PAN-EDU-201: FW Installation, Configuration, and Management: Essentials I.

Curso 201 Palo alto

- NAT se hace de forma distinta ! (aceptar como se hace en palo alto).
- Panoramas (actualizaciones masivas)
- Each Layer 3 interface, loopback interface, and VLAN interface defined on the
firewall must be associated with a virtual router
- While each interface can belong to only one virtual router, multiple routing p
rotocols and static routes can be configured for a virtual router
- It is important that a PBF strategy ensures both the originating and the retur
ning traffic use the same path
- Nmero de serie del producto se obtiene del WebUI del Dashboard.
- Las direcciones MAC no son nicas hasta que se licencia el FW.
- Al instalar actualizaciones de SSOO, debes bajar actualizaciones previas, pero
no necesariamente instalarlas (ej: Tienes 4.9 y necesitas 5.1, bajas 5.0 y 5.1,
instalas 5.1).
>>>>>>> Plataformas y arquitecturas
>>Plataforma virtual
Este-Oeste > Orientacin proteccin
Firewall de mquina virtual no se utiliza para proteger permetros (por throughput).
Instancias ruteo (8-10).
Tpico de mquinas virtuales se puede revisar ! paloaltonetworks.com/documentation/v
irtualization/virtualization
Panorama siempre se ha visto en mquinas virtuales.
>>Arquitectura:
- Visualizo el trfico en una pasada ("Single pass processing). No se deben hacer
buffer para otros mdulos (antivirus
por ejemplo). "One policy".
- Control Plane: Separacin de mdulos. Puedo reiniciar data plane siguiendo control
ando el equipo.
En el se puede usar el HA. Plataforma dedicada para esa data
- Data plane: 3 Mdulos de procesamiento, hardware separado.
Signature match: Firmas estticas en el equipo.
Security processing: SSL decription, CPU y RAM dedicada tambin.
Network processing:
D MEMORIA EL FLUJO LOGICO DE NEXT-GENERATION FW
Init packet: Necesito autenticas Usuario?, Por ruta o PBF?, evaluar poltica NAT. La
idea de palo alto es hacer reglas
por aplicacion y no por puerto. "APP default" puerto por defecto d
e la aplicacin (es una opcin)
Secure prepolicy
Application: Decriptacin, Aplicacin customizada? APPID: apps que FW ya conoce.
Poltica seguridad: Match con patrones? Content ID= chequeo seguridad del perfil.
Post-Policy processing: Re encrypt, SE APLICA NAT AL FINAL!.
>>>Presentacion 2
Interfaz de Management debe seguir a internet. DNS debe estar configurado !! (pa
ra realizar actualizaciones)
Por que similar a Juniper? Dueo es de juniper, palo alto naci para identificar apli
caciones, ellos hacen "app-control".
Service en config: Servicios que vamos a habilitar.
- User ID: Para habilitar usuarios.

