio de referencia y x-forwarded-for como pares de atributo y
valor, y los reenva al servidor web. En caso de estar habilitado para el registro de logs de encabezados HTTP,
el cortafuegos registra los siguientes pares de atributo y valor en los logs de filtrado URL:
Atributo
Descripcin
Agente de usuario
Explorador web que usa el usuario para acceder a la direccin URL (por
ejemplo, Internet Explorer). Esta informacin se enva en la solicitud de
HTTP al servidor.
Sitio de referencia
Direccin URL de la pgina web que dirige al usuario a otra pgina web. Se
trata del origen que redirige (remite) al usuario a la pgina web que se est
solicitando.
X-Forwarded-For
Opcin del campo de encabezado que conserva la direccin IP del usuario que
ha solicitado la pgina web. Permite identificar la direccin IP del usuario, en
concreto si tiene un servidor proxy en la red, donde el origen de todas las
solicitudes parece ser la direccin IP del servidor proxy.
384
Filtrado de URL
Filtrado de URL
Pginas de respuesta de filtrado de URL

El cortafuegos proporciona tres pginas de respuesta predefinidas que se muestran de forma predeterminada
cuando el usuario intenta navegar a un sitio de una categora configurada con una de las acciones de bloqueo
del Perfil de filtrado de URL (bloquear, continuar o cancelar) o si el Forzaje de bsquedas seguras est habilitado:
Pgina de bloque de URL: Acceso bloqueado por un perfil de filtrado de URL o porque la categora de
URL est bloqueada por una poltica de seguridad.
Pgina de continuacin y cancelacin de filtrado de URL: Pgina con poltica de bloqueo inicial que
permite que los usuarios eludan el bloqueo. En la pgina de cancelacin, despus de hacer clic en Continuar,
el usuario debe especificar una contrasea para cancelar la poltica que bloquea la direccin URL.
Pgina de bloque de bsqueda segura de filtrado de URL: Acceso bloqueado por una poltica de
seguridad con un perfil de filtrado de URL que tiene habilitada la opcin Forzaje de bsquedas seguras. El
usuario ver esta pgina si se realiza una bsqueda con Google, Bing, Yahoo o Yandex y la configuracin de
cuenta de su explorador o motor de bsqueda para la bsqueda segura no est establecida como estricta.
Puede usar las pginas predefinidas o puede usar la opcin de Personalizacin de las pginas de respuesta de
filtrado de URL para comunicar sus polticas de uso aceptable especficas o personalizacin de marca
corporativa. Adems, puede usar las Variables de pgina de respuesta de filtrado de URL para la sustitucin en
el momento del evento de bloqueo o aadir una de las Referencias de pgina de respuesta admitidas a imgenes,
sonidos u hojas de estilo externos.
Filtrado de URL
385
Filtrado de URL
Variables de pgina de respuesta de filtrado de URL

Variable
Uso
<user/>
El cortafuegos sustituye la variable por el nombre de usuario (si est disponible

mediante User-ID) o la direccin IP del usuario cuando se muestra la pgina de
respuesta.
<url/>
El cortafuegos sustituye la variable por la direccin URL solicitada cuando se muestra

la pgina de respuesta.
<category/>
El cortafuegos sustituye la variable por la categora de filtrado de URL de la solicitud

bloqueada.
<pan_form/>
Cdigo HTML para mostrar el botn Continuar en la pgina de continuacin y

cancelacin de filtrado de URL.
Adems, puede aadir cdigo que active el cortafuegos para mostrar el uso de distintos mensajes segn la
categora de URL a la que el usuario est intentando acceder. Por ejemplo, el siguiente fragmento de cdigo de
una pgina de respuesta especifica que se muestre el mensaje 1 si la categora de URL es juegos, el mensaje 2 si
la categora es viajes o el mensaje 3 si la categora es nios:
var cat = "<category/>";
switch(cat)
{
case 'games':
document.getElementById("warningText").innerHTML = "Message 1";
break;
case 'travel':
break;
case 'kids':
break;
}
Solo se puede cargar una pgina HTML en cada sistema virtual para cada tipo de pgina de bloque. Sin embargo,
otros recursos como las imgenes, los sonidos y las hojas de estilos en cascada (archivos CSS) se pueden cargar
de otros servidores en el momento en el que se muestra la pgina de respuesta en el explorador. Todas las
referencias deben incluir una direccin URL completa.
Referencias de pgina de respuesta
Tipo de referencia
Imagen
Sonido
Cdigo HTML de ejemplo

<img src="http://virginiadot.org/images/Stop-Sign-gif.gif">
<embed src="http://simplythebest.net/sounds/WAV/WAV_files/
movie_WAV_files/ do_not_go.wav" volume="100" hidden="true"
autostart="true">
Hoja de estilos
<link href="http://example.com/style.css" rel="stylesheet"

type="text/css" />
Hiperenlace
<a href="http://en.wikipedia.org/wiki/Acceptable_use_policy">View
Corporate
Policy</a>
386
Filtrado de URL
Filtrado de URL
Categora de URL como criterio de coincidencia de poltica

Las categoras de URL pueden utilizarse como criterios de coincidencia en una poltica para que esta sea ms
detallada. Por ejemplo, puede que tenga definida una poltica de descifrado, pero le gustara que determinados
sitios web eludieran el descifrado. Para ello, debe configurar una poltica de descifrado con la accin No descifrar
y debe definir una categora de URL como criterio de coincidencia para la regla de poltica, de modo que la
poltica solamente coincida con los flujos de trfico hacia los sitios web que formen parte de la categora
especificada.
La siguiente tabla describe los tipos de polticas que pueden utilizar categoras de URL:
Tipo de poltica
Descripcin
Portal cautivo
Para garantizar que los usuarios se autentican antes de permitirles el acceso a una categora
especfica, puede adjuntar una categora de URL como criterio de coincidencia para la
poltica de portal cautivo.
Descifrado
Las polticas de descifrado pueden usar categoras de URL como criterios de coincidencia
para determinar si los sitios web especificados deberan descifrarse o no. Por ejemplo, si
tiene una poltica de descifrado con la accin Descifrar para todo el trfico entre dos zonas,
puede haber categoras de sitios web especficas, como servicios financieros y/o salud y medicina,
que no deberan descifrarse. En este caso, debe crear una nueva poltica de descifrado con
la accin No descifrar que precede a la poltica de descifrado y, a continuacin, define una lista
de categoras de URL como criterios de coincidencia para la poltica. Al hacer esto, no se
descifrar ninguna categora de URL que forme parte de la poltica de no descifrado.
Adems, puede configurar una categora de URL personalizada para definir su propia lista
de URL que, a continuacin, se puede usar en la poltica de no descifrado.
QoS
Una poltica de QoS puede utilizar categoras de URL para determinar los niveles de
rendimiento de categoras especficas de sitios web. Por ejemplo, puede que quiera permitir
la categora aplicaciones de transmisin multimedia y al mismo tiempo limitar el
rendimiento aadiendo la categora de URL como criterio de coincidencia a la poltica
de QoS.
Filtrado de URL
387
Filtrado de URL
Tipo de poltica
Descripcin
Seguridad
Las categoras de URL se pueden definir directamente en las polticas de seguridad para
usarlas como criterios de coincidencia en la pestaa Categora de URL/servicio y los perfiles de
filtrado de URL se pueden configurar en la pestaa Acciones.
Por ejemplo, puede que el grupo de seguridad de una empresa necesite acceder a la categora
hacking, pero debera evitarse que el resto de usuarios accediera a estos sitios. Para ello,
deber crear una regla de seguridad que permita el acceso entre las zonas utilizadas para el
acceso web, la pestaa Categora de URL/servicios contendr la categora hacking y el grupo
de seguridad se definir a continuacin en la pestaa Usuarios de la poltica. A continuacin,
la regla de seguridad principal que permite un acceso web general a todos los usuarios tendr
un perfil de filtrado de URL que bloquear todos los sitios de hacking. La poltica que
permite el acceso al hacking deber indicarse antes de la poltica que bloquea el hacking. De
este modo, cuando un usuario que forme parte del grupo de seguridad intente acceder a un
sitio de hacking, la poltica permitir el acceso y se detendr el procesamiento de reglas.
Es importante comprender que al crear polticas de seguridad, las reglas de bloqueo no son
terminales y las reglas de permiso son terminales. Esto significa que si establece una regla
de bloqueo y hay una coincidencia de trfico para esa regla, se comprobarn las dems reglas
posteriores a la regla de bloqueo para determinar si hay una coincidencia. Con una regla de
permiso, que es terminal, cuando el trfico coincide con la regla, el trfico se permite y las
reglas posteriores no se comprueban. Por ejemplo, puede que tenga configurada una regla
de bloqueo que bloquee la categora compras para todos los usuarios, pero luego tenga una
regla de permiso que permita las compras para un grupo de usuarios especfico. En este
ejemplo, un usuario del grupo permitido probablemente tambin forma parte del grupo
general que incluye a todo el mundo. Debido a esto, lo mejor es indicar una regla de permiso
especfica antes de la regla de bloqueo, para que se detenga el procesamiento de reglas
despus de que el trfico coincida y se realice la accin Permitir.
388
Filtrado de URL
Filtrado de URL

Esta seccin describe los componentes de PAN-DB y el flujo de trabajo de resolucin de categorizacin de URL
que se produce a medida que los usuarios acceden a diferentes URL a travs del cortafuegos.
Componentes de categorizacin de URL de PAN-DB
Flujo de trabajo de categorizacin de URL de PAN-DB
Componentes de categorizacin de URL de PAN-DB

La tabla siguiente describe los componentes de PAN-DB de manera detallada. El sistema BrightCloud funciona
de manera similar, pero no utiliza una base de datos de envos iniciales.
Componente
Descripcin
Base de datos de envos de

filtrado de URL
La base de datos de envos iniciales descargada en el cortafuegos es un pequeo

subconjunto de la base de datos que se mantiene en los servidores de la nube de URL
de Palo Alto Networks. El motivo de esto es que la base de datos completa contiene
millones de URL y puede que sus usuarios nunca accedan a muchas de estas URL. Al
descargar la base de datos de envos iniciales, se selecciona una regin (Norteamrica,
Europa, APAC o Japn) y cada regin contiene un subconjunto de las URL a las que
ms se accede en dicha regin. Al hacer esto, el cortafuegos almacenar una base de
datos de URL mucho ms pequea, lo que mejora enormemente el rendimiento de
bsqueda. Si un usuario accede a un sitio web que no est en la base de datos de URL
local, se consultar la base de datos completa de la nube y, a continuacin, el
cortafuegos aadir la nueva URL a la base de datos local. Dicho de otro modo, la base
de datos local del cortafuegos se cumplimentar/personalizar continuamente
basndose en la actividad de los usuarios. Tenga en cuenta que la base de datos de URL
personalizada local se borrar si la base de datos de envos PAN-DB se vuelve a
descargar o si cambia el proveedor de la base de datos de URL de PAN-DB a
BrightCloud.
Filtrado de URL
389
Filtrado de URL
Componente
Descripcin
Servicio de la nube
El servicio de la nube de PAN-DB se implementa mediante Amazon Web Services

(AWS). AWS proporciona un alto rendimiento distribuido y un entorno estable para
descargas de la base de datos de envos y bsquedas de URL para cortafuegos de Palo
Alto Networks, y la comunicacin se establece mediante SSL. Los sistemas de la nube
de AWS incluyen la totalidad de PAN-DB, que se actualiza cuando se identifican nuevas
URL. El servicio de la nube de PAN-DB admite un mecanismo automatizado para
actualizar la base de datos de URL local del cortafuegos si la versin no coincide. Cada
vez que el cortafuegos consulta a los servidores de la nube con bsquedas de URL,
tambin comprueba si hay actualizaciones clave. Si no se han producido consultas en
los servidores de la nube en ms de 30 minutos, el cortafuegos comprueba si hay
actualizaciones en los sistemas de la nube.
El sistema de la nube tambin proporciona un mecanismo para enviar solicitudes de
cambio de categora de URL. Esto se realiza a travs del servicio de comprobacin de
sitios web, que est disponible directamente desde el dispositivo (configuracin de
perfil de filtrado de URL) y desde el sitio web Test A Site (en ingls) de Palo Alto
Networks. Adems, puede enviar una solicitud de cambio de categorizacin de URL
directamente desde el log de filtrado de URL del cortafuegos en la seccin Detalles
de log.
Cach de URL del plano de

gestin (MP)
Cuando se activa PAN-DB en el cortafuegos, se descarga una base de datos de envos

desde uno de los servidores de la nube de PAN-DB para cumplimentar inicialmente la
cach local; esto se hace para mejorar el rendimiento de bsqueda. Cada base de datos
de envos regional contiene las principales URL de la regin. Asimismo, el tamao de
la base de datos de envos (nmero de entradas de URL) tambin depende de la
plataforma del dispositivo. La cach de URL del plano de gestin se escribe
automticamente en la unidad local del cortafuegos cada ocho horas, antes de que se
reinicie el cortafuegos o cuando la nube actualiza la versin de la base de datos de URL
en el cortafuegos. Despus de reiniciar el cortafuegos, el archivo que se guard en la
unidad local se cargar en la cach del plano de gestin. Tambin se implementa el
mecanismo de usados menos recientemente (LRU) en la cach de URL del plano de
gestin en el caso de que la cach est llena. Si la cach se llena, las URL a las que se ha
accedido menos se sustituirn por las URL ms recientes.
Cach de URL del plano de

datos (DP)
Se trata de un subconjunto de la cach del plano de gestin. Es una base de datos de

URL dinmica personalizada que se almacena en el plano de datos (DP) y se usa para
mejorar el rendimiento de bsqueda de URL. La cach de URL del plano de datos se
borra tras cada reinicio del cortafuegos. El nmero de URL que se almacenan en la
cach de URL del plano de datos vara segn la plataforma de hardware y las URL
almacenadas actualmente en el TRIE (estructura de datos). Se implementa el
mecanismo de usados menos recientemente (LRU) en la cach del plano de datos en
el caso de que la cach est llena. Si la cach se llena, las URL a las que se ha accedido
menos se sustituirn por las URL ms recientes. Las entradas de la cach de URL del
plano de datos vencen tras un perodo de tiempo especificado. Adems, el
administrador no puede cambiar el perodo de vencimiento.
390
Filtrado de URL
Filtrado de URL
Flujo de trabajo de categorizacin de URL de PAN-DB

Cuando un usuario intenta acceder a una URL y hay que determinar la categora de URL, el cortafuegos
comparar la URL con los siguientes componentes (por orden) hasta que se encuentre una coincidencia:
Si una consulta de URL coincide con una entrada caducada de la cach de URL del plano de datos, la cach
responder con la categora caducada, pero tambin enviar una consulta de categorizacin de URL al plano de
gestin. Se hace esto para evitar retrasos innecesarios en el plano de datos, suponiendo que la frecuencia de
cambio de categoras sea baja. Del mismo modo, en la cach de URL del plano de gestin, si una consulta de
URL del plano de datos coincide con una entrada caducada del plano de gestin, el plano de gestin responder
al plano de datos con la categora caducada y tambin enviar una solicitud de categorizacin de URL al servicio
de la nube. Al obtener la respuesta de la nube, el cortafuegos reenviar la respuesta actualizada al plano de datos.
A medida que se definan nuevas URL y categoras o si se necesitan actualizaciones clave, la base de datos de la
nube se actualizar. Cada vez que el cortafuegos consulte a la nube con una bsqueda de URL o si no se
producen bsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararn y, si no coinciden, se realizar una actualizacin progresiva.
Filtrado de URL
391
Filtrado de URL

Para habilitar el filtrado de URL en un cortafuegos, debe adquirir y activar una licencia de filtrado de URL para
uno de los Proveedores de filtrado de URL admitidos y, a continuacin, instalar la base de datos. Use uno de los
siguientes procedimientos para habilitar una licencia de filtrado de URL en el cortafuegos para configurar la base
de datos. Solo se puede haber una licencia de filtrado de URL activa en un cortafuegos.
A partir de PAN-OS 6.0, los cortafuegos gestionados por Panorama no requieren la ejecucin del
mismo proveedor de filtrado de URL configurado en Panorama. En el caso de los cortafuegos
que ejecutan PAN-OS 6.0 o posterior, cuando se detecta un error de coincidencia entre el
proveedor habilitado en los cortafuegos y los componentes habilitados en Panorama, los
cortafuegos pueden migrar automticamente categoras de URL o perfiles de URL a una o varias
categoras que coincidan con las que el proveedor tiene habilitadas. Para obtener instrucciones
sobre cmo configurar el filtrado de URL en Panorama si va a gestionar cortafuegos que ejecutan
distintas versiones de PAN-OS, consulte la Gua del administrador de Panorama.
Si tiene licencias vlidas para PAN-DB y BrightCloud, la activacin de la licencia de PAN-DB desactiva
automticamente la licencia de BrightCloud (y viceversa).
Habilitacin de PAN-DB URL Filtering
Habilitacin del filtrado de URL de BrightCloud
392
Filtrado de URL
Filtrado de URL

Paso 1
1.
Obtenga e instale una licencia de
PAN-DB URL Filtering y confirme que
est instalada.
Si la licencia caduca, PAN-DB
URL Filtering sigue funcionando
de acuerdo con la informacin de
categoras de URL existente en las 2.
cachs del plano de datos y el
plano de gestin. No obstante, las
bsquedas en la nube de URL y
otras actualizaciones basadas en la
nube no funcionarn hasta que
instale una licencia vlida.
Paso 2
1.
Descargue la base de datos de envos
iniciales y active PAN-DB URL Filtering.
El cortafuegos debe tener acceso a 2.
Internet y no puede cargar
manualmente PAN-DB.
3.
Seleccione Dispositivo > Licencias y, en la seccin Gestin de

licencias, seleccione el mtodo de instalacin de la licencia:
Activar caracterstica mediante cdigo de autorizacin
Recuperar claves de licencia del servidor de licencias
Clave de licencia de carga manual
Despus de instalar la licencia, confirme que la seccin
PAN-DB URL Filtering, campo Fecha de caducidad, muestra
una fecha vlida.
En la seccin PAN-DB URL Filtering, campo Descargar

estado, haga clic en Descargar ahora.
Seleccione una regin (Norteamrica, Europa, APAC, Japn) y,

a continuacin, haga clic en Aceptar para iniciar la descarga.
Cuando finalice la descarga, haga clic en Activar.
Si PAN-DB ya es el proveedor de filtrado de URL activo
y hace clic en Volver a descargar, volver a activar
PAN-DB al eliminar las cachs del plano de datos y del
plano de gestin y sustituirlas por el contenido de la
nueva base de datos de envos. Debera evitar hacer esto
a menos que sea necesario, ya que perder su cach, que
est personalizada segn el trfico web que ha pasado
anteriormente por el cortafuegos basndose en la
actividad de los usuarios.
Filtrado de URL
393
Filtrado de URL
Habilitacin de PAN-DB URL Filtering (Continuacin)
Paso 3
Programe el cortafuegos para descargar

actualizaciones dinmicas para
Se requiere una licencia de
prevencin de amenazas para
recibir actualizaciones de
contenido, la cual cubre Antivirus
y Aplicaciones y amenazas.
1.
2.
En el campo Programacin de la seccin Aplicaciones y

amenazas, haga clic en el enlace Ninguno para programar
actualizaciones peridicas.
Solo puede programar actualizaciones dinmicas si el
cortafuegos tiene acceso directo a Internet. Si las
actualizaciones ya estn programadas en una seccin, el
texto del enlace muestra la configuracin de la
programacin.
Las actualizaciones de Aplicaciones y amenazas pueden incluir
actualizaciones para el filtrado de URL en relacin con la
opcin Forzaje de bsquedas seguras en el perfil de filtrado
de URL (Objetos > Perfiles de seguridad > Filtrado de URL).
Por ejemplo, si Palo Alto Networks aade la compatibilidad con
un nuevo proveedor de bsquedas o si cambia el mtodo usado
para detectar la configuracin de bsqueda segura de un
proveedor existente, la actualizacin se incluir en las
actualizaciones de Aplicaciones y amenazas.
394
Filtrado de URL
Filtrado de URL

Paso 1
Obtenga e instale una licencia de filtrado 1.

de URL de BrightCloud y confirme que
est instalada.
BrightCloud incluye una opcin
en el perfil de filtrado de URL
(Objetos > Perfiles de
2.
seguridad > Filtrado de URL)
para permitir todas las categoras o
bloquear todas las categoras si la
licencia caduca.
Paso 2
Instale la base de datos de BrightCloud.
Seleccione Dispositivo > Licencias y, en la seccin Gestin de

licencias, seleccione el mtodo de instalacin de la licencia:
Activar caracterstica mediante cdigo de autorizacin
Recuperar claves de licencia del servidor de licencias
Clave de licencia de carga manual
Despus de instalar la licencia, confirme si en la seccin
Filtrado de URL de BrightCloud, campo Fecha de caducidad,
se muestra una fecha vlida.
Cortafuegos con acceso directo a Internet
El mtodo usado para hacer esto depende En la pgina Dispositivo > Licencias, seccin Filtrado de URL de
de si el cortafuegos tiene acceso directo a BrightCloud, campo Activo, haga clic en el enlace Activar para
instalar la base de datos de BrightCloud. Esta operacin inicia
Internet.
automticamente un restablecimiento del sistema.
Cortaguegos sin acceso directo a Internet
1. Descargue la base de datos de BrightCloud en un host con
acceso a Internet. El cortafuegos debe tener acceso al host:
a. En un host con acceso a Internet, vaya al sitio web de
asistencia tcnica de Palo Alto
(https://support.paloaltonetworks.com) e inicie sesin.
b. En la seccin Recursos, haga clic en Actualizaciones
dinmicas.
c. En la seccin Base de datos de BrightCloud, haga clic en
Descargar y guarde el archivo en el host.
2.
Actualice la base de datos en el cortafuegos:

a. Inicie sesin en el cortafuegos, seleccione Dispositivo >
Actualizaciones dinmicas y haga clic en Cargar.
b. En el caso de Tipo, seleccione Filtrado de URL.
c. Especifique la ruta para Archivo en el host o haga clic en
Examinar para buscarla y, a continuacin, haga clic en
Aceptar. Cuando el estado sea Completado, haga clic en
Cerrar.
3.
Instale la base de datos:

a. En la pgina Dispositivo > Actualizaciones dinmicas, haga
clic en Instalar desde archivo.
b. En el caso de Tipo, seleccione Filtrado de URL.
El cortafuegos selecciona automticamente el archivo
que acaba de cargar.
c. Haga clic en Aceptar y, cuando el resultado sea Correctamente,
haga clic en Cerrar.
Filtrado de URL
395
Filtrado de URL
Habilitacin del filtrado de URL de BrightCloud (Continuacin)
Paso 3
1.
Habilite las bsquedas en la nube para
categorizar dinmicamente una direccin 2.
URL si la categora no est disponible en
la base de datos de BrightCloud local.
Acceda a la CLI del cortafuegos.

Especifique los siguientes comandos para habilitar el filtrado de
URL dinmicas:
configure
set deviceconfig setting url dynamic-url yes
commit
Paso 4
Programe el cortafuegos para descargar 1.

actualizaciones dinmicas para las firmas 2.
de Aplicaciones y amenazas y el filtrado
de URL.
Solo puede programar actualizaciones

dinmicas si el cortafuegos tiene acceso
directo a Internet.
En el campo Programacin de la seccin Filtrado de URL, haga

clic en el enlace Ninguno para programar actualizaciones
peridicas.
Las actualizaciones de Aplicaciones y

amenazas pueden incluir actualizaciones
para el filtrado de URL en relacin con la
opcin Forzaje de bsquedas seguras
en el perfil de filtrado de URL. Por
ejemplo, si Palo Alto Networks aade la
compatibilidad con un nuevo proveedor
de bsquedas o si cambia el mtodo
usado para detectar la configuracin de
bsqueda segura de un proveedor
existente, la actualizacin se incluir en las
actualizaciones de Aplicaciones y
amenazas.
3.
En el campo Programacin de la seccin Aplicaciones y

amenazas, haga clic en el enlace Ninguno para programar
actualizaciones peridicas.
Si las actualizaciones ya estn programadas en una

seccin, el texto del enlace muestra la configuracin de
la programacin.
Las actualizaciones de BrightCloud

incluyen una base de datos de
aproximadamente 20 millones de sitios
web que se almacenan en la unidad del
cortafuegos. Debe programar las
actualizaciones del filtrado de URL para
recibir actualizaciones de la base de datos.
Se requiere una licencia de
prevencin de amenazas para
recibir actualizaciones de
contenido, la cual cubre Antivirus
y Aplicaciones y amenazas.
396
Filtrado de URL
Filtrado de URL
Determinacin de los requisitos de la poltica de filtrado

de URL
La prctica recomendada para implementar el filtrado de URL en su organizacin es empezar con un perfil de
filtrado de URL pasivo que enviar alertas sobre la mayora de las categoras. Tras establecer la accin de alerta,
puede supervisar la actividad web de los usuarios durante varios das para determinar los patrones del trfico
web. Despus de hacerlo, podr tomar decisiones sobre los sitios web y las categoras de sitios web que deberan
controlarse.
En el procedimiento siguiente, los sitios web propensos a las amenazas se establecern como bloqueados y las
otras categoras se establecern como alerta, lo que har que se registre el trfico de todos los sitios web. Esto
podra crear una gran cantidad de archivos de log, as que lo mejor es realizar esta accin para una supervisin
inicial con el fin de determinar los tipos de sitios web a los que estn accediendo sus usuarios. Tras determinar
las categoras que su empresa aprueba, dichas categoras deberan establecerse como permitidas, lo cual no
generar logs. Adems, para reducir los logs de filtrado de URL, habilite la opcin Pgina de contenedor de log
nicamente en el perfil de filtrado de URL para que solamente se registre la pgina principal que coincide con
la categora, pero no las pginas o categoras posteriores que puedan cargarse en la pgina de contenedor.
Configuracin y aplicacin de un perfil de filtrado de URL pasivo
Paso 1
Paso 2
Cree un nuevo perfil de filtrado de URL. 1.
2.

en Duplicar. El nuevo perfil se denominar
predeterminado-1.
3.
Seleccione el perfil predeterminado-1 y cmbiele el nombre.

Por ejemplo, cmbiele el nombre por Supervisin-URL.
1.
Configure la accin para todas las
categoras como Alertar, excepto para las
categoras propensas a las amenazas, que 2.
deberan permanecer bloqueadas.
Para seleccionar todos los
elementos de la lista de categoras
de un sistema Windows, haga clic
en la primera categora y, a
continuacin, mantenga pulsada la
tecla Mays y haga clic en la ltima
categora para seleccionar todas
las categoras. Mantenga pulsada
la tecla Ctrl y haga clic en los
elementos cuya seleccin debera
cancelarse. En un Mac, haga lo
mismo utilizando las teclas
Maysculas y Comando. Tambin 3.
podra establecer todas las
categoras como Alertar y cambiar
manualmente las categoras
recomendadas de nuevo a
Bloquear.
4.
Filtrado de URL
En la seccin en la que se incluyen todas las categoras de URL,

seleccione todas las categoras.
A la derecha del encabezado de la columna Accin, pase el ratn
por encima, seleccione la flecha hacia abajo, a continuacin,
seleccione Establecer acciones seleccionadas y seleccione
Alertar.
Para asegurarse de bloquear el acceso a los sitios propensos a las

amenazas, seleccione las siguientes categoras y, a continuacin,
establezca la accin en Bloquear: consumo de drogas,
contenido para adultos, juego, hacking, malware, phishing,
contenido cuestionable y armas.
397
Filtrado de URL
Configuracin y aplicacin de un perfil de filtrado de URL pasivo (Continuacin)
Paso 3
Aplique el perfil de filtrado de URL a las 1.

reglas de la poltica de seguridad que
permiten el trfico web para los usuarios. 2.
3.
Seleccione Polticas > Seguridad y seleccione la poltica de

seguridad adecuada para modificarla.
Seleccione la pestaa Acciones y, en la seccin Ajuste de perfil,
haga clic en el men desplegable Filtrado de URL y seleccione
el nuevo perfil.
Paso 4
Paso 5
Visualice los logs de filtrado de URL para

determinar todas las categoras de sitios
web a las que estn accediendo sus
usuarios. En este ejemplo, algunas
categoras se establecen como
bloqueadas, de modo que dichas
categoras tambin aparecern en los logs.
Seleccione Supervisar > Logs > Filtrado de URL. Se crear una

entrada de log para cualquier sitio web que exista en la base de datos
de filtrado de URL que est en una categora establecida con una
accin distinta de Permitir.
Para obtener informacin sobre cmo

visualizar los logs y generar informes,
consulte Supervisin de la actividad web.
398
Filtrado de URL
Filtrado de URL

Los informes y logs de filtrado de URL muestran toda la actividad web de los usuarios para las categoras de
URL establecidas como Alertar, Bloquear, Continuar o Cancelar. Al supervisar los logs, puede obtener una mayor
comprensin de la actividad web de su base de usuarios para determinar una poltica de acceso web.
Los siguientes temas describen cmo supervisar la actividad web:
Uso del ACC para supervisar la actividad web
Visualizacin de informes de filtrado de URL
Configuracin de informes de filtrado de URL personalizados
Filtrado de URL
399
Filtrado de URL

Los siguientes puntos muestran ejemplos de los logs de filtrado de URL (Supervisar > Logs > Filtrado de URL).
Log Alertar: En este log, la categora es compras y la accin es Alertar.
Log Bloquear: En este log, la categora alcohol y tabaco se ha establecido como Bloquear, por lo que la
accin es Bloquear URL y el usuario ver una pgina de respuesta que indica que el sitio web se ha bloqueado.
Log Alertar en sitio web cifrado: En este ejemplo, la categora es redes sociales y la aplicacin es base de
facebook, que es obligatoria para acceder al sitio web de Facebook y otras aplicaciones de Facebook. Dado
que facebook.com siempre est cifrado con SSL, el cortafuegos descifr el trfico, lo que permite reconocer
y controlar el sitio web si es necesario.
Tambin puede aadir otras columnas a su vista de log de filtrado de URL, como las zonas de origen y destino,
el tipo de contenido y si se realiz o no una captura de paquetes. Para modificar qu columnas mostrar, haga
clic en la flecha hacia abajo en cualquier columna y seleccione el atributo que debe mostrarse.
400
Filtrado de URL
Filtrado de URL
Para ver la informacin detallada completa del log y/o solicitar un cambio de categora para la URL especfica
a la que se accedi, haga clic en el icono de informacin detallada del log en la primera columna del log.
Uso del ACC para supervisar la actividad web

Para obtener una vista rpida de las categoras ms comunes a las que se est accediendo en su entorno,
seleccione la pestaa ACC y desplcese hacia abajo hasta la seccin Filtrado de URL. En la parte superior de esta
ventana, tambin puede establecer el rango de tiempo, ordenar por opcin y definir cuntos resultados
aparecern. Aqu ver las categoras ms populares a las que acceden sus usuarios, ordenadas de mayor a menor
popularidad en la lista. En este ejemplo, informacin de equipo e Internet es la categora a la que ms se ha
accedido, seguida de direcciones IP privadas (servidores internos) y motores de bsqueda. En el men
desplegable de la esquina superior derecha de las estadsticas, tambin puede decidir enumerar por Categoras
de URL, Categoras de URL bloqueadas y URL bloqueadas.
Filtrado de URL
401
Filtrado de URL
Visualizacin de informes de filtrado de URL

Para visualizar los informes de filtrado de URL predeterminados, seleccione Supervisar > Informes y, bajo la
seccin Informes de filtrado de URL, seleccione uno de los informes. Puede generar informes sobre Categoras
de URL, Usuarios de URL, Sitios web a los que se ha accedido, Categoras bloqueadas, etc. Los informes se
basan en un perodo de 24 horas y, para seleccionar el da, se elige un da en la seccin de calendario. Tambin
puede exportar el informe a PDF, CSV o XML.
402
Filtrado de URL
Filtrado de URL
Visualizacin del informe de actividad del usuario

Este informe proporciona un mtodo rpido para visualizar la actividad de un usuario o grupo y tambin ofrece
la opcin de visualizar la actividad de tiempo de exploracin.
Generacin de un informe de actividad del usuario
Paso 1
Configure un informe de actividad del

usuario.
1.
Seleccione Supervisar > Informes en PDF > Informe de

actividad del usuario.
2.
Introduzca un Nombre de informe y seleccione el tipo de

informe. Seleccione Usuario para generar un informe para una
persona o seleccione Grupo para un grupo de usuarios.
Debe usar la opcin de Habilitacin de User-ID para
poder seleccionar nombres de usuario o grupo. Si
User-ID no se ha configurado, puede seleccionar el tipo
Usuario e introducir la direccin IP del equipo del
usuario.
Paso 2
Ejecute el informe de actividad del

usuario y, a continuacin, descargue el
informe.
Filtrado de URL
3.
Introduzca el nombre de usuario/direccin IP de un informe de

usuario o introduzca el nombre de grupo de un informe de
grupo de usuarios.
4.
Seleccione el perodo de tiempo. Puede seleccionar un perodo

de tiempo existente o seleccionar Personalizado.
5.
Seleccione la casilla de verificacin Incluir exploracin

detallada para que se incluya informacin de exploracin en el
informe.
1.
Haga clic en Ejecutar ahora.
2.
Despus de generar el informe, haga clic en el enlace Descargar

informe de actividad de usuario.
3.
Despus de descargar el informe, haga clic en Cancelar y, a

continuacin, haga clic en ACEPTAR para guardar el informe.
403
Filtrado de URL
Generacin de un informe de actividad del usuario (Continuacin)
Paso 3
Visualice el informe de actividad del usuario abriendo el archivo PDF que se descarg. La parte superior del
informe incluir un ndice parecido al siguiente:
Paso 4
Haga clic en un elemento del ndice para ver informacin detallada. Por ejemplo, haga clic en Resumen de trfico
por categora de URL para ver estadsticas para el usuario o grupo seleccionado.
404
Filtrado de URL
Filtrado de URL
Configuracin de informes de filtrado de URL personalizados

Para generar un informe detallado que tambin pueda programarse, puede configurar un informe personalizado
y seleccionar elementos en una lista de todos los campos de log de filtrado de URL disponibles.
Configuracin de un informe de filtrado de URL personalizado
Paso 1
Aada un nuevo informe personalizado.
1.
Seleccione Supervisar > Gestionar informes personalizados y

haga clic en Aadir.
2.
Introduzca un Nombre para el informe (por ejemplo,

Mi-informe-personalizado-de-URL).
3.
Desde el men desplegable Base de datos, seleccione Registro

de URL.
Paso 2
Configure opciones de informe.
1.
Seleccione el men desplegable Perodo de tiempo y seleccione

un rango.
2.
(Opcional) Para personalizar el modo en que el informe se

ordena y agrupa, seleccione Ordenar por y seleccione el nmero
de elementos que deben mostrarse (por ejemplo, los 25
principales) y, a continuacin, seleccione Agrupar por y
seleccione una opcin como Categora y luego seleccione
cuntos grupos se definirn.
3.
En la lista Columnas disponibles, seleccione los campos que

deben incluirse en el informe. Las siguientes columnas suelen
utilizarse para un informe de URL:
Accin
Categora
Pas de destino
Usuario de origen
URL
Paso 3
Paso 4
Ejecute el informe para comprobar los

resultados. Si los resultados son
satisfactorios, establezca una
programacin para ejecutar el informe
automticamente.
1.
Haga clic en el icono Ejecutar ahora para generar

inmediatamente el informe que aparecer en una nueva pestaa.
2.
(Opcional) Haga clic en la casilla de verificacin Programacin

para ejecutar el informe una vez al da. Esto generar un informe
diario con informacin detallada de la actividad web las ltimas
24 horas. Para acceder al informe, seleccione Supervisar >
Informe y, a continuacin, ample Informes personalizados en
la columna derecha y seleccione el informe.
Filtrado de URL
405
Filtrado de URL

Despus de la Determinacin de los requisitos de la poltica de filtrado de URL, debe tener conocimientos
bsicos de los tipos de sitios web y categoras de sitios web a los que estn accediendo sus usuarios. Con esta
informacin, ya est listo para crear perfiles de filtrado de URL personalizados y adjuntarlos a las reglas de la
poltica de seguridad que permiten el acceso web.
Configuracin de controles del sitio web
Paso 1
Cree un perfil de filtrado de URL o

seleccione uno existente.
1.
Dado que el perfil de filtrado de

URL predeterminado bloquea el
2.
contenido de riesgo y propenso a las
amenazas, la prctica recomendada
es duplicar este perfil en lugar de
crear otro perfil para conservar esta
configuracin predeterminada.
Paso 2
Determine cmo controlar el acceso al

contenido web.

en Duplicar. El nuevo perfil se denominar predeterminado-1.
En la pestaa Categoras, para cada categora para la que desee

tener visibilidad o desee controlar, seleccione un valor de la columna
Accin del modo siguiente:
Si no le preocupa el trfico o una categora concreta (es decir, no
desea bloquear ni registrar), seleccione Permitir.
Para tener visibilidad del trfico de los sitios de una categora,
seleccione Alerta.
Para denegar el acceso al trfico que coincide con la categora y
registrar en logs el trfico bloqueado, seleccione Bloquear.
Para indicar a los usuarios que hagan clic en Continuar para ir a
un sitio cuestionable, seleccione Continuar.
Para permitir el acceso solo si los usuarios especifican una
contrasea configurada, seleccione Cancelar. Para obtener ms
informacin sobre esta configuracin, consulte Configuracin de
la cancelacin de administrador de URL.
406
Filtrado de URL
Filtrado de URL
Configuracin de controles del sitio web (Continuacin)
Paso 3
Determine qu sitios web siempre deben 1.

estar bloqueados o permitidos.
En el perfil de filtrado de URL, introduzca las URL o

direcciones IP en Lista de bloqueadas y seleccione una accin:
Por ejemplo, para reducir los logs de filtrado

de URL, puede que desee aadir sus sitios
web corporativos a la lista de permitidos de
modo que no se genere ningn log para
estos sitios. O bien, si hay un sitio web que
se usa demasiado y no est relacionado con
el trabajo de ningn modo, puede aadirlo a
la lista de bloqueados.
Bloquear: Bloquea la direccin URL.

Continuar: Permite indicar a los usuarios que hagan clic en
Continuar para ir a la pgina web.
Cancelar: Se solicita al usuario una contrasea para ir al sitio
web.
Alertar: Permite al usuario acceder al sitio web y aade una
entrada de log de alerta en el log de URL.
Los elementos de la lista de bloqueados 2.

siempre se bloquearn
independientemente de la accin de la
categora asociada y las URL de la lista de 3.
permitidos siempre se permitirn.
Para Lista de permitidas, introduzca las direcciones IP o URL

que deberan permitirse siempre. Cada fila debe estar separada
por una nueva lnea.
(Opcional) Habilitacin del forzaje de bsquedas seguras.
Para obtener ms informacin sobre el

formato correcto y el uso de comodines,
consulte Listas de bloqueadas y
permitidas.
Paso 4
Modifique la configuracin para registrar La opcin Pgina de contenedor de log nicamente est habilitada
logs solo de las Pginas contenedoras.
de forma predeterminada para que solo se registre la pgina
principal que coincide con la categora, pero no las pginas o
categoras posteriores que puedan cargarse en la pgina de
contenedor. Para habilitar el registro de logs para todas las pgina o
categoras, desactive la casilla de verificacin Pgina de contenedor
de log nicamente.
Paso 5
Habilite los Logs de encabezado HTTP

para uno o varios de los campos de
encabezado HTTP admitidos.
Para registrar un log de un encabezado HTTP, seleccione uno o

varios de los siguientes campos:
Agente de usuario
Sitio de referencia
X-Forwarded-For
Paso 6
Guarde el perfil de filtrado de URL.
Paso 7
(Opcional) Habilite pginas de respuesta 1.

en la interfaz de entrada (la interfaz que
recibe el trfico de sus usuarios en primer 2.
lugar).
Esta opcin es obligatoria si habilita las
acciones Continuar o Cancelar para
cualquier categora de URL.
Filtrado de URL
Haga clic en Aceptar.

Seleccione Red > Perfiles de red > Gestin de interfaz y aada
un nuevo perfil o edite un perfil existente.
Haga clic en la casilla de verificacin Pginas de respuesta
para habilitarla.
3.
4.
Seleccione Red > Interfaces y, a continuacin, edite la interfaz

de capa 3 o la interfaz VLAN que sea su interfaz de entrada.
Adems, puede optar por la

5.
Personalizacin de las pginas de
respuesta de filtrado de URL.
6.
Haga clic en la pestaa Avanzado y seleccione el perfil Gestin

de interfaz con la opcin de pgina de respuesta habilitada.
Haga clic en ACEPTAR para guardar la configuracin de
interfaz.
407
Filtrado de URL
Configuracin de controles del sitio web (Continuacin)
Paso 8
Para comprobar la configuracin

de filtrado de URL, solamente
tiene que acceder a un sitio web de
una categora establecida como
Bloquear o Continuar para
comprobar si se realiza la accin
adecuada.
408
Filtrado de URL
Filtrado de URL
Personalizacin de las pginas de respuesta de filtrado

de URL
El cortafuegos proporciona tres Pginas de respuesta de filtrado de URL predefinidas que se muestran de forma
predeterminada cuando el usuario intenta navegar a un sitio de una categora configurada con una de las
acciones de bloqueo del Perfil de filtrado de URL (bloquear, continuar o cancelar) o si el Forzaje de bsquedas
seguras bloquea un intento de bsqueda. Sin embargo, puede crear sus propias pginas de respuesta
personalizadas con su marca corporativa, polticas de uso aceptable y enlaces a sus recursos internos del modo
siguiente:
Paso 1
Paso 2
Exporte las pginas de respuesta

predeterminadas.
Edite la pgina exportada.
1.
2.
Seleccione el enlace de la pgina de respuesta de filtrado de URL

que desee modificar.
3.
Haga clic en la pgina de respuesta (predefinida o compartida) y,

a continuacin, haga clic en el enlace Exportar y guarde el
archivo en su escritorio.
1.
Con el editor de texto de HTML que prefiera, edite la pgina:

Si desea que la pgina de respuesta muestre informacin
personalizada sobre el usuario, la direccin URL o la
categora especficos que se han bloqueado, aada una o
varias de las Variables de pgina de respuesta de filtrado de
URL admitidas.
Si desea incluir imgenes personalizadas (como su logotipo
corporativo), un sonido, una hoja de estilos o un enlace a otra
direccin URL (por ejemplo, a un documento en el que se
detalla su poltica de uso de Internet aceptable), incluya una
o varias de las Referencias de pgina de respuesta admitidas.
2.
Paso 3
Paso 4
Importe la pgina de respuesta

personalizada.
Guarde las pginas de respuesta nuevas.
Filtrado de URL
Guarde la imagen editada con un nuevo nombre de archivo.

Asegrese de que la pgina conserva su codificacin UTF-8. Por
ejemplo, en el Bloc de notas, debe seleccionar UTF-8 en la lista
desplegable Codificacin del cuadro de dilogo Guardar como.
1.
2.
Seleccione el enlace correspondiente a la pgina de respuesta de

filtrado de URL que ha editado.
3.
Haga clic en Importar y, a continuacin, introduzca la ruta y el

nombre de archivo en el campo Importar archivo o examine
para encontrar el archivo.
4.
(Opcional) Seleccione el sistema virtual en el que se usar esta

pgina de inicio de sesin en la lista desplegable Destino o
seleccione Compartido para que est disponible para todos los
sistemas virtuales.
5.
Haga clic en ACEPTAR para importar el archivo.
409
Filtrado de URL
Personalizacin de las pginas de respuesta de filtrado de URL (Continuacin)
Paso 5
410
Compruebe si se muestra la nueva pgina En un explorador, vaya a la direccin URL que activar la pgina de
de respuesta.
respuesta. Por ejemplo, para ver una pgina de respuesta modificada
de filtrado de URL y coincidencia de categoras, busque la direccin
URL cuyo bloqueo es requerido segn la configuracin de su poltica
de filtrado de URL.
Filtrado de URL
Filtrado de URL

En determinados casos, puede haber categoras de URL que desee bloquear, pero permite el acceso a
determinados usuarios ocasionalmente. En este caso, debe establecer la accin de la categora en Cancelar y
establecer una contrasea de cancelacin de administrador de URL en la configuracin de Content-ID del
cortafuegos. Cuando los usuarios intenten buscar la categora, se les pedir que especifiquen la contrasea de
cancelacin para poder acceder al sitio. Use el siguiente procedimiento para configurar la cancelacin de
administrador de URL:
Paso 1
Establezca la contrasea de cancelacin

de administrador de URL.
1.
2.
En la seccin Cancelacin de administrador de URL, haga clic

en Aadir.
3.
En el campo Ubicacin, seleccione el sistema virtual al que se

aplica esta contrasea.
4.
Especifique el valor de Contrasea y seleccione Confirmar

contrasea.
5.
Seleccione un Certificado de servidor para que se muestre el

cortafuegos al usuario si el sitio con la cancelacin es un sitio
HTTPS.
6.
Seleccione el Modo para indicar al usuario que especifique la

contrasea:
Transparente: El cortafuegos intercepta el trfico del
explorador destinado al sitio en una categora de URL que ha
configurado para la cancelacin y representa la URL de
destino original mediante la generacin de HTTP 401 para
solicitar la contrasea. Tenga en cuenta que el explorador del
cliente mostrar errores de certificado si no confa en el
certificado.
Redirigir: El cortafuegos intercepta el trfico HTTP o
HTTPS para una categora de URL establecida para la
cancelacin y redirige la solicitud a una interfaz de capa 3 en
el cortafuegos mediante un redireccionamiento HTTP 302
para solicitar la contrasea de cancelacin. Si selecciona esta
opcin, debe especificar la Direccin (direccin IP o nombre
de host DNS) a la que se redirige el trfico.
7.
Filtrado de URL
411
Filtrado de URL
Configuracin de la cancelacin de administrador de URL (Continuacin)
Paso 2
Paso 3
(Opcional) Establezca un perodo de

cancelacin personalizado.
1.
Edite la seccin Filtrado de URL.
2.
Para cambiar el perodo de tiempo durante el que los usuarios

pueden examinar un sitio en una categora para la que han
especificado correctamente la contrasea de cancelacin,
especifique un valor nuevo en el campo Tiempo de espera de
cancelacin de administrador de URL. De forma
predeterminada, los usuarios pueden acceder a los sitios en la
categora durante 15 minutos sin necesidad de volver a
especificar la contrasea.
3.
Para cambiar el perodo de tiempo durante el que los usuarios

estn bloqueados y no pueden acceder a un sitio configurado
para la cancelacin despus de tres intentos fallidos de
introduccin de la contrasea de cancelacin, especifique un
valor nuevo en el campo Tiempo de espera de bloqueo de
administrador de URL. De forma predeterminada, los usuarios
permanecen bloqueados durante 30 minutos.
4.
1.
(Solo en el modo Redirigir) Cree una
interfaz de capa 3 a la que redirigir las
solicitudes web para los sitios en una
categora configurada para la cancelacin.
Cree un perfil de gestin para habilitar la interfaz de modo que

muestre la pgina de respuesta de continuacin y cancelacin de
filtrado de URL:
a. Seleccione Red > Gestin de interfaz y haga clic en Aadir.
b. Introduzca un Nombre para el perfil, seleccione Pginas de
respuesta y, a continuacin, haga clic en Aceptar.
2.
412
Cree la interfaz de capa 3. Asegrese de adjuntar el perfil de

gestin que acaba de crear (en la pestaa Avanzado > Otra
informacin del cuadro de dilogo Interfaz Ethernet).
Filtrado de URL
Filtrado de URL
Configuracin de la cancelacin de administrador de URL (Continuacin)
Paso 4
(Solo en el modo Redirigir) Para redirigir

a los usuarios de forma transparente sin
mostrar errores de certificado, instale un
certificado que coincida con la direccin
IP de la interfaz a la que va a redirigir las
solicitudes web para un sitio en una
categora de URL configurada para la
cancelacin. Puede generar un certificado
autofirmado o importar un certificado
firmado por una CA externa.
Para usar un certificado autofirmado, primero debe crear un

certificado de CA raz y, a continuacin, usar esa CA para firmar el
certificado que usar para la cancelacin de administrador de URL
del modo siguiente:
dispositivos y, a continuacin, haga clic en Generar.
Introduzca un Nombre de certificado, como RootCA. No
seleccione ningn valor en el campo Firmado por (esto es lo
que indica que est autofirmado). Asegrese de seleccionar la

casilla de verificacin Autoridad del certificado y, a
continuacin, haga clic en Generar para generar el certificado.
2.
Paso 5
Paso 6
Especifique qu categoras de URL

requieren una contrasea de cancelacin
para permitir el acceso.
3.
Seleccione Generar el certificado.
4.
Para configurar clientes para que confen en el certificado,

seleccione el certificado de CA en la pestaa Certificados de
dispositivos y haga clic en Exportar. A continuacin deber
importar el certificado como una CA raz de confianza en todos
los exploradores de cliente, ya sea configurando manualmente
el explorador o aadiendo el certificado a las races de confianza
en un objeto de directiva de grupo (GPO) de Active Directory.
1.
Seleccione Objetos > Filtrado de URL y seleccione un perfil de

filtrado de URL existente o seleccione Aadir para aadir uno
nuevo.
2.
En la pestaa Categoras, establezca la accin en Cancelar

para cada categora que requiera una contrasea.
3.
Complete las secciones restantes del perfil de filtrado de URL

y, a continuacin, haga clic en Aceptar para guardar el perfil.
Aplique el perfil de filtrado de URL a las 1.

reglas de la poltica de seguridad que
permiten el acceso a los sitios que
2.
requieren la cancelacin de la contrasea
para el acceso.
3.
Paso 7
Filtrado de URL
Para crear el certificado que se usar para la cancelacin de

administrador de URL, haga clic en Generar. Especifique el
Nombre del certificado y el nombre de host DNS o la
direccin IP de la interfaz como el Nombre comn. En el
campo Firmado por, seleccione la CA que cre en el paso
anterior. Aada un atributo de direccin IP y especifique la
direccin IP de la interfaz de capa 3 a la que redirigir las
solicitudes web para las categoras de URL con la accin de
cancelacin.
Seleccione Polticas > Seguridad y seleccione la poltica de

seguridad adecuada para modificarla.
Seleccione la pestaa Acciones y, en la seccin Ajuste de perfil,
haga clic en el men desplegable Filtrado de URL y seleccione
el perfil.
413
Filtrado de URL

Muchos motores de bsqueda incluyen una opcin de bsqueda segura que filtra las imgenes y los vdeos para
adultos del trfico de devolucin de consultas de bsqueda. Puede configurar el Forzaje de bsquedas seguras
para el cortafuegos de prxima generacin de Palo Alto Networks con el fin de impedir las solicitudes de
bsqueda que no tengan habilitada la configuracin de bsqueda segura ms estricta.
Hay dos formas de forzar la bsqueda segura en el cortafuegos:
Bloqueo de resultados de bsqueda sin la configuracin de bsqueda segura estricta
Habilitacin del forzaje de bsquedas seguras transparente
Bloqueo de resultados de bsqueda sin la configuracin de bsqueda

segura estricta
De forma predeterminada, si habilita el forzaje de bsquedas seguras, cuando un usuario intenta realizar una
bsqueda sin usar la configuracin de bsqueda segura ms estricta, el cortafuegos bloquea los resultados de la
consulta de bsqueda y muestra la pgina de bloque de bsqueda segura de filtrado de URL. Esta pgina incluye
un enlace a la pgina de configuracin de bsqueda para el proveedor de bsquedas correspondiente de modo
que el usuario final pueda habilitar la configuracin de bsqueda segura. Si tiene previsto usar este mtodo
predeterminado para forzar la bsqueda segura, debe comunicar la poltica a sus usuarios finales antes de
implementarla. Consulte la Tabla: Configuracin de bsqueda segura de proveedores de bsquedas para obtener
informacin detallada sobre cmo cada proveedor de bsquedas implementa la bsqueda segura. La pgina de
bloque de bsqueda segura de filtrado de URL predeterminada incluye un enlace a la configuracin de bsqueda
para el proveedor de bsquedas correspondiente. Puede usar la opcin de Personalizacin de las pginas de
respuesta de filtrado de URL.
Adems, para habilitar el forzaje de bsquedas seguras de modo que sea transparente para sus usuarios finales,
configure el cortafuegos para la Habilitacin del forzaje de bsquedas seguras transparente.
414
Filtrado de URL
Filtrado de URL
Paso 1
Habilite el forzaje de bsquedas seguras

en el perfil de filtrado de URL.
1.
2.
Seleccione un perfil existente para modificarlo o duplique el

perfil predeterminado para crear un perfil.
3.
En la pestaa Configuracin, seleccione la casilla de

verificacin Forzaje de bsquedas seguras para habilitarla.
4.
(Opcional) Restrinja los usuarios para motores de bsqueda

especficos:
a. En la pestaa Categoras, establezca la categora Motores de
bsqueda en Bloquear.
b. Para cada motor de bsqueda al que desee que los usuarios
finales puedan acceder, especifique la direccin web en el
cuadro de texto Lista de permitidas. Por ejemplo, para
permitir a los usuarios acceder solo a las bsquedas en
Google y Bing, debe especificar lo siguiente:
www.google.com
www.bing.com
5.
Configure otras opciones segn sea necesario para:

Determine cmo controlar el acceso al contenido web.
Determine qu sitios web siempre deben estar bloqueados o
permitidos.
6.
Paso 2
Paso 3
1.
Aada el perfil de filtrado de URL a la
regla de la poltica de seguridad que
permite el trfico de clientes de la zona de
confianza a Internet.
2.
Habilite el descifrado del proxy SSL de

reenvo.
Dado que la mayora de los motores de
bsqueda cifran los resultados de
bsqueda, debe habilitar el descifrado del
proxy SSL de reenvo para que el
cortafuegos pueda inspeccionar el trfico
de bsqueda y detectar la configuracin
de bsqueda segura.
Filtrado de URL

Seleccione Polticas > Seguridad y seleccione una regla a la que
aplicar el perfil de filtrado de URL que ha habilitado para el
forzaje de bsquedas seguras.
En la pestaa Acciones, seleccione el perfil de Filtrado de URL.
3.
Haga clic en Aceptar para guardar la regla de la poltica de

seguridad.
1.
Realice los pasos de Configuracin del proxy SSL de reenvo.
2.
En la pestaa Categora de URL de la regla de la poltica de

descifrado, configure las siguientes categoras para el
descifrado:
Motores de bsqueda
Aplicaciones de transmisin multimedia
Portales de Internet
415
Filtrado de URL
Habilitacin del forzaje de bsquedas seguras (Continuacin)
Paso 4
(Opcional, pero recomendado) Bloquee 1.

el trfico de bsqueda de Bing ejecutado
con SSL.
Dado que el motor de bsqueda SSL de
Bing no cumple la configuracin de
bsqueda segura, para un forzaje de
bsquedas completo, debe rechazar todas
las sesiones de Bing que se ejecutan con
SSL.
Aada una categora de URL personalizada para Bing:

a. Seleccione Objetos > Objetos personalizados > Categora
de URL y seleccione Aadir para aadir una categora
personalizada.
b. Introduzca un Nombre para la categora, como
EnableBingSafeSearch.
c. Seleccione Aadir para aadir lo siguiente a la lista de sitios:
www.bing.com/images/*
www.bing.com/videos/*
d. Haga clic en Aceptar para guardar el objeto de la categora
de URL personalizada.
2.
Cree otro perfil de filtrado de URL para bloquear la categora

personalizada que ha creado:
a. Seleccione Objetos > Perfiles de seguridad > Filtrado de
URL.
b. Seleccione Aadir para aadir un perfil nuevo y asgnele un
Nombre descriptivo.
c. Busque la categora personalizada en la lista de categoras y
establzcala en Bloquear.
d. Haga clic en Aceptar para guardar el perfil de filtro de URL.
3.
Aada una regla de la poltica de seguridad para bloquear el

trfico SSL de Bing:
a. Seleccione Polticas > Seguridad y Aadir para aadir una
regla de la poltica que permita el trfico desde su zona de
confianza a Internet.
b. En la pestaa Acciones, adjunte el perfil de filtrado de URL
que acaba de crear para bloquear la categora de Bing
personalizada.
c. En la pestaa Categora de URL/servicio, seleccione Aadir
para aadir un Nuevo servicio y asgnele un Nombre
descriptivo, como bingssl.
d. Seleccione TCP como Protocolo y establezca Puerto de
destino en 443.
e. Haga clic en ACEPTAR para guardar la regla.
f. Use la opcin Mover para asegurarse de que esta regla est
debajo de la regla que tiene el perfil de filtrado de URL con
el forzaje de bsquedas seguras habilitado.
Paso 5
416
Filtrado de URL
Filtrado de URL
Habilitacin del forzaje de bsquedas seguras (Continuacin)
Paso 6
Compruebe la configuracin del forzaje

de bsquedas seguras.
1.
Este paso de verificacin solo

funciona si usa pginas de
bloqueo para forzar la bsqueda
segura. Si usa el forzaje de
bsquedas seguras transparente, la
pgina de bloque del cortafuegos 2.
invoca la reescritura de URL con
los parmetros de bsqueda
3.
segura en la cadena de consulta.
Filtrado de URL
En un equipo detrs del cortafuegos, deshabilite la

configuracin de bsqueda estricta para uno de los proveedores
de bsquedas admitidos. Por ejemplo, en bing.com, haga clic en
el icono Preferencias en la barra de mens de Bing.
Establezca la opcin Bsqueda segura en Moderada o

Desactivada y haga clic en Guardar.
Realice una bsqueda en Bing y compruebe si se muestra la
pgina de bloque de bsqueda segura de filtrado de URL en
lugar de los resultados de la bsqueda:
4.
Use el enlace de la pgina de bloque para ir a la configuracin

de bsqueda del proveedor de bsquedas, establezca la
configuracin de bsqueda segura ms estricta (Estricta en el
caso de Bing) y, a continuacin, haga clic en Guardar.
5.
Vuelva a realizar una bsqueda en Bing y compruebe si se

muestran los resultados de la bsqueda filtrada en lugar de la
pgina de bloque.
417
Filtrado de URL

Si desea forzar el filtrado de los resultados de la consulta de bsqueda con los filtros de bsqueda segura ms
estricta, pero no desea que los usuarios finales tengan que configurar las opciones manualmente, puede habilitar
el forzaje de bsquedas seguras transparente del modo siguiente. Esta funcin solo es compatible con los
motores de bsqueda de Google, Yahoo y Bing, y requiere la versin de publicacin de contenido 475 o
posterior.
Paso 1
Paso 1
Asegrese de que el cortafuegos 1.

ejecuta la versin de publicacin 2.
de contenido 475 o posterior.

Compruebe la seccin Aplicaciones y amenazas para determinar qu
actualizacin se est ejecutando.
3.
Si el cortafuegos no est ejecutando la actualizacin requerida o

posterior, haga clic en Comprobar ahora para recuperar una lista de
actualizaciones disponibles.
4.
Busque la actualizacin requerida y haga clic en Descargar.
5.
Cuando finalice la descarga, haga clic en Instalar.
Habilite el forzaje de bsquedas 1.

seguras en el perfil de filtrado de 2.
URL.

Seleccione un perfil existente para modificarlo o duplique el perfil
predeterminado para crear uno nuevo.
3.
En la pestaa Configuracin, seleccione la casilla de verificacin Forzaje

de bsquedas seguras para habilitarla.
4.
(Opcional) Permita el acceso solo a motores de bsqueda especficos:

a. En la pestaa Categoras, establezca la categora Motores de
bsqueda en Bloquear.
b. Para cada motor de bsqueda al que desee que los usuarios finales
puedan acceder, especifique la direccin web en el cuadro de texto
Lista de permitidas. Por ejemplo, para permitir a los usuarios acceder
solo a las bsquedas en Google y Bing, debe especificar lo siguiente:
www.google.com
www.bing.com
5.
Configure otras opciones segn sea necesario para:

Determine cmo controlar el acceso al contenido web.
Determine qu sitios web siempre deben estar bloqueados o
permitidos.
6.
Paso 2
418
1.
Aada el perfil de filtrado de
URL a la regla de la poltica de
seguridad que permite el trfico
de clientes en la zona de
2.
confianza de Internet.
3.

