Академический Документы
Профессиональный Документы
Культура Документы
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acerca de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Organizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Convenciones tipogrficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Notas y precauciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Documentacin relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Captulo 1
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
13
13
15
15
15
17
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
26
27
27
27
27
28
Obtencin de ayuda para la configuracin del cortafuegos . . . . . . . . . . . 29
Cmo obtener ms informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
49
51
52
53
54
54
56
57
58
58
60
60
61
63
64
65
67
67
68
69
71
72
HA activa/activa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Flujo de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consideraciones de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Habilitacin de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comunicaciones entre sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . .
Captulo 4
Configuracin de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
102
103
104
105
109
111
121
122
123
124
126
126
128
129
Zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enrutadores virtuales y protocolos de enrutamiento . . . . . . . . . . . . . . . . . .
Protocolo RIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocolo OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocolo BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enrutamiento multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de enrutadores virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
130
132
132
133
133
134
135
136
136
137
138
144
148
149
150
152
152
157
158
160
161
162
163
164
164
165
165
165
166
167
186
188
190
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
Polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Directrices de definicin de polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de usuarios y aplicaciones para las polticas. . . . . . . . . . . . .
Polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinacin de configuracin de zona en
NAT y poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . .
Ejemplos de poltica NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de aplicacin personalizada con cancelacin de aplicacin . . . .
Definicin de polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . .
Polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de proteccin DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
202
203
203
207
209
209
210
212
212
216
219
221
222
222
223
224
225
226
227
229
230
232
235
238
241
243
244
245
245
248
248
249
251
255
257
257
258
259
259
261
262
263
263
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
Captulo 7
Configuracin del cortafuegos para la identificacin de usuarios . . . .
307
Captulo 8
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
337
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
367
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .
389
Captulo 11
Configuracin de un Cortafuegos de la serie VM . . . . . . . . . . . . . . . .
399
Captulo 12
Configuracin de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
407
Captulo 13
Gestin centralizada del dispositivo mediante Panorama. . . . . . . . . . .
419
Captulo 14
Configuracin de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
463
Apndice A
Pginas personalizadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
471
471
473
473
474
475
476
10
Apndice B
Categoras, subcategoras, tecnologas y caractersticas
de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
479
Apndice C
Compatibilidad con los estndares federales de
procesamiento de la informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
Apndice D
Licencias de cdigo abierto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
485
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia artstica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . .
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
485
487
489
494
501
501
505
506
507
509
11
12
Prefacio
Este prefacio contiene las siguientes secciones:
Organizacin en la pgina 13
Organizacin
Esta gua est organizada de la siguiente forma:
Prefacio 13
Organizacin
14 Prefacio
Captulo 13, Gestin centralizada del dispositivo mediante Panorama: describe cmo
utilizar Panorama para gestionar varios cortafuegos.
Captulo 14, Configuracin de WildFire: describe cmo utilizar WildFire para elaborar
anlisis e informes sobre el software malintencionado que pase por el cortafuegos.
Convenciones tipogrficas
Convenciones tipogrficas
En esta gua se utilizan las siguientes convenciones tipogrficas para trminos e instrucciones
especiales.
Convencin
Significado
Ejemplo
negrita
cursiva
tipo de letra
courier
Haga clic
Notas y precauciones
En esta gua se utilizan los siguientes smbolos para notas y precauciones.
Smbolo
Descripcin
NOTA
Indica sugerencias tiles o informacin complementaria.
PRECAUCIN
Indica acciones que podran provocar prdidas de datos.
Documentacin relacionada
La siguiente documentacin adicional se incluye con el cortafuegos:
Prefacio 15
Documentacin relacionada
16 Prefacio
Captulo 1
Introduccin
Este captulo proporciona una descripcin general del cortafuegos:
Introduccin 17
Caractersticas y ventajas
Caractersticas y ventajas
El cortafuegos ofrece un control detallado del trfico que tiene permiso para acceder a su red.
Las principales caractersticas y ventajas incluyen las siguientes:
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL en la pgina 235).
18 Introduccin
Interfaces de gestin
Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada para
su uso en un entorno de centro de datos virtual y adaptada especialmente para
implementaciones en nubes privadas y pblicas. Se instala en cualquier dispositivo x86
que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware de Palo
Alto Networks.
Gestin y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva o
una interfaz de lnea de comandos (CLI). Del mismo modo, todos los dispositivos pueden
gestionarse de manera centralizada mediante el sistema de gestin centralizado de
Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.
Interfaces de gestin
El cortafuegos admite las siguientes interfaces de gestin. Consulte Exploradores
compatibles en la pgina 28 para obtener una lista de los exploradores compatibles.
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos. La
interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye funciones
de gestin adicionales. Consulte Configuracin de Panorama en la pgina 407 para
obtener instrucciones sobre cmo instalar Panorama y Gestin centralizada del
dispositivo mediante Panorama en la pgina 419 para obtener informacin sobre cmo
utilizar Panorama.
Protocolo simple de administracin de red (SNMP): Admite RFC 1213 (MIB-II) y RFC
2665 (interfaces Ethernet) para una supervisin remota y genera traps SNMP para uno o
ms destinos de traps (trap sinks) (consulte Configuracin de destinos de traps SNMP
en la pgina 83).
Introduccin 19
Interfaces de gestin
20 Introduccin
Captulo 2
Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar Get startedObtener:
2.
3.
Primeros pasos 21
2.
Encienda su equipo. Asigne una direccin IP esttica a su equipo en la red 192.168.1.0 (por
ejemplo, 192.168.1.5) con una mscara de red de 255.255.255.0.
3.
4.
Introduzca admin en los campos Nombre y Contrasea y haga clic en Inicio de sesin. El
sistema presenta una advertencia para cambiar la contrasea predeterminada. Haga clic
en ACEPTAR para continuar.
5.
6.
7.
8.
9.
10. Compile la configuracin para activar estos ajustes. Una vez compile los cambios, el
cortafuegos ser alcanzable a travs de la direccin IP asignada en Paso 5. Para obtener
informacin acerca de la compilacin de cambios, consulte Compilacin de cambios en
la pgina 26.
Nota: La configuracin predeterminada de fbrica del cortafuegos o despus de
realizar un restablecimiento de fbrica es un hilo de conexin a tierra entre los
puertos Ethernet 1 y 2 con una poltica predeterminada para denegar todo el trfico
entrante y seguir todo el trfico saliente.
22 Primeros pasos
Para mostrar los elementos del men para una categora de funciones general, haga clic
en la pestaa, como Objetos o Dispositivo, junto a la parte superior de la ventana del
explorador.
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda
de un elemento. Para ocultar elementos del men secundario, haga clic en el icono
la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un
nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en
Eliminar. En la mayora de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminacin haciendo clic en Cancelar.
Primeros pasos 23
Para visualizar informacin de ayuda en una pgina, haga clic en el icono Ayuda en el
rea superior derecha de la pgina.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la pgina. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.
24 Primeros pasos
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina
Configuracin en la pestaa Dispositivos), haga clic en el icono en la esquina superior
derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuracin
actual de candidato.
Primeros pasos 25
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo
compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales)
Incluir los cambios de configuracin de objetos compartidos en la operacin de
compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuracin de objetos y polticas en la operacin de compilacin.
Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Para obtener ms informacin acerca de la compilacin de cambios, consulte
Definicin de la configuracin de operaciones en la pgina 39.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuracin del candidato en
comparacin con la configuracin actualmente en ejecucin. Puede seleccionar el
nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los cambios
estn indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La funcin Auditora de configuraciones > del dispositivo realiza la misma funcin,
consulte Comparacin de archivos de configuracin en la pgina 53.
26 Primeros pasos
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarilla claro. Cuando pasa el ratn o hace
clic en el rea de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de
configuracin o compilacin de informacin por otro administrador hasta que se elimine el
bloqueo. Se permiten los siguientes tipos de bloqueo:
Primeros pasos 27
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que estn bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado
en la barra superior
para abrir el cuadro de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el nmero de elementos bloqueados en las parntesis.
Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
28 Primeros pasos
Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web
para acceder al sistema de ayuda en lnea.
Asistencia tcnica
Para acceder a la asistencia tcnica, utilice uno de los mtodos siguientes:
Vaya a https://support.paloaltonetworks.com.
Primeros pasos 29
30 Primeros pasos
Captulo 3
Gestin de dispositivos
Este captulo describe cmo realizar la configuracin del sistema y el mantenimiento del
cortafuegos a un nivel bsico e incluye descripciones generales de los sistemas virtuales, la
alta disponibilidad y las funciones de log:
Gestin de dispositivos 31
SNMP en la pgina 51
32 Gestin de dispositivos
Descripcin
Configuracin
general
Nombre de host
Dominio
Titular de inicio de
sesin
Zona horaria
Configuracin regional
Fecha y hora
Nmero de serie
Ubicacin geogrfica
Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0) del
cortafuegos.
Adquirir bloqueo de
compilacin
automticamente
Comprobacin del
vencimiento del
certificado
Capacidad de
cortafuegos virtuales
Configuracin de
autenticacin
Perfil de autenticacin
Gestin de dispositivos 33
Descripcin
Tiempo de espera de
inactividad
N. de intentos fallidos
Tiempo de bloqueo
Ajustes de Panorama
Servidor de Panorama
Tiempo de espera de
recepcin para conexin
a Panorama
34 Gestin de dispositivos
Descripcin
Tiempo de espera de
envo para conexin a
Panorama
Reintentar recuento de
envos SSL a Panorama
Compartir objetos de
direcciones y servicios
no utilizados con
dispositivos
(nicamente en
Panorama)
Precedencia de objetos
compartidos
(nicamente en
Panorama)
Configuracin de
interfaz de gestin
Velocidad de interfaz de
gestin
Direccin IP de interfaz
de gestin
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6 de
interfaz de gestin
Servicios de interfaz de
gestin
Gestin de dispositivos 35
Descripcin
IP permitidas
Configuracin de log
e informes
Almacenamiento de log
Mx. de filas en
exportacin CSV
Nmero de versiones
para auditora de
configuraciones
Nmero de versiones
para Configurar copias
de seguridad
36 Gestin de dispositivos
Descripcin
Tiempo medio de
exploracin (seg.)
Umbral de carga de
pgina (seg.)
Gestin de dispositivos 37
Descripcin
Complejidad de
contrasea mnima
Habilitado
Letras en mayscula
mnimas
Letras en minscula
mnimas
Letras numricas
mnimas
Caracteres especiales
mnimos
Bloquear caracteres
repetidos
Bloquear inclusin de
nombre de usuario
(incluida su inversin)
La nueva contrasea
difiere por caracteres
Es necesario cambiar la
contrasea al iniciar
sesin por primera vez.
38 Gestin de dispositivos
Descripcin
Bloquear perodo de
cambio de contrasea
(das)
Perodo de advertencia
de vencimiento (das)
Inicio de sesin de
administrador caducado
permitido (recuento)
Perodo de gracia
posterior al vencimiento
(das)
Gestin de dispositivos 39
Descripcin
Gestin de
configuracin
Validar configuracin
candidata
Volver a la ltima
configuracin guardada
Volver a la configuracin
en ejecucin
Guardar instantnea de
configuracin con
nombre
Guardar configuracin
candidata
Cargar instantnea de
configuracin con
nombre
Cargar versin de
configuracin
Exportar instantnea de
configuracin con
nombre
Exportar versin de
configuracin
40 Gestin de dispositivos
Descripcin
Exportar estado de
dispositivo
live.paloaltonetworks.com/community/documentation.
Consulte Implementacin de VPN a gran escala de GlobalProtect en la
pgina 354.
Importar instantnea de
configuracin con
nombre
Importar estado de
dispositivo
Operaciones de
dispositivo
Reiniciar dispositivo
Gestin de dispositivos 41
Descripcin
Apagar dispositivo
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga
clic en Reiniciar plano de datos. Esta opcin no est disponible en el modelo
PA-200.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane. Consulte la Gua de referencia de la
interfaz de lnea de comandos de PAN-OS para obtener informacin detallada.
42 Gestin de dispositivos
Descripcin
Varios
Logotipos
personalizados
Configuracin de SNMP
Configuracin del
servicio de estadsticas
Gestin de dispositivos 43
Descripcin
DNS
Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las
consultas de DNS iniciadas por el cortafuegos con el fin de admitir
objetos de direccin FQDN, logs y la gestin de dispositivos. Las opciones
incluyen las siguientes:
Servidores DNS principal y secundario para la resolucin de nombres
de dominio
Proxy de DNS configurado en el cortafuegos
Servidor de DNS
secundario
Servidor NTP
secundario
Actualizar servidor
Servidor de proxy
seguro
Contrasea de proxy
segura
Confirmar contrasea de
proxy segura
44 Gestin de dispositivos
Descripcin
Configuracin de ruta de
servicios
Gestin de dispositivos 45
Descripcin
Configuracin de ruta de
servicios (Continuacin)
46 Gestin de dispositivos
Descripcin
Filtrado de URL
Tiempo de espera de
cach de URL dinmica
Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor
se utiliza en el filtrado de URL dinmica para determinar la cantidad de
tiempo que una entrada permanece en la cach despus de ser devuelta
por el servicio de filtrado de URL. Esta opcin nicamente es aplicable al
filtrado de URL que utilice la base de datos de BrightCloud. Para obtener
informacin sobre el filtrado de URL, consulte Perfiles de filtrado de
URL en la pgina 235.
Tiempo de espera de
cach de URL dinmica
Tiempo de espera de
cancelacin de
administrador de URL
Tiempo de espera de
bloqueo de
administrador de URL
x-forwarded-for
Quitar x-forwarded-for
Permitir reenvo de
contenido descifrado
Gestin de dispositivos 47
Descripcin
Cancelacin de
administrador de URL
Configuracin de la
cancelacin de
administrador de URL
Gestionar proteccin de
datos
Pginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain y
text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida, se
utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de
contenido asociados a un sistema virtual, se utilizar la lista
predeterminada de tipos de contenido.
48 Gestin de dispositivos
Descripcin
Configuracin de
sesin
Reanalizar sesiones
establecidas
Tamao de depsito de
testigo de ICMPv6
Tasa de paquetes de
error de ICMPv6
Trama gigante
MTU de trama gigante
Habilitar cortafuegos
IPv6
Tamao mnimo de
MTU para NAT64 en
IPv6
Vencimiento acelerado
Gestin de dispositivos 49
Descripcin
Tiempos de espera
de sesin
Tiempos de espera
Caractersticas de
sesin
Configuracin de
revocacin de
certificados de
descifrado
Habilitar
Tiempo de espera de
recepcin
Habilitar OCSP
Tiempo de espera de
recepcin
50 Gestin de dispositivos
SNMP
Dispositivo > Configuracin > Operaciones
Utilice esta pgina para definir el acceso a bases de informacin de gestin (MIB) SNMP para
SNMPv2c y SNMPv3. Haga clic en Configuracin de SNMP en la pgina Configuracin y
especifique los siguientes ajustes.
Un mdulo de MIB define todos los traps SNMP generados por el sistema. Cada log de
eventos del sistema se define como un trap SNMP independiente con un ID de objeto (OID)
propio. Los campos individuales de un log de eventos se definen como una lista de enlace de
variables (varbind).
Descripcin
Ubicacin fsica
Contacto
Utilizar definiciones de
traps especficas
Versin
Gestin de dispositivos 51
Servicio de estadsticas
Dispositivo > Configuracin > Operaciones
La funcin Servicio de estadsticas permite que el cortafuegos enve informacin de
aplicaciones annimas, amenazas y bloqueos al equipo de investigacin de Palo Alto
Networks. La informacin recopilada permite que el equipo de investigacin mejore
continuamente la eficacia de los productos de Palo Alto Networks basndose en informacin
del mundo real. Este servicio est deshabilitado de manera predeterminada y, una vez
habilitado, se cargar informacin cada 4 horas.
Puede permitir que el cortafuegos enve cualquiera de los siguientes tipos de informacin:
Informes de URL
Para ver una muestra del contenido de un informe estadstico que se enviar, haga clic en el
icono de informe
. Se abrir la pestaa Muestra de informe para mostrar el cdigo del
informe. Para ver un informe, haga clic en la casilla de verificacin que aparece junto al
informe deseado y, a continuacin, haga clic en la pestaa Muestra de informe.
52 Gestin de dispositivos
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.
Gestin de dispositivos 53
Aspectos importantes que hay que tener en cuenta al instalar una licencia
Si no puede activar el filtro de URL mediante la interfaz web, hay disponibles comandos de la
CLI. Consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS para obtener
ms informacin.
Haga clic en Actualizar para ver las versiones ms recientes del software disponibles en
Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios de una versin y
la ruta de migracin para instalar el software.
No puede saltar una versin con caractersticas y debe tener una imagen base descargada
54 Gestin de dispositivos
antes de actualizar desde una versin con caractersticas a una versin de mantenimiento
en una versin con caractersticas posterior. Esto se debe al hecho de que la versin de
mantenimiento no contiene la totalidad del software, nicamente los cambios realizados
desde la versin de la imagen base, de modo que se necesita la imagen base para la
actualizacin. Por ejemplo, si actualiza desde 4.0.12 a 4.1.7, deber descargar (no instalar)
la imagen base 4.1.0 para que la actualizacin de la versin de mantenimiento 4.1.7 pueda
acceder a los archivos de la imagen base 4.1.0. Si desea actualizar desde una versin a una
versin con caractersticas que se encuentra dos niveles por encima, deber actualizar a
cada versin con caractersticas. Por ejemplo, si desea actualizar desde 4.0 a 5.0, debe
actualizar desde 4.0 a 4.1 y, a continuacin, desde 4.1 a 5.0.
Puede eliminar los archivos de la imagen base al finalizar la actualizacin, pero no es
recomendable, ya que necesitar la imagen base al actualizar a la siguiente versin de
mantenimiento. nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando 4.1,
probablemente no necesitar las imgenes base de 3.1 y 4.0, a menos que tenga la
intencin de desactualizar el software a dichas versiones.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Durante la instalacin, se le preguntar si desea reiniciar cuando finalice la instalacin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
cortafuegos. Si selecciona dicha opcin, el cortafuegos se reiniciar.
Cuando actualice a una versin con caractersticas (en la que cambie el primero o el
segundo dgito de la versin de PAN-OS; p. ej., de 4.0 a 4.1. o de 4.1 a 5.0), ver un
mensaje cuando haga clic en Instalar que le indicar que est a punto de actualizar una
versin con caractersticas. Debera asegurarse de que realiza una copia de seguridad de
su configuracin actual, ya que una versin con caractersticas puede migrar
determinadas configuraciones para admitir nuevas caractersticas. Consulte
Desactualizacin del software PAN-OS en la pgina 57.
Haga clic en Cargar para instalar una versin que ha almacenado anteriormente en su
equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde archivo.
Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en ACEPTAR
para instalar la imagen.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 4.0 a
4.1. o de 4.1 a 5.0), puede que se migre la configuracin para admitir nuevas
caractersticas. Si est habilitada la sincronizacin de sesiones, las sesiones no se
sincronizarn si un dispositivo del clster tiene una versin con caractersticas de PANOS diferente.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del cortafuegos no est actualizado, puede que el dispositivo
Gestin de dispositivos 55
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
2.
3.
56 Gestin de dispositivos
4.
5.
6.
Verifique que el dispositivo activo pasa trfico visualizando Supervisar > Explorador de
sesin o ejecutando show session all desde la CLI.
Tambin puede comprobar el estado de la alta disponibilidad (HA) en el dispositivo
ejecutando show high-availability all | match reason. Si se trata de una
configuracin activa/activa, compruebe que ambos dispositivos pasan trfico.
Para comprobar la sincronizacin de sesiones, ejecute show high-availability
interface ha2. En la tabla Contadores de la interfaz de hardware ledos desde la CPU
compruebe que los contadores van aumentando. En una configuracin activa/pasiva, el
dispositivo activo nicamente mostrar paquetes transmitidos y el dispositivo pasivo
nicamente mostrar paquetes recibidos. En el modo activo/activo, ver paquetes
recibidos y paquetes transmitidos de ambos dispositivos.
Gestin de dispositivos 57
Guarde una copia de seguridad del archivo de configuracin actual desplazndose hasta
la pestaa Dispositivo > Configuracin > Operaciones y seleccione Exportar
instantnea de configuracin con nombre, seleccione running-config.xml y, a
continuacin, haga clic en ACEPTAR para guardar el archivo de configuracin. Esta copia
de seguridad se puede utilizar para restablecer la configuracin si tiene problemas con la
desactualizacin y necesita realizar un restablecimiento de fbrica.
2.
Desplcese hasta Dispositivo > Software y ver la pgina de software que enumera todas
las versiones de PAN-OS que se pueden descargar o que ya se han descargado.
3.
4.
Guarde una copia de seguridad del archivo de configuracin actual desplazndose hasta
la pestaa Dispositivo > Configuracin > Operaciones y seleccione Exportar
instantnea de configuracin con nombre, seleccione running-config.xml y, a
continuacin, haga clic en ACEPTAR para guardar el archivo de configuracin. Esta copia
de seguridad se puede utilizar para restablecer la configuracin si tiene problemas con la
desactualizacin y necesita realizar un restablecimiento de fbrica.
58 Gestin de dispositivos
2.
Para desactualizar a una versin con caractersticas anterior, deber ubicar la versin con
caractersticas anterior desplazndose hasta Dispositivo > Software y explorando la
pgina que contiene la versin. Consulte Ilustracin 2.
3.
4.
Ver un mensaje que le permitir seleccionar una configuracin que se utilizar tras
reiniciar el dispositivo. En la mayora de los casos, como se trata de una desactualizacin
de la versin con caractersticas, querr seleccionar la configuracin guardada
automticamente que se cre cuando el dispositivo se actualiz a la siguiente versin con
caractersticas. Por ejemplo, si est ejecutando PAN-OS 5.0 y desea desactualizar a PANOS 4.1, haga clic en Instalar en la columna Accin y, a continuacin, en la lista
desplegable Seleccionar un archivo de configuracin para desactualizacin, seleccione
Almacenamiento automtico de 4.1.0, como se muestra en la Ilustracin 2.
Gestin de dispositivos 59
Haga clic en Comprobar ahora para obtener la informacin ms reciente de Palo Alto
Networks.
Haga clic en Revertir para que una versin vuelva a dicha versin.
Haga clic en Notas de versin para ver una descripcin de una actualizacin.
60 Gestin de dispositivos
Cuando crea una cuenta administrativa, debe especificar autenticacin local o certificado de
cliente (sin perfil de autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP,
Kerberos o autenticacin de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticacin del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta de
administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:
Para obtener informacin sobre redes privadas virtuales (VPN) SSL, consulte
Configuracin de GlobalProtect en la pgina 367.
Para obtener instrucciones sobre cmo definir dominios de sistemas virtuales para
administradores, consulte Especificacin de dominios de acceso para administradores
en la pgina 67.
Gestin de dispositivos 61
Restricciones
Conjunto de
caracteres de
contrasea
Administrador
remoto, VPN SSL o
portal cautivo
Cuentas de
administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario
locales:
Arroba (@)
Acento circunflejo (^)
Corchete de apertura ([)
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Corchete de cierre (])
Signo de ms (+)
Signo del dlar ($)
62 Gestin de dispositivos
Descripcin
Nombre
Descripcin
Funcin
Gestin de dispositivos 63
Descripcin
Funcin de CLI
Descripcin
Nombre
Perodo necesario
para el cambio de
contrasea (das)
Perodo de
advertencia de
vencimiento (das)
64 Gestin de dispositivos
Descripcin
Perodo de gracia
posterior al
vencimiento (das)
Inicio de sesin de
administrador
caducado
permitido
(recuento)
Autenticacin con clave pblica (SSH): El usuario puede generar un par de claves pblica
y privada en la mquina que requiere acceso al cortafuegos y, a continuacin, cargar la
clave pblica en el cortafuegos para permitir un acceso seguro sin exigir que el usuario
introduzca un nombre de usuario y una contrasea.
Nota: Para garantizar la seguridad de la interfaz de gestin del dispositivo, se
recomienda cambiar peridicamente las contraseas administrativas utilizando
una mezcla de minsculas, maysculas y nmeros. Tambin puede aplicar
Complejidad de contrasea mnima desde Configuracin > Gestin.
Tabla 10.
Campo
Descripcin
Nombre
Perfil de autenticacin
Gestin de dispositivos 65
Tabla 10.
Campo
Descripcin
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Nueva contrasea
Confirmar nueva contrasea
Funcin
Sistema virtual
66 Gestin de dispositivos
Perfiles de autenticacin
Tabla 11.
Campo
Descripcin
Nombre
Sistemas virtuales
Perfiles de autenticacin
Los perfiles de autenticacin especifican ajustes de base de datos local, RADIUS, LDAP o
Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo.
Cuando un administrador intenta iniciar sesin en el cortafuegos directamente o a travs de
una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticacin que est
asignado a la cuenta y autentica al usuario basndose en la configuracin de autenticacin.
Si el usuario no tiene una cuenta de administrador local, el perfil de autenticacin que se
especifica en la pgina Configuracin del dispositivo determina el modo en que el usuario se
autentica (consulte Definicin de configuracin de gestin en la pgina 32):
Gestin de dispositivos 67
Perfiles de autenticacin
diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las diversas
funciones est disponible en el sitio web de asistencia tcnica en https://
live.paloaltonetworks.com/docs/DOC-3189.
Descripcin
Nombre
Compartido
Tiempo de bloqueo
Intentos fallidos
Lista de permitidas
68 Gestin de dispositivos
Perfiles de autenticacin
Descripcin
Seleccione el tipo de autenticacin:
Ninguna: No utilice ninguna autenticacin del cortafuegos.
Base de datos local: Utilice la base de datos de autenticacin del
cortafuegos.
RADIUS: Utilice un servidor RADIUS para la autenticacin.
LDAP: Utilice LDAP como mtodo de autenticacin.
Kerberos: Utilice Kerberos como mtodo de autenticacin.
Perfil de servidor
Atributo de inicio de
sesin
Aviso de caducidad de
contrasea
Gestin de dispositivos 69
Perfiles de autenticacin
seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una poltica
desde Polticas > Portal cautivo. Para obtener ms informacin, consulte Portales cautivos
en la pgina 311.
Descripcin
Nombre de usuario
local
Ubicacin
Modo
Habilitar
Descripcin
Nombre de grupo de
usuarios local
Ubicacin
Haga clic en Aadir para seleccionar a los usuarios que desee aadir al
grupo.
70 Gestin de dispositivos
Perfiles de autenticacin
Descripcin
Nombre
Ubicacin
nicamente uso de
administrador
Dominio
Tiempo de espera
Reintentos
Recuperar grupo de
usuarios
Servidores
Gestin de dispositivos 71
Perfiles de autenticacin
Descripcin
Nombre
Ubicacin
nicamente uso de
administrador
Servidores
Dominio
Tipo
Base
Enlazar DN
Enlazar contrasea/
Confirmar contrasea
de enlace
SSL
Lmite de tiempo
Enlazar lmite de
tiempo
Intervalo de reintento
72 Gestin de dispositivos
Secuencia de autenticacin
dominio\nombre de usuario
nombreusuario@territorio
nombre de usuario
Descripcin
Nombre
Ubicacin
nicamente uso de
administrador
Dominio
Especifique la parte del nombre de host del nombre de inicio de sesin del
usuario (de hasta 127 caracteres)
Ejemplo: El nombre de cuenta de usuario usuario@ejemplo.local tiene el
territorio ejemplo.local.
Dominio
Servidores
Secuencia de autenticacin
En algunos entornos, las cuentas de usuario residen en varios directorios. Las cuentas de
invitados o de otro tipo tambin se pueden almacenar en directorios diferentes. Una secuencia
de autenticacin es un conjunto de perfiles de autenticacin que se aplican por orden cuando
un usuario intenta iniciar sesin en el cortafuegos. El cortafuegos siempre probar primero en
Gestin de dispositivos 73
Secuencia de autenticacin
la base de datos local y, a continuacin, con cada perfil de la secuencia hasta identificar al
usuario. El acceso al cortafuegos se deniega nicamente si falla la autenticacin de alguno de
los perfiles de la secuencia de autenticacin.
Por ejemplo, despus de comprobar la base de datos local, puede configurar una secuencia de
autenticacin para, a continuacin, probar con RADIUS, seguido de la autenticacin LDAP.
Descripcin
Nombre de perfil
Compartido
Tiempo de bloqueo
Intentos fallidos
Lista de perfiles
74 Gestin de dispositivos
Descripcin
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Visualizacin de alarmas en la pgina 93.
Configuracin
Filtrado de datos
Coincidencias HIP
Sistema
El log Sistema registra cada evento del sistema, como fallos de HA, cambios de
estado de enlaces e inicios de sesin y cierres de sesin de administradores.
Cada entrada incluye la fecha y hora, la gravedad del evento y una descripcin
del evento.
Las entradas del log Sistema pueden registrarse de manera remota segn el
nivel de gravedad. Por ejemplo, puede generar traps SNMP y notificaciones
por correo electrnico nicamente para eventos crticos y de alto nivel.
Gestin de dispositivos 75
Descripcin
Amenaza
Trfico
El log Trfico puede registrar una entrada para el inicio y el final de cada
sesin. Cada entrada incluye la fecha y hora, las zonas, direcciones y puertos
de origen y destino, el nombre de la aplicacin, la regla de seguridad aplicada
a la sesin, la accin de regla (permitir, denegar o colocar), la interfaz de
entrada y salida y el nmero de bytes.
Cada regla de seguridad especifica si el inicio y/o final de cada sesin se
registran localmente para el trfico que coincide con la regla. El perfil de
reenvo de logs asignado a la regla determina si las entradas registradas
localmente tambin se registran de manera remota.
El log Trfico se utiliza al generar informes y en el centro de comando de
aplicacin (consulte Informes y logs en la pgina 273).
Filtrado de URL
WildFire
76 Gestin de dispositivos
Configuracin de logs
Puede configurar el cortafuegos para que enve entradas de logs a un sistema de gestin
centralizado de Panorama, destinos de traps (trap sinks) SNMP, servidores Syslog y
direcciones de correo electrnico.
La siguiente tabla describe los destinos de logs remotos.
Descripcin
Panorama
Trap SNMP
Syslog
Correo electrnico
Gestin de dispositivos 77
Descripcin
Nombre
Descripcin
Habilitado
Tipo de log
Hora de inicio de
exportacin
programada (a diario)
Protocolo
Nombre de host
Puerto
Ruta
Nombre de usuario
Contrasea
78 Gestin de dispositivos
Descripcin
Panorama
Trap SNMP
Para generar traps SNMP para entradas del log Configuracin, seleccione
el nombre del trap. Para especificar nuevos destinos de traps SNMP,
consulte Configuracin de destinos de traps SNMP en la pgina 83.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione un perfil de correo electrnico en el men
desplegable. Para especificar un nuevo perfil de correo electrnico,
consulte Configuracin de ajustes de notificaciones por correo
electrnico en la pgina 92.
Syslog
Gestin de dispositivos 79
Descripcin
Panorama
Trap SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin de destinos de traps SNMP en la pgina 83.
Configuracin de servidores Syslog en la pgina 84.
Configuracin de ajustes de notificaciones por correo electrnico en la
pgina 92.
80 Gestin de dispositivos
Descripcin
Panorama
Trap SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar nuevos destinos
de traps SNMP, consulte Configuracin de destinos de traps SNMP en
la pgina 83.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione el nombre de la configuracin de correo
electrnico que especifica las direcciones de correo electrnico adecuadas.
Para especificar una nueva configuracin de correo electrnico, consulte
Puede configurar un formato de log personalizado en un perfil de
servidor Syslog seleccionando la pestaa Formato de log personalizado
en Dispositivo > Perfiles de servidor > Syslog. Haga clic en el tipo de log
deseado (Configuracin, Sistema, Amenaza, Trfico o Coincidencias HIP)
y, a continuacin, haga clic en los campos que desee ver en los logs. Las
tablas siguientes muestran el significado de cada campo para cada tipo de
log.. en la pgina 85.