Listener, SSL: Palo alto puede generar autentificacin con otros dispositivos (blu
ko). Palo alto puede leer la autentificacin.
DNS: Se configura donde hacer actualizaciones.
Equipo tiene network map, y hace dibujo para tirar trafico (por eso hay longitud
y latitud).
Service route config: Lo vamos a hacer por management o por interfaz?.
Configuracin management: Si configuramos en GUI es candidata, con commit se pasa
a la caja. Commit = activacin.
Commit granular: Quiero incluir la config de device e interfaz, o incluirla. Uti
l si quiero hacer config en neo, por ejemplo, puedo configurar la ip del cliente
despus.
Task manager: Alguien est haciendo un commit? Es importante para revisar que suced
e, o si no puedo hacer commit por ejemplo.
Save no es igual a aplicar commit: La config con save la guardo como snapshot, p
ero no la he hecho commit.
Cada vez que hay commit, se genera una nueva versin de configuracin.... Como recup
eracin o restaurar sistema.
Config man/ audit: Si marca en amarillo se modifico, rojo se borro, verde algo n
uevo.
Registro !! VM
Retrieve: Descargar licencia equipo.
Palo alto trabajo con dos motores de URL filtering: Palo alto (PAN-DB) bread(alg
o)..
Device > Dynamic update
Global protect para las vpn ! Site to site. Licencia a parte.
Si tengo wildfire y fw bien configurado, se debe actualizar cada 15 minutos con
licencia !!.
Schedule diario antivirus, semanal app.
antivirus cada 1 hora, wildfire cada 15 minutos.
PAN-OS: Se puede tener ah "descargada" o instalar a mano.
Release notes: Ventaja en palo alto. Quean en la caja (revisar que estn como pdf
a la derecha)
Power operation: Reiniciarlo.
Reiniciar dataplane: Reiniciar todo menos la administracin (trfico por ejemplo, se
reinicia y deja de pasar).
Sistema operativo est en control plane (tambin para data) pero est aislado. "3 proc
esadores distintos, 1 instancia para todos"
>> Admin: Mltiples cuentas configuradas en equipos.
Roles: Cuentas con distintos permisos
Dynamic: Estn en la caja, Admin: Customizado.
Role dynamic por caja, based es customizado.
Config lock, commit lock solo super admin puede desbloquear
Se puede hacer factory reset (pierde lock, info, etc).
Se puede hacer factory reset sin necesidad de conocer user y pass !
Config del equipo por web, link o api.
Cuando FW marca con rojo, es porque algo falta por rellenar.
Perfil de autentificacin: Enlace entre fuente de autentificacin y los usuarios de

esa fuente que sern autentificados.

>> El ACC
Muestra todos los counts, direcciones IP, pases de trfico, reglas ms usadas, quiene
s hacen match reglas, crear reporte dinmicos, etc.
Lo malo es que No es en tiempo real !!
Palo alto no tiene mdulo de IPS, tiene vulnerability protection, modulos en conju
nto que son mejor que IPS.
Con ACC construyo polticas segn vulnerability protection.
Risk level: Indica el nivel de amenaza del equipo. Permite convencer al cliente
segn las polticas que aplico. ndice de apoyo.
Monitor tab: Permite distinguir el trfico.
Traffic log se puede reiniciar cada 5-10-15 segundos.
CLI:
Tabular y espacio auto-completa !! Tambin sirve ?.
Comando find: Si quiero configurar algo, coloco find command keyword ???? muestra t
odo lo que se puede configurar.
El ping en palo alto, me debo parar en la interfaz. Poner por ejemplo, IP interf
az WAN.
Security zones:
Zone protection permite controlar el nmero de sesiones de una caja, por ejemplo.
En las zonas puedo incluir o excluir direcciones IP.
La idea es crear muchas zonas para "loguear" el trfico.
Trfico intra-zone (en la zona) se permite por defecto.
Trfico inter-zone denegado por defecto.
UNA INTERFAZ PERTENECE A UNA SOLA ZONA.
Si se repite una interfaz no te va a dejar hacer commit.
Hasta 8 interfaces de cobre se pueden asociar.
Solo se necesita licencia para el decrypt mirror, desencripta trfico SSL.
En virtual wire indico las interfaces que van, idem con vlan y router.
Modo tap: No afecta red cliente, ver port mirror y throughput de la plataforma.
El cliente debe enviar VLAN con trafico.
Virtual Wire: No es modalidad de capa 3, es transparente, no necesita IP cliente
sino que lnea en la red. Si el cliente quiere agregar un control adicional sin a
gregar info de ruteo, si hay un pequeo instante de corte de servicio.
Modo capa 3: El ms comn.
Interfaz de management debe estar conectada a internet, para actualizar el equip
o.
CADA INTERFAZ PUEDE ESTAR EN UN MODO DISTINTO.
LAS VLAN SIEMPRE SE DEBEN ASOCIAR A OBJETOS.
Virtual wire no se asocia a un virtual router.
Trafico unta
Link state pass permite que si se cae la puerta arriba del FW, tambin conmute.
Sub-interfaces: Asigna distintas zonas de seguridad. "permite/filtra trfico de es
tas IP..."
La interfaz debe pertener a un virtual wire (objeto de VLAN) para crear sub-inte
rfaz.
En capa 2 se aplican polticas por VLAN.
>> Virtual Router o virtual FW??????
Puedo rutear entre virtual router. Se pueden tomar decisiones por puertas !
Con PBF se separa a la aplicacin.
Podra ser un virtual router a cada empresa :O !
La zona de seguridad se puede solo asociar a las subinterfaces.
Se pueden asignar mtricas.
Rutas dinmicas:
Ruteo para multicast!