Seleccione Polticas > Seguridad y seleccione una regla a la que aplicar
el perfil de filtrado de URL que ha habilitado para el forzaje de bsquedas
seguras.
En la pestaa Acciones, seleccione el perfil de Filtrado de URL.
Haga clic en Aceptar para guardar la regla de la poltica de seguridad.
Filtrado de URL
Filtrado de URL
Habilitacin del forzaje de bsquedas seguras transparente (Continuacin)
Paso 3
(Opcional, pero recomendado)

Bloquee el trfico de bsqueda
de Bing ejecutado con SSL.
1.
Aada una categora de URL personalizada para Bing:

a. Seleccione Objetos > Objetos personalizados > Categora de URL y
seleccione Aadir para aadir una categora personalizada.
Dado que el motor de bsqueda

SSL de Bing no cumple la
configuracin de bsqueda
segura, para un forzaje de
bsquedas completo, debe
rechazar todas las sesiones de
Bing que se ejecutan con SSL.
b. Introduzca un Nombre para la categora, como

EnableBingSafeSearch.
c. Seleccione Aadir para aadir lo siguiente a la lista de sitios:
www.bing.com/images/*
www.bing.com/videos/*
d. Haga clic en Aceptar para guardar el objeto de la categora de URL
personalizada.
2.
Cree otro perfil de filtrado de URL para bloquear la categora

personalizada que ha creado:
a. Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
b. Seleccione Aadir para aadir un perfil nuevo y asgnele un Nombre
descriptivo.
c. Busque la categora personalizada que acaba de crear en la lista de
categoras y establzcala en Bloquear.
d. Haga clic en Aceptar para guardar el perfil de filtro de URL.
3.
Seleccione Aadir para aadir una regla de la poltica de seguridad para

bloquear el trfico SSL de Bing:
a. Seleccione Polticas > Seguridad y Aadir para aadir una regla de la
poltica que permita el trfico desde su zona de confianza a Internet.
b. En la pestaa Acciones, adjunte el perfil de filtrado de URL que acaba
de crear para bloquear la categora de Bing personalizada.
c. En la pestaa Categora de URL/servicio, seleccione Aadir para
aadir un Nuevo servicio y asgnele un Nombre descriptivo, como
bingssl.
d. Seleccione TCP como Protocolo y establezca Puerto de destino
en 443.
e. Haga clic en ACEPTAR para guardar la regla.
f. Use la opcin Mover para asegurarse de que esta regla est debajo de
la regla que tiene el perfil de filtrado de URL con el forzaje de
bsquedas seguras habilitado.
Filtrado de URL
419
Filtrado de URL
Paso 4
1.
Edite la pgina de bloque de
bsqueda segura de filtrado de
URL para sustituir el cdigo
2.
existente por Javascript con el fin
de reescribir las URL de consulta
3.
de bsqueda para forzar la
bsqueda segura de forma
transparente.
Seleccione Dispositivo > Pginas de respuesta > Pgina de bloque de

bsqueda segura de filtrado de URL.
Seleccione Predefinido y, a continuacin, haga clic en Exportar para
guardar el archivo localmente.
Use un editor HTML para sustituir todo el texto de la pgina de bloque
existente por el siguiente texto y, a continuacin, guarde el archivo:
<html>
<head>
<script>
var s_u = location.href;
//bing
b_n = s_u.search("www.bing.com/")
if (b_n > 0) {
s_u = s_u + "&adlt=strict";
}
//google
g_n = s_u.search("www.google.com/")
if (g_n > 0) {
s_u = s_u + "&safe=active";
}
// yahoo
y_n = s_u.search("search.yahoo.com")
if (y_n > 0) {
s_u = s_u.replace(/&vm=p/ig,"");
s_u = s_u + "&vm=r";
}
window.location.replace(s_u);
document.getElementById("java_off").innerHTML = 'You are being
redirected to a safer search!';
</script>
<title>Search Blocked</title>
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
</head>
<body bgcolor="#e7e8e9" id="java_off">
Your search is not safesearch enforced!
Please enable Java script in your browser.
</body>
</html>
Paso 5
420
Importe la pgina de bloque de

bsqueda segura de filtrado de
URL editada en el cortafuegos.
1.
Para importar la pgina de bloque editada, seleccione Dispositivo >

Pginas de respuesta > Pgina de bloque de bsqueda segura de
filtrado de URL.
2.
Haga clic en Importar y, a continuacin, introduzca la ruta y el nombre

de archivo en el campo Importar archivo o examine para encontrar el
archivo.
3.
(Opcional) Seleccione el sistema virtual en el que se usar esta pgina de

inicio de sesin en la lista desplegable Destino o seleccione Compartido
para que est disponible para todos los sistemas virtuales.
4.
Haga clic en ACEPTAR para importar el archivo.
Filtrado de URL
Filtrado de URL
Paso 6
Habilite el descifrado del proxy

SSL de reenvo.
Dado que la mayora de los
motores de bsqueda cifran los
resultados de bsqueda, debe
habilitar el descifrado del proxy
SSL de reenvo para que el
cortafuegos pueda inspeccionar
el trfico de bsqueda y detectar
la configuracin de bsqueda
segura.
Paso 7
Filtrado de URL
1.
Realice los pasos de Configuracin del proxy SSL de reenvo.
2.
En la pestaa Categora de URL de la regla de la poltica de descifrado,

configure las siguientes categoras para el descifrado:
Motores de bsqueda
Aplicaciones de transmisin multimedia
Portales de Internet
421
Filtrado de URL

Los siguientes casos de uso muestran cmo utilizar App-ID para controlar un conjunto especfico de
aplicaciones basadas en Internet y cmo utilizar categoras de URL como criterios de coincidencia en una
poltica. Al trabajar con App-ID, es importante comprender que cada firma de App-ID puede tener
dependencias que sean obligatorias para controlar una aplicacin por completo. Por ejemplo, en el caso de
aplicaciones de Facebook, la base de facebook de App-ID es obligatoria para acceder al sitio web de Facebook
y controlar otras aplicaciones de Facebook. Por ejemplo, para configurar el cortafuegos con el fin de que
controle el correo electrnico de Facebook, tendra que permitir la base de facebook y el correo de facebook de
App-ID. Como otro ejemplo, si busca en Applipedia (la base de datos de App-ID) LinkedIn, ver que para
controlar el correo de LinkedIn, deber aplicar la misma accin a ambos App-ID: base de linkedin y correo de
linkedin. Para determinar las dependencias de las aplicaciones para firmas de App-ID, visite Applipedia, busque
la aplicacin en cuestin y, a continuacin, haga clic en la aplicacin para obtener informacin detallada.
La funcin User-ID es obligatoria para implementar polticas basadas en usuarios y grupos, y se
requiere una poltica de Descifrado para identificar y controlar los sitios web cifrados mediante
SSL.
Esta seccin incluye dos casos de uso:
Caso de uso: control de acceso web
Caso de uso: uso de categoras de URL en la poltica
422
Filtrado de URL
Filtrado de URL
Caso de uso: control de acceso web

Al utilizar el filtrado de URL para controlar el acceso a sitios web de usuarios, puede que haya instancias en las
que un control detallado sea obligatorio para un sitio web especfico. En este caso de uso, se aplica una poltica
de filtrado de URL a la poltica de seguridad que permite el acceso web para sus usuarios y la categora de URL
redes sociales se establece como Bloquear, pero la lista de permitidas del perfil de URL se configura para permitir
el sitio web de redes sociales de Facebook. Para tener un control adicional sobre Facebook, la poltica de la
empresa tambin determina que solamente el departamento de marketing tiene un acceso completo a Facebook
y que el resto de usuarios de la empresa solamente pueden leer publicaciones de Facebook y no pueden utilizar
ninguna otra aplicacin de Facebook, como el correo electrnico, las publicaciones, el chat y el intercambio de
archivos. Para lograr este requisito, debe utilizarse App-ID para proporcionar un control detallado sobre
Facebook.
La primera regla de seguridad permitir que el departamento de marketing acceda al sitio web de Facebook, as
como a todas las aplicaciones de Facebook. Como esta regla de permiso tambin permitir el acceso a Internet,
se aplican perfiles de prevencin de amenazas a la regla, para que el trfico que coincida con la poltica se
examine en busca de amenazas. Esto es importante porque la regla de permiso es terminal y no continuar para
comprobar otras reglas si hay una coincidencia de trfico.
Control de acceso web
Paso 1
Paso 2
Confirme que el filtrado de URL tiene

licencia.
1.
Seleccione Dispositivo > Licencias y confirme que aparece una

fecha vlida para la base de datos de filtrado de URL que se
utilizar. Ser PAN-DB o BrightCloud.
2.
Si no hay ninguna licencia vlida instalada, consulte Habilitacin

de PAN-DB URL Filtering.
Confirme que User-ID funciona. User-ID 1.

es obligatorio para crear polticas basadas
en usuarios y grupos.
Para comprobar la asignacin de grupos, desde la CLI,

introduzca el siguiente comando:
show user group-mapping statistics
2.
Para comprobar la asignacin de usuarios, desde la CLI,

introduzca el siguiente comando:
3.
Si no aparecen estadsticas y/o no se muestra informacin de

asignacin de IP a usuario, consulte User-ID.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL

y seleccione el perfil predeterminado.
2.
Haga clic en el icono Duplicar. Debera aparecer un nuevo perfil

denominado predeterminado-1.
3.
show user ip-user-mapping-mp all
Paso 3
Configure un perfil de filtrado de URL

duplicando el perfil predeterminado.
Filtrado de URL
423
Filtrado de URL
Control de acceso web (Continuacin)
Paso 4
Paso 5
Configure el perfil de filtrado de URL

1.
para que bloquee redes sociales y permita
Facebook.
2.
En el cuadro Lista de permitidas, escriba facebook.com,

pulse Intro para iniciar una nueva lnea y, a continuacin, escriba
*.facebook.com. Ambos formatos son obligatorios, as
que se identificarn todas las variantes de URL que un usuario
pueda utilizar, como facebook.com, www.facebook.com y
https://facebook.com.
3.
Aplique el nuevo perfil de filtrado de URL 1.

a la regla de la poltica de seguridad que
permite el acceso web desde la red de
2.
usuario a Internet.
3.
424
Modifique el nuevo perfil de filtrado de URL y, en la lista

Categora, desplcese hasta redes sociales y, en la columna
Accin, haga clic en Permitir y cambie la accin a Bloquear.
Seleccione Polticas > Seguridad y haga clic en la regla de la

poltica que permite el acceso web.
En la pestaa Acciones, seleccione el perfil de URL que acaba
de crear en el men desplegable Filtrado de URL.
Filtrado de URL
Filtrado de URL
Paso 6
Cree la poltica de seguridad que permitir 1.

al departamento de marketing acceder al 2.
sitio web de Facebook y a todas las
aplicaciones de Facebook.
3.
Esta regla debe preceder a otras reglas
porque es ms especfica que las otras
4.
polticas y porque es una regla de permiso,
que finalizar cuando se produzca una
5.
coincidencia de trfico.
Seleccione Polticas > Seguridad y haga clic en Aadir.

Introduzca un Nombre y, opcionalmente, una Descripcin y
Etiqueta.
En la pestaa Origen, aada la zona donde los usuarios estn

conectados.
En la pestaa Usuario de la seccin Usuario de origen, haga
clic en Aadir.
Seleccione el grupo de directorios que incluya a sus usuarios de
marketing.
6.
En la pestaa Destino, seleccione la zona conectada a Internet.
7.
En la pestaa Aplicaciones, haga clic en Aadir y aada la firma

de App-ID facebook.
8.
En la pestaa Acciones, aada los perfiles predeterminados para

Antivirus, Proteccin contra vulnerabilidades y Antispyware.
9.
Haga clic en ACEPTAR para guardar el perfil de seguridad.

La firma de App-ID facebook utilizada en esta poltica engloba
todas las aplicaciones de Facebook, como base de facebook,
chat de facebook y correo de facebook, por lo que esta es la
nica firma de App-ID obligatoria en esta regla.
Cuando esta poltica est establecida, si un empleado de
marketing intenta acceder al sitio web de Facebook o cualquier
aplicacin de Facebook, la regla coincide basndose en el hecho
de que el usuario forma parte del grupo de marketing. Para el
trfico de cualquier usuario que no pertenezca al departamento
de marketing, la regla se omitir porque no habr ninguna
coincidencia de trfico y el procesamiento de reglas continuar.
Filtrado de URL
425
Filtrado de URL
Paso 7
1.
Configure la poltica de seguridad para
bloquear al resto de usuarios de modo que
no puedan utilizar ninguna aplicacin de
Facebook que no sea una exploracin
2.
web bsica. La forma ms sencilla de
hacer esto es duplicar la poltica de
3.
permiso de marketing y, a continuacin,
modificarla.
4.
5.
Desde Polticas > Seguridad, haga clic en la poltica de permiso

de Facebook de marketing que cre anteriormente para
resaltarla y, a continuacin, haga clic en el icono Duplicar.
Introduzca un Nombre y, opcionalmente, introduzca una
Descripcin y Etiqueta.
En la pestaa Usuario, resalte el grupo de marketing y elimnelo;
en el men desplegable, seleccione cualquiera.
En la pestaa Aplicaciones, haga clic en la firma de App-ID
facebook y elimnela.
Haga clic en Aadir y aada las siguientes firmas de App-ID:
aplicaciones de facebook
chat de facebook
intercambio de archivos de facebook
correo de facebook
publicaciones de facebook
complemento social de facebook
6.
En la pestaa Acciones, en la seccin Configuracin de accin,

seleccione Denegar. La configuracin del perfil ya debera ser
correcta porque esta regla se duplic.
7.
Haga clic en ACEPTAR para guardar el perfil de seguridad.
8.
Asegrese de que esta nueva regla de denegacin se enumera

despus de la regla de permiso de marketing para garantizar que
el procesamiento de reglas se realiza en el orden correcto con el
fin de permitir a los usuarios de marketing y, a continuacin,
denegar/limitar al resto de usuarios.
9.
Con estas polticas establecidas, cualquier usuario que forme parte del grupo de marketing tendr un acceso
completo a todas las aplicaciones de Facebook y cualquier usuario que no forme parte del grupo de marketing
solamente tendr acceso de solo lectura al sitio web de Facebook y no podr utilizar determinadas funciones de
Facebook, como la publicacin, el chat, el correo electrnico y el intercambio de archivos.
426
Filtrado de URL
Filtrado de URL
Caso de uso: uso de categoras de URL en la poltica

Las categoras de URL tambin se pueden utilizar como criterios de coincidencia en los siguientes tipos de
polticas: portal cautivo, descifrado, seguridad y QoS. En este caso de uso, las categoras de URL se utilizarn en
polticas de descifrado para controlar qu categoras web deben descifrarse o no. La primera regla es una regla
de no descifrado que no descifrar el trfico de usuario si la categora del sitio web es servicios financieros o salud y
medicina y la segunda regla descifrar el resto del trfico. El tipo de poltica de descifrado es proxy ssl de reenvo, que
se utiliza para controlar el descifrado para todas las conexiones salientes realizadas por los usuarios.
Configuracin de una poltica de descifrado basndose en la categora de URL
Paso 1
1.
Cree la regla de no descifrado que se
incluir primero en la lista de polticas de 2.
descifrado. Esto impedir el descifrado
de cualquier sitio web que tenga las
3.
categoras de URL servicios financieros o
salud y medicina.
4.
Filtrado de URL

En la pestaa Origen, aada la zona en la que los usuarios estn
conectados.
En la pestaa Destino, introduzca la zona conectada a Internet.
5.
En la pestaa Categora de URL, haga clic en Aadir y

seleccione las categoras de URL servicios financieros y salud y
medicina.
6.
En la pestaa Opciones, establezca la accin como No hay

ningn descifrado y el Tipo como Proxy SSL de reenvo.
7.
427
Filtrado de URL
Configuracin de una poltica de descifrado basndose en la categora de URL (Continuacin)
Paso 2
Paso 3
1.
Cree la poltica de descifrado que
descifrar el resto del trfico. Esta poltica
se enumerar despus de la poltica de no 2.
descifrado.
(Solo BrightCloud) Active bsquedas en

la nube para categorizar dinmicamente
una URL cuando la categora no est
disponible en la base de datos local del
cortafuegos.
Seleccione la poltica de no descifrado que cre anteriormente y,

a continuacin, haga clic en Duplicar.
3.
En la pestaa Categora de URL, seleccione servicios financieros y

salud y medicina y, a continuacin, haga clic en el icono Eliminar.
4.
En la pestaa Opciones, establezca la accin como Descifrar y

el Tipo como Proxy SSL de reenvo.
5.
Asegrese de que esta nueva regla de descifrado se enumera

despus de la regla de no descifrado como se muestra en la
captura de pantalla anterior. Esto garantizar que el
procesamiento de reglas se produzca en el orden correcto, de
modo que los sitios web de las categoras servicios financieros y
salud y medicina no se descifren
6.
1.
Acceda a la CLI en el cortafuegos.
2.
Especifique los siguientes comandos para habilitar el filtrado de

URL dinmicas:
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
Paso 4
Con estas dos polticas de descifrado establecidas, cualquier trfico destinado a las categoras de URL servicios
financieros o salud y medicina no se descifrar. El resto del trfico s se descifrar.
Tambin puede definir un control ms detallado sobre las polticas de descifrado definiendo polticas de
descifrado, que se utilizan para realizar comprobaciones como verificaciones de certificados de servidor o para
bloquear sesiones con certificados vencidos. A continuacin, el perfil se aade a la pestaa Opciones de la
poltica de descifrado. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione
Objetos > Perfiles de descifrado en el cortafuegos y, a continuacin, haga clic en el icono de ayuda.
Ahora que tiene unos conocimientos bsicos de las potentes funciones del filtrado de URL, App-ID y User-ID,
puede aplicar polticas similares a su cortafuegos para controlar cualquier aplicacin de la base de datos de firmas
de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base de datos de filtrado de URL.
Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solucin de problemas del filtrado
de URL.
428
Filtrado de URL
Filtrado de URL

En los siguientes temas se proporcionan directrices de solucin de problemas para diagnosticar y resolver
problemas comunes del filtrado de URL.
Problemas en la activacin de PAN-DB
Problemas de conectividad con la nube de PAN-DB
URL clasificadas como no resueltas
Categorizacin incorrecta
Base de datos de URL vencida
Problemas en la activacin de PAN-DB

En la siguiente tabla se describen procedimientos que puede usar para solucionar problemas de activacin de
PAN-DB.
Solucin de problemas de activacin de PAN-DB
1.
Acceda a la CLI en el cortafuegos.
2.
Compruebe si PAN-DB se ha activado mediante la ejecucin del siguiente comando:

admin@PA-200> show system setting url-database
Si la respuesta es paloaltonetworks, PAN-DB es el proveedor activo.

3.
Compruebe si el cortafuegos tiene una licencia de PAN-DB vlida mediante la ejecucin del siguiente comando:
admin@PA-200> request license info
Debe ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no est instalada, deber obtener e
instalar una licencia. Consulte Configuracin de filtrado de URL.
4.
Una vez instalada la licencia, descargue una nueva base de datos de envos PAN-DB mediante la ejecucin del
siguiente comando:
admin@PA-200> request url-filtering download paloaltonetworks region
5.
<region>
Para comprobar el estado de la descarga, ejecute el siguiente comando:

admin@PA-200> request url-filtering download status vendor paloaltonetworks
Si el mensaje es distinto de PAN-DB download: Finished successfully, detenga el proceso, ya que puede haber
un a problema de conexin con la nube. Intente solucionar el problema de conectividad realizando una solucin
de problemas de red bsica entre el cortafuegos e Internet. Para obtener ms informacin, consulte Problemas de
conectividad con la nube de PAN-DB.
Si el mensaje es PAN-DB download: Finished successfully, el cortafuegos habr descargado correctamente la
base de datos de envos de URL. Intente habilitar PAN-DB de nuevo mediante la ejecucin del siguiente comando:
admin@PA-200> set system setting url-database paloaltonetworks
6.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
Filtrado de URL
429
Filtrado de URL
Problemas de conectividad con la nube de PAN-DB

Para comprobar la conectividad de la nube, ejecute el siguiente comando:
admin@pa-200> show url-cloud status
Si se puede acceder a la nube, la respuesta esperada es similar a la siguiente:
admin@PA-200> show url-cloud status
License :
Current cloud server :
Cloud connection :
URL database version - device :
URL database version - cloud :
2013/11/19
13:20:51 )
URL database status :
URL protocol version - device :
URL protocol version - cloud :
Protocol compatibility status :
valid
connected
2013.11.18.000
2013.11.18.000 ( last update time
good
pan/0.0.2
pan/0.0.2
compatible
Si no se puede acceder a la nube, la respuesta esperada es similar a la siguiente:

License :
valid
Cloud connection :
not connected
URL database version - device :
2013.11.18.000
URL database version - cloud :
2013.11.18.000
2013/11/19
13:20:51 )
URL database status :
good
URL protocol version - device :
pan/0.0.2
URL protocol version - cloud :
pan/0.0.2
Protocol compatibility status :
compatible
430
( last update time
Filtrado de URL
Filtrado de URL
En la siguiente tabla se describen los procedimientos que puede usar para solucionar problemas provocados por
la salida del comando show url-cloud status, cmo hacer ping a los servidores de la nube de URL y qu
comprobar si el cortafuegos tiene una configuracin de alta disponibilidad (HA).
Solucin de problemas de conectividad con la nube
Si el campo de la licencia de PAN-DB URL Filtering no es vlido, obtenga e instale una licencia de PAN-DB vlida.
Si la base de datos de URL no est actualizada, descargue una base de datos de envos nueva mediante la ejecucin del
siguiente comando:
admin@pa-200> request url-filtering download paloaltonetworks region <region>
Si la versin del protocolo de URL no es compatible, actualice PAN-OS a la ltima versin.

Intente hacer ping al servidor de la nube de PAN-DB desde el cortafuegos mediante la ejecucin del siguiente comando:
admin@pa-200> ping source <ip-address> host s0000.urlcloud.paloaltonetworks.com
Por ejemplo, si la direccin IP de su interfaz de gestin es 10.1.1.5, ejecute el siguiente comando:

admin@pa-200> ping source 10.1.1.5 host s0000.urlcloud.paloaltonetworks.com
Si el cortafuegos tiene una configuracin de HA, verifique que el estado de HA de los dispositivos admita la conectividad
con los sistemas de la nube. Puede determinar el estado de HA mediante la ejecucin del siguiente comando:
admin@pa-200> show high-availability state
La conexin con la nube se bloquear si el cortafuegos no tiene uno de los siguientes estados:
activa
activa-principal
activa-secundaria
URL clasificadas como no resueltas

En la siguiente tabla se describen los procedimientos que puede usar para solucionar problemas en los que
algunas o todas las URL identificadas por PAN-DB se clasifican como No resuelto:
Solucin de problemas de URL clasificadas como no resueltas
1.
Compruebe la conexin con la nube de PAN-DB mediante la ejecucin del siguiente comando:
En el campo de conexin con la nube se debe mostrar Conectado. Si no se muestra Conectado, cualquier URL
que no exista en la cach del plano de gestin se categoriza como No resuelto. Para solucionar este problema,
consulte Problemas de conectividad con la nube de PAN-DB.
2.
Si el estado de conexin de la nube es Conectado, compruebe el uso actual del cortafuegos. Si el rendimiento
del cortafuegos tiene picos, puede que las solicitudes de URL se descarten (puede que no lleguen al plano de
gestin) y se categoricen como No resuelto.
Para ver los recursos del sistema, ejecute el siguiente comando y consulte las columnas %CPU y %MEM:
admin@PA-200> show system resources
Adems, para ver los recursos del sistema en las interfaces web del cortafuegos, haga clic en la pestaa Panel
y consulte la seccin Recursos del sistema.
3.
Filtrado de URL
431
Filtrado de URL
Categorizacin incorrecta
En los siguientes pasos se describen los procedimientos que puede usar si identifica una URL que no tiene una
categorizacin correcta. Por ejemplo, si la URL paloaltonetworks.com se categoriza como alcohol y tabaco, la
categorizacin no es correcta. La categora debe ser informacin de equipo e internet.
Solucin de problemas de categorizacin incorrecta
1.
Compruebe la categora en el plano de datos mediante la ejecucin del siguiente comando:

admin@PA-200>
show running url <URL>
Por ejemplo, para ver la categora del sitio web de Palo Alto Networks, ejecute el siguiente comando:
admin@PA-200> show running url paloaltonetworks.com
Si la URL almacenada en la cach del plano de datos tiene la categora correcta (informacin de equipo e internet en
este ejemplo), la categorizacin es correcta y no es necesario realizar ninguna otra accin. Si la categora no es
correcta, vaya al paso siguiente.
2.
Compruebe la categora en el plano de gestin mediante la ejecucin del siguiente comando:

admin@PA-200> test url-info-host
<URL>
Por ejemplo:
admin@PA-200> test url-info-host paloaltonetworks.com
Si la URL almacenada en la cach del plano de gestin tiene la categora correcta, quite la URL de la cach del plano
de datos mediante la ejecucin del siguiente comando:
admin@PA-200> clear url-cache url
<URL>
La prxima vez que el dispositivo solicite la categora de esta URL, la solicitud se reenviar al plano de gestin. Esto
solucionar el problema y no ser necesario realizar ninguna otra accin. Si esto no soluciona el problema, vaya al
paso siguiente para comprobar la categora de URL en los sistemas de la nube.
3.
Compruebe la categora en la nube mediante la ejecucin del siguiente comando:

admin@PA-200> test url-info-cloud <URL>
4.
Si la URL almacenada en la nube tiene la categora correcta, quite la URL de las cachs del plano de datos y el plano
de gestin.
Ejecute el siguiente comando para eliminar una URL de la cach del plano de datos:
admin@PA-200> clear url-cache url <URL>
Ejecute el siguiente comando para eliminar una URL de la cach del plano de gestin:
admin@PA-200> delete url-database url <URL>
La prxima vez que el dispositivo solicite la categora de dicha URL, la solicitud se reenviar al plano de gestin y, a
continuacin, a la nube. Esto debera solucionar el problema de bsqueda de categora. Si el problema persiste,
consulte el paso siguiente para enviar una solicitud de cambio de categorizacin.
5.
432
Para enviar una solicitud de cambio desde la interfaz web, vaya al log de URL y seleccione la entrada de log para la
URL que desee cambiar.
Filtrado de URL
Filtrado de URL
Solucin de problemas de categorizacin incorrecta (Continuacin)
6.
Haga clic en el enlace Solicitar cambio de categorizacin y siga las instrucciones. Adems, para solicitar un cambio
de categora en el sitio web Test A Site (en ingls) de Palo Alto Networks, busque la URL y, a continuacin, haga clic
en el icono Solicitar cambio. Para ver una lista de todas las categoras disponibles con descripciones para cada
categora, consulte https://urlfiltering.paloaltonetworks.com/CategoryList.aspx.
Si la solicitud de cambio se aprueba, recibir una notificacin por correo electrnico. A continuacin, tiene dos
opciones para asegurarse de que la categora de URL se actualiza en el cortafuegos:
Espere hasta que la URL de la cach caduque y la prxima vez que un usuario acceda a la URL, la actualizacin
de la nueva categorizacin se incluir en la cach.
Ejecute el siguiente comando para forzar la actualizacin en la cach:
admin@PA-200> request url-filtering update url
<URL>
Base de datos de URL vencida

Si ha observado mediante Syslog o la CLI que PAN-DB no est actualizada, esto significa que la conexin del
cortafuegos con la nube de URL est bloqueada. Esto suele suceder cuando la base de datos de URL del
cortafuegos es demasiado antigua (la diferencia de la versin es de ms de tres meses) y la nube no puede
actualizar el cortafuegos automticamente. Para solucionar este problema, deber volver a descargar una base
de datos de envos iniciales desde la nube (esta operacin no est bloqueada). El resultado ser una reactivacin
automtica de PAN-DB.
Para actualizar la base de datos manualmente, realice uno de los pasos siguientes:
En la interfaz web, seleccione Dispositivo > Licencias y, en la seccin PAN-DB URL Filtering, haga clic en el
enlace Volver a descargar.
En la CLI, ejecute el siguiente comando:

admin@PA-200> request url-filtering download paloaltonetworks region
<region_name>
Cuando la base de datos de envos se vuelva a descargar, se purgar la cach de URL en el

plano de gestin y el plano de datos. A continuacin, la cach del plano de gestin se volver a
rellenar con el contenido de la nueva base de datos de envos.
Filtrado de URL
433
Filtrado de URL
434
Filtrado de URL
Calidad de servicio
La calidad de servicio (QoS) es un conjunto de tecnologas que funciona en una red para garantizar su capacidad
de ejecutar de manera fiable aplicaciones de alta prioridad y trfico bajo una capacidad de red limitada. Las
tecnologas de QoS lo consiguen ofreciendo una gestin diferenciada y una asignacin de capacidad a flujos
especficos del trfico de red. Esto permite que el administrador de red asigne el orden el en que se gestiona el
trfico y la cantidad de ancho de banda permitida para el trfico.
La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece una QoS bsica aplicada a redes y la
ampla para proporcionar QoS a aplicaciones y usuarios.
Utilice los siguientes temas para obtener informacin sobre la QoS de aplicaciones de Palo Alto Networks y
configurarla:
Descripcin general de QoS
Conceptos de QoS
Configuracin de QoS
Configuracin de QoS para un sistema virtual
Ejemplos de casos de uso de QoS
Puede utilizar la herramienta de comparacin de productos de Palo Alto Networks para ver las
funciones de QoS admitidas en su plataforma de cortafuegos. Seleccione dos o ms plataformas
de productos y haga clic en Comparar ahora para ver la compatibilidad de las funciones de QoS
para cada plataforma (por ejemplo, puede comprobar si su plataforma de cortafuegos admite QoS
en subinterfaces y, si es as, el nmero mximo de subinterfaces en las que QoS puede habilitarse).
El cortafuegos PA-7050 admite QoS en interfaces Ethernet de agregacin (AE) de PAN-OS 6.0.0.
Calidad de servicio
435
Calidad de servicio

Utilice la QoS para establecer la prioridad y ajustar los aspectos de calidad del trfico de red. Puede asignar el
orden en el que se gestionan los paquetes y adjudicar el ancho de banda, garantizando que el tratamiento
preferido y los niveles ptimos de rendimiento se permiten para el trfico, las aplicaciones y los usuarios
seleccionados.
Las medidas de calidad de servicio sujetas a una implementacin de QoS son el ancho de banda (tasa de
transferencia mxima), el rendimiento (tasa de transferencia real), la latencia (retraso) y la vibracin (varianza en
latencia). La capacidad de moldear o controlar estas medidas de calidad de servicio hace que QoS sea de especial
importancia para el ancho de banda alto, el trfico en tiempo real como la voz sobre IP (VoIP), las
videoconferencias y el vdeo a peticin con una alta sensibilidad a la latencia y la vibracin. Asimismo, utilice
QoS para lograr resultados como los siguientes:
Establezca la prioridad del trfico de red y aplicaciones, garantizando una alta prioridad para el trfico
importante o limitando el trfico no esencial.
Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al trfico de carga
como al de descarga o solamente al trfico de carga o al de descarga.
Garantice una baja latencia para el trfico generador de ingresos y de clientes en un entorno empresarial.
Realice la generacin de perfiles de trfico de aplicaciones para garantizar el uso del ancho de banda.
La implementacin de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuracin principales que admiten una solucin completa de QoS: un Perfil de QoS, una Poltica de QoS y
la configuracin de la Interfaz de salida de QoS. Cada una de estas opciones de la tarea de configuracin de QoS
facilita un proceso ms amplio que optimiza y establece la prioridad del flujo de trfico y asigna y garantiza el
ancho de banda de acuerdo con los parmetros configurables.
La Ilustracin: flujo de trfico de QoS muestra el trfico a medida que se desplaza desde el origen, es moldeado
por el cortafuegos con la QoS habilitada y, por ltimo, recibe su prioridad y se entrega en su destino.
Ilustracin: flujo de trfico de QoS
436
Calidad de servicio
Calidad de servicio
Las opciones de configuracin de QoS le permiten controlar el flujo de trfico y definirlo en puntos diferentes
del flujo. La Ilustracin: flujo de trfico de QoS indica en qu lugar las opciones configurables definen el flujo
de trfico. Utilice el perfil de QoS para definir clases de QoS y utilice la poltica de QoS para asociar clases de
QoS al trfico seleccionado. Habilite el perfil de QoS en una interfaz para moldear el trfico de acuerdo con la
configuracin de QoS a medida que se desplaza por la red.
Puede configurar un perfil de QoS y una poltica de QoS individualmente o en cualquier orden, de acuerdo con
sus preferencias. Cada una de las opciones de configuracin de QoS tiene componentes que influyen en la
definicin de las otras opciones. Adems, las opciones de configuracin de QoS se pueden utilizar para crear
una poltica de QoS completa y detallada o se pueden utilizar con moderacin con un mnimo de acciones del
administrador.
Cada modelo de cortafuegos admite un nmero mximo de puertos que se puede configurar con QoS. Consulte
la hoja de especificaciones de su modelo de cortafuegos o utilice la herramienta de comparacin de productos
para ver la compatibilidad de las funciones de QoS de dos o ms cortafuegos en una nica pgina.
Calidad de servicio
437
Conceptos de QoS
Calidad de servicio
Conceptos de QoS
Utilice los siguientes temas para obtener informacin sobre los diferentes componentes y mecanismos de una
configuracin de QoS en un cortafuegos de Palo Alto Networks:
QoS para aplicaciones y usuarios
Perfil de QoS
Clases de QoS
Poltica de QoS
Interfaz de salida de QoS
Trfico de texto claro y de tnel de QoS
QoS para aplicaciones y usuarios

Un cortafuegos de Palo Alto Networks proporciona una QoS bsica, que controla el trfico que sale del
cortafuegos de acuerdo con la red o la subred y ampla la capacidad de la QoS para tambin clasificar y moldear
el trfico de acuerdo con la aplicacin y el usuario. El cortafuegos de Palo Alto Networks ofrece esta capacidad
integrando las funciones App-ID y User-ID con la configuracin de QoS. Las entradas de App-ID y User-ID
que existen para identificar aplicaciones y usuarios especficos de su red estn disponibles en la configuracin
de QoS para que pueda especificar fcilmente aplicaciones y usuarios a los que aplicar la QoS.
Puede utilizar una poltica de QoS en la interfaz web (Polticas > QoS) para aplicar la QoS especficamente al
trfico de una aplicacin:
O al trfico de un usuario:
Consulte App-ID y User-ID para obtener ms informacin sobre estas funciones.
438
Calidad de servicio
Calidad de servicio
Conceptos de QoS
Perfil de QoS
Utilice un perfil de QoS para definir los valores de hasta ocho clases de QoS incluidas en ese perfil individual
(Red > Perfiles de red > Perfil de QoS):
QoS se habilita aplicando un perfil de QoS a la interfaz de salida para el trfico de red, aplicacin o usuario (o,
especficamente, para el trfico de texto claro o de tnel). Una interfaz configurada con QoS moldea el trfico
de acuerdo con las definiciones de clases del perfil de QoS y el trfico asociado a dichas clases en la poltica de
QoS.
Hay un perfil de QoS predeterminado disponible en el cortafuegos. El perfil predeterminado y las clases
definidas en el perfil no tienen lmites de ancho de banda garantizado o mximo predefinidos.
Puede establecer lmites de ancho de banda para un perfil de QoS y/o establecer lmites para clases de QoS
individuales dentro del perfil de QoS. Los lmites de ancho de banda garantizados totales de las ocho clases de
QoS de un perfil de QoS no pueden superar el ancho de banda total asignado a dicho perfil de QoS. La
habilitacin de QoS en una interfaz fsica incluye el establecimiento del ancho de banda mximo para el trfico
que sale del cortafuegos a travs de esta interfaz. El ancho de banda garantizado de un perfil de QoS (el campo
Salida garantizada) no debera superar el ancho de banda asignado a la interfaz fsica en el que est habilitada la
QoS.
Si desea informacin detallada, consulte Cree un perfil de QoS.
Calidad de servicio
439
Conceptos de QoS
Calidad de servicio
Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del trfico al que est asignada. En la interfaz web,
utilice el perfil de QoS para definir clases de QoS (Red > Perfiles de red > Perfil de QoS):
La definicin de una clase de QoS incluye el establecimiento de la prioridad de la clase, el ancho de banda
mximo (Mximo de salida) y el ancho de banda garantizado (Salida garantizada).
La prioridad en tiempo real suele utilizarse para aplicaciones que son especialmente sensibles a
la latencia, como las aplicaciones de voz y vdeo.
Utilice la poltica de QoS para asignar una clase de QoS al trfico especificado (Polticas > QoS):
Hay hasta ocho clases de QoS definibles en un nico perfil de QoS. A menos que est configurado de otra
forma, al trfico que no coincida con una clase de QoS se le asignar la clase 4.
El establecimiento de colas de prioridad y la gestin del ancho de banda de QoS, los mecanismos fundamentales
de una configuracin de QoS, se configuran dentro de la definicin de la clase de QoS (consulte el Paso 3). El
establecimiento de colas de prioridad se determina por la prioridad establecida para una clase de QoS. La gestin
del ancho de banda se determina segn los anchos de banda mximo y garantizado establecidos para una clase
de QoS.
440
Calidad de servicio
Calidad de servicio
Conceptos de QoS
Los mecanismos de establecimiento de colas y gestin del ancho de banda determinan el orden del trfico y el
modo en que se gestiona el trfico al entrar o salir de una red:
Prioridad de QoS: Se puede definir una de las cuatro prioridades de QoS siguientes en una clase de QoS:
en tiempo real, alta, media y baja. Cuando una clase de QoS se asocia a un trfico especfico, la prioridad
definida en esa clase de QoS se asigna al trfico. A continuacin, los paquetes del flujo de trfico se ponen
en cola segn su prioridad hasta que la red est lista para procesarlos. Este mtodo de establecimiento de
colas de prioridad proporciona la capacidad de garantizar que el trfico, las aplicaciones o los usuarios
importantes tengan prioridad.
Gestin del ancho de banda de clase de QoS: La gestin del ancho de banda de clase de QoS proporciona
la capacidad de controlar los flujos de trfico de una red para que el trfico no supere la capacidad de la red,
lo que provocara la congestin de la red, o asignar lmites de ancho de banda especficos para el trfico,
aplicaciones o usuarios. Puede establecer lmites generales en el ancho de banda utilizando el perfil de QoS
o establecer lmites para clases de QoS individuales. Un perfil de QoS y las clases de QoS del perfil tienen
lmites de ancho de banda garantizado y mximo. El lmite de ancho de banda garantizado (Salida
garantizada) asegura que se procesar cualquier cantidad de trfico hasta ese lmite de ancho de banda
establecido. El lmite de ancho de banda mximo (Mximo de salida) establece el lmite total del ancho de
banda asignado al perfil de QoS o a la clase de QoS. El trfico que supere el lmite de ancho de banda mximo
se descartar. Los lmites de ancho de banda total y lmites de ancho de banda garantizado de las clases de
QoS de un perfil de QoS no pueden superar el lmite de ancho de banda del perfil de QoS.
Poltica de QoS
En una configuracin de QoS, la poltica de QoS identifica el trfico que requiere un tratamiento de QoS (ya sea
un tratamiento preferente o una limitacin del ancho de banda) mediante un parmetro definido o varios
parmetros y le asigna una clase.
Utilice la poltica de QoS, parecida a una poltica de seguridad, para establecer los criterios que identifican el
trfico:
Aplicaciones y grupos de aplicaciones.
Calidad de servicio
441
Conceptos de QoS
Calidad de servicio
Zonas de origen, direcciones de origen y usuarios de origen.
Zonas de destino y direcciones de destino.
Servicios y grupos de servicios limitados a nmeros de puertos TCP y/o UDP concretos.
Categoras de URL, incluidas categoras de URL personalizadas.
La poltica de QoS de la interfaz web (Polticas > QoS) le permite asociar los criterios utilizados para especificar
el trfico con una clase de QoS.
Interfaz de salida de QoS

La habilitacin de un perfil de QoS en la interfaz de salida del trfico identificado para el tratamiento de QoS
finaliza una configuracin de QoS. La interfaz de entrada del trfico de QoS es la interfaz por la que el trfico
entra en el cortafuegos. La interfaz de salida del trfico de QoS es la interfaz por la que el trfico sale del
cortafuegos. La QoS siempre est habilitada e implementada en la interfaz de salida de un flujo de trfico. La
interfaz de salida de una configuracin de QoS puede ser la interfaz de orientacin externa o de orientacin
interna del cortafuegos, dependiendo del flujo de trfico que reciba el tratamiento de QoS.
Por ejemplo, en una red empresarial, si est limitando el trfico de descarga de los empleados en un sitio web
especfico, la interfaz de salida de la configuracin de QoS es la interfaz interna del cortafuegos, dado que el
flujo de trfico proviene de Internet, pasa por el cortafuegos y se dirige a su red empresarial. De manera
alternativa, al limitar el trfico de carga de los empleados en el mismo sitio web, la interfaz de salida de la
configuracin de QoS es la interfaz externa del cortafuegos, dado que el trfico que est limitando se desplaza
desde su red empresarial, pasando por el cortafuegos, hasta Internet.
Consulte el Paso 3 para saber cmo Identifique la interfaz de salida para las aplicaciones que identifique que
necesitan un tratamiento de QoS.
442
Calidad de servicio
Calidad de servicio
Conceptos de QoS
Trfico de texto claro y de tnel de QoS

Dentro de la configuracin de la interfaz fsica de QoS, puede proporcionar ajustes de QoS ms detallados para
el trfico de texto claro y el trfico de tnel que sale a travs de la interfaz. A las interfaces de tnel individuales
se les puede asignar diferentes perfiles de QoS. Al trfico de texto claro se les pueden asignar diferentes perfiles
de QoS segn la interfaz de origen y la subred de origen del trfico. En este caso, se pueden asociar una interfaz
de origen y una subred de origen a un perfil de QoS. Si decide no seleccionar trfico de texto claro o de tnel
para el tratamiento de QoS exclusivo, la habilitacin de QoS en una interfaz requiere la seleccin de un perfil de
QoS predeterminado para determinar cmo moldear el trfico para interfaces de tnel especficas o, en el caso
de trfico de texto claro, interfaces de origen y subredes de origen.
En los cortafuegos de Palo Alto Networks, el trmino trfico de tnel hace referencia al trfico
de interfaz de tnel, especficamente el trfico de IPSec en el modo de tnel.
Calidad de servicio
443
Configuracin de QoS
Calidad de servicio
Configuracin de QoS
Utilice la siguiente tarea para configurar la calidad de servicio (QoS), incluido cmo crear un perfil de QoS, crear
una poltica de QoS y habilitar QoS en una interfaz.
Configuracin de QoS
Paso 1
Identifique el trfico al que

aplicar QoS.
Este ejemplo muestra cmo
utilizar la QoS para limitar la
exploracin web.
Paso 2
Seleccione ACC para ver la pgina Centro de control de aplicaciones. Utilice los
ajustes y los grficos de la pgina ACC para ver tendencias y el trfico relacionado
con aplicaciones, filtrado de URL, prevencin de amenazas, filtrado de datos y
coincidencias HIP.
Haga clic en cualquier nombre de aplicacin para mostrar informacin de
aplicacin detallada.
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico del
Identifique la interfaz de
salida para las aplicaciones que dispositivo.
identifique que necesitan un Para filtrar y mostrar nicamente los logs de una aplicacin especfica:
tratamiento de QoS.
Si se muestra una entrada para la aplicacin, haga clic en el enlace subrayado
Consejo: La interfaz de salida
de la columna Aplicacin y, a continuacin, haga clic en el icono de envo.
del trfico depende del flujo
Si una entrada no se muestra para la aplicacin, haga clic en el icono Aadir
de trfico. Si est moldeando
log y busque la aplicacin.
el trfico entrante, la interfaz
La Interfaz de salida de los logs de trfico muestra la interfaz de salida de cada
de salida es la interfaz de
aplicacin. Para mostrar la columna Interfaz de salida si no aparece de manera
orientacin interna. Si est
moldeando el trfico saliente, predeterminada:
la interfaz de salida es la
Haga clic en cualquier encabezado de columna para aadir una columna al
interfaz de orientacin
log:
externa.
Haga clic en el icono de catalejo a la izquierda de cualquier entrada para

mostrar un log detallado que incluye la interfaz de salida de la aplicacin
indicada en la seccin Destino:
En este ejemplo, la interfaz de salida para el trfico de exploracin web es

Ethernet 1/1.
444
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Configuracin de QoS (Continuacin)
Paso 3
Cree un perfil de QoS.
1.
Puede editar cualquier perfil

de QoS existente, incluido el 2.
valor predeterminado,
3.
haciendo clic en el nombre del
perfil de QoS.
4.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en Aadir para
abrir el cuadro de dilogo Perfil de QoS.
Introduzca un Nombre de perfil descriptivo.
Introduzca un Mximo de salida para establecer la asignacin del ancho de
banda total para el perfil de QoS.
Introduzca una Salida garantizada para establecer el ancho de banda
garantizado para el perfil de QoS.
Todo el trfico que supere el lmite garantizado de salida del perfil de
QoS ser la mejor opcin pero no estar garantizado.
5.
En la seccin Clases, especifique cmo tratar hasta ocho clases de QoS

individuales:
a. Haga clic en Aadir para aadir una clase al perfil de QoS.
b. Seleccione la Prioridad de la clase.
c. Introduzca un Mximo de salida para la clase para establecer el lmite de
ancho de banda total para esa clase individual.
d. Introduzca una Salida garantizada para la clase para establecer el ancho
de banda garantizado para esa clase individual.
6.
Haga clic en ACEPTAR para guardar el perfil de QoS.
En el siguiente ejemplo, el perfil de QoS denominado Limit Web Browsing limita

el trfico identificado como trfico de clase 2 a un ancho de banda mximo de
50 Mbps y un ancho de banda garantizado de 2 Mbps. Cualquier trfico asociado
a la clase 2 en la poltica de QoS (Paso 4) estar sujeto a estos lmites.
Calidad de servicio
445
Configuracin de QoS
Calidad de servicio
Paso 4
Cree una poltica de QoS.
1.
Seleccione Polticas > QoS y haga clic en Aadir para abrir el cuadro de
dilogo Regla de poltica de QoS.
2.
En la pestaa General, otorgue a la regla de poltica de QoS un Nombre

descriptivo.
3.
Especifique el trfico al que se aplicar la regla de poltica de QoS. Utilice

las pestaas Origen, Destino, Aplicacin y Categora de URL/servicio para
definir los parmetros de coincidencia para identificar el trfico.
Por ejemplo, seleccione la pestaa Aplicacin, haga clic en Aadir y
seleccione la exploracin web para aplicar la regla de poltica de QoS a esa
aplicacin:
(Opcional) Defina parmetros adicionales. Por ejemplo, en la pestaa

Origen, haga clic en Aadir para limitar la exploracin web de un usuario
especfico, en este caso, user1:
446
4.
En la pestaa Otros ajustes, seleccione una clase de QoS que asignar a la

regla de poltica de QoS. Por ejemplo, asigne la clase 2 al trfico de
exploracin web de user1:
5.
Haga clic en ACEPTAR para guardar la regla de poltica de QoS.
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Paso 5
Habilite el perfil de QoS en

una interfaz fsica.
1.
Puede configurar los ajustes 2.

para seleccionar trfico de
texto claro y de tnel para el
tratamiento de QoS exclusivo,
adems de la configuracin de
QoS en la interfaz fsica:
Para configurar ajustes
especficos para el trfico
de texto claro mediante la
interfaz de origen y la
subred de origen del trfico
como criterios para la
identificacin y el
tratamiento de QoS, realice
el paso 5 - 4.
Para aplicar un perfil de
QoS a una interfaz de
tnel especfica, realice
el paso 5 - 5
3.
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro de dilogo
Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de interfaz de la
interfaz a la que se aplicar el perfil de QoS.
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el trfico de
exploracin web (consulte el Paso 2).
b. Seleccione Activar la funcin QoS en esta interfaz.
En la pestaa Interfaz fsica, seleccione un perfil de QoS que debe aplicarse
de manera predeterminada a todo el trfico de tipo Trfico en claro.
(Opcional) Utilice el campo Interfaz de tnel para aplicar un perfil de QoS
de manera predeterminada a todo el trfico de tnel.
Por ejemplo, habilite QoS en Ethernet 1/1 y aplique el perfil de QoS

denominado Limit Web Browsing como el perfil de QoS predeterminado para
el trfico de texto claro.
Para obtener ms
informacin, consulte Trfico
de texto claro y de tnel de
QoS.
Compruebe si la
4.
plataforma que est
utilizando admite la
habilitacin de QoS en
una subinterfaz
revisando un resumen
de las especificaciones
del producto.
La prctica
recomendada es
5.
definir siempre el valor
de Mximo de salida
para una interfaz
de QoS.
Calidad de servicio
(Opcional) En la pestaa Trfico en claro, configure ajustes de QoS ms

detallados para el trfico de texto claro:
Establezca los anchos de banda de Salida garantizada y Mximo de
salida para el trfico de texto claro.
Haga clic en Aadir para aplicar un perfil de QoS al trfico de texto claro
seleccionado, seleccionando el trfico para el tratamiento de QoS de
acuerdo con la interfaz de origen y la subred de origen (creando un nodo
de QoS).
(Opcional) En la pestaa Trfico de tnel, configure ajustes de QoS ms
detallados para interfaces de tnel:
Establezca los anchos de banda de Salida garantizada y Mximo de
salida para el trfico de tnel.
Haga clic en Aadir para asociar una interfaz de tnel seleccionada a un perfil
de QoS.
6.
7.
Confirme los cambios para habilitar el perfil de QoS en la interfaz.
447
Configuracin de QoS
Calidad de servicio
Paso 6
Verifique la configuracin
de QoS.
Seleccione Red > QoS para ver la pgina Polticas de QoS y haga clic en el enlace
Estadsticas para ver el ancho de banda de QoS, las sesiones activas de un nodo
o una clase de QoS que haya seleccionado y las aplicaciones activas del nodo o
la clase de QoS que haya seleccionado.
Por ejemplo, vea las estadsticas de Ethernet 1/1 con la QoS habilitada:
Trfico de clase 2 limitado a 2 Mbps de ancho de banda garantizado y un ancho

de banda mximo de 50 Mbps.
Siga haciendo clic en las pestaas para mostrar ms informacin relativa a las
aplicaciones, los usuarios de origen, los usuarios de destino, las reglas de
seguridad y las reglas de QoS.
Los lmites de ancho de banda que se muestran en la ventana
Estadsticas de QoS incluyen un factor de ajuste de hardware.
448
Calidad de servicio
Calidad de servicio

La QoS se puede configurar para uno o varios sistemas virtuales en un cortafuegos de Palo Alto Networks.
Como un sistema virtual es un cortafuegos independiente, la QoS debe configurarse independientemente para
que un nico sistema virtual aplique una configuracin de QoS solamente a ese sistema virtual.
La configuracin de QoS para un sistema virtual es similar a configurar QoS en un cortafuegos fsico, a
excepcin de que configurar QoS para un sistema virtual requiere la especificacin de las zonas de origen y
destino y las interfaces de origen y destino del flujo de trfico. Dado que un sistema virtual existe sin lmites
fsicos establecidos (como una interfaz fsica) a travs de los cuales pase el trfico, la especificacin de zonas e
interfaces de origen y destino de un flujo de trfico le permite controlar y moldear el trfico de ese sistema virtual
especficamente, dado que un flujo de trfico abarca ms de un sistema virtual en un entorno virtual.
El ejemplo siguiente muestra dos sistemas virtuales configurados en un cortafuegos. VSYS 1 (prpura) y VSYS
2 (rojo) han configurado QoS para establecer la prioridad o limitar dos flujos de trfico distintos, indicados por
sus correspondientes lneas prpura (VSYS 1) y roja (VSYS 2). Los nodos de QoS indican los puntos en los que
el trfico de QoS se identifica y, a continuacin, se moldea en cada sistema virtual.
Consulte Virtual Systems (VSYS) tech note (en ingls) para obtener informacin sobre los sistemas virtuales y
sobre cmo configurarlos.
Calidad de servicio
449
Calidad de servicio
Configuracin de QoS en un entorno de sistema virtual
Paso 1
Paso 2
Confirme que las interfaces, los

enrutadores virtuales y las zonas de
seguridad adecuados estn asociados a
cada sistema virtual.
Para ver interfaces configuradas, seleccione Red > Interfaz.

Para ver zonas configuradas, seleccione Red > Zonas.
Para ver informacin sobre enrutadores virtuales definidos,
seleccione Red > Enrutadores virtuales.
Identifique el trfico al que aplicar la QoS. Seleccione ACC para ver la pgina Centro de control de
aplicaciones. Utilice los ajustes y los grficos de la pgina ACC para
ver tendencias y el trfico relacionado con aplicaciones, filtrado de
URL, prevencin de amenazas, filtrado de datos y coincidencias HIP.
Para ver informacin de un sistema virtual especfico, seleccione el
sistema virtual en el men desplegable Sistema virtual:
Haga clic en cualquier nombre de aplicacin para mostrar

informacin de aplicacin detallada.
450
Calidad de servicio
Calidad de servicio
Configuracin de QoS en un entorno de sistema virtual (Continuacin)
Paso 3
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico
Identifique la interfaz de salida para las
aplicaciones que identifique que necesitan del dispositivo. Cada entrada tiene la opcin de mostrar columnas
un tratamiento de QoS.
con informacin necesaria para configurar QoS en un entorno de
sistema virtual:
En un entorno de sistema virtual, la QoS
se aplica al trfico del punto de salida del sistema virtual
trfico en el sistema virtual. Dependiendo
de la configuracin del sistema virtual y la
poltica de QoS, el punto de salida del
trfico de QoS podra asociarse a una
interfaz fsica o podra ser una zona
configurada.
Este ejemplo muestra cmo limitar el
trfico de exploracin web en VSYS 1.
interfaz de salida
interfaz de entrada
zona de origen
zona de destino
Para mostrar una columna si no aparece de manera predeterminada:
Haga clic en cualquier encabezado de columna para aadir una
columna al log:
Haga clic en el icono de catalejo a la izquierda de cualquier entrada

para mostrar un log detallado que incluye la interfaz de salida de
la aplicacin, as como zonas de origen y destino, en las secciones
Origen y Destino:
Por ejemplo, para el trfico de exploracin web desde VSYS 1, la

interfaz de entrada es Ethernet 1/2, la interfaz de salida es Ethernet
1/1, la zona de origen es fiable y la zona de destino es no fiable.
Calidad de servicio
451
Calidad de servicio
Paso 4
Cree un perfil de QoS.

Puede editar cualquier perfil de QoS
existente, incluido el valor
predeterminado, haciendo clic en el
nombre del perfil.
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Aadir para abrir el cuadro de dilogo Perfil de QoS.
2.
Introduzca un Nombre de perfil descriptivo.
3.
Introduzca un Mximo de salida para establecer la asignacin

del ancho de banda total para el perfil de QoS.
4.
Introduzca una Salida garantizada para establecer el ancho de

banda garantizado para el perfil de QoS.
Todo el trfico que supere el lmite garantizado de salida
del perfil de QoS ser la mejor opcin pero no estar
garantizado.
5.
En la seccin Clases del Perfil de QoS, especifique cmo tratar

hasta ocho clases de QoS individuales:
a. Haga clic en Aadir para aadir una clase al perfil de QoS.
b. Seleccione la Prioridad de la clase.
c. Introduzca un Mximo de salida para la clase para establecer
el lmite de ancho de banda total para esa clase individual.
d. Introduzca una Salida garantizada para la clase para
establecer el ancho de banda garantizado para esa clase
individual.
6.
452
Calidad de servicio
Calidad de servicio
Paso 5
Cree una poltica de QoS.
1.
En un entorno de VSYS mltiple, el

trfico puede abarcar ms de un sistema 2.
virtual antes del punto de entrada del
sistema virtual para el que est
3.
configurando QoS. La especificacin de
zonas de origen y destino para el trfico
de QoS garantiza que el trfico se
identifique correctamente a medida que
pase por el sistema virtual especfico (en
este ejemplo, VSYS 1) y que la QoS se
aplique solamente al trfico de ese sistema
virtual designado (y no se aplique al
trfico de otros sistemas virtuales
configurados).
Calidad de servicio
Seleccione Polticas > QoS y haga clic en Aadir para abrir el

cuadro de dilogo Regla de poltica de QoS.
En la pestaa General, otorgue a la regla de poltica de QoS un
Nombre descriptivo.
Especifique el trfico al que se aplicar la regla de poltica de
QoS. Utilice las pestaas Origen, Destino, Aplicacin y
Categora de URL/servicio para definir los parmetros de
coincidencia para identificar el trfico.
Por ejemplo, seleccione la pestaa Aplicacin, haga clic en
Aadir y seleccione la exploracin web para aplicar la regla de
poltica de QoS a esa aplicacin:
4.
En la pestaa Origen, haga clic en Aadir para seleccionar la

zona de origen del trfico de exploracin web de vsys 1.
5.
En la pestaa Destino, haga clic en Aadir para seleccionar la

zona de destino del trfico de exploracin web de vsys 1.
6.
En la pestaa Otros ajustes, seleccione una Clase de QoS que

asignar a la regla de poltica de QoS. Por ejemplo, asigne la clase
2 al trfico de exploracin web de VSYS 1:
7.
Haga clic en ACEPTAR para guardar la regla de poltica de QoS.
453
Calidad de servicio
Paso 6
Habilite el perfil de QoS en una interfaz

fsica.
1.
2.
La prctica recomendada es
definir siempre el valor de Mximo
de salida para una interfaz
de QoS.
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro
de dilogo Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de
interfaz de la interfaz a la que se aplicar el perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el
trfico de exploracin web de VSYS 1 (consulte el Paso 2).
b. Seleccione Activar la funcin QoS en esta interfaz.

3.
En la pestaa Interfaz fsica, seleccione el perfil de QoS

predeterminado que debe aplicarse a todo el trfico de tipo
Trfico en claro.
(Opcional) Utilice el campo Interfaz de tnel para aplicar un
perfil de QoS predeterminado a todo el trfico de tnel.
4.
(Opcional) En la pestaa Trfico en claro, configure ajustes de

QoS adicionales para el trfico de texto claro:
Establezca los anchos de banda de Salida garantizada y
Mximo de salida para el trfico de texto claro.
Haga clic en Aadir para aplicar un perfil de QoS al trfico de
texto claro seleccionado, seleccionando el trfico para el
tratamiento de QoS de acuerdo con la interfaz de origen y la
subred de origen (creando un nodo de QoS).
5.
(Opcional) En la pestaa Trfico de tnel, configure ajustes de

QoS adicionales para interfaces de tnel:
Establezca los anchos de banda de Salida garantizada y
Mximo de salida para el trfico de tnel.
Haga clic en Aadir para asociar una interfaz de tnel
seleccionada a un perfil de QoS.
454
6.
7.
Calidad de servicio
Calidad de servicio
Paso 7
Verifique la configuracin de QoS.
Seleccione Red > QoS para ver la pgina Polticas de QoS. La pgina
Polticas de QoS verifica que QoS est habilitada e incluye el enlace
Estadsticas. Haga clic en el enlace Estadsticas para ver el ancho
de banda de QoS, las sesiones activas de un nodo o una clase de
QoS que haya seleccionado y las aplicaciones activas del nodo o la
clase de QoS que haya seleccionado.
En un entorno de VSYS mltiple, las sesiones no pueden abarcar
varios sistemas. Se crean varias sesiones para un flujo de trfico si
el trfico pasa por ms de un sistema virtual. Para examinar las
sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS
y las clases de QoS aplicadas, seleccione Supervisar > Explorador
de sesin.
Calidad de servicio
455
Calidad de servicio

Los siguientes casos de uso demuestran cmo utilizar QoS en situaciones frecuentes:
Caso de uso: QoS para un nico usuario
QoS para aplicaciones de voz y vdeo
456
Calidad de servicio
Calidad de servicio
Caso de uso: QoS para un nico usuario

Una directora ejecutiva observa que durante los perodos en los que la red se utiliza mucho, no puede acceder a
aplicaciones empresariales para responder de manera eficaz a comunicaciones empresariales clave. El
administrador de TI quiere asegurarse de que todo el trfico hacia y desde la directora ejecutiva recibe un
tratamiento preferente frente al trfico de otros empleados, de manera que tenga garantizado, no solamente el
acceso, sino un alto rendimiento de los recursos de red clave.
Aplicacin de QoS para un nico usuario
Paso 1
El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el trfico originado en la
directora ejecutiva se tratar y moldear a medida que salga de la red empresarial:
El administrador asigna un ancho de banda garantizado (Salida garantizada) de 50 Mbps para garantizar que la
directora ejecutiva disponga de esa cantidad de ancho de banda garantizado en todo momento (ms de lo que
necesitara utilizar), independientemente de la congestin de la red.
El administrador sigue designando el trfico de clase 1 como alta prioridad y establece el uso del ancho de banda
mximo del perfil (Mximo de salida) como 1000 Mbps, el mismo ancho de banda mximo para la interfaz en
el que el administrador habilitar QoS. El administrador ha decidido no restringir el uso del ancho de banda de
la directora ejecutiva de ningn modo.
La prctica recomendada es cumplimentar el campo Mximo de salida para un perfil de QoS, aunque el
ancho de banda mximo del perfil coincida con el ancho de banda mximo de la interfaz. El ancho de
banda mximo del perfil de QoS nunca debera superar el ancho de banda mximo de la interfaz en la
que tenga la intencin de habilitar QoS.
Calidad de servicio
457
Calidad de servicio
Aplicacin de QoS para un nico usuario (Continuacin)
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de la directora ejecutiva (Polticas > QoS) y
asignarle la clase que defini en el perfil de QoS (consulte el Paso 1). Como se ha configurado User-ID, el
administrador utiliza la pestaa Origen de la poltica de QoS para identificar de manera exclusiva el trfico de la
directora ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podra Aadir la direccin IP de la directora ejecutiva bajo Direccin de origen. Consulte
User-ID.):
El administrador asocia el trfico de la directora ejecutiva a la clase 1 (pestaa Otros ajustes) y, a continuacin,
sigue cumplimentando los campos obligatorios restantes de la poltica; el administrador otorga a la poltica un
Nombre descriptivo (pestaa General) y selecciona Cualquiera para la Zona de origen (pestaa Origen) y Zona
de destino (pestaa Destino):
Paso 3
Ahora que la clase 1 est asociada al trfico de la directora ejecutiva, el administrador habilita QoS seleccionando
Activar la funcin QoS en esta interfaz y seleccionando la interfaz de salida del flujo de trfico. La interfaz de
salida del flujo de trfico de la directora ejecutiva es la interfaz de orientacin externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el trfico originado en la directora ejecutiva est
garantizado por el perfil de QoS y la poltica de QoS asociada que cre, selecciona CEO_traffic para aplicarlo al
trfico de tipo Trfico en claro que se desplaza desde Ethernet 1/2.
458
Calidad de servicio
Calidad de servicio
Aplicacin de QoS para un nico usuario (Continuacin)
Paso 4
Despus de confirmar la configuracin de QoS, el administrador se desplaza a la pgina Red > QoS para
confirmar que CEO_traffic del perfil de QoS est habilitado en la interfaz de orientacin externa, Ethernet 1/2:
Hace clic en Estadsticas para ver cmo se est moldeando el trfico originado en la directora ejecutiva (clase 1)
a medida que se desplaza desde Ethernet 1/2:
Este caso demuestra cmo aplicar QoS a trfico originado en un nico usuario de origen. Sin embargo, si tambin
quisiera garantizar o moldear el trfico para un usuario de destino, podra realizar una configuracin de QoS similar.
En lugar o adems de este flujo de trabajo, cree una poltica de QoS que especifique la direccin IP del usuario
como la Direccin de destino en la pgina Polticas > QoS (en lugar de especificar la informacin de origen del
usuario, como se muestra en el Paso 2) y, a continuacin, habilite QoS en la interfaz de orientacin interna de la
red en la pgina Red > QoS (en lugar de la interfaz de orientacin externa, como se muestra en el Paso 3).
Calidad de servicio
459
Calidad de servicio
QoS para aplicaciones de voz y vdeo

El trfico de voz y vdeo es especialmente sensible a las mediciones que la funcin QoS moldea y controla,
especialmente la latencia y la vibracin. Para que las transmisiones de voz y vdeo sean audibles y claras, los
paquetes de voz y vdeo no se pueden descartar, retrasar ni entregar de manera incoherente. La prctica
recomendada para aplicaciones de voz y vdeo, adems de garantizar el ancho de banda, es garantizar la prioridad
del trfico de voz y vdeo.
En este ejemplo, los empleados de una sucursal de la empresa estn teniendo dificultades y experimentan una
falta de fiabilidad al utilizar tecnologas de videoconferencia y voz sobre IP (VoIP) para realizar comunicaciones
empresariales con otras sucursales, socios y clientes. Un administrador de TI tiene la intencin de implementar
QoS para solucionar estos problemas y garantizar una comunicacin empresarial eficaz y fiable para los
empleados de la sucursal. Como el administrador quiere garantizar QoS tanto para el trfico de red entrante
como saliente, habilitar QoS tanto en la interfaz de orientacin interna como en el de orientacin externa del
cortafuegos.
Garanta de calidad para aplicaciones de voz y vdeo
Paso 1
El administrador crea un perfil de QoS, definiendo la clase 2 para que todo el trfico asociado a la clase 2 reciba
una prioridad en tiempo real y, en una interfaz con un ancho de banda mximo de 1000 Mbps, se garantice un
ancho de banda de 250 Mbps en todo momento, incluidos los perodos en los que ms se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de especial
utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vdeo.
En la pgina Red > Perfiles de red > Perfil de QoS, el administrador hace clic en Aadir, introduce el Nombre
de perfil ensure voip-video traffic y define el trfico de clase 2.
460
Calidad de servicio
Calidad de servicio
Garanta de calidad para aplicaciones de voz y vdeo (Continuacin)
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de voz y vdeo. Como la empresa no tiene
una aplicacin de voz y vdeo estndar, el administrador quiere asegurarse de que la QoS se aplica en un par de
aplicaciones utilizadas ampliamente y con frecuencia por los empleados para comunicarse con otras oficinas,
socios y clientes. En la pestaa Polticas > QoS > Regla de poltica de QoS > Aplicaciones, el administrador hace
clic en Aadir y abre la ventana Filtro de aplicacin. El administrador sigue seleccionando criterios para filtrar
las aplicaciones en las que quiere aplicar la QoS, seleccionando la Subcategora voip-video y restringindola al
especificar nicamente aplicaciones de VoIP y vdeo que tengan un riesgo bajo y que se utilicen ampliamente.
El filtro de aplicacin es una herramienta dinmica que, cuando se utiliza para filtrar aplicaciones en la poltica
de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vdeo, riesgo bajo y
ampliamente utilizado en cualquier momento.
El administrador asigna al Filtro de aplicacin el nombre voip-video-low-risk y lo incluye en la poltica de QoS:
El administrador asigna a la poltica de QoS el nombre Voice-Video y asocia el filtro de aplicacin voip-video-low-risk
al trfico de clase 2 (como lo defini en el Paso 1). Va a utilizar la poltica de QoS Voice-Video tanto para el trfico
de QoS entrante como el saliente, as que establece la informacin de Origen y Destino como Cualquiera:
Calidad de servicio
461
Calidad de servicio
Garanta de calidad para aplicaciones de voz y vdeo (Continuacin)
Paso 3
Como el administrador quiere garantizar la QoS tanto para comunicaciones de voz y vdeo entrantes como
salientes, habilita QoS en la interfaz de orientacin externa de la red (para aplicar QoS a comunicaciones
salientes) y en la interfaz de orientacin interna (para aplicar QoS a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que cre en el Paso 1, ensure voice-video traffic (la clase 1 de
este perfil est asociada a la poltica creada en el Paso 2, Voice-Video) en la interfaz de orientacin externa, en este
caso, Ethernet 1/2.
A continuacin, habilita el mismo perfil de QoS, ensure voip-video traffic, en la interfaz de orientacin interna, en
este caso, Ethernet 1/1.
Paso 4
El administrador confirma que la QoS se ha habilitado tanto para el trfico de voz y vdeo entrante como para
el saliente:
El administrador ha habilitado la QoS correctamente tanto en la interfaz de orientacin interna de la red como en la
externa. Ahora se garantiza la prioridad en tiempo real para el trfico de aplicaciones de voz y vdeo a medida que se
desplaza hacia adentro y hacia afuera de la red, garantizando que estas comunicaciones, que son especialmente sensibles
a la latencia y la vibracin, puedan utilizarse de manera fiable y eficaz para realizar comunicaciones empresariales tanto
internas como externas.
462
Calidad de servicio
VPN
Las redes privadas virtuales (VPN) crean tneles que permiten que los usuarios o sistemas se conecten de
manera segura a travs de una red pblica como si se estuvieran conectando a travs de una red de rea local
(LAN). Para configurar un tnel VPN, hacen falta dos dispositivos que puedan autenticarse mutuamente y cifrar
el flujo de informacin entre ellos. Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto
Networks, o bien un cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad
para VPN.
Implementaciones de VPN
Descripcin general de VPN de sitio a sitio
Conceptos de VPN de sitio a sitio
Configuracin de VPN de sitio a sitio
Configuraciones rpidas de VPN de sitio a sitio
Redes privadas virtuales
463
VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
VPN de sitio a sitio: Una sencilla VPN que se conecta a un sitio central y a un sitio remoto, o bien una
VPN de concentrador y radio que se conecta a un sitio central con mltiples sitios remotos. El cortafuegos
usa conjunto de protocolos de Seguridad IP (IPSec) para configurar un tnel seguro entre los dos sitios.
Consulte Descripcin general de VPN de sitio a sitio.
VPN de usuario remoto a sitio: Una solucin que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexin segura a travs del cortafuegos. Esta solucin usa SSL e IPSec para
establecer una conexin segura entre el usuario y el sitio. Consulte la Gua del administrador de
GlobalProtect.
VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN de concentrador y radio con un mximo de 1024
oficinas satlite. Esta solucin requiere que haya cortafuegos de Palo Alto Networks implementados en el
concentrador y en todos los radios. Usa certificados para la autenticacin de dispositivos, SSL para la
proteccin entre todos los componentes e IPSec para proteger los datos. Consulte VPN a gran escala
(LSVPN).
Ilustracin: Implementaciones de VPN
464
VPN