Syslog
Descripcin
Habilitar alarmas
Habilitar notificaciones
de alarmas por CLI
Habilitar notificaciones
de alarma web
Habilitar alarmas
audibles
Gestin de dispositivos 81
Descripcin
Umbral de fallo de
cifrado/descifrado
Umbral de alarma de
base de datos de log (%
lleno)
Lmites de poltica de
seguridad
Lmites de grupos de
polticas de seguridad
Auditora selectiva
82 Gestin de dispositivos
Descripcin
Nombre
Compartido
Versin
Configuracin de V2c
Configuracin de V3
Gestin de dispositivos 83
Nota: No elimine un destino que se utilice en algn ajuste del log Sistema o algn
perfil de logs.
MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:
SNMPv2-MIB
DISMAN-EVENT-MIB
IF-MIB
HOST-RESOURCES-MIB
ENTITY-SENSOR-MIB
PAN-COMMON-MIB
PAN-TRAPS-MIB
Descripcin
Nombre
Compartido
Pestaa Servidores
Nombre
Servidor
84 Gestin de dispositivos
Descripcin
Puerto
Instalaciones
Pestaa Formato de
log personalizado
Tipo de log
Escape
Nota: No puede eliminar un servidor que se utilice en algn ajuste del log
Sistema o Configuracin o algn perfil de logs.
Significado
marcas de accin
administrador
cliente
cmd
Gestin de dispositivos 85
Significado
host
ruta
hora de recepcin
resultado
nmero secuencial
serie
subtipo
hora de generacin
tipo
vsys
Significado
marcas de accin
id de evento
fmt
mdulo
nmero de gravedad
objeto
opaco
hora de recepcin
nmero secuencial
serie
86 Gestin de dispositivos
Significado
gravedad
subtipo
hora de generacin
tipo
vsys
Significado
accin
marcas de accin
aplicacin
categora
tipo de contenido
direccin
puerto de destino
destino
ubicacin de destino
usuario de destino
marcas
Gestin de dispositivos 87
Significado
de
entrante si
conjunto de logs
varios
nat de destino
nat de origen
nmero de gravedad
saliente si
protocolo
hora de recepcin
recuento de repeticiones
regla
nmero secuencial
serie
id de sesin
gravedad
puerto de origen
origen
ubicacin de origen
usuario de origen
subtipo
Subtipo del log Amenaza; los valores son URL, Virus, Spyware,
Vulnerabilidades, Archivo, Analizar, Inundacin, Datos y
WildFire.
88 Gestin de dispositivos
Significado
id de amenaza
hora de generacin
hora de recepcin
para
tipo
vsys
WildFire
Significado
accin
marcas de accin
aplicacin
bytes
bytes recibidos
bytes enviados
categora
puerto de destino
destino
ubicacin de destino
usuario de destino
transcurrido
Gestin de dispositivos 89
Significado
marcas
de
entrante si
conjunto de logs
nat de destino
nat de origen
saliente si
paquetes
paquetes recibidos
paquetes enviados
protocolo
hora de recepcin
recuento de repeticiones
regla
nmero secuencial
serie
id de sesin
puerto de origen
origen
ubicacin de origen
usuario de origen
inicio
subtipo
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar
y Denegar. Consulte la tabla de campos de Subtipo para conocer
el significado de cada valor.
90 Gestin de dispositivos
Significado
hora de generacin
hora de recepcin
para
tipo
vsys
Significado
marcas de accin
nombre de mquina
nombre de coincidencia
tipo de coincidencia
hora de recepcin
recuento de repeticiones
nmero secuencial
serie
origen
usuario de origen
subtipo
hora de generacin
tipo
vsys
Gestin de dispositivos 91
Descripcin
Nombre
Compartido
Pestaa Servidores
Servidor
Mostrar nombre
De
Para
Destinatarios adicionales
Puerta de enlace
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin.
Escape
92 Gestin de dispositivos
Visualizacin de alarmas
Visualizacin de alarmas
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opcin Alarma est
configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas
del log de alarmas actual. Para reconocer alarmas, seleccione sus casillas de verificacin y
haga clic en Reconocer. Esta accin pasa las alarmas a la lista Alarmas de reconocimiento. La
ventana Alarmas tambin incluye controles de pginas, orden de columnas y actualizacin.
El botn Alarmas nicamente est visible cuando se selecciona la casilla de verificacin
Habilitar alarmas en la pgina Dispositivo > Configuracin de log > Alarmas >
Configuracin de alarma.
Descripcin
Nombre
Tasa de actualizacin de
plantilla
Gestin de dispositivos 93
Descripcin
Exportar tipos de
campos especficos de
PAN-OS
Servidores
Nombre
Servidor
Puerto
Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.
94 Gestin de dispositivos
Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificacin para
un certificado, el cortafuegos utilizar este certificado para todas las sesiones de gestin
basadas en web futuras tras la prxima operacin de compilacin.
d. Haga clic en la casilla de verificacin Importar clave privada para cargar la clave
privada e introducir la frase de contrasea dos veces. Si utiliza PKCS #12, el archivo
de clave se seleccion anteriormente. Si utiliza PEM, explore hasta el archivo de clave
privada cifrada (por lo general, denominado *.key).
Gestin de dispositivos 95
Haga clic en Guardar y seleccione una ubicacin de su equipo local en la que copiar el
archivo. Para generar un certificado:
Para importar claves para alta disponibilidad (HA), haga clic en Importar clave de HA y
explore para especificar el archivo de clave que se importar. Para exportar claves para
HA, haga clic en Exportar clave de HA y especifique una ubicacin en la que guardar el
archivo. Las claves de HA deben intercambiarse entre los dos cortafuegos. Dicho de otro
modo, la clave del cortafuegos 1 debe exportarse y, a continuacin, importarse al
cortafuegos 2 y viceversa.
Descripcin
Nombre comn
Ubicacin
Firmado por
Autoridad del
certificado
Marque este certificado como CA para que pueda utilizarse para firmar
otros certificados en el cortafuegos.
OCSP responder
Nmero de bits
Resumen
96 Gestin de dispositivos
Descripcin
Vencimiento (das)
Pas
Estado
Localidad
Organizacin
Departamento
Correo electrnico
Descripcin
Habilitar
Deshabilitar
Exportar
Gestin de dispositivos 97
Descripcin
Nombre
Ubicacin
Dominio
Certificados de CA
Utilizar CRL
Utilizar OCSP
Tiempo de espera de
recepcin de CRL
Tiempo de espera de
recepcin de OCSP
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Respondedor OCSP
Dispositivo > Gestin de certificados > OCSP responder
Utilice la pgina OCSP responder (respondedor de protocolo de estado de certificado en
lnea) para definir un servidor que se utilizar para verificar el estado de revocacin de
certificados emitidos por el dispositivo PAN-OS. Al generar nuevos certificados, puede
especificar el respondedor OCSP que se utilizar.
Para habilitar OCSP, vaya a Dispositivo > Configuracin > Sesiones y, bajo Caractersticas
de sesin, haga clic en Configuracin de revocacin de certificados de descifrado.
98 Gestin de dispositivos
Descripcin
Nombre
Nombre de host
Descripcin
Clave maestra
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del cortafuegos.
Tiempo para el
recordatorio
Gestin de dispositivos 99
Descripcin
Criterios comunes
Desea cambiar la clave maestra predeterminada o cambiar una clave maestra que ha
creado.
Si est actualizando las claves maestras y no han vencido o siguen estando sincronizadas,
antes de actualizar las claves, deber compilar la configuracin y asegurarse de que no
existe ninguna actualizacin de configuracin pendiente en ninguno de los dos
dispositivos del par de HA.
Puede ver el estado de compilacin haciendo clic en el enlace Tareas en la parte inferior
derecha de la interfaz web de cada dispositivo. Desde la CLI, ejecute Mostrar todos
los trabajos para ver todos los trabajos que se estn ejecutando o Mostrar
trabajos pendientes para ver los trabajos pendientes. Para comprobar que no hay
actualizaciones pendientes, desde el modo de configuracin, ejecute Comprobar
cambios pendientes y debera ver No.
2.
3.
4.
Actualice la clave maestra del dispositivo B con la misma clave maestra y compile la
configuracin.
5.
Ahora las claves maestras deberan estar sincronizadas. Compruebe los logs para
asegurarse de que no hay ningn log Sistema crtico relacionado con la clave maestra.
6.
Si las claves maestras no estn sincronizadas o han vencido, ver errores crticos en el log
Sistema. Si esto sucede, debera deshabilitar inmediatamente la sincronizacin de
configuracin de HA en ambos dispositivos del par de HA. Desplcese hasta
Dispositivo > Alta disponibilidad en ambos dispositivos y, desde la pestaa General,
cancele la seleccin de la casilla de verificacin Habilitar sincronizacin de
configuracin. Compile la configuracin en ambos dispositivos.
2.
3.
4.
Actualice la clave maestra del dispositivo B con la misma clave maestra y compile la
configuracin.
5.
6.
Ahora las claves maestras deberan estar sincronizadas. Compruebe los logs para
asegurarse de que no hay ningn log Sistema crtico relacionado con la clave maestra.
7.
Alta disponibilidad
Alta disponibilidad
PAN-OS admite la alta disponibilidad (HA) activa/pasiva y activa/activa.
Nota: En un par de HA, los dos cortafuegos deben tener el mismo modelo y las mismas
licencias. Si est habilitada la sincronizacin de estado, las sesiones existentes continan
despus de un intercambio; sin embargo, las funciones de prevencin de amenazas no
continan. La proteccin de amenazas se aplicar a nuevas sesiones.
HA activa/pasiva
En la configuracin activa/pasiva, dos dispositivos forman un grupo de HA para
proporcionar redundancia. Los dos cortafuegos presentan la misma configuracin. Si el
cortafuegos activo falla por cualquier motivo, el cortafuegos pasivo se convierte en activo
automticamente sin ninguna prdida de servicio. Tambin se puede producir una
conmutacin por error si fallan los enlaces Ethernet seleccionados o si el cortafuegos activo no
puede llegar a uno o ms de los destinos especificados. Desde la perspectiva de procesamiento
de trfico, como mximo un dispositivo recibe paquetes en un momento dado.
Las siguientes reglas se aplican al funcionamiento y la conmutacin por error de HA:
HA activa/activa
La alta disponibilidad activa/activa permite que ambos dispositivos de un par de HA pasen
trfico simultneamente y se implementa principalmente en entornos enrutados
asimtricamente en los que se exige compatibilidad con ID de aplicacin e inspeccin de
contenidos. La inspeccin de capa 7 para ID de aplicacin e inspeccin de contenidos se
realiza en un nico dispositivo para cada sesin (ese dispositivo se conoce como propietario
de sesin). PAN-OS utiliza el reenvo de paquetes (a travs del enlace de HA3), donde sea
necesario, para enviar paquetes al propietario de sesin designado para su procesamiento.
Los dispositivos activos/activos pueden implementarse con interfaces de capa 3 o de cable virtual.
En implementaciones de capa 3, el propietario de sesin puede reenviar directamente los paquetes
examinados tras su procesamiento. En implementaciones de cable virtual, los paquetes
examinados deben devolverse al cortafuegos de destino para conservar la ruta de reenvo. Si el
propietario de sesin recibe el paquete inicialmente, el enlace de HA3 no se utiliza. Las sesiones
Alta disponibilidad
Uso compartido de carga de ARP: Este modo se utiliza para distribuir la carga del trfico de
host entre los dos cortafuegos utilizando el protocolo de resolucin de direcciones (ARP).
Para consultar un debate en mayor profundidad sobres estas tres opciones, consulte el debate
que se incluye ms adelante en esta seccin.
Flujo de paquetes
El flujo de paquetes funciona de la manera siguiente en una configuracin activa/activa:
Alta disponibilidad
Si llegan paquetes al propietario de sesin, el paquete se examina por si tiene amenazas (si
est configurado en la poltica de seguridad) y se reenva de acuerdo con la configuracin
de red del dispositivo. Si llegan paquetes al peer de HA, una bsqueda de la tabla de
sesin identifica si la sesin es propiedad del otro dispositivo, tras lo que el paquete
puede reenviarse a travs de HA3 al propietario de sesin. Si no se requiere la inspeccin
de capa 7 para la sesin, el dispositivo de destino puede hacer coincidir la sesin con una
entrada de la tabla de sesin existente y reenviar el paquete a su destino definitivo.
Opciones de implementacin
La HA activa/activa admite el uso simultneo de interfaces de cable virtual y de capa 3. Todas
las opciones de implementacin activas/activas se admiten en entornos IPv6, incluida la
supervisin de rutas IPv6.
Alta disponibilidad
Consideraciones de NAT
En el modo activo/activo, es necesario definir un enlace de dispositivos activos/activos en
todas las reglas de NAT. El enlace de dispositivos activos/activos est disponible en la
interfaz web cuando el modo de HA se cambia a activo/activo. Cuando se crea una nueva
sesin, el enlace de dispositivos determina qu reglas de NAT coinciden con el cortafuegos (el
enlace de dispositivos debe incluir el dispositivo propietario de sesin para producir una
coincidencia). Aunque la coincidencia de la poltica NAT se realiza mediante el dispositivo de
configuracin de sesin, las reglas de NAT se evalan desde la perspectiva del propietario de
sesin. La sesin se traduce de acuerdo con las reglas de NAT que estn enlazadas con el
dispositivo propietario de sesin. En el caso de reglas especficas de dispositivo, un
cortafuegos salta todas las reglas de NAT que no estn enlazadas con el propietario de sesin
cuando se realiza una coincidencia de la poltica NAT.
Por ejemplo, supongamos que el dispositivo 1 es el propietario de sesin y tambin el
responsable de configurar la sesin. Cuando el dispositivo 1 intenta que la sesin coincida con
una regla de NAT, saltar todas las reglas con un enlace de dispositivos del dispositivo 0.
Las opciones de enlace de dispositivos de NAT incluyen las siguientes:
Alta disponibilidad
Ambos: Esta opcin permite que cualquiera de los dispositivos haga que las nuevas
sesiones coincidan con la regla de NAT y suele utilizarse para NAT de destino.
Principal: Esta opcin nicamente permite que el dispositivo principal activo haga que
las nuevas sesiones coincidan con la regla de NAT. Este ajuste se utiliza principalmente
para una NAT esttica entrante, en la que nicamente un cortafuegos debe responder a
las solicitudes de ARP. A diferencia de los enlaces de dispositivos 0/1, un enlace de
dispositivo principal puede desplazarse entre dispositivos cuando se transfiere la funcin
principal.
Alta disponibilidad
1.1.1.2/24
1.1.1.1/24
Dispositivo
con ID 1
Dispositivo
con ID 0
Red privada
Paquete
traducido
Zona
de origen
Zona de
destino
Traduccin de
origen
Enlace HA Activo/
Activo
Dispositivo 0
de NAT de
origen
L3 fiable
L3 no fiable
ip-y-puertodinmico 1.1.1.1
Dispositivo 1
de NAT de
origen
L3 fiable
L3 no fiable
ip-y-puertodinmico 1.1.1.2
Nombre
Alta disponibilidad
Enrutador ISP
1.1.1.254/24
Enrutador ISP
2.2.2.254/24
1.1.1.1/24
2.2.2.1/24
Dispositivo con ID 1
Red privada
Paquete
traducido
Zona
de origen
Zona de
destino
Traduccin de
origen
Enlace HA Activo/
Activo
Dispositivo 0
de NAT de
origen
L3 fiable
L3 no fiable
ip-y-puertodinmico 1.1.1.1
Dispositivo 1
de NAT de
origen
L3 fiable
L3 no fiable
ip-y-puertodinmico 2.2.2.1
Nombre
Alta disponibilidad
Enrutador ISP
2.2.2.254/24
Enrutador ISP
1.1.1.254/24
1.1.1.1/24
2.2.2.1/24
Dispositivo
con ID 1
Dispositivo
con ID 0
Paquete original
Nombre
Zona de origen
Zona de
destino
Direccin de
destino
Traduccin de
destino
Enlace HA Activo/
Activo
DNAT
independient
e del
proveedor
L3 no fiable
L3 no fiable
3.3.3.30
direccin:
10.0.0.200
ambos
Configuracin de HA
Para configurar HA, realice los siguientes pasos:
1.
2.
3.
Conecte cada cortafuegos a su red e Internet a travs de los mismos puertos fsicos.
Alta disponibilidad
4.
Mediante dos cables Ethernet RJ-45 cruzados, conecte los puertos HA1 y HA2 de cada
cortafuegos a los mismos puertos del otro cortafuegos, o bien conecte los puertos de
ambos cortafuegos a un conmutador. HA1 se corresponde con el enlace de control y HA2
se corresponde con el enlace de datos. En el caso de una configuracin activa/activa,
realice una conexin fsica adicional, HA3, entre los dos cortafuegos. Se recomiendan los
grupos de agregacin de enlaces para la redundancia de enlaces en HA3 cuando el
cortafuegos admite la agregacin de Ethernet.
Nota: En el caso de dispositivos que no tengan interfaces de HA especficas, deber
utilizar las interfaces de trfico para HA. Por ejemplo, conecte las interfaces Ethernet1/15
entre s y las interfaces Ethernet1/16 entre s.
5.
Abra la pestaa Red y verifique que los enlaces de HA estn operativos. Configure cada
una de ellos para que sean del tipo HA.
Alta disponibilidad
Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Despus de configurar la HA como se describe en Configuracin de HA en la pgina 109,
puede habilitar la HA tanto en el cortafuegos activo como en el pasivo. Para cada seccin de la
pgina Alta disponibilidad, haga clic en Editar en el encabezado y especifique la informacin
correspondiente descrita en la tabla siguiente.
Descripcin
Pestaa General
Configuracin
Alta disponibilidad
Descripcin
Configuracin de
eleccin
Alta disponibilidad
Descripcin
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
Alta disponibilidad
Descripcin
Cifrado habilitado: Habilite el cifrado despus de exportar la clave de HA
desde el peer de HA e importarla a este dispositivo. La clave de HA de este
dispositivo tambin debe exportarse desde este dispositivo e importarse al
peer de HA. Configure este ajuste para la interfaz de HA1 principal.
La importacin/exportacin de claves se realiza en la pgina Certificados.
Consulte Importacin, exportacin y generacin de certificados de
seguridad en la pgina 60.
Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperar antes de declarar un fallo de peer
debido a un fallo del enlace de control (1.000-60.000 ms; valor
predeterminado: 3.000 ms). Esta opcin supervisa el estado del enlace fsico
de los puertos de HA1.
Enlace de datos
(HA2)
Alta disponibilidad
Descripcin
Conexin persistente de HA2: Seleccione esta casilla de verificacin para
habilitar la supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido, se producir la
accin definida (log o ruta de datos divididos). La opcin est
deshabilitada de manera predeterminada.
Puede configurar la opcin Conexin persistente de HA2 en ambos
dispositivos o solamente un dispositivo del par de HA. Si la opcin se
establece nicamente en un dispositivo, solamente ese dispositivo enviar
los mensajes de conexin persistente. Sin embargo, se notificar al otro
dispositivo si se produce un fallo y pasar al modo de ruta de datos
divididos si se selecciona esa accin.
Accin: Seleccione la accin que debe realizarse si fallan los mensajes de
supervisin basndose en el ajuste de umbral.
Alta disponibilidad
Descripcin
Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino
especificadas enviando mensajes de ping ICMP para asegurarse de que
responden. Utilice la supervisin de rutas para configuraciones de cable
virtual, capa 2 o capa 3 cuando se necesite la supervisin de otros
dispositivos de red en caso de conmutacin por error y la supervisin de
enlaces no sea suficiente por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos al
responder.
Grupo de rutas
Alta disponibilidad
Descripcin
Supervisin de
enlaces
Especifique lo siguiente:
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Supervisar fallo de
tiempo de espera
descendente
Interfaz de HA3
Sincronizacin de VR
Alta disponibilidad
Descripcin
Sincronizacin de
QoS
Seleccin de
propietario de sesin
Configuracin de
sesin
Alta disponibilidad
Descripcin
Direccin virtual
Comandos de operacin
Suspender
dispositivo local
La opcin Preferencia debe estar habilitada en ambos dispositivos para que el cortafuegos
de mayor prioridad reanude el funcionamiento activo tras recuperarse de un fallo.
La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.
Alta disponibilidad
Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del clster se
sincronicen.
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
Para comprobar la conmutacin por error, tire de un cable del dispositivo activo o ponga
el dispositivo activo en un estado suspendido emitiendo el comando de la CLI request
high-availability state suspend. Tambin puede suspender el dispositivo activo
pulsando el enlace Suspender de la esquina superior derecha de la pgina de
configuracin Alta disponibilidad de la pestaa Dispositivo.
Para ver informacin detallada de HA acerca del cortafuegos local, utilice el comando de
la CLI show high-availability all.
Para seguir el estado de la carga, utilice el comando de la CLI show jobs processed.
HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva
que no incluye ninguna sincronizacin de sesiones. HA Lite permite la sincronizacin de la
configuracin y la sincronizacin de algunos elementos de tiempo de ejecucin. Tambin
admite la conmutacin por error de tneles de IPSec (las sesiones deben volver a establecerse),
informacin de concesin de servidor DHCP, informacin de concesin de cliente DHCP,
informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos cuando est
configurado en el modo de capa 3.
Sistemas virtuales
Sistemas virtuales
Un sistema virtual especifica un conjunto de interfaces de cortafuegos fsicas y lgicas
(incluidas VLAN y cables virtuales) y zonas de seguridad. (Para obtener ms informacin
sobre las zonas de seguridad, consulte Definicin de zonas de seguridad en la pgina 163.)
Los sistemas virtuales le permiten segmentar la administracin de todas las polticas
(seguridad, NAT, QoS, etc.), as como todas las funciones de informes y visibilidad
proporcionadas por el cortafuegos.
Por lo general, los sistemas virtuales funcionan en las prestaciones de seguridad del
cortafuegos. Los sistemas virtuales no controlan las funciones de red, que incluyen el
enrutamiento esttico y dinmico. Si desea una segmentacin de enrutamiento para cada
sistema virtual, deber crear un enrutador virtual adicional.
Nota: Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas
virtuales. Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios
sistemas virtuales si se instala la licencia adecuada. Los cortafuegos PA-500 y PA200 no admiten sistemas virtuales.
Por ejemplo, si desea personalizar las caractersticas de seguridad para el trfico asociado al
departamento financiero, puede definir un sistema virtual financiero y, a continuacin, definir
polticas de seguridad que se apliquen nicamente a ese departamento.
La Ilustracin 7 muestra la relacin entre las polticas y los sistemas virtuales del cortafuegos.
Las polticas se asocian a sistemas virtuales individuales, a diferencia de las funciones de nivel
de dispositivo y red, que se aplican a todo el cortafuegos.
Internet
Administrador
de dispositivo
VSYS de
depart.
VSYS de
depart.
VSYS de
depart.
Polticas
Administrador
de VSYS
Polticas
Administrador
de VSYS
Administrador
de VSYS
Polticas
VSYS de
depart.
Polticas
Administrador
de VSYS
Sistemas virtuales
Las zonas son objetos dentro de sistemas virtuales. Antes de definir una poltica o un
objeto de las polticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaa Polticas u Objetos.
Las interfaces, las VLAN, los cables virtuales y los enrutadores virtuales pueden asignarse
a sistemas virtuales. Consulte Definicin de sistemas virtuales en la pgina 124.
Los destinos de logs remotos (SNMP, Syslog y correo electrnico), as como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.
Internet
VSYS de
depart.
Polticas
VSYS de
depart.
Polticas
VSYS de
depart.
Polticas
VSYS de
depart.
Polticas
Sistemas virtuales
Internet
a.a.a.a
VSYS
dedepart.
c.c.c.c
b.b.b.b
VSYS
dedepart.
d.d.d.d
VSYS
dedepart.
VSYS
dedepart.
Internet
x.x.x.x
b.b.b.b
VSYS
dedepart 2
c.c.c.c
VSYS
dedepart 3
d.d.d.d
VSYS
dedepart 4
Sistemas virtuales
Todas las reglas de polticas se gestionan en el nivel de sistema virtual. Puede crear reglas de
reenvo basadas en polticas y NAT a travs de la puerta de enlace compartida, si es necesario,
seleccionando la puerta de enlace compartida desde la lista desplegable Sistema virtual de la
pantalla Poltica.
Descripcin
ID
Nombre
Pestaa General
Sistemas virtuales
Descripcin
Pestaa Recurso
Despus de definir los sistemas virtuales, puede realizar cualquiera de las siguientes tareas
adicionales:
Para cambiar un sistema virtual, haga clic en el nombre del sistema virtual o el nombre de
la interfaz, VLAN, cable virtual, enrutador virtual o sistemas virtuales visibles que desee
cambiar, realice los cambios pertinentes y haga clic en ACEPTAR.
Para definir zonas de seguridad para el nuevo sistema virtual, seleccione Red > Zonas y
defina zonas de seguridad para cada sistema virtual nuevo (consulte Definicin de
zonas de seguridad en la pgina 163). Cuando defina una nueva zona, podr seleccionar
un sistema virtual.
Haga clic en Red > Interfaces y verifique que cada interfaz tiene un sistema virtual y una
zona de seguridad.
Descripcin
ID
Nombre
Interfaces
Descripcin
Bloqueo de antivirus
Bloqueo de aplicacin
Bloqueo de bloqueo de
archivo
Descripcin
Pgina para que los usuarios confirmen que la descarga debe
continuar. Esta opcin nicamente est disponible si las
prestaciones de opcin continua estn habilitadas en el perfil de
seguridad. Consulte Perfiles de bloqueo de archivo en la
pgina 238.
Pgina de bienvenida de
GlobalProtect
Pgina de notificacin de
errores de certificado SSL
Pgina de exclusin de
descifrado de SSL
Pgina de continuacin y
cancelacin de filtrado de
URL
Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.
Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del
tipo de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar.
Explore para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se ha
realizado con xito. Para que la importacin tenga xito, el archivo debe estar en formato
HTML.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
Para ver la informacin detallada de una alerta, haga clic en el nombre de la alerta.
Para ir a la pgina de asistencia tcnica de Palo Alto Networks, haga clic en Asistencia
tcnica.
Para introducir una solicitud de asistencia tcnica o para ver el estado de las solicitudes
existentes, haga clic en Gestionar casos.
Para generar un archivo de sistema que ayude a la asistencia tcnica de Palo Alto
Networks en la resolucin de problemas, haga clic en el archivo Generar asistencia
tcnica. Cuando se genere el archivo, haga clic en Descargar archivo de asistencia tcnica
para descargar el archivo en su equipo.
Captulo 4
Configuracin de red
Este captulo describe cmo configurar el cortafuegos para servir de respaldo a su
arquitectura de red:
Implementacin de cortafuegos
Implementacin de cortafuegos
El cortafuegos puede sustituir a su cortafuegos actual si se instala entre un enrutador de
extremo (o cualquier otro dispositivo con conexin a Internet) y un conmutador o enrutador
que le conecte a la red interna. El cortafuegos admite una amplia gama de opciones de
implementacin y tipos de interfaces que se pueden utilizar simultneamente en diferentes
interfaces fsicas. Se describen en las siguientes secciones:
Red de usuario
Internet
Implementacin de cortafuegos
Cliente A
Cable virtual
Ethernet 1/1 (entrada)
Cable virtual
Ethernet 1/2 (salida)
Internet
Cliente B
Cliente A
Subinterfaz e1/1.1
Zona 1
Cliente B
Subinterfaz e1/1.2
Zona 3
Cliente A
Subinterfaz e1/2.1
Zona 2
Cliente B
Subinterfaz e1/2.2
Zona 4
Implementacin de cortafuegos
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada
grupo de interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar
entre ellas. El cortafuegos ejecutar el cambio de etiqueta VLAN cuando se adjunten
subinterfaces de capa 2 a un objeto VLAN comn. Seleccione esta opcin cuando necesite
poder alternar (Ilustracin 13).
Cambio entre dos redes
Red de usuario
Internet
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se
debe asignar una direccin IP a cada interfaz y definir un enrutador virtual para enrutar el
trfico. Seleccione esta opcin cuando necesite enrutamiento (Ilustracin 14).
Cambio entre
dos redes
10.1.2.1/24
10.1.1.1/24
Red de usuario
Internet
Implementacin de cortafuegos
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y
recibir una direccin IP asignada dinmicamente. El cortafuegos tambin permite propagar
los ajustes recibidos mediante la interfaz del cliente DHCP en un servidor DHCP que funciona
mediante cortafuegos. Esta opcin se suele utilizar para propagar los ajustes del servidor DNS
desde un proveedor de servicios de Internet a las mquinas cliente de la red que estn
protegidas por el cortafuegos.
Nota: El cliente DHCP no es compatible en modo HA activo/activo.
Descripcin
Interfaces
Implementacin de cortafuegos
Descripcin
Tags permitidos
Cortafuegos de multicast
Para cambiar el nombre de un cable virtual o de las etiquetas permitidas, haga clic en el
nombre del cable virtual en la pgina Cables virtuales, cambie los ajustes y haga clic en
ACEPTAR. Los cables virtuales tambin se pueden cambiar desde la pgina Interfaces
(consulte Configuracin de interfaces de cable virtual en la pgina 148).
Para eliminar uno o ms cables virtuales, seleccione la casilla de verificacin junto a los
nombres de los cables virtuales y haga clic en Eliminar. Tenga en cuenta que si elimina un
cable virtual, lo eliminar de las interfaces asociadas de cable virtual que se muestran en la
pgina Interfaces.
La modificacin del DiffServ Code Point (DSCP) o de las precedencias de IP de las marcas
QoS se puede configurar en la seccin Acciones de cada regla de seguridad.
Descripcin
Capa 2
Capa 3
Agregar Ethernet
VLAN
Loopback
Tnel
Cable virtual
Puntear
Alta disponibilidad
Puede configurar una interfaz de datos para que sea de alta disponibilidad
(HA) en algunos de los cortafuegos de Palo Alto Networks. Consulte
Configuracin de interfaces HA en la pgina 161.
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Compatibilidad de VLAN en la pgina 164). Ninguno
elimina la configuracin de la interfaz. Se debe configurar un objeto
VLAN para permitir cambiar entre interfaces de capa 2 o para permitir el
enrutamiento mediante una interfaz VLAN.
Sistema virtual
Zona de seguridad
Descripcin
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Descripcin
Nombre de interfaz
Etiqueta
Comentarios
Asignar interfaz a
VLAN
Descripcin
Zona de seguridad
Sistema virtual
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Configuracin
Enrutador virtual
Sistema virtual
Zona de seguridad
Descripcin
Pestaa IPv4
Tipo
Esttico
PPPoE
Descripcin
Cliente DHCP
Seleccione Cliente DHCP para permitir que la interfaz acte como un cliente
DHCP y reciba una direccin IP asignada dinmicamente. Especifique lo
siguiente:
Habilitar: seleccione la casilla de verificacin para activar el cliente DHCP
en la interfaz.
Crear automticamente ruta predeterminada que apunte al servidor:
Seleccione la casilla de verificacin para que se cree automticamente una
ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Mtrica de ruta predeterminada: Especifique la mtrica de ruta asociada
con la ruta predefinida que se utilizar para seleccionar la ruta (opcional,
intervalo 1-65535).
Haga clic en Mostrar informacin de tiempo de ejecucin de cliente
DHCP para abrir una ventana que muestre todos los ajustes recibidos del
servidor DHCP, incluyendo el estado de concesin de DHCP, la asignacin
de IP dinmica, la mscara de subred, la puerta de enlace, la configuracin
del servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
Nota: El cliente DHCP no es compatible en modo HA activo/activo.