PBF: Est antes que virtual router... Va por address, aplicacion o servicio :O en
fuente y destino :O !!
Si la direccin se asigna sin mscara lo asume como host (/32).
Aguanta IPV6.
Soporta Dual Stack (IPv4 e IPv6), separa esos de ser necesario.
Server DHCP: Posiciono DHCP en interfaz que me interesa.
Si est en auto, no entrega ms IP. Si es forced entrega igual DHCP aun
que hayan otros.
Puede aprender parmetros de DHCP.
DHCP relay: Hasta 4 servidores externos DHCP. Donde escucho DHCP? Cuales interface
s?.
Loopback da acceso para lo que es VPN.
Aggregate interfaces, aumenta throughput y link
TODAS LAS INTERFACES DEBEN SER COBRE O FIBRA.
Se puede configurar el LACP.
>>>>> Security and NAT policies
Reglas FW son rriba hacia abajo (up to down).
Si hago reglas por aplicaciones, service debe ser por aplicacin. Todas las aplica
ciones en palo alto tienen puerto por default.
Regla tipo universal: Esta por sobre intra e inter zone... Crear estas reglas es
lo mejor.
Se hablan de zonas y no interfaces.
Dynamic block list para agregar otras reglas, como listas negras pre-construidas
.
URL es solo para HTTP o HTTPS. (POP3 no es necesario reglas por ejemplo).
** La primera poltica que hace match se usa, y el resto no se revisan.
Se puede aplicar todo en una sola regla (un solo flujo de datos como se coment an
teriormente).
FQDN hace match a las reglas.
Para crear objeto IP (host) se le da nombre y se le pone un tag.
Las API se encargan de dynamic groups.
Block list permite interacturas con la IP del sitio.
Interzone viene bloqueada por defecto.
Loguear sesin al final es recomendable.
>> Security profiles:
Antivirus-antispyware...
Se pueden agrupar en un security profile group.
Un deny no necesita asegurar un security profile.
data filtering es como un DLP (si un texto coincide, como "tarjeta
se bloquea). Puedes configurar umbrales por ejemplo.
Las reglas se pueden tomar (polticas), con el mouse inclusive que
numerarlas.
Si en source no sale zone, alguien se meti y la sac.
Highlight unused rules: Determina reglas que no se han usado desde
equipo.
Los tags de la poltica se pueden agregar. Los tag de color fueron
usuarios ...

de credito",
es cmodo, para e
reiniciado el
a peticin de los

>>>>>>> NAT
Hay dos... de destino y origen.
Origen: Internet a usuarios internos. windows 7 a internet.
Destino:
Dentro de origen:
Static IP: Nat 1-1, cambia ip origen mantiene puerto origen y destino.
Dynamic IP: Nat 1-1, 1 direccin origen (natea segn se direcciona a IP pblica dispon
ible por ejemplo). Juega con puertos para ver que ip usar (IP pool)
Dynamic IP/Port: Nateo por ip interfaz firewall, como un PAT. TODO TRAFICO POR U