Una conexin VPN que permita conectar dos redes de rea local (LAN) se llama VPN de sitio a sitio. Puede
configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en dos ubicaciones, o bien
conectar cortafuegos de Palo Alto Networks a dispositivos de seguridad de terceros en otras ubicaciones. El
cortafuegos tambin puede interoperar con dispositivos VPN basados en polticas de terceros; el cortafuegos
de Palo Alto Networks es compatible con VPN basado en rutas.
El cortafuegos de Palo Alto Networks configura una VPN basada en rutas, donde el cortafuegos toma una
decisin de enrutamiento basada en la direccin IP de destino. Si el trfico se enruta a un destino especfico a
travs de un tnel de VPN, se cifrar como trfico VPN.
El conjunto de protocolos de seguridad IP (IPSec) se utiliza para configurar un tnel seguro para el trfico VPN.
Asimismo, la informacin de los paquetes de TCP/IP est protegida (y cifrada si el tipo de tnel es ESP). El
paquete IP (encabezado y carga) est incrustado en otra carga de IP, se aplica un nuevo encabezado y se enva
a travs del tnel IPSec. La direccin IP de origen en el nuevo encabezado es la del peer VPN local y la direccin
IP de destino es la del peer VPN del otro extremo del tnel. Cuando el paquete llega al peer VPN remoto (el
cortafuegos en el otro extremo del tnel), el encabezado exterior se elimina y se enva el paquete original a su
destino.
Para configurar el tnel VPN, primero deben autenticarse los peers. Tras autenticarse correctamente, los peers
negocian los algoritmos y el mecanismo de cifrado para proteger la comunicacin. El proceso de Intercambio
de claves por red (IKE) se usa para autenticar a los peers VPN, y las asociaciones de seguridad (SA) IPSec se
definen en cada extremo del tnel para proteger la comunicacin VPN. IKE usa certificados digitales o claves
previamente compartidas, as como las claves Diffie Hellman, para configurar las SA para el tnel IPSec. Las SA
especifican todos los parmetros necesarios para un cifrado de transmisin seguro (incluyendo el ndice de
parmetros de seguridad [SPI], el protocolo de seguridad, claves criptogrficas y la direccin IP de destino IP),
autenticacin de datos, integridad de datos y autenticacin de extremo.
La siguiente ilustracin muestra un tnel de VPN entre dos sitios. Cuando un cliente que est protegido por el
peer A de la VPN necesita contenido de un servidor ubicado en el otro sitio, el peer A de la VPN inicia una
solicitud de conexin al peer B de la VPN. Si la poltica de seguridad permite la conexin, el peer A de la VPN
usa los parmetros del perfil criptogrfico de IKE (IKE de fase 1) para establecer una conexin segura y
autenticar al peer B de la VPN. A continuacin, el peer A de la VPN establece el tnel VPN usando el perfil
criptogrfico IPSec, que define los parmetros del IKE de fase 2 para permitir la transferencia segura de datos
entre los dos sitios.
Ilustracin: VPN de sitio a sitio
465
VPN

Una conexin VPN ofrece acceso seguro a la informacin entre dos o ms sitios. Para proporcionar acceso
seguro a los recursos y una conectividad fiable, una conexin VPN necesita los siguientes componentes:
Puerta de enlace de IKE
Interfaz de tnel
Supervisin de tnel
Intercambio de claves por red (IKE) para VPN
Puerta de enlace de IKE

Los cortafuegos Palo Alto Networks o un cortafuegos y otro dispositivo de seguridad que inicien y terminen
conexiones VPN entre dos redes se llaman puertas de enlace de IKE. Para configurar el tnel VPN y enviar
trfico entre las puertas de enlace de IKE, cada peer debe tener una direccin IP (esttica o dinmica) o FQDN.
Los peers VPN usan claves previamente compartidas o certificados para autenticarse mutuamente.
Los peers tambin deben negociar el modo (principal o agresivo) para configurar la duracin del tnel VPN y
la SA en IKE de fase 1. El modo principal protege la identidad de los peers y es ms seguro porque se
intercambian ms paquetes al configurar el tnel. Si ambos peers lo admiten, el modo principal es el
recomendado para la negociacin IKE. El modo agresivo usa menos paquetes para configurar el tnel VPN,
por lo que es una opcin ms rpida, aunque menos segura, de configurar el tnel VPN.
Consulte Configuracin de una puerta de enlace de IKE para obtener informacin detallada sobre la
configuracin.
Interfaz de tnel
Para configurar un tnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de tnel lgica para
que el cortafuegos se conecte y establezca un tnel VPN. Una interfaz de tnel es una interfaz (virtual) lgica
que se usa para enviar trfico entre dos extremos. Cada interfaz de tnel puede tener un mximo de 10 tneles
IPSec; lo que significa que se pueden asociar hasta 10 redes con la misma interfaz de tnel en el cortafuegos.
La interfaz de tnel debe pertenecer a una zona de seguridad para aplicar una poltica; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de tnel y la interfaz fsica estn asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una bsqueda de rutas y determinar el mejor tnel que puede usar.
Normalmente, la interfaz de capa 3 a la que est vinculada la interfaz de tnel pertenece a una zona externa, por
ejemplo, la zona no fiable. Aunque la interfaz de tnel puede estar en la misma zona de seguridad que la interfaz
fsica, puede crear una zona separada para la interfaz de tnel con el fin de lograr una mayor seguridad y mejor
visibilidad. Si crea una zona separada para la interfaz de tnel (p. ej., una zona VPN), necesitar crear polticas
de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.
466
VPN
Para enrutar trfico entre los sitios, una interfaz de tnel no necesita una direccin IP. Solo es necesaria una
direccin IP si quiere habilitar la supervisin de tneles o si est usando un protocolo de enrutamiento dinmico
para enrutar trfico a travs del tnel. Con enrutamiento dinmico, la direccin IP del tnel funciona como
direccin IP de prximo salto para el enrutamiento de trfico al tnel VPN.
Si est configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada en
polticas, debe configurar un ID de proxy local y remoto cuando configure el tnel IPSec. Cada peer compara
los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir una
negociacin IKE de fase 2 correcta. Si se requieren varios tneles, configure ID de proxy exclusivos para cada
interfaz de tnel; una interfaz de tnel puede tener un mximo de 250 ID de proxy. Cada ID de proxy se tendr
en cuenta a la hora de calcular la capacidad del tnel VPN de IPSec del cortafuegos, y la capacidad del tnel
vara en funcin del modelo de cortafuegos.
Consulte Configuracin de un tnel de IPSec para obtener informacin detallada sobre la configuracin.
Supervisin de tnel
Para un tnel VPN, puede comprobar la conectividad con una direccin IP de destino a travs del tnel. El perfil
de supervisin de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una direccin
IP de destino o un prximo salto en el intervalo de sondeo especificado, as como especificar una accin o fallo
para acceder a la direccin IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere el
tnel o configurar una conmutacin por error a otro tnel. En cada caso, el cortafuegos genera un log de sistema
que le alerta de un fallo del tnel y renegocia las claves de IPSec para acelerar la recuperacin.
El perfil de supervisin predeterminado est configurado para esperar a que el tnel se recupere; el intervalo de
sondeo es de 3 segundos y el umbral de fallo es 5.
Consulte Configuracin de la supervisin de tnel para obtener informacin detallada sobre la configuracin.
Intercambio de claves por red (IKE) para VPN

El proceso IKE permite a los peers VPN en ambos extremos del tnel cifrar y descifrar paquetes usando claves
o certificados acordados mutuamente y un mtodo de cifrado. El proceso IKE se realiza en dos fases: IKE de
fase 1 y IKE de fase 2. Cada una de estas fases usa claves y algoritmos de cifrado que se definen usando perfiles
criptogrficos (perfil criptogrfico IKE y perfil criptogrfico IPSec), y el resultado de la negociacin IKE es una
asociacin de seguridad (SA). Una SA es un conjunto de claves y algoritmos acordados mutuamente usados por
ambos peers VPN para permitir el flujo de datos a travs del tnel VPN. La siguiente ilustracin muestra el
proceso de intercambio de claves para configurar un tnel VPN:
467
VPN
IKE de fase 1
En esta fase, los cortafuegos usan los parmetros definidos en la configuracin de la puerta de enlace de IKE y
el perfil criptogrfico de IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es
compatible con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de
clave pblicas, PKI) para la autenticacin mutua de los peers VPN. Las claves previamente compartidas son una
solucin sencilla para proteger redes pequeas, ya que no necesitan ser compatibles con una infraestructura PKI.
Los certificados digitales pueden ser ms adecuados para redes o implementaciones de mayor tamao que
requieren de mayor seguridad para la autenticacin.
Al usar certificados, asegrese de que la CA que emite el certificado es de confianza para ambos peers de la
puerta de enlace y que la longitud mxima de la cadena de certificados es 5 o menos. Con la fragmentacin IKE
habilitada, el cortafuegos puede volver a juntar mensajes de IKE con hasta 5 certificados en la cadena de
certificados y establecer correctamente el tnel VPN.
El perfil criptogrfico de IKE define las siguientes opciones que se usan en la negociacin de SA de IKE:
Grupo Diffie-Hellman (DH) para la generacin de claves simtricas para IKE. El algoritmo Diffie Hellman
usa la clave privada de una parte y la clave pblica de la otra para crear un secreto compartido, que es una
clave cifrada compartida por ambos peers del tnel VPN. Los grupos DH compatibles con el cortafuegos
son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5: 1536 bits; grupo 14: 2048 bits.
Opciones de autenticacin: sha1; sha 256; sha 384; sha 512; md5
Algoritmos de cifrado: 3des; aes128; aes192; aes256
IKE de fase 2
Una vez protegido y autenticado el tnel, en la fase 2 se aumenta la proteccin del canal para la transferencia de
datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del proceso y el perfil
criptogrfico de IPSec, que define los protocolos y las claves IPSec usadas para la SA en el IKE de fase 2.
468
VPN
IPSEC usa los siguientes protocolos para habilitar una comunicacin segura:
Carga de seguridad encapsulada (ESP): Le permite cifrar el paquete de IP completo, as como autenticar la
fuente y verificar la integridad de los datos. Aunque que ESP necesita que cifre y autentique el paquete, puede
elegir solo cifrar o solo autenticar definiendo la opcin de cifrado como Null; no se recomienda usar cifrado
sin autenticacin.
Encabezado de autenticacin (AH): Autentica el origen del paquete y verifica la integridad de datos. AH no
cifra la carga de datos y se desaconseja su uso en implementaciones en las que es importante la privacidad
de los datos. AH se suele usar cuando el principal objetivo es verificar la legitimidad del peer y no se requiere
privacidad de datos.
Tabla: Algoritmos compatibles con cifrado y autenticacin IPSEC

ESP
AH
Opciones de Diffie Hellman Exchange compatibles
Grupo 1: 768 bits

Grupo 2: 1024 bits (predeterminado)
Grupo 5: 1536 bits
Grupo 14: 2048 bits.
no-pfs: Predeterminado, secreto perfecto hacia adelante (pfs) est habilitado. Si PFS est habilitado, se genera una nueva
clave DH en IKE de fase 2 usando uno de los grupos enumerados anteriormente; esta clave es independiente de las
claves intercambiadas en el IKE de fase 1 y, por lo tanto, permite una transferencia de datos ms segura.
No-pfs implica que la clave DH creada en la fase 1 no se renueva y que se usa una nica clave para las negociaciones
con la SA de IPSEC. Ambos peers VPN deben estar habilitados o deshabilitados para el secreto perfecto hacia adelante.
Algoritmos de cifrado compatibles
3des
aes128
aes192
aes256
aes128ccm16
null
Algoritmos de autenticacin compatibles
md5
md5
sha 1
sha 1
sha 256
sha 256
sha 384
sha 384
sha512
sha 512
ninguno
469
VPN
Mtodos de proteccin de tneles VPN de IPSec (IKE de fase 2)

Los tneles VPN de IPSec se pueden proteger usando claves manuales o automticas. Asimismo, las opciones
de configuracin de IPSec incluyen un grupo Diffie-Hellman para acordar claves o un algoritmo de cifrado y
un hash para la autenticacin de mensajes.
Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks est estableciendo un
tnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generacin de claves de sesin. Si
usa claves manuales, debe configurarse la misma en ambos peers.
Las claves manuales no son recomendables para establecer un tnel VPN porque las claves de sesin pueden
verse comprometidas cuando transmitan la informacin de claves entre peers; si las claves ven
comprometida su seguridad, la transferencia de datos deja de ser segura.
Clave automtica: La clave automtica le permite generar claves automticamente para configurar y
mantener el tnel IPSec basado en algoritmos definidos en el perfil criptogrfico de IPSec.
470
VPN

Para configurar VPN de sitio a sitio:
Asegrese de que sus interfaces Ethernet, enrutadores virtuales y zonas estn configurados correctamente.
Para obtener ms informacin, consulte Configuracin de interfaces y zonas.
Cree sus interfaces de tnel. Lo ideal sera colocar las interfaces de tnel en una zona separada para que el
trfico de tnel pueda utilizar polticas diferentes.
Configure rutas estticas o asigne protocolos de enrutamiento para redirigir el trfico a los tneles VPN.
Para admitir el enrutamiento dinmico (son compatibles OSPF, BGP, RIP), debe asignar una direccin IP
a la interfaz del tnel.
Defina puertas de enlace de IKE para establecer comunicacin entre peers a cada lado del tnel VPN;
defina tambin el perfil criptogrfico que especifica los protocolos y algoritmos para identificacin,
autenticacin y cifrado que se usarn para configurar tneles VPN en IKEv1 de fase 1. Consulte
Configuracin de una puerta de enlace de IKE y Definicin de perfiles criptogrficos de IKE.
Configure los parmetros necesarios para establecer la conexin IPSec para transferencia de datos a travs
del tnel VPN; consulte Configuracin de un tnel de IPSec Para IKEv1 de fase 2, consulte Definicin de
perfiles criptogrficos de IPSec.
(Opcional) Especifique el modo en que el cortafuegos supervisar los tneles de IPSec. Consulte
Configuracin de la supervisin de tnel.
Defina polticas de seguridad para filtrar e inspeccionar el trfico.

Si hay una regla de denegacin en el extremo de la base de reglas de seguridad, el trfico
intrazona se bloquea a menos que se permita de otro modo. Las reglas para permitir aplicaciones
de IKE e IPSec deben incluirse de manera explcita por encima de la regla de denegacin.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a zonas/direcciones
definidas en la poltica se enruta automticamente correctamente basndose en la ruta de destino de la tabla de
enrutamiento y se gestiona como trfico VPN. Para ver algunos ejemplos de VPN de sitio a sitio, consulte
Configuraciones rpidas de VPN de sitio a sitio.
Configuracin de una puerta de enlace de IKE

Para configurar un tnel VPN, los peers o puertas de enlace VPN debe autenticarse mutuamente usando claves
previamente compartidas o certificados digitales y establecer un canal seguro en el que negociar la asociacin de
seguridad (SA) de IPSec que se usar para proteger el trfico entre los hosts en ambos lados.
471
VPN
Configuracin de una puerta de enlace de IKE
Paso 1
Paso 2
Defina la nueva Puerta de enlace de IKE. 1.
Defina la configuracin del peer en el

extremo del tnel.
2.
Seleccione la Interfaz saliente en el cortafuegos.
3.
Desde la lista desplegable Direccin IP local, seleccione la

direccin IP que se usar como extremo para la conexin VPN.
Esta es la interfaz externa con una direccin IP enrutable
pblicamente en el cortafuegos.
1.
Paso 4
Seleccione si el peer usa una IP esttica o dinmica en Tipo de

IP de peer.
2.
Paso 3
Seleccione Red > Perfiles de red > Puerta de enlace de IKE e

introduzca un Nombre para la nueva configuracin de la puerta
de enlace.
Si la Direccin IP del peer es esttica, introduzca la direccin IP

del peer.
Seleccione el mtodo de autenticacin del Para configurar una clave previamente compartida, consulte el
peer.
Paso 4.
Esto es necesario tanto para peers
estticos como dinmicos.
Para configurar certificados digitales, consulte el Paso 5.
Configuracin de una clave previamente

compartida
1.
Introduzca una clave de seguridad que se utilizar para la

autenticacin a travs del tnel. Esta clave debe ser idntica para
ambos peers.
Genere una clave que sea difcil de averiguar con ataques por
diccionario; use un generador de claves previamente
compartidas en caso necesario.
2.
Paso 5
Configuracin de la autenticacin basada 1.

en certificados.
Seleccione Certificado para el mtodo de Autenticacin y el

certificado firmado en el men desplegable Certificado local.
Los requisitos previos para la

autenticacin basada en
certificados son:
En el caso de que su dispositivo est habilitado para sistemas

virtuales mltiples, si el certificado pertenece a un sistema
virtual, debe estar en el mismo sistema virtual que la interfaz
usada para la puerta de enlace de IKE.
Obtener un certificado de firmado:

Consulte Generacin de un certificado en 2.
un cortafuegos u Obtencin de un
certificado desde una CA externa.
Configurar el perfil del certificado: El
3.
perfil del certificado proporciona la
configuracin que usa la puerta de enlace
de IKE para negociar y validar la
autenticacin del certificado con su peer.
Consulte Configuracin de un perfil de 4.
certificado.
5.
472
Contine con el Paso 6.
Desde la lista desplegable Identificacin local, seleccione uno

de los siguientes tipos e introduzca el valor: direccin IP, FQDN
(nombre de host), FQDN de usuario (direccin de correo
electrnico), nombre distintivo (asunto).
Desde la lista desplegable Identificacin del peer, seleccione
uno de los siguientes tipos e introduzca el valor: direccin IP,
FQDN (nombre de host), FQDN de usuario (direccin de
correo electrnico), nombre distintivo (asunto).
Seleccione el Perfil del certificado que va a usar.
Contine con el Paso 6.
VPN
Configuracin de una puerta de enlace de IKE (Continuacin)
Paso 6
Configure los parmetros adicionales para 1.

las negociaciones del IKE de fase 1:
modo de intercambio, perfil criptogrfico, 2.
fragmentacin IKE, deteccin de fallo del
peer.
Seleccione Red > Perfiles de red> Puertas de enlace de IKE y

seleccione la pestaa Opciones de fase 1 avanzadas.
Seleccione automtico, agresivo o principal para Modo de
intercambio.
Cuando se establece que un dispositivo utilice el modo de
intercambio Automtico, puede aceptar solicitudes de
negociacin tanto del modo principal como del modo agresivo;
sin embargo, siempre que sea posible, inicia la negociacin y
permite intercambios en el modo principal.
Si no se ha definido como automtico el modo de
intercambio, debe configurar ambos peers de la VPN
con el mismo modo de intercambio para permitir que
acepten las solicitudes de negociacin.
3.
Seleccione un perfil existente o mantenga el perfil

predeterminado del men desplegable Perfil criptogrfico de
IKE. Para obtener detalles sobre cmo definir un perfil
criptogrfico de IKE, consulte Definicin de perfiles
criptogrficos de IKE.
4.
Seleccione Modo pasivo si quiere que el cortafuegos solamente

responda a las conexiones de IKE y que nunca las inicie.
5.
Seleccione NAT transversal para utilizar la encapsulacin UDP

en los protocolos IKE y UDP, permitindoles pasar a travs de
dispositivos de NAT intermedios.
6.
(Solamente si utiliza autenticacin basada en certificados y el

modo de intercambio no est definido como agresivo)
Seleccione Habilitar fragmentacin para habilitar que el
cortafuegos opere con fragmentacin IKE.
7.
Seleccione la casilla de verificacin Deteccin de fallo del peer

e introduzca un intervalo (2 - 100 segundos); en Reintentar,
defina el tiempo de espera (2 - 100 segundos) antes de volver a
comprobar la disponibilidad.
La deteccin de fallo del peer identifica peers de IKE inactivos
o no disponibles enviando una carga de notificacin de IKE de
fase 1 al peer y esperando a que la reconozca.
Paso 7
Guarde los cambios.
Definicin de perfiles criptogrficos

Un perfil criptogrfico especifica las cifras usadas para autenticacin o cifrado entre dos peers IKE y la duracin
de esta clave. El periodo entre cada negociacin se conoce como duracin; cuando el tiempo especificado vence,
el cortafuegos vuelve a negociar un nuevo conjunto de claves.
473
VPN
Para proteger las comunicaciones a travs del tnel VPN, el cortafuegos requiere perfiles criptogrficos de IKE
e IPSec para completar las negociaciones del IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye
un perfil criptogrfico predeterminado de IKE y un perfil criptogrfico predeterminado de IPSec que est listo para
usarse.
Definicin de perfiles criptogrficos de IKE
Definicin de perfiles criptogrficos de IPSec
Definicin de perfiles criptogrficos de IKE

El perfil criptogrfico de IKE se usa para configurar algoritmos de cifrado y autenticacin que sirven para el
proceso de intercambio de claves en IKE de fase 1, y una duracin de las claves que especifica el tiempo que
sern validas. Para invocar un perfil, debe vincularlo a la configuracin de puerta de enlace de IKE.
Todas las puertas de enlace de IKE configuradas en la misma interfaz o direccin IP local deben
usar el mismo perfil criptogrfico.
Definicin de un perfil criptogrfico de IKE
Paso 1
Paso 2
Creacin de un nuevo perfil de IKE.
Seleccione el grupo DH que usar para

configurar el intercambio de claves.
1.
Seleccione Red > Perfiles de red > Criptogrfico de IKE y

seleccione Aadir.
2.
Introduzca un Nombre para el nuevo perfil.
Haga clic en Aadir y seleccione el nivel de la clave que quiere usar

para el grupo DH.
Seleccione ms de un grupo DH si no sabe con seguridad cul es
compatible con el peer VPN. Priorice la lista de cifras por nivel para
que se use la cifra de mayor nivel al configurar el tnel.
Paso 3
Seleccione el algoritmo de cifrado y la

autenticacin.
Haga clic en Aadir y seleccione los algoritmos de cifrado y la

autenticacin que quiere usar para la comunicacin entre peers del
IKE.
Si selecciona varios algoritmos, los peers pueden usar la
cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 4
Especifique la duracin de la validez de la Seleccione la duracin de la clave. El periodo entre cada negociacin
clave.
se conoce como duracin; cuando el tiempo especificado vence, el
cortafuegos vuelve a negociar un nuevo conjunto de claves.
Paso 5
Guarde su perfil criptogrfico de IKE.
Paso 6
Adjunte el perfil criptogrfico de IKE y la Consulte el Paso 6 en Configuracin de una puerta de enlace de IKE.
configuracin de la puerta de enlace
de IKE.
474
Haga clic en ACEPTAR y en Confirmar.
VPN
Definicin de perfiles criptogrficos de IPSec

El perfil criptogrfico de IPSec se invoca en el IKE de fase 2. Especifica el modo en que se protegen los datos
dentro del tnel cuando se usa IKE de clave automtica para generar claves automticamente para las SA del
IKE.
Definicin del perfil criptogrfico de IPSec
Paso 1
Cree un nuevo perfil de IPSec.
1.
Seleccione Red > Perfiles de red > Criptogrfico de IPSec y

seleccione Aadir.
2.
Introduzca un Nombre para el nuevo perfil.
3.
Seleccione el protocolo de IPSec (ESP o AH) que quiere aplicar

para proteger los datos cuando atraviesan el tnel.
4.
Haga clic en Aadir y seleccione la autenticacin y los

algoritmos de cifrado para ESP, as como los algoritmos de
autenticacin para AH, de modo que los peers de IKE puedan
negociar las claves para proteger la transferencia de datos a
travs del tnel.
Si selecciona varios algoritmos, los peers pueden usar la
cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 2
Paso 3
Seleccione el grupo DH para usar las

1.
negociaciones de SA de IPSec en el IKE
de fase 2.
Seleccione el nivel de la clave que quiere usar para el grupo DH

en el men desplegable.
2.
Seleccione no-pfs, si no quiere renovar la clave que se cre en la

fase 1, la clave actual se vuelve a utilizar para las negociaciones
de SA de IPSEC.
Especifique la duracin de la clave

(tiempo y volumen del trfico).
Seleccione ms de un grupo DH si no sabe con seguridad qu

nivel de clave admite el peer en el otro extremo. Se usar la cifra
de mayor nivel para la configuracin del tnel.
Usar una combinacin de tiempo y volumen del trfico le permite

garantizar la seguridad de los datos.
Seleccione la duracin o el periodo de tiempo de validez de la clave.
Cuando vence el tiempo especificado, el cortafuegos vuelve a
negociar un nuevo conjunto de claves.
Seleccione la duracin o el volumen de datos que establecern
cundo han de volver a negociarse las claves.
Paso 4
Guarde su perfil de IPSec.
Haga clic en ACEPTAR y en Confirmar.
Paso 5
Adjunte el perfil de IPSec a una

configuracin de tnel de IPSec.
Consulte el Paso 4 en
475
VPN
Configuracin de un tnel de IPSec

La configuracin del tnel de IPSec le permite autenticar o cifrar los datos (paquete de IP) cuando cruzan
el tnel.
Si est configurando un cortafuegos de Palo Alto Networks para trabajar con un peer compatible con VPN
basada en polticas, debe definir ID de proxy. Los dispositivos compatibles con VPN basadas en polticas usan
reglas/polticas o listas de acceso de seguridad especficas (direcciones de origen, direcciones de destino y
puertos) para permitir el trfico interesante a travs de un tnel IPSec. Se hace referencia a estas reglas durante
la negociacin de IKE de fase 2/modo rpido y se intercambian como ID de proxy en el primer o segundo
mensaje del proceso. Por lo tanto, si est configurando el cortafuegos Palo Alto Networks para trabajar con un
peer de VPN basada en polticas, para una negociacin de fase 2 correcta debe definir el ID de proxy, de modo
ambos peers tenga en el mismo ajuste. Si el ID de proxy no est configurado, porque el cortafuegos de Palo Alto
Networks es compatible con VPN basadas en rutas, los valores predeterminados usados por el ID de proxy son
ip de origen: 0.0.0.0/0, ip de destino: 0.0.0.0/0 y aplicacin: cualquiera; y cuando estos valores se intercambian
con el peer, se produce un fallo al configurar la conexin VPN.
Configuracin de un tnel de IPSec
Paso 1
Seleccione Red > Tneles de IPSec > General e introduzca un Nombre para el nuevo tnel.
Paso 2
Seleccione la interfaz de tnel que se usar para configurar el tnel de IPSec.

Para crear una nueva interfaz de tnel:
1. Seleccione Red > Interfaces > Tnel y haga clic en Aadir.
2. En el campo Nombre de interfaz, especifique un sufijo numrico, como .2.
3. En la pestaa Configurar, ample el men desplegable Zona de seguridad para definir la zona del siguiente
modo:
Para usar una zona fiable como punto de finalizacin del tnel, seleccione la zona del men desplegable.
Asociar la interfaz del tnel con la misma zona (y enrutador virtual) que la interfaz externa por la que entran
los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas.
(Recomendado) Para crear una zona separada para terminacin del tnel de VPN, haga clic en Nueva zona.
En el cuadro de dilogo Zona, defina un Nombre para una nueva zona, por ejemplo vn-corp, y haga clic en
Aceptar.
4. En el men desplegable Enrutador virtual, seleccione predeterminado.
5. (Opcional) Si quiere asignar una direccin IPv4 a la interfaz de tnel, seleccione la pestaa IPv4, haga clic en
Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo: 10.31.32.1/32.
6. Si quiere asignar una direccin IPv6 a la interfaz de tnel, consulte el Paso 3.
7. Para guardar la configuracin de la interfaz, haga clic en Aceptar.
476
VPN
Configuracin de un tnel de IPSec (Continuacin)
Paso 3
(Opcional) Habilite IPv6 en la

interfaz de tnel.
1.
Seleccione la pestaa IPv6 en Red > Interfaces > Tnel > IPv6.
2.
Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en

la interfaz.
Esta opcin permite enrutar el trfico IPv6 en un tnel IPv4 IPSec y
ofrece confidencialidad entre redes IPv6. El trfico IPv6 se encapsula
mediante IPv4 y, a continuacin, mediante ESP. Para enrutar trfico IPv6
al tnel, puede usar una ruta esttica al tnel, OSPFv3 o una regla de
reenvo basado en polticas (PBF) para dirigir trfico al tnel.
3.
Introduzca el ID de interfaz exclusivo ampliado de 64 bits en formato

hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. De manera
predeterminada, el cortafuegos utilizar el EUI-64 generado desde la
direccin MAC de la interfaz fsica.
4.
Para introducir una direccin IPv6, haga clic en Aadir e introduzca una
direccin IPv6 y la longitud del prefijo, por ejemplo 2001:400:f00::1/64.
Si no se selecciona Prefijo, la direccin IPv6 asignada a la interfaz ser la
que especifique completamente en el cuadro de texto de la direccin.
a. Seleccione Usar ID de interfaz como parte de host para asignar una
direccin IPv6 a la interfaz que utilizar el ID de interfaz como la parte
de host de la direccin.
b. Seleccione Difusin por proximidad para incluir el enrutado mediante
el nodo ms cercano.
Paso 4
Seleccione el tipo de clave que se Contine con uno de los pasos siguientes, dependiendo del tipo de
usar para proteger el tnel
intercambio de claves que est utilizando:
IPSec.
Configure el intercambio de clave automtica.
Configure el intercambio de clave automtica.
Configure el intercambio de clave 1.

automtica.
2.
Seleccione la puerta de enlace de IKE. Para configurar una puerta de

enlace de IKE, consulte Configuracin de una puerta de enlace de IKE
(Opcional) Seleccione el perfil criptogrfico de IPSec predeterminado.
Para crear un nuevo perfil de IPSec, consulte Definicin de perfiles
criptogrficos de IPSec.
477
VPN
Configuracin de un tnel de IPSec (Continuacin)
Configure el intercambio de clave 1.

manual.
Configure los parmetros para el cortafuegos local:

a. Especifique el SPI para el cortafuegos local: SPI es un ndice
hexadecimal de 32 bits que se aade al encabezado de tunelizacin de
IPSec para ayudar a diferenciar los distintos flujos de trfico de IPSec;
se usa para crear la SA requerida a fin de establecer un tnel de VPN.
b. Seleccione la interfaz que constituir el extremo del tnel y, de manera
opcional, seleccione la direccin IP para la interfaz local que es el
extremo del tnel.
c. Seleccione el protocolo que se usar: AH o ESP.
d. Para AH, seleccione el mtodo de autenticacin del men desplegable,
introduzca una clave y, a continuacin, confirme la clave.
e. Para ESP, seleccione el mtodo de autenticacin del men
desplegable, introduzca una clave y, a continuacin, confirme la clave.
A continuacin, seleccione el mtodo de cifrado, introduzca una clave
y, a continuacin, confirme la clave, en caso necesario.
2.
Configure los parmetros relativos al peer VPN remoto.

a. Especifique el SPI para el peer remoto.
b. Introduzca la direccin remota, la direccin IP y el peer remoto.
Paso 5
Proteccin contra un ataque de Marque la casilla de verificacin Mostrar opciones avanzadas, seleccione
reproduccin.
Habilitar proteccin de reproduccin para detectar y neutralizar ataques de
reproduccin.
Un ataque de reproduccin
consiste en interceptar un
paquete de forma
malintencionada y retransmitirlo.
Paso 6
Conserve el encabezado Tipo

En la seccin Mostrar opciones avanzadas, seleccione Copiar encabezado
de servicio para la prioridad o el de TOS. De este modo se copia el encabezado de TOS (Tipo de servicio) desde
tratamiento de paquetes de IP. el encabezado IP interno en el encabezado IP externo de los paquetes
resumidos con el fin de preservar la informacin original de TOS.
Paso 7
Habilite la supervisin de tnel Para alertar al administrador de dispositivo de los fallos del tnel y
proporcionar una conmutacin por error automtica a otra interfaz de tnel:
Deber asignar una
1. Especifique una IP de destino en el otro lado del tnel que el supervisor
direccin IP a la interfaz
de tnel utilizar para determinar si el tnel funciona correctamente.
de tnel para su
Paso 8
Paso 9
478
supervisin.
2.
Seleccione un perfil para determinar la accin cuando falla un tnel.

Para crear un nuevo perfil, consulte Definicin de un perfil de supervisin
de tnel.
(Requerido solo si el peer

VPN usa una VPN basada
en polticas). Cree un ID de
proxy para identificar a los
peers de VPN.
1.
Seleccione Red > Tneles de IPSec > ID de proxy.
2.
Haga clic en Aadir e introduzca una direccin IP para los peers de la

puerta de enlace de VPN.
Guarde los cambios
VPN
Configuracin de la supervisin de tnel

Para ofrecer un servicio VPN ininterrumpido, puede usar la capacidad Deteccin de fallo del peer junto con la
capacidad de supervisin del tnel en el cortafuegos. Tambin puede supervisar el estado del tnel. Estas tareas
de supervisin se describen en las siguientes secciones:
Definicin de un perfil de supervisin de tnel
Visualizacin del estado de los tneles

Un perfil de supervisin de tnel le permite verificar la conectividad entre los peers VPN; puede configurar la
interfaz de tnel para hacer ping a una direccin IP de destino con un intervalo determinado y especificar la
accin si la comunicacin a travs del tnel est cortada.
Paso 1
Seleccione Red > Perfiles de red > Supervisar. Hay un perfil de supervisin de tnel disponible para su uso.
Paso 2
Haga clic en Aadir e introduzca un Nombre para el perfil.
Paso 3
Seleccione la accin si no es posible alcanzar la direccin IP de destino.

Esperar recuperacin: El cortafuegos espera a que el tnel se recupere. Contina usando la interfaz del tnel
para las decisiones de enrutamiento como si el tnel siguiera activo.
Conmutacin por error: Desva el trfico a una ruta alternativa si hay alguna disponible. El cortafuegos
deshabilita la interfaz del tnel y, por lo tanto, deshabilita cualquier ruta en la tabla de rutas que use la interfaz.
En ambos casos, el cortafuegos intenta acelerar la recuperacin negociando nuevas claves IPSec.
Paso 4
Especifique el intervalo y el umbral para iniciar la accin especificada.

El umbral especifica el nmero de latidos de espera antes de iniciar la accin especificada. Puede tomar valores
de 2 a 100 y es de 5 latidos de forma predeterminada.
El intervalo mide el tiempo entre latidos. Puede tomar valores de 2 a 10 y es de 3 segundos de forma
predeterminada.
Paso 5
Adjunte el perfil de supervisin a una configuracin de tnel de IPSec. Consulte Habilite la supervisin de tnel
479
VPN
Visualizacin del estado de los tneles

El estado del tnel informa de si se han establecido SA de IKE de fase 1 y de fase 2 vlidas, y de si est operativa
la interfaz del tnel para el paso de trfico.
Dado que la interfaz del tnel es una interfaz lgica, no puede indicar el estado del enlace fsico. Por lo tanto,
debe habilitar la supervisin de tnel para que la interfaz del tnel pueda verificar la conectividad a una direccin
IP y determinar si la ruta sigue siendo utilizable. Si no se puede alcanzar la direccin IP, el cortafuegos esperar
a la recuperacin del tnel o una conmutacin por error. Cuando se produce una conmutacin por error, se
anula el tnel existente y se inician cambios de enrutamiento para establecer un nuevo tnel y redirigir el trfico.
Visualizacin del estado de tnel
1.
Seleccione Red > Tneles de IPSec.
2.
Visualizacin del estado de tnel

El color verde indica que el tnel de SA de IPSec es vlido.
El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
3.
Vea el estado de la puerta de enlace de IKE.

El color verde indica que la SA del IKE de fase 1 es vlida.
El color rojo indica que la SA de IKE de fase 1 no est disponibles o ha vencido.
4.
Vea el estado de la interfaz del tnel

El color verde indica que la interfaz del tnel est activa.
El color rojo indica que la interfaz de tnel no est activa porque la supervisin del tnel est habilitada y el estado
es desactivado.
Para solucionar problemas de un tnel VPN que an no est activo, consulte Interpretacin de mensajes de error
de VPN.
480
VPN
Prueba de conectividad VPN

Prueba de conectividad
Inicie el IKE de fase 1 haciendo un ping a un host a travs del tnel o usando el siguiente comando de la CLI:
test vpn ike-sa gateway gateway_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
gateway_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
show vpn ike-sa gateway
Inicie el IKE de fase 2 haciendo un ping a un host a travs del tnel o usando el siguiente comando de la CLI:
test vpn ipsec-sa tunnel
tunnel_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
show vpn ipsec-sa tunnel tunnel_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
Para ver la informacin del flujo de trfico VPN, use el siguiente comando.
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
filter - type IPSec, state any

total IPSec tunnel configured:
total IPSec tunnel shown:
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
active
100.1.1.1
200.1.1.1
tunnel.41
481
VPN
Interpretacin de mensajes de error de VPN

La siguiente tabla enumera algunos de los mensajes de error de VPN ms comunes que se registran en el log del
sistema.
Tabla: Mensajes de error de Syslog para problemas de VPN
Si el error es:
Pruebe a:
IKE phase-1 negotiation is failed

as initiator, main mode. Failed SA:
x.x.x.x[500]-y.y.y.y[500]
cookie:84222f276c2fa2e9:0000000000
000000 due to timeout.
Verificar si la direccin IP pblica de cada peer VPN es precisa en la

configuracin de la puerta de enlace de IKE.
Verificar si se puede hacer ping a las direcciones IP y que los problemas
de enrutamiento no estn provocando el fallo de conexin.
o
IKE phase 1 negotiation is failed.
Couldnt find configuration for IKE
phase-1 request for peer IP
x.x.x.x[1929]
Received unencrypted notify
payload (no proposal chosen) from
IP x.x.x.x[500] to y.y.y.y[500],
ignored...
Comprobar el perfil criptogrfico de IKE para verificar que las

propuestas en ambos lados tienen un cifrado, autenticacin y propuesta
de grupo DH comunes.
o
IKE phase-1 negotiation is failed.
Unable to process peers SA
payload.
pfs group mismatched:my: 2peer: 0
o
IKE phase-2 negotiation failed when
processing SA payload. No suitable
proposal found in peers SA
payload.
IKE phase-2 negotiation failed when

processing Proxy ID. Received local
id x.x.x.x/x type IPv4 address
protocol 0 port 0, received remote
id y.y.y.y/y type IPv4 address
protocol 0 port 0.
482
Comprobar la configuracin del perfil criptogrfico de IPSec para

verificar que:
los dos peers VPN tienen el mismo valor de pfs: habilitado o
deshabilitado
los grupos DH propuestos por cada peer tienen al menos un grupo
DH en comn
El peer VPN de un extremo est usando una VPN basada en polticas.
Debe configurar un ID de proxy en el cortafuegos de Palo Alto Networks.
Consulte Paso 8.
VPN

En las siguientes secciones se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de VPN:
VPN de sitio a sitio con rutas estticas
VPN de sitio a sitio con OSPF
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico
VPN de sitio a sitio con rutas estticas

Los siguientes ejemplos muestran una conexin VPN entre dos sitios que usan rutas estticas. Sin enrutamiento
dinmico, las interfaces de tnel en el peer A de VPN y el peer B de VPN no necesitan una direccin IP porque
el cortafuegos usa automticamente la interfaz del tnel como el prximo salto para el enrutamiento de trfico
a travs de los sitios. Sin embargo, para habilitar la supervisin del tnel, se ha asignado una direccin IP esttica
a cada interfaz de tnel.
483
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas
Paso 1
Configure una interfaz de capa 3.
1.
Esta interfaz se usa para el tnel IKE de

fase 1.
Seleccione Red > Interfaces> Ethernet y, a continuacin,

seleccione la interfaz que quiera configurar para la VPN.
2.
Seleccione Capa3 en el men desplegable Tipo de interfaz.
3.
En la pestaa Configurar, seleccione la Zona de seguridad a la

que pertenezca la interfaz:
La interfaz debe ser accesible desde una zona de fuera de su
red fiable. Considere la posibilidad de crear una zona de VPN
especfica para lograr la visibilidad y el control necesarios del
trfico de su VPN.
Si todava no ha creado la zona, seleccione Nueva zona en el
men desplegable Zona de seguridad, defina un Nombre
para la nueva zona y, a continuacin, haga clic en ACEPTAR.
4.
5.
Seleccione el Enrutador virtual que debe utilizarse.

IPv4, haga clic en Aadir en la seccin IP e introduzca la

ejemplo, 192.168.210.26/24.
6.

Aceptar.
En este ejemplo, la configuracin para el peer A de VPN es:

Interfaz: ethernet1/7
Zona de seguridad: no fiable
IPv4: 192.168.210.26/24
La configuracin para el peer B de VPN es:
484
IPv4: 192.168.210.120/24
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas (Continuacin)
Paso 2
Cree una interfaz de tnel y vinclela a un 1.

enrutador virtual y una zona de seguridad. 2.
3.
Seleccione Red > Interfaces > Tnel y haga clic en Aadir.

En el campo Nombre de interfaz, especifique un sufijo
numrico, como .1.
seguridad para definir la zona del siguiente modo:
Para usar una zona fiable como punto de finalizacin del
tnel, seleccione la zona del men desplegable.
(Recomendado) Si quiere crear una zona separada para la
finalizacin del tnel de VPN, haga clic en Nueva zona. En
el cuadro de dilogo Zona, defina un Nombre para una nueva
zona, por ejemplo vpn-tun, y haga clic en Aceptar.
4.
Seleccione el Enrutador virtual.
5.
(Opcional) Asigne una direccin IP a la interfaz de tnel,

seleccione la pestaa IPv4 o IPv6, haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red para
asignarlas a la interfaz.
Con rutas estticas, la interfaz de tnel no necesita una direccin
IP. Para el trfico destinado a una subred/direccin IP
especfica, la interfaz de tnel se convertir automticamente en
el prximo salto. Plantese aadir una direccin IP si quiere
habilitar la supervisin de tnel.
6.

Aceptar.
Interfaz: tnel.11
Zona de seguridad: vpn_tun
IPv4: 172.19.9.2/24
Paso 3
Interfaz: tnel.12
IPv4: 192.168.69.2/24
Configure una ruta esttica, en el servidor 1.

virtual, a la subred de destino.
Seleccione Red > Enrutador virtual y haga clic en el enrutador

que ha definido en el paso 4 ms arriba.
2.
Seleccione Ruta esttica, haga clic en Aadir e introduzca una

nueva ruta para acceder a la subred que se encuentra en el otro
extremo del tnel.
Destino: 192.168.69.0/24
Interfaz: tnel.11
Destino: 172.19.9.0/24
Interfaz: tnel.12
485
VPN
Paso 4
Configure los perfiles criptogrficos

(perfil criptogrfico IKE para fase 1 y
perfil criptogrfico IPSec para fase 2).
1.
Seleccione Red > Perfiles de red > Criptogrfico de IKE. En

este ejemplo, hemos usado el perfil predeterminado.
2.
Seleccione Red > Perfiles de red > Criptogrfico de IPSec. En

1.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
Complete esta tarea en ambos peers y

asegrese de definir valores idnticos.
Paso 5
Configure la puerta de enlace de IKE
2.
Haga clic en Aadir y configure las opciones en la pestaa

General.
Direccin IP local: 192.168.210.26/24
Tipo/Direccin IP del peer: esttica/192.168.210.120
Claves previamente compartidas: introduzca un valor
Identificacin local: Ninguna; significa que la direccin
IP local se utilizar como el valor de identificacin local.

3.
486
Tipo/Direccin IP del peer: esttica/192.168.210.26
Claves previamente compartidas: introduzca el mismo
valor que el del peer A

Identificacin local: ninguna
Seleccione Opciones de fase 1 avanzadas y seleccione el perfil
criptogrfico de IKE que ha creado anteriormente para usar
IKE de fase 1.
VPN
Paso 6
Configure el tnel de IPSec
1.
2.

General.

Interfaz de tnel: tnel.11
Tipo: clave automtica
Puerta de enlace de IKE: seleccione la puerta de enlace
de IKE definida ms arriba.
Perfil criptogrfico de IPSec: seleccione el perfil
criptogrfico de IPSec definido en el Paso 4.
3.
4.
Paso 7
Cree polticas para permitir el trfico

entre los sitios (subredes).

Perfil criptogrfico de IPSec: seleccione el
Criptogrfico de IPSec definido en el Paso 4.
(Opcional) Seleccione Mostrar opciones avanzadas, seleccione
Supervisor de tnel y especifique una direccin IP de destino
para hacer ping para verificar la conectividad. Normalmente, se
usa la direccin IP de la interfaz de tnel del peer de VPN.
(Opcional) Para definir la accin que se realizar si no es posible
establecer conectividad, consulte Definicin de un perfil de
supervisin de tnel.
1.
2.
Cree reglas para permitir el trafico entre la zona no fiable y la

zona vpn-tun y la zona vpn-tun y la zona no fiable para trfico
que se origine desde el origen especificado y las direcciones IP
de destino.
Paso 8
Guarde cualquier cambio de

configuracin pendiente.
Paso 9
Pruebe la conectividad VPN.
Consulte Visualizacin del estado de los tneles.
487
VPN
VPN de sitio a sitio con OSPF

En este ejemplo, cada sitio usa OSPF para enrutamiento o trfico dinmicos. La direccin IP del tnel en cada
peer de VPN se asigna estticamente y sirve como el prximo salto para el enrutamiento de trfico entre dos
sitios.
488
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF
Paso 1
Configure las interfaces de capa 3 en cada 1.

cortafuegos.

2.
3.

trfico de su VPN.
4.
5.

ejemplo, 192.168.210.26/24.
6.

Aceptar.

IPv4: 100.1.1.1/24
IPv4: 200.1.1.1/24
489
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 2

3.

numrico, p. ej., .11.
4.
5.
Asigne una direccin IP a la interfaz de tnel, seleccione la

pestaa IPv4 o IPv6, haga clic en Aadir en la seccin IP e
introduzca la direccin IP y la mscara de red/prefijo para
asignarlas a la interfaz, por ejemplo, 172.19.9.2/24.
Esta direccin IP se usar como direccin IP de prximo salto
para enrutar el trfico al tnel y tambin puede usarse para
supervisar el estado del tnel.
6.

Aceptar.
Interfaz: tnel.41
IPv4: 2.1.1.141/24
Paso 3

Interfaz: tnel.40
IPv4: 2.1.1.140/24
1.

2.


490
VPN
Paso 4
Establezca la configuracin OSPF en el 1.

enrutador virtual y adjunte las reas OSPF
con las interfaces apropiadas en el
2.
cortafuegos.
Seleccione Red > Enrutadores virtuales y seleccione el

enrutador predeterminado o aada uno nuevo.
Para obtener ms informacin sobre las

opciones OSPF disponibles en el
cortafuegos, consulte Configuracin de
OSPF.
En este ejemplo, la configuracin OSPF para el peer A de VPN

es:
3.
Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione

Habilitar.
ID del enrutador: 192.168.100.141

ID de rea: 0.0.0.0 que se asigna a la interfaz del tnel.1 con
el tipo de enlace: p2p
Use Difusin como el tipo de enlace

cuando haya ms de dos enrutadores
OSPF que necesiten intercambiar
informacin de enrutamiento.
ID de rea: 0.0.0.10 que se asigna a la interfaz Ethernet1/1

con el tipo de enlace: Difusin
La configuracin OSPF para el peer B de VPN es:
ID de rea: 0.0.0.0 que se asigna a la interfaz del tnel.1 con
el tipo de enlace: p2p
ID de rea: 0.0.0.20 que se asigna a la interfaz
Ethernet1/15 con el tipo de enlace: Difusin
Paso 5
1.
2.
Estos ejemplos usan direcciones IP
estticas para ambos peers VPN.
Normalmente, la sede usa una direccin
IP configurada estticamente y la sucursal
puede usar una direccin IP dinmica; las
direcciones IP dinmicas no son las ms
indicadas para configurar servicios
estables como VPN.

General.

Direccin IP del peer: 200.1.1.1/24
3.
Direccin IP del peer: 100.1.1.1/24

Seleccione el perfil criptogrfico de IKE que ha creado
anteriormente para usar IKE de fase 1.
491
VPN
Paso 6
1.
2.

General.

Perfil criptogrfico de IPSec: seleccione la puerta de
enlace de IKE definida en ms arriba.
3.
4.
Paso 7
492


Seleccione Mostrar opciones avanzadas, seleccione
para hacer ping para verificar la conectividad.
Para definir la accin que se realizar si no es posible establecer
conectividad, consulte Definicin de un perfil de supervisin de
tnel.
1.
2.

de destino.
VPN
Paso 8
Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
show routing route type ospf
Paso 9
Pruebe la conectividad VPN.
Consulte Configuracin de la supervisin de tnel y Visualizacin

del estado de los tneles.
493
VPN
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico

En este ejemplo, un sitio usa rutas estticas y el otro sitio usa OSPF. Cuando el protocolo de enrutamiento no
es el mismo entre ubicaciones, la interfaz del tnel en cada cortafuegos debe estar configurada con una direccin
IP esttica. A continuacin, permita el intercambio de informacin de enrutamiento, el cortafuegos que
participa tanto en el proceso de enrutamiento esttico como el dinmico debe configurarse con un Perfil de
redistribucin. Configurar el perfil de redistribucin habilita al enrutador virtual para redistribuir y filtrar rutas
entre protocolos (rutas estticas, rutas conectadas y hosts) desde el sistema autnomo esttico al sistema
autnomo OSPF. Sin este perfil de redistribucin, cada protocolo funciona por su cuenta y no intercambia
ninguna informacin de ruta con otros protocolos que se ejecutan en el mismo enrutador virtual.
En este ejemplo, la oficina satlite tiene rutas estticas y todo el trfico destinado a la red 192.168.x.x se enruta
al tnel .41. El enrutador virtual del peer B de VPN participa tanto en el proceso de enrutamiento dinmico
como el esttico y est configurado como un perfil de redistribucin para propagar (exportar) las rutas estticas
al sistema autnomo OSPF.
494
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico
Paso 1
Configure las interfaces de capa 3 en cada 1.

cortafuegos.

2.
3.

trfico de su VPN.
4.
5.

ejemplo, 192.168.210.26/24.
6.

Aceptar.

IPv4: 100.1.1.1/24
Paso 2

IPv4: 200.1.1.1/24
1.

2.


495
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 3
1.
2.
Con claves compartidas previamente,
para aadir el escrutinio de autenticacin
al configurar el tnel IKE de fase 1, puede
configurar atributos de identificacin de
peer y local, y un valor correspondiente
con el que coincide en el proceso de
negociacin.

General.
Tipo de IP de peer: dinmica
Identificacin local: seleccione FQDN(nombre de host)
e introduzca un valor para el peer A de VPN.

Identificacin del peer: seleccione FQDN(nombre de
host) e introduzca un valor para el peer B de VPN.
3.
496
Direccin IP de peer: dinmica

Identificacin local: seleccione FQDN(nombre de host)
e introduzca un valor para el peer B de VPN.
Identificacin del peer: seleccione FQDN(nombre de
host) e introduzca un valor para el peer A de VPN.
Seleccione el perfil criptogrfico de IKE que ha creado
anteriormente para usar IKE de fase 1.
VPN
Paso 4

3.

numrico, p. ej., .41.
4.
5.
Asigne una direccin IP a la interfaz de tnel, seleccione la

pestaa IPv4 o IPv6, haga clic en Aadir en la seccin IP e
introduzca la direccin IP y la mscara de red/prefijo para
asignarlas a la interfaz, por ejemplo, 172.19.9.2/24.
Esta direccin IP se usar para enrutar el trfico al tnel y
supervisar el estado del tnel.
6.

Aceptar.
Interfaz: tnel.41
IPv4: 2.1.1.141/24
Paso 5
Especifique la interfaz para enruta el

1.
trfico a un destino en la red 192.168.x.x. 2.
Interfaz: tnel.42
IPv4: 2.1.1.140/24
En el peer A de VPN, seleccione el enrutador virtual.

Seleccione Rutas estticas y aada tnel.41 como la interfaz
para el enrutamiento de trfico con un Destino en la
red 192.168.x.x.
497
VPN
Paso 6
Establezca la ruta esttica y la

configuracin OSPF en el enrutador
virtual y adjunte las reas OSPF con las
interfaces apropiadas en el cortafuegos.
1.
En el peer B de VPN, seleccione Red > Enrutadores virtuales

y seleccione el enrutador predeterminado o aada uno nuevo.
2.
Seleccione Rutas estticas y Aada la direccin IP del tnel

como el prximo salto para el trfico en la red 172.168.x.x.
Asigne la mtrica de ruta deseada; usando un valor bajo se
aumenta la prioridad para la seleccin de ruta en la tabla de
reenvos.
3.
Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione

Habilitar.
4.
En este ejemplo, la configuracin OSPF para el peer B de VPN

es:
ID de rea: 0.0.0.0 se asigna a la interfaz Ethernet1/12 con el
tipo de enlace: Difusin
ID de rea: 0.0.0.10 que se asigna a la interfaz Ethernet1/1
con el tipo de enlace: Difusin
ID de rea: 0.0.0.20 se asigna a la interfaz Ethernet1/15 con
el tipo de enlace: Difusin
Paso 7
Cree un perfil de redistribucin para

inyectar las rutas estticas en el sistema
autnomo OSPF.
1.
Cree un perfil de redistribucin en el peer B de VPN.

a. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador que ha usado ms arriba.
b. Seleccione Perfiles de redistribucin y haga clic en Aadir.
c. Introduzca un nombre para el perfil, seleccione Redistr. y
asigne un valor de Prioridad. Si ha configurado mltiples
perfiles, coincidir primero el perfil con el valor de propiedad
ms bajo.
d. Defina Tipo de origen como esttico y haga clic en Aceptar.
Se usar la ruta esttica definida en el Paso 6-2 para la
redistribucin.
2.
Inyecte rutas estticas en el sistema OSPF.

a. Seleccione OSPF> Exportar reglas (para IPv4) o OSPFv3>
Exportar reglas (para IPv6).
b. Haga clic en Aadir y seleccione el perfil de redistribucin
que acaba de crear.
c. Seleccione cmo se llevan las rutas externas al sistema OSPF.
La opcin predeterminada, Ext2, calcula el coste total de la
ruta usando solo mtricas externas. Para usar mtricas OSPF
tanto internas como externas, use Ext1.
d. Asigne una mtrica (valor de coste) a las rutas inyectadas en
el sistema OSPF. Esta opcin le permite cambiar la mtrica
para la ruta inyectada al entrar en el sistema OSPF.
e. Haga clic en ACEPTAR para guardar los cambios.
498
VPN
Paso 8
1.
2.

General.

3.
Paso 9


Seleccione Mostrar opciones avanzadas, seleccione
para hacer ping para verificar la conectividad.
4.
Para definir la accin que se realizar si no es posible establecer

conectividad, consulte Definicin de un perfil de supervisin de
tnel.
1.
2.

de destino.
499
VPN
Paso 10 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
show routing route

A continuacin se muestra un ejemplo de salida en cada peer
de VPN.
Paso 11 Pruebe la conectividad VPN.
500
Consulte Configuracin de la supervisin de tnel y Visualizacin

del estado de los tneles.
VPN a gran escala (LSVPN)

La funcin VPN a gran escala (LSVPN) de GlobalProtect de cortafuegos de prxima generacin de Palo Alto
Networks simplifica la implementacin de VPN de concentrador y radio tradicionales, lo que le permite
implementar rpidamente redes empresariales con varias sucursales con una cantidad mnima de configuracin
obligatoria en los dispositivos satlite remotos. Esta solucin utiliza certificados para la autenticacin de
dispositivos e IPSec para proteger datos.
LSVPN habilita VPN de sitio a sitio entre cortafuegos de Palo Alto Networks. Para configurar una
VPN de sitio a sitio entre un cortafuegos de Palo Alto Networks y otro dispositivo, consulte VPN.
Los siguientes temas describen los componentes de LSVPN y cmo configurarlos para habilitar servicios de
VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
Descripcin general de LSVPN
Creacin de interfaces y zonas para la LSVPN
Habilitacin de SSL entre componentes de LSVPN de GlobalProtect
Configuracin del portal para autenticar satlites
Configuracin de puertas de enlace de GlobalProtect para LSVPN
Configuracin del portal de GlobalProtect para LSVPN
Preparacin del dispositivo satlite para unirse a la LSVPN
Verificacin de la configuracin de LSVPN
Configuraciones rpidas de LSVPN
VPN a gran escala
501

GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos corporativos
desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
Portal de GlobalProtect: Proporciona las funciones de gestin necesarias para su infraestructura de

LSVPN de GlobalProtect. Cada satlite que participa en la LSVPN de GlobalProtect recibe informacin de
configuracin del portal, incluida informacin de configuracin para permitir que los satlites (los radios) se
conecten a las puertas de enlace (los concentradores). El portal se configura en una interfaz de cualquier
cortafuegos de ltima generacin de Palo Alto Networks.
Puertas de enlace de GlobalProtect: Cortafuegos de Palo Alto Networks que proporciona el extremo del
tnel para conexiones de satlites. Los recursos a los que acceden los satlites estn protegidos por la poltica
de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace separados; un
nico cortafuegos puede actuar tanto de portal como de puerta de enlace.
Satlite de GlobalProtect: Cortafuegos de Palo Alto Networks en una ubicacin remota que establece
tneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos centralizados.
La configuracin del cortafuegos del satlite es mnima, lo que le permite ajustar rpida y fcilmente su VPN
a medida que aada nuevas ubicaciones.
El siguiente diagrama muestra cmo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
502
VPN a gran escala

Debe configurar las siguientes interfaces y zonas para su infraestructura de LSVPN:
Portal de GlobalProtect: Requiere una interfaz de capa 3 para que se conecten los satlites de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
Puertas de enlace de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satlites remotos, una interfaz interna en la zona fiable que se conecta con los recursos
protegidos y una interfaz de tnel lgica para finalizar los tneles de VPN desde los satlites. A diferencia de
otras soluciones de VPN de sitio a sitio, la puerta de enlace de GlobalProtect solamente requiere una nica
interfaz de tnel, que utilizar para las conexiones de tnel con todos sus satlites remotos (punto a
multipunto). Si tiene la intencin de utilizar el enrutamiento dinmico, deber asignar una direccin IP a la
interfaz de tnel.
Satlite de GlobalProtect: Requiere una nica interfaz de tnel para establecer una VPN con las puertas
de enlace remotas (hasta un mximo de 25 puertas de enlace). Si tiene la intencin de utilizar el enrutamiento
dinmico, deber asignar una direccin IP a la interfaz de tnel.
Si desea ms informacin sobre portales, puertas de enlace y satlites, consulte Descripcin general de LSVPN.
Configuracin de interfaces y zonas para la LSVPN de GlobalProtect
Paso 1
Configure la interfaz de capa 3.
1.
El portal y cada puerta de enlace y cada

satlite requieren una interfaz de capa 3
para permitir que el trfico se enrute entre 2.
las distintas ubicaciones.
3.
Si la puerta de enlace y el portal se
encuentran en el mismo cortafuegos,
puede utilizar una nica interfaz para
ambos componentes.

seleccione la interfaz que quiera configurar para la LSVPN de
GlobalProtect.
trfico de su VPN.
Las direcciones IPv6 no son

compatibles con LSVPN.

4.
5.

ejemplo, 203.0.11.100/24.
6.

Aceptar.
VPN a gran escala
503
Configuracin de interfaces y zonas para la LSVPN de GlobalProtect (Continuacin)
Paso 2
1.
En los cortafuegos donde se alojen
puertas de enlace de GlobalProtect,
2.
configure la interfaz de tnel lgica que
finalizar los tneles de VPN establecidos
3.
por los satlites de GlobalProtect.
No se requieren direcciones IP en
la interfaz de tnel a menos que
tenga la intencin de utilizar el
enrutamiento dinmico. Sin
embargo, asignar una direccin IP
a la interfaz de tnel puede resultar
til para solucionar problemas de
conexin.

numrico, como .2.
Asegrese de habilitar User-ID en

la zona donde finalizan los tneles 4.
5.
de VPN.
6.

el cuadro de dilogo Zona, defina un Nombre para la nueva
zona (por ejemplo, lsvpn-tun), seleccione la casilla de
verificacin Habilitar identificacin de usuarios y, a
(Opcional) Si quiere asignar una direccin IP a la interfaz de
tnel, seleccione la pestaa IPv4, haga clic en Aadir en la
asignarlas a la interfaz, por ejemplo: 203.0.11.33/24.
Aceptar.
Paso 3
Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de
seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
poltica habilita el trfico entre la zona lsvpn-tun y la zona L3-Trust.
Paso 4
504
VPN a gran escala
Habilitacin de SSL entre componentes de LSVPN de

GlobalProtect
Toda la interaccin entre los componentes de GlobalProtect se realiza a travs de una conexin SSL. Por lo tanto,
debe generar y/o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda
hacer referencia a los certificados y/o perfiles de certificados adecuados en las configuraciones de cada
componente. En las siguientes secciones se describen los mtodos compatibles de implementacin de certificados,
las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, adems de
ofrecer instrucciones para la generacin e implementacin de los certificados necesarios.
Acerca de la implementacin de certificados
Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect
Acerca de la implementacin de certificados

Hay dos mtodos bsicos para implementar certificados para LSVPN de GlobalProtect:
Autoridad de certificacin empresarial: Si ya cuenta con su propia entidad de certificacin empresarial,

puede utilizar esta CA interna para emitir un certificado de CA intermedio para el portal de GlobalProtect
para habilitarlo con el fin de que emita certificados para las puertas de enlace y los satlites de GlobalProtect.
Certificados autofirmados: Puede generar un certificado de CA raz autofirmado en el cortafuegos y

usarlo para emitir certificados de servidor para el portal, las puertas de enlace y los satlites. La prctica
recomendada es crear un certificado de CA raz autofirmado en el portal y utilizarlo para emitir certificados
de servidor para las puertas de enlace y los satlites. De este modo, la clave privada utilizada para la firma del
certificado permanece en el portal.
Implementacin de certificados de servidor en los componentes de LSVPN

de GlobalProtect
Los componentes de LSVPN de GlobalProtect utilizan SSL/TLS para autenticarse mutuamente. Antes de
implementar el LSVPN, debe emitir certificados de servidor en el portal y las puertas de enlace. No necesita
crear certificados de servidor para los dispositivos satlite debido a que el portal emitir un certificado de
servidor para cada satlite durante la primera conexin.
Adems, debe importar el certificado de CA raz utilizado para emitir los certificados de servidor en cada
cortafuegos que tenga la intencin de alojar como puerta de enlace o satlite. Por ltimo, en cada puerta de
enlace y satlite que participe en la LSVPN, deber configurar un perfil de certificado que los habilitar para
establecer una conexin SSL/TLS mediante la autenticacin mutua.
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de LSVPN de GlobalProtect:
No necesita emitir certificados de servidor para los dispositivos satlite debido a que el portal los
emitir como parte del proceso de registro de satlites.
VPN a gran escala
505
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect
Paso 1
En el cortafuegos que aloja el portal, cree

el certificado de CA raz para la emisin
de certificados autofirmados para los
componentes de GlobalProtect.
Para usar certificados autofirmados, primero debe crear un

certificado de CA raz que servir para firmar los certificados de
componentes de GlobalProtect del siguiente modo:
dispositivos y, a continuacin, haga clic en Generar.
Paso 2
Genere certificados de servidor para el

portal y las puertas de enlace de
GlobalProtect.
2.
Introduzca un Nombre de certificado, como LSVPN_CA. El

nombre de certificado no puede puede contener espacios.
3.
No seleccione ningn valor en el campo Firmado por (esto es

lo que indica que est autofirmado).
4.
Seleccione la casilla de verificacin Autoridad del certificado y,

a continuacin, haga clic en Aceptar para generar el certificado.
Utilice la CA raz en el portal para generar certificados de servidor

para cada puerta de enlace que tenga la intencin de implementar:
1. Seleccione Dispositivo > Gestin de certificados > Certificados
> Certificados de dispositivos y, a continuacin, haga clic en
Generar.
Debe emitir un certificado de servidor

autofirmado exclusivo para el portal y
2.
para cada puerta de enlace de
GlobalProtect. La prctica recomendada
es emitir todos los certificados necesarios 3.
en el portal, para que el certificado de
firma (con la clave privada) no tenga que
exportarse.
4.
Si el portal y la puerta de enlace de
GlobalProtect se encuentran en la 5.
misma interfaz del cortafuegos,
puede utilizar el mismo certificado
de servidor para ambos
componentes.
6.
506
Introduzca un nombre de certificado. El nombre de certificado

no puede puede contener espacios.
Introduzca el FQDN (recomendado) o la direccin IP de la
interfaz donde pretende configurar la puerta de enlace en el
campo Nombre comn.
En el campo Firmado por, seleccione LSVPN_CA, que cre en
el paso anterior.
En la seccin Atributos del certificado, haga clic en Aadir y
defina los atributos para identificar de forma exclusiva la puerta
de enlace. Tenga en cuenta que si aade un atributo Nombre de
host (que cumplimenta el campo SAN del certificado), debe
coincidir exactamente con el valor que haya definido en el
campo Nombre comn.
Seleccione Generar el certificado.
VPN a gran escala
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)
Paso 3
Implemente los certificados de servidor

autofirmados en las puertas de enlace.
1.
En el portal, seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos, seleccione el
certificado de puerta de enlace que quiere implementar y haga
clic en Exportar.
2.
Seleccione Clave privada cifrada y certificado (PKCS12) en el

men desplegable Formato de archivo.
3.
Introduzca dos veces una Frase de contrasea para cifrar la

clave privada asociada al certificado y, a continuacin, haga clic
en ACEPTAR para descargar el archivo PKCS12 en su
ordenador.
4.
En la puerta de enlace, seleccione Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivo y
haga clic en Importar.
5.
Introduzca un nombre de certificado.
6.
Introduzca la ruta y el nombre en el archivo de certificado que

acaba de descargar del portal o seleccione Examinar para buscar
el archivo.
7.
Seleccione Clave privada cifrada y certificado (PKCS12) como

Formato de archivo.
8.
Introduzca la ruta y nombre en el archivo PKCS#12 en el

campo Archivo de clave o seleccione Examinar para
encontrarla.
9.
Vuelva a introducir la frase de contrasea que se us para cifrar

la clave privada y despus haga clic en ACEPTAR para importar
el certificado y la clave.
Prcticas recomendadas:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz
desde el portal e imprtelos en las
puertas de enlace.
Asegrese de emitir un nico
certificado de servidor para cada
puerta de enlace.
El campo de nombre comn (CN) y, si
es aplicable, de nombre alternativo del
asunto (SAN) del certificado deben
coincidir con la direccin IP o con el
nombre de dominio completo
(FQDN) de la interfaz donde
configure la puerta de enlace.
VPN a gran escala
507
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)
Paso 4
Importe el certificado de CA raz utilizado 1.

para la emisin de certificados de servidor
para los componentes de LSVPN.
Descargue el certificado de CA raz del portal.
Debe importar el certificado de CA raz

en todas las puertas de enlace y los
satlites. Por motivos de seguridad,
asegrese de exportar nicamente el
certificado, no la clave privada asociada.
b. Seleccione el certificado de CA raz utilizado para la emisin

de certificados para los componentes de LSVPN y haga clic
en Exportar.