Pestaa IPv6
Habilitar IPv6 en la
interfaz
ID de interfaz
Descripcin
Direccin
Resolucin de direccin
(Duplicar deteccin de
direccin)
Descripcin
Habilitar anuncio de
enrutador
Descripcin
SComprobacin de coherencia: Seleccione la casilla de verificacin para
activar comprobaciones de coherencia que utilizar el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
est transmitiendo informacin coherente en el enlace. Si se detectan
incoherencias, se crear un log.
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Otra informacin
Entradas ARP/Interfaz
Entradas de ND
Descripcin
Nombre de interfaz
Etiqueta
Comentarios
Pestaa Configuracin
Enrutador virtual
Sistema virtual
Descripcin
Zona de seguridad
Pestaa IPv4
Tipo
Esttico
Cliente DHCP
Pestaa IPv6
Habilitar IPv6 en la
interfaz
ID de interfaz
Direccin
Descripcin
Resolucin de direccin
(Duplicar deteccin de
direccin)
Habilitar anuncio de
enrutador
Descripcin
Duracin de enrutador (seg): Especifique la duracin del enrutador que
indicar al cliente cunto tiempo se utilizar el cortafuegos/enrutador
como el enrutador predeterminado (intervalo: 0-9.000 segundos; opcin
predeterminada 1.800).
Configuracin gestionada: Seleccione la casilla de verificacin para
indicar al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar
al cliente que existen otras direcciones de informacin mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobacin de coherencia: Seleccione la casilla de verificacin para
activar comprobaciones de coherencia que utilizar el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
est transmitiendo informacin coherente en el enlace. Si se detectan
incoherencias, se crear un log.
Pestaa Avanzada
Otra informacin
Entradas de ARP
Entradas de ND
Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
2.
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Configuracin
Cable virtual
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Si desea cambiar una interfaz de cable virtual a otro tipo de interfaz, haga clic en el nombre del
cable virtual que aparece en la columna VLAN/Cable virtual, seleccione Ninguno y haga clic
en ACEPTAR.
Para aadir una subinterfaz de cable virtual, haga clic en Aadir subinterfaz de cable virtual
y especifique la siguiente informacin.
Descripcin
Nombre de interfaz
Etiqueta
Descripcin
Comentarios
Clasificador IP
Haga clic en Aadir para aadir una direccin IP, subred o intervalo IP
que se puede utilizar para clasificar el trfico entrante en el cortafuegos
mediante este puerto fsico en esta subinterfaz en funcin de su direccin
IP de origen. El trfico de ruta de retorno entrante en cortafuegos por el
otro extremo del cable virtual asociado se comparar con su direccin de
destino. La clasificacin IP se puede utilizar con independencia de su
clasificacin basada en VLAN.
La clasificacin de subinterfaz basada en su direccin IP permite asignar
una zona diferente o sistema virtual, con independencia de la etiqueta
VLAN. Esta funcin es til si todas las sesiones de mltiples orgenes
utilizan una VLAN comn, pero requieren diferentes niveles de
aplicacin de seguridad.
Asignar interfaz a
Zona de seguridad
Sistema virtual
Los enlaces de 1 Gbps de un grupo deben ser del mismo tipo (todos de cobre o todos de
fibra).
Todos los miembros de un grupo de agregacin deben ser del mismo tipo. Se valida
durante la operacin de compilacin.
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Asignar interfaz a
Asignar interfaz a
Sistema virtual
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Configuracin
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Descripcin
Nombre de interfaz
Comentarios
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Perfiles de red en la pgina 190). Ninguno elimina la
configuracin de la interfaz.
Enrutador virtual
Sistema virtual
Zona de seguridad
Pestaa IPv4
Esttico
Descripcin
Cliente DHCP
Entradas de ARP
Pestaa IPv6
Habilitar IPv6 en la
interfaz
ID de interfaz
Direccin
Descripcin
Resolucin de direccin
(Duplicar deteccin de
direccin)
Habilitar anuncio de
enrutador
Descripcin
Tiempo de retransmisin (ms): Especifique el temporizador de
transmisin que el cliente utilizar para determinar cunto tiempo debe
esperar antes de retransmitir los mensajes de solicitacin de vecinos.
Seleccione Sin especificar para ningn tiempo de retransmisin
(intervalo: 0-4.294.967.295 milisegundos; opcin predeterminada sin
especificar).
Duracin de enrutador (seg): Especifique la duracin del enrutador que
indicar al cliente cunto tiempo se utilizar el cortafuegos/enrutador
como el enrutador predeterminado (intervalo: 0-9.000 segundos; opcin
predeterminada 1.800).
Configuracin gestionada: Seleccione la casilla de verificacin para
indicar al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar
al cliente que existen otras direcciones de informacin mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobacin de coherencia: Seleccione la casilla de verificacin para
activar comprobaciones de coherencia que utilizar el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
est transmitiendo informacin coherente en el enlace. Si se detectan
incoherencias, se crear un log.
Pestaa Avanzada
Otra informacin
Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se
devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Este ajuste soluciona la situacin en la que un tnel en la red
requiere un MSS menor. Si un paquete no se ajusta a MSS sin
fragmentarlo, este parmetro permite realizar un ajuste.
Entradas ARP/Interfaz
Entradas de ND
Descripcin
Nombre de interfaz
Comentarios
Pestaa Configuracin
Enrutador virtual
Sistema virtual
Zona de seguridad
Pestaa IPv4
Direccin IP
Pestaa IPv6
Habilitar IPv6 en la
interfaz
ID de interfaz
Direccin
Descripcin
Pestaa Avanzada
Otra informacin
Descripcin
Nombre de interfaz
Comentarios
Pestaa
Configuracin
Enrutador virtual
Sistema virtual
Zona de seguridad
Pestaa IPv4
Direccin IP
Descripcin
Pestaa IPv6
Habilitar IPv6 en la
interfaz
ID de interfaz
Direccin
Pestaa Avanzada
Otra informacin
Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se
devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Nota: El cortafuegos considera de forma automtica la sobrecarga del tnel al
ejecutar la fragmentacin de IP y tambin ajusta el tamao mximo del segmento
(MSS) segn sea necesario.
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Configuracin
Sistema virtual
Zona
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Configuracin de interfaces HA
Cada interfaz HA tiene una funcin especfica: una interfaz se utiliza para la sincronizacin de
la configuracin y latidos y la otra interfaz se utiliza para la sincronizacin del estado. Si se
activa la opcin de alta disponibilidad, se puede utilizar una tercera interfaz HA para reenviar
paquetes.
Nota: Algunos cortafuegos de Palo Alto Networks incluyen puertos fsicos
exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno
para el enlace de datos). En el caso de cortafuegos que no incluyen puertos exclusivos,
debe especificar los puertos de datos que se utilizarn para HA. Si desea ms
informacin sobre HA, consulte Habilitacin de HA en el cortafuegos en la
pgina 111.
Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente
informacin.
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Zonas de seguridad
Zonas de seguridad
Una zona de seguridad identifica una o ms interfaces de origen o destino en el cortafuegos.
Cuando define una regla de poltica de seguridad, debe especificar las zonas de seguridad de
origen y destino del trfico. Por ejemplo, una interfaz conectada a Internet est en una zona de
seguridad no fiable, mientras que una interfaz conectada a la red interna est en una zona
de seguridad fiable.
Es necesario crear zonas diferentes para cada tipo de interfaz (capa 2, capa 3, tap o cable
virtual), y cada interfaz se debe asignar a una zona para que pueda procesar el trfico. Las
polticas de seguridad solo se pueden definir entre zonas del mismo tipo. Sin embargo, si crea
una interfaz VLAN para una o ms redes VLAN, la aplicacin de polticas de seguridad entre
la zona de interfaz VLAN y una zona de interfaz de capa 3 (Ilustracin 15) tiene el mismo
efecto que aplicar polticas entre las zonas de interfaz de capa 2 y capa 3.
Zona de seguridad L3
Zona de seguridad L2
Interfaz de VLAN
interfaz L3
Zona de seguridad L3
Puerto Ethernet L3
VLAN
Zona de seguridad L2
Interfaz L2
Puerto Ethernet L2
Zona de seguridad de VW
Zonas de seguridad
Descripcin
Nombre
Ubicacin
Tipo
Perfiles de proteccin de
zonas
Ajuste de log
Habilitar identificacin
de usuarios
ACL de identificacin de
usuarios
Lista de permitidos
ACL de identificacin de
usuarios
Lista de excluidos
Compatibilidad de VLAN
Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN. Adems, tambin puede especificar una interfaz VLAN que puede enrutar el
trfico a destinos de capa 3 fuera de la red VLAN.
Descripcin
Nombre
Interfaz de VLAN
Reenvo de L3 habilitado
Interfaces
Configuracin de MAC
esttica
Protocolo RIP
RIP se ha diseado para redes IP de pequeo tamao y se basa en el recuento de saltos para
determinar las rutas; las mejores rutas tienen el menor nmero de saltos. RIP se basa en UDP y
utiliza el puerto 520 para las actualizaciones de rutas. Al limitar las rutas a un mximo de
15 saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, adems de
limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el trfico no se enruta. RIP
tambin puede tardar ms en converger que OSPF y otros protocolos de enrutamiento. El
cortafuegos admite RIP v2.
Protocolo OSPF
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores
y anunciando las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El
enrutador mantiene la informacin sobre los enlaces entre l y el destino y puede realizar
decisiones de enrutamiento de gran eficacia. Se asigna un coste a cada interfaz de enrutador y
las mejores rutas son aquellas con menor coste, despus de sumar todas las interfaces de
enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los
LSA asociados. Como OSPF procesa dinmicamente una cantidad considerable de
informacin de enrutamiento, tiene mayores requisitos de procesador y memoria que RIP.
Protocolo BGP
BGP es el principal protocolo de enrutamiento de Internet. BGP determina el alcance de la red
en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS), donde un
sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para
formar parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la
poltica permite una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada
vez que se actualiza la RIB del cortafuegos local, el cortafuegos determina las rutas ptimas y
enva una actualizacin a la RIB externa, si se activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas
BGP. Las rutas BGP deben cumplir las normas de anuncios condicionales para poder
anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica.
Durante el proceso de agregacin, el primer paso es encontrar la regla de agregacin
correspondiente ejecutando la correspondencia ms larga que compare la ruta entrante con
los valores de prefijo de otras reglas de agregacin.
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes
funciones:
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers
utilizan para implementar las importaciones, exportaciones, anuncios condicionales y
controles de agregacin de direccin.
Enrutamiento multicast
La funcin de enrutamiento multicast permite al cortafuegos enrutar secuencias de multicast
utilizando PIM-SM (Protocol Independent Multicast Sparse Mode) y PIM-SSM (PIM Source
Specific Multicast) para aplicaciones como difusin de medios (radio y vdeo) con PIMv2. El
cortafuegos ejecuta consultas de Protocolo de administracin de grupos de Internet (IGMP) en
hosts que estn en la misma red que la interfaz en la que se configura IGMP. PIM-SM e IGMP
se pueden activar en interfaces de capa 3. IGMP v1, v2 y v3 son compatibles. PIM e IGMP
deben estar habilitados en las interfaces del lado del host.
PAN-OS proporciona seguridad de multicast completa mientras acta como un enrutador
designado PIM (DR), punto de encuentro PIM (RP), enrutador PIM intermedio o solicitante
IGMP. El cortafuegos se puede implementar en entornos en los que RP est configurado de
forma esttica o elegido de forma dinmica. La funcin del enrutador de arranque (BSR) no es
compatible. La implementacin en tneles de IPSec es totalmente compatible entre
cortafuegos de Palo Alto Networks. La encapsulacin GRE en IPSec no es compatible
actualmente.
Poltica de seguridad
PAN-OS proporciona dos mtodos de aplicar medidas de seguridad en suscripciones de
multicast. Los grupos de multicast se pueden filtrar en los ajustes de permiso de grupo IGMP
y PIM especificados a nivel de interfaz. El trfico de multicast tambin debe estar
explcitamente permitido por poltica de seguridad. Se ha aadido una zona de destino
especial conocida como Multicast y se debe especificar para controlar el trfico de multicast
en reglas de proteccin de seguridad, QoS y DoS. En contraste a la poltica de seguridad de
unidifusin, las polticas de seguridad de multicast se deben crear explcitamente si las
interfaces de origen y destino estn en la misma zona. Los perfiles de seguridad son
compatibles en entornos de multicast que requieren funciones de prevencin de amenazas.
Logging
Cada una de las sesiones de multicast que pasa por el cortafuegos crea una nica entrada de
log de trfico (incluso si el cortafuegos replica paquetes para la distribucin en mltiples
interfaces). Los logs de trfico indican el nmero de bytes entrantes en el cortafuegos en lugar
del nmero de bytes distribuidos como parte de la suscripcin de multicast.
Pestaa General
Seleccione las interfaces que se incluirn en el enrutador virtual y aada las rutas estticas.
Consulte la tabla siguiente.
Descripcin
Nombre
Interfaces
Distancias
administrativas
Descripcin
Nombre
Destino
Interfaz
Siguiente salto
Distancia administrativa
Mtrica
No instalar
Descripcin
Nombre
Prioridad
Redistribuir
Interfaz
Destino
Siguiente salto
rea
Etiqueta
Comunidad extendida
Pestaa RIP
Especifique los parmetros que utilizar el protocolo RIP en las interfaces seleccionadas.
Aunque es posible configurar los protocolos RIP y OSPF, por lo general es recomendable
elegir nicamente uno de estos protocolos. Consulte la tabla siguiente.
Descripcin
Habilitar
Permitir redistribucin
de ruta predeterminada
Interfaces
Interfaz
Habilitar
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica
Perfil de autenticacin
Seleccione el perfil.
Modo
Temporizadores
Segundos del intervalo
(seg)
Intervalo de
actualizaciones
Intervalos de
vencimiento
Intervalo de eliminacin
Perfiles de
autenticacin
Nombre de perfil
Tipo de contrasea
Descripcin
Reglas de
exportacin
Reglas de exportacin
(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y la
accin, en funcin del comportamiento de red deseado. Consulte
Pestaa Perfiles de redistribucin en la pgina 169.
Pestaa OSPF
Especifique los parmetros que utilizar el protocolo Open Shortest Path First (OSPFv2) en las
interfaces seleccionadas. Aunque es posible configurar los protocolos RIP y OSPF, por lo
general es recomendable elegir nicamente un protocolo IGP. Consulte la tabla
siguiente.Pestaa BGP
Descripcin
Habilitar
ID del enrutador
reas
ID de rea
Descripcin
Seleccione una de las siguientes opciones.
Normal: No hay restricciones; el rea puede aceptar todos los tipos de
rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida en
los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar): Es
posible salir del rea directamente, pero solo mediante rutas que no
sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen si
desea aceptar este tipo de LSA. Especifique si desea incluir una ruta
LSA predefinida en los anuncios al rea de cdigo auxiliar, junto con el
valor mtrico asociado (1-255). Tambin puede seleccionar el tipo de
ruta que se utilizar para anunciar el LSA predefinido. Haga clic en
Aadir en la seccin Intervalos externos e introduzca los intervalos si
desea activar o suprimir rutas externas de anuncios que se obtienen
mediante NSSA a otras reas.
Intervalo
Descripcin
Interfaz
Enlace virtual
Perfiles de
autenticacin
Nombre de perfil
Descripcin
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin, haga
clic en ACEPTAR. Para especificar la clave que se debe utilizar para
autenticar el mensaje saliente, seleccione la opcin Preferido.
Reglas de
exportacin
Permitir redistribucin
de ruta predeterminada
Nombre
Nueva etiqueta
Avanzado
Compatibilidad RFC
1583
Temporizadores
Pestaa BGP
Especifique los parmetros que utilizar el protocolo BGP en las interfaces seleccionadas.
Consulte la tabla siguiente.
Descripcin
Habilitar
ID del enrutador
Nmero AS
Pestaa General
Rechazar ruta por
defecto
Descripcin
Instalar ruta
Agregar MED
Preferencia local
predeterminada
Formato AS
Comparacin
determinista de MED
Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).
Perfiles de autenticacin
Pestaa Avanzada
Reinicio correcto
ID de clster reflector
AS de miembro de
confederacin
Descripcin
Perfiles de
amortiguacin
Habilitar
Agregar ruta AS
confederada
Restablecimiento parcial
con informacin
almacenada
Tipo
Descripcin
Seleccione una opcin para importar el siguiente salto:
original: Utilice la direccin del salto siguiente en el anuncio de la ruta
original.
uso-peer: Utilice la direccin IP del peer como la direccin del salto
siguiente.
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin IP
local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin: Especifique
un intervalo despus del cual las rutas de un peer se supriman segn el
parmetro de tiempo de espera (intervalo 0-1200 segundos o
deshabilitado; opcin predefinida 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predefinida
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer
antes de cerrar la conexin del peer. (intervalo 3-3600 segundos o
desactivado; opcin predefinida 90 segundos).
Tiempo de espera de inactividad: Especifique e tiempo de espera en
estad de inactividad antes de volver a intentar la conexin con el peer
(intervalo 1-3600 segundos; opcin predeterminada 15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Descripcin
Conexiones entrantes/Conexiones salientes: Especifique los nmeros de
puertos entrantes y salientes y seleccione la casilla de verificacin Permitir
para permitir el trfico desde o hacia estos puertos.
Pestaas Importar
reglas/Exportar
reglas
Importar reglas/Exportar
reglas
Descripcin
Comunidad extendida: Especifique una opcin de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
nicamente si la accin es Permitir.
Amortiguacin: Especifique un parmetro de amortiguacin,
nicamente si la accin es Permitir.
Haga clic en el icono
para eliminar un grupo. Haga clic en Duplicar para
aadir un nuevo grupo con los mismos ajustes que el grupo seleccionado. Se
aade un sufijo al nombre del nuevo grupo para distinguirlo del original.
Pestaa Anuncio
condicional
Poltica
Habilitar
Utilizado por
Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Pestaa secundaria
Filtros no existentes
Descripcin
Pestaa secundaria
Anunciar filtros
Pestaa Agregar
Agregar filtros
Para agregar una nueva regla, haga clic en Aadir para mostrar los
siguientes ajustes: Configure los parmetros de las pestaas secundarias
Suprimir filtros, Anunciar filtros y Agregar atributos de ruta, y haga clic
en Listo para aadir la regla a la lista de direcciones. Los parmetros de
esta tabla se han descrito anteriormente en las pestaas Importar reglas y
Exportar reglas.
Haga clic en el icono
Pestaa Reglas de
redistr.
Permitir redistribucin
de ruta predeterminada
Reglas de redistr.
Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla se han
descrito anteriormente en las pestaas Importar reglas y Exportar reglas.
Haga clic en el icono
Pestaa Multicast
Especifique los ajustes de enrutamiento multicast en la siguiente tabla.
Descripcin
Habilitar
Pestaa secundaria
Punto de encuentro
Tipo de RP
Punto de encuentro
remoto
Pestaa secundaria
Interfaces
Nombre
Descripcin
Interfaz
Descripcin
Permisos de grupos
IGMP
Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando se
comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes del
grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Descripcin
Configuracin PIM
Pestaa secundaria
Umbral SPT
Nombre
Pestaa secundaria
Espacio de direccin
especfico de origen
Nombre
Descripcin
Pestaa servidor
DHCP
Interfaz
Modo
Hacer ping a la IP al
asignar IP nuevas
Concesin
Origen de herencia
DNS principal
DNS secundario
Descripcin
WINS principal
WINS secundario
NIS principal
NIS secundario
NTP principal
NTP secundario
Puerta de enlace
Servidor POP3
Servidor SMTP
Sufijo DNS
Grupos de IP
Direccin reservada
Pestaa
Retransmisin DHCP
Interfaz
IPv4
IPv6
Proxy DNS
Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
Si el nombre de dominio no es encuentra en la cach proxy de DNS, el nombre de dominio se
busca segn la configuracin de las entradas e el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.
Descripcin
Nombre
Habilitar
Origen de herencia
Principal
Secundario
Comprobar origen de
herencia
Interfaz
Proxy DNS
Descripcin
Entradas estticas
Avanzado
Perfiles de red
Perfiles de red
Los perfiles de red capturan la informacin de configuracin que el cortafuegos puede utilizar
para establecer conexiones de red e implementar polticas. Se permiten los siguientes tipos de
perfiles de red:
Puertas de enlace de IKE, perfiles criptogrficos de IPSec e IKE: Estos perfiles admiten
la configuracin y funcionamiento de VPN de IPSec. Para obtener ms informacin sobre
los siguientes tipos de perfiles, consulte Configuracin de tneles de IPSec en la
pgina 337.
Las puertas de enlace IKE incluyen la informacin de configuracin necesaria para
ejecutar la negociacin del protocolo IKE con puertas de enlace del peer con
configuracin de tneles VPN de IPSec.
Los perfiles criptogrficos de IKE especifican los protocolos y algoritmos de
identificacin, autenticacin y cifrado de Fase 1 en tneles VPN.
Los perfiles criptogrficos de IPSec especifican los protocolos y algoritmos de
identificacin, autenticacin y cifrado de Fase 2 en tneles VPN.
Perfiles de supervisor: Estos perfiles se utilizan para supervisar las reglas de reenvo
basado en polticas (PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos
casos, el perfil de supervisin se utiliza para especificar la medida que se adoptar
cuando un recurso (tnel de IPSec o dispositivo de siguiente salto) no est disponible.
Consulte Configuracin de supervisin en la pgina 192.
Perfiles de gestin de interfaz: Estos perfiles especifican los protocolos que se pueden
utilizar para gestionar el cortafuegos de interfaces de capa 3, incluyendo interfaces VLAN
y loopback. Consulte Definicin de perfiles de gestin de interfaz en la pgina 191.
Perfiles de red
Descripcin
Nombre
Ping
Telnet
SSH
HTTP
HTTPS
SNMP
Pginas de respuesta
Servicio de ID de
usuario
Direcciones IP
permitidas
Perfiles de red
Tabla 74.
Configuracin de supervisin
Campo
Descripcin
Nombre
Accin
Intervalo
Umbral
Perfiles de red
Descripcin
Nombre
Descripcin
Alerta (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Perfiles de red
Descripcin
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Alerta (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Perfiles de red
Descripcin
Umbral (eventos)
Accin
Direccin compatible de
IPv4
Direccin de origen de
multicast
Direccin de fuente de
difusin por proximidad
Trfico fragmentado
Segmento TCP
superpuesto no
coincidente
Perfiles de red
Descripcin
Ruta asimtrica
Proteccin de
opciones IP
Enrutamiento de fuente
estricto
Enrutamiento de origen
no estricto
Marca de tiempo
Ruta de log
Seguridad
ID de secuencia
Desconocido
Formada
incorrectamente
Pestaa secundaria
Descarte de ICMP
ID de 0 de ping de ICMP
Fragmento de ICMP
Paquete de ICMP de
gran tamao (>1024)
Suprimir fragmento de
ICMP necesario
Pestaa secundaria
Descarte de IPv6
Encabezado de
enrutamiento tipo 0
Direcciones compatibles
de IPv4
Direccin de fuente de
difusin por proximidad
Encabezado de
fragmento innecesario
Perfiles de red
Descripcin
MTU en paquete
ICMPv6 demasiado
grande inferior a 1280
bytes
Extensin de
enrutamiento
Extensin de destino
Opciones de IPv6 no
vlidas en encabezado
de extensin
Campo reservado
distinto de cero
Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere
coincidencia de regla de
seguridad explcita
Paquete ICMPv6
demasiado grande:
requiere coincidencia de
regla de seguridad
explcita
Tiempo de ICMPv6
superado: requiere
coincidencia de regla de
seguridad explcita
Problema de parmetro
de ICMPv6: requiere
coincidencia de regla de
seguridad explcita
Redireccionamiento de
ICMPv6: requiere
coincidencia de regla de
seguridad explcita
Perfiles de red
Captulo 5
Polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automtica. Se admiten los siguientes tipos de
polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en la
aplicacin, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces fsicas o lgicas que envan o reciben
trfico. Consulte Polticas de seguridad en la pgina 203.
Polticas
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de proteccin en respuesta que coincidan con las reglas. Consulte Polticas de
proteccin DoS en la pgina 225.
Nota: Las polticas compartidas introducidas en Panorama se muestran en color
verde en las pginas de la interfaz web del cortafuegos y no se pueden editar a nivel
de dispositivo.
Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro. Para
aadir un valor que defina un filtro, haga clic en la flecha hacia abajo del elemento y
seleccione Filtro.
Para ver informacin sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice polticas de seguridad, PBF o QoS, coloque el ratn sobre el objeto en la
columna Aplicacin, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener
que desplazarse a las pestaas de objetos.
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, regla n se inserta debajo de la regla seleccionada, donde
n es el siguiente nmero entero disponible que hace que el nombre de la regla sea
nico.
El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el trfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si mover la regla que ha seleccionado,
para reordenar antes o despus de esta regla.
Polticas
Para mostrar las reglas que no se estn utilizando actualmente, seleccione la casilla de
verificacin Resaltar reglas no utilizadas.
Regla en uso
Para mostrar el log de la poltica, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.
En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos
elementos directamente desde el men de la columna.
Si tiene un gran de polticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una poltica basada en el nombre del objeto o en la direccin IP.
La bsqueda tambin incluir los objetos incrustados para buscar una direccin en un
objeto de direccin o en un grupo de direcciones. En la siguiente captura de pantalla, la
direccin IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la poltica
aaa. Esa poltica utiliza un objeto de grupo de direccin denominado aaagroup, que
contiene la direccin IP.
Barra de filtros
Resultados de filtros
Polticas
2.
3.
4.
Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo Usuario
y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir usuario. Tambin
puede introducir los nombres de usuarios individuales en el rea Ms usuarios.
Polticas
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripcin.
Polticas de seguridad
Las polticas de seguridad determinan si se bloquear o permitir una nueva sesin de red en
funcin de los atributos de trfico, como la aplicacin, zonas de seguridad y direcciones de
origen y destino, y el servicio de aplicacin (como HTTP). Las zonas de seguridad se utilizan
para agrupar interfaces segn el riesgo relativo del trfico que soporten. Por ejemplo, una
interfaz conectada a Internet est en una zona no fiable, mientras que una interfaz
conectada a la red interna est una zona fiable.
Nota: De manera predeterminada, el trfico entre cada par de zonas de seguridad se
bloquea hasta que se aada al menos una regla para permitir el trfico entre las dos
zonas.
El trfico entre zonas est permitido de manera predeterminada y requiere una regla de
bloqueo explcita. Si se aade una regla de denegacin general como la ltima regla en
la poltica, el trfico entre zonas estar bloqueado, hasta que se indique lo contrario.
Las polticas de seguridad pueden ser tan generales o especficas como sea necesario. Las
reglas de poltica se comparan con el trfico entrante en secuencia y al aplicar la primera regla
que coincida con el trfico, las reglas ms especficas deben anteceder a las reglas ms
generales. Por ejemplo, una regla de una aplicacin simple debe anteceder a una regla para
todas las aplicaciones si el resto de configuraciones de trfico son las mismas.
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Polticas
Descripcin
Pestaa Origen
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Pestaa Usuario
Usuario de origen
Perfiles HIP
Pestaa Destino
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de destino
Polticas
Descripcin
Pestaa Aplicacin
Aplicacin
Pestaa Categora
de URL/servicio
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios en la pgina 258 y Grupos de servicios
en la pgina 259.
Categora de URL
Polticas
Descripcin
Pestaa Acciones
Configuracin de
accin
Ajuste de perfil
Ajuste de log
Otros ajustes
Polticas
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de
direccin de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirn entre pblicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones pblicas en el trfico enviado desde una zona interna (fiable) a
una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrn resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe
configurar una poltica de seguridad para permitir el trfico NAT. La poltica de seguridad se
basar en la direccin de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas
direcciones IP pblicas con diferentes nmeros de puerto de origen. Las reglas de IP
dinmica/NAT de puerto permiten traducir una direccin IP nica, un intervalo de
direcciones IP, una subred o una combinacin de todas ellas. Si una interfaz de salida
tiene una direccin IP asignada dinmicamente, puede ser de utilidad especificar la
interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin
adquirida por la interfaz para subsiguientes traducciones.
Nota: IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT
que las admitidas por el nmero de direcciones y puertos IP disponibles. El cortafuegos
puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma
simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en
PA[h4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050 y
PA-5060 si las direcciones IP de destino son nicas.
Polticas
Nota: Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT, el
servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. Para
especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
El puerto de
destino es el
mismo
El puerto de
destino
puede
cambiar
IP dinmica/
puerto
No
No
Tipo de
asignacin
Muchas a 1
MaN
No
MaN
Hasta 32.000
direcciones
consecutivas
No
1a1
Ilimitado
IP dinmica
IP esttica
MaN
MIP
Opcional
1 a muchas
PAT VIP
Polticas
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la poltica NAT. Para definir
una poltica no NAT, especifique todos los criterios coincidentes y seleccione Sin traduccin
de origen en la columna de traduccin de origen.
Polticas
Descripcin
Nombre
Descripcin
Tipo de Nat
Etiqueta
Paquete original
Zona de origen
Zona de destino
Interfaz de destino
Direccin de origen
Direccin de destino
Servicio
Especifique los servicios para los que las direcciones de origen y destino
se traducen. Para definir nuevos grupos de servicio, consulte Grupos de
servicios en la pgina 259.
Polticas
Descripcin
Paquete traducido
Traduccin de origen
Introduzca una direccin o un intervalo de direcciones IP (direccin1direccin2) a la que se traduce la direccin de origen, y seleccione un
grupo de direcciones dinmicas o estticas. El tamao del intervalo de
direcciones est limitado por el tipo del grupo de direcciones:
IP dinmica y puerto: La seleccin de direcciones se basa en un hash de
la direccin de IP de origen. Para una direccin de IP de origen, el
cortafuegos utilizar la misma direccin de origen traducida para todas
las sesiones. IP dinmica y NAT de puerto origen admite
aproximadamente 64.000 sesiones simultneas en cada direccin IP en
el grupo NAT. En algunas plataformas, se permite un exceso de
suscripciones, lo que permite a una nica IP albergar ms de 64.000
sesiones simultneas. Consulte la nota de la pgina 207 para obtener
ms informacin.
IP dinmica: Se utiliza la siguiente direccin disponible en el intervalo
especificado, pero el nmero de puerto no se cambia. Se admiten hasta
32.000 direcciones IP consecutivas. Un grupo de direcciones IP
dinmicas puede contener varias subredes, por lo que podr traducir
sus direcciones de red internas a dos o ms subredes pblicas
diferentes.
Avanzado (traduccin de IP dinmica de reserva): Utilice esta
opcin para crear un grupo de reserva que ejecutar la traduccin de
IP y puerto, y que se utilizar si el grupo primario agota sus
direcciones. Puede definir las direcciones del grupo utilizando la
opcin Direccin traducida o Direccin de interfaz, para interfaces
que reciben una direccin IP dinmica. Si crea un grupo de reserva,
asegrese de que las direcciones no se solapan con las direcciones del
grupo primario.
IP esttica: Se utiliza la misma direccin y el puerto permanece
inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traduccin es 10.0.0.1-10.0.0.10, la
direccin 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de
direccin es casi ilimitado.
Ninguna: La traduccin no se ejecuta.
Traduccin de destino
Polticas
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e
IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4 acceder a
servidores IPv6. Existen tres mecanismos principales de transicin definidos por IETF: pila doble,
tneles y transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicacin, debe utilizar
la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga de
una solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin NAT.
Polticas
Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4
pueda asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede
compartir con NAT44. En contraste, Stateless NAT64 asigna una direccin IPv4 a una
direccin IPv6.