NA IP.
>DIPP NAT Oversubscription (DIPP)
- Reutilizar el mismo puerto para el cual se ha nateado una IP.
El hardware limita la cantidad de oversubscription que te permite utilizar.
Como se configura el tipo de NAT?
El paquete trasladado se selecciona
BI direccional: Trfico de ida como de vuelta va por una IP.
Politica destino
ES DE UNTRUST A UNTRUST !! NO DE UNTRUST A TRUST !! Esto es as en palo alto.
destination address es ip publica.
La zona de origen y destino es donde est la IP publica.
PERO la poltica es de Untrust a trust
IP destino publica es la misma en para NAT y poltica.
TRUST: ZONA entre mi equipo y fw.
UNTRUST: ZONA entre internet y FW.
Bi-direccional: Si bien el NAT es 1-1, LA IP DE INTERNET NO PODR ENTRAR A NINGN SE
RVICIO.
Poltica seguridad es distinto de NAT. Se deben configurar ambos. NAT y luego polt
ica de seguridad es fundamental, respeta el flujo de palo alto.
>>>>>>>>> 14/10
>>>> App-ID:
- Detecta protocolo en que funciona la aplicacin, tiene su firma.
- Skype es propietario de su encriptacin... A veces se puede demorar palo-alto en
detectar que es skype (heurstica no es tan rpida).
- yahoo messenger 5050 y bit torrent 6681, son evasivas, si no encuentran sus pu
ertos se van por puerto 80.
** Importante: Podemos crear reglas basadas en aplicacin o nmero de puerto. Con es
o nos ahorramos una App-IPS.
- Si es una app de Zero-Day, de puerto 53, se deja pasar. Palo alto puede bloque
arlo porque no es una aplicacin especfica.
- UDP contiene toda la info en 1 paquete, por tanto es ms fcil para palo alto, en e
ste caso se va al primer paquete directamente a leer la aplicacin. 3-way handshak
e de TCP es ms difcil porque no es aplicacin, application data recin lo ve en HTTP r
esponse.
- Si el log sale incomplete en tcp, se gener el handshake pero no pas data... NO N
ECESARIAMENTE ES ERROR !!
- Por qu se re-alimenta si hay poltica desencriptacin? Revisar firmas.
- Si el protocolo es desconocido se aplica heurstica (forma lenta de detectar apl
icacin), sino se aplica decoder.
- Contexto: Es web browsing o est pasando otra aplicacin por debajo?.
- Protocol decoder permite el application shift para cambiar de aplication signa
tures.
Como funciona la heurstica? Ver ppt.
** IMPORTANTE: applipedia.paloaltonetworks.com. En caso de emule palo alto es in
teligente, los puertos son dinmicos y as los reconoce.
- Dependencia de aplicaciones?? Implcita??
Si no tengo habilitado web-browsing por ejemplo, no puedo usar google translate.
..
Implcita significa que el FW lo hace automticamente con las aplicaciones. La aplic
acin te avisar si hay aplicaciones dependientes, tirndolos como warnings en el comm
it.
** IMPORTANTE: urlfiltering.paloaltonetworks.com web page Te permite revisar las
categoras
- Application default: Solo por el puerto que se indica.

>> Application filter:

Grupos dinmicos que se basan en categoras. Es dinmico porque paloalto va agregando
constantemente a las categoras. Se puede combinar con los filtros.
- Las aplicaciones pueden estar en una poltica de seguridad "suelta".
- Puede estar en app filters o tambin en un app groups. App filters puede estar d
entro de app group.
- Se pueden observar siempre, haciendo click en los objetos, ver lo que contiene
.
- Application block response pages: Pgina de paloalto que le indica claramente al
usuario porque no puede acceder a una aplicacin que est bloqueada.
- App Filtering y URL filtering se diferencia en apuntar a bloquear app o url...
. URL filtering solo funciona para http y https !!!
Ambas en verdad son complementos, no son reemplazables sus funcionalidades.
>>> Security profiles:
- Gracias a la base de datos del FW.
- El antivirus por defecto bloquea: FTP, HTTP, smb.. pop3, imap y smtp son alert
as para evitar el spam, es necesario advertir al admin del servidor de correo.
- Es necesario activar wildfire y action para bloquear !!.
- Threat ID slo se ver en los logs.
- La accin por default en spyware security profile es alert.
- Block critical y high, el resto es alert.
- Block es bloquear del DNS a palo alto,
Sinkhole: Es una respuesta de vuelta al usuario infectado para que sepa la IP de
l host real infectado... Se permite una IP ma falsa, as engaa DNS y host, enviando
IP sinkhole as podemos ver el trfico malicioso.
Para configurar, le agrego una IP. Lo que es til es agregar una zona al sink hol
e.
Habilitar enviar datos de DNS a Paloalto
IPS == Vulnerability proteccion (en palo alto).
Se puede revisar info en los threats logs.
allow > Todo veran trafico a
alert
block
continue: Para que el usuario vea bajo su propia seguridad.
override: Igual que continuo pero con password. 1 contrasea para la accin.
PALO ALTO FUNCIONA CON 2 MOTORES DE URL-FILTERING, 2 LICENCIAS DISTINTAS !!
PAN-DB y Brightcloud:
Brightcloud almacena bases de datos en el equipo, a diferencia de pan-db.
Ambos hacen look-up.
Diferencia mayor (Manuel) es que Pan-DB lo puedo acceder con wi-fi (integracin co
n wifi). Con brightcloud
Se usa el uno o el otro, no ambos.
En brightcloud, si la licencia expira se puede usar block para que nadie navegue
, o allow dejar que too pase segn cache del equipo.
Si PAN-DB se le acaba la licencia, usar todo lo del cache... Si reinicias el equi
po pierdes :( .
PAN-DB se puede usar schedule para programar cada ciertos das.
Para recategorizar > Ir a logs > URL > Si es PAN-DB, en el mismo FW se rellena u
n formulario que se llena a palo alto.
Si es brightcloud, se tendr que llenar un
formulario en la pgina de brightcloud.
>> Wildfire:
- El archivo se monta en distintas mquinas virtuales (Windows), y se analiza el c
omportamiento de archivos.
El tipo de ataques como malware es amenaza da 0.
En wildfire assess... se enva solo un hash y NO EL ARCHIVO !!.