Certificados > Certificados de dispositivos.
c. Seleccione Certificado codificado en Base64 (PEM) en la

lista desplegable Formato de archivo y haga clic en ACEPTAR
para descargar el certificado. (No exporte la clave privada).
2.
En los cortafuegos que alojan las puertas de enlace y los

satlites, importe el certificado de CA raz.
Importar.
en Aceptar.
g. Confirme los cambios.
Paso 5
Paso 6
508
Cree un perfil de certificado.
1.
El portal y cada puerta de enlace de

LSVPN de GlobalProtect requieren un
perfil de certificado que especifique qu
certificado utilizar para autenticar los
satlites.
Seleccione Dispositivo > Gestin de certificados > Perfil del

certificado, haga clic en Aadir e introduzca un Nombre de
2.
Asegrese de que Campo de nombre de usuario se ha definido

como Ninguno.
3.
En el campo Certificados de CA, haga clic en Aadir y

seleccione el certificado de CA raz de confianza que import en
el Paso 4.
4.
(Opcional pero recomendado) Habilite el uso de CRL y/o

OCSP para habilitar la verificacin del estado de certificado.
5.
perfil.
VPN a gran escala

Para registrarse en la LSVPN, cada satlite debe establecer una conexin SSL/TLS con el portal. Tras establecer
la conexin, el portal autentica el dispositivo satlite para asegurarse de que est autorizado para unirse a la
LSVPN. Despus de autenticar correctamente el satlite, el portal emitir un certificado de servidor para el
satlite y enviar la configuracin de LSVPN que especifica las puertas de enlace a las que puede conectarse el
satlite y el certificado de CA raz necesario para establecer una conexin SSL con las puertas de enlace.
Hay dos formas en las que el satlite puede autenticar en el portal durante su conexin inicial:
Nmero de serie: Puede configurar el portal con el nmero de serie de los cortafuegos satlite autorizados
para unirse a la LSVPN. Durante la conexin inicial del satlite al portal, el satlite presenta su nmero de
serie al portal y, si el portal tiene el nmero de serie en su configuracin, el satlite se autenticar
correctamente. Los nmeros de serie de los satlites autorizados se aaden al configurar el portal. Consulte
Configuracin del portal.
Nombre de usuario y contrasea: Si prefiere asignar sus satlites sin tener que introducir manualmente
los nmeros de serie de los dispositivos de satlite en la configuracin del portal, puede pedir al
administrador del satlite que se autentique cuando establezca la conexin inicial con el portal. Aunque el
portal siempre buscar el nmero de serie en la solicitud inicial del satlite, si no puede identificar el nmero
de serie, el administrador de satlites deber proporcionar un nombre de usuario y una contrasea para
autenticarlo en el portal. Debido a que el portal siempre retroceder a esta forma de autenticacin, debe crear
un perfil de autenticacin para confirmar la configuracin del portal. Esto requiere que configure un perfil
de autenticacin para la configuracin de LSVPN del portal, aunque tenga la intencin de autenticar los
satlites mediante el nmero de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticacin de satlites mediante
un servicio de autenticacin existente. LSVPN de GlobalProtect admite la autenticacin externa mediante una
base de datos local, LDAP (incluido Active Directory), Kerberos o RADIUS.
VPN a gran escala
509
Configuracin de la autenticacin de satlites
Paso 1
Cree un perfil de servidor en el portal.
1.
El perfil de servidor indica al cortafuegos

2.
cmo conectar con un servicio de
autenticacin externo para validar las
credenciales de autenticacin
3.
proporcionadas por el administrador de
satlites.
4.
Si est utilizando la autenticacin local,
puede omitir este paso y, en su lugar,
aadir una configuracin de usuario local 5.
para autenticar el administrador de
satlites.
Si est usando LDAP para
conectarse a Active Directory
(AD), debe crear un perfil de
servidor LDAP diferente para
cada dominio de AD.
Seleccione Dispositivo > Perfiles de servidor y seleccione el

tipo de perfil (LDAP, Kerberos o RADIUS).
Haga clic en Aadir e introduzca un Nombre para el perfil,
como LSVPN-Auth.
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est
conectando.
Haga clic en Aadir en la seccin Servidores e introduzca la
informacin requerida para el servicio de autenticacin, incluido
el Nombre, Direccin IP (o FQDN) y Puerto del servidor.
(Solo RADIUS y LDAP) Especifique la configuracin para
habilitar la autenticacin del cortafuegos en el servicio de
autenticacin del siguiente modo:
RADIUS: Introduzca el Secreto compartido al aadir la
entrada del servidor.
LDAP: Introduzca el valor de Enlazar DN y Enlazar
contrasea.
6.
(nicamente LDAP y Kerberos) Especifique dnde buscar las

credenciales en el servicio del directorio:
LDAP: DN de Base especifica el punto en el rbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo
debera cumplimentarse automticamente al introducir el
puerto y la direccin del servidor. De no ser as, compruebe
la ruta del servicio al servidor LDAP.
Kerberos: Introduzca el nombre del Dominio de Kerberos.
Paso 2
Cree un perfil de autenticacin.

El perfil de autenticacin especifica qu
perfil de servidor debe utilizarse para
autenticar satlites.
7.
Especifique el nombre del Dominio (sin puntos, por ejemplo

acme, no acme.com).
8.
1.
Seleccione Dispositivo > Perfil de autenticacin y haga clic en

Aadir.
2.
Introduzca un Nombre para el perfil y, a continuacin,

seleccione el tipo de Autenticacin (Base de datos local, LDAP,
Kerberos o RADIUS).
3.
Seleccione el Perfil de servidor que cre en el Paso 1.
4.
(LDAP AD) Introduzca sAMAccountName como el Atributo

de inicio de sesin.
5.
Paso 3
510
VPN a gran escala
Configuracin de puertas de enlace de GlobalProtect

para LSVPN
Puesto que la configuracin de GlobalProtect que el portal entrega a los satlites incluye la lista de puertas de
enlace a las que puede conectarse el satlite, es recomendable configurar las puertas de enlace antes de configurar
el portal.
Tareas previamente necesarias
Configuracin de la puerta de enlace

Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Debe
configurar tanto la interfaz fsica como la interfaz de tnel virtual. Consulte Creacin de interfaces y zonas
para la LSVPN.
Configure los certificados de servidor de puerta de enlace y el perfil de certificado necesario para habilitar
el satlite y la puerta de enlace de GlobalProtect para que establezcan una conexin SSL/TLS mutua.
Consulte Habilitacin de SSL entre componentes de LSVPN de GlobalProtect.
Configuracin de la puerta de enlace

Una vez completadas las Tareas previamente necesarias, configure cada puerta de enlace de GlobalProtect para
que participe en la LSVPN de la manera siguiente:
Configuracin de la puerta de enlace para LSVPN
Paso 1
Aada una plantilla.
VPN a gran escala
1.
Seleccione Red > GlobalProtect > Puertas de enlace y haga clic

en Aadir.
2.
En la pestaa General, introduzca un Nombre para la puerta de

enlace. El nombre de la puerta de enlace no debera contener
espacios y la prctica recomendada es que debera incluir la
ubicacin u otra informacin descriptiva que ayude a identificar
la puerta de enlace.
3.
(Opcional) Seleccione el sistema virtual al que pertenece esta

puerta de enlace en el campo Ubicacin.
511
Configuracin de la puerta de enlace para LSVPN (Continuacin)
Paso 2
Especifique la informacin de red que

permita a los satlites conectarse a la
puerta de enlace.
1.
Seleccione la Interfaz que utilizarn los satlites para acceder a

la puerta de enlace.
2.
Seleccione la Direccin IP para el acceso a la puerta de enlace.
Si an no ha creado la interfaz de red para 3.

la puerta de enlace, consulte las
instrucciones de Creacin de interfaces y
zonas para la LSVPN. Si an no ha creado
un certificado de servidor para la puerta
de enlace, consulte Implementacin de
certificados de servidor en los
componentes de LSVPN de
GlobalProtect.
Paso 3
Seleccione el Certificado de servidor para la puerta de enlace en

el men desplegable.
Seleccione el Perfil del certificado que cre para la comunicacin

Seleccione el perfil de certificado que
SSL entre los componentes de LSVPN.
debe utilizar la puerta de enlace para
autenticar satlites que intenten establecer
tneles.
Si no ha configurado an el perfil de
certificado, consulte las instrucciones de
Habilitacin de SSL entre componentes
de LSVPN de GlobalProtect.
Paso 4
Paso 5
Configure los parmetros del tnel y

habilite la tunelizacin.
(Opcional) Habilite la supervisin de

tnel.
1.
En el cuadro de dilogo Puerta de enlace de GlobalProtect,

seleccione Configuracin Satlite > Ajustes de tnel.
2.
Seleccione la casilla de verificacin Configuracin de tnel para

habilitar la tunelizacin.
3.
Seleccione la Interfaz de tnel que defini en el Paso 2 en

Creacin de interfaces y zonas para la LSVPN.
4.
(Opcional) Si desea conservar la informacin de tipo de servicio

(ToS) en los paquetes resumidos, seleccione la casilla de
verificacin Copiar TOS.
1.
Seleccione la casilla de verificacin Supervisin de tnel.
2.
Especifique la direccin IP de destino que deben usar los

dispositivos de satlite para determinar si la puerta de enlace est
activa. De forma alternativa, si ha configurado una direccin IP
para la interfaz de tnel, puede dejar este campo en blanco y, en
su lugar, el monitor de tnel utilizar la interfaz de tnel para
determinar si la conexin est activa.
La supervisin de tnel habilita los

dispositivos satlites para que supervisen
su conexin de tnel de puerta de enlace,
lo que permite realizar una conmutacin
por error a una puerta de enlace de
reserva si falla la conexin. La
3.
conmutacin por error a otra puerta de
enlace es el nico tipo de perfil de
supervisin de tnel permitido con
LSVPN.
512
Seleccione Conmutacin por error en la lista desplegable Perfil

de monitor de tnel (es el nico perfil de monitor de tnel
admitido para LSVPN).
VPN a gran escala
Paso 6
Seleccione el perfil criptogrfico que debe Seleccione predeterminado en el men desplegable Perfil
criptogrfico de IPSec u, opcionalmente, seleccione Nuevo perfil
utilizarse al establecer conexiones de
tnel.
criptogrfico de IPSec para definir un nuevo perfil. Si desea
informacin detallada sobre las opciones de autenticacin y cifrado
El perfil criptogrfico especifica el tipo de
en el perfil criptogrfico, consulte la ayuda en lnea.
cifrado de IPSec y/o el mtodo de
autenticacin para proteger los datos que
atraviesen el tnel. Dado que ambos
extremos del tnel de una LSVPN son
cortafuegos fiables de su organizacin,
por lo general puede utilizar el perfil
predeterminado, que utiliza cifrado
ESP-DH group2-AES 128 con SHA-1.
Sin embargo, si requiere una mezcla
diferente de mecanismos de cifrado y
autenticacin, puede crear opcionalmente
un perfil criptogrfico de IPSec
personalizado.
VPN a gran escala
513
Paso 7
Configure los ajustes de red para asignar 1.

los satlites durante el establecimiento del
tnel de IPSec.
2.
Tambin puede configurar el
dispositivo satlite para que enve
la configuracin DNS a sus
clientes locales configurando un
servidor DHCP en el cortafuegos
que aloja el satlite. En esta
configuracin, el satlite enviar la
configuracin DNS que obtenga
de la puerta de enlace a los clientes
3.
DHCP.
4.
En el cuadro de dilogo Puerta de enlace de GlobalProtect,

seleccione Configuracin Satlite > Configuracin de red.
(Opcional) Si los clientes locales del dispositivo satlite
necesitan resolver FQDN en la red corporativa, configure la
puerta de enlace para que enve la configuracin DNS a los
satlites de una de las maneras siguientes:
Defina manualmente los ajustes DNS principal, DNS
secundario y Sufijo DNS para enviarlos a los satlites.
Si la puerta de enlace tiene una interfaz configurada como
cliente DHCP, puede establecer el Origen de herencia en esa
interfaz y a los satlites de GlobalProtect se les asignarn los
mismos ajustes que haya recibido el cliente DHCP.
Para especificar el Grupo de IP de las direcciones que se
asignarn a la interfaz de tnel en los dispositivos satlite cuando
se establece el VPN, haga clic en Aadir y especifique el
intervalo de direcciones IP que se debe usar. Si est utilizando el
enrutamiento dinmico, asegrese de que el grupo de
direcciones IP que designe a los satlites no se solape con las
direcciones IP que asign manualmente a las interfaces de tnel
de sus puertas de enlace y satlites.
Para definir a qu subredes de destino enrutar a travs del tnel,
haga clic en Aadir en el rea de Acceder a ruta y, a
continuacin, introduzca las rutas del siguiente modo:
Si desea enrutar todo el trfico desde los satlites a travs del
tnel, deje este campo en blanco. Tenga en cuenta que, en
este caso, todo el trfico excepto el destinado a la subred local
se enviar a la puerta de enlace a travs de tnel.
Para enrutar solo parte del trfico a travs de la puerta de
enlace (en un proceso denominado tnel dividido), especifique
las subredes de destino que deben estar tuneladas. En este
caso, el satlite enrutar el trfico no destinado a una ruta de
acceso especificada mediante su propia tabla de rutas. Por
ejemplo, puede decidir tunelizar nicamente el trfico
destinado a su red corporativa y utilizar el satlite local para
permitir el acceso a Internet de forma segura.
Si desea habilitar el enrutamiento entre satlites, introduzca la
ruta de resumen para la red protegida por cada satlite.
514
VPN a gran escala
Paso 8
(Opcional) Defina qu rutas, si las

hubiera, aceptar la puerta de enlace de
los satlites.
De manera predeterminada, la puerta de
enlace no aadir ninguna ruta que los
satlites anuncien en su tabla de rutas. Si
no desea que la puerta de enlace acepte
rutas de puertas de enlace, no necesita
realizar este paso.
Paso 9
Guarde la configuracin de puerta de

enlace.
VPN a gran escala
1.
Para habilitar la puerta de enlace para que acepte rutas

anunciadas por satlites, seleccione Configuracin Satlite >
Filtro de ruta.
2.
Seleccione la casilla de verificacin Aceptar rutas publicadas.
3.
Para filtrar cules de las rutas anunciadas por los satlites deben
aadirse a la tabla de rutas de la puerta de enlace, haga clic en
Aadir y, a continuacin, defina las subredes que hay que incluir.
Por ejemplo, si todos los satlites estn configurados con la
subred 192.168.x.0/24 en el extremo de la LAN, configurando
una ruta permitida de 192.168.0.0/16 para habilitar la puerta de
enlace con el fin de que solamente acepte rutas del satlite si est
en la subred 192.168.0.0/16.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro

de dilogo de la puerta de enlace de GlobalProtect.
2.
515

El portal de GlobalProtect proporciona las funciones de gestin para su LSVPN de GlobalProtect. Todos los
sistemas satlite que participan en la LSVPN reciben informacin de configuracin desde el portal, incluida
informacin sobre las puertas de enlace disponibles, as como el certificados que necesitan para conectarse a las
puertas de enlace.
Las siguientes secciones describen los procedimientos para configurar el portal:
Configuracin del portal
Definicin de las configuraciones de satlites

Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para la LSVPN.
Emitir el certificado de servidor del portal y certificados de servidor de la puerta de enlace, as como
configurar el portal para emitir certificados de servidor para los satlites. Consulte Habilitacin de SSL
entre componentes de LSVPN de GlobalProtect.
Definir el perfil de autenticacin que se utilizar para autenticar satlites de GlobalProtect en el caso de
que el nmero de serie no est disponible. Consulte Configuracin del portal para autenticar satlites.
Configurar las puertas de enlace de GlobalProtect Consulte Configuracin de puertas de enlace de

GlobalProtect para LSVPN.
516
VPN a gran escala
Configuracin del portal

Una vez completadas las Tareas previamente necesarias, configure el portal de GlobalProtect del siguiente
modo:
Configuracin del portal para LSVPN
Paso 1
Paso 2
Paso 3
Aada el portal.
Seleccione Red > GlobalProtect > Portales y haga clic en

Aadir.
2.
En la pestaa Configuracin portal, introduzca un Nombre

para el portal. El nombre del portal no debe contener espacios.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este

portal en el campo Ubicacin.
1.
Especifique la informacin de red que
permita a los satlites conectarse al portal.
Seleccione la Interfaz que utilizarn los satlites para acceder al

portal.
Si an no ha creado la interfaz de red para 2.

el portal, consulte las instrucciones de
Creacin de interfaces y zonas para la
3.
LSVPN. Si an no ha creado un
certificado de servidor para la puerta de
enlace ni emitido certificados de puerta de
enlace, consulte Implementacin de
certificados de servidor en los
componentes de LSVPN de
GlobalProtect.
Seleccione la Direccin IP para que los satlites accedan al

portal.
Especifique un perfil de autenticacin

para autenticar dispositivos satlite.
Aunque tenga la intencin de
configurar manualmente el portal
con los nmeros de serie de los
satlites, debe definir un perfil de
autenticacin o no podr guardar
la configuracin.
Paso 4
1.
Seleccione el Certificado de servidor que gener para habilitar

el satlite con el fin de que establezca una conexin SSL con el
portal.
Seleccione el Perfil de autenticacin que defini para los satlites

de autenticacin.
Si an no ha configurado el perfil de autenticacin, seleccione
Nuevo perfil de autenticacin para crear uno ahora. Consulte
Configuracin del portal para autenticar satlites para obtener
instrucciones. Si el portal no puede validar el nmero de serie de
un satlite que se est conectando, retroceder al perfil de
autenticacin y, por lo tanto, deber configurar un perfil de
autenticacin para guardar la configuracin del portal.
Siga definiendo las configuraciones que Haga clic en ACEPTAR para guardar la configuracin de portal o vaya
deben enviarse a los satlites o, si ya ha
a Definicin de las configuraciones de satlites.
creado las configuraciones de los satlites,
guarde la configuracin del portal.
VPN a gran escala
517
Definicin de las configuraciones de satlites

Cuando un satlite de GlobalProtect se conecta y autentica correctamente en el portal de GlobalProtect, el
portal proporciona una configuracin de satlite, que especifica a qu puertas de enlace puede conectarse el
satlite. Si todos sus satlites van a utilizar las mismas configuraciones de puerta de enlace y certificado, puede
crear una nica configuracin de satlite para proporcionarla a todos los satlites tras una autenticacin correcta.
Sin embargo, si requiere diferentes configuraciones de satlites (por ejemplo, si desea que un grupo de satlites
se conecte a una puerta de enlace y otro grupo de satlite se conecte a una puerta de enlace diferente), puede
crear una configuracin de satlite separada para cada uno. El portal utilizar entonces el nombre de
usuario/nombre de grupo de inscripcin o el nmero de serie del dispositivo satlite para determinar qu
configuracin de satlite debe implementarse. Como con la evaluacin de reglas de seguridad, el portal busca
una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona
la configuracin correspondiente al satlite.
Por ejemplo, la siguiente ilustracin muestra una red en la que determinadas sucursales requieren un acceso de
tipo VPN a las aplicaciones corporativas protegidas por sus cortafuegos de permetro y otra ubicacin necesita
un acceso de tipo VPN al centro de datos.
Use el siguiente procedimiento para crear una o ms configuraciones de satlite.
518
VPN a gran escala
Creacin de una configuracin de satlite de GlobalProtect
Paso 1
Especifique los certificados necesarios

para habilitar satlites con el fin de que
participen en la LSVPN.
1.
Seleccione Red > GlobalProtect > Portales y seleccione la

configuracin de portal para la que quiera aadir una
configuracin de satlite y, a continuacin, seleccione la pestaa
Configuracin Satlite.
2.
En el campo CA raz de confianza, haga clic en Aadir y, a

continuacin, seleccione el certificado de CA utilizado para
emitir los certificados de servidor de la puerta de enlace. El
portal implementar los certificados de CA raz que aada aqu
a todos los satlites como parte de la configuracin para
habilitar el satlite con el fin de que pueda establecer una
conexin SSL con las puertas de enlace. Se recomienda usar el
mismo emisor para todas las puertas de enlace.
Si el certificado de CA raz que se usa para emitir sus
certificados de servidor de puerta de enlace no est en el
portal, puede Importarlo ahora. Consulte Habilitacin
de SSL entre componentes de LSVPN de GlobalProtect
para obtener informacin detallada sobre cmo
importar un certificado de CA raz.
3.
Paso 2
Aada una configuracin de satlite.
Seleccione el certificado de CA raz que el portal utilizar para

emitir certificados para satlites tras autenticarlos correctamente
desde el men desplegable Emisor del certificado.
En la seccin Configuracin Satlite, haga clic en Aadir e

introduzca un Nombre para la configuracin.
La configuracin de satlite especifica los

Si pretende crear mltiples configuraciones, asegrese de que el
ajustes de configuracin de LSVPN de
nombre que defina para cada una sea suficientemente descriptivo
GlobalProtect que debern
para distinguirlas.
implementarse en los satlites que se
conecten. Debe definir al menos una
configuracin de satlite.
VPN a gran escala
519
Creacin de una configuracin de satlite de GlobalProtect (Continuacin)
Paso 3
Especifique los criterios de coincidencia para la configuracin de

Especifique en qu satlites desea
implementar esta configuracin. Hay dos satlite de la manera siguiente:
formas de especificar qu satlites
Para restringir esta configuracin a dispositivos satlite con
recibirn la configuracin: por nombre de
nmeros de serie especficos, seleccione la pestaa Dispositivos,
usuario/grupo de inscripcin y/o
haga clic en Aadir, e introduzca un nmero de serie (no necesita
mediante el nmero de serie de los
introducir el nombre de host de satlite; se aadir
dispositivos satlite.
automticamente cuando el satlite se conecte). Repita este paso
para cada satlite que quiera que reciba esta configuracin.
El portal usa los ajustes de Usuario de
inscripcin/Grupo de usuarios y los
Seleccione la pestaa Usuario de inscripcin/Grupo de usuarios,
nmeros de serie de Dispositivos para.
haga clic en Aadir y, a continuacin, seleccione el usuario o
Por lo tanto, si tiene mltiples
grupo que quiera que reciba esta configuracin. Los satlites que
configuraciones, asegrese de ordenarlas
no coinciden en el nmero de serie debern autenticarse como un
correctamente. En cuanto el portal
usuario especificado aqu (bien como un usuario individual, bien
encuentre una coincidencia, distribuir la
como un miembro de grupo).
configuracin. As, las configuraciones
Antes de poder restringir la configuracin a grupos
ms especficas debern preceder a las
especficos, debe Asignacin de usuarios a grupos.
ms generales. Consulte en el Paso 6 las
instrucciones sobre cmo ordenar la lista
de configuraciones de satlites.
Paso 4
Especifique las puertas de enlace con las 1.

que los satlites con esta configuracin
2.
podrn establecer tneles de VPN.
Las rutas publicadas por la puerta
de enlace se instalan en el satlite
3.
como rutas estticas. La medida
para la ruta esttica es 10 veces la
prioridad de enrutamiento. Si tiene
ms de una puerta de enlace,
asegrese tambin de establecer la
4.
prioridad de enrutamiento para
garantizar que las rutas anunciadas
por puertas de enlace de reserva
tienen medidas ms altas en
comparacin con las mismas rutas
anunciadas por puertas de enlace
principales. Por ejemplo, si
establece la prioridad de
enrutamiento para la puerta de
enlace principal y la puerta de
enlace de reserva como 1 y 10
respectivamente, el satlite
utilizar 10 como medida para la
puerta de enlace principal y 100
como medida para la puerta de
enlace de reserva.
520
En la pestaa Puertas de enlace, haga clic en Aadir.

Introduzca un Nombre descriptivo para la puerta de enlace. El
nombre que introduzca aqu debera coincidir con el nombre
que defini al configurar la puerta de enlace y debera ser lo
suficientemente descriptivo para identificar la ubicacin de la
puerta de enlace.
Introduzca el FQDN o la direccin IP de la interfaz donde est
configurada la puerta de enlace en el campo Puertas de enlace.
La direccin que especifique debe coincidir exactamente con el
nombre comn (CN) en el certificado del servidor de la puerta
de enlace.
(Opcional) Si est aadiendo dos o ms puertas de enlace a la
configuracin, la Prioridad del enrutador ayuda al satlite a
seleccionar la puerta de enlace preferida. Introduzca un valor de
entre 1 y 25; cuanto menor sea el nmero, mayor ser la
prioridad (es decir, la puerta de enlace a la que se conectar el
satlite si todas las puertas de enlace estn disponibles). El
satlite multiplicar la prioridad de enrutamiento por 10 para
determinar la medida de enrutamiento.
VPN a gran escala
Creacin de una configuracin de satlite de GlobalProtect (Continuacin)
Paso 5
Paso 6
Paso 7
Guarde la configuracin de satlite.
Prepare las configuraciones de satlites

para que se implemente la configuracin
correcta en cada satlite.
Guarde la configuracin del portal.
VPN a gran escala
1.
Haga clic en ACEPTAR para guardar la configuracin de satlite.
2.
Si quiere aadir otra configuracin de satlite, repita del Paso 2

al Paso 5.
Para subir una configuracin de satlite en la lista de

configuraciones, seleccinela y haga clic en Mover hacia arriba.
Para bajar una configuracin de satlite en la lista de
configuraciones, seleccinela y haga clic en Mover hacia abajo.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro

de dilogo Portal de GlobalProtect.
2.
521

Para participar en la LSVPN, los dispositivos satlite necesitan una cantidad mnima de configuracin. Ya que
la configuracin exigida es mnima, puede preconfigurar los dispositivos antes de enviarlos a sus sucursales para
su instalacin.
Preparacin del dispositivo satlite para unirse a la LSVPN de GlobalProtect
Paso 1
Esta es la interfaz fsica que el satlite utilizar para conectarse al

portal y la puerta de enlace. Esta interfaz debe estar en una zona que
permita el acceso fuera de la red fiable local. La prctica
recomendada es crear una zona especfica para conexiones de VPN
con el fin de lograr visibilidad y control sobre el trfico destinado a
las puertas de enlace corporativas.
Paso 2
Configure la interfaz de tnel lgica para 1.

el tnel que deber utilizarse para
2.
establecer tneles de VPN con las puertas
de enlace de GlobalProtect.
3.
No se requieren direcciones IP en
la interfaz de tnel a menos que
tenga la intencin de utilizar el
enrutamiento dinmico. Sin
embargo, asignar una direccin IP 4.
a la interfaz de tnel puede resultar
til para solucionar problemas de
5.
conexin.
6.
522

numrico, como .2.
En la pestaa Configuracin, ample el men desplegable Zona
de seguridad y seleccione una zona existente o cree una zona
separada para el trfico de tnel de VPN haciendo clic en Nueva
zona y definiendo un Nombre para la nueva zona (por ejemplo,
lsvpnsat).
predeterminado.
(Opcional) Si quiere asignar una direccin IP a la interfaz de

tnel, seleccione la pestaa IPv4, haga clic en Aadir en la
asignarlas a la interfaz, por ejemplo: 2.2.2.11/24.
Aceptar.
VPN a gran escala
Preparacin del dispositivo satlite para unirse a la LSVPN de GlobalProtect (Continuacin)
Paso 3
1.
Si gener el certificado de servidor del
portal mediante una CA raz que no es de
confianza para los satlites (por ejemplo,
si utiliz certificados autofirmados),
importe el certificado de CA raz utilizado
para emitir el certificado de servidor del
portal.
El certificado de CA raz es obligatorio
para habilitar el dispositivo satlite con el
fin de que establezca la conexin inicial
con el portal para obtener la
configuracin de LSVPN.
Descargue el certificado de CA que se utiliz para generar los

certificados de servidor del portal. Si est utilizando certificados
autofirmados, exporte el certificado de CA raz desde el portal
de la manera siguiente:
Certificados > Certificados de dispositivos.
b. Seleccione el certificado de CA y haga clic en Exportar.
c. Seleccione Certificado codificado en Base64 (PEM) en la
lista desplegable Formato de archivo y haga clic en ACEPTAR
para descargar el certificado. (No necesita exportar la clave
privada.)
2.
Importe el certificado de CA raz que acaba de exportar en cada

satlite de la manera siguiente.
Importar.
en Aceptar.
Paso 4
Realice la configuracin de tnel de IPSec. 1.
VPN a gran escala
Seleccione Red > Tneles de IPSec y haga clic en Aadir.
2.
En la pestaa General, introduzca un Nombre para la

configuracin de IPSec.
3.
Seleccione la Interfaz de tnel que cre para el satlite.
4.
Seleccione Satlite de GlobalProtect como el Tipo.
5.
Introduzca la direccin IP o el FQDN del portal como la

Direccin IP del portal.
6.
Seleccione la Interfaz de capa 3 que configur para el satlite.
7.
Seleccione la Direccin IP local que debe utilizarse en la interfaz

seleccionada.
523
Preparacin del dispositivo satlite para unirse a la LSVPN de GlobalProtect (Continuacin)
Paso 5
Paso 6
Paso 7
1.
Para permitir que el satlite enve rutas a la puerta de enlace, en

la pestaa Avanzado, seleccione Publicar todas las rutas
estticas y conectadas a la puerta de enlace.
Enviar rutas a la puerta de enlace permite 2.

el trfico de las subredes locales al satlite
a travs de la puerta de enlace. Sin
embargo, la puerta de enlace tambin
debe configurarse para aceptar las rutas.
(Opcional) Si solamente desea enviar rutas para subredes

especficas en lugar de a todas las rutas, haga clic en Aadir en
la seccin Subred y especifique qu rutas de subredes deben
publicarse.
Guarde la configuracin de satlite.
1.
Haga clic en ACEPTAR para guardar la configuracin de tneles

de IPSec.
2.
(Opcional) Configure el satlite para

publicar rutas locales en la puerta de
enlace.
Si se le pide, proporcione las credenciales 1.

para permitir que el satlite se autentique
en el portal.
Este paso solamente es obligatorio si el 2.
portal no ha podido encontrar un nmero
de serie coincidente en su configuracin o
si el nmero de serie no ha funcionado.
En este caso, el satlite no podr
establecer el tnel con las puertas de
enlace.
524
Seleccione Red > Tneles de IPSec y haga clic en el enlace IP de

puerta de enlace en la columna Estado de la configuracin de
tnel que cre para la LSVPN.
Haga clic en el enlace introducir credenciales del campo
Estado del portal e introduzca el nombre de usuario y la
contrasea necesarios para autenticar el satlite en el portal.
Despus de que el satlite se autentique correctamente en el
portal, recibir su certificado firmado y su configuracin, que
deber utilizar para conectarse a las puertas de enlace. Debera
ver cmo se establece el tnel y cmo cambia el Estado a Activo.
VPN a gran escala

Despus de configurar el portal, las puertas de enlace y los dispositivos satlite, verifique que los satlites pueden
conectarse al portal y la puerta de enlace y establecer tneles de VPN con las puertas de enlace.
Paso 1
Verifique la conectividad del satlite con

el portal.
Desde el cortafuegos que aloje el portal, verifique que los satlites

se estn conectando correctamente seleccionando Red >
GlobalProtect > Portales y haciendo clic en Informacin de
satlite en la columna Informacin de la entrada de configuracin
del portal.
Paso 1
Verifique la conectividad del satlite con

las puertas de enlace.
En cada cortafuegos que aloje una puerta de enlace, verifique que los
satlites pueden establecer tneles de VPN seleccionando Red >
GlobalProtect > Puertas de enlace y haciendo clic en Informacin
de satlite en la columna Informacin de la entrada de
configuracin de la puerta de enlace. Los satlites que hayan
establecido tneles correctamente con la puerta de enlace aparecern
en la pestaa Activar satlites.
Paso 1
Verifique el estado del tnel de LSVPN

en el satlite.
En cada cortafuegos que aloje un satlite, verifique el estado del tnel

seleccionando Red > Tneles de IPSec y verifique que tiene un
estado activo, lo cual est indicado por un icono verde.
VPN a gran escala
525

Las siguientes secciones proporcionan instrucciones detalladas para configurar algunas implementaciones
comunes de LSVPN de GlobalProtect:
Configuracin bsica de LSVPN con rutas estticas
Configuracin avanzada de LSVPN con enrutamiento dinmico
526
VPN a gran escala

Esta configuracin rpida muestra la forma ms rpida de empezar a utilizar la LSVPN. En este ejemplo, un
nico cortafuegos de la ubicacin de la sede de la empresa se configura como portal y como puerta de enlace.
Los dispositivos satlite pueden implementarse rpida y fcilmente con una configuracin mnima para una
escalabilidad optimizada.
El siguiente flujo de trabajo muestra los pasos para establecer esta configuracin bsica:
Configuracin rpida: bsica de LSVPN con rutas estticas
Paso 1
En este ejemplo, la interfaz de capa 3 del portal/puerta de enlace

requiere la siguiente configuracin:
Zona de seguridad: lsvpn-unt
IPv4: 203.0.113.11/24
Paso 2
En los cortafuegos donde se alojen

puertas de enlace de GlobalProtect,
configure la interfaz de tnel lgica que
finalizar los tneles de VPN establecidos
por los satlites de GlobalProtect.
En este ejemplo, la interfaz de tnel del portal/puerta de enlace

requiere la siguiente configuracin:
Interfaz: tnel.1
Zona de seguridad: lsvpn-tun
Para permitir la visibilidad de los

usuarios y grupos que se conecten
a travs de la VPN, habilite
User-ID en la zona donde
finalicen los tneles de VPN.
Paso 3
Cree la regla de poltica de seguridad para habilitar el flujo de trfico entre la zona de la VPN donde finaliza el
tnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas (L3-Trust).
VPN a gran escala
527
Configuracin rpida: bsica de LSVPN con rutas estticas (Continuacin)
Paso 4
Emita un certificado de servidor

autofirmado para el portal/puerta de
enlace.
El nombre de asunto del certificado debe
coincidir con el FQDN o la direccin IP
de la interfaz de capa 3 que cree para el
portal/puerta de enlace.
1.
En el cortafuegos que aloja el portal, cree el certificado de CA

raz para la emisin de certificados autofirmados para los
componentes de GlobalProtect. En este ejemplo, el certificado
de CA raz, lsvpn-CA, se utilizar para emitir el certificado de
servidor para el portal/puerta de enlace. Adems, el portal
utilizar este certificado de CA raz para firmar las CSR de los
dispositivos satlite.
2.
Genere certificados de servidor para el portal y las puertas de

enlace de GlobalProtect.
Como el portal y la puerta de enlace estarn en la misma interfaz
en este ejemplo, pueden compartir un certificado de servidor.
En este ejemplo, el certificado de servidor se denomina
lsvpnserver.
Paso 5
Cree un perfil de certificado.
Paso 6
Configure un perfil de autenticacin para 1.

que lo utilice el portal si el nmero de
2.
serie del satlite no est disponible.
Paso 7
En este ejemplo, el perfil del certificado, lsvpn-profile, hace referencia

al certificado de CA raz lsvpn-CA. La puerta de enlace utilizar este
perfil de certificado para autenticar satlites que intenten establecer
tneles de VPN.
Cree un perfil de servidor en el portal.
Cree un perfil de autenticacin. En este ejemplo, el perfil
lsvpn-sat se utiliza para autenticar satlites.
Configuracin de la puerta de enlace para Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en
LSVPN.
Aadir para aadir una configuracin. Este ejemplo requiere la
siguiente configuracin de puerta de enlace:
Direccin IP: 203.0.113.11/24
Certificado de servidor: lsvpnserver
Perfil del certificado: lsvpn-profile
DNS principal/DNS secundario: 4.2.2.1/4.2.2.2
Grupo de IP: 2.2.2.111-2.2.2.120
Acceder a ruta: 10.2.10.0/24
Paso 8
Configuracin del portal para LSVPN.
Seleccione Red > GlobalProtect > Portales y haga clic en Aadir

para aadir una configuracin. Este ejemplo requiere la siguiente
configuracin de portal:
Direccin IP: 203.0.113.11/24
Certificado de servidor: lsvpnserver
Perfil de autenticacin: lsvpn-sat
528
VPN a gran escala
Configuracin rpida: bsica de LSVPN con rutas estticas (Continuacin)
Paso 9
Creacin de una configuracin de satlite En la pestaa Configuracin Satlite de la configuracin del portal,
de GlobalProtect.
haga clic en Aadir para aadir una configuracin de satlite y una
CA raz de confianza y especifique la CA que utilizar el portal para
emitir certificados para los satlites. En este ejemplo, los ajustes
obligatorios son los siguientes:
Puerta de enlace: 203.0.113.11
Emisor del certificado: lsvpn-CA
CA raz de confianza: lsvpn-CA
Paso 10 Preparacin del dispositivo satlite para

unirse a la LSVPN.
La configuracin de satlite de este ejemplo requiere los siguientes

ajustes:
Configuracin de interfaz
Interfaz de capa 3: ethernet1/1, 203.0.113.13/24

Zona: lsvpnsat
Certificado de CA raz del portal
lsvpn-CA
Configuracin de tnel de IPSec

Direccin IP del portal: 203.0.113.11
Publicar todas las rutas estticas y conectadas a puerta de
enlace: habilitado
VPN a gran escala
529
Configuracin avanzada de LSVPN con enrutamiento

dinmico
En implementaciones de LSVPN de mayor tamao con varias puertas de enlace y varios satlites, invertir algo
ms de tiempo en la configuracin inicial para establecer el enrutamiento dinmico simplificar el
mantenimiento de las configuraciones de puertas de enlace, ya que las rutas de acceso se actualizarn
dinmicamente. La siguiente configuracin de ejemplo muestra cmo ampliar la configuracin bsica de
LSVPN para configurar OSPF como el protocolo de enrutamiento dinmico.
El establecimiento de una LSVPN para utilizar OSPF para el enrutamiento dinmico requiere los siguientes
pasos adicionales en las puertas de enlace y los satlites:
Asignacin manual de direcciones IP a interfaces de tnel en todas las puertas de enlace y todos los satlites.
Configuracin de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todas las puertas de enlace
y todos los satlites. Adems, como parte de la configuracin de OSPF de cada puerta de enlace, debe definir
manualmente la direccin IP de tnel de cada satlite como un vecino OSPF. Del mismo modo, en cada
satlite, debe definir manualmente la direccin IP de tnel de cada puerta de enlace como un vecino OSPF.
Aunque el enrutamiento dinmico requiere una configuracin adicional durante la configuracin inicial de la
LSVPN, reduce las tareas de mantenimiento asociadas a la actualizacin de las rutas a medida que se producen
cambios de topologa en su red.
La siguiente ilustracin muestra una configuracin de enrutamiento dinmico de LSVPN. Este ejemplo muestra
cmo configurar OSPF como el protocolo de enrutamiento dinmico para la VPN.
Para realizar una configuracin bsica de una LSVPN, siga los pasos de Configuracin bsica de LSVPN con
rutas estticas. A continuacin, podr realizar los pasos del siguiente flujo de trabajo para ampliar la
configuracin con el fin de utilizar el enrutamiento dinmico en lugar de rutas estticas.
530
VPN a gran escala
Configuracin rpida: LSVPN con enrutamiento dinmico
Paso 1
Aada una direccin IP a la

configuracin de interfaz de tnel en
cada puerta de enlace y cada satlite.
Importante:
Realice los siguientes pasos en cada puerta de enlace y cada satlite:

1. Seleccione Red > Interfaces > Tnel y seleccione la
configuracin de tnel que cre para la LSVPN para abrir el
cuadro de dilogo Interfaz de tnel.
Las direcciones IP que asigne a las

interfaces de tnel de satlite deben estar
en subredes separadas de las direcciones 2.
IP que asigne a las interfaces de tnel de
puerta de enlace. Adems, las direcciones
IP que asigne a satlites no deben
solaparse con el grupo de IP designado 3.
definido en la configuracin de puerta de
enlace o los dispositivos no podrn
establecer adyacencias.
Paso 2
Configure el protocolo de enrutamiento

dinmico en la puerta de enlace.
VPN a gran escala
Si todava no ha creado la interfaz de tnel, consulte el Paso 2 en

Configuracin rpida: bsica de LSVPN con rutas estticas.
En la pestaa IPv4, haga clic en Aadir y, a continuacin,
introduzca una direccin IP y una mscara de subred. Por
ejemplo, para aadir una direccin IP para la interfaz de tnel de
puerta de enlace, debera introducir 2.2.2.100/24.
Para configurar OSPF en la puerta de enlace:

1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual asociado a sus interfaces de VPN.
2.
En la pestaa reas, haga clic en Aadir para crear el rea

troncal, o bien, si ya est configurada, haga clic en el ID de rea
para editarlo.
3.
Si est creando una nueva rea, introduzca un ID de rea en la

pestaa Tipo.
4.
En la pestaa Interfaz, haga clic en Aadir y seleccione la

Interfaz de tnel que cre para la LSVPN.
5.
Seleccione p2mp como Tipo de enlace.
6.
Haga clic en Aadir en la seccin Vecinos e introduzca la

direccin IP de la interfaz de tnel de cada dispositivo satlite,
por ejemplo, 2.2.2.111.
7.
Haga clic en ACEPTAR dos veces para guardar la configuracin

del enrutador virtual y, a continuacin, haga clic en Confirmar
para confirmar los cambios en la puerta de enlace.
8.
Repita este paso cada vez que aada un nuevo satlite a la

LSVPN.
531
Configuracin rpida: LSVPN con enrutamiento dinmico (Continuacin)
Paso 3
532
Configure el protocolo de enrutamiento

dinmico en el satlite.
Para configurar OSPF en el satlite:

1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual asociado a sus interfaces de VPN.
2.
En la pestaa reas, haga clic en Aadir para crear el rea

troncal, o bien, si ya est configurada, haga clic en el ID de rea
para editarlo.
3.
Si est creando una nueva rea, introduzca un ID de rea en la

pestaa Tipo.
4.
En la pestaa Interfaz, haga clic en Aadir y seleccione la

Interfaz de tnel que cre para la LSVPN.
5.
Seleccione p2mp como Tipo de enlace.
6.
Haga clic en Aadir en la seccin Vecinos e introduzca la

direccin IP de la interfaz de tnel de cada puerta de enlace de
GlobalProtect, por ejemplo, 2.2.2.100.
7.
Haga clic en ACEPTAR dos veces para guardar la configuracin

del enrutador virtual y, a continuacin, haga clic en Confirmar
para confirmar los cambios en la puerta de enlace.
8.
Repita este paso cada vez que aada una nueva puerta de enlace.
VPN a gran escala
Configuracin rpida: LSVPN con enrutamiento dinmico (Continuacin)
Paso 4
Verifique que las puertas de enlace y los satlites pueden formar adyacencias de enrutador.
En cada satlite y cada puerta de enlace, confirme que se han formado adyacencias de peer y que se han creado
entradas de tabla de rutas para los peers (es decir, que los satlites tienen rutas hacia las puertas de enlace y las
puertas de enlace tienen rutas hacia los satlites). Seleccione Red > Enrutador virtual y haga clic en el enlace
Ms estadsticas de tiempo de ejecucin para el enrutador virtual que est utilizando para la LSVPN. En la
pestaa Enrutamiento, verifique que el peer de la LSVPN tiene una ruta.
En la pestaa OSPF > Interfaz, verifique que el Tipo es p2mp.
En la pestaa OSPF > Vecino, verifique que los cortafuegos que alojan a sus puertas de enlace han establecido
adyacencias de enrutador con los cortafuegos que alojan a sus satlites y viceversa. Verifique tambin que el
Estado es Completo, lo que indica que se han establecido adyacencias completas.
VPN a gran escala
533
534
VPN a gran escala
Redes
Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. La seccin Implementaciones de interfaz ofrece informacin bsica sobre
cada tipo de implementacin. Para obtener informacin ms detallada sobre la implementacin, consulte
Designing Networks with Palo Alto Networks Firewalls (Diseo de redes con cortafuegos de Palo Alto Networks).
Los siguientes temas describen conceptos de redes y cmo integrar cortafuegos de prxima generacin de Palo
Alto Networks en su red.
Implementaciones de interfaz
Rutas estticas
RIP
OSPF
BGP
Configuracin de sesin y tiempos de espera de sesin
DHCP
NAT
LACP
Si desea ms informacin sobre la distribucin de rutas, consulte Understanding Route Redistribution and
Filtering (en ingls).
Integracin en la red
535
Redes
Un cortafuegos Palo Alto Networks puede funcionar en mltiples implementaciones a la vez porque las
implementaciones se producen en el nivel de interfaz. Las siguientes secciones describen las implementaciones.
Implementaciones de modo tap

En una implementacin de Virtual Wire, el cortafuegos se instala de manera transparente en un segmento de
red uniendo dos puertos y nicamente debera utilizarse cuando no se necesite conmutacin o enrutamiento.
Una implementacin de Virtual Wire permite las siguientes mejoras:
Simplifica la instalacin y la configuracin.
No requiere ningn cambio de configuracin en los dispositivos de red adyacentes o que se encuentren
alrededor.
El default-vwire que se entrega como configuracin predeterminada de fbrica conecta los puertos Ethernet
1 y 2 y permite todo el trfico sin etiquetar. No obstante, puede utilizar un Virtual Wire para conectar dos
puertos cualquiera y configurarlo para que bloquee o permita el trfico basndose en las etiquetas de la LAN
virtual (VLAN); la etiqueta 0 de la VLAN indica el trfico sin etiquetar. Tambin puede crear varias
subinterfaces, aadirlas a diferentes zonas y, a continuacin, clasificar el trfico de acuerdo con una etiqueta de
la VLAN, o una combinacin de una etiqueta de la VLAN con clasificadores IP (direccin, intervalo o subred)
para aplicar un control detallado de las polticas para etiquetas especficas de la VLAN o para etiquetas de la
VLAN de una direccin IP de origen, intervalo o subred en concreto.
Ilustracin: Implementacin de cable virtual
Subinterfaces de Virtual Wire

Las subinterfaces de Virtual Wire ofrecen flexibilidad a la hora de aplicar distintas polticas cuando necesita
gestionar el trfico de varias redes de clientes. Le permite separar y clasificar el trfico en diferentes zonas (las
zonas pueden pertenecer a sistemas virtuales separados, si es necesario) utilizando los siguientes criterios:
536
Redes
Etiquetas de la VLAN: El ejemplo de Ilustracin: Implementacin de Virtual Wire con subinterfaces

(nicamente etiquetas de la VLAN) muestra un proveedor de servicios de Internet (ISP) utilizando
subinterfaces de Virtual Wire con etiquetas de la VLAN para separar el trfico para dos clientes diferentes.
Etiquetas de la VLAN junto con clasificadores IP (direccin, intervalo o subred): El siguiente

ejemplo muestra un ISP con dos sistemas virtuales separados en un cortafuegos que gestiona el trfico de
dos clientes diferentes. En cada sistema virtual, el ejemplo ilustra cmo se utilizan las subinterfaces de Virtual
Wire con etiquetas de la VLAN y clasificadores IP para clasificar el trfico en zonas separadas y aplicar la
poltica relevante para los clientes de cada red.
Flujo de trabajo de subinterfaces de Virtual Wire
1.
Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
2.
Cree subinterfaces en el Virtual Wire principal para separar el trfico del cliente A del cliente B. Asegrese de que las
etiquetas de la VLAN definidas en cada par de subinterfaces configuradas como Virtual Wire sean idnticas. Esto es
esencial, porque un Virtual Wire no conmuta etiquetas de la VLAN.
3.
Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria si desea aadir
subinterfaces adicionales con clasificadores IP para gestionar aun ms el trfico de un cliente basndose en la
combinacin de etiquetas de la VLAN y una direccin IP de origen, intervalo o subred en concreto.
Tambin puede utilizar clasificadores IP para gestionar el trfico sin etiquetar. Para ello, debe crear una subinterfaz
con la etiqueta 0 de la VLAN y definir subinterfaces con clasificadores IP para gestionar el trfico sin etiquetar
mediante clasificadores IP.
La clasificacin de IP solamente puede utilizarse en las subinterfaces asociadas con un lado del
Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire deben utilizar
la misma etiqueta de la VLAN, pero no deben incluir un clasificador IP.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (nicamente etiquetas de la VLAN)
Ilustracin: Implementacin de Virtual Wire con subinterfaces (nicamente etiquetas de la VLAN) muestra al
cliente A y al cliente B conectados al cortafuegos mediante una interfaz fsica, Ethernet 1/1, configurada como Virtual
Wire, que es la interfaz de entrada. Una segunda interfaz fsica, Ethernet 1/2, tambin forma parte del Virtual Wire y
se utiliza como la interfaz de salida que proporciona acceso a Internet. Para el cliente A, tambin tiene las subinterfaces
Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el cliente B, tambin tiene las subinterfaces Ethernet 1/1.2
(entrada) y Ethernet 1/2.2 (salida). Cuando configure las subinterfaces, debe asignar la etiqueta de la VLAN y la zona
correctas para aplicar las polticas a cada uno de los clientes. En este ejemplo, las polticas del cliente A se crean entre
la zona 1 y la zona 2, y las polticas del cliente B se crean entre la zona 3 y la zona 4.
537
Redes
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
ejemplo, una subinterfaz simple coincide con la etiqueta de la VLAN en el paquete entrante, por lo que se
seleccionar esa subinterfaz. Las polticas definidas para la zona se evalan y aplican antes de que el paquete
salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
muestra al cliente A y al cliente B conectados a un cortafuegos fsico que tiene dos sistemas virtuales (vsys),
adems del sistema virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente
que se gestiona por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de
seguridad que se gestionan de manera independiente.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
Vsys1 est configurado para utilizar las interfaces fsicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso a
Internet. Este Virtual Wire est configurado para aceptar todo el trfico etiquetado y sin etiquetar a excepcin
de las etiquetas 100 y 200 de la VLAN que estn asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de vwire con las etiquetas de la VLAN y las zonas adecuadas para aplicar las medidas incluidas en
las polticas.
Cliente
Vsys
Subinterfaces de Vwire
Zona
Etiqueta de la VLAN Clasificador IP
e1/1.1 (entrada)
Zona 3
100
e1/2.1 (salida)
Zona 4
100
e1/1.2 (entrada)
Zona 5
100
Subred IP
e1/2.2 (salida)
Zona 6
100
192.1.0.0/16
e1/1.3 (entrada)
Zona 7
100
Subred IP
e1/2.3 (salida)
Zona 8
100
192.2.0.0/16
e1/1.4 (entrada)
Zona 9
200
Ninguno
e1/2.4 (salida)
Zona 10
200
2
2
B
538
Ninguno
Redes
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este caso,
para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta de la VLAN. De este modo, el cortafuegos
primero acota la clasificacin a una subinterfaz basndose en la direccin IP de origen del paquete. Las polticas
definidas para la zona se evalan y aplican antes de que el paquete salga de la subinterfaz correspondiente.
Para el trfico de ruta de retorno, el cortafuegos compara la direccin IP de destino del modo definido en el
clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el trfico a travs
de la subinterfaz precisa.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Ilustracin: Implementacin de capa 2
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se debe asignar una
direccin IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando
necesite enrutamiento.
Ilustracin: Implementacin de capa 3
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Consulte Enrutadores virtuales.
539
Redes
Compatibilidad con protocolo punto a punto sobre Ethernet

Puede configurar el cortafuegos para que sea un punto de finalizacin del protocolo punto a punto sobre
Ethernet (PPPoE) con el fin de permitir la conectividad en un entorno de lnea de suscripcin digital (DSL) en
el que existe un mdem DSL, pero ningn otro dispositivo PPPoE que finalice la conexin.
Puede seleccionar la opcin PPPoE y configurar los parmetros asociados si se define una interfaz como
interfaz de capa 3.
PPPoE no es compatible en modo HA activo/activo.
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y recibir una direccin
IP asignada dinmicamente. El cortafuegos tambin permite propagar los ajustes recibidos mediante la interfaz
del cliente DHCP en un servidor DHCP que funciona mediante cortafuegos. Esta opcin se suele utilizar para
propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las mquinas cliente de la
red que estn protegidas por el cortafuegos.
El cliente DHCP no es compatible en modo HA activo/activo.
Para obtener ms informacin, consulte DHCP.
Implementaciones de modo tap

Un tap de red es un dispositivo que proporciona acceso al flujo de datos de un equipo de la red. La
implementacin de modo tap permite supervisar de forma pasiva los flujos de datos de una red mediante un
conmutador SPAN o un puerto espejo.
El puerto SPAN o de espejo permite copiar el trfico de otros puertos en el conmutador. Al configurar una
interfaz del cortafuegos como interfaz de modo tap y conectarla con un puerto SPAN de conmutacin, este
puerto proporciona al cortafuegos un reflejo del trfico. De esta forma es posible visualizar la aplicacin en la
red sin necesidad de estar en el flujo del trfico de red.
En una implementacin de modo tap, el cortafuegos no puede realizar ninguna accin como
bloquear el trfico o aplicar controles QoS.
540
Redes
El cortafuegos utiliza enrutadores virtuales para obtener rutas a otras subredes definiendo manualmente una
ruta (rutas estticas) o mediante la participacin en protocolos de enrutamiento de capa 3 (rutas dinmicas).
Las mejores rutas obtenidas a travs de estos mtodos se utilizan para cumplimentar la tabla de enrutamiento
IP del cortafuegos. Cuando un paquete est destinado a una subred diferente, el enrutador virtual obtendr la
mejor ruta a partir de esta tabla de enrutamiento IP y reenviar el paquete al siguiente enrutador de salto definido
en la tabla.
Las interfaces Ethernet y VLAN definidas en el cortafuegos reciben y reenvan el trfico de capa 3. La zona de
destino se deriva de la interfaz de salida basada en los criterios de reenvo y se consultas las normativas para
identificar las polticas de seguridad aplicadas. Adems de enrutar a otros dispositivos de red, los enrutadores
virtuales pueden enrutar a otros enrutadores virtuales en el mismo cortafuegos si se especifica un siguiente salto
que seale a otro enrutador virtual.
Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinmico (BGP, OSPF o
RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales, cada uno de los cuales
mantendr un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitir
configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
Todas las interfaces de capa 3, de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un
enrutador virtual. Si bien cada interfaz nicamente puede pertenecer a un enrutador virtual, se pueden
configurar varios protocolos de enrutamiento y rutas estticas para un enrutador virtual. Independientemente
de las rutas estticas y los protocolos de enrutamiento dinmico configurados para un enrutador virtual, es
necesario contar con una configuracin general comn. El cortafuegos utiliza la conmutacin de Ethernet para
leer otros dispositivos de la misma subred IP.
Los siguientes protocolos de enrutamiento de capa 3 son compatibles desde enrutadores virtuales:
RIP
OSPF
OSPFv3
BGP
Definicin de una configuracin general de enrutador virtual
Paso 1
Paso 2
Obtenga la informacin necesaria de su

administrador de red.
Cree el enrutador virtual y asgnele un

nombre.
Interfaces que quiere enrutar

Distancias administrativas para rutas estticas, internas de OSFP,
externas de OSPF, IBGP, EBGP y RIP
1.
Seleccione Red > Enrutadores virtuales.
2.
Haga clic en Aadir e introduzca un nombre para el enrutador

virtual.
3.
Seleccione las interfaces que deben aplicarse al enrutador

virtual.
4.
541
Redes
Definicin de una configuracin general de enrutador virtual (Continuacin)
Paso 3
Paso 4
Seleccione las interfaces que deben

aplicarse al enrutador virtual.
Establezca las distancias administrativas

para las rutas estticas y el enrutamiento
dinmico.
1.
Haga clic en Aadir en el cuadro Interfaces.
2.
Seleccione una interfaz ya definida en el men desplegable.
3.
Repita el paso 2 para todas las interfaces que quiera aadir al

enrutador virtual.
1.
Establezca las distancias administrativas segn sea necesario.

Esttica: Intervalo: 10-240, Valor predeterminado: 10
Interna de OSPF: Intervalo: 10-240, Valor predeterminado:
30
Externa de OSPF: Intervalo: 10-240, Valor predeterminado:
110
IBGP: Intervalo: 10-240, Valor predeterminado: 200
EBGP: Intervalo: 10-240, Valor predeterminado: 20
RIP: Intervalo: 10-240, Valor predeterminado: 120
Paso 5
Guarde la configuracin general del

enrutador virtual.
Paso 6

542
Redes
Rutas estticas
Rutas estticas
El siguiente procedimiento muestra cmo integrar el cortafuegos en la red mediante rutas estticas.
Paso 1
Paso 2
Configure una ruta predeterminada

hacia su enrutador de Internet.
Configure la interfaz externa (la

interfaz que se conecta a Internet).
1.
Seleccione Red > Enrutador virtual y, a continuacin, seleccione el

enlace predeterminado para abrir el cuadro de dilogo Enrutador
virtual.
2.

Introduzca un Nombre para la ruta e introduzca la ruta en el
campo Destino (por ejemplo, 0.0.0.0/0).
3.
Seleccione el botn de opcin Direccin IP en el campo Siguiente

salto y, a continuacin, introduzca la direccin IP y la mscara de
red para su puerta de enlace de Internet (por ejemplo, 208.80.56.1).
4.

enrutador virtual.
1.
Seleccione Red > Interfaces y, a continuacin, seleccione la

interfaz que quiera configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu depende

de la topologa de su red, este ejemplo muestra los pasos para
Capa3.
3.

predeterminado.
4.
En la pestaa Configuracin, seleccione Nueva zona en el men

desplegable Zona de seguridad. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable y,
a continuacin, haga clic en Aceptar.
5.

IPv4 y el botn de opcin Esttico. Haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red que debe
asignarse a la interfaz; por ejemplo, 208.80.56.100/24.
6.
Para que pueda hacer ping en la interfaz, seleccione Avanzada >

Otra informacin, ample el men desplegable Perfil de gestin y
seleccione Nuevo perfil de gestin. Introduzca un Nombre para
el perfil, seleccione Ping y, a continuacin, haga clic en Aceptar.
7.
543
Rutas estticas
Redes
Configuracin de interfaces y zonas (Continuacin)
Paso 3
Configure la interfaz que se conecta a

su red interna.
En este ejemplo, la interfaz se
conecta a un segmento de red
que utiliza direcciones IP
privadas. Dado que las
direcciones IP privadas no se
pueden enrutar externamente,
deber configurar NAT.
Consulte Configuracin de
NAT para obtener informacin
detallada.
1.
Seleccione Red > Interfaces y seleccione la interfaz que desee

configurar. En este ejemplo, estamos configurando Ethernet1/4
como la interfaz interna.
2.
3.

seguridad y seleccione Nueva zona. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona, por ejemplo Fiable
y, a continuacin, haga clic en Aceptar.
4.
Seleccione el mismo enrutador virtual que utiliz en el Paso 2; en

este ejemplo, el predeterminado.
5.

IPv4 y el botn de opcin Esttico, haga clic en Aadir en la

Paso 4
Configure la interfaz que se conecta a

DMZ.
6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de

gestin que cre en el Paso 2-6.
7.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa3 en el men desplegable Tipo de interfaz. En este

ejemplo, estamos configurando Ethernet1/13 como la interfaz de
DMZ.
3.

seguridad y seleccione Nueva zona. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona, por ejemplo DMZ
y, a continuacin, haga clic en Aceptar.
4.
Seleccione el enrutador virtual que utiliz en el Paso 2; en este

ejemplo, el predeterminado.
5.