No requiere que conserve un grupo de direcciones IPv4 especficamente para NAT64. Por
lo tanto, puede utilizar una direccin IP simple para NAT44 y NAT64.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Comunicacin IPv6 iniciada
En este tipo de traduccin, la direccin IPv6 de destino de la regla NAT es un prefijo que sigue
al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La mscara de red de la direccin IPv6 de
destino en la regla se utilizara para extraer la direccin IPv4. La traduccin de origen necesita
tener un puerto e IP dinmicas para implementar Stateful NAT64. La direccin IPv4
definida como origen se configura de la misma forma que una traduccin de destino NAT44.
El campo de traduccin de destino no est definido. Sin embargo, debe realizarse una
traduccin de destino ya que la direccin se extrae de la direccin IPv6 en el paquete. Utiliza
el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en cuenta que
en un prefijo /96, est en los ltimos 4 octetos, pero la ubicacin de la direccin IPv4 sera
diferente si el prefijo no es /96.
Polticas
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Fiable
No fiable
Internet IPv4
Host IPv6
Tabla 79.
IP de origen
IP de destino
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC6052
Traduccin de
origen
IP dinmica y modo
de puerto (usar
direcciones IPv4)
Traduccin de destino
Ninguna
(Extrada de las direcciones IPv6 de
destino)
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Internet IPv4
Red IPv6
No fiable
Fiable
Host IPv4
Polticas
IP de destino
Cualquier
direccin
IPv4
Direccin IPv4
Traduccin de
origen
Modo de IP esttica
(Prefijo IPv6 en
formato RFC 6052)
Traduccin de destino
Direccin simple IPv6 (direccin IP
del servidor real)
Nota: Puede especificar una
reescritura del puerto del servidor.
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignacin de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de tnel sin punto de finalizacin porque este tipo de
interfaz actuar como un puerto de loopback y aceptar otras mscaras de subred adems de
/128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para garantizar que el
trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
IP de
origen
Cualquier
direccin
IPv6
IP de destino
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Modo de IP
dinmica y
puerto.
Modo de IP
esttica.
Internet IPv4
a una red
IPv6
Cualquier
direccin
IPv4
Direccin IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
direccin
IPv6
Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.
Red IPv4 a
Internet IPv6
No admitida actualmente
Traduccin de
origen
Traduccin de destino
Ninguna
(extrada de direcciones
IPv6 de destino)
Usar direccin
IPv4 pblica
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
(extrada de direcciones
IPv6 de destino)
Polticas
Red IPv6 a
red IPv4
IP de
origen
IP de destino
Traduccin de
origen
Cualquier
direccin
IPv4
Direccin IPv4
simple
Modo de IP
esttica.
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Traduccin de destino
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
(extrada de direcciones
IPv6 de destino)
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Polticas
Descripcin
Pestaa Origen
Zona de origen
Direccin de origen
Usuario de origen
Pestaa Destino/
aplicacin/servicio
Direccin de destino
Aplicacin
Especifique los servicios para los que las direcciones de origen y destino
se traducen. Para definir nuevos grupos de servicio, consulte Grupos de
servicios en la pgina 259.
Pestaa Reenvo
Accin
Polticas
Descripcin
Interfaz de salida
Siguiente salto
Supervisar
Programacin
Para limitar los das y horas en los que la regla est en vigor, seleccione
una programacin de la lista desplegable. Para definir nuevas
programaciones, consulte Programaciones en la pgina 271.
Polticas
Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y
seguridad granular. Las polticas de descifrado se pueden aplicar a una capa s (SSL) y a trfico
Secure Shell (SSH). Con la opcin SSH, puede descifrar de forma selectiva el trfico SSH
entrante y saliente para asegurar que los protocolos no se estn utilizando para tneles de
aplicaciones y contenido no permitido. Tambin puede aplicar perfiles de descifrado a sus
polticas con objeto de bloquear y controlar diferentes aspectos del trfico SSL. Para obtener
ms informacin, consulte Perfiles de descifrado en la pgina 269.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no. El
ID de la aplicacin y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de
URL y Bloqueo de archivos se aplican al trfico de descifrado antes de volverse a cifrar a
medida que el trfico sale del dispositivo. La seguridad de punto a punto entre clientes y
servidores se mantiene, y el cortafuegos acta como un agente externo de confianza durante la
conexin. Ningn tipo de trfico descifrado sale del dispositivo.
El cortafuegos examina el trfico, con independencia de los protocolos encapsulados. Las
polticas de descifrado pueden ser tan generales o especficas como sea necesario. Las reglas
de las polticas se comparan con el trfico en secuencias, por lo que las reglas ms especficas
deben preceder a las reglas ms generales.
Nota: Consulte la nota tcnica de Palo Alto Networks, Controlling SSL Decryption
(Control de descifrado SSL, en ingls) para obtener instrucciones sobre cmo gestionar los
certificados SSL para evitar errores de coincidencia de certificados, y para obtener
instrucciones sobre cmo desarrollar las polticas para gestionar implementaciones SSL
no estndar.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de
un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado
firmado por una entidad de certificacin de confianza del cortafuegos. Para configurar este
certificado, cree un certificado en la pgina
Dispositivo > Gestin de certificados > Certificados y, a continuacin, haga clic en el nombre
del certificado y seleccione la casilla de verificacin Reenviar certificado fiable. Consulte
Importacin, exportacin y generacin de certificados de seguridad en la pgina 94.
Nota: Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para
evitarlo, PAN-OS no descifrar el trfico SSL de estas aplicaciones y los ajustes de
reglas de cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el tema concreto en el sitio de
asistencia tcnica y busque el documento List of Applications Excluded from SSL
Decryption (Lista de aplicaciones excluidas del cifrado SSL, en ingls).
Polticas
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Pestaa Origen
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Usuario de origen
Pestaa Destino
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de destino
Polticas
Descripcin
Pestaa Categora de
URL
Pestaa Opciones
Accin
Tipo
Perfil de descifrado
Polticas
2.
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Pestaa Origen
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Polticas
Descripcin
Pestaa Destino
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa
2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de destino
Pestaa Protocolo/
Aplicacin
Protocolo
Puerto
Aplicacin
Polticas
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Origen
Pestaa Destino
Destino
Polticas
Descripcin
Pestaa Servicio/
URL/servicio
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: los servicios seleccionados se
permiten o deniegan nicamente segn el puerto predeterminado por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios en la pgina 258 y Grupos de servicios
en la pgina 259.
Categora de URL
Pestaa Servicio/
Accin
Configuracin de accin
Polticas
Descripcin
Pestaa General
Nombre
Descripcin
Compartido
Etiqueta
Pestaa Origen
Origen
Pestaa Destino
Destino
Perfiles de seguridad
Descripcin
Pestaa Opcin/
Proteccin
Servicio
Accin
Programacin
Agregado
Clasificado
Perfiles de seguridad
Cada una de las polticas de seguridad puede incluir especificaciones de uno o ms perfiles de
seguridad, lo que proporciona an ms nivel de proteccin y control.
Tambin puede aadir excepciones de amenazas a los perfiles de Anti Spyware y
Vulnerabilidades. Con objeto de facilitar an ms la gestin de amenazas, puede aadir
excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. Para
aadir una excepcin de amenaza a un perfil, busque la amenaza en el log y haga clic en el
nombre de la amenaza. Se abrir el cuadro de dilogo Detalles de amenaza, seleccione uno o
ms perfiles en el panel de la izquierda y haga clic en ACEPTAR. De esta forma se aadir una
excepcin de amenazas para esa firma en los perfiles de amenazas seleccionados con la accin
permitida. Para aadir una excepcin de amenaza a la direccin IP concreta, aada las
direcciones IP del panel de la derecha, y haga clic en ACEPTAR. De esta forma se aadir una
excepcin de amenaza con las direcciones IP agregadas como un filtro en la excepcin de la
amenaza.
Perfiles de seguridad
Perfiles de antispyware para bloquear intentos de acceso a la red por parte de spyware.
Consulte Perfiles de antispyware en la pgina 230.
Perfiles de filtrado de URL para restringir el acceso a sitios web especficos y a categoras
de sitios web. Consulte Perfiles de filtrado de URL en la pgina 235.
Perfiles de filtrado de datos que ayudan a evitar que informacin confidencial, como
nmeros de tarjetas de crdito o nmeros de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte Perfiles de filtrado de datos en la pgina 241.
Adems de los perfiles individuales, puede crear grupos para combinar los perfiles que se
apliquen con frecuencia conjuntamente.
Nota: No puede eliminar un perfil que se utiliza en una poltica de seguridad.
Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Puede elegir entre las siguientes acciones cuando define polticas de vulnerabilidad:
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Colocar todos los paquetes: Evita que todos los paquetes salgan del cortafuegos.
Perfiles de seguridad
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
Una poltica de seguridad puede incluir la especificacin de un perfil de antivirus para
identificar las aplicaciones que se inspeccionan para los virus, y las medidas que se adoptan
cuando se detecta un virus. El perfil tambin puede especificar acciones para bloquear
descargas de spyware. El perfil predeterminado busca virus en todos los descodificadores de
protocolo enumerados, genera alertas de Simple Mail Transport Protocol (SMTP), Internet
Message Access Protocol (IMAP), y Post Office Protocol Version 3 (POP3), y toma las medidas
predeterminadas para el resto de las aplicaciones (alerta o denegacin), dependiendo del tipo
de virus detectado.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el
trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de
zonas no fiables, como Internet, as como el trfico enviado a destinos altamente sensibles,
como granjas de servidores.
Para obtener ms informacin sobre los tipos de accin, consulte Perfiles de seguridad en la
pgina 227.
Tabla 87.
Campo
Descripcin
Nombre
Descripcin
Pestaa Antivirus
Captura de paquetes
Descodificadores y
Acciones
Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire. Para obtener
ms informacin sobre WildFire, consulte Acerca de WildFire en la
pgina 463.
Perfiles de seguridad
Tabla 87.
Campo
Descripcin
Excepciones de
aplicacin y acciones
Pestaa Excepcin de
virus
ID de amenaza
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una poltica de seguridad puede incluir informacin de un perfil antispyware para detectar
llamada a casa (deteccin del trfico del spyware instalado). El perfil antispyware
predeterminado detecta la proteccin de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antispyware
para el trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico
recibido de zonas no fiables, como Internet, as como el trfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts
infectados en una red. Estas firmas detectan bsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Adems, los hosts que realizan consultas DNS en dominios malware aparecern en
el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms
columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submen Columnas.
Para obtener ms informacin, consulte Uso de tablas en pginas de configuracin en la
pgina 27.
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Pestaa Reglas
Nombre de regla
Nombre de amenaza
Gravedad
Accin
Captura de paquetes
Pestaa Excepciones
Excepciones
Captura de paquetes
ID de amenaza
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Pestaa Reglas
Nombre de regla
Nombre de amenaza
Perfiles de seguridad
Descripcin
Accin
Host
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Captura de paquetes
Categora
Lista CVE
ID de proveedor
Gravedad
Perfiles de seguridad
Descripcin
Pestaa Excepciones
Amenazas
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Accin tras el
vencimiento de la
licencia
Filtrado de URL
dinmica
Pgina de contenedor de
log nicamente
Perfiles de seguridad
Descripcin
Lista de bloqueadas
Perfiles de seguridad
Descripcin
Lista de permitidas
Perfiles de seguridad
Descripcin
Comprobar categora de
URL
Haga clic para acceder al sitio web donde podr introducir una URL o
direccin IP para ver informacin de categorizacin.
Descripcin
Nombre
Descripcin
Perfiles de seguridad
Descripcin
Compartido
Reglas
Descripcin
avi
bat
bmp-upload
cab
cmd
dll
doc
docx
dwg
Perfiles de seguridad
Descripcin
enc-doc
enc-docx
enc-ppt
enc-pptx
enc-office2007
enc-rar
enc-xls
enc-xlsx
enc-zip
exe
flv
gif-upload
gzip
hta
iso
jpeg-upload
lha
lnk
lzh
mdb
mdi
mov
mpeg
msi
msoffice
ocx
pe
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys,
drv, tlb)
pgp
pif
pl
ppt
pptx
psd
Perfiles de seguridad
Descripcin
rar
reg
rm
rtf
sh
tar
tif
torrent
Archivo de BitTorrent
wmf
wmv
wri
wsf
xls
xlsx
Zcompressed
zip
Archivo Winzip/pkzip
Descripcin
Nombre
Descripcin
Perfiles de seguridad
Descripcin
Compartido
Captura de datos
Descripcin
Patrn de datos
Aplicaciones
Perfiles de seguridad
Descripcin
Especifique los tipos de archivos que se incluirn en la regla de filtrado:
Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos
enumerados. Esta seleccin no bloquea todos los posibles tipos de
archivo, solo los enumerados.
Haga clic en Aadir para especificar tipos de archivos individuales.
Direccin
Umbral de alerta
Umbral de bloqueo
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Una poltica de seguridad DoS puede incluir especificaciones de un perfil DoS que protegen
contra ataques DoS y toman las medidas de proteccin en respuesta a las coincidencias de la
regla. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia.
Para aplicar perfiles DoS a polticas DoS, consulte Polticas de proteccin DoS en la
pgina 225.
Descripcin
Nombre
Compartido
Descripcin
Tipo
Descripcin
Pestaa Proteccin
contra inundaciones
Pestaa secundaria
Inundacin SYN
Pestaa secundaria
Inundacin de UDP
Pestaa secundaria
Inundacin de ICMP
Otras pestaas
secundarias
Pestaa Proteccin de
recursos
Sesiones
Mx. de lmites
simultneos
Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios
en la pgina 258.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte Categoras de URL personalizadas en
la pgina 261.
Descripcin
Nombre
Compartido
Descripcin
Tipo
Descripcin
Tipo (continuacin)
FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin. Las
entradas se van actualizando cuando expira el tiempo de vida de DNS (o
est a punto de expirar). FQDN se resuelve por el servidor DNS del
sistema o por un objeto proxy DNS, si se configura un proxy. Para obtener
informacin acerca del proxy DNS, consulte Proxy DNS en la
pgina 188.
Dinmica:
Especifique un nombre, descripcin y un identificador que utilizar la
API XML para agregar direcciones. El identificador puede ser cualquier
cadena, debe ser nico y no limitarse a un UUID estndar. Una vez haya
especificado el nombre y el identificador, podr utilizar el nombre del
objeto en sus polticas y el identificador (el campo localizado a la derecha
de Tipo: Dinmica) se utiliza para asignar la direccin IP nica de un
objeto de direccin en el comando API XMP.
Identificador
Esta funcin del objeto de direccin dinmica es muy til en entornos en los
que las direcciones IP del host cambian frecuentemente; como en entornos
virtuales en los que los hosts se suelen aadir y eliminar con frecuencia y
donde se pueden producir fallos que requieren cambiar las direcciones IP. Al
utilizar el nombre del objeto de la direccin dinmica de la poltica
coincidente en lugar de las direcciones IP estticas o redes, las direcciones se
pueden actualizar dinmicamente sin modificar la configuracin del
cortafuegos.
Cada objeto de direccin dinmica puede contener hasta 256 direcciones IP.
Descripcin
Nombre
Compartido
Direcciones
Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras
regiones. La regin est disponible como una opcin si especifica el origen y el destino de las
polticas de seguridad, polticas de descifrado y polticas DoS. Puede elegir entre una lista
estndar de pases o usar los ajustes de regin que se describen en esta regin, para definir las
regiones personalizadas que se incluirn como opciones para reglas de poltica de seguridad.
Descripcin
Nombre
Ubicacin geogrfica
Direcciones
Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base
para el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en
Networking y la lista solo mostrar las aplicaciones de red.
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categora, a continuacin los filtros de
subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de aplicar una categora,
subcategora y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Technology
se restringe automticamente a las tecnologas que cumplen los requisitos de la categora
y subcategoras seleccionadas, aunque no se haya aplicado explcitamente un filtro de
tecnologa.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualiza automticamente, tal y como se muestra en la siguiente ilustracin. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicacin.
Haga clic en el nombre de una aplicacin para ver ms detalles sobre la aplicacin, tal y
como se describe en la siguiente tabla. Tambin puede personalizar los valores de riesgo y
tiempo de espera, tal y como se describe en la siguiente tabla.
Descripcin
Nombre
Nombre de la aplicacin.
Descripcin
Informacin adicional
Puertos estndar
Evasiva
Ampliamente utilizado
Tiene vulnerabilidades
conocidas
Depende de aplicaciones
Categora
Categora de aplicacin.
Subcategora
Subcategora de aplicacin.
Tecnologa
Tecnologa de la aplicacin.
Riesgo asignado de la aplicacin.
Riesgo
Descripcin
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir nuevas aplicaciones a la evaluacin del cortafuegos
cuando aplique polticas.
Descripcin
Pestaa
Configuracin
Nombre
Compartido
Descripcin
Descripcin
Categora
Subcategora
Tecnologa
Aplicacin primaria
Riesgo
Caractersticas
Pestaa Avanzada
Puerto
Protocolo IP
Tipo de ICMP
Tipo de ICMP6
Ninguna
Descripcin
Tiempo de espera
Tiempo de espera de
TCP
Tiempo de espera de
UDP
Analizando
Descripcin
Pestaa Firma
Firmas
Haga clic en Aadir para agregar una firma nueva y especificar la siguiente
informacin:
Nombre de firma: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o Aadir
condicin OR. Para aadir una condicin en un grupo, seleccione el grupo
y haga clic en Aadir condicin.
Seleccione un operador entre Coincidencia de patrones e Igual que. Si
selecciona el operador de coincidencia de patrones, especifique las
siguientes opciones:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 104 para ver
reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Si selecciona el operador de coincidencia igual que, especifique las
siguientes opciones:
Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP
o UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos cuatro en
la carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Para mover una condicin en un grupo, seleccione la condicin y haga clic
en el flecha Mover hacia arriba o Mover hacia abajo. Para mover un
grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o
Mover hacia abajo. No puede mover condiciones de un grupo a otro.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el
sistema virtual de destino en la lista desplegable Destino.
Para exportar la aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
El campo host incluye el patrn blogespecificado.com. Sin embargo, si se escribe una firma con
ese valor en el host, incluir todo el trfico entrante en blogespecificado.com, incluyendo el
trfico de publicaciones y de visualizacin. Por lo tanto, es necesario buscar ms patrones.
Una forma de hacerlo es buscar los patrones post_title y post-author en los parmetros de la
publicacin. La firma resultante detecta las publicaciones en el sitio web:
nombreusuario@nombrehost# show application blogespecificado_blog_posting
blogespecificado_blog_posting {
category collaboration;
subcategory web-posting;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
and-condition {
o1 {
context http-req-host-header;
pattern blogespecificado\.com;
method POST;
}
}
}
a2 {
and-condition {
o2 {
context http-req-host-header;
pattern post_title;
method POST;
}
}
}
a3 {
and-condition {
o3 {
context http-req-host-header;
pattern post_author;
method POST;
}
Descripcin
Nombre
Aplicaciones
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e
introduzca el nombre del filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas
de verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros de categora, a
continuacin los filtros de subcategora, tecnologa, riesgos y, finalmente, los filtros de
caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de elegir una categora, subcategora
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Technology se restringe
automticamente a las tecnologas que cumplen los requisitos de la categora y subcategoras
seleccionadas, aunque no se haya aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno o
ms servicios para limitar el nmero de puertos que las aplicaciones pueden utilizar. El
servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones de
servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de
servicios para simplificar la creacin de polticas de seguridad (consulte Grupos de
servicios en la pgina 259).
Descripcin
Nombre
Descripcin
Compartido
Protocolo
Descripcin
Puerto de destino
Puerto de origen
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
Servicios en la pgina 258.
Descripcin
Nombre
Servicio
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo configurar patrones de datos, consulte Listas de bloqueos
dinmicos en la pgina 262.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos
generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes, pero
no menos.
Descripcin
Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.
[]
{}
Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).
&
& es un carcter especial, por lo que para buscar & en una cadena debe utilizar
&.
.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
No busca confidencial (todas en minscula)
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra
borrador, lo que puede indicar que el comunicado de prensa no est preparado an
para ser emitido.
.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles
de filtrado de URL en la pgina 235.
Descripcin
Nombre
Descripcin
Descripcin
Compartido
Sitios
En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Descripcin
Nombre
Descripcin
Origen
Descripcin
Repetir
Descripcin
Nombre
Descripcin
Compartido
Descripcin
Peso
Patrones personalizados
Descripcin
Pestaa
Configuracin
ID de amenaza
Nombre
Descripcin
Compartido
Comentarios
Gravedad
Accin predeterminada
Direccin
Sistema afectado
CVE
Proveedor
Bugtraq
Referencia
Descripcin
Pestaa Firmas
Firma estndar
Firma de combinacin
Descripcin
Nombre
Compartido
Perfiles
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si las
entradas de log de trfico y amenazas se registran de forma remota con Panorama, y/o se
envan como traps SNMP, mensajes de Syslog o notificaciones por correo electrnico. De
forma predefinida, solo se realizan logs locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de
amenazas registran las amenazas o problemas con el trfico de la red, como la deteccin de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y proteccin de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a polticas de seguridad, consulte
Polticas de seguridad en la pgina 203.
Tabla 110.
Campo
Descripcin
Nombre
Compartido
Configuracin de trfico
Panorama
Trap SNMP
Correo electrnico
Syslog
Tabla 110.
Campo
Descripcin
Trap SNMP
Correo electrnico
Syslog
Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvo, inspeccin entrante SSL y trfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una poltica de descifrado.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms
informacin, consulte Entidades de certificacin de confianza en la pgina 97.
Descripcin
Bloquear sesiones
con certificados
caducados
Bloquear sesiones
con emisores no
fiables
Restringir
extensiones de
certificados
Descripcin
Comprobaciones de
modo no compatible
Bloquear sesiones
con versin no
compatible
Bloquear sesiones
con conjuntos de
cifrado no
compatibles
Bloquear sesiones
con autenticacin de
cliente
Comprobaciones de
fallos
Bloquear sesiones si
no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Bloquear sesiones
con versiones no
compatibles
Bloquear sesiones
con conjuntos de
cifrado no
compatibles
Comprobaciones de
fallos
Bloquear sesiones si
no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Pestaa SSH
Comprobaciones de
modo no compatible
Bloquear sesiones
con versiones no
compatibles
Descripcin
Bloquear sesiones
con algoritmos no
compatibles
Comprobaciones de
fallos
Bloquear sesiones al
detectar errores SSH
Bloquear sesiones si
no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas y
horas. Para limitar una poltica de seguridad a una hora concreta, puede definir
programaciones y aplicarlas a las polticas correctas. Para cada programacin puede
especificar una fecha y un intervalo horario fijo, o bien una programacin diaria o semanal
recurrente. Para aplicar las programaciones a las polticas de seguridad, consulte Polticas de
seguridad en la pgina 203.
Nota: Cuando se activa una poltica de seguridad en una programacin definida,
solo se vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.
Descripcin
Nombre
Compartido
Periodicidad
Diario
Semanal
Sin repeticin
Captulo 6
Informes y logs
Este captulo describe cmo visualizar los informes y logs proporcionados con el cortafuegos:
Descripcin
Aplicaciones principales
Aplicaciones de alto
riesgo principales
Informacin general
Estado de la interfaz
Logs Amenaza
Logs de configuracin
Logs Sistema
Descripcin
Administradores
registrados
Alta disponibilidad
Bloqueos
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de
logs en la esquina inferior derecha de la pgina, como se muestra a continuacin. El
contexto de los logs coincide con la informacin que aparece en la pgina.
3.
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Despus de
agregar los filtros deseados, haga clic en el icono Aplicar filtro.
4.
Selecciona una vista desde la lista desplegable del rea de su inters, como se describe en
la siguiente tabla.
5.
Utilice las listas desplegables para Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.
Descripcin
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
Objetos HIP
Perfiles HIP
6.
Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrir una pgina
de detalles para mostrar informacin acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope introduce herramientas de anlisis y visibilidad para ayudar a
localizar comportamientos problemticos, ayudndole a comprender los siguientes aspectos
de su red:
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Descripcin
Resumen
Supervisor de cambios
Supervisor de amenazas
Mapa de amenazas
Supervisor de red
Mapa de trfico
Uso de Appscope
Informe de resumen
El informe de resumen(Ilustracin 23) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y
orgenes.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Uso de Appscope
Descripcin
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Uso de Appscope
Descripcin
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Muestra las amenazas entrantes.
Uso de Appscope
Descripcin
Muestra las amenazas salientes.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.
Descripcin
Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en
la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y la
bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para agregar
el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Nota: Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que
ha definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en
la lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar
filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier
filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificacin si desea continuar utilizando la
misma opcin. Haga clic en ACEPTAR.
de una entrada.
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Cada entrada incluye
la fecha y hora, las zonas de origen y destino, las direcciones, los puertos, el
nombre de la aplicacin, el nombre de la regla de seguridad aplicada al flujo, la
accin de la regla (permitir, denegar o desplegar), la interfaz de entrada y salida
y el nmero de bytes.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.
Amenaza
Filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web
prohibido. Consulte Perfiles de filtrado de URL en la pgina 235 para obtener
ms informacin sobre cmo definir perfiles de filtrado de URL.
WildFire
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos en la pgina 241 para obtener ms informacin
sobre cmo definir perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono
. Introduzca la contrasea y haga clic
en ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas en
la pgina 126 para obtener instrucciones acerca de cmo cambiar o eliminar la
contrasea de proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.
Coincidencias
HIP
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Visualizacin de alarmas en la pgina 93.
Descripcin
Trfico HTTP
Aplicaciones
desconocidas
IRC
Descripcin
# Filas
Programado
Consulta
Negar
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Nota: Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo de
informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Descripcin
Nombre
Usuario
Perodo de tiempo
Para ejecutar el informe a peticin, seleccione el informe y haga clic en Editar y luego haga clic
en Ejecutar.
Tabla 125.
Campo
Descripcin
Nombre
Pgina de ttulo
Ttulo
Tabla 125.
Campo
Descripcin
Descripcin
Nombre
Grupo de informes
Periodicidad
Visualizacin de informes
Descripcin
Perfil de correo
electrnico
Cancelar correos
electrnicos del
destinatario
Visualizacin de informes
Supervisar > informes
El cortafuegos proporciona varios informes 50 principal de las estadsticas de trfico del da
anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior. Para
ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de informe
en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF. Los
archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte superior de
la ventana para imprimir o guardar el archivo.
Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Base de datos
Perodo de tiempo
Ordenar por
Programado
Columnas
Descripcin
Consulta y Generador de
consultas
Negar
Logs de trfico detallados: Puede utilizar los logs de trfico detallados para localizar
aplicaciones desconocidas. Si se activa los logs para la sesin de inicio y finalizacin, el
log de trfico proporcionar informacin especfica acerca del inicio y la finalizacin de
una sesin desconocida. Utilice la opcin de filtro para restringir la visualizacin de
entradas que coinciden tcp desconocido, como aparece en la siguiente ilustracin.
Toma de medidas
Puede llevar a cabo las siguientes acciones para tratar aplicaciones desconocidas:
Las polticas se pueden tambin establecer para controlar aplicaciones desconocidas por TCP
desconocido, UDP desconocido o por una combinacin de zona de origen, zona de destino y
direcciones IP. Consulte Polticas de cancelacin de aplicacin en la pgina 221.
Nota: Puede utilizar firmas personalizadas en definiciones de ID de aplicaciones.
Descripcin
Filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo
filtro y especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip.: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP,
incluir todo el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el
filtro.
Filtrado
Anterior a la
coincidencia
Descripcin
Capturar archivos
Capturando
Configuracin de
captura
Captulo 7
Sondeo de cliente
En un entorno de Microsoft Windows, el sistema cliente puede proporcionar informacin
acerca de los usuarios registrados mediante Windows Management Instrumentation
(WMI) para servicios y usuarios autorizados. El sondeo de clientes de Microsoft Windows
a peticin proporciona informacin acerca de usuarios registrados en un equipo cliente.
API XML
Otros mtodos de identificacin no son directamente compatibles por opciones y
funciones del ID de usuario. En estos casos, una interfaz XML sobre SSL est disponible,
permitindo que las soluciones personalizadas registren usuarios vlidos y su direccin
de cliente correspondiente en la red con el ID de usuario.
Portal cautivo
Si el usuario no se puede identificar segn la informacin de inicio de sesin, una sesin
establecida o sondeo de cliente, el cortafuegos puede volver a dirigir cualquier solicitud
saliente de HTTP y volver a dirigir el usuario a un formato web. El formato web puede
autenticar el usuario de forma transparente mediante un desafo NTLM, que se evala y
se responde automticamente por el explorador web o mediante una pgina de inicio de
sesin explcita.
Equipos compartidos
Los equipos compartidos, como servidores de terminal de Microsoft, son problemticos
para la mayora de implementaciones porque un nmero de usuarios comparte el mismo
sistema y por lo tanto la misma direccin de red. En este caso, un Agente se puede instalar
en el servidor de terminal, que asociar luego no solo a la direccin de red, sino tambin a
los intervalos de puerto asignados a los usuarios registrados.
Agente de ID de usuarios
Los agentes del ID de usuarios identifican el usuario en la red utilizando uno o todos los
mecanismos indicados anteriormente en este captulo.
Para Active Directory, se requiere una conexin directa a todos los controladores de
dominio para supervisar la actividad de sesin del usuario y determinar las direcciones IP
del usuario.
Portales cautivos
Si el agente de ID de usuarios no puede asociar un usuario con una direccin IP, un portal
cautivo puede tomar las riendas y autenticar el usuario con un formato web o un desafo NT
LAN Manager (NTLM).
Para recibir el formato web, los usuarios deben utilizar un explorador web y encontrarse en el
proceso de conexin. Encima de realizar una autenticacin correcta, los usuarios se dirigen
automticamente al sitio web solicitado inicialmente. El cortafuegos puede ahora ejecutar
polticas basadas en la informacin del usuario para cualquier aplicacin pasando a travs del
cortafuegos, no solo para aplicaciones que utilizan un explorador web.
Se aplican las siguientes reglas para portales cautivos:
Las reglas del portal cautivo funciona para el trfico web HTTP y HTTPS.
Si la accin para la regla es formato web, se presenta un formato web al usuario para
solicitar una contrasea.
Si no se aplican las reglas del portal cautivo mencionado anteriormente porque el trfico no es
HTTP o no existen coincidencias de regla, el cortafuegos aplica sus polticas de seguridad
basadas en IP (ay no las polticas de seguridad basadas en el usuario).
Pestaa Portal cautivo: Especifique ajustes para admitir el uso de un portal cautivo para
la identificacin de usuarios. Consulte Portales cautivos en la pgina 311.
Descripcin
Pestaa Asignacin
de usuario
Pestaa Autenticacin
de WMI
Descripcin
Pestaa Sondeo de
cliente
Descripcin
Pestaa
Almacenamiento en
cach
Pestaa NTLM
Pestaa Redistribucin
Descripcin
Supervisin de servidor
Haga clic en Aadir para configurar los servidores del dominio con los
que se pondr en contacto el cortafuegos para comunicar la asignacin de
IP del usuario y agrupar informacin de asignacin.
Nombre: Introduzca la direccin de red del servidor de dominio.
Direccin de red: Introduzca la direccin de red del servidor de dominio.
Tipo: Seleccione el tipo de servidor de dominio (Microsoft Active
Directory, Microsoft Exchange o Novell eDirectory).
Habilitar: Seleccione la casilla de comprobacin para habilitar el perfil del
servidor de dominio.
Descubrir: Haga clic en esta opcin para descubrir servidores de
Microsoft Active Directory mediante DNS. A continuacin, puede
seleccionar la casilla de verificacin junto a los servidores que desea
utilizar para obtener informacin de asignacin de usuarios.
El cortafuegos descubrir controladores de dominio basados en el nombre
de dominio introducidos en la pestaa Dispositivo > Configuracin >
Gestin pgina > Configuracin general campo Dominio.