Resumen wildfire
Archivo no se conoce > wildfire
Conozco firma? No, y conozco hash no va, sino se analiza si es malicioso o no a t
ravs de un reporte pdf con una firma para la amenaza.
Firmas de wildfire alimenta a los dems content-ID.
Lo que se demora en la firma para un ataque da 0, se demora como 1 hora app en el
proceso. Si la firma es nueva, se demora 2-3 (ingeniero procesan) y sin wildfir
e 24-48 horas.
appliance wf-500 es con pan-db que permite firmas locales sin necesidad de ir al
cloud, puedes tener varios paloalto enganchados a wf-500. Limitacin wf-500 es qu
e solo funciona con un sistema operativo que es el que finalmente trabaja. No re
visa APK (android) y no revisa web pages en mail.
Nadie tiene en sudamrica hasta ahora esto :(.
Wildfire se debe configurar cada 15 minutos !! Existen wildfire logs, muy comple
tos !!
>> Decryption
SSL: Sesin es 1 Request con certificado.
2 Certificado se enva.
Decription policies:
- SSH, SSL
Admin certificado:
Se pueden autentificar dos significados para high avaibility.
certificados:
Sels signed o firmado por FW, user necesita confiar en el firewall independiente
mente.
CA certificate: Gran escala
Cadena confianza: lista de certificados en una entidad, cada certificado se firm
a por una entidad del y va al siguiente certificado.
self-signed marcar opcion "certificate authority"
Certificados revocados: i) Por CRL una lista de certificados no vlidos, se baja d
e cada route CA
ii) OCSP cada cliente enva serial number certificado y se
compara con la informacin OCSP del cach.
Como empresa me gustara ver que pasa por SSL.
FW intercepta certificado (haciendo de proxy), haciendo dos conexiones SSL. FW e
stablece dos canales de conexin segura.
desencripto trfico por categora SSL. se escogen categoras de URL.
SE PUEDEN CREAR POLTICAS DE DESENCRIPTACIN
ssl forward proxy todo lo que sale de mi unidad corporativa hacia internet.
Se puede agregar por consola y manualmente agregar categoras.
HSM: Llaves dentro del mdulo
>>>> Modulos que soporta palo alto en el examen es pregunta segura del examen.
Si cargo licencia y reinicio equipo se puede cargar el decryption port mirror. D
isponible de serie 3000 en adelante. PAN decript es la licencia.
SESION 8:
USER ID AGENT: Pregunta las IP clientes,
Agente firewall v/s windows
- Agente de Firewall es ms eficiente en ancho de banda, directo al FW es un solo
trfico entre los servidores (recomendado).

- User ID-Agent es un intermediario.