IPv4 y el botn de opcin Esttico, haga clic en Aadir en la

6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de

gestin que cre en el Paso 2-6.
7.
Paso 5
Guarde la configuracin de la interfaz. Haga clic en Confirmar.
Paso 6
Conecte los cables del cortafuegos.
Conecte cables directos desde las interfaces que ha configurado al

conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estn

activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el

icono de la columna Estado de enlace es de color verde. Tambin puede
supervisar el estado de enlace desde el widget Interfaces en el Panel.
544
Redes
RIP
RIP
El protocolo de informacin de enrutamiento (RIP) es un protocolo de puerta de enlace interior (IGP) diseado
para pequeas redes IP. RIP se basa en el recuento de saltos para determinar las rutas; las mejores rutas tienen
el menor nmero de saltos. RIP se basa en UDP y utiliza el puerto 520 para las actualizaciones de rutas. Al limitar
las rutas a un mximo de 15 saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, adems
de limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el trfico no se enruta. RIP tambin puede
tardar ms en converger que OSPF y otros protocolos de enrutamiento. El cortafuegos admite RIP v2.
Realice el siguiente procedimiento para configurar RIP:
Configuracin de RIP
Paso 1
Configure los ajustes de configuracin

general de enrutador virtual.
Consulte Enrutadores virtuales para obtener ms detalles.
Paso 2
Configure los ajustes de configuracin

general de RIP.
1.
Seleccione la pestaa RIP.
2.
Seleccione la casilla de verificacin Habilitar para habilitar el

protocolo RIP.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea

conocer ninguna ruta predeterminada a travs de RIP. Este es el
ajuste predeterminado recomendado.
4.
Cancele la seleccin de la casilla de verificacin Rechazar ruta

por defecto si desea permitir la redistribucin de rutas
predeterminadas a travs de RIP.
Paso 3
Configure interfaces para el protocolo

RIP.
1.
En la pestaa Interfaces, seleccione una interfaz del men

desplegable de la seccin de configuracin Interfaz.
2.
Seleccione una interfaz ya definida en el men desplegable.
3.
Seleccione la casilla de verificacin Habilitar.
4.
Seleccione la casilla de verificacin Anunciar para anunciar una

ruta predeterminada a peers de RIP con el valor de medida
especificado.
5.
Opcionalmente, puede seleccionar un perfil del men

desplegable Perfil de autenticacin. Consulte Paso 5 para
obtener informacin detallada.
6.
En el men desplegable Modo, seleccione Normal, Pasivo o

Enviar nicamente.
7.
545
RIP
Redes
Configuracin de RIP
Paso 4
Configure los temporizadores de RIP.
1.
En la pestaa Temporizadores, introduzca un valor del campo

Segundos del intervalo (seg). Este ajuste define la duracin del
intervalo de tiempo en segundos. Esta duracin se utiliza para el
resto de los campos de temporizacin de RIP. Valor
predeterminado: 1. Intervalo: 1 - 60.
Paso 5
(Opcional) Configurar perfiles de

autenticacin
2.
Introduzca un valor en el cuadro Intervalo de actualizaciones

para definir el nmero de intervalos entre los anuncios de
actualizacin de rutas. Valor predeterminado: 30. Intervalo: 1 3600.
3.
Introduzca un valor en el cuadro Intervalo de eliminacin para

definir el nmero de intervalos entre el momento en el que
vence la ruta y su eliminacin. Valor predeterminado: 180.
Intervalo: 1 - 3600.
4.
Introduzca un valor en el cuadro Intervalos de vencimiento

para definir el nmero de intervalos entre el momento en el que
se actualiz la ruta y su vencimiento. Valor predeterminado: 120.
Intervalo: 1 - 3600.
De manera predeterminada, el cortafuegos no utiliza autenticacin

de RIP para el intercambio entre vecinos de RIP. Opcionalmente,
puede configurar una autenticacin de RIP entre vecinos de RIP
mediante una contrasea simple o mediante la autenticacin MD5.
Autenticacin de contrasea simple de RIP
1. Seleccione Perfiles de autenticacin y haga clic en Aadir.
2.
Introduzca un nombre para el perfil de autenticacin para

autenticar los mensajes RIP.
3.
Seleccione Contrasea simple como Tipo de contrasea.
4.
Introduzca una contrasea simple y, a continuacin, confrmela.
Autenticacin MD5 de RIP

1. Seleccione Perfiles de autenticacin y haga clic en Aadir.
2.
Introduzca un nombre para el perfil de autenticacin para

autenticar los mensajes RIP.
3.
Seleccione MD5 como Tipo de contrasea.
4.
Haga clic en Aadir.
5.
Introduzca una o ms entradas de contrasea, incluidos:

ID de clave, intervalo 0-255
Clave
546
6.
Opcionalmente, puede seleccionar el estado Preferido.
7.
Haga clic en ACEPTAR para especificar la clave que deber

utilizarse para autenticar el mensaje saliente.
8.
Vuelva a hacer clic en ACEPTAR en el cuadro de dilogo

Enrutador virtual - RIP - Perfil de autenticacin.
Redes
OSPF
OSPF
Open Shortest Path First (OSPF) es un protocolo de puerta de enlace interior (IGP) que suele utilizarse la
mayora de las veces para gestionar dinmicamente rutas de red en redes de empresas de gran tamao. determina
las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las rutas a otros
enrutadores mediante anuncios de estado de enlaces (LSA). La informacin recopilada de los LSA se utiliza para
construir un mapa de topologa de la red. Este mapa de topologa se comparte entre los enrutadores de la red y
se utiliza para cumplimentar la tabla de enrutamiento de IP con rutas disponibles.
Los cambios en la topologa de la red se detectan dinmicamente y se utilizan para generar un nuevo mapa de
topologa en cuestin de segundos. Se calcula un rbol con la ruta ms corta de cada ruta. Se utilizan las medidas
asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia, rendimiento de
red, disponibilidad de enlaces, etc. Adems, estas medidas pueden configurarse de manera esttica para dirigir el
resultado del mapa de topologa de OSPF.
La implementacin de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
RFC 2328 (para IPv4)
RFC 5340 (para IPv6)
Los siguientes temas ofrecen ms informacin sobre el OSPF y los procedimientos para configurar OSPF en el
cortafuegos:
Conceptos de OSPF
Configuracin de OSPF
Configuracin de OSPFv3
Configuracin del reinicio correcto de OSPF
Confirmacin del funcionamiento de OSPF
Consulte tambin How to Configure OSPF Tech Note (en ingls).
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que deber comprender para configurar el cortafuegos
con el fin de que participe en la red de OSPF:
OSPFv3
Vecinos OSPF
reas OSPF
Tipos de enrutadores de OSPF
547
OSPF
Redes
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como tal,
permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuacin se indican algunas de las
adiciones y los cambios en OSPFv3:
Compatibilidad con varias instancias por enlace: Con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a travs de un nico enlace. Esto se consigue al asignar un nmero de ID de instancia de
OSPFv3. Una interfaz que est asignada a una ID de instancia descartar paquetes que contengan un ID
diferente.
Procesamiento de protocolos por enlace: OSPFv3 funciona segn enlace en lugar de hacerlo segn
subred IP como en OSPFv2.
Cambios en las direcciones: Las direcciones IPv6 no estn presentes en paquetes OSPFv3, excepto en el
caso de cargas de LSA en paquetes de actualizacin de estado de enlace. Los enrutadores vecinos se
identifican mediante el ID de enrutador.
Cambios de autenticacin: OSPFv3 no incluye ninguna capacidad de autenticacin. Para configurar

OSPFv3 en un cortafuegos, es necesario un perfil de autenticacin que especifique una carga de seguridad
encapsulada (ESP) o un encabezado de autenticacin (AH) de IPv6. El procedimiento de nueva asignacin
de claves especificado en el RFC 4552 no se admite en esta versin.
Compatibilidad con varias instancias por enlace: Cada instancia se corresponde con un ID de instancia
incluido en el encabezado de paquete OSPFv3.
Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intrarea.
Todos los cambios adicionales se describen de manera detallada en el RFC 5340.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red comn y en la misma rea OSPF que forman una relacin
son vecinos OSPF. La conexin entre estos enrutadores puede ser a travs de un dominio de difusin comn o
mediante una conexin de punto a punto. Esta conexin se realiza a travs del intercambio de paquetes de
saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para intercambiar actualizaciones de
enrutamiento entre enrutadores.
548
Redes
OSPF
reas OSPF
OSPF funciona en un nico sistema autnomo (AS). No obstante, las redes de dentro de este AS nico pueden
dividirse en distintas reas. De manera predeterminada, se crea el rea 0. El rea 0 puede funcionar por s sola
o actuar como la red troncal de OSPF para un mayor nmero de reas. Cada rea OSPF recibe un nombre que
es un identificador de 32 bits, el cual, en la mayora de los casos, se escribe en la misma notacin decimal con
puntos que una direccin IP4. Por ejemplo, el rea 0 suele escribirse como 0.0.0.0.
La topologa de un rea se mantiene en su propia base de datos de estados de enlaces y se oculta de otras reas,
lo que reduce la cantidad de trfico de enrutamiento que necesita OSPF. A continuacin, la topologa se
comparte de manera resumida entre reas mediante un enrutador de conexin.
Tabla: Tipos de reas OSPF
Tipo de rea
Descripcin
rea troncal
El rea troncal (rea 0) es el ncleo de una red de OSPF. El resto de las reas se
conectan a ella y todo el trfico entre las reas debe atravesarla. Todo el enrutamiento
entre las reas se distribuye a travs del rea troncal. Si bien el resto de las reas OSPF
debe conectarse al rea troncal, esta conexin no tiene que ser directa y puede realizarse
a travs de un enlace virtual.
rea OSPF normal
En un rea OSPF normal no hay restricciones; el rea puede aceptar todo tipo de rutas.
rea OSPF de cdigo auxiliar Un rea de cdigo auxiliar no recibe rutas de otros sistemas autnomos. El
enrutamiento desde el rea de cdigo auxiliar se realiza a travs de la ruta

predeterminada hasta el rea troncal.
rea de NSSA
El rea de NSSA (Not So Stubby Area) es un tipo de rea de cdigo auxiliar que puede
importar rutas externas con algunas excepciones limitadas.
Tipos de enrutadores de OSPF

Dentro de un rea OSPF, los enrutadores se dividen en las siguientes categoras.
Enrutador interno: Enrutador que solamente tiene relaciones de vecino OSPF con los dispositivos de la
misma rea.
Enrutador de borde de rea (ABR): Enrutador que tiene relaciones de vecino OSPF con los dispositivos
de varias reas. Los ABR recopilan informacin de topologa de sus reas adjuntas y la distribuyen al rea
troncal.
Enrutador troncal: Cualquier enrutador de OSPF adjunto a la red troncal de OSPF. Como los ABR siempre
estn conectados a la red troncal, siempre se clasifican como enrutadores troncales.
Enrutador de lmite de sistema autnomo (ASBR): Enrutador que se conecta a ms de un protocolo de

enrutamiento e intercambia informacin de enrutamiento entre ellos.
549
OSPF
Redes
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las
rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la informacin
sobre los enlaces entre l y el destino y puede realizar decisiones de enrutamiento de gran eficacia. Se asigna un
coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste, despus de sumar todas las
interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los LSA asociados.
Como OSPF procesa dinmicamente una cantidad considerable de informacin de enrutamiento, tiene mayores
requisitos de procesador y memoria que RIP.
Paso 1
Configure los ajustes de

configuracin general de enrutador
virtual.
Paso 2

configuracin general de OSPF.
1.
Seleccione la pestaa OSPF.
2.

protocolo OSPF.
3.
Opcionalmente puede introducir el ID del enrutador.
4.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer

ninguna ruta predeterminada a travs de OSPF. Este es el ajuste
predeterminado recomendado.
Cancele la seleccin de la casilla de verificacin Rechazar ruta por
defecto si desea permitir la redistribucin de rutas predeterminadas a
travs de OSPF.
550
Redes
OSPF
Configuracin de OSPF (Continuacin)
Paso 3
Configure el tipo de reas para el

protocolo OSPF.
1.
En la pestaa reas, haga clic en Aadir.
2.
Introduzca un identificador de rea en formato x.x.x.x. Es el

identificador que cada vecino debe aceptar para formar parte de la
misma rea.
3.
En la pestaa Tipo, seleccione una de las siguientes opciones en el

men desplegable Tipo del rea:
Normal: No hay restricciones; el rea puede aceptar todos los tipos
de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un
destino fuera del rea, es necesario atravesar el lmite, que conecta
con el resto de reas. Si selecciona esta opcin, configure lo
siguiente:
Aceptar resumen: Los anuncios de estado de enlaces (LSA) se
aceptan desde otras reas. Si esta opcin de un rea de cdigo
auxiliar de la interfaz de enrutador de borde de rea (ABR) est
desactivada, el rea OSPF se comportar como un rea
totalmente de cdigo auxiliar (TSA) y ABR no propagar ninguno
de los LSA de resumen.
Anunciar ruta predeterminada: Los LSA de ruta
predeterminada se incluirn en los anuncios al rea de cdigo
auxiliar junto con un valor de medida configurado dentro del
siguiente intervalo configurado: 1-255.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
El cortafuegos solamente puede salir del rea por rutas que no sean
rutas de OSPF. Si est seleccionado, configure Aceptar resumen y
Anunciar ruta predeterminada como se describe para Cdigo
auxiliar. Si selecciona esta opcin, configure lo siguiente:
Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA
predeterminado.
Intervalos extendidos: Haga clic en Aadir en la seccin para
introducir intervalos de rutas externas para los que quiera
habilitar o suprimir los anuncios.
4.
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Esta

es la prioridad del enrutador para ser el enrutador designado (DR) o
de reserva (BDR) segn el protocolo OSPF. Si el valor es cero, el
enrutador no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin

definido previamente.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Vecinos: En interfaces p2pmp, introduzca la direccin IP de todos
los vecinos accesibles mediante esta interfaz.
5.
Seleccione Normal, Pasivo o Enviar nicamente como el Modo.
6.
551
OSPF
Redes
Paso 4
Paso 5
Configure el intervalo de reas para 1.

el protocolo OSPF.
En la pestaa Intervalo, haga clic en Aadir para aadir direcciones de

destino LSA en el rea en subredes.
2.
Seleccione Anunciar o Suprimir los anuncios de LSA que coincidan

con la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
1.
En la pestaa Interfaz, haga clic en Aadir e introduzca la siguiente

informacin para cada interfaz que se incluir en el rea:
Configure las interfaces de reas

para el protocolo OSPF.
Interfaz: Seleccione una interfaz en el cuadro desplegable.

Habilitar: Al seleccionar esta opcin, la configuracin de la interfaz
OSPF surte efecto.
Pasivo: Seleccione la casilla de verificacin si no desea que la
interfaz OSPF enve o reciba paquetes OSPF. Aunque los paquetes
OSPF no se envan ni reciben, si selecciona esta opcin, la interfaz
se incluir en la base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos
los vecinos mediante la interfaz y poder descubrirlos
automticamente por mensajes de tipo hello de multicast OSPF,
como una interfaz Ethernet. Seleccione p2p (punto a punto) para
descubrir al vecino automticamente. Seleccione p2mp (punto a
multipunto) si los vecinos se deben definir manualmente. La
definicin manual de vecino solo se permite en modo p2mp.
Mtrica: Introduzca una medida de OSPF para esta interfaz. Valor
predeterminado: 10. Intervalo: 0-65535.
Prioridad: Introduzca una prioridad de OSPF para esta interfaz. Es
la prioridad del enrutador para ser el enrutador designado (DR) o
de reserva (BDR). Valor predeterminado: 1. Intervalo: 0 - 255. Si el
valor se configura como cero, el enrutador no se designar como
DR ni BDR.
Sincronizacin: Se pueden establecer los siguientes ajustes de
sincronizacin de OSPF: Palo Alto Networks recomienda que
mantenga los ajustes de sincronizacin predeterminados.
Intervalo de saludo (segundos): Intervalo en el que el proceso
de OSPF enva paquetes de saludo a sus vecinos directamente
conectados. Valor predeterminado: 10 segundos. Intervalo:
0-3600 segundos.
Recuentos fallidos: Nmero de ocasiones en las que se puede
producir el intervalo de saludo para un vecino sin que OSPF
reciba un paquete de saludo desde el vecino, antes de que OSPF
considere que ese vecino tiene un fallo. El intervalo de saludo
multiplicado por los recuentos fallidos es igual al valor del
temporizador de fallos. Valor predeterminado: 4. Intervalo: 3-20.
552
Redes
OSPF
Intervalo de retransmisin (segundos): Tiempo que espera el

OSPF para recibir un anuncio de estado de enlace (LSA) de un
vecino antes de que el OSPF retransmita el LSA. Valor
predeterminado: 10 segundos. Intervalo: 0-3600 segundos.
Retraso de trnsito (segundos): Tiempo que un LSA se retrasa
antes de enviarse a una interfaz. Valor predeterminado: 1
segundo. Intervalo: 0-3600 segundos.
Retraso de saludo de reinicio correcto (segundos): Se aplica a
una interfaz de OSPF cuando se configura la alta disponibilidad
activa/pasiva. Retraso de saludo de reinicio correcto es el
tiempo durante el cual el cortafuegos enva los paquetes de LSA
de gracia en intervalos de 1 segundo. Durante este tiempo no se
envan paquetes de saludo desde el cortafuegos de reinicio.
Durante el reinicio, el temporizador de fallos (que es el intervalo
de saludo multiplicado por los recuentos fallidos) tambin
avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajar durante el reinicio correcto a causa del retraso
de saludo. Por lo tanto, se recomienda que el temporizador de
fallos sea al menos cuatro veces el valor del retraso de saludo de
reinicio correcto. Por ejemplo, un intervalo de saludo de 10
segundos y un valor de recuentos fallidos de 4 da como
resultado un valor de temporizador de fallos de 40 segundos. Si el
retraso de saludo de reinicio correcto se establece en 10
segundos, ese retraso de 10 segundos de los paquetes de saludo
se enmarca cmodamente dentro del temporizador de fallos de
40 segundos, de forma que la adyacencia no agotar su tiempo de
espera durante un reinicio correcto. Valor predeterminado: 10
segundos. Intervalo: 1-10 segundos.
Si se selecciona p2mp como Tipo de enlace, introduzca las
direcciones IP de todos los vecinos a los que se pueda acceder a
travs de esta interfaz.
2.
553
OSPF
Redes
Paso 6
Configure enlaces virtuales de

reas.
1.
En la pestaa Enlace virtual, haga clic en Aadir e introduzca la

siguiente informacin para cada enlace virtual que se incluir en el rea
troncal:
Nombre: Introduzca un nombre para el vnculo virtual.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado
del enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
2.
Paso 7
(Opcional) Configurar perfiles de

autenticacin
De manera predeterminada, el cortafuegos no utiliza autenticacin de

OSPF para el intercambio entre vecinos de OSPF. Opcionalmente, puede
configurar una autenticacin de OSPF entre vecinos de OSPF mediante
una contrasea simple o mediante la autenticacin MD5.
Autenticacin de contrasea simple de OSPF
1. En la pestaa Perfiles de autenticacin, haga clic en Aadir.
2.
Introduzca un nombre para el perfil de autenticacin para autenticar

los mensajes OSPF.
3.
Seleccione Contrasea simple como Tipo de contrasea.
4.
Introduzca una contrasea simple y, a continuacin, confrmela.
Autenticacin MD5 de OSPF

2.

los mensajes OSPF.
3.
Seleccione MD5 como Tipo de contrasea.
4.
Haga clic en Aadir.
5.
Introduzca una o ms entradas de contrasea, incluidos:

ID de clave, intervalo 0-255
Clave
Seleccione la opcin Preferido para especificar que la clave debe
utilizarse para autenticar mensajes salientes.
554
6.
7.
Vuelva a hacer clic en ACEPTAR en el cuadro de dilogo Enrutador

virtual - OSPF - Perfil de autenticacin.
Redes
OSPF
Paso 8
Configure las opciones avanzadas

de OSPF.
1.
En la pestaa Avanzado, seleccione la casilla de verificacin

Compatibilidad RFC 1583 para garantizar la compatibilidad con RFC
1583.
2.
Configure un valor para el temporizador Retraso de clculo SPF

(seg).
Este temporizador le permite definir el retraso de tiempo entre la
recepcin de nueva informacin de topologa y ejecutar un clculo
SPF. Los valores menores permiten una reconvergencia OSPF ms
rpida. Los enrutadores que se emparejan con el cortafuegos se deben
configurar de manera similar para optimizar los tiempos de
convergencia.
3.
Configure un valor para el temporizador Intervalo LSA (seg). Este

temporizador especifica el tiempo mnimo entre las transmisiones de
las dos instancias del mismo LSA (mismo enrutador, mismo tipo,
mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328.
Los valores ms bajos se pueden utilizar para reducir los tiempos de
reconvergencia cuando se producen cambios en la tipologa.
Paso 1

virtual.
Paso 2

configuracin general de OSPF.
1.
Seleccione la pestaa OSPF.
2.

protocolo OSPF.
3.

ninguna ruta predeterminada a travs de OSPF. Este es el ajuste
4.

travs de OSPF.
Paso 3

configuracin general de OSPFv3.
1.
Seleccione la pestaa OSPFv3.
2.

protocolo OSPF.
3.

ninguna ruta predeterminada a travs de OSPFv3. Este es el ajuste
travs de OSPFv3.
555
OSPF
Redes
Configuracin de OSPFv3 (Continuacin)
Paso 4
Configure el perfil de autenticacin Al configurar un perfil de autenticacin, debe utilizar una carga de
seguridad encapsulada (ESP) o un encabezado de autenticacin (AH) de
para el protocolo OSFPv3.
IPv6.
OSPFv3 no incluye ninguna
capacidad de autenticacin propia; Autenticacin de ESP OSPFv3
por el contrario, se basa
completamente en IPSec para
2. Introduzca un nombre para el perfil de autenticacin para autenticar
proteger las comunicaciones entre
los mensajes OSPFv3.
vecinos.
3. Especifique un ndice de poltica de seguridad (SPI). El SPI debe
coincidir entre ambos extremos de la adyacencia de OSPFv3. El
nmero del SPI debe ser un valor hexadecimal entre 00000000 y
FFFFFFFF.
4.
Seleccione ESP como Protocolo.
5.
Seleccione un Algoritmo criptogrfico del men desplegable.

Puede no seleccionar ninguno o uno de los siguientes algoritmos:
SHA1, SHA256, SHA384, SHA512 o MD5.
6.
Si en lugar de no seleccionar ningn valor, selecciona uno de estos

valores para el Algoritmo criptogrfico, introduzca un valor para
Clave y, a continuacin, confrmelo.
Autenticacin de AH OSPFv3
2.

los mensajes OSPFv3.
3.
Especifique un ndice de poltica de seguridad (SPI). El SPI debe

coincidir entre ambos extremos de la adyacencia de OSPFv3. El
nmero del SPI debe ser un valor hexadecimal entre 00000000 y
FFFFFFFF.
4.
Seleccione AH como Protocolo.
5.
Seleccione un Algoritmo criptogrfico del men desplegable.

Debe introducir uno de los siguientes algoritmos: SHA1, SHA256,
SHA384, SHA512 o MD5.
556
6.
Introduzca un valor para Clave y, a continuacin, confrmelo.
7.
8.
Vuelva a hacer clic en ACEPTAR en el cuadro de dilogo Enrutador

virtual - OSPF - Perfil de autenticacin.
Redes
OSPF
Paso 5
Configure el tipo de reas para el

protocolo OSPF.
1.
En la pestaa reas, haga clic en Aadir.
2.
Introduzca un ID de rea. Es el identificador que cada vecino debe

aceptar para formar parte de la misma rea.
3.
En la pestaa General, seleccione una de las siguientes opciones en el

men desplegable Tipo de rea:
Normal: No hay restricciones; el rea puede aceptar todos los tipos
de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un
destino fuera del rea, es necesario atravesar el lmite, que conecta
con el resto de reas. Si selecciona esta opcin, configure lo
siguiente:
Aceptar resumen: Los anuncios de estado de enlaces (LSA) se
aceptan desde otras reas. Si esta opcin de un rea de cdigo
auxiliar de la interfaz de enrutador de borde de rea (ABR) est
desactivada, el rea OSPF se comportar como un rea
totalmente de cdigo auxiliar (TSA) y ABR no propagar
ninguno de los LSA de resumen.
Anunciar ruta predeterminada: Los LSA de ruta
predeterminada se incluirn en los anuncios al rea de cdigo
auxiliar junto con un valor de medida configurado dentro del
siguiente intervalo configurado: 1-255.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
El cortafuegos solamente puede salir del rea por rutas que no sean
rutas de OSPF. Si est seleccionado, configure Aceptar resumen y
Anunciar ruta predeterminada como se describe para Cdigo
auxiliar. Si selecciona esta opcin, configure lo siguiente:
Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA
predeterminado.
Intervalos extendidos: Haga clic en Aadir en la seccin para
introducir intervalos de rutas externas para los que quiera
habilitar o suprimir los anuncios.
Paso 6
Asocie un perfil de autenticacin

OSPFv3 a un rea o una interfaz.
Para un rea
1. En la pestaa reas, seleccione un rea existente de la tabla.
2.
En la pestaa General, seleccione un Perfil de autenticacin

definido previamente del men desplegable Autenticacin.
3.
Para una interfaz

1. En la pestaa reas, seleccione un rea existente de la tabla.
2.
Seleccione la pestaa Interfaz y haga clic en Aadir.
3.
Seleccione el perfil de autenticacin que desee asociar a la interfaz

OSPF desde el men desplegable Perfil de autenticacin.
557
OSPF
Redes
Paso 7
Paso 8
(Opcional) Configure reglas de

exportacin.
Configure las opciones avanzadas

de OSPFv3.
1.
En la pestaa Exportar, haga clic en Aadir.
2.
Seleccione la casilla de verificacin Permitir redistribucin de ruta

predeterminada para permitir la redistribucin de rutas
predeterminadas a travs de OSPFv3.
3.
Seleccione el nombre del perfil de redistribucin. El valor debe ser una

subred IP o un nombre de perfil de redistribucin vlido.
4.
Seleccione una medida que debe aplicarse al Nuevo tipo de ruta.
5.
Especifique una Nueva etiqueta para la ruta coincidente que tenga un

valor de 32 bits.
6.
Asigne una medida para la nueva regla. Intervalo: 1 - 65535.
7.
1.
En la pestaa Avanzado, seleccione la casilla de verificacin

Deshabilitar enrutamiento de trnsito para el clculo de SPF si
quiere que el cortafuegos participe en la distribucin de la topologa
de OSPF sin ser utilizado para reenviar trfico de trnsito.
2.
Configure un valor para el temporizador Retraso de clculo SPF

(seg).
Este temporizador le permite definir el retraso de tiempo entre la
recepcin de nueva informacin de topologa y ejecutar un clculo
SPF. Los valores menores permiten una reconvergencia OSPF ms
rpida. Los enrutadores que se emparejan con el cortafuegos se deben
configurar de manera similar para optimizar los tiempos de
convergencia.
3.
Configure un valor para el tiempo Intervalo LSA (seg). Este

temporizador especifica el tiempo mnimo entre las transmisiones de
dos instancias del mismo LSA (mismo enrutador, mismo tipo, mismo
ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los
valores ms bajos se pueden utilizar para reducir los tiempos de
reconvergencia cuando se producen cambios en la tipologa.
4.
Opcionalmente, Configuracin del reinicio correcto de OSPF

Reinicio correcto de OSPF dirige a los vecinos OSPF para que sigan utilizando rutas a travs de un dispositivo
durante una breve transicin cuando est fuera de servicio. Este comportamiento aumenta la estabilidad de red
reduciendo la frecuencia de reconfiguracin de la tabla de enrutamiento y los flaps de ruta relacionados que
pueden producirse durante breves tiempos de inactividad peridicos.
Para un cortafuegos de Palo Alto Networks, el reinicio correcto de OSPF implica las siguientes operaciones:
Cortafuegos como dispositivo de reinicio: En una situacin en la que el cortafuegos vaya a estar inactivo
durante un breve perodo de tiempo o no est disponible durante intervalos breves, enviar LSA de gracia a
sus vecinos OSPF. Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio
correcto. En el modo auxiliar, los vecinos reciben los LSA de gracia que le informan que el cortafuegos
558
Redes
OSPF
realizar un reinicio correcto en un perodo de tiempo especificado definido como el Periodo de gracia.
Durante el perodo de gracia, el vecino sigue reenviando rutas a travs del cortafuegos y enviando LSA que
anuncian rutas a travs del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que venza el
perodo de gracia, el reenvo de trfico seguir como antes sin ninguna interrupcin de la red. Si el
cortafuegos no reanuda su funcionamiento despus de que venza el periodo de gracia, los vecinos saldrn
del modo auxiliar y reanudarn el funcionamiento normal, lo que implicar la reconfiguracin de la tabla de
enrutamiento para eludir el cortafuegos.
Cortafuegos como auxiliar de reinicio correcto: En una situacin en la que los enrutadores vecinos
puedan estar inactivos durante breves periodos de tiempo, se puede configurar el cortafuegos para que
funcione en el modo auxiliar de reinicio correcto. Si se configura con este modo, el cortafuegos se
configurar con un Mx. de hora de reinicio del mismo nivel. Cuando el cortafuegos reciba los LSA de
gracia de su vecino OSFP, seguir enrutando trfico al vecino y anunciando rutas a travs del vecino hasta
que venza el perodo de gracia o el mximo de hora de reinicio del mismo nivel. Si ninguno de los dos vence
antes de que el vecino vuelva a estar en funcionamiento, el reenvo de trfico continuar como antes sin
ninguna interrupcin de la red. Si ninguno de los dos periodos vence antes de que el vecino vuelva a estar
en funcionamiento, el cortafuegos saldr del modo auxiliar y reanudar el funcionamiento normal, que
implicar la reconfiguracin de la tabla de enrutamiento para eludir el vecino.
1.
Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual que quiera configurar.
2.
Seleccione OSPF > Avanzado.
3.
Verifique que las siguientes casillas de verificacin estn seleccionadas (estn habilitadas de manera predeterminada).
Habilitar reinicio correcto
Habilitar modo auxiliar
Habilitar comprobacin de LSA estricta
Las casillas de verificacin deberan permanecer seleccionadas a menos que su topologa lo requiera.
4.
Configure un Periodo de gracia en segundos.
5.
Configure un Mx. de hora de reinicio del mismo nivel en segundos.
Confirmacin del funcionamiento de OSPF

Una vez se haya compilado una configuracin de OSPF, podr utilizar cualquiera de las operaciones siguientes
para confirmar que OSPF est funcionando:
Visualizacin de la tabla de enrutamiento
Confirmacin de adyacencias de OSPF
Confirmacin de que se han establecido conexiones de OSPF
559
OSPF
Redes

Al visualizar la tabla de enrutamiento, puede ver si se han establecido rutas de OSPF. Se puede acceder a la tabla
de enrutamiento desde la interfaz web o la CLI. Si est utilizando la CLI, utilice los siguientes comandos:
show routing route
show routing fib
El siguiente procedimiento describe cmo utilizar la interfaz web para ver la tabla de enrutamiento.
1.
2.
Seleccione la pestaa Enrutamiento y examine la columna Marcas de la tabla de enrutamiento para determinar qu
rutas ha obtenido OSPF.
Confirmacin de adyacencias de OSPF

Visualizando la pestaa Vecino como se describe en el procedimiento siguiente, puede confirmar que las
adyacencias de OSPF se han establecido.
560
Redes
OSPF
Visualizacin de la pestaa Vecino para confirmar adyacencias de OSPF
1.
2.
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de OSPF.
Confirmacin de que se han establecido conexiones de OSPF

Al visualizar el log de sistema, puede confirmar que se han establecido conexiones de OSPF segn se describe
en el procedimiento siguiente:
Examen del log de sistema
1.
Seleccione Supervisar > Sistema y busque mensajes que confirmen que se han establecido adyacencias de OSPF.
561
OSPF
Redes
Examen del log de sistema
2.
562
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de OSPF.
Redes
BGP
BGP
El protocolo de puerta de enlace de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP
determina el alcance de la red en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS),
donde un sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para formar
parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la poltica permite
una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada vez que se actualiza la RIB del
cortafuegos local, el cortafuegos determina las rutas ptimas y enva una actualizacin a la RIB externa, si se
activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas BGP. Las rutas BGP
deben cumplir las normas de anuncios condicionales para poder anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica. Durante el proceso
de agregacin, el primer paso es encontrar la regla de agregacin correspondiente ejecutando la correspondencia
ms larga que compare la ruta entrante con los valores de prefijo de otras reglas de agregacin.
Para obtener ms informacin sobre BGP, consulte How to Configure BGP Tech Note (Nota tcnica sobre
cmo configurar BGP).
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes funciones:
Especificacin de una instancia de enrutamiento BGP por enrutador virtual.
Polticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de importacin,
exportacin y anuncios, filtrado basado en prefijos y agregacin de direcciones.
Funciones BGP avanzadas que incluyen un reflector de ruta, confederacin de AS, amortiguacin de flap de
ruta y reinicio correcto.
Interaccin IGP-BGP para introducir rutas en BGP utilizando perfiles de redistribucin.
La configuracin BGP se compone de los siguientes elementos:
Configuraciones por instancia de enrutamiento, que incluyen parmetros bsicos como opciones avanzadas
de ID de ruta local y AS local como seleccin de ruta, reflector de ruta, confederacin AS, flap de ruta y
perfiles de amortiguacin.
Perfiles de autenticacin que especifican la clave de autenticacin MD5 para conexiones BGP.
Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de vecino y AS como
atributos y conexiones de vecino.
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers utilizan para
implementar las importaciones, exportaciones, anuncios condicionales y controles de agregacin de
direccin.
Realice el siguiente procedimiento para configurar BGP.
563
BGP
Redes
Configuracin de BGP
Paso 1

virtual.
Paso 2
Configure los ajustes de configuracin 1.

general de BGP.
2.
Paso 3
Seleccione la pestaa BGP.

protocolo BGP.
3.
Asigne una direccin IP al enrutador virtual en el cuadro ID del

enrutador.
4.
Introduzca el nmero del AS al que pertenece el enrutador virtual

en el cuadro Nmero AS, basndose en el ID del enrutador.
Intervalo: 1-4294967295
Configure los ajustes de configuracin 1.

general de BGP.
2.
Seleccione BGP > General.

Seleccione la casilla de verificacin Rechazar ruta por defecto para
ignorar todas las rutas predeterminadas anunciadas por peers BGP.
3.
Seleccione la casilla de verificacin Instalar ruta para instalar rutas

BGP en la tabla de enrutamiento global.
4.
Seleccione la casilla de verificacin Agregar MED para habilitar la

agregacin de rutas, incluso cuando las rutas tengan valores
diferentes de discriminador de salida mltiple (MED).
5.
Introduzca un valor para la Preferencia local predeterminada que

especifique un valor que puede utilizarse para determinar las
preferencias entre diferentes rutas.
6.
Seleccione uno de los siguientes valores para el formato AS con

fines de interoperabilidad:
2 bytes (valor predeterminado)
4 bytes
7.
Habilite o deshabilite cada uno de los siguientes valores de

Seleccin de rutas:
Comparar siempre MED: Habilite esta comparacin para elegir
rutas de vecinos en diferentes sistemas autnomos.
Comparacin determinista de MED: Habilite esta comparacin
para elegir entre rutas anunciadas por peers IBGP (peers BGP en
el mismo sistema autnomo).
8.
Haga clic en Aadir para incluir un nuevo perfil de autenticacin y

configurar los siguientes ajustes:
Nombre del perfil: Introduzca un nombre para identificar el
perfil.
Secreto/Confirmar secreto: Introduzca y confirme la
contrasea para comunicaciones de peer BGP.
564
Redes
BGP
Configuracin de BGP (Continuacin)
Paso 4
Configure los ajustes avanzados de

BGP (opcional).
1.
En la pestaa Avanzado, seleccione Reinicio correcto y configure

los siguientes temporizadores:
Tiempo de ruta obsoleto (seg): Especifica la cantidad de tiempo
en segundos que una ruta puede permanecer en el estado
obsoleto. Intervalo: 1 - 3600 segundos. Valor predeterminado:
120 segundos.
Hora de reinicio local (seg): Especifica la cantidad de tiempo en
segundos que el dispositivo local tarda en reiniciar. Este valor se
anuncia a los peers. Intervalo: 1 - 3600 segundos. Valor
predeterminado: 120 segundos.
Mx. de hora de reinicio del peer (seg): Especifica el tiempo
mximo en segundos que el dispositivo local acepta como
perodo de gracia para reiniciar los dispositivos peer. Intervalo: 1
- 3600 segundos. Valor predeterminado: 120 segundos.
2.
Especifique un identificador IPv4 que represente el clster reflector

en el cuadro ID de clster reflector.
3.
Especifique el identificador de la confederacin AS que se

presentar como un AS nico a los peers BGP externos en el cuadro
AS de miembro de confederacin.
4.
Haga clic en Aadir e introduzca la siguiente informacin para cada

perfil de amortiguacin que quiera configurar, seleccione Habilitar
y haga clic en ACEPTAR:
Nombre del perfil: Introduzca un nombre para identificar el
perfil.
Corte: Especifique un umbral de retirada de ruta por encima del
cual se suprime un anuncio de ruta. Intervalo: 0,0-1000,0. Valor
predeterminado: 1,25.
Reutilizar: Especifique un umbral de retirada de ruta por debajo
del cual una ruta suprimida se vuelve a utilizar. Intervalo:
0,0-1000,0. Valor predeterminado: 5.
Mx. de tiempo de espera (seg): Especifique el tiempo mximo
en segundos durante el que una ruta se puede suprimir, con
independencia de su inestabilidad. Intervalo: 0-3600 segundos.
Valor predeterminado: 900 segundos.
Media vida de disminucin alcanzable (seg): Especifique el
tiempo en segundos despus del cual la mtrica de estabilidad de
una ruta se divide entre dos si la ruta se considera alcanzable.
Intervalo: 0-3600 segundos. Valor predeterminado: 300
segundos.
Media vida de disminucin no alcanzable (seg): Especifique el
tiempo en segundos despus del cual la mtrica de estabilidad de
una ruta se divide entre dos si la ruta se considera no alcanzable.
Intervalo: 0 - 3600 segundos. Valor predeterminado: 300
segundos.
5.
565
BGP
Redes
Paso 5
Configure el grupo del peer BGP.
1.
Seleccione la pestaa Grupo del peer y haga clic en Aadir.
2.
Introduzca un Nombre para el grupo del peer y seleccione

Habilitar.
3.
Seleccione la casilla de verificacin Agregar ruta AS confederada

para incluir una ruta a la AS de confederacin agregada configurada.
4.
Seleccione la casilla de verificacin Restablecimiento parcial con

informacin almacenada para ejecutar un restablecimiento parcial
del cortafuegos despus de actualizar los ajustes de peer.
5.
Especifique el tipo o grupo de peer en el cuadro desplegable Tipo

y configure los ajustes asociados (consulte la tabla siguiente para ver
las descripciones de Importar siguiente salto y Exportar siguiente
salto).
IBGP: Exportar siguiente salto: Especifique Original o Utilizar
automtico.
EBGP confederado: Exportar siguiente salto: Especifique
Original o Utilizar automtico.
EBGP confederado: Exportar siguiente salto: Especifique
Original o Utilizar automtico.
EBGP: Importar siguiente salto: Especifique Original o
Utilizar automtico, Exportar siguiente salto: Especifique
Resolver o Utilizar automtico. Seleccione Eliminar AS
privado si desea forzar que BGP elimine nmeros AS privados.
Paso 6
Configure reglas de importacin y

exportacin.
Las reglas de
importacin/exportacin se utilizan
para importar/exportar rutas
desde/hacia otros enrutadores. Por
ejemplo, puede importar la ruta
predeterminada desde su proveedor
de servicios de Internet.
566
6.
1.
Seleccione la pestaa Importar y, a continuacin, haga clic en

Aadir e introduzca un nombre en el campo Reglas y seleccione la
casilla de verificacin Habilitar.
2.
Haga clic en Aadir y seleccione el Grupo del peer desde el que se

importarn las rutas.
3.
Haga clic en la pestaa Coincidencia y defina las opciones utilizadas

para filtrar la informacin de enrutamiento. Tambin puede definir
el valor de discriminador de salida mltiple (MED) y un valor de
siguiente salto como enrutadores o subredes para el filtrado de
rutas. La opcin MED es una medida externa que permite que los
vecinos sepan cul es la ruta preferida de un AS. Se prefiere un valor
ms bajo antes que un valor ms alto.
4.
Haga clic en la pestaa Accin y defina la accin que debera

producirse (permitir/denegar) basndose en las opciones de filtrado
definidas en la pestaa Coincidencia. Si se selecciona Denegar, no
ser necesario definir ms opciones. Si se selecciona la accin
Permitir, defina los otros atributos.
5.
Haga clic en la pestaa Exportar y defina atributos de exportacin,

que son similares a los ajustes de Importar, pero que se utilizan para
controlar la informacin de rutas que se exporta desde el
cortafuegos a los vecinos.
6.
Redes
BGP
Paso 7
Paso 8
Configure los anuncios condicionales,

que le permiten controlar la ruta que
se anunciar en caso de que no exista
ninguna ruta diferente en la tabla de
enrutamiento BGP local (LocRIB),
indicando un fallo de peering o
alcance. Esta funcin es muy til si
desea probar y forzar rutas de un AS a
otro, por ejemplo, si tiene enlaces a
Internet con varios ISP y desea
enrutar el trfico a un nico
proveedor, en lugar de a los otros,
salvo que se produzca una prdida de
conectividad con el proveedor
preferido.
Configure opciones agregadas para
rutas de resmenes en la
configuracin de BGP.
1.
2.
3.
Haga clic en Aadir y, en la seccin Utilizado por, introduzca los

grupos del que utilizarn la poltica de anuncios condicionales.
4.
Seleccione la pestaa Filtro no existente y defina los prefijos de red

de la ruta preferida. Especifica la ruta que desea anunciar, si est
disponible en la tabla de ruta de BGP local. Si un prefijo se va a
anunciar y coincide con un filtro no existente, el anuncio se
suprimir.
5.
Seleccione la pestaa Anunciar filtros y defina los prefijos de la ruta

de la tabla de enrutamiento Local-RIB que se debera anunciar en
caso de que la ruta del filtro no existente no est disponible en la
tabla de enrutamiento local. Si un prefijo se va a anunciar y no
coincide con un filtro no existente, el anuncio se producir.
1.
Seleccione la pestaa Agregado, haga clic en Aadir e introduzca un

nombre para la direccin agregada.
2.
En el campo Prefijo, introduzca el prefijo de red que ser el prefijo

principal de los prefijos agregados.
La agregacin de rutas de BGP se

utiliza para controlar el modo en que 3.
BGP agrega direcciones. Cada entrada
de la tabla da como resultado la
4.
creacin de una direccin agregada. El
resultado ser una entrada agregada en
la tabla de enrutamiento cuando se
obtiene al menos una o ms rutas
especficas que coinciden con la
direccin especificada.
Paso 9
Seleccione la pestaa Anuncio condicional, haga clic en Aadir e

introduzca un nombre en el campo Poltica.
Seleccione la pestaa Suprimir filtros y defina los atributos que

harn que las rutas coincidentes se supriman.
Seleccione la pestaa Anunciar filtros y defina los atributos que
harn que las rutas coincidentes se anuncien siempre a los peers.
Configure las reglas de redistribucin. 1.
Seleccione la pestaa Reglas de redistr. y haga clic en Aadir.
Esta regla se utiliza para redistribuir 2.

las rutas de host y las rutas
desconocidas que no se encuentran en
la RIB local de los enrutadores de
3.
peers.
4.
En el campo Nombre, introduzca una subred IP o seleccione un

perfil de redistribucin. Tambin puede configurar un nuevo perfil
de redistribucin desde el men desplegable si es necesario.
5.
Haga clic en la casilla de verificacin Habilitar para habilitar la regla.

En el campo Medida, introduzca la medida de la ruta que se utilizar
para la regla.
En el men desplegable Establecer origen, seleccione incompleto,
igp o egp.
6.
Opcionalmente, establezca MED, preferencia local, lmite de ruta

AS y valores de comunidad.
567
Redes

Esta seccin describe los ajustes globales que afectan a las sesiones TCP, UDP y ICMPv6, adems de IPv6,
NAT64, sobresuscripcin NAT, tamao de trama gigante, MTU, vencimiento acelerado y la autenticacin del
portal cautivo. Tambin hay un ajuste (Reanalizar sesiones establecidas) que le permite aplicar las polticas de
seguridad recin configuradas a las sesiones que ya estn en curso.
La pestaa Dispositivo > Configuracin > Sesin es donde se configuran estos ajustes y tiempos de espera de
sesin.
El primero de los siguientes temas ofrece breves resmenes de la capa de transporte del modelo OSI, TCP, UDP
e ICMP. Para obtener ms informacin acerca de los protocolos, consulte sus RFC respectivos. El resto de temas
describen la configuracin y los tiempos de espera de sesin.
Sesiones de capa de transporte
TCP
UDP
ICMP
Configuracin de los tiempos de espera de sesin
Definicin de la configuracin de sesin
568
Redes
Sesiones de capa de transporte

Una sesin de red es una conversacin que se produce entre dos o ms dispositivos de comunicacin, durante
cierto periodo de tiempo. Cada sesin se establece, y luego se anula cuando termina. En las tres capas del modelo
OSI tienen lugar distintos tipos de sesiones: la capa de transporte, la capa de sesin y la capa de aplicacin.
La capa de transporte funciona en la capa 4 del modelo OSI y proporciona una entrega punto a punto, fiable o
no fiable, y un control del flujo de los datos. Los protocolos de Internet que implementan sesiones en la capa
de transporte incluyen el Protocolo de control de transmisin (TCP) y el Protocolo de datagramas de usuario
(UDP).
TCP
El protocolo de control de transmisin (TCP) (RFC 793) es uno de los protocolos principales del conjunto de
protocolos de Internet (IP), y est tan extendido que a menudo se le hace referencia junto a IP como TCP/IP.
Se considera que el TCP es un protocolo de transporte fiable, ya que ofrece comprobacin de errores mientras
transmite y recibe segmentos, reconoce los segmentos recibidos y reorganiza los segmentos desordenados desde
el dispositivo que los envi. TCP tambin solicita y ofrece la retransmisin de segmentos que faltaban. TCP se
basa en el estado y conexin, en el sentido de que la conexin entre el remitente y el receptor se establece durante
la duracin de la sesin. El TCP ofrece un control del flujo de paquetes para que pueda gestionar la gestin de
las redes.
TCP realiza un protocolo de tres vas durante la configuracin de la sesin para iniciar y reconocer una sesin.
Cuando se han transferido los datos, la sesin se cierra de manera ordenada.
Entre las aplicaciones que usan TCP como protocolo de transporte se incluyen el protocolo de transferencia de
hipertexto (HTTP), protocolo seguro de transferencia de hipertexto (HTTPS), protocolo de transferencia de
archivos (FTP), protocolo simple de transferencia de correo (SMTP), Telnet, protocolo de oficina de correos
versin 3 (POP3), protocolo de acceso a mensajes de Internet (IMAP) y shell seguro (SSH).
Los siguientes temas tienen informacin detallada sobre la implementacin PAN-OS de TCP.
Temporizadores de TCP semicerrado y de Tiempo de espera TCP
Temporizador RST sin verificar
Temporizadores de TCP semicerrado y de Tiempo de espera TCP

El procedimiento de terminacin de la conexin TCP usa un temporizador semicerrado TCP, que se activa con
el primer FIN que detecta el cortafuegos para una sesin. El temporizador se denomina TCP semicerrado
porque solo una parte de la conexin ha enviado un FIN. Un segundo temporizador, el de tiempo de espera
TCP, se activa despus de recibir el segundo FIN o RST.
Si en el cortafuegos solo se activara un temporizador con el primer FIN, un ajuste demasiado corto cerrara
prematuramente las sesiones semicerradas. Por otro lado, un ajuste demasiado alto hara crecer demasiado la
tabla de la sesin, y probablemente agotara todas las sesiones. Dos temporizadores le permiten tener un
temporizador TCP semicerrado relativamente largo y un temporizador de tiempo de espera TCP corto, lo que
hace vencer rpidamente las sesiones totalmente cerradas y controla el tamao de la tabla de sesin.
569
Redes
La siguiente ilustracin muestra el momento en que dos temporizadores del cortafuegos se activan durante el
procedimiento de terminacin de la conexin TCP.
El temporizador de tiempo de espera de TCP debe definirse con un valor inferior al temporizador semicerrado
TCP por los siguientes motivos:
Mientras ms tiempo se permita tras ver el primer FIN, ms tiempo tiene la otra parte de la conexin para
cerrar por completo la sesin.
El tiempo de espera ms corto se debe a que no hay necesidad de que la sesin permanezca abierta durante
mucho tiempo tras ver el segundo FIN o RST. Un tiempo de espera ms breve libera los recursos antes, pero
deja tiempo para que el cortafuegos vea la confirmacin final y la posible retransmisin de otros datagramas.
Si configura un temporizador de tiempo de espera TCP con un valor ms alto que el del TCP semicerrado, se
aceptar la confirmacin, pero en la prctica el temporizador de tiempo de espera TCP no superar el valor de
TCP semicerrado.
Los temporizadores pueden definirse globalmente o por aplicacin. Los ajustes globales se utilizan para todas
las aplicaciones de forma predeterminada. Si configura las temporizadores de espera TCP en el nivel de
aplicacin, estos ajustes sustituirn a los ajustes globales.
570
Redes
Temporizador RST sin verificar

Si el cortafuegos recibe un paquete a RST que no puede comprobarse (porque tiene un nmero de secuencia
inesperado con la ventana TCP o tiene una ruta asimtrica), el temporizador de RST sin verificar controla el
vencimiento de la sesin. Cambia de forma predeterminada a 30 segundos, el rango es de 1-600 segundos. El
temporizador RST sin verificar ofrece una medida de seguridad adicional, que se explica en el segundo prrafo
que aparece a continuacin.
Un paquete RST tendr uno de las tres resultados posibles:
El paquete RST queda fuera de la ventana TCP y se omite.
El paquete RST queda dentro de la ventana TCP pero no tiene el nmero de secuencia esperado, por lo que
queda sin verificar y est sujeto al ajuste de temporizador RST sin verificar. Este comportamiento evita los
ataques de denegacin de servicio (DoS), en los que se intenta interrumpir las sesiones existentes enviando
paquetes RST aleatorios al cortafuegos.
El paquete RST queda dentro de la ventana TCP y tiene el nmero de secuencia exacto esperado, por lo que
queda sujeto al ajuste de temporizador de tiempo de espera RST.
UDP
El protocolo de datagramas de usuario (UDP) (RFC 768) es otro de los principales protocolos del conjunto IP,
y ofrece una alternativa al TCP. El UDP es independiente del estado y la conexin en el sentido de que no hay
un protocolo para establecer sesin ni ninguna conexin entre el remitente y el receptor; los paquetes pueden
tomar distintas rutas para llegar a un nico destino. UDP no se considera un protocolo fiable porque no ofrece
reconocimientos, comprobacin de errores, retransmisin ni reorganizacin de datagramas. Al no tener la carga
de trabajo necesaria para ofrecer estas funciones, UDP tiene una latencia reducida y es ms rpido que TCP.
UDP es el mejor protocolo de menor esfuerzo, sin ningn mecanismo o forma de garantizar que los datos
llegarn a su destino.
Aunque UDP usa una suma de comprobacin para saber la integridad de los datos, no realizar ninguna
comprobacin de errores a nivel de la interfaz de red. Se asume que la comprobacin de errores no es necesaria
o que la realiza la aplicacin en lugar del propio UDP. UDP no tiene ningn mecanismo para gestionar el control
de flujo de paquetes.
UDP a menudo se usa con aplicaciones que requieren velocidades ms altas y una entrega en tiempo real sensible
al tiempo, como voz sobre IP (VoIP), transmisin de audio y vdeo y los juegos en lnea. UDP se basa en las
transacciones, por lo que tambin se usa para aplicaciones que responden a pequeas consultas de muchos
clientes, como el sistema de nombres de dominio (DNS) y el protocolo trivial de transferencia de archivos
(TFTP).
571
Redes
ICMP
El protocolo de mensajes de control de Internet (ICMP) (RFC 792) es otro de los protocolos principales del
conjunto de protocolos de Internet (IP), y opera en la capa de red del modelo OSI. El ICMP se usa para
diagnstico y control para enviar mensajes de error sobre operaciones de IP o mensajes sobre servicios
solicitados o el alcance de un host o enrutador. Hay utilidades de red como traceroute y ping que se implementan
mediante varios mensajes ICMP.
ICMP es un protocolo sin conexin que no abre ni mantiene sesiones reales. Sin embargo, los mensajes ICMP
entre dos dispositivos pueden considerarse una sesin.
Los cortafuegos de Palo Alto Networks admiten ICMPv4 y ICMPv6. Los paquetes de errores ICMPv4 y
ICMPv6 pueden controlarse configurando una poltica de seguridad para una zona y seleccionando la aplicacin
icmp o ipv6-icmp en la poltica. Adems, la tasa de paquetes de errores ICMPv6 puede controlarse a travs del
portal de asistencia tcnica como se describe en la seccin Definicin de la configuracin de sesin.
Lmite de tasa ICMPv6

La limitacin de tasa ICMPv6 es un mecanismo de limitacin que evita las inundaciones y los intentos de
denegacin distribuida de servicio. La implementacin usa una tasa de paquetes de error y un depsito de
testigos, que colaboran para permitir la limitacin y garantizar que los paquetes de ICMP no inundan los
segmentos de red protegidos por el cortafuegos.
Primero, la tasa de paquetes de errores ICMPv6 globales controla la tasa a la cual se permite pasar los paquetes
de errores ICMP por el cortafuegos; el valor predeterminado es de 100 paquetes por segundo, con un intervalo
de 10 a 65535 paquetes por segundo. Si el cortafuegos alcanza la tasa de paquetes de error de ICMPv6, el
depsito de testigo de ICMPv6 se utiliza para activar la limitacin de mensajes de error de ICMPv6.
El concepto de depsito de testigos lgico controla la velocidad a la que se pueden transmitir los mensajes
ICMP. El nmero de testigos en el depsito puede configurarse, y cada testigo representa un mensaje ICMP que
puede enviarse. El recuento de testigos se reduce cada vez que se enva un mensaje ICMP; cuando el depsito
llega a cero testigos, ya no es posible enviar ms mensajes ICMP hasta que se aada otro testigo al depsito. El
tamao predeterminado del depsito de testigos es de 100 testigos (paquetes), y el rango es de 10 a 65535
testigos.
Para cambiar el tamao predeterminado de testigos o la tasa de paquetes de errores, consulte la seccin
Definicin de la configuracin de sesin.
Configuracin de los tiempos de espera de sesin

El tiempo de espera de una sesin define la duracin para la que PAN-OS mantiene una sesin en el cortafuegos
despus de la inactividad en esa sesin. De forma predeterminada, cuando la sesin agota su tiempo de espera
para el protocolo, PAN-OS cierra la sesin.
En el cortafuegos, puede definir un nmero de tiempos de espera para sesiones TCP, UDP e ICMP por
separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de sesin. Todos estos tiempos de
espera son globales, lo que significa que se aplican a todas la sesiones de ese tipo en el cortafuegos.
572
Redes
Adems de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada aplicacin en la
pestaa Objetos > Aplicaciones. El cortafuegos aplica los tiempos de espera de la aplicacin a una aplicacin
que est en estado Establecido. Cuando se configuran, los tiempos de espera para una aplicacin anulan los
tiempos de espera globales de la sesin TCP o UDP.
Volviendo a los ajustes globales, realice las siguientes tareas opcionales si necesita cambiar los valores
predeterminados de los ajustes de tiempos de espera de sesin globales para TCP, UDP, ICMP, autenticacin
del portal cautivo u otros tipos de sesiones. Todos los valores se indican los segundos.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la deteccin
de errores.
Cambio de los tiempos de espera de sesin
Paso 1
Acceda a Configuracin de sesin. 1.

2.
Paso 2
Seleccione Dispositivo > Configuracin > Sesin.

En la seccin Tiempos de espera de sesin, haga clic en Editar.
(Opcional) Cambio de los tiempos Predeterminado: Tiempo mximo que una sesin que no es
de espera mixtos.
TCP/UDP ni ICMP se puede abrir sin una respuesta. Valor
Descartar valor predeterminado: La longitud mxima de tiempo que
una sesin permanece abierta cuando PAN-OS deniega una sesin
debido a las polticas de seguridad configuradas en el cortafuegos. Valor
Exploracin: Tiempo mximo de espera que una sesin seguir abierta
despus de considerarse inactiva; se considera que una aplicacin est en
estado inactivo cuando supera el umbral de generacin de aplicaciones
que tiene definido. Valor predeterminado: 10. Intervalo: 5-30.
Portal cautivo: Tiempo de espera de la sesin de autenticacin para el
formato web del portal cautivo. Para acceder al contenido solicitado, el
usuario debe introducir las credenciales de autenticacin en este formato
y autenticarse correctamente. Valor predeterminado: 30. Intervalo:
1-1599999.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, seleccione
Dispositivo > Identificacin de usuario > Configuracin de portal
cautivo. Consulte Configuracin de portal cautivo.
573
Redes
Cambio de los tiempos de espera de sesin (Continuacin)
Paso 3
(Opcional) Cambio de los tiempos Descartar TCP: La longitud mxima de tiempo que una sesin TCP
de espera TCP.
permanece abierta cuando se deniega una sesin debido a las polticas
de seguridad configuradas en el cortafuegos. Valor predeterminado: 90.
Intervalo: 1-1599999.
TCP: Tiempo mximo que una sesin TCP permanece abierta sin una
respuesta despus de que una sesin TCP active el estado Establecido
(despus de que se complete el protocolo o la transmisin de datos haya
comenzado). Valor predeterminado: 3600. Intervalo: 1-1599999.
Protocolo de enlace TCP: Tiempo mximo entre la recepcin de
SYN-ACK y la siguiente ACK para establecer completamente la sesin.
Valor predeterminado: 10. Intervalo: 1-60.
Inicializacin de TCP: Tiempo mximo permitido entre la recepcin de
SYN y SYN-ACK antes de iniciar el temporizador del protocolo de
enlace TCP. Valor predeterminado: 5. Intervalo: 1-60.
TCP semicerrado: Tiempo mximo entre la recepcin del primer FIN
y la recepcin del segundo FIN o RST. Valor predeterminado: 120.
Tiempo de espera TCP: Tiempo mximo despus de recibir el segundo
FIN o RST. Valor predeterminado: 15. Intervalo: 1-600.
RST sin verificar: Tiempo mximo despus de recibir un RST que no se
puede verificar (el RST est dentro de la ventana TCP pero tiene un
nmero de secuencia inesperado o el RST procede de una ruta
asimtrica). Valor predeterminado: 30. Intervalo: 1-600.
Vea tambin el tiempo de espera de Explorar en la seccin (Opcional)
Cambio de los tiempos de espera mixtos.
Paso 4
(Opcional) Cambio de los tiempos Descartar UDP: La longitud mxima de tiempo que una sesin UDP
de espera UDP.
permanece abierta cuando se deniega una sesin debido a las polticas
de seguridad configuradas en el cortafuegos. Valor predeterminado: 60.
UDP: Tiempo mximo que una sesin UDP permanece abierta sin una
respuesta de UDP. Valor predeterminado: 30. Intervalo: 1-1599999.
Vea tambin el tiempo de espera de Explorar en la seccin (Opcional)
Cambio de los tiempos de espera mixtos.
Paso 5
(Opcional) Cambio de los tiempos ICMP: Tiempo mximo que una sesin ICMP puede permanecer abierta
de espera ICMP.
sin una respuesta de ICMP. Valor predeterminado: 6. Intervalo:
1-1599999.
Vea tambin el tiempo de espera de Descartar valor predeterminado y
Explorar en la seccin (Opcional) Cambio de los tiempos de espera
mixtos.
Paso 6
574
Redes
Definicin de la configuracin de sesin

Este tema describe varios ajustes para sesiones distintas de los valores de tiempos de espera. Realice esas tareas
opcionales si necesita cambiar los ajustes predeterminados.
Cambio de los ajustes de sesin
Paso 1
Paso 2
Acceda a Configuracin de
sesin.
(Opcional) Cambio de los
ajustes de sesin.
1.
Seleccione Dispositivo > Configuracin > Sesin.
2.
En la seccin Ajustes de sesin, haga clic en Editar.
Reanalizar sesiones establecidas: Provoca que el cortafuegos aplique las

polticas de seguridad recin configuradas a las sesiones que ya estn en curso.
Esta capacidad est habilitada de manera predeterminada. Si este ajuste est
deshabilitado, cualquier cambio de poltica se aplica solo a las sesiones
iniciadas despus de que se haya compilado un cambio de poltica.
Por ejemplo, si se ha iniciado una sesin de Telnet mientras haba configurada
una poltica que permita Telnet y, en consecuencia, ha compilado un cambio
de poltica para denegar Telnet, el cortafuegos aplica la poltica revisada a la
sesin actual y la bloquea.
Tamao de depsito de testigo de ICMPv6: predeterminado 100 testigos.
Consulte la seccin Lmite de tasa ICMPv6.
Tasa de paquetes (por segundo) de errores de ICMPv6 : Valor
predeterminado: 100. Consulte la seccin Lmite de tasa ICMPv6.
Habilitar cortafuegos IPv6: Permite funciones de cortafuegos para IPv6.
Todas las configuraciones basadas en IPv6 se ignorarn si IPv6 no se habilita.
Incluso si IPv6 est activado para una interfaz, el ajuste Cortafuegos IPv6
tambin debe estar activado para que IPv6 funcione.
Habilitar trama gigante: Seleccione esta opcin para habilitar la
compatibilidad con tramas gigantes en interfaces de Ethernet. Las tramas
gigantes tienen una unidad de transmisin mxima (MTU) de 9216 bytes y
estn disponibles en determinadas plataformas.
MTU global: Establece la unidad de transmisin mxima (MTU) disponible
globalmente; este campo est vinculado con el campo Habilitar trama
gigante.
Si no activa Habilitar trama gigante, la MTU global vuelve al valor

predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no est
especficamente configurada, estas interfaces heredarn automticamente
el tamao de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor.
Tamao mnimo de MTU para NAT64 en IPv6: Introduzca la MTU global para
el trfico IPv6 traducido. El valor predeterminado de 1280 bytes se basa en la
MTU mnima estndar para el trfico IPv6.
575
Redes
Cambio de los ajustes de sesin (Continuacin)
Ratio de sobresuscripcin NAT: Si NAT se configura como traduccin de IP

dinmica y puerto (DIPP), es posible configurar una ratio de sobresuscripcin
para multiplicar el nmero de veces que se puede usar simultneamente el
mismo par de puertos y direcciones IP traducidas. El ratio es de 1, 2, 4 u 8. El
ajuste predeterminado se basa en la plataforma del cortafuegos.
Una ratio de 1 significa que no existe ninguna sobresuscripcin; cada par
de direccin IP y puerto traducido se puede utilizar solo una vez en cada
ocasin.
Si el ajuste es Valor predeterminado de plataforma, la configuracin del
usuario de la ratio de sobresuscripcin est desactivada y se aplica la ratio
de sobresuscripcin predeterminada para la plataforma.
La reduccin de la ratio de sobresuscripcin disminuye el nmero de
traducciones de dispositivo de origen, pero proporciona ms capacidades de
regla de NAT.
Vencimiento acelerado: Activa el vencimiento acelerado de las sesiones
inactivas. Seleccione la casilla de verificacin para habilitar el vencimiento
acelerado y, si es necesario, especificar el umbral (%) y el factor de escala.
Umbral de vencimiento acelerado: Porcentaje de la tabla de sesin que
se llena cuando comienza el vencimiento acelerado. El valor
predeterminado es del 80%. Cuando la tabla de sesin alcanza este
umbral (% lleno), PAN-OS aplica el factor de escala de vencimiento
acelerado a los clculos de vencimiento de todas las sesiones.
Factor de escala de vencimiento acelerado: factor de escala usado en
los clculos de vencimiento acelerado. El factor de escala predeterminado
es 2, lo que significa que el vencimiento acelerado se produce a una
velocidad dos veces ms alta que el tiempo de espera de inactividad
configurado. El tiempo de espera de inactividad configurado dividido
entre 2 tiene como resultado un tiempo de espera ms rpido (la mitad).
Para calcular el vencimiento acelerado de la sesin, PAN-OS divide el
tiempo de inactividad configurado (para ese tipo de sesin) entre el factor
de escala para determinar un tiempo de espera ms corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesin que por lo
general vencera despus de 3600 segundos lo har 10 veces ms rpido
(en 1/10 del tiempo), es decir, 360 segundos.
Paso 3
576
Redes
DHCP
DHCP
Esta seccin describe el protocolo de configuracin de host dinmico (DHCP) y las tareas necesarias para
configurar una interfaz en un cortafuegos de Palo Alto Networks para actuar como servidor, cliente o agente
de rel de DHCP. Al asignar esas funciones a distintas interfaces, el cortafuegos puede desempear mltiples
funciones.
Descripcin general de DHCP
Mensajes DHCP
Direccin DHCP
Opciones de DHCP
Restricciones a la implementacin en Palo Alto Networks del DHCP
Configure una interfaz como servidor DHCP
Configure una interfaz como cliente DHCP
Configure una interfaz como agente de rel DHCP
Supervisin y resolucin de problemas de DHCP
Descripcin general de DHCP

DHCP es un protocolo estandarizado definido en RFC 2131, protocolo de configuracin de host dinmico.
DHCP tiene dos objetivos principales: para proporcionar los parmetros de configuracin de capa de enlace y
TCP/IP y para proporcionar direcciones de red con hosts configurados dinmicamente en la red TCP/IP.
DHCP usa un modelo cliente-servidor de comunicacin. Este modelo consta de tres funciones que puede
desempear el dispositivo: Cliente DHCP, servidor DHCP y agente de rel DHCP.
Un dispositivo que funcione como cliente DHCP (host) puede solicitar una direccin IP y otros ajustes de
configuracin al servidor DHCP. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo de
configuracin, y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que heredan
del servidor DHCP.
Un dispositivo que acta como un servidor DHCP puede atender a los clientes. Si se usa alguno de esos tres
mecanismos de Direccin DHCP, el administrador de red ahorra tiempo y tiene el beneficio de reutilizar un
nmero limitado de direcciones IP cuando un cliente ya no necesita una conectividad de red. El servidor
puede ofrecer direcciones IP y muchas opciones DHCP a muchos clientes.
Un dispositivo que acta como un agente de rel DHCP transmite mensajes DHCP entre los clientes y los
servidores DHCP.
DHCP usa protocolo de datagramas de usuario(UDP), RFC 768, como protocolo de transporte. Los mensajes DHCP
que un cliente enva a un servidor se envan al puerto conocido 67 (UDP, protocolo de arranque y DHCP).
Mensajes DHCP que un servidor enva a un cliente se envan al puerto 68.
577
DHCP
Redes
Una interfaz de un cortafuegos de Palo Alto Networks puede realizar la funcin de un servidor, un cliente o un
agente de rel DHCP. La interfaz de un servidor o agente de rel DHCP debe ser una interfaz VLAN de capa
3, Ethernet agregado o Ethernet de capa 3. El administrador de red configura las interfaces del cortafuegos con
los ajustes adecuados para cualquier combinacin de funciones. Las tareas de configuracin de cada funcin se
proporcionan en este documento.
Mensajes DHCP
DHCP usa ocho tipos de mensajes estndar, que se identifican mediante un nmero de tipo de opcin en el
mensaje DHCP. Por ejemplo, cuando un cliente quiere encontrar un servidor DHCP, difunde un mensaje
DHCPDISCOVER en su subred fsica local. Si no hay ningn servidor DHCP en su subred y si DHCP auxiliar
o un rel DHCP se configura adecuadamente, el mensaje se reenva a los servidores DHCP en una subred fsica
diferente. De lo contrario, el mensaje no avanzar ms all de la subred en la que se origina. Uno o ms
servidores DHCP respondern al mensaje DHCPOFFER que contienen una direccin de red disponible y otros
parmetros de configuracin.
Cuando el cliente necesita una direccin IP, enva un DHCPREQUEST a uno o ms servidores. Por supuesto,
si el cliente solicita una direccin IP, an no tiene una, por lo que RFC 2131 requiere que el mensaje de difusin
que enva el cliente tenga una direccin de origen de 0 en su encabezado IP.
Cuando un cliente solicita parmetros de configuracin desde un servidor, puede recibir respuestas de ms de
un servidor. Cuando un cliente ha recibido su direccin IP, se dice que el cliente tiene al menos una direccin
IP y posiblemente otros parmetros de configuracin vinculados a ella. Los servidores DHCP gestionan esa
vinculacin de parmetros de configuracin con los clientes.
La siguiente tabla enumera los mensajes de DHCP.
Mensaje DHCP
Descripcin
DHCPDISCOVER
El cliente realiza una difusin para buscar los servidores DHCP disponibles.
DHCPOFFER
La respuesta del servidor al DHCPDISCOVER del cliente, ofreciendo parmetros de

configuracin.
DHCPREQUEST
Mensaje del cliente dirigido a uno o ms servidores para hacer algo de lo siguiente:
Solicitar los parmetros a un servidor y rechazar implcitamente ofertas de otros
servidores.
Confirmar que una direccin antes asignada es correcta, por ejemplo, un reinicio del
sistema.
Extender la concesin de una direccin de red.
DHCPACK
El mensaje de reconocimiento del servidor al cliente, que contiene los parmetros de

configuracin, incluida una direccin de red confirmada.
DHCPNAK
Reconocimiento negativo del servidor al cliente, que indica que el cliente comprende
que la direccin de red es incorrecta (por ejemplo, si el cliente se mueve a una subred
nueva) o que la concesin del cliente ha vencido.
DHCPDECLINE
Mensaje de cliente a servidor que indica que la direccin de red ya se est usando.
578
Redes
DHCP
Mensaje DHCP
Descripcin
DHCPRELEASE
Mensaje de cliente a servidor que da al usuario la direccin de red y cancela el tiempo

restante de la concesin.
DHCPINFORM
Mensaje de cliente a servidor que solicita nicamente los parmetros de configuracin

local; el cliente tiene una direccin de red configurada externamente.
Direccin DHCP
Hay tres formas en que el servidor DHCP asigna o enva una direccin IP a un cliente.
Ubicacin automtica: El servidor DHCP asigna una direccin IP permanente a un cliente desde sus
Grupos de IP. En el cortafuegos, una Concesin que se especifique como Ilimitada significa que la ubicacin
es permanente.
Ubicacin dinmica: El servidor DHCP asigna una direccin IP reutilizable desde Grupos de IP de
direcciones a un cliente para un periodo mximo de tiempo, conocido como Concesin. Este mtodo de
asignacin de la direccin es til cuando el cliente tiene un nmero limitado de direcciones IP; pueden
asignarse a los clientes que necesitan solo un acceso temporal a la red. Consulte la seccin Concesiones
DHCP.
Asignacin esttica: El administrador de red selecciona la direccin IP para asignarla al cliente y el servidor
DHCP se la enva. La asignacin DHCP esttica es permanente; se realiza configurando un servidor DHCP
y seleccionando una Direccin reservada para que corresponda con la Direccin MAC del dispositivo cliente.
La asignacin DHCP contina en su lugar aunque el cliente cierre sesin, reinicie, sufra un corte de
alimentacin, etc.
La asignacin esttica de una direccin IP es til, por ejemplo, si tiene una impresora en una LAN y no desea
que su direccin IP siga cambiando porque se asocia con un nombre de impresora a travs de DNS. Otro
ejemplo es si el dispositivo cliente se usa para una funcin crucial y debe mantener la misma direccin IP
aunque el dispositivo se apague, desconecte, reinicie o sufra un corte de alimentacin, etc.
Tenga lo siguiente en cuenta cuando configure una Direccin reservada:
Es una direccin de Grupos de IP. Puede configurar mltiples direcciones reservadas.
Si no configura ninguna Direccin reservada, los clientes del servidor recibirn nuevas asignaciones de
DHCP del grupo cuando sus concesiones venzan o si se reinician, etc. (a no ser que haya especificado
que una Concesin sea Ilimitada).
Si asigna todas las direcciones de Grupos IP como una Direccin reservada, no hay direcciones dinmicas
libres para asignarlas al siguiente cliente DHCP que solicite una direccin.
Puede configurar una Direccin reservada sin configurar una Direccin MAC. En este caso, el servidor
DHCP no asignar la Direccin reservada a ningn dispositivo. Puede reservar unas direcciones del
grupo y asignarlas estticamente a un fax e impresora, por ejemplo, sin usar DHCP.
579
DHCP
Redes
Concesiones DHCP
Una concesin se define como la duracin durante la que el servidor DHCP asigna a una direccin IP para un
cliente. La concesin puede extenderse (renovarse) en las solicitudes posteriores. Si el cliente ya no necesita la
direccin, puede liberarla en el servidor antes de que la concesin termine. El servidor es entonces libre de
asignar esa direccin a un cliente distinto, si ya se le han agotado las direcciones sin asignar.
El periodo de concesin configurado para un servidor DHCP se aplica a todas las direcciones que un servidor
DHCP nico (interfaz) asigna dinmicamente a sus clientes. Es decir, todas las direcciones de interfaz asignadas
dinmicamente tienen una duracin Ilimitada o el mismo valor de Tiempo de espera. Un servidor DHCP
diferente configurado en el cortafuegos puede tener un plazo de concesin distinto para sus clientes. Una
Direccin reservada es una asignacin de direccin esttica y no est sometida a esas condiciones de concesin.
Segn el estndar DHCP, RFC 2131, un cliente DHCP no espera a que la concesin venza, ya que se arriesga a
que se le asigne una nueva direccin. En su lugar, cuando un cliente DHCP alcanza el punto medio de su periodo
de concesin, intenta extenderla para conservar la misma direccin IP. As, la duracin de la concesin es como
una ventana corredera.
Por lo general, si se ha asignado una direccin IP a un dispositivo, y este se saca de la red sin prolongar su
concesin, el servidor dejar que esa concesin se agote. Como el cliente ha salido de la red y ya no necesita la
direccin, se alcanza la duracin de la concesin del servidor y la concesin pasa al estado Expirado.
El cortafuegos tiene un temporizador de espera que evita que la direccin IP expirada se reasigne
inmediatamente. Este sistema reserva temporalmente la direccin para el dispositivo en caso de que vuelva a la
red. Pero si el grupo de direcciones se queda sin direcciones, el servidor reubicar esta direccin expirada antes
de que se termine el temporizador de espera. Las direcciones expiradas se borran automticamente a medida
que los sistemas necesitan ms direcciones o cuando el temporizador de espera las libera.
En la CLI, use el comando operativo show dhcp server lease para ver la informacin de concesin
de las direcciones IP asignadas. Si no desea esperar a que las concesiones expiradas se liberen automticamente,
puede usar el comando clear dhcp lease interface value expired-only para borrar las
concesiones expiradas, hacindolas de nuevo disponibles en el grupo. Puede usar el comando clear dhcp
lease interface value ip ip para liberar una direccin IP concreta. Puede usar el comando clear
dhcp lease interface value mac direccin_mac para liberar una direccin MAC concreta.
Opciones de DHCP
La historia del DHCP y sus opciones DHCP se remonta al protocolo de arranque (BOOTP). Un host us
BOOTP para configurarse dinmicamente durante su procedimiento de arranque. El host reciba una direccin
IP y un archivo desde el que descargaba un programa de arranque desde un servidor, junto con la direccin del
servidor y la direccin de la puerta de enlace de Internet.
En el BOOTP inclua un campo de informacin del proveedor, que contena un nmero de campos etiquetados
con distintos tipos de informacin como la mscara de subred, el tamao del archivo BOOTP y muchos otros
valores. RFC 1497 describe las extensiones de informacin de proveedor BOOTP.
Estas extensiones llegan a expandirse con el uso de los parmetros de configuracin de host DHCP y DHCP,
conocidos como opciones. Al igual que las extensiones de proveedor, las opciones de DHCP son elementos de
datos etiquetados que proporcionan informacin a un cliente DHCP. La opciones se envan en un campo de
580
Redes
DHCP
longitud variable al final de un mensaje DHCP. Por ejemplo, el tipo de mensaje DHCP es la opcin 53, y un
valor de 1 indica un mensaje DHCPDISCOVER. Las opciones DHCP se definen en RFC 2132, las opciones
de DHCP y las extensiones de proveedores de BOOTP.
Un cliente DHCP puede negociar con el servidor, limitndolo a enviar solo esas opciones que solicita el cliente.
El cortafuegos de Palo Alto Networks admite un subconjunto de opciones DHCP estndar para su
implementacin del servidor DHCP. Dichas opciones se configuran en el servidor DHCP y se envan a los
clientes que envan una DHCPREQUEST al servidor. Se dice que los clientes heredan e implementan las
opciones que estn programados para aceptar. El cortafuegos admite las siguientes opciones predefinidas en sus
servidores DHCP, que se muestran en el orden en que aparecen en la pantalla de configuracin del servidor
DHCP:
Opcin de DHCP
Nombre de opcin de DHCP
51
Duracin de la concesin
Puerta de enlace
Subred de grupo de IP (mscara)
Direccin de servidor del Sistema de nombres de dominio (DNS) (primaria y secundaria)
44
Direccin de servidor del Servicio de nombres Internet de Windows (WINS) (primaria y

secundaria)
41
Direccin de servidor del Servicio de informacin de la red (NIS) (primaria y secundaria)
42
Direccin de servidor del protocolo de tiempo de redes(NTP) (primaria y secundaria)
70
Direccin de servidor del Protocolo de oficina de correo Versin 3 (POP3)
69
Direccin de servidor del Protocolo simple de transferencia de correo (SMTP).
15
Sufijo DNS
Restricciones a la implementacin en Palo Alto Networks del DHCP
El estndar DHCP, RFC 2131, se ha diseado para admitir direcciones IPv4 e IPv6. Las implementaciones
de Palo Alto Networks del servidor DHCP y el cliente DHCP solo admiten direcciones IPv4. Su
implementacin del rel DHCP admite IPv4 e IPv6.
El cliente DHCP no es compatible en el modo HA activo/activo.
El cortafuegos admite el servidor DHCPv4 y el rel DHCPv6. Sin embargo, una nica interfaz no admite el
servidor DHCPv4 y el rel DHCPv6.
El DHCP sustituye a BOOTP; no se admite BOOTP
581
DHCP
Redes

Los requisitos previos de esta tarea son:
Ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3.