Incluir/Excluir redes
Pestaa Agentes de
ID de usuarios
Nombre
Sistema virtual
Direccin IP
Puerto
Descripcin
Utilizar para
autenticacin NTLM
Habilitado
Actualizar conectados
Secuencia de agente
personalizada
Pestaa Agente de
servicios de terminal
Nombre
Sistema virtual
Host
Puerto
Direcciones IP
alternativas
Descripcin
Pestaa
Configuracin de
asignacin de grupos
Nombre
Sistema virtual
Pestaa secundaria
Perfil de servidor
Lista de inclusin de
grupos
Pestaa
Configuracin de
portal cautivo
Habilitar portal cautivo
Ubicacin
Temporizador de
inactividad
Descripcin
Vencimiento
Redirigir host
Certificado de servidor
Certificado
Perfil de autenticacin
Autenticacin de NTLM
Perfil de servidor LDAP: Este perfil se utiliza para definir la informacin del servidor de
controlador de dominio que utilizar el cortafuegos para realizar consultas para reunir
informacin de asignacin de grupo y usuario.
Esto perfila los pasos bsicos a seguir para configurar la Asignacin de usuario de PAN-OS:
1.
Obtener una contrasea y una cuenta de inicio de sesin que cuenta con permisos para los
servidores y los host que utilizar para recuperar informacin de la asignacin de usuario. Los
permisos necesarios estn basados en los mtodos que habilitar para reunir la informacin
de asignacin de usuario, que puede ser de servidores de Microsoft Active Directory,
3.
Haga clic en el icono Editar en el lado superior derecho de la ventana Configuracin del
gente de ID de usuario de Palo Alto Networks. En esta pgina, defina los ajustes que se
utilizarn al recopilar informacin de asignacin de usuario a IP en los servidores
definidos en la lista Supervisin de servidor. Cumplimente cada pestaa basada en sus
requisitos. Consulte Pestaa Asignacin de usuario en la pgina 312 para obtener
descripciones de cada uno de los ajustes de asignacin de usuario. La pestaa
Redistribucin solo se utiliza si piensa utilizar este cortafuegos para distribuir
informacin de asignacin de usuario a otros dispositivos.
4.
5.
6.
7.
Para especificar redes que se incluirn o excluirn en los datos de asignacin del usuario,
haga clic en el icono Aadir en la seccin Incluir/Excluir y defina las redes que desea
filtrar. Eso le permitir enviar datos de asignacin de usuario filtrados a otros cortafuegos
de su red que utiliza este dispositivo para arrastrar informacin de asignacin de usuario.
Nota: Tambin puede excluir una lista de cuentas de usuario del proceso
de asignacin creando una lista ignorar usuario. Cuando utilice la funcin
Asignacin de usuario de Palo Alto Networks, se crea la lista de cuentas de
usuario a excluir en la CLI utilizando el comando establecer valor
recopilador de id de usuario ignora usuario < >.
El nmero de cuentas que se pueden agregar a esta lista es ilimitado.
8.
Ahora que el agente de ID de usuarios est configurado, debe configurar un perfil de LDAP.
1.
2.
Enumere los servidores de directorio que desea que el cortafuegos utilice en la lista de
servidor. Debe proporcionar al menos un servidor, se recomiendan dos o ms en caso de
fallos. El puerto LDAP estndar para esta configuracin es 389.
3.
Deje el campo Dominio vaco, a menos que desee configurar varios directorios
independientes.
4.
5.
Introduzca la base del directorio LDAP en el campo Base. Por ejemplo, si su dominio de
Active Directory Domain es paloaltonetworks.local, su base ser
dc=paloaltonetworks, dc=local, salvo que desee hacer uso de un catlogo global de
Active Directory. En el campo Enlazar DN, introduzca un nombre de usuario con los
permisos suficientes para leer el rbol de LDAP. En un entorno de Active Directory, un
nombre de usuario para esta entrada podra ser el Nombre principal del usuario, por
ejemplo, administrator@paloaltonetworks.local pero tambin el nombre distintivo de
usuarios, por ejemplo, cn=Administrator,cn=Users,dc=paloaltonetworks,dc=local.
6.
Si desea crear polticas basadas en grupos de directorio, debe configurar Asignacin de grupo.
Esta configuracin define cmo se recuperan los grupos y los usuarios del directorio y qu
grupos de usuarios se deben incluir para su uso en polticas.
1.
2.
3.
4.
5.
El panel izquierdo mostrar Grupos disponibles, desplcese al grupo que desee o busque
grupos que desea incluir en sus consultas. Puede utilizar los asteriscos (*) para realizar
coincidencias de patrones en sus bsquedas.
6.
7.
FW1
Servidor de dominio
Redistribucin
Cortafuegos
FW2
FW...
2.
Haga clic en el icono Editar en el lado superior derecho de la ventana Configuracin del
gente de ID de usuario de Palo Alto Networks y luego haga clic en la pestaa
Redistribucin.
3.
4.
5.
Desplcese a Red > Perfiles de red > Gestin de interfaz para activar el servicio del
agente de ID de usuarios.
6.
El cortafuegos est ahora listo para redistribuir informacin de asignacin de usuario a otros
cortafuegos.
Para configurar un cortafuegos para recuperar informacin de un cortafuegos de
redistribucin de asignacin de usuario, realice los siguientes pasos:
1.
2.
Haga clic en Aadir e introduzca un Nombre para el perfil del Agente de identificacin
de usuarios y luego cumplimente los siguientes campos:
b. Puerto: Introduzca 5007 para el nmero de puerto. Este es el puerto designado utilizado
para este servicio y no se puede modificar.
e. Utilizar como Proxy LDAP: Seleccione esta casilla de verificacin para utilizar el
cortafuegos como un Proxy LDAP, en lugar de conectarse directamente al servidor de
directorio. Eso se utiliza para consultar informacin de pertenencia de grupo y grupo
de directorio.
f. Utilizar para autenticacin NTLM: Seleccione esta casilla de verificacin para utilizar el
cortafuegos para comprobar la autenticacin de cliente NTLM desde el portal cautivo con el
dominio de Active Directory.
Equipos host
Servidores de directorio
Microsoft Exchange
2003 (6.5)
2007 (8.0)
2010 (14.0)
Cada PC incluido para la identificacin de usuarios debe formar parte del dominio de
autenticacin. Para equipos que no forman parte del dominio, puede utilizar la funcin del
portal cautivo para visualizar usuarios y comprobar nombres de usuarios y contraseas.
Consulte estas secciones para obtener informacin adicional:
Para instalar el agente de ID de usuarios, abra el archivo de instalador y siga las instrucciones
que aparecen en pantalla.
Seleccione Iniciar > Todos los programas > Palo Alto Networks > Agente de ID de
usuarios.
Seleccione Iniciar > Todos los programas > Palo Alto Networks > Agente de
identificacin de usuarios.
2.
Nota: Para que el sondeo de WMI funcione de forma eficaz, se debe configurar el
servicio de Agente Pan con una cuenta de administrador de dominio, y cada PC
cliente sondeado debe tener una excepcin de administracin remota configurada
en el cortafuegos de Windows.
Nota: Para que el sondeo de NetBIOS funcione de forma efectiva, cada PC cliente
sondeado debe proporcionar un puerto 139 en el cortafuegos de Windows y debe
tener los servicios de uso compartido de archivos e impresoras activados.
Cach: Seleccione la casilla de verificacin para habilitar el tiempo de espera para el
cach de grupo e ID de usuario y especifique el intervalo (minutos) despus del que
transcurre el tiempo de espera. Valor predeterminado 45 minutos.
Servicio de agente: Especifique los puertos TCP del servicio de ID de usuario
(predeterminado 5007)y la API XML del ID de usuario (predeterminado 5006).
Seleccione la casilla de verificacin para activar el uso de la API.
eDirectory: Especifique los siguientes ajustes:
4.
Especifique una lista de control de acceso para redes. Haga clic en Aadir o Editar en las
Incluir/excluir rea de redes configurada , seleccione la opcin incluir o excluir y
especifique el nombre y la direccin de red. Tambin puede duplicar y luego modificar
una entrada existente.
2.
3.
4.
Siga las instrucciones del instalador para especificar una ubicacin de la instalacin y
completar la instalacin.
2.
4.
Configure los ajustes como se indica en la siguiente tabla y haga clic en Guardar.
Nota: Si introduce un parmetro incorrecto e intenta luego guardar la
configuracin, aparece un mensaje indicando que no se guardar la
configuracin hasta que modifique el parmetro correctamente.
Descripcin
Intervalo de asignacin
del puerto de origen del
sistema
Descripcin
Puertos de origen
reservados del sistema
Puerto de escucha
Intervalo de asignacin
del puerto de origen
Puertos de origen
reservados
Tamao de inicio de
asignacin de puertos
por usuario
Tamao mximo de
asignacin de puertos
por usuario
Descripcin
Fallo en el enlace de
puertos cuando se
utilizan los puertos
disponibles
6.
Haga clic en Supervisar para mostrar la informacin de asignacin de puertos a todos los
usuarios del servidor de terminal.
Vea la informacin mostrada. Para obtener una descripcin del tipo de informacin
mostrado, consulte la siguiente tabla.
Descripcin
Nombre de usuario
Intervalo de puerto
Recuento de puertos
8.
Haga clic en el botn Actualizar recuento de puertos para actualizar el campo Recuento
de puertos de forma manual, o seleccione la casilla de verificacin Actualizar intervalo y
configure un intervalo de actualizacin para actualizar ese campo de forma automtica.
La siguiente tabla enumera las opciones de men disponibles en la ventana de aplicacin del
agente de TS.
Descripcin
Configurar
Supervisar
Reiniciar servicio
Mostrar logs
Depurar
Salir
Ayuda
Captulo 8
Cortafuegos
Conmutador
Enrutador
Internet
Conmutador
Enrutador
Cortafuegos
Tnel de IPSec
Red
local
Red
local
IPSec e IKE
Puede configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en
ubicaciones centrales y remotas, o bien conectar cortafuegos de Palo Alto Networks a
dispositivos de seguridad de terceros en otras ubicaciones. Con VPN basadas en rutas, el
cortafuegos toma una decisin de enrutamiento basada en la direccin IP de destino. Si el
trfico se enruta a un destino especfico a travs de un tnel de VPN, se cifrar como trfico de
VPN. No es necesario definir reglas especiales o hacer referencia de manera explcita a un
tnel de VPN; las decisiones de enrutamiento y cifrado nicamente dependen de la direccin
IP de destino.
El cortafuegos tambin puede interoperar con dispositivos de VPN basados en polticas de
terceros. Para conectar con una VPN basada en polticas, configure el ID de proxy del tnel. Si
se requieren varios tneles de fase 2, configure diferentes ID de proxy en cada uno de ellos.
Consulte Configuracin de tneles de IPSec en la pgina 344.
Para la conexin de IPSec entre los cortafuegos, el paquete de IP completo (encabezado y
carga) se incrusta en otra carga de IP y se aplica un nuevo encabezado. El nuevo encabezado
utiliza la direccin IP de la interfaz del cortafuegos saliente como la direccin IP de origen y la
interfaz del cortafuegos entrante del extremo ms alejado del tnel como la direccin IP de
destino. Cuando el paquete alcanza el cortafuegos del extremo ms alejado del tnel, el
paquete original se descifra y se enva al host de destino real.
Se definen asociaciones de seguridad (SA) de IPSec en cada extremo del tnel de IPSec para
aplicar todos los parmetros necesarios para una transmisin segura, incluido el ndice de
parmetros de seguridad (SPI), el protocolo de seguridad, las claves criptogrficas y la
direccin IP de destino. Las asociaciones de seguridad de IPSec proporcionan el cifrado, la
autenticacin de datos, la integridad de datos y la autenticacin de extremo.
Tneles de VPN
Para configurar VPN, es importante comprender la topologa de su red y ser capaz de
determinar el nmero necesario de tneles. Por ejemplo:
Un nico tnel de VPN puede ser suficiente para la conexin entre una nica ubicacin
central y una ubicacin remota.
Las conexiones entre una ubicacin central y varias ubicaciones remotas requieren tneles
de VPN para cada par de ubicaciones central/remota.
Cada tnel est vinculado a una interfaz de tnel. Es necesario asignar la interfaz de tnel al
mismo enrutador virtual que el del trfico (en claro) entrante. De este modo, cuando un
paquete llega al cortafuegos, la funcin de bsqueda de ruta puede determinar el tnel ms
adecuado que debe utilizarse. La interfaz de tnel aparece en el sistema como una interfaz
normal, por lo que puede aplicarse la infraestructura de enrutamiento existente.
Cada interfaz de tnel puede tener un mximo de 10 tneles de IPSec. Esto le permite
configurar tneles de IPSec para redes individuales que estn asociadas a la misma interfaz de
tnel del cortafuegos.
IPSec e IKE
Hay dos formas de proteger los tneles de VPN de IPSec:
IPSec e IKE
Debe aplicarse el mismo mtodo a ambos extremos del tnel de IPSec. En el caso de las claves
manuales, la misma clave se introduce en ambos extremos; en el caso de IKE, los mismos
mtodos y atributos se aplican en ambos extremos.
El IKE proporciona un mecanismo estndar para generar y mantener claves de seguridad:
El IKE de fase 1 autentica los cortafuegos entre s y establece un canal de control seguro.
Utiliza el perfil criptogrfico de IKE para la negociacin de SA de IKE.
Puede definir perfiles criptogrficos de IPSec e IKE que determinen los protocolos y
algoritmos utilizados para negociar las SA de IPSec e IKE.
Opciones para las SA de IKE:
Grupo Diffie-Hellman (DH) de secreto perfecto hacia adelante (PFS): Seleccione los
grupos DH que se utilizarn al generar claves independientes para IPSec.
Para obtener informacin detallada sobre los protocolos y algoritmos especficos admitidos
para los perfiles criptogrficos de IPSec e IKE, consulte Definicin de perfiles criptogrficos
de IKE en la pgina 348 y Definicin de perfiles criptogrficos de IPSec en la pgina 349.
2.
3.
4.
Configure los parmetros que sean necesarios para establecer tneles de VPN de IPSec.
Consulte Configuracin de tneles de IPSec en la pgina 344.
5.
6.
7.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a las
direcciones definidas para los tneles se enruta automticamente de la manera adecuada y se
cifra como trfico de VPN basndose en la ruta de destino especfica aadida a la tabla de
enrutamiento.
Nota: Sin reglas de seguridad coincidentes, el cortafuegos cancelar el trfico de
VPN cuando se necesite una regla de seguridad.
El protocolo IKE se activar cuando sea necesario (por ejemplo, cuando se enrute el
trfico a un tnel de IPSec sin claves o con claves vencidas).
Si hay una regla de denegacin en el extremo de la base de reglas de seguridad, el
trfico intrazona se bloquea a menos que se permita de otro modo. Las reglas para
permitir aplicaciones de IKE e IPSec deben incluirse de manera explcita por encima
de la regla de denegacin.
Descripcin
Nombre
Interfaz
Direccin IP local
Descripcin
Tipo de peer
Clave precompartida
Confirmar clave
precompartida
Nota: Los siguientes campos avanzados estn visibles si selecciona la casilla de verificacin del enlace Mostrar
opciones de fase 1 avanzadas.
Identificacin local
Modo de intercambio
Perfil criptogrfico de
IKE
Habilitar NAT
transversal
Descripcin
Pestaa General
Nombre
Interfaz de tnel
Tipo
Descripcin
Si selecciona Clave automtica, especifique lo siguiente:
Puerta de enlace de IKE: Consulte Definicin de puertas de enlace de
IKE en la pgina 342 para obtener descripciones de los ajustes de
puertas de enlace de IKE.
Perfil criptogrfico de IPSec: Seleccione un perfil existente o mantenga
el perfil predeterminado. Para definir un nuevo perfil, haga clic en
Nuevo y siga las instrucciones de Definicin de perfiles criptogrficos
de IPSec en la pgina 349.
Avanzado
Habilitar proteccin de reproduccin: Seleccione esta opcin para
proteger la reproduccin ante ataques.
Copiar encabezado de TOS: Copie el encabezado de TOS (Tipo de
servicio) desde el encabezado IP interno en el encabezado IP externo de
los paquetes encapsulados con el fin de conservar la informacin
original de TOS.
Monitor de tnel: Seleccione esta opcin para alertar al administrador
de dispositivo de los fallos del tnel y proporcionar una conmutacin
por error automtica a otra interfaz. Tenga en cuenta que deber
asignar una direccin IP a la interfaz de tnel para su supervisin.
IP de destino: Especifique una direccin IP en el otro lado del tnel
que el supervisor de tnel utilizar para determinar si el tnel
funciona correctamente.
Perfil: Seleccione un perfil existente que determine las acciones que
se realizarn si falla el tnel. Si la accin especificada en el perfil del
supervisor es Esperar recuperacin, el cortafuegos seguir utilizando
la interfaz de tnel en decisiones de enrutamiento como si el tnel
siguiera activo. Si se utiliza la accin de conmutacin por error, el
cortafuegos deshabilitar la interfaz de tnel, deshabilitando de este
modo todas las rutas de la tabla de enrutamiento que utilicen la
interfaz. Para obtener ms informacin, consulte Definicin de
perfiles de supervisin en la pgina 192.
Descripcin
Si selecciona Clave manual, especifique lo siguiente:
SPI local: Especifique el ndice de parmetros de seguridad (SPI) local
para los paquetes transversales desde el cortafuegos local hasta el peer.
SPI es un ndice hexadecimal que se aade al encabezado para ayudar a
los tneles de IPSec a diferenciar entre flujos de trfico de IPSec.
Interfaz: Seleccione la interfaz que es el extremo del tnel.
Direccin local: Seleccione la direccin IP de la interfaz local que es el
extremo del tnel.
SPI remoto: Especifique el ndice de parmetros de seguridad (SPI)
remoto para los paquetes transversales desde el cortafuegos remoto
hasta el peer.
Protocolo: Seleccione el protocolo para el trfico a travs del tnel
(ESP o AH).
Autenticacin: Seleccione el tipo de autenticacin para el acceso al tnel
(SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna).
Clave/Confirmar clave: Introduzca y confirme una clave de
autenticacin.
Cifrado: Seleccione una opcin de cifrado para el trfico de tnel (3des,
aes128, aes192, aes256, aes128ccm16 o Null [sin cifrado]).
Clave/Confirmar clave: Introduzca y confirme una clave de cifrado.
Descripcin
Si selecciona Satlite de GlobalProtect, especifique lo siguiente:
Para obtener una descripcin general del concepto de satlites de
GlobalProtect, consulte Implementacin de VPN a gran escala de
GlobalProtect en la pgina 354.
Nombre: Introduzca un nombre para identificar el tnel (de hasta
31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.
Interfaz de tnel: Seleccione una interfaz de tnel existente o haga clic
en Nueva interfaz de tnel. Para obtener informacin acerca de la
creacin de una interfaz de tnel, consulte Configuracin de interfaces
de tnel en la pgina 158.
Direccin IP del portal: Introduzca la direccin IP del portal de
GlobalProtect.
Interfaz: Seleccione la interfaz en la lista desplegable que sea la interfaz
de salida para llegar al portal de GlobalProtect.
Direccin IP local: Introduzca la direccin IP de la interfaz de salida
que se conecta con el portal de GlobalProtect.
Opciones avanzadas
Publicar todas las rutas estticas y conectadas hacia la puerta de
enlace: Seleccione esta opcin para publicar todas las rutas desde el
dispositivo satlite hacia la puerta de enlace de GlobalProtect en la que
este satlite est conectado.
Subred: Haga clic en Aadir para aadir subredes locales manualmente
para la ubicacin del satlite. Si otros satlites estn utilizando la misma
informacin de subred, debe aplicar la NAT a todo el trfico hacia la IP
de interfaz de tnel. Asimismo, el satlite no debe compartir rutas en
este caso, as que todo el enrutamiento se realizar a travs de la IP de
tnel.
Entidad de certificacin externa: Seleccione esta opcin si va a utilizar
una CA externa para gestionar certificados. Una vez haya generado sus
certificados, deber importarlos al dispositivo y seleccionar el
Certificado local y el Perfil del certificado que se utilizarn.
Pestaa Identificador
proxy
Identificador proxy
Local
Descripcin
Protocolo
Aspectos importantes que hay que tener en cuenta al configurar VPN de IPSec
Tenga en cuenta lo siguiente cuando configure VPN de IPSec:
Tiene que existir una ruta hacia la red remota que se est tunelando.
Descripcin
Grupo DH
Autenticacin
Cifrado
Duracin
Descripcin
Nombre
Protocolo de IPSec
Descripcin
Grupo DH
Duracin
Duracin
Estado del tnel (primera columna de estado): El color verde indica un tnel de SA de
IPSec. El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE
vlidas. El color rojo indica que las SA de fase 1 de IKE no estn disponibles o han
vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO). El color rojo indica que la interfaz de tnel est desactivada porque
el supervisor de tnel est habilitado y el estado es DESACTIVADO.
Topologa existente
Sede:
La IP pblica del cortafuegos es 61.1.1.1, en una interfaz Ethernet1/1, que est en la zona
ISP, enrutador virtual sede.
Sucursal:
Hay una poltica de seguridad que permite el trfico de la zona sucursal a la zona
sucursal de ISP para el acceso a Internet desde la red del PC.
Cortafuegos de
la sucursal
Internet
eth1/1
61.1.1.1
Zona: ISP
Enrutador virtual: sede
eth1/5
10.100.0.1/16
Zona: servidor
Enrutador virtual: sede
eth1/2
202.101.1.1
Zona: sucursal de ISP
Enrutador virtual: sucursal
192.168.20.0/24
Red del PC
eth1/10
192.168.20.1/24
Zona: sucursal
Enrutador virtual: sucursal
10.100.0.0/16
Granja de
servidores
Nueva topologa
Sede:
Aada una interfaz de tnel (tnel.1) a la zona vpn de sucursal y asigne una
direccin IP de un rango privado (por ejemplo, 172.254.254.1/24).
Aada una ruta esttica para dirigir el trfico a 192.168.20.0/24 (la red de la sucursal) a la
interfaz de tnel tnel.1.
Aada una poltica de seguridad para permitir el trfico de la zona vpn de sucursal a la
zona servidor.
Sucursal:
Cree una nueva zona de seguridad: vpn central.
Aada una interfaz de tnel (tnel.2) a la zona vpn central y asigne una direccin
IP de un rango privado (por ejemplo, 172.254.254.20/24).
Aada una ruta esttica para dirigir el trfico a 10.100.0.0/16 (la red de la granja de
servidores) a la interfaz de tnel tnel.2.
Aada una poltica de seguridad para permitir el trfico de la zona sucursal a la
zona vpn central.
La siguiente ilustracin muestra la informacin de tnel de la nueva topologa.
Cortafuegos de
la sucursal
192.168.20.0/24
Red del PC
Internet
eth1/1
61.1.1.1
Zona: ISP
Enrutador virtual: sede
eth1/5
10.100.0.1/16
Zona: servidor
Enrutador virtual: sede
_________________
Interfaz de tnel: tnel.1
10.100.0.0/16
Zona: vpn de sucursal
Granja de
Enrutador virtual: sede
servidores
eth1/2
202.101.1.1
Zona: sucursal de ISP
Enrutador virtual: sucursal
______________
Interfaz de tnel: tnel.2
172.254.254.20/24
Zona: vpn central
Enrutador virtual: sucursal
eth1/10
192.168.20.1/24
Zona: sucursal
Enrutador virtual: sucursal
Cree una puerta de enlace de IKE puerta de enlace de sucursal 1 con estos parmetros:
Direccin del peer: Dinmico (o 202.101.1.1)
Direccin local: Ethernet1/1
ID del peer: El tipo es FQDN: sucursal1.mi.dominio
Autenticacin: nueva vpn con clave precompartida
Protocolo: Mantenga los valores predeterminados
Sucursal:
Cree una puerta de enlace de IKE puerta de enlace central con estos parmetros:
Direccin del peer: 61.1.1.1
Direccin local: Ethernet1/2
ID local: El tipo es FQDN: sucursal1.mi.dominio
Autenticacin: nueva vpn con clave precompartida
Protocolo: Mantenga los valores predeterminados
Notas de configuracin:
El ID de proxy se deja vaco para las VPN basadas en rutas como esta.
2.
3.
4.
5.
En la ubicacin de la sucursal, utilice los comandos de la CLI test vpn ike-sa gateway
central-gw y show vpn ike-sa gateway central-gw para verificar que se pueden crear SA
de fase 1 de IKE desde la sucursal.
6.
7.
En la ubicacin de la sucursal, utilice los comandos de la CLI test vpn ipsec-sa tunnel
central-vpn y show vpn ipsec-sa tunnel central-vpn para verificar que se pueden crear
SA de fase 2 de IKE desde la sucursal.
8.
9.
10. Para comprobar el ajuste de enrutamiento, ejecute el comando traceroute desde cualquier
PC de la red de la sucursal, donde el destino es uno de los servidores de la granja de
servidores.
11. Ejecute la utilidad ping desde cualquier PC de la red de la sucursal, donde el destino es
uno de los servidores de la granja de servidores. Compruebe los contadores de cifrado y
descifrado que se muestran en la salida del comando de la CLI show vpn flow. Verifique
que estos contadores van aumentando y que no aumenta ninguno de los contadores de
errores.
12. Examine los mensajes de error detallados para la negociacin IKE en Syslog o utilice el
comando debug ike pcap para capturar paquetes de IKE con el formato PCAP.
Descripcin general
La implementacin de redes de VPN a gran escala puede ser un proceso muy complicado que
requiera mucho tiempo. Algunos retos son la planificacin, los requisitos de autenticacin, la
configuracin de tnel, la planificacin de enrutamiento y el suministro y la retirada de
componentes y servicios. Con los cortafuegos de Palo Alto Networks, este proceso se ha
simplificado ampliamente aprovechando los mtodos de implementacin y gestin utilizados
en la funcin de VPN de GlobalProtect, que antes nicamente se ha utilizado para el acceso
remoto de PC clientes.
La imagen de la Ilustracin 43 muestra que cada satlite se conecta al portal para obtener un
certificado para la autenticacin y, a continuacin, descarga una configuracin de VPN inicial.
Una vez se ha completado la configuracin inicial, el dispositivo satlite establece una VPN
para todas las puertas de enlace configuradas definidas en el portal utilizando el mismo
certificado fiable, creando as una VPN de concentrador y radio. A continuacin se comparte
la informacin de red y enrutamiento entre la puerta de enlace y los dispositivos satlite para
crear varias rutas y as garantizar que siempre se mantendr la conectividad entre la sede y las
sucursales.
Red corporativa 2
Red corporativa 1
Portal de GlobalProtect
y puertas de enlace
portal.paloaltonetworks.com
Puerta de enlace
de GlobalProtect
Puerta de enlace
de GlobalProtect
Cortafuegos satlite
Ubicacin
de sucursal 1
Ubicacin
de sucursal 3
Ubicacin
de sucursal 2
Ubicacin
de sucursal...
La siguiente seccin describe los componentes y los pasos bsicos necesarios para
implementar una VPN a gran escala mediante GlobalProtect.
Certificados y el respondedor OCSP en la pgina 356
2.
3.
2.
3.
Seleccione la casilla de verificacin OCSP de HTTP. Puede que tambin desee habilitar
ping con fines de prueba.
4.
5.
Asigne el nuevo perfil de gestin a la interfaz de entrada del portal desplazndose hasta
Red > Interfaces.
6.
Seleccione la interfaz que se utilizar como interfaz de entrada para los dispositivos de
VPN y haga clic en la pestaa Avanzado.
7.
8.
2.
3.
4.
5.
En el campo OCSP responder, introduzca el nombre del respondedor OCSP que cre
anteriormente.
2.
3.
2.
3.
4.
5.
6.
7.
8.
Haga clic en Importar, introduzca un Nombre del certificado y, a continuacin, haga clic
en Examinar y seleccione el certificado de servidor de puerta de enlace que export
anteriormente.
9.
Desplcese hasta Dispositivo > Gestin de certificados > Perfil del certificado.
2.
Haga clic en Aadir e indique un nombre para el perfil. Campo de nombre de usuario y
Dominio son opcionales cuando nicamente dispositivos de Palo Alto Networks se
conecten a la puerta de enlace. Deber configurar estas opciones si tiene clientes de VPN
externos que se conecten a la puerta de enlace, como por ejemplo con dispositivos iOS y
Android.
3.
4.
5.
6.
En la ventana Perfil del certificado, haga clic en la casilla de verificacin Utilizar OCSP.
7.
8.
portal Una vez realizada la configuracin y cuando se haya establecido la VPN, la informacin
de enrutamiento tambin se comparte dinmicamente entre los dispositivos satlite y de
puerta de enlace.
Configuracin del dispositivo de puerta de enlace de GlobalProtect:
1.
2.
Cree una interfaz de tnel que sea una interfaz lgica utilizada para finalizar tneles de
VPN. Puede utilizar la interfaz de tnel predefinida o crear una nueva. La interfaz
tambin debe estar vinculada al enrutador virtual y ubicada en una zona de seguridad.
Se recomienda que cree una nueva zona, de modo que pueda controlar las polticas entre
la sucursal y la zona que contiene sus recursos protegidos. Puede ubicar la interfaz de
tnel en la misma zona que los recursos protegidos, lo que permitir que los dispositivos
satlite accedan a los recursos. Sin embargo, esta accin no le dar un control detallado de
las polticas para las redes de satlites.
Consulte Configuracin de interfaces de tnel en la pgina 158.
3.
4.
5.
6.
7.
8.
9.
Tambin puede aadir el nmero de serie del dispositivo satlite segn se describe en
Configuracin del portal de GlobalProtect en la pgina 362. No obstante, en ambos casos
deber definir un perfil de autenticacin para poder compilar su configuracin. Si aade un
nmero de serie de dispositivo manualmente a la configuracin del portal, el perfil de
autenticacin no se utilizar, pero seguir siendo obligatorio.
Configure el perfil de autenticacin:
1.
Para utilizar una cuenta local para la autenticacin, en el portal desplcese hasta
Dispositivo > Base de datos de usuario local > Usuarios y haga clic en Aadir.
2.
3.
4.
5.
6.
2.
3.
Seleccione la interfaz que actuar como interfaz de entrada para los dispositivos satlite y,
a continuacin, seleccione la direccin IP accesible a travs de Internet en la lista
desplegable.
4.
5.
6.
7.
8.
9.
Haga clic en la pestaa Configuracin Satlite que definir opciones para los
dispositivos satlite que se conecten al portal.
10. Haga clic en Aadir e indique un nombre para Satlite de GlobalProtect. Este perfil
definir los dispositivos satlite, el mtodo de inscripcin y la lista de puertas de enlace
que utilizarn los satlites en el entorno de VPN.
11. Establezca Intervalo de actualizacin de configuracin. Este es el ajuste que utilizar
cada satlite para determinar la frecuencia con la que el dispositivo satlite debera
comprobar si el portal tiene actualizaciones de configuracin, como la adicin de nuevas
puertas de enlace.
12. En la pestaa Dispositivos, puede aadir manualmente nmeros de serie de dispositivos
satlite, o bien la lista se actualizar cuando un dispositivo satlite se conecte al portal por
primera vez mediante una autenticacin con nombre de inicio de sesin y contrasea.
El siguiente paso proporciona informacin sobre los mtodos de inscripcin.
13. El portal se puede configurar para permitir dos tipos de mtodos de autenticacin para la
inscripcin inicial (puede configurar las dos opciones siguientes):
Aada manualmente el nmero de serie del dispositivo satlite al portal en la pgina
Red > GlobalProtect > Portales > Configuracin Satlite. Haga clic en Aadir >
Dispositivos y, a continuacin, vuelva a hacer clic en Aadir e introduzca el nmero
de serie del dispositivo satlite. Cuando el dispositivo satlite se haya configurado en
la sucursal y establezca la conexin inicial con el portal, no se necesitar ninguna
autenticacin. Una vez se conecte el dispositivo satlite, el nombre de host se aadir a
la configuracin del portal automticamente.