- Similar a una carpeta compartida.
Al cmambiarme de red no genero un nuevo logon event. IP nueva. Deben tener los d
erechos para leer en el dominio.
- A la zona se le da caracterstica de user-ID
-Profile LDAP: Si se configura bien, con un discover se pueden agregar todos los
controladores de dominio que deseo monitorear.
- FW mira a la gente, no controladores de dominio.
- Agente de ID es una vez por cada actualizacin a palo alto. Con agente de FW no
pasa esto.
SESION 9: VPN
Global protect en paloalto son VPN cliente, se puede conectar por SSL
>>Site to Site VPN
VPN ruteadas (rutas estticas)
Tnel en base a destino, se deben crear polticas (como trfico normal).
Se debe crear una zona para la interfaz de tnel y NO reutilizar la zona de otra i
nterfaz. Podemos rutear a travs interfaz e tunnel
IKE cripto para negociacin de IKE.
IPSec o fase 2, establece conexin de redes privadas para establecer comunicacin.
Proxy ID son las redes. Proxy ID se conoce como dominio de encriptacin en otras t
ecnologas.
>>Configuring Site-to-Site Tunnels
No se apunta a default gateway sino que a interfaz lgica.
Identificador de tunnel se escoge, se debe asociar a virtual router y zona de se
guridad, y configurar IPv4.
IKE en fase 1:
Autentificacin de usuarios.
Pre-shared porque es una password. Peer est en fase 1
Tamao de los paquetes MTU se puede modificar para compatabilidad con otros (como
Cisco).
lOS parmetros de DH group eliges la encriptacin. Parmetros deben ser idnticos en amb
os extremos.
IPSec en fase 2:
Qu trfico puede pasar a travs del tnel?.
Phase 2 proposal debe ser observado para comprobar.
Perfiles de criptografa deben ser idnticos
Proxy ID: definimos las redes que conocemos en el otro extremo. Entre FW palo al
to no es necesario definirlos (pueden ser 0.0.0.0). Local la IP de mi extremo y
Remote la del otro extremo.
Rutas estticas no necesitan next hop. Al hacer tunnel.
Solamente en lab se har en zona untrust. Sort by "bytes" ordena por ancho de band
a
>>IPsec Troubleshooting
Errores de logs.
Por qu el ACC es tan crtico? (Manuel)
Si la aplicacin est incompleta, puede ver la cantidad de paquetes... en tcp necesi
tas ver 5 paquetes y en UDP 1
No matching P1 proposal: DH group no hace match.
No matching 2 proposal idntico a P1.
PFS es distinto cerca de DH group.
Mismatched proxy ID son distintos dominios de encriptacin.
COMANDO PARA SUBIR Y BAJAR EL TUNEL A MANO
para bajar IKE: clear vpn ike-sa gateway nombre_IKE-GW
para levantar IPSEC: test vpn ipsec-sa tunnel nombre_ipsectunnel

SESION 10: Manement and reporting:

- lOS colores del PAN FW dashboard van segn nivel de riesgo.
- Se refresca cada 1 minuto.
- El ACC muestra caractersticas, por ejemplo, de aplicaciones utilizadas.
- HIP: Se conecta por VPN global protect... "No permito que ningn equipo se conec
te a la VPN si no tiene instalado (mcafee, spyware u otros).
- Session Browser: Muestra todos los detalles que pasan por la sesin.
- Se pueden hacer alarmas (se apagan con ACK), pop-up. Si una poltica tiene "x" v
iolaciones, se puede prender la alarma.
- En reporte no habilitar los detalles.
- Que el direccionamiento salga en el ceano es porque es privado, por eso no mues
tra ningn pas.
>>>> SESION 11: HA
Escenario activo/pasivo: Escenarios distribuyen trfico segn algoritmo hacia arriba
o abajo, PAN recomienda activo/pasivo.
Conexiones UDP y particular de HA no se sincronizan, si un FW tiene ms prioridad
que otro no quiero que se sincronicen respecto de prioridad. Sincroniza certific
ado
El HA1 para control plane, HA2 para data plane.
Las versiones deben ser idnticas en ambos equipos. Heart beat backup es backup e
HA1.
Suspend de puede hacer de forma manual.
Configuracin activo se refleja en pasivo al sincronizar, y viceversa tambin.
Deteccin fallas:
heartbeat: Estn bien (uno al otro)?
Path monitoring: Ambos ping a google, si uno no llega hay falla.
Link monitoring: Si se cae una puerta, conmuta a la otra.
(Manuel): Las puertas del pasivo no las prefiero abajo, sino que en up. Si el FW
se conecta a SW con STP se va a demorar 1-2 minutos en negociar (lento), y el f
ailover es lento.
EL EQUIPO QUE TIENE LA PRIORIDAD MS BAJA ES EL QUE MANDA, TIENDE A SER EL MASTER.
Opcion preempitve ayuda en re asignar al master.
HA timer aggresive, puede ser tan as que se podra perder solo 1 paquete.
Por qu se encripta trfico entre HA?
Por si el HA se hace entre internet o entre otro proveedor.
(Manuel) Desde 3000 en adelante HA1 (puerto dedicado), siempre HA1 en la interfa
z dedicada. Si es anterior a la versin, se recomienda en el Management.
El HA2 en la interfaz del data plane, en ella es opcional configurar IP
y mscara (se puede dejar en capa 2 solamente).
Se debe habilitar la sincronizacin de sesiones. HA2 keep alive tambin es relevante
.
Link monitoring: Si la habilito y se me cae interfaz 4 (por ejemplo), hago el fa
ilver. La diferencia es que PAN crea link group y agrego las interfaces que quie
ra... Se puede habilitar la cantidad de interfaces que quiero que sean de falla.
Path monitoring: + Inteligente que ver puertas, hace ping ojal a una IP que nunca
cambie (como Google 8.8.8.8). Tambin puedo escoger cantidad de condiciones que q
uiero que fallen. Si no pongo source IP, har ping desde el management. Complement
ario link y path.
En equipos con distintos SSOO debe coincidir el release, pero se puede sincroniz
ar sesiones.
Peor escenario del HA: Managing Split Brain. Pierdo el Master :( y los slaves qu
ieren mandar. La solucin para evitar es el heart beat backup.
Heart beat backup, si se cae del HA1 se va al backup que sera la del management.
En versiones antes 3000 se podra usar una del data plane.
>> Activo/Activo
Throughput de las cajas bajan a menos de la mitad.

Tienen 3 link, HA1 (Control), HA2(Data plane sincronizar sesin) y HA3 (capa 7, qu
ien es el dueo de la sesin).
Se replica trfico en otra puerta.
Se balancean las cargas por algoritmo.
Session setup es donde se decide que FW va a cursar el trfico.
Hay un activo primario y otro secundario.
Sesion owner procesa, y setup recibe y manda.
IP Flotante: Se mueve segn se gatilla el failover, cambian las IP y se dirigen a
otra interfaz.
Interfaz HA1 es la 1/7
SESION 12: Panorama
Permite centralizar la configuracin.
Como panorama soporta 100 FW y 1000 logs.
Panorama en versin 6 se maneja con templates y global shared groups.
Device groups: Criterios segmentacin de cada uno. Un dispositivo pertenece a 1 vi
rtual group.
Polticas pueden ser de seguridad, de Nat, entre otras.
Pre-rules son reglas que tienen precedencia sobre las reglas del FW.
Post-rules vienen despus de las reglas locales del FW.
Template:
Pueden contener objetos de red o de device.
Override para modificar los parmetros del panorama... Todos los objetos con engra
naje verde es un bjeto al cual le hice override
Panorama pueden enviar actualizaciones (device deployment).
Log y reportes centralizados: En el ACC de panorama podra ver ACC de 1,2, 5 o tod
os los FW del panorama.
Puede enviar info en paralelo o por syslog a panorama.
M100 como log collector y luego a panorama, es un consejo de arquitectura distri
buida.
Se pueden hacer reportes del panorama.
Se pueden crear cuentas admin panorama, y dividir permisos a FW o a panorama (a
1 FW, o a 2, o a Panorama, etc).
Panorama tiene una licencia para administrar una cierta cantidad de dispositivos
.
Preguntas:
- Si hay 4 niveles de codificacin en 7.0, si hay ms de 4 codificaciones Que puede h
acer palo alto para bloquear?.
- Prguntas de administrador (general... repasar). Release y wildfire.