Cree una interfaz de tnel y vinclela a un enrutador virtual y una zona.
Conoce un grupo vlido de direcciones IP de su plan de red que puede designarse para que su servidor
DHCP lo asigne a los clientes.
Realice la siguiente tarea para configurar una interfaz en el cortafuegos para que acte como servidor DHCP.
Puede configurar mltiples direcciones DHCP.
Paso 1
Seleccione una interfaz para que sea un

servidor DHCP.
1.
Seleccione Red > DHCP > Servidor DHCP y haga clic en Aadir.
2.
Introduzca un nombre de Interfaz seleccione una de la lista

desplegable.
3.
En Modo, seleccione habilitado o modo auto. El modo

automtico activa el servidor y lo desactiva si se detecta otro
servidor DHCP en la red. El ajuste habilitado desactiva el
servidor.
4.
Tambin puede hacer clic en Hacer ping a la IP al asignar IP

nuevas si desea que el servidor haga ping a la direccin IP antes
de asignarla a su cliente.
Si el ping recibe una respuesta, significar que ya hay
un dispositivo diferente con esa direccin, por lo que
no est disponible para su asignacin. El servidor
asigna la siguiente direccin desde el grupo. Este
comportamiento es similar a Duplicar deteccin de
direccin (DAD) para IPv6, RFC 4429.
Tras definir las opciones y volver a la pestaa del
servidor DHCP, la columna Rastrear IP de la
interfaz indicar si esta casilla de verificacin estaba
seleccionada.
582
Redes
DHCP
Configure una interfaz como servidor DHCP (Continuacin)
Paso 2
Configure las Opciones de DHCP que el En la seccin Opciones, seleccione un tipo de Concesin.
servidor enva a sus clientes.
El ajuste Ilimitada provoca que el servidor seleccione
dinmicamente direcciones IP desde los Grupos IPy los asigne
de forma permanente a los clientes.
Tiempo de espera determina cunto durar esa concesin.
Introduzca el nmero de Das y Horas y, opcionalmente, el
nmero de Minutos.
Origen de herencia: Deje Ninguno o seleccione una interfaz de
cliente DHCP de origen o una interfaz de cliente PPPoE para
propagar distintos ajustes de servidor en el servidor de DHCP. Si
especifica un Origen de herencia, seleccione una o varias opciones
que desee como heredadas desde este origen.
Entre los beneficios de especificar un origen de herencia se
encuentra que rpidamente aade los opciones DHCP desde el
servidor de subida del cliente DHCP de origen. Tambin mantiene
actualizadas las opciones de cliente si el origen cambia una opcin.
Por ejemplo, si el origen sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente heredar
automticamente la nueva direccin como su nuevo servidor NTP
principal.
Comprobar estado de origen de herencia: si ha seleccionado
Origen de herencia, al hacer clic en este enlace se abrir la ventana
Estado de interfaz de IP dinmica que muestra las opciones que
se han heredado desde el cliente DHCP.
Puerta de enlace: la direccin IP de la puerta de enlace de la red
(una interfaz en el cortafuegos) que se usa para llegar a cualquier
dispositivo que no est en la misma LAN que este servidor DHCP.
Subred de grupo de IP: Mscara de red que se aplica a las
direcciones del campo Grupos de IP.
583
DHCP
Redes
En los siguientes campos, haga clic en la flecha hacia abajo y

seleccione Ninguno o heredado, o introduzca una direccin IP de
servidor remoto que su servidor DHCP enviar a los clientes para
acceder a ese servicio. Si ha seleccionado heredado, el servidor
DHCP hereda los valores desde el cliente DHCP de origen,
especificado como Origen de herencia.
El servidor DHCP enva estos ajustes a sus clientes.
DNS principal, DNS secundario: Direccin IP de los servidores
del sistema de nombres de dominio (DNS) preferidos y
alternativos.
WINS principal, WINS secundario: Introduzca la direccin IP de
los servidores Windows Internet Naming Service (WINS)
preferidos y alternativos.
NIS principal, NIS secundario: Introduzca la direccin IP de los
servidores del Servicio de informacin de la red (NIS) preferidos
y alternativos.
NTP principal, NTP secundario: Direccin IP de los servidores
del protocolo de tiempo de redes disponibles.
Servidor POP3: Introduzca la direccin IP del servidor Post
Office Protocol (POP3).
Servidor SMTP: Introduzca la direccin IP del servidor del
protocolo simple de transferencia de correo (SMTP).
Sufijo DNS: Sufijo para que el cliente lo use localmente cuando se
introduce un nombre de host sin cualificar que no puede
resolverse.
Paso 3
Identifique el grupo de direcciones IP de 1.

estado desde el que servidor DHCP
selecciona una direccin y la asigna a un
cliente DHCP.
Si no es el administrador de su
red, pdale a l un grupo vlido de
direcciones IP de su plan de red 2.
que puede designarse para que su
servidor DHCP lo asigne.
584
En el campo Grupos IP, haga clic en Agregar e introduzca el

intervalo de direcciones IP desde el que este servidor asigna una
direccin a un cliente. Introduzca una subred IP y una mscara
de subred (por ejemplo, 192.168.1.0/24) o un intervalo de
direcciones IP (por ejemplo, 192.168.1.10-192.168.1.20). Se
necesita al menos un grupo de IP.
Tambin puede repetir el Paso 1 para especificar otro grupo de
direcciones IP.
Redes
DHCP
Paso 4
Paso 5
(Opcional) Especifique una direccin IP 1.

de los grupos IP que no se asignarn
2.
dinmicamente. Si especifica tambin una
Direccin MAC, la Direccin reservada
3.
se asigna a ese dispositivo cuando el
dispositivo solicita una direccin IP a
travs de DHCP.
4.
Consulte la seccin Direccin
DHCP si desea una explicacin
de la asignacin de una Direccin
reservada.
En el campo Direccin reservada, haga clic en Aadir.

Introduzca una direccin IP desde Grupos IP (formato x.x.x.x)
que no desea que se asigne dinmicamente al servidor DHCP.
De forma opcional, especifique direccin MAC (formato
xx:xx:xx:xx:xx:xx) del dispositivo al que desea asignar de forma
permanente la direccin IP especificada en el paso 2.
Tambin puede repetir los pasos 2-3 para reservar otra
direccin.
Haga clic en ACEPTAR y seleccione Confirmar el cambio.

Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegrese de que ha configurado una
interfaz Ethernet de capa 3 o VLAN de capa 3, y la interfaz se asigna a una zona y un enrutador virtual. Realice
esta tarea si quiere usar DHCP para solicitar una direccin IPv4 para una interfaz en un cortafuegos.
585
DHCP
Redes
Paso 1
Configure una interfaz como cliente

DHCP.
1.
Seleccione Red > Interfaces.
2.
En la pestaa Ethernet o VLAN, haga clic en Aadir e

introduzca una interfaz o haga clic en una interfaz configurada
que puede que sea un cliente DHCP.
A continuacin se muestra la pantalla Interfaz Ethernet:
3.
Haga clic en la pestaa IPv4; dentro de Tipo, seleccione Cliente

DHCP.
4.
5.
Tambin puede seleccionar la casilla de verificacin Crear

automticamente ruta predeterminada que apunte a la
puerta de enlace predeterminada proporcionada por el
servidor. Esto provoca que el cortafuegos cree una ruta esttica
a una puerta de enlace predeterminada que ser til cuando los
clientes intenten acceder a muchos destinos que no necesitan
mantener rutas en una tabla de enrutamiento en el cortafuegos.
6.
Una opcin es introducir una Mtrica de ruta predeterminada

(nivel de prioridad) para la ruta entre el cortafuegos y el servidor
de actualizacin. Un ruta con un nmero ms bajo tiene una
prioridad alta durante la seleccin de la ruta. Por ejemplo, una
ruta con una mtrica de 10 se usa antes que una ruta con una
mtrica de 100. El intervalo es de 1-65535. No hay un valor de
mtrica predeterminado.
7.
Tambin puede hacer clic en Mostrar informacin de tiempo

de ejecucin de cliente DHCP para ver todos los ajustes que el
cliente ha heredado desde su servidor DHCP.
Paso 2

Ahora la interfaz Ethernet indica Cliente DHCP dinmico en su
campo Direccin IP en la pestaa Ethernet.
Paso 3
586
(Opcional) Vea qu interfaces del

cortafuegos se han configurado como
clientes DHCP.
1.
Seleccione Red > Interfaces> Ethernet y busque en el campo

Direccin IP para ver qu interfaces indica el cliente DHCP.
2.
Seleccione Red > Interfaces> VLAN y busque en el campo

Direccin IP para ver qu interfaces indica el cliente DHCP.
Redes
DHCP

Antes de configurar una interfaz de cortafuegos como un agente de rel DHCP, asegrese de que ha configurado
una interfaz Ethernet de capa 3 o VLAN de capa 3, y la interfaz se asigna a una zona y un enrutador virtual. Si
quiere que la interfaz pueda pasar mensajes DHCP entre los clientes y los servidores DHCP. La interfaz puede
reenviar mensajes a un mximo de cuatro servidores DHCP externos. Un mensaje de DHCPDISCOVER del
cliente se enva a todos los servidores configurados, y el mensaje DHCPOFFER del primer servidor que
responde se retransmite al cliente que origin la peticin.
Realice la siguiente tarea para configurar una interfaz en el cortafuegos para que acte como agente de rel
DHCP:
Paso 1
Seleccione Retransmisin DHCP.
Paso 2
Especifique la direccin IP del servidor 1.

DHCP con el que se comunicar el agente
del rel DHCP.
2.
Paso 3
Seleccione Red > DHCP > Rel DHCP.

En el campo Interfaz, seleccione en la lista desplegable la
interfaz que desea que sea el agente de rel DHCP.
Seleccione la casilla de verificacin IPv4 o IPv6 e indique el tipo
de direccin del servidor DHCP que va a especificar.
3.
Si selecciona IPv4, en el campo Direccin IP de servidor DHCP

y haga clic en Aadir. Introduzca la direccin del servidor
DHCP desde donde y hacia donde retransmitir los mensajes
DHCP.
4.
Si selecciona IPv6, en el campo Direccin IP de servidor IPv6 y

haga clic en Aadir. Introduzca la direccin del servidor DHCP
desde donde y hacia donde retransmitir los mensajes DHCP. Si
especifica una direccin multidifusin, especifique tambin una
Interfaz saliente.
5.
Tambin puede repetir los pasos 2-4 para introducir un mximo

de cuatro direcciones de servidor DHCP.
Supervisin y resolucin de problemas de DHCP

Puede visualizar el estado de las concesiones de direccin dinmica que su servidor DHCP ha asignado
enviando comandos desde la CLI. Tambin puede eliminar concesiones antes de que caduquen y se liberen
automticamente. Si desea conocer la sintaxis de comandos completa, consulte la Gua de referencia de la interfaz
de lnea de comandos de PAN-OS.
Ver informacin de servidor DHCP principal
Borrado de concesiones antes de que caduquen automticamente
Ver informacin de cliente DHCP
Recopilacin de resultados de depuracin sobre DHCP
587
DHCP
Redes
Ver informacin de servidor DHCP principal

Use el siguiente comando para ver las estadsticas del grupo DHCP, las direcciones IP que ha asignado el
servidor, la direccin MAC correspondiente, el estado y la duracin de la concesin y la hora a la que empez
la concesin. Si la direccin se ha configurado como Direccin reservada, la columna estado indica
reserved y no se indican duration ni lease_time. Si la concesin se configur como Ilimitada, la
columna duration se mostrar con un valor de 0.
admin@PA-200> show dhcp server
interfaz: "ethernet1/2"
Allocated IPs: 1, Total number of
ip
mac
192.168.3.11
f0:2f:af:42:70:cf
admin@PA-200>
lease all
IPs in pool: 5. 20.0000% used
state
duration
lease_time
committed 0
Wed Jul 2 08:10:56 2014
Para ver las opciones que un servidor DHCP ha asignado a los clientes, use el siguiente comando:
admin@PA-200> show dhcp server settings all
Interface
GW
DNS1
DNS2
DNS-Suffix
Inherit source
------------------------------------------------------------------------------------ethernet1/2
192.168.3.1
10.43.2.10
10.44.2.10
ethernet1/3
admin@PA-200>
Borrado de concesiones antes de que caduquen automticamente

El siguiente ejemplo muestra cmo liberar las Concesiones DHCP vencidas de una interfaz (servidor) antes de
que el temporizador las libere automticamente. Estas direcciones volvern a estar disponibles en el grupo IP.
admin@PA-200> clear dhcp lease interface ethernet1/2 expired-only
El siguiente ejemplo muestra el modo de liberar una direccin IP concreta:

admin@PA-200> clear dhcp lease interface ethernet1/2 ip 192.168.3.1
El siguiente ejemplo muestra el modo de liberar una direccin MAC concreta:

admin@PA-200> clear dhcp lease interface ethernet1/2 mac f0:2c:ae:29:71:34
Ver informacin de cliente DHCP

Para ver el estado de las concesiones de direccin IP enviadas al cortafuegos cuando acta como cliente DHCP,
use el comando show dhcp client state nombre_interfaz o el siguiente comando:
admin@PA-200> show dhcp client state all
Interface
State
IP
Gateway
Leased-until
--------------------------------------------------------------------------ethernet1/1
Bound
10.43.14.80
10.43.14.1
70315
admin@PA-200>
Recopilacin de resultados de depuracin sobre DHCP

Para reunir los resultados de la depuracin sobre DHCP, utilice uno de los siguientes comandos:
admin@PA-200> debug dhcpd
admin@PA-200> debug management-server dhcpd
588
Redes
NAT
NAT
Esta seccin describe la traduccin de direcciones de red (NAT) y cmo configurar las reglas y funciones
de NAT.
Objetivo del NAT
Reglas NAT y polticas de seguridad
NAT de origen y destino
Capacidades de regla NAT
Sobresuscripcin de NAT de IP dinmica y puerto
Estadsticas de memoria NAT de plano de datos
Configuracin de NAT
Objetivo del NAT

NAT se introdujo para solucionar el problema de organizaciones que no tienen asignadas suficientes direcciones
IPv4 pblicas globalmente enrutables mediante la autoridad de asignacin de nmeros de Internet (IANA) o
un registro regional de Internet. NAT traduce la direcciones IPv4 privadas y no enrutables a una o ms
direcciones IPv4 globalmente enrutables, conservando as las direcciones IP enrutables de una direccin.
El uso de NAT se ha expandido desde su origen. Por ejemplo, NAT se usa como modo de no revelar las
direcciones IP reales de los hosts que necesitan acceso a las direcciones pblicas. Tambin se usa para gestionar
el trfico mediante una transmisin del puerto. La opcin NAT64 traduce entre direcciones IPv6 y IPv4, por lo
que ofrece conectividad entre las redes con esquemas de direcciones IP distintas y ofrece conectividad entre las
redes mediante esquemas de direcciones IP distintas y una ruta de migracin hacia las direcciones IPv6.
PAN-OS permite todos esos usos.
Cuando utilice direcciones IP privadas en sus redes internas, deber utilizar NAT para traducir las direcciones
privadas en direcciones pblicas que puedan enrutarse a redes externas. En PAN-OS, cree reglas de poltica
NAT que indican al cortafuegos qu direcciones de paquetes necesitan traduccin y cules son las direcciones
traducidas.
Reglas NAT y polticas de seguridad

Puede configurar una regla NAT que coincida con una zona de origen del paquete y una zona de destino, como
mnimo. Adems de las zonas, puede configurar criterios equivalentes basados en la interfaz de destino del
paquete, la direccin de origen y destino y servicio. Puede configurar mltiples reglas NAT. El cortafuegos
evala las reglas en orden de arriba abajo. Cuando un paquete compara los criterios de una nica regla NAT, el
paquete no est sujeto a reglas NAT adicionales. Por ello, su lista de reglas NAT debe estar en orden de ms a
menos especfico de modo que los paquetes estn sujetos a la regla ms especfica que haya creado para ellos.
Es importante comprender la lgica del flujo del cortafuegos cuando se aplica a las de polticas de seguridad y
reglas NAT, de modo que pueda determinar qu reglas necesita en funcin de las zonas que ha definido.
589
NAT
Redes
En la entrada, el cortafuegos examina el paquete y enruta la bsqueda para determinar la interfaz de salida y la
zona. Entonces el cortafuegos determina si el paquete coincide con alguna de las reglas de NAT que se han
definido, basndose en la zona de origen o destino. A continuacin, evala y aplica las polticas de seguridad que
coincidan con el paquete basndose en las direcciones de origen y destino originales (anteriores a NAT), pero
en las zonas posteriores a NAT. Por ltimo, en la salida cuando una de las reglas NAT coincide, el cortafuegos
traduce las direcciones y nmeros de puerto de la fuente y el destino.
Tenga en cuenta que la traduccin de la direccin IP y el puerto no se produce hasta que el paquete sale del
cortafuegos. Las reglas y polticas de seguridad NAT se aplican a la direccin IP original (la direccin anterior a
NAT). Una regla NAT se configura en funcin de la zona asociada con una direccin IP anterior a NAT.
Las polticas de seguridad difieren de las reglas NAT en que examinan las zonas anteriores a NAT para
determinar si se permite o no el paquete. Como la naturaleza de NAT es modificar las direcciones IP de fuente
o destino, lo que puede provocar que se modifique la zona y la interfaz saliente del paquete, las polticas de
seguridad se aplican en la zona posterior a NAT.
Grupos de direcciones identificados como objetos de direcciones

Cuando se configura un grupo de direcciones IP NAT, lo normal es identificarlo como objeto de direccin.
Puede tratarse de una direccin IP de host, un intervalo de direcciones IP o una subred IP. Como tanto las reglas
NAT como las polticas de seguridad usan objetos de direccin, lo mejor es distinguirlas nombrando al objeto
de direccin que se use para NAT con un prefijo, por ejemplo NAT-nombre.
NAT de origen y destino

El cortafuegos admite tanto la traduccin de puerto y/o direccin de origen como la traduccin de puerto y/o
direccin de destino. Para obtener informacin ms detallada sobre los diferentes tipos de reglas de NAT,
consulte Understanding and Configuring NAT Tech Note (Nota tcnica sobre la comprensin y configuracin de NAT).
NAT de origen
Los usuarios internos suelen usar el NAT de origen para acceder a Internet; la direccin de origen de traduce y
se mantienen en privado. Hay tres tipos de NAT de origen:
IP y puerto dinmico (DIPP): Permite que mltiples hosts traduzcan sus direcciones IP de origen a la
misma direccin IP pblica con distintos nmeros de puerto. La traduccin dinmica es a la siguiente
direccin disponible en el grupo de direcciones NAT, que configura como un grupo de Direccin traducida
para direccin IP, intervalo de direcciones, subred o combinacin de todas.
Como alternativa a la siguiente direccin en el grupo de direcciones NAT, el DIPP le permite especificar la
direccin de la propia Interfaz. La ventaja de especificar la interfaz de la regla NAT es que la regla NAT se
actualizar automticamente para utilizar cualquier direccin que adquiera la interfaz a continuacin.
DIPP tiene una ratio predeterminada de sobresuscripcin NAT, es decir, el nmero de ocasiones en las que
el mismo par de direccin IP y puerto traducido se pueden usar de forma simultnea. Para obtener ms
informacin, consulte Sobresuscripcin de NAT de IP dinmica y puerto y Modificacin de la ratio de
sobresuscripcin para NAT DIPP.
590
Redes
NAT
IP dinmica: Permite una traduccin dinmica 1 a 1 de una direccin IP de origen nicamente (sin nmero
de puerto) a la siguiente traduccin disponible en el grupo de direcciones NAT. Por defecto, si el grupo de
direcciones de origen es mayor que el de direcciones NAT y en un momento dado se asignan todas las
direcciones NAT, se descartan las nuevas conexiones que necesiten una traduccin de la direccin. El
comportamiento predeterminado puede cambiarse haciendo clic en Avanzado (IP dinmica/traduccin de
puerto), que provoca que se usen direcciones DIPP cuando sea necesario. En cualquiera de los dos casos, a
medida que las sesiones terminan y las direcciones en el grupo estn disponibles, pueden asignarse para
traducir nuevas conexiones.
IP esttica: Permite la traduccin esttica 1 a 1 de una direccin IP de origen, pero deja el puerto de origen
sin modificar. Una situacin comn en la que se traduce una IP esttica es un servidor interno que debe estar
disponible en Internet.
NAT de destino
El NAT de destino se realiza en los paquetes entrantes, cuando el cortafuegos traduce una direccin de destino
pblica a una privada. El NAT de destino no usa intervalos ni grupos de direcciones. Es una traduccin esttica
1 a 1 con la opcin de realizar reenvo o traduccin de puertos.
IP esttica: Permite la traduccin esttica 1 a 1 de una direccin IP de destino y opcionalmente el nmero

de puerto.
Un uso comn del NAT de destino es configurar varias reglas NAT que asignen una direccin de destino pblica
nica a varias direcciones de destino privadas a servidores o servicios. Por ejemplo:
Reenvo de puertos: Puede traducir una direccin de destino pblica y un nmero de puerto a una
direccin de destino privada, pero mantiene el mismo nmero de puerto.
Traduccin de puertos: Puede traducir una direccin de destino pblica y un nmero de puerto a una
direccin de destino privada y un nmero de puerto distinto, con lo que el nmero de puerto real es
privado. Se configura introduciendo un Puerto traducido en la pestaa Paquete traducido de la regla de
poltica de NAT.
Capacidades de regla NAT

El nmero de reglas NAT permitido se basa en la plataforma del cortafuegos. Los lmites de reglas individuales
se definen para la NAT de IP dinmica (DIP) e IP dinmica y puerto (DIPP). La suma del nmero de reglas
usadas para estos tipos de NAT no puede superar la capacidad total de reglas NAT. Para DIPP, el lmite de regla
se basa en el ajuste de sobresuscripcin del dispositivo (8, 4, 2 o 1) y la adopcin de una direccin IP traducida
por regla. Para ver lmites de reglas NAT y lmites de direcciones IP traducidas especficos de cada plataforma,
use la herramienta Comparar cortafuegos.
Considere lo siguiente cuando trabaje con reglas NAT:
Si se queda sin recursos de grupo no podr crear ms reglas NAT aunque no se haya alcanzado el recuento
mximo de reglas de la plataforma.
Si consolida las reglas NAT, los logs e informes se consolidarn tambin. Las estadsticas se proporcionan por
regla, no para todas las direcciones de la regla. Si necesita logs e informes granulares, no combine las reglas.
591
NAT
Redes
Sobresuscripcin de NAT de IP dinmica y puerto

El NAT de IP dinmica y puerto (DIPP) le permite usar cada par de direccin IP y puerto traducidos mltiples
veces (8, 4 o 2 veces) en sesiones simultneas. Esta capacidad de reutilizacin de una direccin IP y puerto
(conocida como sobresuscripcin) ofrece escalabilidad a los clientes que tengan muy pocas direcciones IP
pblicas. El diseo se basa en el supuesto de que los hosts se conectan a distintos destinos, por lo que las
sesiones pueden identificarse de forma nica, con pocas posibilidades de colisiones. En efecto, la ratio de
sobresuscripcin multiplica el tamao original del grupo de direcciones/puertos por 8, por 4 o por 2. Por
ejemplo, el lmite predeterminado de 64 000 sesiones simultneas, si se multiplica por una ratio de
sobresuscripcin de 8, da lugar a 512 000 sesiones simultneas.
Las ratios de sobresuscripcin permitidas varan segn la plataforma. La ratio de sobresuscripcin es global: se
aplica al dispositivo. Esta ratio de sobresuscripcin se define por defecto y consume memoria, aunque tenga
disponibles suficientes direcciones IP pblicas para que la sobresuscripcin sea innecesaria. Puede reducir la
ratio del ajuste predeterminado a una inferior, o incluso a 1 (que significa sin sobresuscripcin). Al configurar
una ratio reducida, est reduciendo el nmero de traducciones de dispositivo de origen posibles, pero
aumentando la capacidad de reglas NAT DIP y DIPP. Para cambiar la ratio predeterminada, consulte
Modificacin de la ratio de sobresuscripcin para NAT DIPP.
Si selecciona Valor predeterminado de plataforma, se desactivar su configuracin explcita de la sobresuscripcin
y se aplicar la predeterminada para la plataforma, tal y como se muestra en la siguiente tabla. El ajuste Valor
predeterminado de plataforma le permite actualizar la licencia de software o cambiar a una menor.
La siguiente tabla muestra la ratio de sobresuscripcin predeterminada (ms alta) para cada plataforma.
Plataforma
Ratio de sobresuscripcin predeterminada
PA-200
PA-500
PA-2020
PA-2050
PA-3020
PA-3050
PA-3060
PA-4020
PA-4050
PA-4060
PA-5020
PA-5050
PA-5060
PA-7050
VM-100
VM-200
VM-300
VM-1000-HV
592
Redes
NAT
El cortafuegos admite un mximo de 256 direcciones IP traducidas por regla NAT, y cada plataforma admite un
nmero mximo de direcciones IP traducidas (para todas las reglas NAT combinadas). Si la sobresuscripcin provoca
que se supere el mximo de direcciones traducidas por regla (256), el cortafuegos reducir automticamente la tasa de
sobresuscripcin en un intento de que funcione la compilacin. Sin embargo, si sus reglas NAT generan traducciones
que superan el mximo de direcciones traducidas para la plataforma, la compilacin fallar.
Estadsticas de memoria NAT de plano de datos

El comando show running global-ippool muestra estadsticas relacionadas con el consumo de
memoria NAT de un grupo. La columna Tamao muestra el nmero de bytes de memoria que est usando el
grupo de recursos. La columna Tasa muestra la tasa de sobresuscripcin (solo para grupos DIPP). Las lneas de
grupos y estadsticas de memoria se explican en los siguientes resultados de muestras:
Para las estadsticas de grupo NAT de un sistema virtual, el comando show running ippool tiene
comandos que indican el tamao de memoria usado por la regla NAT y la tasa de sobresuscripcin usada (para
reglas DIPP). La siguiente es una muestra de resultados del comando.
Un campo del resultado del comando show running nat-rule-ippool rule muestra la memoria
(bytes) usada por regla NAT. El siguiente es una ejemplo de resultados del comando con el uso de memoria de
la regla rodeado.
593
NAT
Redes
Configuracin de NAT
Realice las siguientes tareas para configurar varios aspectos del NAT.
Traduccin de direcciones IP de clientes internos a su direccin IP pblica
Habilitacin de clientes de la red interna para acceder a sus servidores pblicos
Habilitacin de la traduccin de direcciones bidireccional para sus servidores pblicos
Modificacin de la ratio de sobresuscripcin para NAT DIPP
Desactivacin de NAT para un host o interfaz especfico
El ejemplo de NAT de esta seccin se basa en la siguiente topologa, que tambin se usaba en Primeros pasos
para configurar interfaces y zonas:
Basndose en la topologa que utilizamos inicialmente en Primeros pasos para crear las interfaces y las zonas,
hay tres polticas NAT que necesitamos crear de la manera siguiente:
594
Redes
NAT
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas debern traducirse a direcciones enrutables pblicamente. En este caso, configuraremos NAT de
origen, utilizando la direccin de interfaz de salida, 203.0.113.100, como la direccin de origen en todos los
paquetes que salgan del cortafuegos desde la zona interna. Consulte Traduccin de direcciones IP de clientes
internos a su direccin IP pblica para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web pblico en la zona DMZ,
necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la bsqueda de
tabla de enrutamiento original determinar que debe ir, basndose en la direccin de destino de 203.0.113.11
dentro del paquete, a la direccin real del servidor web de la red DMZ de 10.1.1.11. Para ello, deber crear
una regla NAT desde la zona fiable (donde se encuentra la direccin de origen del paquete) hasta la zona no
fiable (donde se encuentra la direccin de destino) para traducir la direccin de destino a una direccin de la
zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitacin de clientes
de la red interna para acceder a sus servidores pblicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una direccin IP privada en la red DMZ como una
direccin pblica para que accedan usuarios externos) enve y reciba solicitudes, el cortafuegos debe traducir
los paquetes entrantes desde la direccin IP pblica hacia la direccin IP privada y los paquetes salientes
desde la direccin IP privada hacia la direccin IP pblica. En el cortafuegos, puede conseguir esto con una
nica poltica NAT de origen esttico bidireccional. Consulte Habilitacin de la traduccin de direcciones
bidireccional para sus servidores pblicos.
595
NAT
Redes
Traduccin de direcciones IP de clientes internos a su direccin IP pblica

Cuando un cliente de su red interna enva una solicitud, la direccin de origen del paquete contiene la direccin
IP del cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del cliente no se
podrn enrutar en Internet a menos que traduzca la direccin IP de origen de los paquetes que salen de la red
a una direccin enrutable pblicamente.
En el cortafuegos, puede realizar esta accin configurando una poltica NAT de origen que traduzca la direccin
de origen y opcionalmente el puerto a una direccin pblica. Un modo de hacerlo es traducir la direccin de
origen de todos los paquetes a la interfaz de salida de su cortafuegos, como se muestra en el procedimiento
siguiente.
Configuracin de NAT de origen
Paso 1
Cree un objeto de direccin para la

direccin IP externa que tenga la
intencin de utilizar.
1.
Seleccione Objetos > Direcciones y, a continuacin, haga clic en

Aadir.
2.
Introduzca un Nombre y opcionalmente una Descripcin para

el objeto.
3.
Seleccione Mscara de red IP en el men desplegable Tipo y, a

continuacin, introduzca la direccin IP de la interfaz externa en
el cortafuegos, 203.0.113.100 en este ejemplo.
4.
Para guardar el objeto de direccin, haga clic en Aceptar.

Aunque no tiene que utilizar objetos de direccin en sus
polticas, es una prctica recomendada porque simplifica la
administracin al permitirle realizar actualizaciones en un
lugar en vez de tener que actualizar cada poltica donde se
hace referencia a la direccin.
596
Redes
NAT
Configuracin de NAT de origen (Continuacin)
Paso 2
Paso 3
Cree la poltica NAT.
1.
Seleccione Polticas > NAT y haga clic en Aadir.
2.
En la pestaa General, introduzca un Nombre para la poltica.
3.
En la pestaa Paquete original, seleccione la zona que cre

para su red interna en la seccin Zona de origen (haga clic en
Aadir y, a continuacin, seleccione la zona) y la zona que cre
para la red externa en el men desplegable Zona de destino.
4.
En la pestaa Paquete traducido, seleccione IP dinmica y

puerto en el men desplegable Tipo de traduccin en la seccin
Traduccin de direccin de origen de la pantalla y, a
5.
Seleccione el objeto de direccin que acaba de crear.
6.
Haga clic en Aceptar para guardar la poltica NAT.
597
NAT
Redes
Habilitacin de clientes de la red interna para acceder a sus servidores pblicos

Cuando un usuario de la red interna enve una solicitud para acceder al servidor web corporativo en DMZ, el
servidor DNS se resolver en la direccin IP pblica. Al procesar la solicitud, el cortafuegos utilizar el destino
original del paquete (la direccin IP pblica) y enrutar el paquete a la interfaz de salida para la zona no fiable.
Para que el cortafuegos sepa que debe traducir la direccin IP pblica del servidor web a una direccin de la red
DMZ cuando reciba solicitudes de usuarios en la zona fiable, deber crear una regla NAT de destino que permita
al cortafuegos enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.
Configuracin de NAT de ida y vuelta
Paso 1
Paso 1
598
Cree un objeto de direccin para el 1.

servidor web.

Aadir.
2.
Introduzca un Nombre y opcionalmente una Descripcin para el

objeto.
3.

continuacin, introduzca la direccin IP pblica del servidor web,
203.0.113.11 en este ejemplo.
4.
1.
2.
En la pestaa General, introduzca un Nombre para la regla NAT.
3.
En la pestaa Paquete original, seleccione la zona que cre para su

red interna en la seccin Zona de origen (haga clic en Aadir y, a
continuacin, seleccione la zona) y la zona que cre para la red externa
en el men desplegable Zona de destino.
4.
En la seccin Direccin de destino, haga clic en Aadir y seleccione el

objeto de direccin que cre para su servidor web pblico.
Redes
NAT
Configuracin de NAT de ida y vuelta (Continuacin)
Paso 2
5.
En la pestaa Paquete traducido, seleccione la casilla de verificacin

Traduccin de direccin de destino y, a continuacin, introduzca la
direccin IP asignada a la interfaz del servidor web de la red DMZ,
10.1.1.11 en este ejemplo.
6.
Habilitacin de la traduccin de direcciones bidireccional para sus servidores pblicos

Cuando sus servidores pblicos tengan direcciones IP privadas asignadas en el segmento de red en el que se
encuentran fsicamente, necesitar una regla NAT de origen para traducir la direccin de origen del servidor a
la direccin externa en el momento de la salida. Puede crear una regla NAT esttica para traducir la direccin
de origen interna, 10.1.1.11, a la direccin del servidor web externa, 203.0.113.11 en nuestro ejemplo.
Sin embargo, un servidor orientado al pblico debe ser capaz de enviar y recibir paquetes. Necesita una poltica
recproca que traduzca la direccin pblica (la direccin IP de destino en paquetes entrantes de usuarios de
Internet) a la direccin privada para permitir que el cortafuegos enrute el paquete a su red DMZ. Puede realizar
una regla NAT esttica bidireccional como se describe en el procedimiento siguiente.
Configuracin de NAT bidireccional
Paso 1
Cree un objeto de direccin para la

direccin IP interna del servidor
web.
1.

Aadir.
2.
Introduzca un Nombre y opcionalmente una Descripcin para el

objeto.
3.

continuacin, introduzca la direccin IP del servidor web de la red
DMZ, 10.1.1.11 en este ejemplo.
4.

Si todava no ha creado un objeto de direccin para la
direccin pblica de su servidor web, tambin debera crear ese
objeto ahora.
599
NAT
Redes
Configuracin de NAT bidireccional (Continuacin)
Paso 2
Paso 3
600
1.
2.
En la pestaa General, introduzca un Nombre para la regla NAT.
3.
En la pestaa Paquete original, seleccione la zona que cre para su

DMZ en la seccin Zona de origen (haga clic en Aadir y, a
continuacin, seleccione la zona) y la zona que cre para la red
externa en el men desplegable Zona de destino.
4.
En la seccin Direccin de origen, haga clic en Aadir y seleccione

el objeto de direccin que cre para su direccin de servidor web
interno.
5.
En la pestaa Paquete traducido, seleccione IP esttica en el men

desplegable Tipo de traduccin de la seccin Traduccin de
direccin de origen y, a continuacin, seleccione el objeto de
direccin que cre para su direccin de servidor web externo en el
men desplegable Direccin traducida.
6.
En el campo Bidireccional, seleccione S.
7.
Redes
NAT
Modificacin de la ratio de sobresuscripcin para NAT DIPP

Si tiene suficientes direcciones IP pblicas y no necesita usar una sobresuscripcin de NAT DIPP, puede reducir
la ratio de sobresuscripcin, consiguiendo as que se permitan ms reglas NAT de DIP y DIPP.
Definicin de la sobresuscripcin de NAT
Paso 1
Consulte la ratio de sobresuscripcin

NAT DIPP.
1.
Seleccione Dispositivo > Configuracin > Sesin > Ajustes de

sesin. Consulte el ajuste Ratio de sobresuscripcin NAT.
Paso 2
Defina la ratio de sobresuscripcin

NAT DIPP.
1.
Haga clic en el icono Editar de la seccin Ajustes de sesin.
2.
En la lista desplegable Ratio de sobresuscripcin NAT,

seleccione 1x, 2x, 4x o 8x, en funcin de la tasa que desee.
El ajuste Valor predeterminado de plataforma se
aplica al ajuste de sobresuscripcin predeterminada para
la plataforma. Si no desea ninguna sobresuscripcin,
seleccione 1x.
3.
Desactivacin de NAT para un host o interfaz especfico

Puede haber excepciones en las que no desee que se produzca el NAT para un host una subred o para el trfico
que sale de una interfaz especfica. Las reglas de NAT de origen y destino pueden configurarse para que en esos
casos se desactive la traduccin. El siguiente procedimiento muestra cmo desactivar el NAT para un host.
Creacin de una excepcin de NAT de origen
Paso 1
Paso 2
1.
2.
Introduzca un Nombre descriptivo para la poltica.
3.
En la pestaa Paquete original, seleccione la zona que cre

para su red interna en la seccin Zona de origen (haga clic en
Aadir y, a continuacin, seleccione la zona) y la zona que cre
para la red externa en el men desplegable Zona de destino.
4.
En Direccin de origen, haga clic en Aadir e introduzca la

direccin del host. Haga clic en ACEPTAR.
5.
En la pestaa Paquete traducido, seleccione Ninguno en el

cuadro desplegable Tipo de traduccin de la seccin
Traduccin de direccin de origen de la pantalla.
6.
601
LACP
Redes
LACP
El cortafuegos ahora puede usar el protocolo de control de adicin de enlaces (LACP) para detectar las
interfaces fsicas entre s mismo y un dispositivo conectado (Peer) y gestionar esas interfaces como una nica
interfaz virtual (grupo agregado). Un grupo de agregacin aumenta el ancho de banda entre peers. La activacin
de LACP ofrece redundancia en el grupo: el protocolo detecta automticamente los fallos de interfaz y realiza
una conmutacin por error para poner en espera las interfaces. Sin LACP, debe identificar manualmente los
fallos de interfaz que se producen en capas por encima de la fsica o se produzcan entre peers que no estn
conectados directamente.
Los siguientes cortafuegos de Palo Alto Networks admiten LACP: PA-500, serie PA-3000, serie PA-4000, serie
PA-5000 y PA-7050. Los cortafuegos admiten LACP para HA3 (solo en PA-500, las series PA-3000, las series
PA-4000 y PA-5000) y las interfaces de la capa 2 y 3.
Los siguientes temas describen LACP y cmo configurarlo para grupos de agregacin:
Ajustes LACP
Configuracin de LACP
Ajustes LACP
Para poder implementar LACP debe configurar un grupo de agregacin en cada peer LACP que vaya a usar el
protocolo. Antes de realizar el procedimiento Configuracin de LACP, determine los ajustes ptimos para cada
peer, tal y como se describe en los siguientes temas:
Modo
Velocidad de transmisin
Conmutacin rpida
Prioridad de puertos y prioridad de sistema
Modo
En el modo activo LACP, un dispositivo busca activamente en la red peers y consulta su estado (no disponible
o sin respuesta). En modo pasivo, un dispositivo solo responde a las consultas de un peer activo. Entre dos peers,
se recomienda que uno sea activo y otro pasivo. LACP no puede funcionar si los dos peers son pasivos.
Velocidad de transmisin
Puede configurar un dispositivo para que detecte el estado (disponible o sin respuesta) de peers e interfaces
individuales a intervalos rpidos (cada segundo) o lentos (cada 30 segundos). Cuando el dispositivo no recibe
una actualizacin LACP desde el peer en un periodo tres veces superior a la velocidad de transmisin (3
segundos o 90 segundos), etiqueta el peer como sin respuesta. Por ello, debe definir la velocidad de transmisin
segn cunto procesamiento LACP puede admitir su red y la rapidez con la que un dispositivo puede detectar
y resolver fallos de interfaz.
602
Redes
LACP
Por ejemplo, en una red en la que los peers pueden tener muchos enlaces, un nico fallo de interfaz no interrumpira
el trfico. En este caso, una velocidad baja sera suficiente para detectar fallos y evitara el procesamiento adicional
asociado con una velocidad alta. Si la red puede admitir el procesamiento adicional y necesita una alta disponibilidad
(por ejemplo, para centros de datos que realizan operaciones comerciales crticas), una velocidad de transmisin alta
permitira que el cortafuegos sustituyera las interfaces con fallos ms rpidamente.
Si los dispositivos tienen distintas velocidades de transmisin, cada una usa la velocidad de su
peer.
Conmutacin rpida
Cuando una interfaz falla, realiza una conmutacin a una interfaz en espera. El estndar IEEE 802.1ax que
define LACP especifica un proceso de conmutacin de fallos que tarde al menos 3 segundos. Para redes que
requieran una conmutacin de fallos ms rpida, el cortafuegos ofrece la opcin de realizar una segunda
conmutacin de fallos en un segundo. La opcin se recomienda para implementaciones en las que pueden
perderse datos crticos durante el intervalo de conmutacin de fallos estndar. Por ejemplo, si la cantidad de
trfico entre peers se acerca al mximo que pueden admitir las interfaces activas, y una de las interfaces falla, el
riesgo de que se pierdan los datos hasta que una interfaz en espera se activa es considerablemente menor con la
conmutacin rpida que con la conmutacin por error normal.
Como ambos peers realizan una conmutacin por error cuando falla una interfaz, se recomienda
que configure una conmutacin por error rpida en ambos para que completen el proceso en el
mismo margen de tiempo.
Prioridad de puertos y prioridad de sistema

Cuando configura un grupo de agregacin, el parmetro Mximo nmero de puertos determina cuntas interfaces
pueden estar activas en un momento dado. Si el nmero de interfaces que asigna al grupo supera el Mximo nmero
de puertos, el resto de interfaces estn en modo de espera. Si una interfaz activa falla, la interfaz en espera se activa.
LACP usa la Prioridad de puerto LACP asignada a cada interfaz para determinar qu interfaces estn activas inicialmente
y determina el orden en que se activan las interfaces en espera durante la conmutacin por error. (Puede establecer
prioridades de puerto al configurar interfaces individuales, no al configurar el grupo de agregacin.)
Se recomienda que asigne un nmero de prioridad nico a cada interfaz en un grupo de
agregacin. Sin embargo, si hay mltiples interfaces con el mismo nmero de prioridad, la
interfaz con el nmero de puerto ms bajo tendr la mayor prioridad.
Para habilitar LACP entre dos peers, cada uno requiere una configuracin de grupo de agregacin. Si los valores
de prioridad de puerto de las interfaces miembro difieren en cada peer, los valores del peer con mayor Prioridad
del sistema sobrescribirn al otro peer en la determinacin de interfaces activas y en espera.
Para las prioridades de puerto y sistema, el nivel de prioridad es inverso a su valor numrico: una prioridad de 1
designa el nivel de prioridad ms alto, mientras que el valor 65535 designa el nivel de menor prioridad. El valor
predeterminado es de 32768.
La siguiente ilustracin muestra una instancia de grupo de agregacin configurada en un cortafuegos y en un
conmutador. El grupo tiene cuatro interfaces y el parmetro Mximo nmero de puertos se define como tres.
Esto implica que hay tres interfaces activas y una en espera. El administrador del cortafuegos asigna las
prioridades de puerto 12, 64, 128 y 258 a las interfaces. El administrador conmutador asigna las prioridades de
puerto 22, 54, 158 y 258 a las interfaces. LACP usa las prioridades de puerto de la instancia de cortafuegos
porque la Prioridad del sistema del cortafuegos es mayor que la de su conmutador.
603
LACP
Redes
Ilustracin: Prioridad de sistema LACP
Se recomienda asignar una prioridad de sistema nica a cada peer. Sin embargo, en algunos casos los peers pueden
tener el mismo valor. Esto podra ocurrir si un administrador distinto ha configurado el grupo de agregacin a cada
peer. En esos casos, el peer para el que el ID del sistema es un valor numrico inferior al otro peer con respecto a las
prioridades de puerto. LACP deriva automticamente el ID de sistema de la prioridad de sistema y la direccin
MAC de sistema. Una direccin MAC numricamente inferior produce un ID de sistema numricamente inferior.
La siguiente cifra muestra los mismos peers que en Ilustracin: Prioridad de sistema LACP, pero con prioridades
de sistema idnticas. En este caso, LACP usa los ID de sistema para determinar la priorizacin de puerto; el
conmutador sobrescribe al cortafuegos.
Ilustracin: ID de sistema LACP
604
Redes
LACP
Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. Sin embargo,
en una implementacin activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto, dependiendo de si
asigna o no la misma direccin MAC. (Los cortafuegos de una implementacin activa/activa requieren direcciones
MAC nicas, de forma que PAN-OS las asigne automticamente.) Cuando los peers del LACP (tambin en modo
de HA) se virtualizan (apareciendo para la red como un dispositivo nico), se recomienda seleccionar la opcin
Misma direccin MAC del sistema para modo Activo-Pasivo de HA para los cortafuegos para minimizar la latencia
durante la conmutacin por error. Cuando los peers del LACP no se virtualizan, usando la direccin MAC nica
de cada cortafuegos, se recomienda minimizar la latencia del fallo. En el ltimo caso, si el par de cortafuegos HA
y los dispositivos peer LACP tienen la misma prioridad de sistema en el par HA con un nico ID de sistema, un
cortafuegos puede tener un ID de sistema inferior a los peers LACP, mientras que otro tiene un ID de sistema ms
alto que los peers LACP. En este caso, cuando el fallo se produzca en los cortafuegos, la prioridad de puerto cambia
entre los peers del LACP y el cortafuegos que se activa.
Antes de empezar este procedimiento:
Determine qu interfaces fsicas se conectan con los peers LACP. Este procedimiento asume que el
cableado es completo.
Determine los Ajustes LACP ptimos para los peers.

Este procedimiento solo cubre los pasos de configuracin para un peer LACP que es cortafuegos
Palo Alto Networks. Otros dispositivos tienen mtodos patentados para configurar LACP.
Realice los siguientes pasos para configurar LACP en un cortafuegos. En una implementacin de alta
disponibilidad, configure el cortafuegos primario (activo/activo) o activa (activo/pasivo); el cortafuegos
secundario o pasivo se sincroniza automticamente.
605
LACP
Redes
Paso 1
Aada un grupo de agregacin con

LACP activado.
1.
Seleccione Red > Interfaces > Ethernet y haga clic en Aadir

grupo de agregacin.
2.
En el campo adyacente a Nombre de interfaz de solo lectura,

introduzca un nmero (1-8) para identificar el grupo.
3.
En Tipo de interfaz, seleccione HA, Capa 2 o Capa 3.

Solo seleccione HA si la interfaz es un enlace de HA3
entre dos cortafuegos en una implementacin
activa/activa.
4.
En la pestaa LACP, seleccione Habilitar LACP.
5.
En Modo de LACP, seleccione si el cortafuegos es Pasivo

(predeterminado) o Activo.
6.
En Velocidad de transmisin, seleccione Rpida o Lenta.
7.
Si se desea, seleccione Conmutacin rpida (en un segundo)

para cuando fallen las interfaces. De lo contrario, se aplicar la
conmutacin por error estndar (al menos tres segundos).
8.
Introduzca un nmero de Prioridad del sistema (1-65535,

predeterminado 32768) que determina si el cortafuegos o peer
sobrescribe al otro con respecto a las prioridades de puerto.
Observe que cuanto ms bajo es el nmero, ms alta es la
prioridad.
9.
En Mximo nmero de puertos, introduzca el nmero

interfaces (1-8) que estn activos. El valor no puede superar el
nmero de interfaces asignadas al grupo. Si el nmero de
interfaces asignadas supera el nmero de interfaces activas, las
interfaces restantes estarn en modo de espera.
10. Por defecto, cada cortafuegos de un par HA tiene una nica

direccin MAC. Se recomienda una configuracin Misma
direccin MAC del sistema para modo Activo-Pasivo de HA
cuando sus peers LACP se virtualizan (aparecen en la red como

un dispositivo nico). En esos casos, seleccione las casilla de
verificacin y seleccione la Direccin MAC generada por el
sistema e introduzca la suya. Debe verificar que la direccin es
nica globalmente.
Si los cortafuegos no estn en modo de HA
activo/pasivo, PAN-OS ignora sus selecciones para
esos campos. Los cortafuegos de una implementacin
activa/activa requieren direcciones MAC nicas, de
forma que PAN-OS las asigne automticamente. Si el
Tipo de interfaz es HA, esos campos no aparecen.
606
Redes
LACP
Configuracin de LACP (Continuacin)
Paso 2
Asignacin de interfaz al grupo de

agregacin
Realice los siguientes pasos para cada interfaz fsica (1-8) que
pertenecer al grupo de agregacin.
1.
Durante las operaciones normales, asigne ms de una

interfaz. Solo debe asignar una nica interfaz si el
procedimiento de resolucin de problemas lo requiere.
Seleccione Red > Interfaces y seleccione el nombre de interfaz.
Debe ser del mismo tipo (HA, Capa 2 o Capa 3) que el grupo
de agregacin.
2.
Cambie el Tipo de interfaz a Ethernet de agregacin.
3.
Seleccione el Grupo de agregacin que acaba de definir.
4.
Seleccione Velocidad de enlace, Dplex de enlace y Estado de

enlace. Se recomienda establecer la misma velocidad de enlace
y valores duplicados para cada interfaz del grupo. Para los
valores que no coinciden, la operacin de compilacin muestra
un aviso y PAN-OS activa el valor predeterminado de la
velocidad ms alta y dplex completo.
Paso 3
Paso 4
5.
Introduzca una Prioridad de puerto LACP (1-65535,

predeterminado 32768). Si el nmero de interfaces que asigna
el valor de Mximo nmero de puertos se ha configurado para
el grupo, las prioridades de puerto determinan qu interfaces
estn activas o en espera. Cuanto ms bajo es el valor numrico,
ms alta es la prioridad.
6.
1.
Seleccione Red > Interfaces > Ethernet.
2.
Compruebe que la columna Caractersticas muestra un icono de

LACP habilitado para el grupo de agregacin.
3.
Compruebe que la columna Estado de enlace muestra un icono

verde para el grupo de agregacin, indicando que todas las
interfaces miembro estn funcionando. Si el icono es amarillo,
al menos un miembro falla, pero no todos. Si el icono est en
rojo, todos los miembros han fallado.
4.
Si el icono Estado de enlace para el grupo de agregacin est

amarillo o rojo, seleccione Supervisar > Logs > Sistema y
revise los logs para el subtipo LACP para investigar las causas
de los fallos de interfaz.
1.
Seleccione Dispositivo > Alta disponibilidad > Configuracin

Activa/Activa y modifique la seccin Reenvo de paquetes.
agregacin, active el reenvo de paquetes 2.

en el enlace HA3.
Para la Interfaz de HA3, seleccione el grupo de agregacin que

configure.
Verificacin del estado del grupo de

agregacin.
(Opcional) Si ha seleccionado HA como

Tipo de interfaz para el grupo de
3.
607
LACP
608
Redes
Poltica
Las polticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de poltica que puede
crear en el cortafuegos son: seguridad, NAT, calidad de servicio (QoS), reenvo basado en polticas (PFB),
descifrado, cancelacin de aplicaciones, portal cautivo, denegacin de servicio (DoS) y proteccin de zonas.
Todas estas diferentes polticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones segn sea necesario para ayudar a
proteger su red. Los siguientes temas describen cmo trabajar con polticas:
Tipos de polticas
Poltica de seguridad
Objetos de polticas
Enumeracin de reglas dentro de una base de reglas
Use etiquetas para distinguir objetos visualmente
Trucos y consejos para buscar objetos en poltica de seguridad.
Uso de una lista de bloques dinmicos en polticas
Registro de direcciones IP y etiquetas dinmicamente
Supervisin de cambios en el entorno virtual
Comandos de la CLI para etiquetas y direcciones IP
Registro de direcciones IP de clientes para solicitudes HTTP/HTTPS con proxy
Reenvo basado en polticas
Poltica
609
Tipos de polticas
Poltica
Tipos de polticas
El cortafuegos de prxima generacin de Palo Alto Networks admite diversos tipos de polticas que se
complementan mutuamente para habilitar aplicaciones en su red.
Tipo de poltica
Descripcin
Seguridad
Determina si una sesin se bloquear o se permitir basndose en atributos del trfico,

como la zona de seguridad de origen y destino, la direccin IP de origen y destino, la
aplicacin, el usuario y el servicio. Si desea informacin ms detallada, consulte Poltica
de seguridad.
NAT
Indica al cortafuegos qu paquetes necesitan traduccin y cmo realizar la traduccin.