Utilice un mensaje de nombre de inicio de sesin y contrasea del dispositivo satlite
aadiendo un usuario o grupo de inscripcin al portal en la pgina Red >
GlobalProtect > Portales > Configuracin Satlite. Haga clic en Aadir > Usuario/
grupo de usuarios de inscripcin y, a continuacin, vuelva a hacer clic en Aadir y
seleccione un usuario o grupo en la lista desplegable o seleccione Cualquiera.
Al utilizar este mtodo, no necesita introducir la informacin del dispositivo satlite en
el portal. Cuando el dispositivo se conecte, se enviar un mensaje al administrador que
configure el dispositivo satlite para que inicie sesin. Una vez realizada la
autenticacin, el nmero de serie y el nombre de host de los satlites se aadirn
automticamente a la lista de satlites del portal.
14. En la pestaa Puertas de enlace, introduzca la direccin IP o nombre de host de las
puertas de enlace que utilizar la lista definida de dispositivos satlite para la
conectividad de VPN.
En los dispositivos del portal ya debera haber introducido el nmero de serie del
dispositivo satlite que est configurando o haber creado un nombre de usuario y nombre
de inicio de sesin que puedan utilizarse para la configuracin inicial. Consulte
Configuracin del portal de GlobalProtect en la pgina 362.
2.
3.
4.
5.
6.
7.
8.
Ahora podr comprobar la conectividad entre los dispositivos satlite y las puertas de enlace.
Para ver el estado de la VPN en el dispositivo satlite, desplcese hasta Red > Tneles de
IPSec. Debera ver un indicador de estado de color verde en la columna Estado.
Captulo 9
Configuracin de GlobalProtect
Este captulo describe GlobalProtect, que permite que sistemas cliente de cualquier parte del
mundo inicien sesin de manera segura:
Descripcin general
GlobalProtect protege los sistemas cliente, como ordenadores porttiles, que se utilizan a nivel
de campo permitiendo iniciar sesin de manera fcil y segura desde cualquier parte del
mundo. Con GlobalProtect, los usuarios estn protegidos de cualquier amenaza, incluso
cuando no estn en la red de la empresa, enviando su trfico a travs de un cortafuegos de
Palo Alto Networks en un rea geogrfica cerrada. El nivel de acceso del usuario est
determinado con un perfil de informacin de host (HIP) que notifica la configuracin local del
usuario al cortafuegos. La informacin HIP se puede utilizar para un control de acceso
granular basado en los programas de seguridad en ejecucin en el host, los valores de registro
y muchas mas comprobaciones si el host tiene el cifrado de disco activado.
El agente de GlobalProtect tambin puede ser un dispositivo satlite de Palo Alto Networks
(cortafuegos), pero en lugar de descargar el software de agente, solo se requiere el certificado
necesario para la autenticacin y configuracin de VPN. Para obtener informacin acerca de
los dispositivos satlite, consulte Implementacin de VPN a gran escala de GlobalProtect en
la pgina 354.
Los elementos a continuacin se utilizan para proporcionar las prestaciones de GlobalProtect:
Puertas de enlace: Cortafuegos de Palo Alto Networks que proporcionan una aplicacin
de seguridad para el trfico de agentes de GlobalProtect.
Descripcin general
2.
El agente realiza una bsqueda inversa del DNS (Domain Name System) para determinar
si el sistema cliente se encuentra en la red interna de la empresa o en una red externa.
3.
Si la conexin se realiza a una red externa, el agente intenta realizar conexiones SSL a
todas las puertas de enlace externas y luego selecciona la mejor puerta de enlace.
4.
5.
Autenticacin de GlobalProtect
La conectividad entre todas las partes de la infraestructura de GlobalProtect se autentica
utilizando certificados de SSL. El portal puede actuar como entidad de certificacin (CA) para
el sistema (utilizando un emisor de certificado secundario importado o autofirmado en el
portal), o los clientes pueden generar certificados utilizando sus propios CA. Es recomendable
(pero no obligatorio) que los agentes de software de GlobalProtect, el portal y las puertas de
Configuracin de GlobalProtect
enlace utilicen certificados firmados por la misma CA. Antes de transferir cualquier
informacin, los agentes comprueban el certificado del servidor del portal. Si el certificado
presentado por el portal no est firmado por una CA de confianza, el agente muestra un
cuadro de dilogo de advertencia y espera la respuesta del usuario para continuar o cancelar.
Como parte del lote de configuracin enviado al cliente, el portal incluye el certificado pblico
de la CA as como la clave y el certificado necesarios del cliente. Las puertas de enlace de
GlobalProtect utilizan el certificado de cliente para autenticar e identificar al cliente.
Si se utiliza una CA interna, el certificado se genera de forma automtica y no requiere la
interaccin del usuario. El portal puede exportar la clave y el certificado de servidor
necesarios para las puertas de enlace. Si se utiliza una CA externa, se proporciona asistencia
para importar el certificado de CA junto con una clave y un certificado de servidor para el
portal as como las puertas de enlace, la clave y el certificado de cliente para los clientes.
Para obtener ms informacin acerca de la autenticacin, consulte Perfiles de autenticacin
en la pgina 67 y Secuencia de autenticacin en la pgina 73.
Configuracin de GlobalProtect
La configuracin de GlobalProtect en el cortafuegos incluye las siguientes tareas:
1.
2.
3.
4.
5.
Definir polticas de seguridad que incluyen perfiles de HIP, como se indica en Definicin
de polticas de seguridad en la pgina 203.
6.
7.
Configuracin de GlobalProtect
Descripcin
Pestaa General
Nombre
Compartido
Descripcin
Informacin de host
Dominio
SO
Versiones de cliente
Pestaa
Administracin de
parches
Administracin de
parches
Criterios
Proveedor
Configuracin de GlobalProtect
Descripcin
Pestaa Cortafuegos
Cortafuegos
Pestaa Antivirus
Antivirus
Configuracin de GlobalProtect
Descripcin
Pestaa Antispyware
Antispyware
Pestaa Copia de
seguridad de disco
Copia de seguridad de
disco
Pestaa Cifrado de
disco
Cifrado de disco
Configuracin de GlobalProtect
Descripcin
Especifique los siguientes ajustes en esta pestaa secundaria:
Instalado: Seleccione la casilla de verificacin si el software de cifrado
de disco est instalado.
Ubicaciones cifradas: Haga clic en Aadir para especificar la unidad o
la ruta que hace referencia a un almacenamiento de datos cifrado:
Ubicaciones cifradas: Seleccione la ubicacin de la lista desplegable.
Estado: Especifique el estado de la ubicacin cifrada seleccionando
un operador y un valor de la lista desplegable.
Haga clic en ACEPTAR para guardar los ajustes y vuelva a la pestaa
Cifrado de disco.
Proveedor
Pestaa
Comprobaciones
personalizadas
Lista de procesos
Clave de registro
Plist
Descripcin
Nombre
Descripcin
Configuracin de GlobalProtect
Descripcin
Compartido
Coincidencia
Descripcin
Ubicacin
Configuracin de red
Interfaz
Direccin IP
Certificado de servidor
Autenticacin
Perfil de autenticacin
Certificado de cliente
Apariencia
Pgina de inicio de sesin
personalizada
Pgina de ayuda
personalizada
Configuracin de GlobalProtect
Descripcin
Pestaa Configuracin
de cliente
Configuracin general de
pestaas secundarias
Configuracin de GlobalProtect
Descripcin
Deteccin de host interno: Con esta opcin, GlobalProtect intenta
resolver el nombre de host configurado en la direccin IP configurada. Si
eso falla, GlobalProtect supone que el equipo se encuentra fuera de la
red de la empresa y establecer un tnel con cualquier puerta de enlace
externa configurada en la pestaa Puertas de enlace. Seleccione la casilla
de verificacin para activar la deteccin de host interno utilizando la
bsqueda de DNS. Especifique lo siguiente:
Direccin IP: Introduzca una direccin IP interna para la deteccin de
host interno.
Nombre de host: Introduzca el nombre de host que lleva a la direccin
IP anterior en la red interna.
Configuracin de pestaa
secundaria Usuario/
Grupo de usuarios
Pestaa secundaria
Puertas de enlace
Configuracin de GlobalProtect
Descripcin
Pestaa secundaria
Agente
Configuracin de GlobalProtect
Descripcin
Pestaa secundaria
Recopilacin de datos
CA raz de confianza
Configuracin Satlite
Pestaa secundaria
General
Cuando crea una cancelacin del agente de GlobalProtect con vale, que se
puede utilizar para permitir a los usuarios desactivar el agente, puede
utilizar esta clave hash para validar el cliente cuando intenta desactivar con el
vale.
Para obtener informacin acerca del uso de GlobalProtect para implementar
VPN a gran escala, consulte Implementacin de VPN a gran escala de
GlobalProtect en la pgina 354.
Haga clic en Aadir para mostrar las pestaas secundarias y especifique la
siguiente configuracin en la pestaa secundaria GlobalProtect Satellite >
General:
Nombre: Introduzca un nombre para identificar el perfil del dispositivo
satlite de GlobalProtect.
Actualizar intervalo de configuracin (horas): Especifique la frecuencia
con la que los dispositivos satlite deben comprobar el portal para
actualizaciones de la configuracin (valor predeterminado 24 horas,
intervalo entre 1 y 48 horas).
Pestaa secundaria
Dispositivos
Configuracin de GlobalProtect
Descripcin
Pestaa secundaria
Inscripcin del usuario/
Grupo de usuario
Pestaa secundaria
Puertas de enlace
Haga clic en Aadir para introducir una direccin IP o nombre de host de las
puertas de enlace que formar parte de la red de VPN. Cada dispositivo
satlite agregado al portal crear un tnel de IPSec en cada puerta de enlace.
La informacin de enrutamiento se comparte entre los satlites y las puertas
de enlace.
Tambin puede definir una prioridad de enrutador para las puertas de
enlace. Cuando un satlite cuenta con tneles VPN en varias puertas de
enlace, pueden existir rutas duplicadas. Estableciendo una prioridad, la
puerta de enlace con la mayor prioridad se utilizar en primer lugar. Si la
puerta de enlace falla, se utilizar la siguiente prioridad ms alta. El intervalo
de prioridad oscila entre 1 y 25, siendo 25 el nmero lmite de puertas de
enlace a las que puede conectarse un satlite.
El satlite tambin comparte su informacin de red y enrutamiento con las
puertas de enlace si la opcin Publicar todas las estticas y conectar los
enrutadores a Puerta de enlace (configurada en la pestaa avanzada >
Satlite >) est seleccionada. Consulte Satlite de GlobalProtect en la
pgina 347.
Cuando agrega una puerta de enlace, en la configuracin de portal, crea un
certificado y una clave nueva utilizando la misma emisin de CA utilizada
para crear certificados de satlite y puerta de enlace. Exporta el certificado
como un archivo PKCS12 y lo importa en la puerta de enlace junto con el
certificado de CA emitido.
CA raz de confianza
OCSP responder
Configuracin de GlobalProtect
Descripcin
Pestaa General
Nombre
Ubicacin
Configuracin de red
Interfaz
Direccin IP
Certificado de servidor
Autenticacin
Perfil de autenticacin
Pestaa Configuracin
de cliente
Pestaa secundaria
Configuracin del tnel
Configuracin de GlobalProtect
Descripcin
Modo de tnel
Configuracin de tiempo
de espera
Pestaa secundaria
Configuracin de red
Origen de herencia
Configuracin de GlobalProtect
Descripcin
DNS principal
DNS secundario
WINS principal
WINS secundario
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar de
forma local cuando se introduce un nombre de host sin restricciones que no
puede resolver.
Los sufijos se utilizan en el orden en el que aparecen. Para cambiar el orden
en el que aparecen los sufijos, seleccione una entrada y haga clic en los
botones Mover hacia arriba y Mover hacia abajo. Para eliminar una entrada,
seleccinela y haga clic en Eliminar.
Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Haga clic en Aadir para especificar la configuracin del grupo de IP.
Utilice esta seccin para crear una gama de direcciones IP para asignar a los
usuarios remotos. Cuando se establece el tnel, se crea una interfaz en el
equipo del usuario remoto con una direccin de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el usuario. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los clientes una direccin IP que no entra en
conflicto con otras interfaces en el cliente.
Los servidores/enrutadores en las redes debe dirigir el trfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un usuario remoto.
Acceder a ruta
Configuracin de GlobalProtect
Descripcin
Pestaa secundaria
Notificacin HIP
Notificacin HIP
Pestaa Configuracin
Satlite
Pestaa secundaria
Configuracin del tnel
Configuracin de tnel
Supervisin de tnel
Perfiles criptogrficos
Configuracin de GlobalProtect
Descripcin
Pestaa secundaria
Configuracin de red
Origen de herencia
DNS principal
DNS secundario
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el satlite puede utilizar de
forma local cuando se introduce un nombre de host sin restricciones que no
puede resolver.
Los sufijos se utilizan en el orden en el que aparecen. Para cambiar el orden
en el que aparecen los sufijos, seleccione una entrada y haga clic en los
botones Mover hacia arriba y Mover hacia abajo. Para eliminar una entrada,
seleccinela y haga clic en Eliminar.
Grupo de IP
Acceder a ruta
Haga clic en el enlace Descargar de la versin que desee. La descarga comienza y se abre
una ventana emergente para mostrar el progreso de la descarga. Cuando finalice la
descarga, haga clic en Cerrar.
2.
Para activar una versin descargada, haga clic en el enlace Activar de la versin. Si ya se
ha descargado y activado una versin existente del software cliente, aparece un mensaje
emergente indicando que se descargar la nueva versin en la siguiente conexin del
cliente.
3.
Para activar el cliente instalado anteriormente a travs del botn Cargar, haga clic en el
botn Activar desde archivo. Se abre una ventana emergente. Seleccione el archivo de la
lista desplegable y haga clic en ACEPTAR.
4.
Para eliminar una versin descargada del software cliente del cortafuegos, haga clic en el
icono Eliminar en la columna ms a la derecha.
Seleccione Iniciar > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
La interfaz de cliente se abre para mostrar la pestaa Configuracin.
3.
4.
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Captulo 10
Utilice la pgina > QoS de red para configurar ajustes de QoS para las interfaces del
cortafuegos y especificar criterios para el trfico de texto claro y de tneles que el
cortafuegos deja a travs de esas interfaces. Consulte Configuracin de QoS para
interfaces de cortafuegos en la pgina 390.
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases
de trfico de QoS. Puede establecer lmites generales en el ancho de banda
independientemente de la clase y tambin establecer lmites para clases individuales.
Tambin puede asignar prioridades a diferentes clases. Las prioridades determinan cmo
se trata el trfico cuando se produce un conflicto. Consulte Definicin de perfiles de
QoS en la pgina 392.
Utilice la pgina > QoS de polticas para configurar polticas con el fin de configurar
restricciones de QoS. Consulte Definicin de polticas de QoS en la pgina 393.
Descripcin
Interfaz fsica
Nombre de interfaz
Mximo de salida
(Mbps)
Perfil predeterminado:
Trfico en claro
Interfaz de tnel
Trfico en claro y de
tnel
Salida garantizada
(Mbps)
Mximo de salida
(Mbps)
Descripcin
Aadir
Descripcin
Nombre de perfil
Mximo de salida
Salida garantizada
Clases
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de la
lista desplegable Sistema virtual y haga clic en Ir. Para aplicar un filtro a la lista, seleccinelo
de la lista desplegable Reglas de filtro. Para ver nicamente las reglas para zonas especficas,
seleccione una zona de las listas desplegables Zona de origen y/o Zona de destino y haga clic
en Filtrar por zona.
Nota: Las polticas compartidas introducidas desde Panorama aparecen en verde y
no se pueden modificar a nivel del dispositivo.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina. Se agrega una nueva regla con la
configuracin predeterminada a la parte inferior de la lista y se proporciona al siguiente
nmero de regla ms elevado.
Haga clic con el botn derecho del ratn sobre el nmero de una regla que quiera copiar y
seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco de
la regla y seleccione Duplicar en la parte inferior de la pgina (una regla seleccionada
tiene el fondo de color amarillo). La regla copiada se inserta debajo de la regla
seleccionada y se renumeran las reglas siguientes.
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Descripcin
Pestaa Origen
Zona de origen
Direccin de origen
Usuario de origen
Negar
Pestaa Destino
Zona de destino
Descripcin
Direccin de destino
Negar
Pestaa Aplicacin
Aplicacin
Descripcin
Pestaa Servicio/
URL/servicio
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios en la pgina 258 y Grupos de servicios
en la pgina 259.
Categora de URL
Pestaa Otra
configuracin
Clase
Programacin
El panel izquierdo muestra la tabla de rbol de QoS y el panel derecho muestra datos en las
siguientes pestaas:
Ancho de banda de QoS: Muestra los grficos de ancho de banda en tiempo real para el
nodo y las clases seleccionados. La informacin se actualiza cada dos segundos.
Explorador de sesin: Enumera las sesiones activas del nodo y/o clase seleccionados.
Vista de aplicacin: Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Captulo 11
Configuracin de un Cortafuegos de la
serie VM
Este captulo describe cmo instalar el cortafuegos de la serie VM:
Descripcin general
El cortafuegos de la serie VM de Palo Alto Networks es una instancia virtual de PAN-OS. Est situada
para su uso en un entorno de centro de datos virtual y se adapta especialmente para implementaciones
en nubes privadas y pblicas. Al utilizar la tecnologa de mquina virtual, puede instalar esta solucin
en cualquier dispositivo x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar
hardware de Palo Alto Networks.
El cortafuegos de la serie VM tiene muchas caractersticas en comn con los cortafuegos de hardware
de Palo Alto Networks, incluidas interfaces de gestin y funciones comunes. La principal diferencia se
encuentra en los mtodos de implementacin utilizados en un entorno virtual para ajustarse a sus
necesidades. Una vez instalado el cortafuegos virtual, deber utilizarlo y gestionarlo de una manera muy
parecida a como lo hace con los cortafuegos de hardware.
El cortafuegos de la serie VM se distribuye mediante el formato abierto de virtualizacin (OVF), que es
un mtodo estndar de empaquetar e implementar mquinas virtuales.
Nota: Esta seccin cubre los pasos bsicos de instalacin necesarios para implementar un cortafuegos
de la serie VM. Para obtener informacin ms detallada y conocer casos de uso, consulte la nota tcnica
del cortafuegos de la serie VM en https://live.paloaltonetworks.com/community/documentation.
Requisitos
El cortafuegos de la serie VM tiene los siguientes requisitos:
Un mnimo de dos vCPU por cada cortafuegos de la serie VM. Una se utilizar para el plano
de gestin y la otra para el plano de datos. Puede aadir hasta ocho vCPU adicionales para el
plano de datos aumentando su nmero de la manera siguiente: 2, 4 u 8 vCPU.
Un mnimo de dos interfaces de red (vmNIC). Una ser una vmNIC especfica para la interfaz
de gestin y la otra para el puerto de datos. A continuacin, podr aadir hasta ocho vmNIC
ms para el trfico de datos.
El cortafuegos de la serie VM requiere que el modo promiscuo se establezca como Aceptar
en el grupo de puertos del conmutador virtual utilizado por el cortafuegos o los puertos de
datos del conmutador virtual individuales que se utilizarn.
Limitaciones
Las prestaciones del cortafuegos de la serie VM son muy parecidas a las de los cortafuegos de
hardware de Palo Alto Networks, pero con las siguientes limitaciones:
Se puede configurar un total de 10 puertos. Se utilizar uno para la gestin y hasta 9 para
datos. Esto es una limitacin de VMware.
No se admite vMotion.
Despus de que el cortafuegos de la serie VM est instalado, tambin puede adquirir licencias
adicionales del mismo modo que con cortafuegos de hardware, lo que incluye: Prevencin de
amenazas, Filtrado de URL, GlobalProtect y WildFire.
2.
b. Haga clic en la pestaa Configuracin y, bajo Hardware, haga clic en Redes. Para cada
conmutador virtual conectado al cortafuegos de la serie VM, haga clic en Propiedades.
a. Desplcese hasta Inicio > Inventario > Redes. Resalte el Grupo de puertos
distribuidos que desee editar y seleccione la pestaa Resumen.
3.
h. Seleccione las redes que se utilizarn para las dos vmNIC iniciales. La primera vmNIC
se utilizar para la interfaz de gestin y la segunda vmNIC para el primer puerto de
datos. Asegrese de que las Redes de origen se asignan a las Redes de destino
correctas.
Para realizar la configuracin inicial del cortafuegos de la serie VM, realice los siguientes
pasos:
c. Establezca la IP, mscara de red, puerta de enlace e IP de DNS que desee. Ejemplo:
set deviceconfig system ip-address 10.1.1.5 netmask
255.255.255.0 default-gateway 10.1.1.1 dns-setting servers
primary 10.0.0.245
Solucin de problemas
5.
a. Desde la interfaz web, desplcese hasta Dispositivo > Licencias y asegrese de que
tiene la licencia correcta para el cortafuegos de la serie VM y que la licencia est
activada.
Para obtener informacin detallada sobre la solicitud e instalacin de licencias,
consulte Instalacin de una licencia en la pgina 54.
b. Para actualizar el software PAN-OS del cortafuegos de la serie VM, desplcese hasta
Dispositivo > Software.
c. Haga clic en Actualizar para ver la versin de software ms reciente; asimismo, revise
Notas de versin para ver una descripcin de los cambios de una versin y la ruta de
migracin para instalar el software.
Solucin de problemas
Muchos de los pasos de solucin de problemas para el cortafuegos de la serie VM son muy
parecidos a los de las versiones de hardware de PAN-OS. Si se produce algn problema,
debera comprobar los contadores de la interfaz y archivos de log de sistema y, si es necesario,
utilizar la depuracin para crear capturas. Para obtener informacin ms detallada sobre la
solucin de problemas de PAN-OS, consulte la nota tcnica de solucin de problemas basada
en paquetes en https://live.paloaltonetworks.com/community/documentation.
Parecido a un entorno fsico, a veces resulta de utilidad tener un cliente de solucin de
problemas independiente para capturar el trfico del entorno virtual. Puede que sea til crear
un sistema operativo nuevo desde cero con herramientas de solucin de problemas comunes
instaladas, como las siguientes: tcpdump, nmap, hping, traceroute, iperf, tcpedit, netcat, etc.
Hacia adelante, cada vez que sea necesario, el cliente de solucin de problemas puede
implementarse rpidamente en los conmutadores virtuales en cuestin y utilizarse para aislar
problemas de redes.
Para problemas relacionados con el rendimiento en el cortafuegos, primero compruebe el
Panel en la interfaz web del cortafuegos. Para obtener informacin en el servidor VM, en el
cliente vSphere, vaya a Inicio > Inventario > VM y plantillas, seleccione la instancia del
cortafuegos de la serie VM y haga clic en la pestaa Resumen. Bajo Recursos, compruebe las
Solucin de problemas
Captulo 12
Configuracin de Panorama
Este captulo describe cmo configurar el sistema de gestin centralizado de Panorama:
Descripcin general
Panorama es el sistema de gestin centralizado para la familia de cortafuegos de prxima
generacin de Palo Alto Networks, el cual est disponible como plataforma de hardware
especfica y como dispositivo virtual de VMware que cumple con sus necesidades de
consolidacin de servidor.
Panorama proporciona una visibilidad y una gestin centralizadas de todos los dispositivos
de su red. Dado que Panorama comparte el mismo aspecto basado en Internet que la interfaz
de los dispositivos individuales, puede pasar sin problemas a gestionar los dispositivos de
manera centralizada y reducir los esfuerzos administrativos para gestionar varios
dispositivos.
Para obtener informacin sobre cmo instalar Panorama en VMware ESX(i) 3.5 o posterior,
consulte Configuracin de Panorama como dispositivo virtual en la pgina 408
Para obtener informacin sobre cmo configurar el dispositivo de gestin M-100 basado en
hardware, consulte Configuracin de Panorama en un dispositivo de la serie M en la
pgina 412.
Utilice el nmero de serie asignado para registrar Panorama en el sitio web de asistencia
tcnica en
https://support.paloaltonetworks.com y descargue el archivo zip de imagen base de
Panorama ms reciente en el servidor en el que instalar Panorama.
El procedimiento de instalacin del dispositivo virtual requiere un archivo de plantilla de
formato abierto de virtualizacin (OVF), que se incluye en la imagen base. Tras registrar
Panorama en el sitio web de asistencia tcnica, podr acceder a la pgina de descargas de
software de Panorama.
Instalacin de Panorama
Siga estos pasos para instalar Panorama en su servidor ESX(i):
1.
Descomprima el archivo zip de Panorama para localizar el archivo de plantilla panoramaesx.ovf y realizar la instalacin.
2.
3.
4.
5.
6.
7.
Seleccione una ubicacin del almacn de datos para instalar la imagen de Panorama y
haga clic en Siguiente.
8.
9.
Confirme las opciones que ha seleccionado y, ha continuacin, haga clic en Finalizar para
comenzar el proceso de instalacin.
10. Cuando la instalacin finalice, seleccione la imagen de Panorama recin instalada y haga
clic en el botn Activar.
Cuando se reinicie la mquina virtual de Panorama, el proceso de instalacin habr
finalizado. Vaya a la siguiente seccin para utilizar la consola y realizar la configuracin
inicial.
2.
3.
4.
5.
6.
Asegrese de que puede hacer ping de manera correcta en la puerta de enlace e Internet.
Pasos siguientes
Cree un disco virtual personalizado de hasta 2 TB para ESX o ESXi. Para obtener
instrucciones, consulte Adicin de un disco virtual en la pgina 410.
o
2.
3.
4.
5.
6.
7.
8.
9.
Despus de que el sistema se inicie con el nuevo disco, los logs existentes del disco
predeterminado se desplazarn al nuevo disco virtual y todas las entradas de log futuras se
escribirn en el nuevo disco. Si se elimina el disco virtual, Panorama vuelve automticamente
a almacenar los logs en el disco interno predeterminado de 10 GB.
Si ya ha aadido un disco virtual y desea sustituirlo por otro mayor o por un disco virtual
distinto, primero deber eliminar el disco virtual instalado. Sin embargo, si elimina el primer
disco virtual, ya no podr acceder a los logs de dicho disco.
Tabla 144.
Campo
Descripcin
Interno
NFS v3
Configuracin inicial
La configuracin inicial le permite utilizar la direccin IP predeterminada para acceder a la consola
de gestin de Panorama y, a continuacin, asignar una direccin IP en la interfaz de gestin para
que pueda gestionar el dispositivo a travs de su red.
Para realizar la configuracin inicial:
1.
Conecte su equipo al puerto de gestin (MGT) utilizando un cable Ethernet RJ-45 (incluido).
2.
Encienda su equipo.
3.
Haga clic en Panorama > Configuracin. Haga clic en el icono de engranaje pequeo
(Editar...) de la tabla Configuracin de interfaz de gestin.
5.
6.
Compile sus cambios en el dispositivo. Haga clic en Compilar y seleccione Panorama como
Compilar tipo; a continuacin, haga clic en ACEPTAR.
7.
8.
Conecte el puerto MGT del panel frontal del dispositivo M-100 a la red de gestin
empresarial. Su dispositivo ya est configurado para acceder a su red.
Pasos siguientes:
Para iniciar sesin y verificar el acceso a la consola de gestin de Panorama, consulte Inicio
de sesin en Panorama en la pgina 413.
2.
3.
2.
3.
4.
5.
6.
Descripcin
Configuracin
Habilitar HA
Direccin IP de HA
del peer
Habilitar cifrado
Tiempo de espera
para supervisin
(ms)
Descripcin
Configuracin de
eleccin
Prioridad
Preferente
Tiempo de espera
para ser preferente
(min.)
Tiempo de espera de
promocin (ms)
Intervalo de saludo
(ms)
Intervalo de
heartbeat (ms)
Tiempo de espera
ascendente tras fallo
de supervisor (ms)
Tiempo de espera
ascendente principal
adicional (ms)
Descripcin
Supervisin de rutas
Habilitado
Condicin de fallo
Grupos de rutas
Apague S1.
2.
4.
Reinicie S2.
Cuando se active S2, podr escribir en la particin de logs basados en NFS.
Captulo 13
2.
2.
Utilice la interfaz de Panorama para aadir los dispositivos. Consulte Funciones, perfiles
y cuentas de administrador de Panorama en la pgina 426.
Descripcin
Panel
ACC
Supervisar
Polticas
Objetos
Descripcin
Red
Dispositivo
Panorama
Pestaa Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al dispositivo Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Descripcin
Configuracin
Plantillas
Permite crear plantillas que se pueden utilizar para gestionar las opciones de
configuracin en funcin de las pestaas Dispositivo y Red, lo que le permiten
implementar plantillas en mltiples dispositivos con configuraciones
similares. Consulte Plantillas en la pgina 440.
Auditora de
configuraciones
Dispositivos
gestionados
Grupos de
dispositivos
Permite definir grupos de dispositivos que se tratan como una unidad al crear
objetos y aplicar polticas en Panorama. Consulte Definicin de grupos de
dispositivos en la pgina 425.
Descripcin
Recopiladores
gestionados
Grupos de
recopiladores
Perfiles de la
contrasea
Administradores
Permite definir las cuentas de los usuarios que necesitan acceder a Panorama.
Consulte Creacin de cuentas administrativas en la pgina 65.
Nota: En la pgina Administradores para , se muestra un icono de bloqueo en la
columna de la derecha si una cuenta est bloqueada. El administrador puede hacer clic
en el icono para desbloquear la cuenta.
Alta disponibilidad
Gestin de
certificados
Configuracin de
log
Descripcin
Perfiles de servidor
Perfil de
autenticacin
Secuencia de
autenticacin
Dominio de acceso
Exportacin de
configuracin
programada
Software
Actualizaciones
dinmicas
Asistencia tcnica
Implementacin
Clave maestra y
diagnstico
2.
3.
Introduzca el nmero de serie del dispositivo que se va a aadir y haga clic en Aadir.
4.
5.
6.
7.
Seleccione la casilla de verificacin HA del peer de grupo para agrupar los dispositivos
con el modo de alta disponibilidad (HA) juntos.
Esta opcin permite identificar fcilmente dispositivos en modo de HA. Cuando
implementa polticas compartidas, puede implementar el par agrupado, en lugar de cada
dispositivo individualmente. Adems, cuando aade un nuevo dispositivo en
Dispositivos gestionados, si estn en modo de HA, ambos dispositivos se visualizarn
juntos, de forma que pueda aadir ambos dispositivos.
Cuando visualiza una par de HA, si la configuracin no es coincidente, aparecer un
indicador de advertencia. Tambin ver un indicador si los dispositivos de HA estn en
grupos de dispositivos diferentes.
Esta opcin tambin es independiente de cada seccin, por lo que si la activa o la
desactiva en un rea, no la activar/desactivar en todas las reas. La opcin HA del peer
de grupo est presente en las siguientes reas de Panorama:
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
Descripcin
Nombre de grupo de
dispositivos
Descripcin
Dispositivos
Descripcin
Dispositivo principal
Cuando crea una cuenta administrativa, debe especificar el certificado de cliente (sin perfil de
autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP, Kerberos o autenticacin de
base de datos local). Este ajuste determina el modo en que se comprueba la autenticacin de la
contrasea. Si no especifica ningn perfil, la cuenta utilizar autenticacin local.
Nota: Es posible que algunos administradores de Panorama no tengan acceso al men
Panorama > Administradores. Si es el caso, el administrador puede hacer en su nombre
de usuario en la parte izquierda del enlace de cierre de sesin, en la parte inferior de la
interfaz web para cambiar su contrasea.
Descripcin
Nombre
Descripcin
Permiso
Descripcin
API XML
Lnea de comandos
Autenticacin con clave pblica (SSH): El usuario puede generar un par de claves pblica
y privada en la mquina que requiere acceso al cortafuegos y, a continuacin, cargar la
clave pblica en el cortafuegos para permitir un acceso seguro sin exigir que el usuario
introduzca un nombre de usuario y una contrasea.
Nota: Para garantizar la seguridad de la interfaz de gestin del dispositivo, se
recomienda cambiar peridicamente las contraseas administrativas utilizando
una mezcla de minsculas, maysculas y nmeros. Tambin puede aplicar
Complejidad de contrasea mnima desde Configuracin > Gestin.
Descripcin
Nombre
Perfil de autenticacin
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Contrasea/Confirmar
contrasea
Descripcin
Funcin
Tabla 151.
Campo
Descripcin
Nombre
Grupos de dispositivos
Contexto de dispositivo
Plantillas
Grupos de dispositivos
Grupos de dispositivos
Los grupos de dispositivos de Panorama permiten agrupar dispositivos de cortafuegos y
definir polticas y objetos que se pueden compartir en esos grupos de dispositivos.
Las siguientes secciones describen cmo definir polticas y objetos para grupos de
dispositivos:
Reglas previas: Las reglas previas se evalan antes de las reglas especficas de los
dispositivos y por lo general componen la mayora de la base de reglas compartidas de
una implementacin. No aplique reglas previas si necesita excepciones a nivel de
dispositivo.
Si no desea que los administradores puedan permitir aplicaciones en sitios especficos,
puede incluir una regla de denegacin para todas las zonas, usuarios y aplicaciones como
su ltima regla en el conjunto de reglas previas.
Grupos de dispositivos
Reglas especficas del cortafuegos: Defina reglas para un cortafuegos concreto para crear
polticas especficas de sitios.
Reglas previas globales: Las reglas previas globales se evalan antes que las reglas
especficas del cortafuegos o las de grupo de dispositivos y se aplican a todos los
dispositivos en los grupos de dispositivos gestionados.
Reglas previas posteriores: Utilice estas reglas para especificar qu le suceder al trfico
no cubierto por reglas previas de grupo de dispositivos y reglas especficas del
cortafuegos. Estas reglas se evalan en ltimo lugar y solo despus de las reglas previas
de grupo de dispositivos.
Las reglas compartidas globales solo las puede crear y modificar el administrador o
superusuario de Panorama. Estas reglas se pueden utilizar para aplicar polticas antes y
despus de cualquier regla aplicada por los administradores de grupos de dispositivos.
Grupos de dispositivos
los objetos de grupos de dispositivos no pueden cancelar los objetos correspondientes con
el mismo nombre de una ubicacin compartida y cualquier objeto de un grupo de
dispositivos con el mismo nombre que un objeto compartido se cancelar.
Las zonas no se crean en Panorama, pero puede seleccionar zonas en funcin de los
nombres que se recopilan de cualquier plantilla que se asigne a los mismos dispositivos
que los incluidos en un grupo de dispositivos. Si no hay ninguna zona disponible en las
plantillas, introduzca manualmente el nombre de una zona cuando cree una regla por
primera vez. En las reglas subsiguientes puede introducir nuevas zonas o seleccionarlas
de las que ha introducido anteriormente.
Nota: La recopilacin de objetos de plantillas no solo se aplica a las zonas, sino que
tambin se aplica a todos los objetos a los que se puede hacer referencia en la
pestaa Poltica/Objetos, procedente de las pestaas Dispositivos/Red. Se incluyen:
zonas, interfaces, certificados, Perfiles de red > Supervisar, perfiles de servidor
(Syslog, Correo electrnico, traps SNMP), sistemas virtuales en reglas PBF y las
bases de datos de usuario local de usuarios/grupos.
Cada tipo de poltica enumerada en el men lateral incluye pginas para definir reglas
previas y posteriores, as como reglas compartidas globales que se aplican previamente a
las reglas de grupo de dispositivos y a las reglas posteriores. Consulte pgina 432 para
obtener ms informacin acerca de las prcticas recomendadas para el uso de polticas.
Grupos de dispositivos
Descripcin
Panorama
Grupos de dispositivos
Grupos de dispositivos
Descripcin
Compartido
Es importante dejar esta opcin sin seleccionar si tiene administradores locales que
realizan cambios en un dispositivo y no desea incluir estos cambios en la configuracin de
Panorama.
Vista previa de cambios: Haga clic en este botn para devolver una ventana de auditora
de configuraciones que muestra los cambios propuestos en la configuracin del candidato
en comparacin con la configuracin actualmente en ejecucin. Puede elegir el nmero de
lneas de contexto que se mostrarn o mostrar todas las lneas en funcin de los elementos
que se aaden, modifican o eliminan. Esta opcin est disponible si utiliza la compilacin
de grupo de dispositivos, de plantilla o Panorama.
Tambin puede ver el estado de compilacin de los dispositivos en Panorama >
Dispositivos gestionados y visualizando la columna ltimo estado de compilacin.
La funcin Auditora de configuraciones > del dispositivo realiza la misma funcin,
consulte Comparacin de archivos de configuracin en la pgina 53.
Una vez completada la compilacin, ver un mensaje Compilaciones completadas. Si hay
mensajes de advertencia, ver Compilacin completada con advertencias. Para ver las
advertencias, vaya a Panorama > Dispositivos gestionados y haga clic en el texto de la
columna ltimo estado de compilacin para ver los detalles.
Plantillas
Plantillas
Panorama > Plantillas
La pgina Panorama Plantillas permite crear plantillas que se pueden utilizar para gestionar las
opciones de configuracin en funcin de las pestaas Dispositivo y Red, lo que le permiten implementar
plantillas en mltiples dispositivos con configuraciones similares. Tambin puede implementar una
configuracin de base, y, si fuera necesario, cancelar ajustes especficos del dispositivo. Por ejemplo,
puede implementar una configuracin bsica a un grupo de dispositivos global, pero configurar ajustes
especficos de zonas horarias directamente en los dispositivos en funcin de su ubicacin.
Si gestiona configuraciones de dispositivos con Panorama, puede utilizar una combinacin de ajustes de
configuracin de Grupo de dispositivos y Plantillas, pero estas funciones se gestionan de forma
independiente debido a las diferencias de los elementos que se pueden configurar. La funcin de
plantilla permite aplicar ajustes de dispositivo y de red, mientras que los grupos de dispositivos se
utilizan para gestionar polticas y objetos compartidos. Para obtener ms informacin sobre cmo aadir
y configurar plantillas de Panorama, consulte Configuracin de plantillas de Panorama en la
pgina 441.
Nombre
Descripcin
Introduzca un nombre de plantilla (de hasta 31 caracteres). Utilice nicamente
letras, nmeros, espacios, guiones y guiones bajos. El nombre hace distincin
entre maysculas y minsculas y debe ser exclusivo.
Este nombre aparecer en la pestaa Dispositivo y Red en el men
desplegable Plantilla. Si selecciona una plantilla de una de estas pestaas, los
ajustes que modifique solo se aplicarn a la plantilla seleccionada.
Descripcin
Sistemas virtuales
Modo de
operacin
Modo de
deshabilitacin de
VPN
Plantillas
Descripcin
Dispositivos
HA del peer de
grupo
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
2.
Plantillas
3.
En el campo Dispositivos, ver una lista de todos los dispositivos gestionados por
Panorama. Haga clic en la casilla de verificacin junto a cada elemento para aadirlo a la
nueva plantilla. Si selecciona un grupo de dispositivos, se seleccionarn todos los
dispositivos de ese grupo.
4.
Una vez que haya creado la plantilla, haga clic en la pestaa Dispositivo o Red y ver un
men desplegable Plantilla, tal y como se muestra en Ilustracin 51.
2.
Haga clic en el men desplegable Plantilla y seleccione la plantilla que desea configurar.
3.
Haga clic en la pestaa Dispositivo o Red y defina las opciones de configuracin que
desee para la plantilla.
Nota: Si selecciona una plantilla de la pestaa Dispositivo o Red, solo puede
definir las opciones que forman parte de la configuracin. No puede definir
opciones operativas como cambiar el dispositivo a un modo de sistema multivirtual
y configurar una clave maestra.
4.
Una vez haya realizado todos los cambios en la configuracin, haga clic en Compilar y en
el men desplegable Compilar tipo seleccione Plantilla. Tambin puede utilizar la opcin
de compilacin Grupo de dispositivos y seleccionar las casillas de verificacin Incluir
plantillas de dispositivo y Red para incluir las plantillas en un grupo de dispositivos.
5.
Haga clic en la casilla de verificacin junto a cada plantilla que desee compilar y, a
continuacin, haga clic en ACEPTAR. Tambin puede ver una presentacin preliminar de
sus cambios en la ventana Compilar haciendo clic en el botn Vista previa de cambios. Se
abrir una ventana emergente mostrando los estados de compilacin.
Logs
una compilacin desde Panorama a un dispositivo gestionado que contiene cancelaciones,
puede seleccionar la casilla de verificacin Forzar valores de plantilla para que las plantillas
de Panorama sustituyan a los objetos cancelados.
Si cancela los ajustes de Dispositivo > Configuracin y dispositivo > Alta disponibilidad, la
cancelacin se aplica nicamente a los valores individuales y a los parmetros de los rboles
de configuracin y no se aplican a la configuracin completa del rbol. Se incluyen elementos
como servidores DNS, IP de gestin o configuracin de servidor NTP. En el caso de elementos
como interfaces y perfiles de servidor de RADIUS, las cancelaciones se aplican al rbol
completo, no a valores internos.
Para identificar ajustes que tiene plantillas aplicadas, ver los siguientes indicadores, tal y
como se muestra en Ilustracin 52:
El icono verde indica que se ha aplicado una plantilla y que no hay cancelaciones. El icono
verde y naranja indica que se ha aplicado una plantilla y que se han cancelado algunos
ajustes.
Eliminacin de plantillas
Para eliminar una plantilla, debe desactivar la plantilla en el dispositivo local. En el
dispositivo gestionado, desplcese hasta la pestaa Dispositivo > Configuracin > Gestin,
edite la pgina Ajustes de Panorama y haga clic en el botn Deshabilitar plantilla de
dispositivo y red. Si elimina el dispositivo de la configuracin en Panorama > Plantillas no se
eliminarn los valores de la plantilla en el dispositivo local.
Logs
Panorama ejecuta dos funciones: gestin de dispositivos y recopilacin de logs Para facilitar la
adaptacin a implementaciones de mayores dimensiones, puede utilizar el dispositivo M-100
para separar las funciones de gestin y recopilacin de logs de Panorama.
Las siguientes secciones describen las opciones disponibles para la recopilacin de logs:
Logs
Logs e informes
Los logs e informes de Panorama proporcionan informacin sobe la actividad del usuario en
la red gestionada. Las estadsticas de informes se obtienen cada 15 minutos para su uso en
informes predefinidos programadas y personalizadas y en estadsticas que se envan a
Panorama cada hora. Si se activa el reenvo de logs, se envan cuando se generen en el
dispositivo.
La pestaa ACC de Panorama muestra informacin de los cortafuegos conectados; no
requieren un reenvo de logs explcito. El reenvo de logs es necesario para el almacenamiento
de logs a largo plazo y para generar informes de los logs guardados localmente en Panorama.
En la pestaa ACC, todas las tablas obtienen informacin dinmicamente de los cortafuegos.
Si M-100 est en modo de recopilador de logs, la nica CLI disponible es para gestin.
Si desea utilizar diferentes dispositivos para las funciones de gestin y recopilacin de
logs de Panorama, los cortafuegos de su red deben ejecutar PAN-OS 5.0.
Logs
Logs
Recopiladores de logs
Los cortafuegos envan logs
a los recopiladores de logs
Cortafuegos gestionados
Inicie sesin en CLI con el nombre de usuario admin y contrasea admin predefinidas.
Para obtener ms informacin sobre el acceso a CLI, consulte la Gua de referencia de la
interfaz de lnea de comandos. El M-100 tiene un conector serie de 9 clavijas para el puerto de
la consola y un adaptador de 9 clavijas a 9 clavijas que se incluye con el dispositivo.
2.
Compruebe que el dispositivo est en modo logger ejecutando show system info
| match logger_mode. Si el dispositivo est en modo Panorama, ejecute request
system logger-mode logger. Responda S para confirmar el cambio y el dispositivo se
reiniciar.
Nota: Si M-100 est en modo recopilador de logs, la nica CLI disponible ser
para la gestin. La mayora de la configuracin se ejecuta en el administrador de
Panorama.
3.
Logs
Tambin puede definir DNS aadiendo ajustes dns al comando anterior, pero mientras
pueda comunicarse mediante una direccin IP del servidor de Panorama, puede definir
DNS y el resto de opciones del servidor de gestin de Panorama.
El puerto MGT se utilizar para todas las comunicaciones, incluyendo la gestin de
dispositivos, recopilacin de logs y el recopilador de logs al recopilador de logs de
comunicaciones.
5.
6.
Escriba commit para activar el cambio y exit para salir del modo de configuracin. Si
estaba conectado al puerto de gestin, perder la conectividad ya que la direccin IP se ha
modificado.
7.
Una vez que el recopilador de logs tiene las configuraciones bsicas necesarias, complete la
configuracin del servidor de gestin de Panorama. Consulte Configuracin del servidor de
Panorama para la gestin del recopilador de logs en la seccin siguiente.
Asegrese de que el recopilador de logs que desea gestionar tiene una conectividad de
red bsica para que el servidor de gestin de Panorama se pueda comunicar con l.
Consulte Configuracin de M-100 como recopilador de logs en la pgina 446.
Logs
2.
3.
4.
5.
La pestaa Gestin se utiliza para configurar el puerto de gestin del recopilador de logs
y tiene la etiqueta MGT delante de M-100. Puede definir la MTU y otros ajustes de
interfaz, los servicios permitidos, y definir una lista de direcciones IP con permiso para
gestionar el recopilador de logs. La mayora de estos ajustes se deben haber configurado
al realizar la configuracin inicial del recopilador de logs para aadir el dispositivo a la
red.
El puerto MGT se utilizar para todas las comunicaciones entre el recopilador de logs y
los dispositivos gestionados.
Consulte Definicin de grupos de recopiladores de logs en la pgina 452.
6.
7.
8.
Descripcin
Pestaa General
N serie recopilador
Logs
Descripcin
IP del servidor 2 de
Panorama
Zona horaria
Latitud
Longitud
Pestaa Autenticacin
Nombre de usuario
Modo
Logs
Descripcin
Intentos fallidos
Pestaa Gestin
Interfaz
Velocidad y dplex
Direccin IP
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6
MTU
Servicios de interfaz de
gestin
shell.
Ping: Active la casilla de verificacin para activar ping.
SNMP: Active la casilla de verificacin para activar
Logs
Descripcin
Direcciones IP permitidas
Pestaa Discos
Logs
2.
3.
4.
Haga clic en la pestaa Supervisin e introduzca los ajustes de SNMP de su entorno para
gestionar sus dispositivos mediante una solucin de gestin del sistema.
5.
6.
Configure la asignacin que define los dispositivos que se reenviarn a una lista de
recopiladores preferidos en orden de preferencia. En la pestaa Reenvo de logs, haga clic
en Aadir en las ventanas de lista Dispositivos y Recolectores y aparecer la ventana
Dispositivos.
7.
8.
Logs
9.
Descripcin
Pestaa General
Nombre
Almacenamiento de log
Logs
Descripcin
Pestaa Supervisin
SNMP
Logs
Descripcin
Dispositivos
Logs
Nota: La matriz de discos RAID 1 de M-100 requiere que cada par de discos reflejado se
instale en las bahas correctas. El dispositivo se entrega con las unidades A1/A2 instaladas y
reflejadas. Para aadir ms discos, instale el siguiente par de discos en las bahas correctas, es
decir, B1/B2, C1/C2 y D1/D2. No puede instalar los nuevos discos en las bahas B1 y C1 por
ejemplo, y tratar de reflejarlas.
Para ampliar el almacenamiento en disco de M-100 utilizando la baha de unidades B1/B2:
1.
2.
No es necesario que apague el recopilador de logs para agregar las nuevas unidades. Si
prefiere apagar el dispositivo, ejecute request shutdown system desde la CLI.
3.
Retire las bahas vacas B1/B2 e instale las unidades en las bahas del par de discos B.
4.
5.
En CLI, desplcese hasta el recopilador de logs y ejecute request system raid add
B1. La unidad B1 se inicializar y se formatear.
6.
7.
Vaya al servidor de Panorama que gestione este recopilador de logs, vaya a Panorama >
Gestionar recopiladores y haga clic en el recopilador para abrir la ventana Recopilador.
Seleccione la pestaa Discos.
8.
Descripcin
Software
Muestra las versiones de SSL del software del cliente VPN disponibles
para la instalacin de los cortafuegos gestionados.
Cliente de
GlobalProtect
Actualizaciones
dinmicas
Licencias
Realice cualquiera de las siguientes funciones en las pginas Software, SSL VPN o
GlobalProtect:
Haga clic en Actualizar para ver las versiones ms recientes del software disponibles en
Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios en la versin.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Durante la instalacin, se le preguntar si desea reiniciar cuando finalice la instalacin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
cortafuegos. Si selecciona dicha opcin, el cortafuegos se reiniciar.
Haga clic en Cargar para instalar o activar una versin que ha almacenado anteriormente
en su equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde
archivo. Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en
ACEPTAR para instalar la imagen.
Tabla 157.
Campo
Descripcin
Nombre
Descripcin
Tabla 157.
Campo
Descripcin
Habilitar
Tipo de log
Protocolo
Nombre de host
Puerto
Ruta
Nombre de usuario
Contrasea
Confirmar contrasea
Conexin de servidor SCP de
prueba
a. Haga clic en Descargar junto a la versin que se instalar. Cuando la descarga haya
finalizado, se mostrar una marca de verificacin en la columna Descargado.
b. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
sistema Panorama.
2.
junto a la versin.
Nota: El software se elimina para dejar espacio libre para la descarga de nuevas
versiones. Esto ocurre de forma automtica y no se puede controlar manualmente.
Captulo 14
Configuracin de WildFire
Este captulo describe cmo utilizar WildFire para elaborar anlisis e informes sobre el
software malintencionado que pase por el cortafuegos:
Acerca de WildFire
WildFire permite que los usuarios enven archivos al entorno virtual seguro basado en la nube
de Palo Alto Networks, donde se analizan automticamente en busca de actividades
malintencionadas. El sistema WildFire permite que el archivo se ejecute en un entorno
vulnerable y busca numerosos comportamientos y tcnicas malintencionados especficos,
como la modificacin de archivos de sistema, la deshabilitacin de caractersticas de
seguridad o el uso de una variedad de mtodos para evadir la deteccin.
Acerca de WildFire
Los tipos de archivos admitidos incluyen los archivos Win32 Portable Executable (PE) (p. ej.,
exe, dll y scr). Al seleccionar los tipos de archivos en el perfil de objetos, puede seleccionar PE
para cubrir todos los tipos de archivos Win32 PE.
Los tipos de archivos pueden analizarse aunque estn comprimidos (zip, gzip) o a travs de
SSL si el descifrado est habilitado en la poltica. Para los tipos de archivos PE, los archivos
tambin se examinan de manera previa directamente en el dispositivo para buscar contenido
de alto riesgo antes de reenviarlos a WildFire.
Nota: Al seleccionar PE en la columna Tipos de archivos del perfil de objetos
para seleccionar una categora o tipos de archivos, no aada un tipo de archivo
individual que forme parte de esa categora o recibir entradas redundantes en los
logs Filtrado de datos. Por ejemplo, si selecciona PE, probablemente no desee
incluir exe de manera adicional. Esto tambin es aplicable al tipo de archivo zip, ya
que los tipos de archivos admitidos que se compriman se enviarn automticamente
a WildFire.
Al seleccionar una categora tambin garantizar que, como la compatibilidad con
un nuevo tipo de archivo se aade a una categora especfica, automticamente
pasar a formar parte de su perfil de objetos. Tambin puede seleccionar
Cualquiera para que todos los tipos de archivos admitidos se carguen en WildFire.
A medida que se detecte nuevo software malintencionado, WildFire generar
automticamente firmas de antivirus y distribuir dichas firmas entre los cortafuegos que
tengan una suscripcin de prevencin de amenazas. Estas firmas formarn parte de las firmas
de antivirus diarias que se actualizan cada 24-48 horas.
Si tiene una suscripcin a WildFire, tendr varias caractersticas nuevas habilitadas, entre las
que se incluyen:
Los resultados del anlisis detallado de los archivos enviados tambin estn disponibles a
travs del portal de WildFire; adems, puede ver esta informacin sin ninguna suscripcin.
Puede utilizar el portal de WildFire para ver qu usuarios son el destino, las aplicaciones que
se utilizaron y el comportamiento malintencionado que se observ. Tambin puede
configurar el portal de WildFire para enviar notificaciones por correo electrnico cuando haya
resultados disponibles para su revisin. Consulte Uso del portal de WildFire en la
pgina 468.
2.
3.
Incorpore las propiedades de bloqueo de archivos en una poltica de seguridad, igual que
hara con cualquier otro perfil de bloqueo de archivos. Consulte Polticas de seguridad
en la pgina 203.
4.
Acceda al portal de WildFire y configure los ajustes opcionales. Consulte Uso del portal
de WildFire en la pgina 468.
Ahora podr acceder al portal de WildFire para ver informes. Consulte Visualizacin de
informes de WildFire en la pgina 469.
Descripcin
Configuracin
general
Servidor WildFire
Especifique la URL de un servidor WildFire. Especifique el valor defaultcloud para permitir que el cortafuegos detecte automticamente al
servidor WildFire ms cercano.
Tamao de archivo
mximo (MB)
Descripcin
Ajustes de
informacin de
sesin
Configuracin
2.
Haga clic en Aadir para aadir un nuevo perfil e introduzca un Nombre y una
Descripcin.
3.
Haga clic en Aadir en la ventana Perfil de bloqueo de archivo. Haga clic en el campo
Nombres e introduzca un nombre de regla.
4.
Seleccione las Aplicaciones que se identificarn para este perfil. Por ejemplo, si selecciona
la aplicacin navegacin web, el perfil identificar los archivos descargados cuando el
usuario descargue archivos desde una pgina web.
5.
En el campo Tipo de archivo seleccione los tipos de archivos que deseara reenviar para
su anlisis.
6.
7.
En el campo Accin, seleccione Reenviar. Esto har que todos los archivos identificados
se reenven al sistema WildFire, se realizar un anlisis y, a continuacin, el archivo se
entregar al usuario. Si selecciona Continuar y reenviar, el usuario ver una pgina que le
preguntar si desea continuar antes de que se produzca la descarga.
2.
Haga clic en Aadir para crear una nueva poltica o seleccione una poltica existente.
3.
Haga clic en la pestaa Acciones y, bajo Ajuste de perfil, haga clic en la lista desplegable
ubicada junto a Bloqueo de archivo y seleccione el perfil de seguridad que cre.
4.
Descripcin
wildfire-upload-skip
wildfire-upload-success
Descripcin
Contrasea
Zona horaria
Notificaciones por
correo electrnico
Seleccione las notificaciones por correo electrnico que desea recibir. Las
notificaciones por correo electrnico se envan al usuario de WildFire que
est registrado en este momento. Para cada dispositivo y para los archivos
que se cargan manualmente en el servidor WildFire, puede seleccionar
cualquiera de las siguientes notificaciones por correo electrnico:
Software malintencionado: Se enva una notificacin por correo
electrnico cuando se determina que el archivo es software
malintencionado.
Ambos: Se enva una notificacin por correo electrnico para archivos
que se ha determinado que son software malintencionado o buenos.
Ninguna: No se enva ninguna notificacin por correo electrnico.
Apndice A
Pginas personalizadas
Las pginas de respuesta personalizadas le permiten avisar a los usuarios finales acerca de
incumplimientos de polticas o condiciones de acceso especiales. Cada pgina puede incluir
referencias al la direccin IP del usuario, la URL a la que se intenta acceder y la categora de
URL. Estos parmetros se pueden utilizar tambin en enlaces con sistemas de solucin de
etiquetado.
Este apndice proporciona el cdigo HTML para las siguientes pginas de respuesta
personalizadas predeterminadas:
471
472
473
span.Heading10
{color:black
font-weight:bold;}
p.SubHeading1, li.SubHeading1, div.SubHeading1
{margin-top:12.0pt;
margin-right:0in;
margin-bottom:3.0pt;
margin-left:0in;
page-break-after:avoid;
font-size:12.0pt;
font-family:"Times New Roman";
font-weight:bold;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
{page:Section1;}
-->
</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Esto es una prueba.</p>
</div>
</body>
</html>
474
475
476
477
478
Apndice B
sistema empresarial
servicio de autenticacin
base de datos
erp-crm
empresa general
gestin
programas de oficina
actualizacin de software
copia de seguridad de almacenamiento
colaboracin
correo electrnico
mensajera instantnea
479
internet general
uso compartido de archivos
utilidad de internet
multimedia
transmisin de audio
juegos
fotos y vdeos
redes
tnel cifrado
infraestructura
protocolo IP
proxy
acceso remoto
enrutamiento
480
desconocido
Tecnologas de la aplicacin
Tecnologas de la aplicacin
Se admiten las siguientes tecnologas de la aplicacin.
Descripcin
basado en explorador
servidor cliente
protocolo de red
punto a punto
Caractersticas de la aplicacin
Se admiten las siguientes caractersticas de la aplicacin.
Descripcin
Evasiva
Archivos de transaccin
Vulnerabilidades
Ampliamente utilizado
481
Caractersticas de la aplicacin
482
Apndice C
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Las cuentas se bloquean despus del nmero de intentos fallidos configurado en lapgina
Dispositivo > Configuracin > Gestin. Si el cortafuegos no est en modo FIPS, se puede
configurar de forma que no se bloquee nunca; incluso en modo FIPS, y si se requiere un
tiempo de bloqueo.
La autenticacin basada en claves de SSH debe utilizar claves pblicas de RSA con 2048
bits o ms.
483
484
Apndice D
BSD
Los siguientes propietarios de los derechos de autor proporcionan software de acuerdo con la
licencia BSD:
Julian Steward
485
BSD
Nick Mathewson
Niels Provos
Dug Song
Todd C. Miller
University of Cambridge
486
Licencia artstica
Licencia artstica
Este documento es una versin libre de Artistic License, distribuido como parte del kit Perl
v4.0 de Larry Wall, que est disponible desde la mayora de los principales sitios web de
archivos.
El objetivo de este documento es indicar las condiciones segn las cuales estos Paquetes
(consulte la definicin a continuacin), es decir, Crack, el descifrador de contraseas de
Unix, y CrackLib, la biblioteca de comprobacin de contraseas de Unix, cuyos derechos de
autor pertenecen a Alec David Edward Muffett, podrn copiarse, de manera que el
Propietario de los derechos de autor mantenga cierto control artstico sobre el desarrollo de
los Paquetes, al tiempo que se conceda a los usuarios del Paquete el derecho a utilizar y
distribuir el Paquete del modo que sea habitual, as como el derecho a realizar modificaciones
razonables.
Definiciones:
Un Paquete hace referencia al conjunto de los archivos distribuidos por el Propietario de los
derechos de autor y los elementos derivados de dicho conjunto de archivos creados mediante
una modificacin del texto o los segmentos de los mismos.
Una Versin estndar hace referencia a un Paquete si no se ha modificado o si se ha
modificado de acuerdo con los deseos del Propietario de los derechos de autor.
El Propietario de los derechos de autor es aquel que se indique en los derechos de autor del
Paquete.
Usted es un usuario que est considerando la idea de copiar o distribuir este Paquete.
Una Tasa de copia razonable es lo que pueda justificar basndose en los costes de los
soportes, los gastos de duplicacin, el tiempo empleado por las personas implicadas, etc. (No
ser necesario que lo justifique al Propietario de los derechos de autor, nicamente a la
comunidad informtica en general en calidad de mercado que deber afrontar la tasa.)
Disponible de manera gratuita significa que no se carga ninguna tasa por el artculo en s
mismo, aunque puede que existan tasas relacionadas con la manipulacin del artculo.
Tambin significa que los destinatarios del artculo podrn redistribuirlo de acuerdo con las
mismas condiciones en las que lo recibieron.
1. Podr realizar y entregar copias literales del formato de cdigo fuente de la Versin
estndar de este Paquete sin restricciones, siempre que duplique todos los avisos de derechos
de autor originales, as como los descargos de responsabilidad asociados.
2. Podr aplicar soluciones de problemas, soluciones de portabilidad y otras modificaciones
derivadas del Dominio pblico o del Propietario de los derechos de autor. Un Paquete
modificado de ese modo se seguir considerando la Versin estndar.
3. Podr modificar su copia de este Paquete de cualquier otro modo, siempre que incluya un
aviso destacado en cada archivo modificado indicando cmo, cundo y POR QU ha
modificado ese archivo y siempre que realice como mnimo UNA de las acciones siguientes:
a) Coloque sus modificaciones en el Dominio pblico o haga que estn Disponibles de manera
gratuita de cualquier otro modo, como por ejemplo, publicando dichas modificaciones en
Usenet o un medio equivalente, o colocando las modificaciones en un sitio web de archivos
principal, como uunet.uu.net, o permitiendo que el Propietario de los derechos de autor
incluya sus modificaciones en la Versin estndar del Paquete.
b) Utilice el Paquete modificado nicamente dentro de su corporacin u organizacin.
c) Cambie el nombre de los archivos ejecutables no estndar, de manera que los nombres no
entren en conflicto con los archivos ejecutables estndar, que tambin deben proporcionarse.
Asimismo, proporcione documentacin independiente para cada archivo ejecutable no
estndar que indique claramente en qu se diferencia de la Versin estndar.
487
Licencia artstica
488
489
Programa o cualquier obra derivada de acuerdo con la ley de derechos de autor, es decir, una
obra que contenga el Programa o parte del mismo, ya sea de manera literal o con
modificaciones, y/o que est traducido a otro idioma. (En lo sucesivo, la traduccin se incluye
sin limitaciones en el trmino modificacin.) En este documento, al hablar de usted, se
estar haciendo referencia a cada titular de la Licencia.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar el Programa no est
restringida y los resultados del Programa nicamente estn cubiertos si su contenido
constituye una obra basada en el Programa (independientemente de si se ha creado
ejecutando el Programa). Su veracidad depender de lo que haga el Programa.
1. Podr copiar y distribuir copias literales del cdigo fuente del Programa cuando lo reciba, a
travs de cualquier medio, siempre que: publique de manera destacada y adecuada en cada
copia un aviso de derechos de autor y un descargo de responsabilidad de garanta adecuados;
mantenga intactos todos los avisos que hagan referencia a esta Licencia y a la ausencia de
cualquier tipo de garanta; y proporcione a todos los destinatarios del Programa una copia de
esta Licencia junto con el Programa.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias del Programa o cualquier parte del mismo, creando de este
modo una obra basada en el Programa, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
a) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
b) Deber encargarse de que para cualquier obra que distribuya o publique que, en su
totalidad o en parte, contenga o se haya derivado del Programa o cualquier parte del mismo
se ofrezca una licencia completa sin cargos para terceros de acuerdo con las condiciones de
esta Licencia.
c) Si el programa modificado lee comandos de manera interactiva al ejecutarse de manera
normal, deber encargarse de que, cuando empiece a ejecutarse para dicho uso interactivo del
modo habitual, imprima o muestre un anuncio que incluya un aviso de derechos de autor
adecuado y un aviso de que no existe ninguna garanta (o, de lo contrario, que indique que
proporciona una garanta) y de que los usuarios podrn redistribuir el programa de acuerdo
con estas condiciones, indicando al usuario cmo ver una copia de esta Licencia. (Excepcin:
si el propio Programa es interactivo pero por lo general no imprime dicho anuncio, su obra
basada en el Programa no deber imprimir un anuncio.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan del Programa y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en el Programa, la distribucin de la obra completa deber realizarse de acuerdo con
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan la
totalidad de la obra, incluyendo todas y cada una de las partes independientemente de su
autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos sobre
obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar la
distribucin de obras basadas en el Programa que se hayan derivado del mismo o que sean
colectivas.