El cortafuegos admite tanto la traduccin de puerto y/o direccin de origen como la
traduccin de puerto y/o direccin de destino. Si desea informacin ms detallada,
consulte NAT.
QoS
Identifica el trfico que requiere un tratamiento de QoS (ya sea un tratamiento

preferente o una limitacin del ancho de banda) mediante un parmetro definido o
varios parmetros y le asigna una clase. Si desea informacin ms detallada, consulte
Calidad de servicio.
Identifica el trfico que debera usar una interfaz de salida diferente a la que debera
usar segn la tabla de enrutamiento. Para obtener ms informacin, consulte Reenvo
basado en polticas.
Descifrado
Identifica el trfico que quiere inspeccionar para ganar visibilidad, control y seguridad
granular. Si desea informacin ms detallada, consulte Descifrado.
Cancelacin de aplicacin
Identifica sesiones que no quiere que procese el motor App-ID, lo cual es una
inspeccin de capa 7. El trfico que coincida con una poltica de cancelacin de
aplicacin obliga a que el cortafuegos gestione la sesin como un cortafuegos de
inspeccin de estado normal en la capa 4. Si desea informacin ms detallada, consulte
Gestin de aplicaciones personalizadas o desconocidas.
Portal cautivo
Identifica el trfico que requiere un usuario conocido. La poltica de portal cautivo solo
se activa si el resto de mecanismos User-ID no identificaron a un usuario para asociarlo
con la direccin IP de origen. Si desea informacin ms detallada, consulte Portal
cautivo.
Proteccin contra ataques

por denegacin de servicio
Identifica ataques de polticas de denegacin de servicio (DoS) y toma medidas de

proteccin que responden a las coincidencias de reglas. Perfil de proteccin contra
ataques por denegacin de servicio.
610
Poltica
Poltica
Las polticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de
manera ptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. En
el cortafuegos de Palo Alto Networks, las polticas de seguridad determinan si una sesin se bloquear o se
permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP de
origen y destino, la aplicacin, el usuario y el servicio.
Se buscan coincidencias entre todo el trfico que atraviesa el cortafuegos y una sesin, y entre cada sesin y una
poltica de seguridad. Cuando se encuentra una coincidencia, se aplica la poltica de seguridad al trfico
bidireccional (cliente a servidor y servidor a cliente) de esa sesin. Para el trfico que no coincide con ninguna
regla definida, se aplican las reglas predeterminadas. Las reglas predeterminadas (que aparecen en la parte
inferior de la base de reglas de seguridad) se predefinen para permitir todo el trfico de intrazona (en la zona) y
denegar el trfico interzona (entre zonas). Aunque estas reglas son parte de la configuracin predefinida y son
de solo lectura de forma predeterminada, puede cancelarlas y cambiar un nmero limitado de ajustes, incluidas
las etiquetas, accin (permitir o denegar) configuracin de log y perfiles de seguridad.
Las polticas de seguridad se evalan de izquierda a derecha y de arriba a abajo. Un paquete coincide con la
primera regla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no
se evalan. Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores
criterios de coincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en
el log de trfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla.
Por ejemplo, se pueden configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final
de una sesin.
Componentes de una regla de poltica de seguridad
Prcticas recomendadas de polticas de seguridad
Poltica
611
Poltica
Componentes de una regla de poltica de seguridad

La estructura de las reglas de polticas de seguridad permite una combinacin de los campos obligatorios y
opcionales descritos a continuacin.
Campos obligatorios
Campos opcionales
Campos obligatorios
Campo obligatorio
Descripcin
Nombre
Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
Tipo de regla
Especifica si la regla se aplica al trfico en una zona, entre zonas o ambas.

universal (predeterminado): aplica la regla a todo el trfico coincidente de interzona e
intrazona en las zonas de origen y destino especificadas. Por ejemplo, si crea una regla
universal con las zonas de origen A y B y las zonas de destino A y B, esta se aplicar a todo
el trfico dentro de la zona A, a todo el trfico de la zona B, a todo el trfico que vaya de
la zona A a la B y a todo el trfico de la zona B a la A.
intrazona: aplica la regla a todo el trfico coincidente dentro de las zonas de origen
especificadas (no puede especificar una zona de destino para las reglas de intrazona). Por
ejemplo, si establece la zona de origen en A y B, la regla se aplicar a todo el trfico dentro
de la zona A y a todo el trfico dentro de la zona B, pero no al trfico entre las zonas A y B.
interzona: aplica la regla a todo el trfico coincidente entre la zona de origen especificada
y las zonas de destino. Por ejemplo, si establece la zona de origen en A, B, y C y la zona de
destino en A y B, la regla se aplicar al trfico que va de la zona a A a la B, de la zona B a
la A, de la zona C a la A y de la zona C a la B, pero no al trfico dentro de las zonas A, B o C.
Zona de origen
Zona en la que se origina el trfico.
Zona de destino
Zona en la que termina el trfico. Si utiliza NAT, asegrese de hacer referencia siempre a la
zona posterior a NAT.
Aplicacin
La aplicacin que desea controlar. El cortafuegos utiliza la tecnologa de clasificacin de

trfico App-ID para identificar el trfico de su red. App-ID permite controlar las aplicaciones
y ofrece visibilidad al crear polticas de seguridad que bloquean las aplicaciones desconocidas,
al tiempo que se habilitan, inspeccionan y moldean las que estn permitidas.
Accin
Especifica una accin de permiso o denegacin para el trfico basndose en los criterios que
defina en la regla.
612
Poltica
Poltica
Campos opcionales
Campo opcional
Descripcin
Etiqueta
Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de utilidad cuando
ha definido muchas reglas y desea revisar las que estn etiquetadas con una palabra clave
especfica, por ejemplo Entrante en DMZ.
Descripcin
Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
Direccin IP de origen
Define la direccin IP o FQDN de host, la subred, los grupos nombrados o el cumplimiento

basado en el pas. Si utiliza NAT, asegrese de hacer siempre referencia a las direcciones IP
originales del paquete (es decir, la direccin IP anterior a NAT).
Direccin IP de destino
Ubicacin o destino del trfico. Si utiliza NAT, asegrese de hacer siempre referencia a las
direcciones IP originales del paquete (es decir, la direccin IP anterior a NAT).
Usuario
Usuario o grupo de usuarios a los que se aplica la poltica. Debe tener habilitado User-ID en
la zona. Para habilitar User-ID, consulte Descripcin general de User-ID.
Categora de URL
El uso de Categora de URL como criterios de coincidencia le permite personalizar perfiles

de seguridad (antivirus, antispyware, vulnerabilidades, bloqueo de archivos, filtrado de datos
y DoS) segn la categora de URL. Por ejemplo, puede impedir la descarga/carga de archivos
.exe para las categoras de URL que representen un riesgo ms alto mientras que s lo permite
para otras categoras. Esta funcionalidad tambin le permite adjuntar programaciones a
categoras de URL especficas (permitir sitios web de redes sociales durante el almuerzo y
despus de las horas de trabajo), marcar determinadas categoras de URL con QoS
(financiera, mdica y empresarial) y seleccionar diferentes perfiles de reenvo de logs segn la
categora de URL.
Aunque puede configurar categoras de URL manualmente en su dispositivo, para aprovechar
las actualizaciones dinmicas de categorizacin de URL disponibles en los cortafuegos de
Palo Alto Networks, deber adquirir una licencia de filtrado de URL.
Para bloquear o permitir el trfico basado en la categora de URL, deber aplicar un
perfil de filtrado de URL a las reglas de polticas de seguridad. Defina la categora de
URL como Cualquiera y adjunte un perfil de filtrado de URL a la poltica de seguridad.
Consulte Configuracin de polticas de seguridad bsicas para obtener informacin
sobre el uso de los perfiles predeterminados de su poltica de seguridad y consulte
Control del acceso a contenido web para obtener informacin ms detallada.
Servicio
Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la aplicacin. Puede

seleccionar cualquiera, especificar un puerto o utilizar Valor predeterminado de aplicacin para
permitir el uso del puerto basado en estndares de la aplicacin. Por ejemplo, en el caso de
aplicaciones con nmeros de puerto conocidos, como DNS, la opcin Valor predeterminado de
aplicacin coincidir con el trfico DNS nicamente en el puerto 53 de TCP. Tambin puede
aadir una aplicacin personalizada y definir los puertos que puede utilizar la aplicacin.
Para reglas de permiso entrante (por ejemplo, de no fiable a fiable), el uso de Valor
predeterminado de aplicacin impide que las aplicaciones se ejecuten en puertos y
protocolos inusuales. Valor predeterminado de aplicacin es la opcin
predeterminada; si bien el dispositivo sigue comprobando todas las aplicaciones en
todos los puertos, con esta configuracin, las aplicaciones solamente tienen permiso
en sus puertos/protocolos estndar.
Poltica
613
Poltica
Campo opcional
Descripcin (Continuacin)
Proporciona una proteccin adicional frente a amenazas, vulnerabilidades y fugas de datos.

Los perfiles de seguridad nicamente se evalan en el caso de reglas que tengan una accin
de permiso.
Perfil HIP (para
Le permite identificar a clientes con el perfil de informacin de host (Host Information

Profile, HIP) y, a continuacin, aplicar privilegios de acceso.
GlobalProtect)
Opciones
614
Le permite definir logs para la sesin, registrar ajustes de reenvo, cambiar marcas de calidad
de servicio (Quality of Service, QoS) de paquetes que coincidan con la regla y planificar
cundo (da y hora) debera ser efectiva la regla de seguridad.
Poltica
Poltica
Prcticas recomendadas de polticas de seguridad

La tarea de habilitar de forma segura el acceso a Internet y prevenir el uso indebido de los privilegios de acceso
web y la exposicin a vulnerabilidades y ataques es un proceso continuo. El principio bsico al definir una
poltica en el cortafuegos de Palo Alto Networks es utilizar un enfoque de cumplimiento positivo, el cual permite
de manera selectiva aquello que es necesario para las operaciones comerciales cotidianas. Lo contrario sera el
cumplimiento negativo, con el que bloqueara de manera selectiva todo lo que no est permitido. Tenga en
cuenta las siguientes sugerencias al crear una poltica:
Si tiene dos o ms zonas con requisitos de seguridad idnticos, combnelas en una regla de seguridad.
El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la poltica
se evala de arriba a abajo, las polticas ms especficas deben preceder a las ms generales, de modo que
las reglas ms especficas no estn atenuadas. Esto quiere decir que una regla no se evala o se omite porque
se encuentra a un nivel ms bajo en la lista de polticas. Cuando la regla se sita ms abajo, no se evala
porque otra regla precedente cumple los criterios de coincidencia, impidiendo as la evaluacin de poltica
de la primera regla.
Para restringir y controlar el acceso a las aplicaciones entrantes, en la poltica de seguridad, defina
explcitamente el puerto al que escuchar el servicio/aplicacin.
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho trfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesin. Sin embargo,
puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al
inicio de la sesin. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio
de la sesin nicamente se recomienda cuando est solucionando un problema. Otra alternativa para
solucionar un problema sin habilitar el registro al inicio de la sesin es utilizar el explorador de sesin
(Supervisar > Explorador de sesin) para ver las sesiones en tiempo real.
Poltica
615
Objetos de polticas
Poltica
Objetos de polticas
Un objeto de poltica es un objeto nico o una unidad colectiva que agrupa identidades discretas, como
direcciones IP, URL, aplicaciones o usuarios. Con objetos de polticas que sean unidades colectivas, podr hacer
referencia al objeto en la poltica de seguridad en lugar de seleccionar manualmente varios objetos de uno en
uno. Por lo general, al crear un objeto de poltica, se agrupan objetos que requieran permisos similares en la
poltica. Por ejemplo, si su organizacin utiliza un conjunto de direcciones IP de servidor para autenticar
usuarios, podr agrupar el conjunto de direcciones IP de servidor como objeto de poltica de grupo de direcciones
y hacer referencia al grupo de direcciones en la poltica de seguridad. Al agrupar objetos, podr reducir
significativamente la carga administrativa al crear polticas.
Puede crear los siguientes objetos de polticas en el cortafuegos:
Objeto de poltica
Descripcin
Direccin/Grupo de
direcciones, Regin
Le permite agrupar direcciones de origen o destino especficas que requieren el mismo

cumplimiento de poltica. El objeto de direccin puede incluir una direccin IPv4 o
IPv6 (direccin IP simple, intervalo, subred) o FQDN. Tambin puede definir una
regin por las coordenadas de latitud y longitud o seleccionar un pas y definir la
direccin IP o el intervalo de IP. A continuacin puede agrupar un conjunto de objetos
de direccin para crear un objeto de grupo de direcciones.
Tambin puede utilizar grupos de direcciones dinmicas para actualizar

dinmicamente direcciones IP en entornos donde las direcciones IP de host
cambian frecuentemente.
Usuario/grupo de usuarios
Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicacin le permite filtrar aplicaciones dinmicamente. Le permite filtrar y
de aplicacin
guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
de la aplicacin en el cortafuegos. Por ejemplo, puede filtrar segn uno o ms atributos

(categora, subcategora, tecnologa, riesgo y caractersticas) y guardar su filtro de
aplicacin. Con un filtro de aplicacin, cuando se produce una actualizacin de
contenido de PAN-OS, las nuevas aplicaciones que coincidan con sus criterios de filtro
se aadirn automticamente a su filtro de aplicacin guardado.
Un Grupo de aplicaciones le permite crear un grupo esttico de aplicaciones especficas
que desee agrupar para un grupo de usuarios o para un servicio en concreto.
Servicio/Grupos de servicios
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar
un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y
servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443
de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en
cualquier puerto TCP/UDP de su eleccin para restringir el uso de la aplicacin a
puertos especficos de su red (dicho de otro modo, puede definir el puerto
predeterminado para la aplicacin).
Para ver los puertos estndar utilizados por una aplicacin, en Objetos >
Aplicaciones, busque la aplicacin y haga clic en el enlace. Aparecer una
descripcin concisa.
616
Poltica
Poltica
Mientras que con las polticas de seguridad puede permitir o denegar el trfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploracin, que explora las aplicaciones permitidas en busca de
amenazas, tales como virus, software malintencionado, spyware y ataques DDOS. Cuando el trfico coincida
con la regla de permiso definida en la poltica de seguridad, los perfiles de seguridad vinculados a la regla se
aplicarn para reglas de inspeccin de contenido adicionales, como comprobaciones antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de trfico. El
perfil de seguridad se aplica para explorar el trfico despus de que la poltica de seguridad
permita la aplicacin o categora.
El cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Configuracin de polticas de seguridad bsicas para
obtener informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando
comprenda mejor las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte
Exploracin del trfico en busca de amenazas para obtener ms informacin.
Puede aadir perfiles de seguridad que se aplican habitualmente juntos a un grupo de perfil de seguridad; este
conjunto de perfiles se puede tratar como una unidad y aadirlo a las polticas de seguridad en un solo paso (o
incluirlo en polticas de seguridad de manera predeterminada, si opta por configurar un grupo de perfiles de
seguridad predeterminado).
Los siguientes temas ofrecen informacin ms detallada acerca de cada tipo de perfil de seguridad y sobre cmo
configurar un grupo de perfiles de seguridad.
Perfiles de antivirus
Perfiles de antispyware
Perfiles de proteccin de vulnerabilidades
Perfiles de filtrado de URL
Perfiles de filtrado de datos
Perfiles de bloqueo de archivo
Perfil de proteccin contra ataques por denegacin de servicio
Perfiles de proteccin de zonas
Grupo de perfiles de seguridad
Poltica
617
Poltica
Perfiles de antivirus
Los perfiles de antivirus protegen contra virus, gusanos, troyanos y descargas de spyware. Al usar un motor de
prevencin contra software malintencionado basado en secuencias, que analiza el trfico nada ms recibir el
primer paquete, la solucin antivirus Palo Alto Networks puede ofrecer proteccin para clientes sin que esto
tenga un impacto significativo en el rendimiento del cortafuegos. Este perfil analizar una gran variedad de
software malintencionado en archivos ejecutables, PDF, HTML y virus JavaScript, incluida la compatibilidad
con el anlisis dentro de archivos comprimidos y esquemas de codificacin de datos. Si ha habilitado Descifrado
en el cortafuegos, el perfil tambin habilita el anlisis de contenido cifrado.
El perfil predeterminado inspecciona todos los descodificadores de protocolos enumerados para virus y genera
alertas para protocolos SMTP, IMAP y POP3 al tiempo que bloquea protocolos FTP, HTTP y SMB. Los perfiles
personalizados se pueden utilizar para minimizar la exploracin antivirus para el trfico entre zonas de seguridad
fiables y para maximizar la inspeccin o el trfico recibido de zonas no fiables, como Internet, as como el trfico
enviado a destinos altamente sensibles, como granjas de servidores.
El sistema WildFire de Palo Alto Networks tambin ofrece firmas para amenazas persistentes ms evasivas y
que todava no han sido descubiertas por otras soluciones de antivirus. A medida que WildFire detecta
amenazas, se van creando las firmas rpidamente y despus se integran en las firmas de antivirus estndar que
los suscriptores de prevencin de amenazas pueden descargar todos los das (o cada hora o menos en el caso de
suscriptores de WildFire).
618
Poltica
Poltica
Perfiles de antispyware
Los perfiles de antispyware impiden que el spyware intente realizar llamadas a casa o balizamiento a servidores
externos de comando y control (C2) en hosts comprometidos, lo que le permite detectar el trfico
malintencionado que sale de la red desde clientes infectados. Puede aplicar diversos niveles de proteccin entre
zonas. Por ejemplo, tal vez desee tener perfiles antispyware personalizados que reduzcan al mnimo la inspeccin
entre zonas fiables y amplan al mximo la inspeccin del trfico procedente de una zona no fiable, como zonas
de Internet.
Puede definir sus propios perfiles antispyware, o bien elegir uno de los siguientes perfiles predefinidos al aplicar
antispyware a una poltica de seguridad:
Predeterminado:
Usa la accin predeterminada para cada firma, tal como especifica Palo Alto Networks al
crear la firma.
Estricto: Anula
la accin predeterminada de amenazas de gravedad crtica, alta y media para la accin de

bloqueo, independientemente de la accin definida en el archivo de firma. Este perfil sigue usando la accin
predeterminada para firmas de gravedad media o informativa.
Asimismo, puede habilitar la Sinkholing de DNS en perfiles de antispyware para que el cortafuegos genere una
respuesta errnea a una consulta DNS para un dominio malintencionado conocido, haciendo que el nombre de
dominio malintencionado se resuelva en una direccin IP que usted defina. Esta funcin ayuda a identificar
hosts infectados en la red protegida usando trfico DNS. De este modo, los hosts infectados pueden
identificarse fcilmente en los logs de trfico y amenazas porque cualquier host que intente conectarse a la
direccin IP sinkhole est infectado casi con toda seguridad con software malintencionado.
Los perfiles de proteccin contra vulnerabilidades y antispyware se configuran de forma similar.
Poltica
619
Poltica
Perfiles de proteccin de vulnerabilidades

Los perfiles de proteccin de vulnerabilidades detienen los intentos de explotacin de fallos del sistema y de
acceso no autorizado a los sistemas. Mientras que los perfiles antispyware ayudan a identificar hosts infectados
como trfico que abandona la red, los perfiles de proteccin de vulnerabilidades protegen contra las amenazas
que acceden a la red. Por ejemplo, los perfiles de proteccin de vulnerabilidades ayudan a proteger contra
desbordamiento de bfer, ejecucin de cdigo ilegal y otros intentos de explotar las vulnerabilidades del sistema.
El perfil predeterminado de proteccin contra vulnerabilidades protege a clientes y servidores de todas las
amenazas conocidas de gravedad crtica, alta y media. Tambin puede crear excepciones, que le permiten
cambiar la respuesta a una firma concreta.
620
Poltica
Poltica
Perfiles de filtrado de URL

Los perfiles de Filtrado de URL le permiten supervisar y controlar el modo en que los usuarios acceden a la web
a travs de HTTP y HTTPS. El cortafuegos incluye un perfil predeterminado que est configurado para
bloquear sitios web tales como sitios conocidos de software malintencionado, de phishing y con contenido para
adultos. Puede utilizar el perfil predeterminado en una poltica de seguridad, duplicarlo para utilizarlo como
punto de partida para nuevos perfiles de filtrado de URL o aadir un nuevo perfil de URL que tenga todas las
categoras establecidas como permitidas para lograr visibilidad del trfico de su red. A continuacin, podr
personalizar los perfiles de URL recin aadidos y aadir listas de sitios web especficos que siempre deberan
bloquearse o permitirse, lo que proporciona un control ms detallado de las categoras de URL.
Poltica
621
Poltica
Perfiles de filtrado de datos

Los perfiles de filtrado de datos evitan que la informacin confidencial, como los nmeros de tarjeta de crdito
o seguridad social, salga de la red protegida. El perfil de filtrado de datos tambin le permite filtrar por palabras
clave, como el nombre de un proyecto confidencial o la palabra confidencial. Es importante centrar su perfil en
el tipo de archivos deseado para reducir los falsos positivos. Por ejemplo, puede que solo quiera buscar
documentos de Word o Excel. O tal vez solo quiera analizar el trfico de navegacin web o FTP.
Puede usar perfiles predeterminados o crear patrones de datos personalizados. Hay dos perfiles predeterminados:
CC# (tarjeta de crdito): Identifica nmeros de tarjetas de crdito usando un algoritmo de hash. El
contenido debe coincidir con el algoritmo de hash para detectar los datos como un nmero de tarjeta de
crdito. Este mtodo reduce los falsos positivos.
SSN# (nmero de la seguridad social): Usa un algoritmo para detectar los nueve dgitos, independientemente
del formato. Hay dos campos: SSN# y SSN# (sin guin).
Valores de peso y umbral

Es importante comprender el modo en que se calcula el peso de un objeto (patrn de SSN, CC#) con objeto
de establecer el umbral adecuado para una condicin que est intentando filtrar. Cada ocurrencia multiplicada
por el valor de peso se aade para alcanzar un umbral de accin (alerta o bloqueo).
Ejemplo: Filtro exclusivo para nmeros de la seguridad social

Para simplificar, si solamente quiere filtrar los archivos con nmeros de la seguridad social (SSN) y define un
peso de 3 para SSN#, usara la siguiente frmula: cada ejemplo de un SSN x peso = incremento del umbral. En
este caso, si un documento de Word tiene 10 nmeros de la seguridad social, se multiplica esa cantidad por 3,
de modo que 10 x 3 = 30. Para realizar acciones con un archivo que contiene 10 nmeros de la seguridad social,
debera establecer el umbral en 30. Puede que desee establecer una alerta a los 30 y despus un bloqueo a los 60.
Puede que tambin quiera establecer un peso en el campo SSN# (sin guin) para los nmeros de la seguridad
social que no contengan guiones. Si se usan varios ajustes, irn sumndose para alcanzar un umbral concreto.
Ejemplo: Filtro para nmeros de la seguridad social y patrn personalizado

En este ejemplo, filtraremos archivos que contengan nmeros de la seguridad social y el patrn personalizado
confidencial. Dicho de otro modo, si un archivo tiene nmeros de la seguridad social adems de la palabra
confidencial y los ejemplos combinados de esos elementos alcanzan el umbral, el archivo desencadenar una
alerta o un bloqueo, dependiendo del ajuste de accin.
Multiplicador de SSN# = 3
Multiplicador de confidencial del patrn personalizado = 20
El patrn personalizado distingue entre maysculas y minsculas.
Si el archivo contiene 20 nmeros de la seguridad social y se configura un multiplicador 3, el clculo es 20 x 3 = 60.
Si el archivo tambin contiene un ejemplo del trmino confidencial y se configura un multiplicador 20, el clculo es
1 x 20 = 20, que hace un total de 80. Si el umbral para el bloqueo se configura en 80, en este ejemplo se bloqueara el
archivo. La accin de alerta o bloqueo se dispara en cuanto se alcanza el umbral.
622
Poltica
Poltica
Perfiles de bloqueo de archivo

El cortafuegos usa perfiles de bloqueo de archivos de dos modos: para reenviar archivos a WildFire para su
anlisis o para bloquear tipos de archivos especificados a travs de aplicaciones especificadas y en la direccin
de flujo de sesin especificada (entrante/saliente/ambas). Puede establecer el perfil para emitir alertas o realizar
bloqueos en cargas y descargas y puede especificar qu aplicaciones quedarn sujetas al perfil de bloqueo de
archivos. Tambin puede configurar pginas de bloqueo personalizadas que aparecern cuando un usuario
intente descargar el tipo de archivo especificado. Esto permite al usuario dedicar unos instantes a considerar si
desea o no descargar el archivo.
Puede configurar un perfil de bloqueo de archivos con las siguientes acciones:
Alertar : Cuando
se detecta el tipo de archivo especificado, se genera un log en el log de filtrado de datos.
Bloquear :
Continuar : Cuando se detecta el tipo de archivo especificado, se presenta al usuario una pgina de respuesta
Cuando se detecta el tipo de archivo especificado, se bloquea el archivo y se presenta al usuario

una pgina de bloqueo personalizable. Tambin se genera un log en el log de filtrado de datos.
personalizable. El usuario puede hacer clic en la pgina para descargar el archivo. Tambin se genera un log
en el log de filtrado de datos. Dado que este tipo de accin de reenvo requiere la interaccin del usuario,
solo se aplica al trfico web.
Reenviar : Cuando se detecta el tipo de archivo especificado, se enva a WildFire para analizarlo. Tambin se
genera un log en el log de filtrado de datos.
Continuar y reenviar: Cuando se detecta el tipo de archivo especificado, se presenta al usuario una pgina de
continuacin personalizable. El usuario puede hacer clic en la pgina para descargar el archivo. Si el usuario
hace clic en la pgina de continuacin para descargar el archivo, el archivo se enva a WildFire para analizarlo.
Tambin se genera un log en el log de filtrado de datos.
Poltica
623
Poltica
Perfil de proteccin contra ataques por denegacin de servicio

Los perfiles de proteccin DoS ofrecen un control detallado de las polticas de proteccin contra ataques por
denegacin de servicio (DoS). Las polticas DoS permiten controlar el nmero de sesiones entre interfaces,
zonas, direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen o destino. Hay dos
mecanismos de proteccin DoS compatibles con los cortafuegos de Palo Alto Networks.
Proteccin contra inundaciones: Detecta y evita los ataques en los que la red est inundada con paquetes
y esto provoca que haya muchas sesiones a medio abrir o servicios que no pueden responder a cada solicitud.
En este caso la direccin de origen del ataque suele estar falsificada.
Proteccin de recursos: Detecta y previene los ataques de agotamiento por sesiones. En este tipo de
ataque, se usa un gran nmero de hosts (bots) para establecer el mayor nmero posible de sesiones completas
para consumir todos los recursos del sistema.
Puede habilitar ambos tipos de mecanismos de proteccin en un nico perfil de proteccin DoS.
El perfil DoS se usa para especificar el tipo de accin que se llevar a cabo y los detalles de los criterios de
coincidencia para la poltica DoS. El perfil DoS define ajustes para inundaciones de ICMP, SYN y UDP, puede
habilitar la proteccin de recursos y define el nmero mximo de conexiones simultneas. Una vez configurado
el perfil de proteccin DoS, agrguelo a una poltica DoS.
Al configurar proteccin DoS, es importante analizar su entorno para establecer los umbrales correctos y,
debido a algunas de las complejidades para definir las polticas de proteccin DoS, esta gua no ofrece ejemplos
detallados. Para obtener ms informacin, consulte Threat Prevention Tech Note (en ingls).
624
Poltica
Poltica
Perfiles de proteccin de zonas

Los perfiles de proteccin de zonas ofrecen proteccin adicional entre zonas de red especficas para protegerlas
de los ataques. El perfil debe aplicarse a toda la zona, as que es importante probar cuidadosamente los perfiles
para evitar que surjan problemas cuando el trfico normal cruce la zona. Si define lmites de umbral de paquetes
por segundo (pps) de perfiles de proteccin de zonas, el umbral se basa en los paquetes por segundo que no
coinciden con ninguna sesin establecida previamente. Para obtener ms informacin, consulte Threat
Prevention Tech Note (en ingls).
Poltica
625
Poltica
Grupo de perfiles de seguridad

Un grupo de perfiles de seguridad es un conjunto de perfiles de seguridad que se puede tratar como una unidad
y aadirse despus fcilmente a las polticas de seguridad. Los perfiles que se suelen asignar juntos se pueden
combinar en grupos de perfiles para simplificar la creacin de polticas de seguridad. Tambin puede configurar
un grupo de perfiles de seguridad predeterminado: las nuevas polticas de seguridad usarn los ajustes definidos
en el grupo de perfiles de seguridad predeterminado para comprobar y controlar el trfico coincidente con la
poltica de seguridad. Asigne un nombre al grupo de perfiles de seguridad predeterminado para permitir que los
perfiles de ese grupo se aadan a las nuevas polticas de seguridad de manera predeterminada. Esto le permite
incluir consistente y automticamente los ajustes de perfiles preferidos de su organizacin en nuevas polticas,
sin necesidad de que los administradores los tengan que aadir manualmente cada vez que crean una nueva
poltica.
Las siguientes secciones muestran cmo se crea un grupo de perfiles de seguridad y cmo se habilita un grupo
de perfiles para usarlo de manera predeterminada en nuevas polticas de seguridad.
Creacin de un grupo de perfiles de seguridad
Configuracin o cancelacin de un grupo de perfiles de seguridad predeterminado

Siga estos pasos para crear un grupo de perfiles de seguridad y aadirlo a una poltica de seguridad.
Paso 1
626
Crear un grupo de perfiles de seguridad
1.
Seleccione Objetos > Grupos de perfiles de seguridad y

Aadir un nuevo perfil de seguridad.
2.
Asgnele un nombre descriptivo al grupo de perfiles, p. ej.,

Amenazas.
3.

sistemas virtuales.
4.
Aada perfiles existentes al grupo.
5.
Haga clic en Aceptar para guardar el grupo de perfiles.
Poltica
Poltica
Paso 2
Paso 3
Aadir un grupo de perfiles de seguridad 1.

a una poltica de seguridad.
Guarde sus cambios.
Seleccione Polticas > Seguridad y Aada o modifique una

regla de poltica de seguridad.
2.
Seleccione la pestaa Acciones.
3.
En la seccin Ajuste de perfil, seleccione Grupo para el Tipo de

perfil.
4.
En el men desplegable Perfil de grupo, seleccione el grupo

que ha creado (p. ej., seleccione el grupo Amenazas):
5.
Haga clic en ACEPTAR para guardar la poltica y en Compilar los

cambios.

Use las siguientes opciones para configurar un grupo de perfiles de seguridad predeterminado y usarlo en las
nuevas polticas de seguridad, o bien para cancelar un grupo predeterminado existente. Cuando un
administrador crea una nueva poltica de seguridad, el grupo de perfiles predeterminado se selecciona
automticamente como los ajustes de perfil de la poltica, y el trfico que coincida con la poltica se comprobar
siguiendo los ajustes definidos en el grupo de perfiles (el administrador puede optar por seleccionar
manualmente los distintos ajustes de perfil si lo desea). Use las siguientes opciones para configurar un grupo de
perfiles de seguridad predeterminado o cancelar sus ajustes predeterminados.
Si no hay ningn perfil de seguridad predefinido, el ajuste de perfil para una nueva poltica de
seguridad se define en Ninguno de manera predeterminada.
Poltica
627
Poltica
Crear un grupo de perfiles de seguridad
1.
Seleccione Objetos > Grupos de perfiles de seguridad y Aadir

un nuevo perfil de seguridad.
2.
Asgnele un nombre descriptivo al grupo de perfiles, p. ej.,

Amenazas.
3.

sistemas virtuales.
4.
Aada perfiles existentes al grupo. Para ver informacin sobre

cmo se crean perfiles, consulte Perfiles de seguridad.
5.
Haga clic en Aceptar para guardar el grupo de perfiles.
6.
Aada el grupo de perfiles de seguridad a una poltica de

seguridad.
7.
Aada o modifique una regla de poltica de seguridad y

seleccione la pestaa Acciones.
8.
Seleccione Grupo para el Tipo de perfil.
9.
En el men desplegable Perfil de grupo, seleccione el grupo

que ha creado (p. ej., seleccione el grupo Amenazas):
10. Haga clic en ACEPTAR para guardar la poltica y en Compilar los

cambios.
628
Poltica
Poltica
Configurar un grupo de perfil de seguridad

predeterminado
1.
Seleccione Objetos > Grupos de perfiles de seguridad y aada

un nuevo grupo de perfil de seguridad o modifique un grupo de
perfiles de seguridad existente.
2.
Asigne al grupo de perfiles de seguridad el Nombre

predeterminado:
3.
4.
Confirme que el grupo de perfiles de seguridad predeterminado

est incluido en las nuevas polticas de seguridad de manera
predeterminada:
a. Seleccione Polticas > Seguridad y Aada una nueva poltica
de seguridad.
b. Seleccione la pestaa Acciones y mire los campos Ajuste de
perfil:
De manera predeterminada, la nueva poltica de seguridad muestra

correctamente el Tipo de perfil definido en Grupo y el Grupo de
perfiles predeterminado est seleccionado.
Cancelar un grupo de perfiles de seguridad
predeterminado
Poltica
Si ya tiene un grupo de perfiles de seguridad predeterminado y no

quiere que el conjunto de perfiles se aada a una nueva poltica de
seguridad, puede continuar para modificar los campos de Ajuste de
perfil segn sus preferencias. Comience seleccionando un Tipo de
perfil diferente para su poltica (Polticas > Seguridad > Regla de
poltica de seguridad > Acciones).
629
Poltica

Cada regla dentro de una base de reglas se numera automticamente y el orden se ajusta conforme las reglas se
mueven o reordenan. Al filtrar reglas para encontrar reglas que coincidan con los filtros especificados, cada regla
se enumera con su nmero en el contexto del conjunto de reglas completo de la base de reglas y su puesto en
el orden de evaluacin.
En Panorama, las reglas previas y las posteriores se enumeran de forma independiente. Cuando las reglas se
envan desde Panorama a un cortafuegos gestionado, la numeracin de reglas incorpora jerarqua en las reglas
previas, reglas del dispositivo y reglas posteriores dentro de una base de reglas y refleja la secuencia de reglas y
su orden de evaluacin. La opcin Vista previa en Panorama ofrece una vista de lista ordenada del nmero total
de reglas en un dispositivo gestionado.
Visualizacin de la lista ordenada de reglas dentro de una base de reglas
Consulte la lista numerada de reglas en el cortafuegos.

Seleccione Polticas y cualquier base de reglas dentro de la misma. Por ejemplo, Polticas > QoS. La columna ms a la
izquierda de la tabla muestra el nmero de regla.
Consulte la lista numerada de reglas en Panorama.

Seleccione Polticas y cualquier base de reglas dentro de la misma. Por ejemplo, Polticas > Seguridad > Reglas previas.
630
Poltica
Poltica
Visualizacin de la lista ordenada de reglas dentro de una base de reglas (Continuacin)
Tras enviar las reglas desde Panorama, consulte la lista completa de reglas con nmeros en el dispositivo gestionado.
Desde la interfaz web del dispositivo gestionado, seleccione Polticas y elija cualquier base de reglas debajo de la misma.
Por ejemplo, seleccione Polticas > Seguridad y vea el conjunto completo de las reglas numeradas que se evaluarn en
el dispositivo.
Poltica
631
Poltica

Puede etiquetar objetos y aadir color a la etiqueta para distinguir los objetos etiquetados de manera visual. Las
etiquetas se pueden aadir a los siguientes objetos: objetos de direccin, grupos de direcciones, zonas, grupos
de servicios y reglas de polticas.
El cortafuegos y Panorama son compatibles tanto con etiquetas estticas como dinmicas; las etiquetas
dinmicas se registran desde diversas fuentes y no se muestran con las etiquetas estticas, ya que las etiquetas
dinmicas no forman parte de la configuracin del dispositivo. Consulte Registro de direcciones IP y etiquetas
dinmicamente para obtener informacin sobre cmo registrar etiquetas dinmicamente. Las etiquetas
discutidas en esta seccin se aaden estticamente y forman parte de la configuracin del dispositivo.
Se pueden aplicar una o ms etiquetas a objetos y a reglas de poltica; el nmero mximo de etiquetas aplicables
a un objeto es de 64. Panorama admite un mximo de 10.000 etiquetas que se pueden distribuir a travs de
Panorama (grupos de dispositivos y compartidos) y los dispositivos gestionados (incluidos los dispositivos con
sistemas virtuales mltiples).
Etiquetado de objetos
Paso 1
Crear etiquetas
1.
2.
Para etiquetar una zona, debe
crear una etiqueta con el mismo
nombre que la zona. Cuando la
zona est incluida en reglas de la 3.
poltica, el color de la etiqueta se
muestra automticamente como el 4.
color de fondo en contraste con el
nombre de la zona.
632
Seleccione Objetos > Etiquetas.

En Panorama o un cortafuegos de sistema virtual mltiple,
seleccione Grupo de dispositivos o el Sistema virtual al que
debe pertenecer este objeto.
Haga clic en Aadir e introduzca un Nombre para identificar la
etiqueta. La longitud mxima es de 127 caracteres.
(Opcional) Seleccione Compartido para crear el objeto en una
ubicacin compartida para el acceso como un objeto
compartido en Panorama para el uso en todos los sistemas
virtuales en un cortafuegos de sistema virtual mltiple.
5.
(Opcional) Asigne uno de los 16 colores predefinidos a la

etiqueta. De manera predeterminada, no hay ningn color
seleccionado.
6.
Haga clic en ACEPTAR y seleccione Confirmar para guardar los

cambios.
Poltica
Poltica
Etiquetado de objetos (Continuacin)
Paso 2
Paso 3
Ver etiquetas en poltica
Trabajar con etiquetas
1.
Seleccione Polticas y cualquier base de reglas dentro de la

misma.
2.
Haga clic en Aadir para crear una regla de poltica y use los
objetos etiquetados que ha creado en el Paso 1.
3.
Verifique que las etiquetas estn en uso.
Seleccione Objetos > Etiquetas para realizar cualquiera de las

siguientes operaciones con etiquetas:
Haga clic en el enlace de la columna Nombre para ver las
propiedades de una etiqueta.
Seleccione una etiqueta de la tabla y haga clic en Eliminar para
eliminar la etiqueta del cortafuegos.
Haga clic en Duplicar para crear una etiqueta duplicada con
las mismas propiedades. Se aade un sufijo numrico al
nombre de etiqueta. Por ejemplo, FTP-1.
Para aplicar una etiqueta a un objeto de direccin, grupo de
direcciones, servicio o grupo de servicios:
Cree el objeto. Haga clic en Aadir. Por ejemplo, para crear un
grupo de servicios, seleccione Objetos > Grupos de servicio >
Aadir.
Seleccione las etiquetas en el men desplegable Etiqueta para
introducir una frase para crear una nueva etiqueta
Para editar una etiqueta o aadirle color, seleccione
Objetos >Etiquetas.
Poltica
633
Poltica
Trucos y consejos para buscar objetos en poltica de

seguridad.
El mecanismo de filtrado de polticas es una potente herramientas para buscar objetos incluso en las bases de
reglas de seguridad ms complejas. Los siguientes temas muestran ejemplos para ayudarle a aprender a buscar
en las bases de reglas de polticas seguridad (Polticas > Seguridad) de manera eficiente para que pueda optimizar
sus tareas de gestin:
Bsqueda de reglas de polticas de seguridad para perfiles de seguridad
Bsqueda de reglas desactivadas en la poltica de seguridad
Bsqueda de los detalles de reenvo de logs en la poltica de seguridad
Bsqueda de Detalles de log en poltica de seguridad
Bsqueda de reglas programadas en la poltica de seguridad
Bsqueda de reglas de polticas de seguridad para perfiles de seguridad
Bsqueda de un perfil de antivirus
Bsqueda de un perfil de filtrado de URL especfico
Bsqueda de un perfil antispyware
Bsqueda de un perfil de proteccin de vulnerabilidades especfico
Bsqueda de un perfil de bloqueo de archivos
Bsqueda de un perfil de filtrado de datos
Bsqueda de un perfil de antivirus

Use la sintaxis profile-setting/profiles/virus/member para buscar un perfil de seguridad de
antivirus. Por ejemplo, supongamos que tiene un perfil de antivirus con el nombre BloquearTodo, que utiliza para
bloquear virus en todo el trfico de aplicaciones FTP, HTTP, IMAP, POP3, SMB y SMTP. Para buscar todas las
reglas de polticas de seguridad que incluyan este perfil de antivirus, puede introducir la siguiente cadena de
bsqueda en el cuadro de texto de filtro de la pestaa Poltica
profile-setting/profiles/virus/member eq BloquearTodo
El filtro de bsqueda distingue entre maysculas y minsculas. Por lo tanto, al filtrar debe
introducir el nombre del objeto exactamente como se muestra en la pestaa Objetos. En este
caso, filtrar por bloqueartodo o Bloqueartodo no generara ningn resultado porque la
grafa exacta del objeto es BloquearTodo.
Tras aplicar el filtro de bsqueda, la base de reglas ahora solo muestra reglas de polticas de seguridad con el
perfil de seguridad BloquearTodo incluido del siguiente modo:
634
Poltica
Poltica
Bsqueda de un perfil de filtrado de URL especfico

Use la sintaxis profile-setting/profiles/url-filtering/member para buscar un perfil de
seguridad de antivirus. Por ejemplo, para buscar todas las reglas de polticas de seguridad que tienen el perfil de
filtrado de URL con el nombre bloquear malware, debera introducir la siguiente cadena de bsqueda en el
cuadro de texto de filtro:
profile-setting/profiles/url-filtering/member eq bloquear software
malintencionado
En este caso, ya que el nombre de perfil contiene espacios en blanco, debe escribir el nombre
entrecomillado para que el filtro coincida con reglas de polticas que incluyan el perfil de filtrado
de URL bloquear software malintencionado.
perfil de seguridad bloquear software malintencionado incluido del siguiente modo:
Poltica
635
Poltica
Bsqueda de un perfil antispyware

Use la sintaxis profile-setting/profiles/spyware/member para buscar un perfil de seguridad
de antispyware. Por ejemplo, para buscar todas las reglas de polticas de seguridad que tienen el perfil de
seguridad antispyware predeterminado incluido, debera introducir la siguiente cadena de bsqueda en el cuadro
de texto de filtro:
profile-setting/profiles/spyware/member eq predeterminado
perfil antispyware predeterminado incluido del siguiente modo:
Bsqueda de un perfil de proteccin de vulnerabilidades especfico

Use la sintaxis profile-setting/profiles/vulnerability/member para buscar un perfil de
seguridad de proteccin de vulnerabilidades. Por ejemplo, para buscar todas las reglas de polticas de seguridad
que tienen el perfil de seguridad de proteccin de vulnerabilidades estricto incluido, debera introducir la
siguiente cadena de bsqueda en el cuadro de texto de filtro:
profile-setting/profiles/vulnerability/member eq estricto
perfil de seguridad Proteccin de vulnerabilidades estricto incluido del siguiente modo:
636
Poltica
Poltica
Bsqueda de un perfil de bloqueo de archivos

Use la sintaxis profile-setting/profiles/file-blocking/member para buscar un perfil de
seguridad de bloqueo de archivos. Por ejemplo, supongamos que ha creado un perfil de bloqueo de archivos
llamado Wildfire que usar para reenviar los archivos PE a WildFire para su anlisis. Puede comprobar
rpidamente que todas las reglas de polticas de seguridad tienen el perfil de bloqueo de archivos incluido
buscando todas las reglas de polticas de seguridad que tengan el perfil de seguridad de bloqueo de archivos
WildFire incluido. Para ello introduzca la siguiente cadena de bsqueda en el cuadro de texto de filtrado:
profile-setting/profiles/file-blocking/member eq Wildfire
Tras aplicar el filtro de bsqueda, la base de reglas ahora muestra todas las reglas de polticas de seguridad con
el perfil de seguridad de bloqueo de archivos WildFire incluido del siguiente modo:
Bsqueda de un perfil de filtrado de datos

Use la sintaxis profile-setting/profiles/data-filtering/member para buscar reglas de
poltica de seguridad que tienen un perfil de seguridad de filtrado de datos especfico incluido. Por ejemplo,
supongamos que ha creado un perfil de filtrado de datos con llamado tarjetas de crdito. Puede buscar todas las
reglas de polticas de seguridad que tienen este perfil incluido buscando todas las reglas de polticas de seguridad
que tengan el perfil de seguridad de filtrado de datos WildFire incluido. Para ello introduzca la siguiente cadena
de bsqueda en el cuadro de texto de filtrado:
profile-setting/profiles/data-filtering/member eq tarjetas de crdito
Observe nuevamente que el nombre de perfil debe estar entrecomillado porque contiene espacios.
Tras aplicar el filtro de bsqueda, la base de reglas ahora muestra solo las reglas de polticas de seguridad con el
perfil de filtrado de datos de tarjetas de crdito incluido del siguiente modo:
Poltica
637
Poltica
Bsqueda de reglas desactivadas en la poltica de seguridad

Si quiere ver informacin general de todas las reglas de seguridad que estn activadas actualmente en su poltica,
puede mostrarlas introduciendo el siguiente comando en la barra de bsqueda de la poltica de seguridad.
disabled eq yes
Bsqueda de los detalles de reenvo de logs en la poltica de seguridad

Si quiere ver informacin general de todas las reglas de seguridad que envan actualmente sus logs usando un
perfil de reenvo de logs concreto, puede filtrar la base de reglas usando el parmetro logsetting. Por
ejemplo, para filtrar por todas las reglas que estn reenviando sus logs usando un perfil de reenvo de logs
llamado panorama, puede introducir el siguiente comando en la barra de bsqueda de la pgina Polticas >
Seguridad:
logsetting eq panorama
638
Poltica
Poltica
Bsqueda de Detalles de log en poltica de seguridad

Si quiere ver informacin general de todas las reglas de seguridad que envan actualmente sus logs, puede utilizar
los filtros log-end y log-start. Por ejemplo, para ver todas las reglas de polticas que generan logs al final de una
sesin, puede filtrar la base de reglas usando el filtro:
log-end eq yes
De forma similar, para ver todas las reglas de polticas que generan logs al inicio de una sesin, puede filtrar la
base de reglas usando el filtro:
log-start eq yes
Poltica
639
Poltica
Bsqueda de reglas programadas en la poltica de seguridad

Si quiere ver informacin general de todas las reglas de seguridad que estn definidas para activarse basndose
en una programacin temporal concreta (p. ej., durante la hora del almuerzo), puede mostrarlas introduciendo
el siguiente comando en el barra de bsquedas de la pgina Polticas > Seguridad.
schedule eq Hora del almuerzo
Este campo de bsqueda distingue entre maysculas y minsculas, por lo que debe introducir el
nombre del objeto exactamente como aparece en la configuracin del cortafuegos. Adems,
debe entrecomillar los nombres que contengan espacios en blanco.
640
Poltica
Poltica

El cortafuegos o Panorama suelen forzar la poltica para una IP de origen o destino que se define como un
objeto esttico en el cortafuegos. Si necesita agilidad en el forzaje de polticas para una lista de direcciones IP de
origen/destino que emergen ad hoc, puede usar listas de bloques dinmicos.
Una lista de bloque dinmico es un archivo de texto que contiene una lista de direcciones IP, intervalos de IP o
subredes IP y est alojado en un servidor web. La lista de bloque dinmico se puede usar para denegar o permitir
el acceso a direcciones IP (IPv4 e IPv6) incluidas en la lista. Por ejemplo, puede usarla como lista de direcciones
de confianza para permitir un conjunto de direcciones IP o como lista de direcciones no deseadas para impedir
el acceso a las direcciones IP especificadas. En un intervalo configurado, el cortafuegos importa dinmicamente
la lista y fuerza la poltica para las direcciones IP incluidas en la lista. Al modificar la lista, el cortafuegos recupera
las actualizaciones; no se requieren cambios de configuracin ni forzajes en el cortafuegos. Si no se puede
contactar con el servidor web, el cortafuegos o Panorama usarn la ltima lista recuperada correctamente para
el forzaje de la poltica hasta que se recupere la conexin con el servidor web donde se aloja la lista.
Visualizacin del lmite de direcciones IP para su modelo de cortafuegos
Directrices de formato para listas de bloque dinmico
Forzaje de polticas con una Lista de bloque dinmico
Consulta de la lista de direcciones IP en la lista de bloque dinmico
Recuperacin de una lista de bloque dinmico del servidor web
Visualizacin del lmite de direcciones IP para su modelo de cortafuegos

Independientemente de cada modelo de cortafuegos, cada cortafuegos admite un mximo de 10 listas de bloque
dinmico.
Para encontrar el mximo nmero de direcciones, grupos de direcciones y direcciones IP por grupo, use el
siguiente comando de la CLI para su modelo en el cortafuegos:
show system state | match cfg.general.max-address
Por ejemplo:
admin@PA-7050> show system state | match cfg.general.max-address
cfg.general.max-address: 80000
cfg.general.max-address-group: 8000
cfg.general.max-address-per-group: 500
Cada lista contiene el nmero mximo de direcciones IP que admite su modelo de cortafuegos
menos 300. El cortafuegos se reserva 300 direcciones IP para uso interno, que se restan del lmite
mximo disponible. Por lo tanto, en el ejemplo anterior, el cortafuegos puede tener un mximo de
79.700 direcciones IP.
Poltica
641
Poltica
Directrices de formato para listas de bloque dinmico

La lista de bloque dinmico puede incluir direcciones IP individuales, direcciones de subred (direccin/mscara)
o un intervalo de direcciones IP. Adems, la lista de bloque puede incluir comentarios y caracteres especiales
tales como * , : , ; # /. La sintaxis para cada lnea de la lista es [direccin IP, IP/mscara o
intervalo inicial IP-intervalo final IP] [espacio] [comentario]
Dado que el cortafuegos ignora las lneas con formato incorrecto, siga estas directrices al definir la lista:
Introduzca cada direccin/intervalo/subred IP en una nueva lnea; la lista no admite URL.
Si aade comentarios, deben incluirse en la misma lnea que la direccin/intervalo/subred IP. El espacio al
final de la direccin IP es el delimitador que separa un comentario de la direccin IP.
Por ejemplo:
192.168.20.10/32
2001:db8:123:1::1 #direccin IPv6 de prueba
192.168.20.0/24 ; subred interna de prueba
2001:db8:123:1::/64 intervalo de IPv6 interno de prueba
192.168.20.40-192.168.20.50
Para una direccin IP bloqueada, puede mostrar una pgina de notificacin solo si el protocolo
es HTTP.

Paso 1
642
Crear una lista de bloque dinmico y

alojarla en un servidor web para que el
cortafuegos pueda recuperar la lista para
la evaluacin de polticas
1.
Cree un archivo de texto e introduzca las direcciones para las

que quiere recuperar la poltica. Consulte la sintaxis en
Directrices de formato para listas de bloque dinmico.
Poltica
Poltica
Paso 2
Paso 3
Paso 4
Crear un objeto de lista de bloque

dinmico en el cortafuegos
1.
Seleccione Objetos > Listas de bloque dinmico.
2.
Haga clic en Aadir e introduzca un Nombre descriptivo para la

lista.
3.
(Opcional) Seleccione Compartido para compartir la lista con

todos los sistemas virtuales en un dispositivo que est habilitado
para varios sistemas virtuales. De manera predeterminada, el
objeto se crea en el sistema virtual que est seleccionado
actualmente en el men desplegable Sistemas virtuales.
4.
Introduzca la URL de Origen URL (nombre de host o direccin

y la ruta) de la lista que acaba de crear en el servidor web. Por
ejemplo, https://1.2.3.4/DBL_2014
5.
Haga clic en Probar URL de origen para comprobar que el

cortafuegos o Panorama pueden conectarse correctamente al
servidor web.
6.
(Opcional) Especifique la frecuencia de Repeticin con la que

el cortafuegos o Panorama deben recuperar la lista. De manera
predeterminada, la lista se recupera cada hora.
7.
1.
Usar la lista de bloque dinmico como
objeto de direccin de origen o destino en 2.
la poltica
Cree listas de bloque dinmico

3.
separadas si quiere especificar
4.
acciones de permiso y
denegacin para direcciones IP concretas.
En la pestaa Origen, seleccione la zona de origen.
La lista se puede consultar en cualquier

5.
tipo de poltica. En este ejemplo, se
incluye como un objeto de destino en una 6.
En la pestaa Categora de URL/servicio, asegrese de que

Servicio est definido en predeterminado de aplicacin.
Haga clic en Aadir y use un nombre descriptivo para la regla en

la pestaa General.
En la pestaa Destino, seleccione la zona de destino y
seleccione la lista de bloque dinmico como direccin de
destino.
En la pestaa Acciones, en la seccin Configuracin de accin,

seleccione Permitir o Denegar.
7.
Deje el resto de opciones con los valores predeterminados.
8.
9.
Comprobar que la accin de poltica est 1.

forzada
Acceda a una direccin IP incluida en la lista de bloque dinmico

y compruebe que la accin que ha definido est forzada.
2.
Seleccione Supervisar > Logs > Trfico y consulte la entrada del

log de la sesin.
3.
Para verificar la regla de poltica que coincide con un flujo, utilice

el siguiente comando de la CLI:
test security-policy-match source <direccin_IP>

destination <direccin_IP> destination port
<nmero_de_puerto> protocol <nmero_de_protocolo>
Poltica
643
Poltica
Consulta de la lista de direcciones IP en la lista de bloque dinmico

Consulta de las direcciones IP incluidas en la lista de bloque dinmico
Para ver una lista de direcciones IP que el cortafuegos ha recuperado del servidor web, introduzca el siguiente comando
de la CLI:
request system external-list show name <nombre>
Por ejemplo, para una lista con el nombre DBL_2014, el resultado es:
vsys1/DBL_2014:
Prxima actualizacin el: Mircoles 27 de agosto 16:00:00 2014
IP:
1.1.1.1
1.2.2.2/20 #prueba China
192.168.255.0; prueba interna
192.168.254.0/24 prueba de intervalo interno
Recuperacin de una lista de bloque dinmico del servidor web

El cortafuegos o Panorama se pueden configurar para recuperar la lista del servidor web cada hora, da, semana
o mes. Si ha aadido o eliminado direcciones IP de la lista y necesita realizar una actualizacin inmediata, debe
usar la interfaz de lnea de comandos.
Recuperacin de una lista de bloque dinmico
1.
Introduzca el comando: request system external-list refresh name <nombre>

Por ejemplo, request system external-list refresh name DBL_2014
2.
Obtenga el ID de trabajo para el trabajo actualizado usando el comando de la CLI: show jobs all
Busque el ltimo trabajo EBL Refresh en la lista
3.
Consulte los detalles del ID de trabajo. Use el comando show jobs id <nmero>
Aparecer un mensaje para indicar si se ha realizado correcta o incorrectamente. Por ejemplo:
admin@PA-200> show jobs id 55
En cola
ID
Tipo
Estado Resultado Completado
-------------------------------------------------------------------------2014/08/26 15:34:14
55
EBLRefresh
FIN
ACEPTAR 15:34:40
Advertencias:
Detalles:
644
Poltica
Poltica

Para reducir los desafos de diversidad de tamaos, falta de flexibilidad y rendimiento, la arquitectura de las redes
de hoy da permite asignar, cambiar y eliminar clientes, servidores y aplicaciones bajo demanda. Esta agilidad
plantea un desafo a los administradores de seguridad, ya que tienen una visibilidad limitada de las direcciones
IP de los clientes, servidores y numerosas aplicaciones con asignacin dinmica que pueden habilitarse en estos
recursos virtuales.
El cortafuegos (plataformas basadas en hardware y VM-Series) es compatible con la opcin de registro de
direcciones IP y etiquetas de forma dinmica. Las direcciones IP y etiquetas se pueden registrar en el cortafuegos
directamente o a travs de Panorama. Este proceso de registro dinmico se puede habilitar usando una de las
siguientes opciones:
Agente User-ID para Windows: En un entorno donde ha implementado el agente User-ID, puede habilitar
el agente User-ID para supervisar 100 servidores VMware ESXi o vCenter. Al asignar o modificar mquinas
virtuales en estos servidores VMware, el agente puede recuperar los cambios de direcciones IP y
compartirlos con el cortafuegos.
Orgenes de informacin de VM: Le permite supervisar los servidores VMware ESXi y vCenter, as como
AWS-VPC para recuperar las direcciones IP cuando asigna o modifica mquinas virtuales en estos orgenes.
Orgenes de informacin de VM sondea en busca de un conjunto predefinido de atributos y no requiere
secuencias de comandos externas para registrar las direcciones IP a travs de la API XML. Consulte
Supervisin de cambios en el entorno virtual.
VMware Service Manager (disponible solo para la solucin NSX integrada): La solucin NSX integrada
est diseada para la asignacin y distribucin automticas de servicios de Palo Alto Networks de nueva
generacin y ofrecer polticas de seguridad dinmicas basadas en contexto mediante Panorama. NSX
Manager actualiza Panorama con la informacin ms reciente de las etiquetas y direcciones IP asociadas a
las mquinas virtuales implementadas en esta solucin integrada. Para obtener informacin sobre esta
solucin, consulte Set Up a VM-Series NSX Edition Firewall (Configuracin de un cortafuegos VM-Series
NSX Edition).
API XML: El cortafuegos y Panorama admiten una API XML que use solicitudes HTTP estndar para
enviar y recibir datos. Puede usar esta API para registrar direcciones IP y etiquetas en el cortafuegos o
Panorama. Las llamadas de la API se pueden realizar directamente desde utilidades de lneas de comando
como cURL o usando cualquier marco de secuencias de comandos o aplicaciones compatible con servicios
basados en REST. Consulte PAN-OS XML API Usage Guide (en ingls) para obtener ms informacin.
Para obtener informacin sobre cmo crear y usar grupos de direcciones dinmicas, consulte Uso de grupos de
direcciones dinmicas en polticas.
Para consultar los comandos de la CLI para el registro dinmico de etiquetas, consulte Comandos de la CLI para
etiquetas y direcciones IP.
Poltica
645
Poltica

Para proteger las aplicaciones y evitar amenazas en un entorno en el que aparecen constantemente nuevos
usuarios y servidores, su poltica de seguridad ha de ser gil. Para que sea gil, el cortafuegos debe ser capaz de
aprender las direcciones IP nuevas o modificadas y aplicar las polticas de manera consistente sin necesidad de
realizar cambios de configuracin en el cortafuegos.
Esta capacidad se proporciona mediante la coordinacin entre las funciones de orgenes de informacin de VM y
grupos de direcciones dinmicas en el cortafuegos. El cortafuegos y Panorama ofrecen un modo automatizado
de recopilar informacin en el inventario de mquinas virtuales (o invitadas) en cada origen supervisado y crear
objetos de polticas que permanecen sincronizadas con los cambios dinmicos de la red.
Habilitacin de supervisin de VM para el registro de cambios en la red virtual
Atributos supervisados en los entornos AWS y VMware
Uso de grupos de direcciones dinmicas en polticas
646
Poltica
Poltica
Habilitacin de supervisin de VM para el registro de cambios en la red

virtual
Orgenes de informacin de VM ofrece un modo automatizado de recopilar informacin en el inventario de la
mquina virtual (VM) en cada origen supervisado (host); el cortafuegos puede supervisar VMware ESXi y el
servidor vCenter, as como AWS-VPC. Al implementar o mover mquinas virtuales (invitados), el cortafuegos
recopila una serie de atributos predefinidos (o elementos de metadatos) como etiquetas; estas etiquetas se
pueden usar para definir grupos de direcciones dinmicas (consulte Uso de grupos de direcciones dinmicas en
polticas) y buscar coincidencias en la poltica.
Hasta 10 orgenes de informacin VM se pueden configurar en el cortafuegos o enviar usando plantillas de
Panorama. De manera predeterminada, el trfico entre el cortafuegos y los orgenes supervisados usa el puerto
de gestin (MGT) en el cortafuegos.
Orgenes de informacin de VM ofrece una configuracin sencilla y le permite supervisar un
conjunto de 16 elementos o atributos de metadatos. Consulte la lista en Atributos supervisados
en los entornos AWS y VMware.
Poltica
647
Poltica
Configuracin del agente de supervisin de VM
Paso 1
Habilitar el agente de supervisin de VM 1.
Seleccione Dispositivo > Orgenes de informacin de VM.
2.
Haga clic en Aadir y especifique la siguiente informacin:
Se pueden configurar hasta 10

orgenes en cada cortafuegos o
para cada sistema virtual en
cortafuegos con capacidad para
varios sistemas virtuales.
Si sus cortafuegos estn configurados con
alta disponibilidad:
En una configuracin activa/pasiva,
solo el cortafuegos activo supervisa los
orgenes VM.
En una configuracin activa/activa,
solo el cortafuegos con el valor de
prioridad primario supervisa los
orgenes de VM.
Un nombre para identificar el servidor VMware ESX(i) o

vCenter Server que quiere supervisar.
Introduzca la informacin de host del servidor: nombre de
host o direccin IP y el puerto en el que escucha.
Seleccione el tipo para indicar si el origen es un servidor
VMware ESX(i) o VMware vCenter.
Aada las credenciales (Nombre de usuario y Contrasea)
para autenticar el servidor especificado ms arriba.
Use las credenciales de un usuario administrativo para
permitir el acceso.
(Opcional) Modifique el intervalo de actualizacin a un
valor entre 5-600 segundos. De manera predeterminada, el
cortafuegos sondea cada 5 segundos. Las llamadas de API se
ponen en cola y recuperan cada 60 segundos, de modo que
las actualizaciones pueden tardar hasta 60 segundos, ms el
intervalo de sondeo configurado.
(Opcional) Introduzca el intervalo en horas cuando la conexin

con el origen supervisado est cerrada, si el host no responde.
(de forma predeterminada: 2 horas, rango de 2-10 horas)
Para cambiar el valor predeterminado, seleccione la casilla de
verificacin Habilitar el tiempo de espera cuando el origen
est desconectado y especifique el valor. Cuando se alcanza el
lmite especificado o si no se puede acceder al host o este no
responde, el cortafuegos cerrar la conexin al origen.
Compruebe que el Estado de conexin aparece como
conectado .
648
Poltica
Poltica
Configuracin del agente de supervisin de VM (Continuacin)
Paso 2
Comprobar el estado de conexin
Compruebe que el Estado de conexin aparece como
conectado.
Si el estado de conexin est pendiente o desconectado, compruebe

que el origen est operativo y que el cortafuegos puede acceder al
origen. Si usa un puerto diferente a MGT para la comunicacin con
el origen supervisado, debe cambiar la ruta de servicios
(Dispositivo > Configuracin > Servicios, hacer clic en el enlace
Configuracin de ruta de servicios y modificar la interfaz de
origen para el servicio Supervisor de VM).
Poltica
649
Poltica
Atributos supervisados en los entornos AWS y VMware

Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y en
ejecucin. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.
Para recopilar valores asignados a las VM supervisadas, el cortafuegos supervisa el siguiente conjunto de
atributos predefinidos:
Atributos supervisados en un origen de VMware
Atributos supervisados en el AWS-VPC
UUID
Arquitectura
Nombre
Sistema operativo invitado
Sistema operativo invitado
ID de imagen
Estado de mquina virtual: el estado de alimentacin es

apagado, encendido, en espera y desconocido.
ID de instancia
Anotacin
Estado de instancia
Versin
Tipo de instancia
Red: nombre del conmutador virtual, nombre del grupo de Nombre de clave
puerto e ID de VLAN
Nombre del contenedor: nombre de vCenter, nombre del Colocacin: arrendamiento, nombre de grupo, zona de
objeto del centro de datos, nombre del grupo de recursos,
disponibilidad
nombre del clster, host, direccin IP del host.
Nombre de DNS privado
Nombre de DNS pblico
ID de subred
Etiqueta (clave, valor) (se admiten hasta 5 etiquetas por
instancia)
ID de VPC
650
Poltica
Poltica

En las polticas se usan grupos de direcciones dinmicas. Estos permiten crear polticas que se adaptan a los
cambios automticamente, aadiendo, moviendo o eliminando servidores. Tambin permite aplicar diferentes
reglas al mismo servidor en funcin de las etiquetas que definen su funcin en la red, el sistema operativo o los
diferentes tipos de trfico que procesa.
Un grupo de direcciones dinmicas usa etiquetas como criterios de filtrado para determinar a sus miembros. El
filtro usa los operadores lgicos y y o. Todas las direcciones o grupos de direcciones IP que coincidan con los
criterios de filtrado se hacen miembros del grupo de direcciones dinmicas. Las etiquetas se pueden definir
estticamente en el cortafuegos o registrarse (dinmicamente) en el cortafuegos. La diferencia entre etiquetas
estticas y las dinmicas es que las etiquetas estticas forman parte de la configuracin del cortafuegos y las
dinmicas forman parte de la configuracin del tiempo de ejecucin. Esto significa que no se requiere
compilacin para actualizar etiquetas dinmicas; las etiquetas deben no obstante ser usadas por grupos de
direcciones dinmicas a las que se haga referencia en la poltica, y la poltica debe estar compilada en el
dispositivo.
Para registrar etiquetas dinmicamente, puede usar la API XML o el agente de supervisin VM en el cortafuegos
o usar el agente User-ID. Cada etiqueta es un elemento de metadatos o par de atributo y valor registrado en el
cortafuegos o Panorama. Por ejemplo, IP1 {tag1, tag2,.....tag32}, donde la direccin IP y las etiquetas asociadas
se mantienen como una lista; cada direccin IP registrada puede tener hasta 32 etiquetas como el sistema
operativo, el centro de datos o el conmutador virtual al que pertenece. Durante los primeros 60 segundos desde
la llamada de API, el cortafuegos registra la direccin IP y las etiquetas asociadas, y actualiza automticamente
la informacin de pertenencia a los grupos de direcciones dinmicas.
El nmero mximo de direcciones IP que se puede registrar para cada plataforma es diferente. Consulte en la
siguiente tabla la informacin especfica de su plataforma:
Plataforma
Nmero mximo de direcciones IP registradas

dinmicamente
PA-7050, PA-5060, VM-1000-HV
100.000
PA-5050
50.000
PA-5020
25.000
Serie PA-4000, serie PA-3000
5000
Serie PA-2000, PA-500, PA-200, VM-300, VM-200,

VM-100
1000
El siguiente ejemplo muestra cmo los grupos de direcciones dinmicas pueden simplificar el forzaje de
seguridad de la red. El flujo de trabajo de ejemplo muestra cmo:
Habilitar el agente de supervisin VM en el cortafuegos para supervisar el host VMware ESX(i) o el servidor
vCenter y registrar las direcciones IP de la VM y las etiquetas asociadas.
Crear grupos de direcciones dinmicas y definir etiquetas para el filtro. En este ejemplo se han creado dos
grupos de direcciones. Uno que solo filtra por etiquetas dinmicas y otro que filtra por etiquetas tanto
estticas como dinmicas para aadir los miembros del grupo.
Comprobar que los miembros del grupo de direcciones dinmicas se han aadido al cortafuegos.
Poltica
651
Poltica
Usar grupos de direcciones dinmicas en la poltica. Este ejemplo usa dos polticas de seguridad diferentes:
Una poltica de seguridad para todos los servidores Linux que se implementan como servidores FTP;
esta regla busca coincidencias con las etiquetas registradas dinmicamente.
Una poltica de seguridad para todos los servidores Linux que se implementan como servidores; esta
regla busca coincidencias con el grupo de direcciones dinmicas que usa etiquetas estticas y dinmicas.
Comprobar que los miembros de los grupos de direcciones dinmicas estn actualizados como nuevos
servidores FTP o que se implementan servidores web. De este modo se garantiza que se fuercen las reglas
de seguridad tambin en estas nuevas mquinas virtuales.
Paso 1
Habilitar supervisin de orgenes VM
Paso 2
Crear grupos de direcciones dinmicas en 1.

el cortafuegos
2.
Vea el tutorial para obtener
informacin detallada de la
funcin.
Consulte Habilitacin de supervisin de VM para el registro de

cambios en la red virtual.
Inicie sesin en la interfaz web del cortafuegos.
Seleccione Objeto > Grupos de direcciones.
3.
Haga clic en Aadir e introduzca un Nombre y una

Descripcin del grupo de direcciones.
4.
Defina el Tipo como Dinmico.
5.
Defina los criterios de coincidencia. Puede seleccionar etiquetas

dinmicas y estticas como los criterios de coincidencia para
aadir miembros del grupo. Haga clic en Aadir criterios de
coincidencia y seleccione el operador Y u O; seleccione adems
los atributos por los que le gustara filtrar o buscar coincidencias
y haga clic en ACEPTAR.
6.
Los criterios de coincidencia para cada grupo de direcciones dinmicas en este ejemplo son los siguientes:
ftp_server: coincidencias en el sistema operativo invitado Linux 64-bit y anotado como ftp ('guestos.Ubuntu Linux
64-bit' y 'annotation.ftp').
web-servers: coincidencias en dos criterios: la etiqueta negra o si el sistema operativo invitado es Linux 64 bits y el nombre
del servidor es Web_server_Corp. ('guestos.Ubuntu Linux 64-bit' y 'vmname.WebServer_Corp' o 'black')
652
Poltica
Poltica
Uso de grupos de direcciones dinmicas en polticas (Continuacin)
Paso 3
Usar grupos de direcciones dinmicas en 1.

la poltica.
2.
Consulte el tutorial.

Haga clic en Aadir e introduzca un Nombre y una Descripcin
para la poltica.
3.
Aada la zona de origen para especificar la zona desde la que se

origina el trfico.
4.
Aada la zona de destino donde finaliza el trfico.
5.
Para la direccin de destino, seleccione el grupo de direcciones

dinmicas que ha creado en el Paso 2 anterior.
6.
Especifique la accin (Permitir o Denegar) para el trfico y, de

manera opcional, incluya los perfiles de polticas de seguridad en
la regla.
7.
Repita los pasos del 1 al 6 para crear otra regla de poltica.
8.
Este ejemplo muestra cmo crear dos polticas: una para todo el acceso a los servidores FTP y otro para el acceso a los
servidores web.
Paso 4
Comprobar que los miembros del grupo 1.

de direcciones dinmicas se han aadido 2.
al cortafuegos.
3.
Seleccione Polticas > Seguridad y seleccione la regla.

Seleccione la flecha desplegable junto al vnculo del grupo de
direcciones y seleccione Inspeccionar. Tambin puede
comprobar si los criterios de coincidencia son precisos.
Haga clic en el vnculo ms y compruebe que se muestra la lista

de direcciones IP registradas.
La poltica entra en vigor para todas las direcciones IP que

pertenecen a este grupo de direcciones y se muestra aqu.
Poltica
653
Poltica

La interfaz de lnea de comandos del cortafuegos y Panorama le ofrecen una vista detallada de los diferentes
orgenes desde los que se registran las etiquetas y direcciones IP dinmicamente. Tambin le permite auditar las
etiquetas registradas y no registradas. Los siguientes ejemplos ilustran las funcionalidades de la CLI.
Ejemplo
Comando de la CLI
Ver todas las direcciones IP registradas que

show log iptag tag_name equal state.poweredOn
coincidan con la etiqueta state.poweredOn o show log iptag tag_name not-equal switch.vSwitch0
que no estn etiquetadas como vSwitch0
Ver todas las direcciones IP registradas
dinmicamente con origen en Orgenes de
informacin de VM con el nombre vmware1 y
etiquetadas como poweredOn
show vm-monitor source source-name vmware1 tag

state.poweredOn registered-ip all
Borrar todas las direcciones IP y etiquetas

obtenidas desde un origen de supervisin de VM
sin desconectar el origen
debug vm-monitor clear source-name <nombre>
IP registrada
Etiquetas
----------------------------- ----------------fe80::20c:29ff:fe69:2f76
"state.poweredOn"
10.1.22.100
"state.poweredOn"
2001:1890:12f2:11:20c:29ff:fe69:2f76
"state.poweredOn"
fe80::20c:29ff:fe69:2f80
"state.poweredOn"
192.168.1.102
"state.poweredOn"
10.1.22.105
"state.poweredOn"
2001:1890:12f2:11:2cf8:77a9:5435:c0d
"state.poweredOn"
fe80::2cf8:77a9:5435:c0d
"state.poweredOn"
Mostrar direcciones IP registradas desde todos los show object registered-ip all
orgenes
Mostrar el recuento de direcciones IP registradas
desde todos los orgenes
show object registered-ip all option count
Borrar direcciones IP registradas desde todos los

orgenes
debug object registered-ip clear all
Aadir o eliminar etiquetas para una direccin IP

dada que se ha registrado usando la API XML
debug object test registered-ip

[<registrar/anular registro>] <ip/mscara de red>
<etiqueta>
654
Poltica
Poltica
Ejemplo
Comando de la CLI
Ver todas las etiquetas registradas desde un origen show vm-monitor source source-name vmware1
tag all
de informacin especfico
vlanId.4095
vswitch.vSwitch1
host-ip.10.1.5.22
portgroup.TOBEUSED
hostname.panserver22
portgroup.VM Network 2
datacenter.ha-datacenter
vlanId.0
state.poweredOn
vswitch.vSwitch0
vmname.Ubuntu22-100
vmname.win2k8-22-105
resource-pool.Resources
vswitch.vSwitch2
guestos.Ubuntu Linux 32-bit
guestos.Microsoft Windows Server 2008 32-bit
annotation.
version.vmx-08
portgroup.VM Network
vm-info-source.vmware1
uuid.564d362c-11cd-b27f-271f-c361604dfad7
uuid.564dd337-677a-eb8d-47db-293bd6692f76
Total: 22
Ver todas las etiquetas registradas desde un origen Para ver etiquetas registradas desde la CLI:
de datos especfico, por ejemplo, desde el agente de
show log iptag datasource_type equal unknown
supervisin de VM en el cortafuegos, la API XML,
Para ver etiquetas registradas desde la API XML:
el agente de User-ID de Windows o la CLI
show log iptag datasource_type equal xml-api
Para ver etiquetas registradas desde orgenes de informacin de
VM:
show log iptag datasource_type equal vm-monitor
Para ver etiquetas registradas desde el agente User-ID de Windows:
show log iptag datasource_type equal xml-api
datasource_subtype equal user-id-agent
Ver todas las etiquetas registradas para una
direccin IP especfica (en todos orgenes).
Poltica
debug object registered-ip show tag-source ip

direccin_ip tag all
655
Poltica
Registro de direcciones IP de clientes para solicitudes

HTTP/HTTPS con proxy
Si tiene un servidor proxy implementado entre los usuarios en su red y el cortafuegos, el cortafuegos puede ver
la direccin IP del servidor proxy como la direccin IP de origen en el trfico que el proxy reenva en lugar de
la direccin IP del cliente que ha solicitado el contenido. En muchos casos, el servidor proxy aade un
encabezado x-forwarded-for al paquete, que incluye la direccin IP real del cliente de origen. En esos casos, si
quiere identificar a un cliente particular que ha solicitado el contenido, debe configurar el cortafuegos para que
registre el valor en el campo de encabezado x-forwarded-for del encabezado de paquete.
Registrar el valor de x-forwarded-for le permite obtener la direccin IP del cliente o el nombre de usuario, si
est disponible, la direccin IP del ltimo servidor proxy atravesado en una cadena de proxies o cualquier cadena
que est incluida en el campo. A continuacin, puede usar esta informacin para generar informes y supervisar
el acceso web en su red, as como crear/modificar las polticas de seguridad para habilitar de forma segura el
acceso web en la red.
Para registrar la direccin IP del cliente desde el campo x-forwarded-for para las solicitudes web con proxy,
puede configurar el cortafuegos de uno de los siguientes modos:
Log de valores de X-Forwarded-For del log de trfico
Log de valores de X-Forwarded-For del log de filtrado de URL

Cuando configura el registro de campos x-forwarded-for para el log de trfico, el cortafuegos reemplaza el valor
en el campo de direccin IP de origen almacenado con el campo de encabezado de x-forwarded-for. Asimismo,
tambin puede configurar el cortafuegos para quitar la direccin IP del campo x-forwarded-for cuando el
paquete sale del cortafuegos para recuperar contenido de un servidor externo. Esta funcin le permite registrar
la direccin del usuario que solicit el contenido y eliminar la direccin IP del usuario antes de que la solicitud
atraviese Internet.
Paso 1
1.
Habilitar el registro de campos
x-forwarded a los logs de filtrado de URL 2.
Este valor ser la direccin IP del cliente
que origin la solicitud o la direccin IP
del ltimo servidor proxy que proces esa
solicitud en una cadena de proxies.
Paso 2
656
Eliminar la direccin IP desde el campo

x-forwarded-for en una solicitud web
saliente.

En la seccin de filtrado de URL, seleccione la casilla de
verificacin x-forwarded-for. Esta direccin IP en el campo
x-forwarded-for se registrar en el campo de la direccin IP de
origen del log de trfico.
1.
2.
En la seccin de filtrado de URL, seleccione la casilla de

verificacin Quitar x-forwarded-for. El cortafuegos quitar la
direccin IP desde el campo x-forwarded-for antes del reenvo
de la solicitud al servidor.
Poltica
Poltica

Puede configurar el cortafuegos para que registre los valores en el campo x-forwarded-for de la solicitud web
en el log de filtrado de URL. En este caso, el campo x-forwarded-for en el log puede ser una direccin IP del
cliente, un nombre de usuario si est disponible o cualquier valor de hasta 128 caracteres que est almacenado
en el campo. Dado que esto se configura en el perfil de filtrado de URL, se trata de una parte del log de filtrado
de URL. Sin embargo, aunque el valor x-forwarded-for es parte del log de filtrado de URL, cuando hace clic en
un log de filtrado de URL, puede hacer clic en las sucesivas entradas de log relacionadas con los datos para
correlacionarlos tambin a travs de los logs de amenazas y WildFire.
1.
2.
Aada un nuevo perfil e introduzca un nombre descriptivo, o bien seleccione un perfil existente (excepto el
perfil predefinido, como el perfil predeterminado).

3.
En la pestaa Categoras, defina cmo controlar el acceso al contenido web. En cada categora para la que quiera
visibilidad o que quiera controlar, seleccione un valor en la columna Accin de la siguiente forma:
Si no se preocupa por el trfico a una categora concreta (es decir, que no quiere bloquear ni registrar),
seleccione Permitir.
Para tener visibilidad del trfico de los sitios de una categora, seleccione Alerta.
Para denegar el acceso al trfico que coincide con la categora y registrar en logs el trfico bloqueado,
seleccione Bloquear.
4.
En la pestaa Configuracin, seleccione la casilla de verificacin X-Forwarded-For para habilitar el registro del
valor x-forwarded-for en el log de filtrado de URL.
5.
Adjunte el perfil de filtrado de URL a una regla de polticas.
6.
Confirme los cambios de configuracin.
Poltica
657
Poltica

Normalmente, el cortafuegos usa la direccin IP de destino en un paquete para determinar la interfaz de salida.
El cortafuegos usa la tabla de enrutamiento asociada al enrutador virtual al que la interfaz est conectada para
realizar la bsqueda de rutas. El reenvo basado en polticas (PBF) le permite anular la tabla de enrutamiento y
especificar la interfaz saliente o de salida basndose en parmetros especficos como la direccin IP de origen o
destino o el tipo de trfico.
PBF
Creacin de una regla de reenvo basada en polticas
Caso de uso: PBF para acceso saliente con ISP duales
Caso de uso: PBF para enrutar el trfico a travs de sistemas virtuales
658
Poltica
Poltica
PBF
Las reglas PBF permiten al trfico tomar una ruta alternativa desde el siguiente salto especificado en la tabla de
enrutamiento, y se suelen usar para especificar una interfaz de salida por razones de seguridad o rendimiento.
Imaginemos que su empresa tiene dos enlaces entre la oficina corporativa y la sucursal: un enlace de Internet de
bajo coste y una lnea alquilada de mayor coste. La lnea alquilada es un enlace de gran ancho de banda y baja
latencia. Para una mayor seguridad, puede usar la PBF para enviar aplicaciones que no son de trfico cifrado,
como el trfico FTP, a travs de la lnea de alquiler privada y el resto del trfico a travs del enlace de Internet.
O bien, si se da prioridad al rendimiento, puede elegir enrutar las aplicaciones crticas para la empresa a travs
de la lnea alquilada y enviar el resto del trfico, como la navegacin web, a travs del enlace de bajo coste.
Ruta de salida y retorno simtrico

Mediante PBF, puede dirigir el trfico a una interfaz especfica en el cortafuegos, descartar el trfico o dirigirlo
a otro sistema virtual (en sistemas habilitados para mltiples sistemas virtuales).
En las redes con rutas asimtricas, como un entorno de proveedor de
servicios de Internet (ISP) dual, los problemas de productividad se
producen cuando el trfico llega a una interfaz en el cortafuegos y sale
desde otra interfaz. Si la ruta es asimtrica, en la que los paquetes de salida
(paquetes SYN) y de retorno (SYN/ACK) son diferentes, el cortafuegos
no puede seguir el estado del trfico de toda la sesin, y esto ocasiona un
fallo de conexin. Para garantizar que el trfico usa una ruta simtrica, que
significa que el trfico llega y sale desde la misma interfaz en la que se cre
la sesin, puede habilitar la opcin Retorno simtrico.
Con el retorno simtrico, el enrutador virtual anula una bsqueda de rutas
para el trfico de retorno y en su lugar dirige el flujo de vuelta a la direccin
MAC desde la que recibi el paquete SYN (o primer paquete). Sin
embargo, si la direccin IP de destino est en la misma subred que la
direccin IP de las interfaces de entrada/salida, se realiza una bsqueda de
rutas y no se fuerza el retorno simtrico. Este comportamiento evita el
bloqueo del trfico.
Para determinar el siguiente salto para retornos simtricos, el cortafuegos usa una tabla de protocolo de
resolucin de direcciones (ARP). El nmero mximo de entradas que admite esta tabla ARP est
limitado por el modelo de cortafuegos, y el usuario no puede configurar el valor. Para conocer el lmite
de su modelo, use el comando de la CLI: show pbf return-mac all.
Poltica
659
Poltica
Supervisin de rutas
La supervisin de rutas le permite verificar la conectividad a una direccin IP, de modo que el cortafuegos pueda
dirigir el trfico a travs de una ruta alternativa en caso necesario. El cortafuegos usa pings ICMP como latidos
para comprobar que se puede alcanzar la direccin IP especificada.
Un perfil de supervisin permite especificar el nmero de latidos (umbral) para determinar si se puede alcanzar
la direccin IP. Si no se puede alcanzar la direccin IP supervisada, puede deshabilitar la regla PBF o especificar
una accin de conmutacin por error o esperar recuperacin. Deshabilitar la regla PBF permite al enrutador virtual
tomar el control de las decisiones de enrutamiento.
La siguiente tabla enumera las diferencias de comportamiento ante un fallo de supervisin de ruta en una nueva
sesin frente a una sesin establecida.
Comportamiento de una
sesin en un fallo de
supervisin
Si la regla permanece habilitada

Si la regla est deshabilitada cuando no
cuando no se alcanza la direccin IP se alcanza la direccin IP
Para una sesin establecida
esperar recuperacin: Contina

esperar recuperacin: Contina usando la
usando la interfaz de salida especificada interfaz de salida especificada en la regla PBF
en la regla PBF
Para una sesin nueva
conmutacin por error: Usa la ruta
determinada por la tabla de

enrutamiento (no PBF)
determinada por la tabla de enrutamiento (no

PBF)
esperar recuperacin: Usa la ruta

esperar recuperacin: Comprueba las reglas
conmutacin por error: Comprueba las reglas

PBF restantes. Si no hay coincidencia, usa la

tabla de enrutamiento
PBF restantes. Si no hay coincidencia, usa la

tabla de enrutamiento
Servicio frene a aplicaciones en PBF

Las reglas PBF se aplican tanto al primer paquete (SYN) o a la respuesta al primer paquete (SYN/ACK). Esto
significa que se puede aplicar una regla PBF antes de que el cortafuegos tenga suficiente informacin para
determinar la aplicacin. Por lo tanto, no se recomienda usar las reglas especficas de aplicacin con PBF.
Cuando sea posible, use un objeto de servicio, que es el puerto de capa 4 (TCP o UDP) usado por el protocolo
o la aplicacin.
Sin embargo, si especifica una aplicacin en una regla PBF, el cortafuegos realiza un almacenamiento en cach de
App-ID. Cuando una aplicacin atraviesa un cortafuegos por primera vez, el cortafuegos no tiene suficiente
informacin para identificarla y, por tanto, no puede forzar la regla PBF. Conforme van llegando ms paquetes,
el cortafuegos determina la aplicacin y crea una entrada en la cach de App-ID y retiene este App-ID durante
la sesin. Cuando se crea una nueva sesin con la misma IP de destino, el puerto de destino, el ID de protocolo
y el cortafuegos pueden identificar la aplicacin como la misma de la sesin inicial (basada en la cach de
App-ID) y aplicar la regla PBF. Por lo tanto, una sesin que no es una coincidencia exacta y no es la misma
aplicacin puede reenviarse basndose en la regla PBF.
660
Poltica
Poltica
Ms an, las aplicaciones tienen dependencias y la identidad de la aplicacin puede cambiar a medida que el
cortafuegos va recibiendo ms paquetes. Puesto que PBF toma una decisin de ruta al inicio de la sesin, el
cortafuegos no puede forzar un cambio en la identidad de la aplicacin. YouTube, por ejemplo, comienza como
navegacin web pero cambia a Flash, RTSP o YouTube en funcin de los diferentes enlaces y vdeos incluidos
en la pgina. No obstante, con PBF, dado que el cortafuegos identifica la aplicacin como navegacin web al
inicio de la sesin, el cambio de la aplicacin no se reconoce a partir de ese momento.
Las reglas PBF no se pueden basar en nombres de dominio; solo las direcciones IP son vlidas; asimismo, no puede usar
aplicaciones predeterminadas, filtros de aplicacin o grupos de aplicacin en reglas PBF.
Poltica
661
Poltica
Creacin de una regla de reenvo basada en polticas

Use una regla PBF para dirigir el trfico a una interfaz de salida especfica en el cortafuegos y anule la ruta
predeterminada para el trfico.
Creacin de una regla PBF
Paso 1
Crear una regla PBF
1.
Al crear una regla PBF, debe especificar

un nombre para la misma, una interfaz o 2.
zona de origen y una interfaz de salida. El 3.
resto de componentes son opcionales o
tienen asignado un valor predeterminado.
Seleccione Polticas > Reenvo basado en polticas y haga clic

en Aadir
En la pestaa Origen, seleccione lo siguiente:
a. Seleccione el tipo (Zona o Interfaz) al que se aplicar la
poltica de reenvo y la zona o interfaz relevante.
PBF solo se admite en interfaces de capa 3.
b. (Opcional) Especifique una direccin de origen a la que se
aplicar el PBF. Por ejemplo, una direccin IP especfica o
direccin IP de subred desde la que quiere reenviar el trfico
a la zona o interfaz especificada en esta regla.
Use la opcin Negar para excluir una o ms direcciones
desde la regla PBF. Por ejemplo, si la regla PBF dirige
todo el trfico desde la zona especificada a Internet,
Negar le permite excluir las direcciones IP internas de la
regla PBF.
El orden de evaluacin es de arriba abajo. Un paquete
coincide con la primera regla que cumpla los criterios
definidos; despus de activar una coincidencia, las reglas
posteriores no se evalan.
c. (Opcional) Aada y seleccione el usuario de origen o los
grupos de usuarios a los que se aplican las polticas.
4.
En la pestaa Destino/aplicacin/servicio, seleccione lo

siguiente:
a. Direccin de destino. De manera predeterminada, esta regla
se aplica a cualquier direccin IP. Use la opcin Negar para
excluir una o ms direcciones IP de destino desde la regla
PBF.
b. Seleccione las aplicaciones o servicios que quiere controlar
usando PBF.
No se recomienda usar las reglas especficas de
aplicacin con PBF. Cuando sea posible, use un objeto
de servicio, que es el puerto de capa 4 (TCP o UDP)
usado por el protocolo o la aplicacin. Si desea
informacin ms detallada, consulte Servicio frene a
aplicaciones en PBF.
662
Poltica
Poltica
Creacin de una regla PBF
5.
En la pestaa Reenvo, seleccione lo siguiente:

a. Defina la accin. Las opciones son las siguientes:
Reenviar: Dirige el paquete a una interfaz de salida
especfica. Introduzca la direccin IP de siguiente salto
para el paquete.
Reenviar a VSYS: (En un dispositivo habilitado para
mltiples sistemas virtuales) Seleccione un sistema virtual al
que reenviar el paquete.
Descartar: descarta el paquete.
No hay ningn PBF: Excluye los paquetes que coincidan
con los criterios de origen/destino/aplicacin/servicio
definidos en la regla. Los paquetes coincidentes usan la
tabla de enrutamiento en lugar de PBF; el cortafuegos usa
la tabla de enrutamiento para excluir el trfico coincidente
del puerto redirigido.
Para activar la accin especificada con una frecuencia
diaria, semanal o sin repeticin, cree y aada una
programacin.
b. (Opcional) Habilite la supervisin para comprobar la
conectividad con una direccin IP de destino o con la
direccin IP de siguiente salto. Seleccione Supervisar y
aada un perfil de supervisin (predeterminado o
personalizado) que especifique la accin cuando no se pueda
alcanzar la direccin IP.
c. (Opcional, necesario para entornos de enrutamiento
asimtrico) Seleccione Forzar vuelta simtrica e introduzca
una o ms direcciones IP en la Lista de direcciones de
prximo salto.
Al habilitar el retorno simtrico se garantiza que el trfico de
retorno (p. ej., desde la zona de confianza en la LAN a
Internet) se reenva a travs de la misma interfaz por la cual
el trfico accede a Internet.
Paso 2
Poltica
Guardar las polticas en la configuracin

en vigor del dispositivo

La regla PBF est en vigor.
663
Poltica
Caso de uso: PBF para acceso saliente con ISP duales

En este caso de uso, la sucursal tiene una configuracin de ISP dual e implementa PBF para el acceso redundante
a Internet. El ISP de reserva es la ruta predeterminada para el trfico desde el cliente a los servidores web. Para
habilitar el acceso redundante a Internet sin usar un protocolo de Internet como BGP, usamos PBF con NAT
de origen basada en interfaz de destino y rutas estticas, y configuramos el cortafuegos del siguiente modo:
Habilite una regla PBF que enrute el trfico a travs del ISP principal y aada un perfil de supervisin a la
regla. El perfil de supervisin activa el cortafuegos para que use la ruta predeterminada a travs de un ISP
de reserva cuando el principal no est disponible.
Defina las reglas NAT de origen tanto para el ISP principal como el de reserva que indican al cortafuegos
que use la direccin IP de origen asociada con la interfaz de salida para el ISP correspondiente. De este modo
se garantiza que el trfico saliente tiene la direccin IP de salida correcta.
Aada una ruta esttica al ISP de reserva, de modo que cuando el ISP principal no est disponible, entre en
vigor la ruta predeterminada y el trfico se dirija a travs del ISP de reserva.
664
Poltica
Poltica
PBF para acceso saliente con ISP duales
Paso 1
Configurar las interfaces de entrada y

salida en el cortafuegos
1.
Seleccione Red > Interfaces y seleccione la interfaz que quiere

configurar, por ejemplo, Ethernet1/1 y Ethernet1/3.
La configuracin de la interfaz del cortafuegos usada en este
ejemplo es la siguiente:
Las interfaces de salida pueden estar en la

misma zona. En este ejemplo, asignamos
las interfaces de salida a zonas diferentes.
Ethernet 1/1 conectada al ISP principal:

Zona: ISP-East
Direccin IP:1.1.1.2/30
Enrutador virtual: Valor predeterminado
Ethernet 1/3 conectada al ISP de reserva:
Zona: ISP-West
Direccin IP:2.2.2.2/30
Ethernet 1/2 es la interfaz de entrada que los clientes de la
red usan para conectarse a Internet:
Zona: Fiable
Direccin IP:192.168. 54.1/24
2.
Poltica

Aceptar.
665
Poltica
Paso 2
666
En el enrutador virtual, aadir una ruta

esttica al ISP de reserva
1.
Seleccione Red > Enrutador virtual y, a continuacin,

seleccione el enlace predeterminado para abrir el cuadro de
dilogo Enrutador virtual.
2.

Introduzca un nombre para la ruta y especifique la direccin IP
de destino para la que est definiendo la ruta esttica. En este
ejemplo, usamos 0.0.0.0/0 para todo el trfico.
3.
Seleccione el botn de opcin Direccin IP y defina la direccin

IP de siguiente salto para su enrutador que conecta con la
puerta de enlace de Internet alternativa. En este ejemplo, 2.2.2.1.
4.
Especifique una mtrica de coste para la ruta. En este ejemplo,

usamos 10.
5.

enrutador virtual.
Poltica
Poltica
Paso 3
Crear una regla PBF que redirija el trfico 1.

a la interfaz que est conectada al ISP
principal
2.
Seleccione Polticas > Reenvo basado en polticas y haga clic

en Aadir
Asegrese de excluir el trfico destinado a 3.

direcciones IP/servidores internos desde 4.
PBF. Defina una regla de negacin para
que el trfico destinado a direcciones IP
internas no se enrute a travs de la
interfaz de salida definida en la regla PBF.
Use un nombre descriptivo para la regla en la pestaa General.

En la pestaa Destino/aplicacin/servicio, defina lo siguiente:
a. En la seccin Direccin de destino, aada las direcciones IP
o el intervalo de direcciones para los servidores en la red
interna o cree un objeto de direccin para sus servidores
internos. Seleccione Negar para excluir de usar esta regla a las
direcciones IP u objetos de direcciones enumerados
anteriormente.
b. En la seccin Servicio, aada los servicios service-http y
service-https para permitir que el trfico HTTP y HTTPS
use estos puertos predeterminados. Para el resto de trfico
permitido por una poltica de seguridad, se usa la ruta
predeterminada.
Para reenviar todo el trfico usando PBF, defina el
Servicio en Cualquiera.
5.
En la pestaa Reenvo, especifique la interfaz a la que quiere

reenviar el trfico y habilite la supervisin de rutas.
a. Para reenviar el trfico, defina la Accin a Reenviar y
seleccione la interfaz de salida, adems de especificar el
Siguiente salto. En este ejemplo, la interfaz de salida es
ethernet1/1, y la direccin IP de siguiente salto es 1.1.1.1.
Poltica
667
Poltica
b. Habilitar Supervisar y aada el perfil de supervisin

predeterminado para activar una conmutacin por error al
ISP de reserva. En este ejemplo no especificamos una
direccin IP de destino para la supervisin. El cortafuegos
supervisa la direccin IP de siguiente salto; si no se puede
alcanzar esta direccin IP, el cortafuegos dirigir el trfico a la
ruta predeterminada especificada en el enrutador virtual.
c. (Necesario si tiene rutas asimtricas). Seleccione Forzar
vuelta simtrica para garantizar que el trfico de retorno
desde la zona de confianza a Internet se reenva por la misma
interfaz a travs de la que el trfico accedi desde Internet.
NAT garantiza que el trfico desde Internet regresa a la
direccin IP/interfaz correcta en el cortafuegos.
d. Haga clic en ACEPTAR para guardar los cambios.
668
Poltica
Poltica
Paso 4
Crear reglas NAT basadas en la interfaz 1.

de salida e ISP. Estas reglas garantizar que 2.
se use la direccin IP de origen correcta
para conexiones salientes.

En este ejemplo, la regla NAT que creamos para cada ISP es la
siguiente:
NAT para ISP principal
En la pestaa Paquete original,
Zona de origen: Fiable
Zona de destino: ISP-West
En la pestaa Paquete traducido, en Traduccin de direccin
de origen
Tipo de traduccin: IP dinmica y puerto
Tipo de direccin: Direccin de interfaz
NAT para ISP de reserva
En la pestaa Paquete original,
Zona de origen: Fiable
Zona de destino: ISP-East
En la pestaa Paquete traducido, en Traduccin de direccin
de origen
Tipo de traduccin: IP dinmica y puerto
Tipo de direccin: Direccin de interfaz
Poltica
669
Poltica
Paso 5
Crear poltica de seguridad para permitir

el acceso saliente a Internet
Para habilitar aplicaciones de forma segura, cree una regla que

permita acceder a Internet y aada los perfiles de seguridad
disponibles en el cortafuegos.
1. Seleccione Polticas > Seguridad y haga clic en Aadir.
2.
Use un nombre descriptivo para la regla en la pestaa General.
3.
4.
En la pestaa Destino, defina la zona de destino como ISP-East

e ISP-West.
5.
En la pestaa Categora de URL/servicio, deje la opcin

predeterminada predeterminado de aplicacin.
6.

antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, en Ajuste de perfil.
7.
Paso 6
670
Guardar las polticas en la configuracin

en vigor del dispositivo
En Opciones, compruebe que el registro est activado al final de

una sesin. Solo se registra el trfico que coincida con una regla
de seguridad.
Poltica
Poltica
Paso 7
Compruebe que la regla PBF est activa y 1.

que se usa el ISP principal para el acceso
de Internet.
2.
Inicie un explorador web y acceda al servidor web En el

cortafuegos, compruebe el log de trfico para la actividad de
navegacin web.
Desde un cliente de la red, use la utilidad ping para comprobar

la conectividad a un servidor web en Internet y compruebe el
trfico en el cortafuegos.
C:\Users\pm-user1>ping 4.2.2.1
Haciendo ping a 4.2.2.1 con 32 bytes de datos:
Respuesta de 4.2.2.1: bytes=32 tiempo=34ms TTL=117
Estadsticas de ping para 4.2.2.1:
Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0
(prdida de 0%),
Tiempos aproximados de ida y vuelta en milisegundos:
Mnimo = 3ms, Mximo = 34ms, Medio = 18ms
3.
Para confirmar que la regla PBF est activa, use el comando CLI
show pbf rule all
admin@PA-NGFW> show pbf rule all
Regla
ID
Estado de regla Accin IF/VSYS de salida
Siguiente salto
========== === ========== ====== ============== =======
Usar ISP-Pr 1
Activa
Reenvo ethernet1/1
1.1.1.1
Paso 8
1.
Compruebe que se produce la
conmutacin por error al ISP de reserva y 2.
que la NAT de origen se aplica
correctamente.
3.
Poltica
Desactive la conexin al ISP principal.

Confirme que la regla PBF est inactiva con el comando CLI
show pbf rule all
admin@PA-NGFW> show pbf rule all
Regla
ID
Estado de regla Accin IF/VSYS de salida
Siguiente salto
========== === ========== ====== ============== =======
Usar ISP-Pr 1
Deshabilitada
Reenvo ethernet1/1
1.1.1.1
Acceda al servidor web y compruebe que el log de trfico se

reenva a travs del ISP de reserva.
671
Poltica
4.
Consulte los detalles de la sesin para confirmar que la regla

NAT funciona correctamente.
admin@PA-NGFW> show session all
--------------------------------------------------------ID Application
State
Type Flag Src[Sport]/Zone/Proto
(translated IP[Port]) Vsys Dst[Dport]/Zone (translated
IP[Port])
--------------------------------------------------------87212 ssl ACTIVE FLOW NS
192.168.54.56[53236]/Trust/6
(2.2.2.2[12896]) vsys1 204.79.197.200[443]/ISP-East
(204.79.197.200[443])
5.
Obtenga el nmero de identificacin de sesin de la salida y

consulte los detalles de la sesin. Tenga en cuenta que la regla
PBF no se usa y, por lo tanto, no se incluye en la salida.
admin@PA-NGFW> show session id 87212
Session
87212
c2s flow:
source:
dst:
proto:
sport:
state:
src user:
dst user:
192.168.54.56 [Trust]
204.79.197.200
6
53236
dport:
ACTIVE
type:
desconocido
desconocido
443
FLOW
s2c flow:
source:
204.79.197.200 [ISP-East]
dst:
2.2.2.2
proto:
6
sport:
443
dport:
12896
state:
ACTIVE
type:
FLOW
src user:
desconocido
dst user:
desconocido
start time
: Wed Nov5 11:16:10 2014
timeout
: 1800 sec
time to live
: 1757 sec
total byte count(c2s)
: 1918
total byte count(s2c)
: 4333
layer7 packet count(c2s)
: 10
layer7 packet count(s2c)
: 7
vsys
: vsys1
application
: ssl
rule
: Trust2ISP
session to be logged at end
: True
session in session ager
: True
session synced from HA peer
: False
address/port translation
: source
nat-rule
: NAT-Backup ISP(vsys1)
layer7 processing
: enabled
URL filtering enabled
: True
URL category
: search-engines
session via syn-cookies
: False
session terminated on host
: False
session traverses tunnel
: False
captive portal session
: False
ingress interface
: ethernet1/2
egress interface
: ethernet1/3
session QoS rule
: N/A (class 4)
672
Poltica
Sistemas virtuales
Este tema describe los sistemas virtuales, sus beneficios, los casos de uso tpicos y cmo configurarlos. Esto
ofrece enlaces a los otros temas donde los sistemas virtuales se documentan cuando actan con otras funciones.
Descripcin de los sistemas virtuales
Comunicacin entre sistemas virtuales
Puerta de enlace compartida
Configuracin de sistemas virtuales
Configuracin de la comunicacin entre sistemas virtuales dentro del cortafuegos
Configuracin de una puerta de enlace compartida
Funcionalidad de sistema virtual con otras funciones
Sistemas virtuales
673
Sistemas virtuales

Los sistemas virtuales son instancias de cortafuegos separados y lgicos con un nico cortafuegos fsico de Palo
Alto Networks. En lugar de usar mltiples cortafuegos, las empresas y proveedores de servicios gestionados
pueden usar un nico par de cortafuegos (para una alta disponibilidad) y habilitar en ellos sistemas virtuales.
Cada sistema virtual (vsys) es un cortafuegos independiente y gestionado de forma separada cuyo trfico est
separado del de otros sistemas virtuales.
Este tema incluye lo siguiente:
Componentes y segmentacin de los sistemas virtuales
Beneficios de los sistemas virtuales
Uso de casos para sistemas virtuales
Compatibilidad con plataformas y licencias de sistemas virtuales
Restricciones de los sistemas virtuales
Funciones de administrador para sistemas virtuales
Objetos compartidos para sistemas virtuales
Componentes y segmentacin de los sistemas virtuales

Un sistema virtual es un objeto que crea un lmite administrativo, tal y como se muestra en la siguiente ilustracin.
Un sistema virtual se compone de un conjunto de interfaces y subinterfaces fsicas y lgicas (que incluyen
VLAN y cables virtuales), enrutadores virtuales y zonas de seguridad. Puede seleccionar el modo de
implementacin (cualquier combinacin de cable virtual, capa 2 o capa 3) de cada sistema virtual. Puede usar
los sistemas virtuales para segmentar cualquiera de los siguientes elementos:
Acceso administrativo
La gestin de todas las polticas (seguridad, NAT, QoS, reenvo segn polticas, descifrado, sobrescritura de
aplicaciones, portal cautivo y proteccin contra ataques por denegacin de servicio)
Todos los objetos (como objetos de direcciones, grupos y filtros de aplicaciones, listas de bloques dinmicos,
perfiles de seguridad, perfiles de descripcin, objetos personalizados, etc.)
674
Sistemas virtuales
Sistemas virtuales
User-ID
Perfiles de servidores
Funciones de log, informes y visibilidad
Los sistemas virtuales afectan a las funciones de seguridad del cortafuegos, pero por s solos no afectan a las
funciones de red como el enrutamiento esttico y dinmico. Puede segmentar el enrutamiento de cada sistema
virtual creando uno o ms enrutadores virtuales para cada sistema virtual, como en los siguientes casos de uso:
Si tiene sistemas virtuales para los departamentos de una organizacin y el trfico de red de todos los
departamentos est en una red comn, puede crear un nico enrutador virtual para mltiples sistemas virtuales.
Si desea segmentar el enrutamiento y el trfico de cada sistema virtual debe aislarse de los dems sistemas,
puede crear uno o ms enrutadores virtuales para cada sistema virtual.
Beneficios de los sistemas virtuales

Los sistemas virtuales ofrecen las mismas funciones bsicas que un cortafuegos fsico, junto con los siguientes
beneficios:
Administracin segmentada: Las diferentes organizaciones (o clientes o unidades comerciales) pueden

controlar (y supervisar) una instancia de cortafuegos separada de modo que tengan control sobre su propio
trfico sin interferir en el trfico o las polticas de otra instancia de cortafuegos en el mismo dispositivo fsico.
Flexibilidad: Una vez configurado el cortafuegos fsico, la adicin o eliminacin de clientes o unidades
comerciales puede realizarse con eficiencia. Un ISP, o proveedor de servicios de seguridad gestionados, y una
empresa pueden ofrecer distintos servicios de seguridad a cada cliente.
Reduccin del capital y los gastos operativos: Los sistemas virtuales eliminan la necesidad de tener
mltiples cortafuegos fsicos en una misma ubicacin, ya que los sistemas virtuales coexisten en el mismo
cortafuegos. Al no tener que adquirir mltiples cortafuegos, una organizacin puede ahorrar en gastos de
hardware, consumo elctrico y espacio en los racks, y puede reducir los gastos de gestin y mantenimiento.
Uso de casos para sistemas virtuales

Hay muchas formas de usar los sistemas virtuales en una red. Un caso de uso comn es que un ISP o un
proveedor de servicios de seguridad gestionados (MSSP) ofrezca servicios a mltiples clientes con un nico
cortafuegos. Los clientes pueden elegir entre una amplia gama de servicios que pueden activarse o desactivarse
fcilmente. La administracin basada en funciones del cortafuegos permite que el ISP o el MSSP controle el
acceso de cada cliente a la funcionalidad (como la creacin de logs e informes) a la vez que oculta o muestra
funcionalidades de solo lectura para las dems funciones.
Otro caso de uso comn es en una gran empresa que requiera distintas instancias de cortafuegos por cuestiones
tcnicas o de confidencialidad entre mltiples departamentos. Como en el caso anterior, diferentes grupos pueden
tener distintos niveles de acceso, siendo el personal de TI quien gestiona el propio cortafuegos. Los servicios pueden
supervisarse o facturarse a los departamentos y crear una contabilidad financiera distinta en una organizacin.
Sistemas virtuales
675
Sistemas virtuales
Compatibilidad con plataformas y licencias de sistemas virtuales

Los sistemas virtuales son compatibles con los cortafuegos de las series PA-2000, PA-3000, PA-4000, PA-5000
y PA-7050. Cada serie de cortafuegos admite un nmero base de sistemas virtuales, que variar segn la
plataforma. Es obligatorio tener una licencia de sistemas virtuales en los siguientes casos:
Para admitir mltiples sistemas virtuales en cortafuegos de las series PA-2000 o PA-3000.
Para crear ms sistemas virtuales en una plataforma de lo incluido en el nmero base.
Si desea informacin sobre la licencia, consulte Activacin de la licencia y suscripciones. Para ver el nmero base
y mximo de sistemas virtuales admitidos, consulte la herramienta Comparar cortafuegos.
Los cortafuegos de las series PA-200, PA-500 o VM no admiten mltiples sistemas virtuales.
Restricciones de los sistemas virtuales
En un cortafuegos de Palo Alto Networks, un paquete puede cambiar de un sistema virtual a otro o a una
puerta de enlace compartida. Un paquete no puede atravesar ms de dos sistemas virtuales o puertas de
enlace compartidas. Por ejemplo, un paquete no puede ir de un sistema virtual a una puerta de enlace
compartida y de ah a otro sistema virtual del cortafuegos.
Solo se permite una nica Puerta de enlace compartida en el cortafuegos.
Funciones de administrador para sistemas virtuales

Un administrador Superusuario puede crear sistemas virtuales y aadir un Administrador de dispositivo,
Vsysadmin o Vsysreader. Un Administrador de dispositivo puede acceder a todos los sistemas virtuales, pero no
puede aadir administradores. Los dos tipos de funciones administrativas de un sistema virtual son:
vsysadmin: Otorga un acceso completo a un sistema virtual.
vsysreader: Otorga un acceso completo de solo lectura a un sistema virtual.
Un administrador de sistema virtual puede ver los logs nicamente de los sistemas virtuales que se le han
asignado. Alguien con un permiso de superusuario o Administrador de dispositivo puede visualizar todos los logs
o seleccionar un sistema virtual para visualizarlo.
Las personas con el permiso vsysadmin pueden compilar configuraciones nicamente para los sistemas virtuales
que se les han asignado.
Objetos compartidos para sistemas virtuales

Si su cuenta de administrador abarca mltiples sistemas virtuales, puede optar por configurar objetos (como un
objeto de direccin) y polticas para un sistema virtual especfico o bien crear objetos compartidos que se
aplicarn a todos los sistemas virtuales del cortafuegos. Si intenta crear un objeto compartido con el mismo
nombre y tipo que un objeto existente de un sistema virtual, se usar el objeto del sistema virtual.
676
Sistemas virtuales
Sistemas virtuales

Hay dos situaciones tpicas en las que es deseable que haya comunicacin entre sistemas virtuales (trfico
inter-vsys). En un entorno multiempresa, la comunicacin entre sistemas virtuales puede producirse haciendo
que el trfico salga del cortafuegos, salga a Internet y vuelva a entrar en el cortafuegos. En un entorno de
organizacin nica, la comunicacin entre los sistemas virtuales puede permanecer dentro del cortafuegos. Esta
seccin describe ambas situaciones.
Trfico entre VSYS que debe abandonar el cortafuegos
Trfico entre VSYS que permanece en el cortafuegos
La comunicacin entre VSYS usa dos sesiones
Sistemas virtuales
677
Sistemas virtuales
Trfico entre VSYS que debe abandonar el cortafuegos

Un ISP que tiene mltiples clientes en un cortafuegos (conocido como multiempresa) puede usar un sistema
virtual para cada cliente, dando as a cada cliente control sobre la configuracin de su sistema virtual. El ISP
concede permisos de vsysadmin a los clientes. El trfico y la gestin de cada cliente se aslan de los de los otros.
Cada sistema virtual debe configurarse con su propia direccin IP y uno o ms enrutadores virtuales para
gestionar el trfico y su propia conexin a Internet.
Si los sistemas virtuales tienen que comunicarse entre s, ese trfico sale del cortafuegos a otro dispositivo de
enrutamiento de capa 3 y vuelve al cortafuegos, aunque los sistemas virtuales existen en el mismo cortafuegos
fsicos, tal y como se muestra en la siguiente ilustracin.
Trfico entre VSYS que permanece en el cortafuegos

A diferencia del caso multiempresa anterior, los sistemas virtuales de un cortafuegos pueden estar bajo el control
de una nica organizacin. La organizacin quiere tanto aislar el trfico entre los sistemas virtuales como
permitir las comunicaciones entre ellos. Este caso de uso comn surge cuando la organizacin desea
proporcionar la separacin entre departamentos pero tambin permitir que los departamentos se comuniquen
entre s o se conecten con la misma red. En esta situacin, el trfico inter-vsys sigue dentro del cortafuegos, tal
y como se describe en los siguientes temas:
Zona externa
Zonas externas y polticas de seguridad para el trfico dentro de un cortafuegos
Zona externa
La comunicacin en el caso de uso anterior se consigue configurando polticas de seguridad que sealan hacia
o desde una zona externa. Una zona externa es un objeto de seguridad que se asocia con un sistema virtual que
puede alcanzar, la zona es externa al sistema virtual. Un sistema virtual solo puede tener una zona externa,
independientemente del nmero de zonas de seguridad que contenga. Las zonas externas deben permitir el
trfico entre zonas en distintos sistemas virtuales, sin que llegue a salir del cortafuegos.
678
Sistemas virtuales
Sistemas virtuales
El administrador del sistema virtual configura las polticas de seguridad necesarias para permitir el trfico entre
dos sistemas virtuales. A diferencia de las zonas de seguridad, una zona externa no se asocia con una interfaz,
se asocia con un sistema virtual. La poltica de seguridad permite o deniega el trfico entre la zona de seguridad
(interna) y la zona externa.
Como las zonas externas no tienen interfaces o direcciones IP asociadas, algunos perfiles de proteccin de zonas
no se admiten en las zonas externas.
Recuerde que cada sistema virtual es una instancia diferente de un cortafuegos, lo que significa que cada paquete
que se mueve entre sistemas virtuales se inspeccionar para una evaluacin de App-ID y poltica de seguridad.
Zonas externas y polticas de seguridad para el trfico dentro de un cortafuegos

En el siguiente ejemplo, una empresa tiene dos grupos administrativos: los sistemas virtuales del departamentoA
y del departamentoB. La siguiente ilustracin muestra la zona externa asociada con cada sistema virtual, y el
trfico que fluye desde una zona de confianza a la zona externa, sale de ah hacia la zona externa de otro sistema
virtual, y de ah a su zona de confianza.
Para poder crear zonas externas, el administrador del dispositivo debe configurar sistemas virtuales para que se
vean entre s. Las zonas externas no tienen polticas de seguridad entre ellas porque sus sistemas virtuales son
visibles entre s.
Para una comunicacin entre sistemas virtuales, las interfaces de entrada y salida del cortafuegos se asignan a un
nico enrutador virtual o se conectan usando rutas estticas de enrutador inter-virtual. El ms sencillo de estos
dos enfoques es asignar todos los sistemas virtuales que deben comunicarse entre s a un nico enrutador virtual.
Puede haber un motivo por el que los sistemas virtuales deben tener su propio enrutador virtual, por ejemplo,
si los sistemas virtuales usan rangos de direcciones IP superpuestos. El trfico puede enrutarse entre los sistemas
virtuales, pero cada enrutador virtual debe tener rutas estticas que sealen al otro enrutador virtual como el
siguiente salto.
En la situacin anterior, debe haber una empresa con dos grupos administrativos: departamentoA y
departamentoB. El grupo del departamentoA gestiona la red local y los recursos DMZ. El grupo del
departamentoB gestiona el trfico de salida o entrada del segmento de ventas de la red. Todo el trfico se
Sistemas virtuales
679
Sistemas virtuales
encuentra en la red local, por lo que solo se usa un nico enrutador virtual. Hay dos zonas externas configuradas
para la comunicacin entre los dos sistemas virtuales. El sistema virtual del departamentoA tiene tres zonas que
se usan en polticas de seguridad: deptA-DMZ, deptA-confianza y deptA-Externa. El sistema virtual del
departamentoB tambin tiene tres zonas: deptB-DMZ, deptB-confianza y deptB-Externa. Ambos grupos
pueden controlar el trfico que atraviesa sus sistemas virtuales.
Para permitir el trfico entre el deptA-confianza al deptB-confianza, es obligatorio contar con dos polticas de
seguridad. En la siguiente ilustracin las dos flechas verticales indican dnde controlan el trfico las polticas de
seguridad (que se describe bajo la ilustracin).
Poltica de seguridad 1: En la ilustracin anterior, el trfico tiene como destino la zona deptB-confianza. El
trfico abandona la zona deptA-confianza y va a la zona deptA-Externa. Una poltica de seguridad debe
permitir el trfico de la zona de origen (deptA-confianza) a la zona de destino (deptA-Externa). Un sistema
virtual permite que se use cualquier tipo de poltica para este trfico, incluido el NAT.
No hay necesidad de ninguna poltica entre las zonas externas porque el trfico enviado a una zona externa
aparece y tiene acceso automtico a las otras zonas externas que son visibles desde la zona externa original.
Poltica de seguridad 2: En la ilustracin anterior, el trfico desde deptB-Externa sigue estando destinado a
la zona deptB-confianza y es necesario configurar una poltica de seguridad para permitirlo. La poltica de
seguridad debe permitir el trfico de la zona de origen (deptB-Externa) a la zona de destino
(deptB-confianza).
El sistema virtual del departamentoB podra configurarse para bloquear el trfico desde el sistema virtual del
departamentoA y viceversa. Al igual que con el trfico de cualquier otra zona, la poltica debe permitir
explcitamente que el trfico de las zonas externas llegue a otras zonas de un sistema virtual.
Adems de las zonas externas necesarias para el trfico entre sistemas virtuales que no
abandona el cortafuegos, tambin se necesitan zonas externas si configura una Puerta de
enlace compartida, en cuyo caso el trfico debe abandonar el cortafuegos.
680
Sistemas virtuales
Sistemas virtuales
La comunicacin entre VSYS usa dos sesiones

Resulta til comprender que la comunicacin entre dos sistemas virtuales usa dos sesiones, en lugar de la nica
sesin que se usa con un nico sistema virtual. Comparemos las situaciones.
Situacin 1: Vsys1 tiene dos zonas: confianza1 y nofiable1. Un host de la zona confianza1 inicia el trfico cuando
lo necesita para comunicarse con un dispositivo de la zona nofiable1. El host enva el trfico al cortafuegos, y
este crea una nueva sesin para la zona de origen confianza1 en la zona de destino nofiable1. Solo se necesita
una sesin para este trfico.
Situacin 2: Un host de vsys1 necesita acceder a un servidor en vsys2. El host de la zona confianza1 inicia el
trfico al cortafuegos, y este crea una primera sesin: zona de origen confianza1 a zona de destino nofiable1. El
trfico se dirige a vsys2, ya sea interna o externamente. A continuacin el cortafuegos crea una segunda sesin:
zona de origen nofiable2 a zona de destino confianza2. En este trfico entre vsys son necesarias dos sesiones.
Sistemas virtuales
681
Sistemas virtuales

Este tema incluye la siguiente informacin sobre las puertas de enlace compartidas:
Zonas externas y puerta de enlace compartida
Consideraciones de red para una puerta de enlace compartida
Zonas externas y puerta de enlace compartida

Una puerta de enlace compartida es una interfaz que comparten mltiples sistemas virtuales para poder
comunicarse a travs de Internet. Cada sistema virtual necesita una Zona externa, que acta como intermediaria,
para configurar polticas de seguridad que permitan o denieguen el trfico de la zona interna del sistema virtual
a la puerta de enlace compartida.
La puerta de enlace compartida usa un nico enrutador virtual para enrutar el trfico para todos los sistemas
virtuales. Una puerta de enlace compartida se usa en casos en los que una interfaz no necesita un lmite
administrativo completo o cuando mltiples sistemas virtuales deben compartir una nica conexin a Internet.
Este segundo caso surge si un ISP ofrece a una organizacin una nica direccin IP (interfaz), pero hay mltiples
sistemas virtuales que necesitan comunicacin externa.
A diferencia del comportamiento entre sistemas virtuales, las evaluaciones de App-ID y poltica de seguridad no
se realizan entre un sistema virtual y una puerta de enlace compartida. Por eso el uso de una puerta de enlace
compartida para acceder a Internet implica una menor carga de trabajo que crear otro sistema virtual para lo
mismo.
En la siguiente ilustracin, tres clientes comparten un cortafuegos, pero solo hay una interfaz con acceso a
Internet. La creacin de otro sistema virtual aadira la carga de una evaluacin de poltica de seguridad y
App-ID para el trfico que se enva a la interfaz a travs del sistema virtual aadido. Para evitar aadir otro
sistema virtual, la solucin es configurar una puerta de enlace compartida, tal y como se muestra en el siguiente
diagrama.
682
Sistemas virtuales
Sistemas virtuales
La puerta de enlace compartida tiene una direccin IP enrutada globalmente que se usa para comunicarse con
el mundo exterior. Las interfaces de los sistemas virtuales tambin tienen direcciones IP, pero puede tratarse de
direcciones IP privadas y no enrutables.
Como recordar, el administrador debe especificar si un sistema virtual es visible para otros. A diferencia de los
sistemas virtuales, una puerta de enlace compartida siempre es visible para todos los sistemas virtuales del
cortafuegos.
Un nmero de ID de puerta de enlace compartida aparece como sg<ID> en la interfaz web. Se recomienda que
asigne a su puerta de enlace compartida un nombre que incluya su nmero de ID.
Cuando aada objetos como zonas o interfaces a una puerta de enlace compartida, esta aparecer como un
sistema virtual disponible en el men desplegable de vsys.
Una puerta de enlace compartida es una versin limitada de un sistema virtual; admite NAT, reenvo basado en
polticas (PBF) y polticas de denegacin de servicio, pero no admite la seguridad, QoS, descifrado, sobrescritura
de aplicaciones o polticas de portal cautivo.
Consideraciones de red para una puerta de enlace compartida

Tenga en cuenta lo siguiente mientras configura una puerta de enlace compartida.
Los sistemas virtuales de un caso de puerta de enlace compartida acceden a Internet a travs de la interfaz
fsica de la puerta de enlace usando una nica direccin IP. Si las direcciones IP de los sistemas virtuales no
pueden enrutarse globalmente, configure el NAT de origen para traducir esas direcciones a direcciones IP
que s puedan enrutarse globalmente.
Un enrutador virtual enruta el trfico de todos los sistemas virtuales a travs de la puerta de enlace
compartida.
La ruta predeterminada para los sistemas virtuales debe sealar a la puerta de enlace compartida.
Es necesario configurar polticas de seguridad para cada sistema virtual con el fin de permitir el trfico entre
la zona interna y la externa, que es visible para la puerta de enlace compartida.
Un administrador de dispositivo debe controlar el enrutador virtual de modo que ningn miembro del
sistema virtual pueda afectar al trfico de los dems sistemas virtuales.
Para ahorrar tiempo y esfuerzos de configuracin, considere las siguientes ventajas de una puerta de enlace
compartida:
En vez de configurar el NAT para mltiples sistemas virtuales asociados con una puerta de enlace
compartida, puede configurar NAT para la puerta de enlace compartida.
En vez de configurar el enrutamiento basado en polticas (PBR) para mltiples sistemas virtuales asociados
con una puerta de enlace compartida, puede configurar PBR para la puerta de enlace compartida.
Sistemas virtuales
683
Sistemas virtuales

Para crear un sistema virtual necesita lo siguiente:
Una funcin administrativa de superusuario.

Una interfaz configurada.
Una licencia de sistemas virtuales si va a configurar un cortafuegos de las series PA-2000 o PA-3000 o si
crea ms del nmero base de sistemas virtuales admitidos en la plataforma. Consulte Compatibilidad con
plataformas y licencias de sistemas virtuales.
Realice el siguiente procedimiento para crear y configurar sistemas virtuales.

Configuracin de un sistema virtual
Paso 1
Habilitar sistemas virtuales
1.
Seleccione Dispositivo > Configuracin > Gestin y edite la

2.
Seleccione la casilla de verificacin Capacidad de cortafuegos

virtuales y haga clic en ACEPTAR. Esta accin activa la
confirmacin, si la aprueba.
Tras completar el paso 1, en la pestaa Dispositivo aparecern
las opciones Sistemas virtuales y Puertas de enlace
compartidas.
Paso 2
Crear un sistema virtual
1.
Seleccione Dispositivo > Sistemas virtuales, haga clic en

Aadir e introduzca un ID de sistema virtual, que se aade a
vsys. Intervalo: 1-255.
El ID predeterminado es 1, lo que convierte el sistema
virtual predeterminad en vsys1. Este valor
predeterminado aparece incluso en plataformas que no
admiten mltiples sistemas virtuales.
2.
Seleccione la casilla de verificacin Permitir reenvo de

contenido descifrado si desea permitir que el cortafuegos
reenve el contenido descifrado a un servicio exterior. Por
ejemplo, debe activar esta opcin para que el cortafuegos pueda
enviar contenido descifrado a WildFire para su anlisis.
3.
684
Introduzca un Nombre descriptivo para el sistema virtual. Solo

se permite un mximo de 31 caracteres alfanumricos, espacios
y guiones bajos.
Sistemas virtuales
Sistemas virtuales
Paso 3
Asigne interfaces al sistema virtual.
1.
Los enrutadores virtuales, cables virtuales

o VLAN pueden estar configurados o
2.
configurarse despus, momento en el cual
especificar el sistema virtual que tiene
asociado. Por ejemplo, el procedimiento 3.
para configurar un enrutador virtual se
encuentra en el paso 6 que aparece abajo.
En la pestaa General, seleccione el perfil de Proxy DNS si

desea aplicar las reglas de proxy DNS a la interfaz.
En el campo Interfaces, haga clic en Aadir para introducir las
interfaces o subinterfaces para asignarlas al sistema virtual. Una
interfaz no puede pertenecer nicamente a un sistema virtual.
Realice cualquiera de las siguientes acciones, segn el tipo de
implementacin que necesite en el sistema virtual:
En el campo VLAN, haga clic en Aadir para introducir las
VLAN que se van a asignar al vsys.
En el campo Cables virtuales, haga clic en Aadir para
introducir los cables virtuales que se van a asignar al vsys.
En el campo Enrutadores virtuales, haga clic en Aadir
para introducir los enrutadores virtuales que se van a asignar
al vsys.
4.
En el campo Sistema virtual visible, seleccione todos los

sistemas virtuales que deben ser visibles para el sistema virtual
que est configurando. Esto es necesario para los sistemas
virtuales que necesitan comunicarse entre s.
En un escenario multiempresa en el que no sean necesarios
estrictos lmites administrativos, no se deber seleccionar
comprobar sistemas virtuales.
5.
Paso 4
1.
(Opcional) Limite las asignaciones de
recursos por sesiones, reglas y tneles
VPN permitidos para el sistema virtual.
La flexibilidad de poder asignar lmites
por sistema virtual le permite controlar de
forma efectiva los recursos de
dispositivos.

En la pestaa Recurso, defina si desea los lmites de un sistema
virtual. No hay valores predeterminados.
Lmite de sesiones, Intervalo: 1-262144
Reglas de seguridad, intervalo: 0-2500
Reglas de NAT, intervalo: 0-3000
Reglas de descifrado, intervalo: 0-250
Reglas de QoS, intervalo: 0-1000
Reglas de cancelacin de aplicacin, intervalo: 0-250
Reglas de reenvo basado en polticas, intervalo: 0-500
Reglas de portal cautivo, intervalo: 0-1000
Reglas de proteccin contra ataques por denegacin de
servicio, intervalo: 0-1000
Tneles VPN de sitio a sitio, intervalo: 0-1024
Tneles de SSL-VPN simultneos, intervalo: 0-1024
2.
Paso 5
Sistemas virtuales
Haga clic en Compilar y en ACEPTAR. El sistema virtual es ahora un

objeto accesible desde la pestaa Objetos.
685
Sistemas virtuales
Paso 6
Cree al menos un enrutador virtual para el 1.

sistema virtual para que este sea capaz de
realizar funciones de red, como el
2.
enrutamiento esttico y dinmico.
3.
Otra opcin es que su sistema virtual use
una VLAN o un cable virtual, en funcin
de su implementacin.
Seleccione Red > Enrutadores virtuales y Aadir enrutador

virtual por Nombre.
Aada las Interfaces que pertenezcan al enrutador virtual.
Paso 7
Configure una zona de seguridad para

cada interfaz del sistema virtual.
Para al menos una interfaz cree una zona de seguridad de capa 3.

Consulte Configuracin de interfaces y zonas.
Paso 8
Configure las polticas de seguridad que

permitan o denieguen el trfico hacia y
desde las zonas del sistema virtual.
Consulte Configuracin de polticas de seguridad bsicas.
Paso 9
Haga clic en Compilar y en ACEPTAR.

Cuando haya creado un sistema virtual, el administrador de
dispositivo puede usar el CLI para confirmar una
configuracin para nicamente un sistema virtual especfico:
PA-5060> commit partial vsys vsys<id>
Paso 10 (Opcional) Vea las polticas de seguridad Abra una sesin SSH para usar el CLI. Para ver las polticas de
configuradas para un sistema virtual.
seguridad para un sistema virtual, en el modo operativo, use los
siguientes comandos:
PA-5060> set system setting target-vsys
<vsys-id>
PA-5060> show running security-policy
686
Sistemas virtuales
Sistemas virtuales
Configuracin de la comunicacin entre sistemas virtuales

dentro del cortafuegos
Realice esta tarea si tiene un caso de uso, quizs en una nica empresa, donde desee que los sistemas virtuales
puedan comunicarse entre s en el cortafuegos. Ese escenario se describe en Trfico entre VSYS que permanece
en el cortafuegos. Para realizar esta tarea se supone que:
Ha completado la tarea Configuracin de sistemas virtuales.

Durante la configuracin de los sistemas virtuales, en el campo Sistema virtual visible, se han seleccionado
las casillas de todos los sistemas virtuales que deben comunicarse entre s para que sean visibles.
Paso 1
Configure una zona externa para cada

sistema virtual.
1.
Seleccione Red > Zonas y Aadir una nueva zona por Nombre.
2.
En Ubicacin, seleccione el sistema virtual para el que est

creando una zona externa.
3.
En Tipo, seleccione Externa.
4.
En Sistemas virtuales, introduzca el sistema virtual al que

puede llegar la zona externa.
5.
Perfil de proteccin de zona: puede seleccionar un perfil de
proteccin de zona (o configurar una ms tarde) que

proporcione proteccin contra desbordamiento, de
reconocimiento o contra ataques basados en paquetes.
6.
Ajuste de log: Puede seleccionar un perfil de reenvo de logs
para reenviar los logs de proteccin de zona a un sistema

externo.
7.
Tambin puede seleccionar la casilla de verificacin Habilitar

identificacin de usuarios para activar el User-ID para la zona
externa.
8.
Paso 2
Consulte Configuracin de polticas de seguridad bsicas.

Configure las polticas de seguridad
permitiendo o denegando el trfico desde
Consulte Trfico entre VSYS que permanece en el cortafuegos.
las zonas internas a las externas del
sistema virtual, y viceversa.
Paso 3
Sistemas virtuales
687
Sistemas virtuales

Realice esta tarea si necesita que mltiples sistemas virtuales compartan una interfaz (una Puerta de enlace
compartida) para Internet. Para realizar esta tarea se supone que:
Ha configurado una interfaz con una direccin IP enrutable globalmente, que ser la puerta de enlace
compartida.
Ha completado la tarea anterior, Configuracin de sistemas virtuales. Para la interfaz, selecciona la interfaz
externa con la direccin IP enrutable globalmente.
Durante la configuracin de los sistemas virtuales, en el campo Sistema virtual visible, se han seleccionado
las casillas de todos los sistemas virtuales que deben comunicarse entre s para que sean visibles.
Paso 1
Paso 2
Configurar una puerta de enlace

1.
compartida Puerta de enlace compartida.
Seleccione Dispositivo > Puerta de enlace compartida e

introduzca una ID.
2.
Introduzca un Nombre til, preferiblemente uno que incluya la

ID de la puerta de enlace.
3.
En la pestaa Proxy DNS, seleccione el perfil de Proxy DNS si

desea aplicar las reglas de proxy DNS a la interfaz.
4.
Aada una Interfaz que conecte con el mundo exterior.
5.
Configure la zona para la puerta de enlace 1.

compartida.
2.
Seleccione Red > Zonas y Aadir una nueva zona por Nombre.
En Ubicacin, seleccione la puerta de enlace compartida para la
que est creando una zona.
Cuando aada objetos como

zonas o interfaces a una puerta de 3.
enlace compartida, esta aparecer 4.
como un vsys disponible en el
men desplegable VSYS.
Perfil de proteccin de zona: puede seleccionar un perfil de
5.
Ajuste de log: Puede seleccionar un perfil de reenvo de logs
En Tipo, seleccione Capa3.

proteccin de zona (o configurar una ms tarde) que
proporcione proteccin contra desbordamiento, de
reconocimiento o contra ataques basados en paquetes.
para reenviar los logs de proteccin de zona a un sistema
externo.
6.
Tambin puede seleccionar la casilla de verificacin Habilitar

identificacin de usuarios para activar el User-ID para la
puerta de enlace compartida.
7.
Paso 3
688
Sistemas virtuales
Sistemas virtuales

Muchas de las caractersticas y funcionalidades del cortafuegos pueden configurarse, visualizarse, registrarse en
logs o incluirse en informes por sistema virtual. As, los sistemas virtuales se mencionan en otras ubicaciones
relevantes de la documentacin, y esa informacin no se repite aqu. Algunos de los captulos especficos son
los siguientes:
Si est configurando la HA activa/pasiva, los dos cortafuegos deben tener la misma funcionalidad del
sistema virtual (funcionalidad de sistema virtual mltiple o nico). Consulte Alta disponibilidad.
Para configurar QoS para sistemas virtuales, consulte Configuracin de QoS para un sistema virtual.
Si desea informacin sobre cmo configurar un cortafuegos con sistemas virtuales en un cable virtual que
usa subinterfaces (y etiquetas VLAN), consulte la seccin Redes, Subinterfaces de Virtual Wire.
Sistemas virtuales
689
Sistemas virtuales
690
Sistemas virtuales

PAN-OS AdminGuide 61-Spanish PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

PAN-OS AdminGuide 61-Spanish PDF

Caricato da

Copyright:

Formati disponibili

Palo Alto Networks

Gua del administrador de PAN-OS

Palo Alto Networks

Acerca de esta gua

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.

Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113

Gua del administrador de PAN-OS

Revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Configuracin de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Gua del administrador de PAN-OS

Uso del centro de comando de aplicacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Gua del administrador de PAN-OS

Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . .

Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con

Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

Infraestructura de Content Delivery Network para actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . 342

Gua del administrador de PAN-OS

Excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

Gua del administrador de PAN-OS

Ejemplos de casos de uso del filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435

Configuracin de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444

Configuracin de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuraciones rpidas de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

Gua del administrador de PAN-OS

Descripcin general de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502

Gua del administrador de PAN-OS

Enumeracin de reglas dentro de una base de reglas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630

Trucos y consejos para buscar objetos en poltica de seguridad.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Uso de una lista de bloques dinmicos en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Gua del administrador de PAN-OS

Recuperacin de una lista de bloque dinmico del servidor web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644

Sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .673

Gua del administrador de PAN-OS

Gua del administrador de PAN-OS

Integracin del cortafuegos en su red de gestin

Creacin del permetro de seguridad

Habilitacin de funciones de prevencin de amenazas bsicas

Prcticas recomendadas para completar la implementacin del cortafuegos

Integracin del cortafuegos en su red de gestin

Integracin del cortafuegos en su red de gestin

Determinacin de la estrategia de gestin

Realizacin de la configuracin inicial

Establecimiento de acceso a la red para servicios externos

Registro del cortafuegos

Activacin de la licencia y suscripciones

Gestin de la actualizacin de contenidos

Instalacin de actualizaciones de software

Integracin del cortafuegos en su red de gestin

Determinacin de la estrategia de gestin

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

Integracin del cortafuegos en su red de gestin

Realizacin de la configuracin inicial

Obtenga la informacin necesaria de su

Direccin IP para el puerto MGT

Conecte su ordenador al cortafuegos.