490
Adems, la mera adicin de otra obra no basada en el Programa junto con el Programa (o una
obra basada en el Programa) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Podr copiar y distribuir el Programa (o una obra basada en el Programa, de acuerdo con la
Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las condiciones de
las Secciones 1 y 2 anteriores, siempre que tambin realice una de las acciones siguientes:
a) Deber adjuntarle el cdigo fuente legible por mquina correspondiente completo, que
deber distribuirse de acuerdo con las condiciones de las Secciones 1 y 2 anteriores en un
medio utilizado habitualmente para el intercambio de software;
b) Deber adjuntarle una oferta por escrito, vlida como mnimo durante tres aos, segn la
cual proporcionar a cualquier tercero, por un coste que no sea superior al coste que le
suponga realizar fsicamente la distribucin del cdigo fuente, una copia legible por mquina
completa del cdigo fuente correspondiente, la cual deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software; o
c) Deber adjuntarle la informacin que recibi relativa a la oferta para distribuir el cdigo
fuente correspondiente. (Esta alternativa nicamente est permitida para una distribucin no
comercial y solamente si ha recibido el Programa en formato de cdigo objeto o formato
ejecutable con dicha oferta, de acuerdo con la Subseccin b anterior.)
El cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una obra ejecutable, el cdigo fuente completo
significa todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de
definicin de interfaz asociados y las secuencias de comandos utilizadas para controlar la
compilacin y la instalacin del archivo ejecutable. Sin embargo, como excepcin especial, el
cdigo fuente distribuido no necesita incluir nada que se distribuya de manera habitual (en
formato de cdigo fuente o binario) con los componentes principales (compilador, kernel, etc.)
del sistema operativo en el que se ejecute el archivo ejecutable, a menos que el propio
componente acompae al archivo ejecutable.
Si la distribucin de archivos ejecutables o cdigo objeto se realiza permitiendo el acceso para
su copia desde una ubicacin designada, la oferta de un acceso equivalente para copiar el
cdigo fuente desde la misma ubicacin constituir una distribucin del cdigo fuente,
aunque no se obligue a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
4. No podr copiar, modificar, sublicenciar ni distribuir el Programa de manera distinta a la
indicada de manera explcita en esta Licencia. Cualquier intento de copiar, modificar,
sublicenciar o distribuir el Programa de otro modo ser nulo y cancelar automticamente sus
derechos de acuerdo con esta Licencia. Sin embargo, las licencias de las partes a las que haya
proporcionado copias o derechos de acuerdo con esta Licencia no vencern, siempre que
dichas partes cumplan todas las condiciones indicadas.
5. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir el Programa o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto, al
modificar o distribuir el Programa (o cualquier obra basada en el Programa), indica su
aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar el Programa o las obras basadas en el Programa.
6. Cada vez que redistribuya el Programa (o cualquier obra basada en el Programa), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir o modificar el Programa de acuerdo con estas condiciones. No podr imponer ms
restricciones en el ejercicio por parte de los destinatarios de los derechos concedidos en la
presente. No es responsable de garantizar el cumplimiento de esta Licencia por parte de
terceros.
491
492
493
494
La mayora del software de GNU, incluidas algunas bibliotecas, est cubierta por la Licencia
pblica general de GNU comn. Esta licencia, la Licencia pblica general reducida de GNU,
se aplica a determinadas bibliotecas designadas y es bastante diferente de la Licencia pblica
general comn. Utilizamos esta licencia para determinadas bibliotecas con el fin de permitir la
vinculacin de dichas bibliotecas a programas que no sean libres.
Cuando un programa est vinculado a una biblioteca, ya sea estadsticamente o mediante una
biblioteca compartida, la combinacin de ambos es en trminos legales una obra combinada,
es decir, una obra derivada de la biblioteca original. Por lo tanto, la Licencia pblica general
comn permite dicha vinculacin nicamente si la totalidad de la combinacin se ajusta a sus
criterios de libertad de uso. La Licencia pblica general reducida permite criterios ms
relajados para la vinculacin de otro cdigo a la biblioteca.
Esta Licencia se denomina Licencia pblica general reducida porque reduce la proteccin
de la libertad del usuario en comparacin con la Licencia pblica general comn. Tambin
reduce la ventaja de otros desarrolladores de software libre sobre programas que no sean
libres de la competencia. Estas desventajas son el motivo por el que utilizamos la Licencia
pblica general comn para muchas bibliotecas. Sin embargo, la Licencia pblica general
reducida ofrece ventajas en determinadas circunstancias especiales.
Por ejemplo, en ocasiones poco frecuentes, puede que exista la necesidad especial de fomentar
el uso ms extendido posible de una determinada biblioteca, de modo que se convierta en un
estndar de facto. Para lograrlo, se debe permitir que los programas que no sean libres utilicen
la biblioteca. Un caso ms frecuente es que una biblioteca libre haga el mismo trabajo que
bibliotecas que no sean libres ampliamente utilizadas. En este caso, al limitar la biblioteca libre
nicamente a software libre las ventajas son mnimas, de modo que utilizamos la Licencia
pblica general reducida.
En otros casos, el permiso para utilizar una biblioteca especfica en programas que no sean
libres permite que un mayor nmero de personas utilice un gran cuerpo de software libre. Por
ejemplo, el permiso para utilizar la biblioteca GNU C en programas que no sean libres permite
que muchas ms personas utilicen todo el sistema operativo GNU, as como su variante, el
sistema operativo GNU/Linux.
Aunque la Licencia pblica general reducida reduce la proteccin de la libertad de los
usuarios, garantiza que el usuario de un programa vinculado a la biblioteca tenga la libertad y
los medios para ejecutar ese programa utilizando una versin modificada de la biblioteca.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
Preste especial atencin a la diferencia entre una obra basada en la biblioteca y una obra
que utiliza la biblioteca. La primera incluye cdigo derivado de la biblioteca, mientras que la
segunda debe combinarse con la biblioteca para funcionar.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Este Contrato de licencia se aplica a cualquier biblioteca de software u otro programa que
incluya un aviso introducido por el propietario de los derechos de autor u otra parte
autorizada que indique que puede distribuirse de acuerdo con las condiciones de esta Licencia
pblica general reducida (tambin denominada esta Licencia). En este documento, al hablar
de usted, se estar haciendo referencia a cada titular de la Licencia.
Una biblioteca significa un conjunto de funciones y/o datos de software preparados de
modo que se puedan vincular de manera conveniente a programas (que utilizan algunos de
esos datos y funciones) para generar archivos ejecutables.
La Biblioteca, que aparece a continuacin, hace referencia a cualquier biblioteca de software
u obra que se haya distribuido de acuerdo con estas condiciones. Una obra basada en la
Biblioteca significa la Biblioteca o cualquier obra derivada de acuerdo con la ley de derechos
de autor, es decir, una obra que contenga la Biblioteca o parte de la misma, ya sea de manera
literal o con modificaciones, y/o que est traducida de manera directa a otro idioma. (En lo
sucesivo, la traduccin se incluye sin limitaciones en el trmino modificacin.)
495
El Cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una biblioteca, el cdigo fuente completo significa
todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de definicin
de interfaz asociados y las secuencias de comandos utilizadas para controlar la compilacin y
la instalacin de la biblioteca.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar un programa utilizando la
Biblioteca no est restringida y los resultados de dicho programa nicamente estn cubiertos
si su contenido constituye una obra basada en la Biblioteca (independientemente del uso de la
Biblioteca en una herramienta para su creacin). Su veracidad depender de lo que hagan la
Biblioteca y el programa que utiliza la Biblioteca.
1. Podr copiar y distribuir copias literales del cdigo fuente completo de la Biblioteca cuando
lo reciba, a travs de cualquier medio, siempre que: publique de manera destacada y
adecuada en cada copia un aviso de derechos de autor y un descargo de responsabilidad de
garanta adecuados; mantenga intactos todos los avisos que hagan referencia a esta Licencia y
a la ausencia de cualquier tipo de garanta; y distribuya una copia de esta Licencia junto con la
Biblioteca.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias de la Biblioteca o cualquier parte de la misma, creando de este
modo una obra basada en la Biblioteca, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
* a) La obra modificada deber ser ella misma una biblioteca de software.
* b) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
* c) Deber encargarse de que se ofrezca una licencia de la totalidad de la obra sin cargos
para terceros de acuerdo con las condiciones de esta Licencia.
* d) Si unas instalaciones de la Biblioteca modificada hacen referencia a una funcin o una
tabla de datos que deber proporcionar un programa que utilice las instalaciones, que no sea
como argumento transmitido cuando se solicitan las instalaciones, deber encargarse de
buena fe de garantizar que, en el caso de que una aplicacin no proporcione dicha funcin o
tabla, las instalaciones sigan funcionando y lleven a cabo la parte de sus objetivos que sigan
teniendo sentido.
(Por ejemplo, una funcin de una biblioteca para calcular races cuadradas tiene un
objetivo que est bien definido en su totalidad, independientemente de la aplicacin. Por lo
tanto, la Subseccin 2d requiere que cualquier funcin proporcionada por una aplicacin o
cualquier tabla que utilice esta funcin sea opcional: si la aplicacin no la proporciona, la
funcin de races cuadradas seguir calculando races cuadradas.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan de la Biblioteca y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en la Biblioteca, la distribucin de la obra completa deber realizarse de acuerdo con
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan la
totalidad de la obra, incluyendo todas y cada una de las partes independientemente de su
autor.
496
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos sobre
obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar la
distribucin de obras basadas en la Biblioteca que se hayan derivado de la misma o que sean
colectivas.
Adems, la mera adicin de otra obra no basada en la Biblioteca junto con la Biblioteca (o una
obra basada en la Biblioteca) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Puede decidir aplicar las condiciones de la Licencia pblica general de GNU comn en
lugar de las de esta Licencia a una copia especfica de la Biblioteca. Para ello, deber modificar
todos los avisos que hacen referencia a esta Licencia para que hagan referencia a la Licencia
pblica general de GNU comn, versin 2, en lugar de a esta Licencia. (Si existe una versin
ms reciente que la versin 2 de la Licencia pblica general de GNU comn, podr especificar
esa versin si lo desea.) No realice ninguna otra modificacin en estos avisos.
Una vez realizada esta modificacin en una copia especfica, ser irreversible para dicha
copia, de modo que la Licencia pblica general de GNU comn se aplicar a todas las copias
posteriores y las obras derivadas de dicha copia.
Esta opcin resulta de utilidad cuando desea copiar parte del cdigo de la Biblioteca en un
programa que no es una biblioteca.
4. Podr copiar y distribuir la Biblioteca (o una parte o una obra derivada de la misma, de
acuerdo con la Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores, siempre que le adjunte el cdigo fuente legible
por mquina correspondiente completo, que deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software.
Si la distribucin de cdigo objeto se realiza permitiendo el acceso para su copia desde una
ubicacin designada, la oferta de un acceso equivalente para copiar el cdigo fuente desde la
misma ubicacin satisfar el requisito de distribucin del cdigo fuente, aunque no se obligue
a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
5. Un programa que no contenga obras derivadas de ninguna parte de la Biblioteca pero que
est diseado para funcionar con la Biblioteca tras su compilacin o vinculacin a la misma se
denomina una obra que utiliza la Biblioteca. Dicha obra, por s sola, no es una obra derivada
de la Biblioteca y, por lo tanto, queda fuera del mbito de esta Licencia.
Sin embargo, la vinculacin de una obra que utiliza la Biblioteca a la Biblioteca crea un
archivo ejecutable que es una obra derivada de la Biblioteca (porque contiene partes de la
Biblioteca), en lugar de una obra que utiliza la Biblioteca. Por lo tanto, el archivo ejecutable
est cubierto por esta Licencia. La Seccin 6 indica las condiciones para la distribucin de
dichos archivos ejecutables.
Cuando una obra que utiliza la Biblioteca utiliza material de un archivo de encabezado que
forma parte de la Biblioteca, el cdigo objeto de la obra puede ser una obra derivada de la
Biblioteca aunque el cdigo fuente no lo sea. Su veracidad es especialmente significativa si la
obra puede vincularse sin la Biblioteca o si la obra es en s misma una biblioteca. El umbral de
veracidad no est definido de manera precisa segn la ley.
Si un archivo objeto de este tipo utiliza nicamente parmetros numricos, diseos de
estructuras de datos y descriptores de acceso y macros pequeas y funciones en lnea
pequeas (de diez lneas o menos de longitud), el uso del archivo objeto no estar restringido,
independientemente de si es legalmente una obra derivada. (Los archivos ejecutables que
incluyan este cdigo objeto y partes de la Biblioteca seguirn rigindose por la Seccin 6.)
Si, por el contrario, la obra es una obra derivada de la Biblioteca, podr distribuir el cdigo
objeto de la obra de acuerdo con las condiciones de la Seccin 6. Cualquier archivo ejecutable
que contenga esa obra tambin se regir por la Seccin 6, est o no vinculado directamente a la
propia Biblioteca.
497
6. Como excepcin a las Secciones anteriores, tambin puede combinar o vincular una obra
que utiliza la Biblioteca a la Biblioteca para producir una obra que contenga partes de la
Biblioteca y distribuir dicha obra de acuerdo con las condiciones que elija, siempre que las
condiciones permitan la modificacin de la obra para su uso por parte del cliente y la
ingeniera inversa para la depuracin de dichas modificaciones.
Deber incluir un aviso destacado en cada copia de la obra que indique que se utiliza la
Biblioteca en ella y que la Biblioteca y su uso estn cubiertos por esta Licencia. Deber
proporcionar una copia de esta Licencia. Si durante su ejecucin la obra muestra avisos de
derechos de autor, deber incluir el aviso de derechos de autor de la Biblioteca entre ellos, as
como una referencia que enve al usuario a la copia de esta Licencia. Adems, deber realizar
una de las acciones siguientes:
* a) Deber adjuntar a la obra el cdigo fuente legible por mquina correspondiente
completo de la Biblioteca incluyendo las modificaciones que se hayan utilizado en la obra (que
deber distribuirse de acuerdo con las Secciones 1 y 2 anteriores) y, si la obra es un archivo
ejecutable vinculado a la Biblioteca, la obra que utiliza la Biblioteca legible por mquina
completa, como cdigo objeto y/o cdigo fuente, de modo que el usuario pueda modificar la
Biblioteca y, a continuacin, volver a vincularla para producir un archivo ejecutable
modificado que contenga la Biblioteca modificada. (Se da por hecho que el usuario que
cambie el contenido de los archivos de definicin de la Biblioteca no tiene necesariamente que
ser capaz de volver a compilar la aplicacin para utilizar las definiciones modificadas.)
* b) Utilice un mecanismo de biblioteca compartida adecuado para realizar la vinculacin a
la Biblioteca. Un mecanismo adecuado es uno que: (1) en el tiempo de ejecucin, utilice una
copia de la biblioteca que ya est presente en el sistema informtico del usuario, en lugar de
copiar funciones de biblioteca en el archivo ejecutable; y (2) funcione correctamente con una
versin modificada de la biblioteca, si el usuario instala una, siempre que la versin
modificada sea compatible con la interfaz de la versin con la que se haya creado la obra.
* c) Deber adjuntar a la obra una oferta por escrito, vlida como mnimo durante tres aos,
segn la cual proporcionar al mismo usuario los materiales especificados en la Subseccin 6a
anterior, por un coste que no sea superior al coste que le suponga realizar esta distribucin.
* d) Si la distribucin de la obra se realiza permitiendo el acceso para su copia desde una
ubicacin designada, ofrezca un acceso equivalente para copiar los materiales especificados
anteriormente desde la misma ubicacin.
* e) Verifique que el usuario ya ha recibido una copia de estos materiales o que ya enviado
una copia a este usuario.
En el caso de un archivo ejecutable, el formato obligatorio de la obra que utiliza la Biblioteca
debe incluir los datos y las utilidades necesarios para reproducir el archivo ejecutable a partir
de la misma. Sin embargo, como excepcin especial, los materiales que deben distribuirse no
necesitan incluir nada que se distribuya de manera habitual (en formato de cdigo fuente o
binario) con los componentes principales (compilador, kernel, etc.) del sistema operativo en el
que se ejecute el archivo ejecutable, a menos que el propio componente acompae al archivo
ejecutable.
Puede suceder que este requisito contradiga las restricciones de licencia de otras bibliotecas
patentadas que normalmente no acompaan al sistema operativo. Dicha contradiccin
significa que no podr utilizarlas junto con la Biblioteca en un archivo ejecutable que
distribuya.
7. Puede introducir instalaciones de biblioteca que sean una obra basada en la Biblioteca unas
junto a otras en una nica biblioteca junto con otras instalaciones de biblioteca no cubiertas
por esta Licencia y distribuir dicha biblioteca combinada, siempre que se permita de cualquier
otro modo la distribucin separada de la obra basada en la Biblioteca y las otras instalaciones
de biblioteca y siempre que realice las dos acciones siguientes:
498
499
limitacin de distribucin geogrfica explcita que excluya dichos pases, de modo que la
distribucin est permitida nicamente en o entre pases que no estn excluidos por este
motivo. En este caso, esta Licencia incorpora la limitacin como si estuviera escrita en el
cuerpo de esta Licencia.
13. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general reducida cuando resulte oportuno. Dichas versiones nuevas sern
equivalentes en esencia a la versin actual, pero podrn diferir en detalles para responder a
nuevos problemas o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si la Biblioteca especifica un
nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si la Biblioteca no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas por
Free Software Foundation.
14. Si desea incorporar partes de la Biblioteca en otros programas libres cuyas condiciones de
distribucin sean incompatibles con estas, pngase en contacto con el autor para solicitarle
permiso. En el caso de software cuyos derechos de autor sean de Free Software Foundation,
pngase en contacto con Free Software Foundation; a veces hacemos excepciones en estos
casos. Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los
elementos derivados de nuestro software libre y promover el uso compartido y la
reutilizacin del software en general.
AUSENCIA DE GARANTA
15. DADO QUE LA LICENCIA DE LA BIBLIOTECA SE PROPORCIONA DE MANERA
GRATUITA, LA BIBLIOTECA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN LA BIBLIOTECA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DE LA BIBLIOTECA. SI LA BIBLIOTECA RESULTARA
SER DEFECTUOSA, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
16. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA LA BIBLIOTECA DEL
MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA CON
USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O LA
IMPOSIBILIDAD DE UTILIZAR LA BIBLIOTECA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DE LA BIBLIOTECA DE FUNCIONAR
CON OTRO SOFTWARE), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U
OTRA PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
500
MIT/X11
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Todos los derechos reservados.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard. Todos los
derechos reservados.
Copyright (C) 1998 Bjorn Reese y Daniel Stenberg.
Copyright (C) 2000 Gary Pennington y Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>.
Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>.
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>.
Por la presente se concede permiso, de manera gratuita, a cualquier persona que obtenga una
copia de este software y los archivos de documentacin asociados (el Software) para
comercializar el Software sin restricciones, lo cual incluye, entre otros, el derecho a utilizar,
copiar, modificar, combinar, publicar, distribuir, sublicenciar y/o vender copias del Software,
as como para permitir a las personas a las que se proporcione el Software que realicen dichas
acciones, siempre que se cumplan las siguientes condiciones:
El aviso de derechos de autor anterior y este aviso de permiso debern incluirse en todas las
copias o partes considerables del Software.
EL SOFTWARE SE PROPORCIONA TAL CUAL, SIN GARANTAS DE NINGN TIPO,
YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
DE COMERCIABILIDAD, ADECUACIN A UN FIN ESPECFICO Y CUMPLIMIENTO. LOS
AUTORES O LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR NO SERN
RESPONSABLES EN NINGN CASO DE NINGUNA RECLAMACIN, DAOS Y
PERJUICIOS O CUALQUIER OTRA OBLIGACIN, YA SEA EN UNA ACCIN
CONTRACTUAL, DE INCUMPLIMIENTO CONTRACTUAL O DE OTRO TIPO,
DERIVADOS O RELACIONADOS CON EL SOFTWARE O EL USO U OTRAS ACCIONES
REALIZADAS CON EL SOFTWARE.
OpenSSH
Este archivo forma parte del software OpenSSH.
Las licencias que se aplican a los componentes de este software son las siguientes. En primer
lugar, haremos un resumen e indicaremos todos los componentes que se incluyen en una
licencia BSD o una licencia que sea ms libre que esta.
OpenSSH no contiene cdigo GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo (Finlandia).
Todos los derechos reservados.
En lo que a m respecta, el cdigo que he escrito para este software puede utilizarse libremente
con cualquier fin. Cualquier versin derivada de este software debe marcarse claramente
como tal. Si la obra derivada es incompatible con la descripcin del protocolo en el archivo
RFC, deber tener un nombre que no sea ssh o Secure Shell.
[Tatu contina]
Sin embargo, con ello no doy a entender que se otorgarn licencias a patentes o derechos de
autor que sean propiedad de terceros. Asimismo, el software incluye partes que no estn bajo
mi control directo. Por lo que yo s, todo el cdigo fuente incluido se utiliza de acuerdo con
501
OpenSSH
los contratos de licencia relevantes y puede utilizarse libremente con cualquier fin (siendo la
licencia de GNU la ms restrictiva); consulte a continuacin para obtener informacin
detallada.
[Sin embargo, ninguna de esas condiciones es relevante en este momento. Todos estos
componentes de software con licencia restringida de los que habla se han eliminado de
OpenSSH:
-RSA ya no se incluye y se encuentra en la biblioteca OpenSSL.
-IDEA ya no se incluye y su uso se ha descartado.
-DES ahora es externo y se encuentra en la biblioteca OpenSSL.
-GMP ya no se utiliza y, en su lugar, solicitamos cdigo BN de OpenSSL.
-Zlib ahora es externo y se encuentra en una biblioteca.
-La secuencia de comandos make-ssh-known-hosts ya no se incluye.
-TSS se ha eliminado.
-MD5 ahora es externo y se encuentra en la biblioteca OpenSSL.
-La compatibilidad con RC4 se ha sustituido por la compatibilidad con ARC4 de OpenSSL.
-Blowfish ahora es externo y se encuentra en la biblioteca OpenSSL.]
[La licencia contina]
Tenga en cuenta que toda la informacin y los algoritmos criptogrficos utilizados en este
software estn disponibles de manera pblica en Internet y en cualquier librera principal,
librera cientfica y oficina de patentes de todo el mundo. Podr encontrar ms informacin en
http://www.cs.hut.fi/english.html (en ingls).
El estado legal de este programa es una combinacin de todos estos permisos y restricciones.
Utilcelo nicamente bajo su propia responsabilidad. Usted ser el responsable de cualquier
consecuencia legal; no afirmo de ningn modo que la posesin o el uso de este elemento sea
legal o no en su pas y no asumo ningn tipo de responsabilidad en su nombre.
AUSENCIA DE GARANTA
DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA SER
DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA DEL
MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA CON
USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O LA
IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON
OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
502
OpenSSH
503
OpenSSH
504
PSF
PSF
1. Este CONTRATO DE LICENCIA se suscribe entre Python Software Foundation (PSF) y el
individuo o la organizacin (Titular de la licencia) que acceda y utilice de cualquier otro
modo el software Python 2.3 en formato de cdigo fuente o binario y su documentacin
asociada.
2. De acuerdo con las condiciones de este Contrato de licencia, PSF concede por la presente al
Titular de la licencia una licencia mundial, sin pago de derechos de autor y no exclusiva para
reproducir, analizar, comprobar, ejecutar y/o mostrar pblicamente, preparar obras
derivadas, distribuir y utilizar de cualquier otro modo Python 2.3 en solitario o en cualquier
versin derivada, siempre que se mantengan el Contrato de licencia de PSF y el aviso de
derechos de autor de PSF (Copyright (c) 2001, 2002, 2003 Python Software Foundation. Todos
los derechos reservados.) en Python 2.3 en solitario o en cualquier versin derivada
preparada por el Titular de la licencia.
3. En el caso de que el Titular de la licencia prepare una obra derivada basada o que incorpore
Python 2.3 o cualquier parte del mismo y desee que la obra derivada est disponible para
otros como se indica en la presente, el Titular de la licencia acepta por la presente incluir en
dicha obra un breve resumen de los cambios realizados en Python 2.3.
4. PSF pone Python 2.3 a disposicin del Titular de la licencia TAL CUAL. PSF NO OFRECE
GARANTAS DE NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS. COMO EJEMPLO
Y SIN QUE SEA UNA LIMITACIN, PSF NO OFRECE Y RENUNCIA A CUALQUIER
GARANTA DE COMERCIABILIDAD O ADECUACIN A UN FIN ESPECFICO O QUE
AFIRME QUE EL USO DE PYTHON 2.3 NO INFRINGIR DERECHOS DE TERCEROS.
5. PSF NO SER RESPONSABLE PARA CON EL TITULAR DE LA LICENCIA O
CUALQUIER OTRO USUARIO DE PYTHON 2.3 POR DAOS Y PERJUICIOS
IMPREVISTOS, ESPECIALES O RESULTANTES O POR PRDIDAS COMO RESULTADO
DE MODIFICAR, DISTRIBUIR O UTILIZAR DE OTRO MODO PYTHON 2.3 O CUALQUIER
OBRA DERIVADA DEL MISMO, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD
DE LOS MISMOS.
6. Este Contrato de licencia se resolver automticamente si se produce un incumplimiento
grave de sus condiciones.
7. Ningn elemento de este Contrato de licencia se considerar que crea ningn tipo de
relacin de agencia, asociacin o empresa conjunta entre PSF y el Titular de la licencia. Este
Contrato de licencia no concede permiso para utilizar marcas comerciales de PSF o su nombre
comercial con el significado de marca comercial para aprobar o promocionar productos o
servicios del Titular de la licencia o de terceros.
8. Al copiar, instalar o utilizar de otro modo Python 2.3, el Titular de la licencia acepta estar
vinculado a las condiciones de este Contrato de licencia.
505
PHP
PHP
Licencia PHP, versin 3.01.
Copyright (c) 1999 - 2009 The PHP Group. Todos los derechos reservados.
La redistribucin y el uso en formato de cdigo fuente y binario, con o sin modificaciones,
estn permitidos siempre que se cumplan las siguientes condiciones:
1. Las redistribuciones del cdigo fuente deben mantener el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad.
2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre PHP no podr utilizarse para aprobar o promocionar productos derivados de
este software sin un previo consentimiento por escrito. Para obtener un consentimiento por
escrito, pngase en contacto con group@php.net.
4. Los productos derivados de este software no podrn denominarse PHP ni podrn incluir
PHP en su nombre sin un previo consentimiento por escrito de group@php.net. Podr
indicar que su software funciona junto con PHP denominndolo X para PHP, en lugar de
denominarlo X de PHP o X_php.
5. The PHP Group podr publicar versiones revisadas y/o nuevas de la licencia cuando
resulte oportuno. Se proporcionar un nmero de versin distintivo a cada versin. Una vez
que se haya publicado el cdigo cubierto de acuerdo con una versin especfica de la licencia,
podr seguir utilizndolo de acuerdo con las condiciones de esa versin. Tambin puede
decidir utilizar dicho cdigo cubierto de acuerdo con las condiciones de cualquier versin
posterior de la licencia publicada por The PHP Group. nicamente The PHP Group tiene
derecho a modificar las condiciones aplicables al cdigo cubierto creado de acuerdo con esta
licencia.
6. Las redistribuciones de cualquier tipo debern mantener la siguiente declaracin: Este
producto incluye software PHP, disponible de manera gratuita en
<http://www.php.net/software/>.
EL EQUIPO DE DESARROLLO DE PHP PROPORCIONA ESTE SOFTWARE TAL CUAL
Y RENUNCIA A CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE
INCLUYEN LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A
UN FIN ESPECFICO. EL EQUIPO DE DESARROLLO DE PHP NO SER RESPONSABLE
EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS,
IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE
INCLUYEN EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE
USO, DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL),
SEA CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA
SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO
CONTRACTUAL (INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE
CUALQUIER MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LE HAYA AVISADO
DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Este software se compone de contribuciones voluntarias realizadas por numerosos individuos
en nombre de The PHP Group.
Puede ponerse en contacto con The PHP Group enviando un correo electrnico a
group@php.net.
Para obtener ms informacin sobre The PHP Group y el proyecto PHP, consulte
<http://www.php.net> (en ingls).
PHP incluye el motor Zend, disponible de manera gratuita en <http://www.zend.com>.
506
Zlib
Zlib
Copyright (C) 1995-2005 Jean-Loup Gailly y Mark Adler.
Este software se proporciona tal cual, sin ninguna garanta explcita o implcita. Los autores
no sern responsables en ningn caso de los daos y perjuicios derivados del uso de este
software.
Se concede permiso a cualquier persona para utilizar este software con cualquier fin, incluidas
aplicaciones comerciales, y para modificarlo y redistribuirlo libremente, respetando las
siguientes restricciones:
1.El origen de este software no debe falsearse; usted no puede afirmar que cre el software
original. Si utiliza este software en un producto, puede incluir un reconocimiento en la
documentacin del producto, pero no es necesario.
2.Las versiones cuyo cdigo fuente est modificado deben indicarse claramente como tales y
no deben presentarse falsamente como si fueran el software original.
3.Este aviso no puede eliminarse ni modificarse en ninguna distribucin de cdigo fuente.
Jean-Loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu
507
Zlib
508
ndice
A
Active Directory
agente de ID de usuarios 324
configuracin del agente de ID de
usuarios 326
desinstalacin y actualizacin del agente de ID
de usuarios 329
instalacin del agente de ID de usuarios 325
actualizaciones dinmicas
acerca de 60
programacin 60
actualizacin
con alta disponibilidad 56
definiciones de aplicaciones y amenazas 60
programaciones 60
software de Panorama 459, 461
software PAN-OS 54, 67, 432
actualizacin de HA 56
administrador
bloqueo de pgina 67, 422, 431
cuentas, acerca de 60
cuentas, creacin 65
funciones, acerca de 60
funciones, definicin 63
opciones de autenticacin 60
perfiles, acerca de 60
agente
configuracin de GlobalProtect 386
configuracin del servidor de terminal 330
GlobalProtect 367
ID de usuario 310
uso de GlobalProtect 386
agente de ID de usuarios
configuracin de Active Directory 326
configuracin de portal cautivo 317
configuracin del cortafuegos 312
descripcin general 307
desinstalacin y actualizacin para Active
Directory 329
instalacin de Active Directory 325
para Active Directory, acerca de 324
agente de servicios de terminal (Agente de Ts) 330
agente de TS
actualizacin 330
509 ndice
B
base de conocimientos 128
base de datos de usuario, VPN SSL 69
BGP
acerca de 164
configuracin de enrutador virtual 176
descripcin 165
enrutadores virtuales 173
perfiles de redistribucin 169
bloqueo de archivos
configuracin 238
definicin de perfiles 238
perfiles, definicin 267
bloqueo de cuenta de usuario 67, 431
bloqueo en la pgina del administrador 67, 422,
431
bloqueo, perfiles de archivo 238
botnets
acerca de 291
informes 291
510 ndice
C
cable virtual 130
definicin 133
interfaces 150
interfaces, configuracin 148
cables cruzados 110
calidad de servicio (QoS) 389
campos obligatorios 27
captura de paquetes 290
acceso 290
ajuste de perfiles 229, 231, 233, 234
captura de archivos 303
configuracin de ajustes de captura 303
ID de aplicacin 303
realizacin de capturas 303
caractersticas y ventajas 18
carga de seguridad encapsulada (ESP) 341
centro de comando de aplicacin (ACC), uso 275
certificados
CA de confianza 94
CRL 50
descifrado 94
exportacin 95
generacin 96
GlobalProtect 368
importacin 95
OCSP 50
renovacin 95
revocacin 95
Servidor de Panorama 96
web 94
certificados de seguridad 94
cifrado de claves privadas y contraseas 99
clave maestra y pgina de diagnstico 99
clave privada, cifrado 99
clientes
botnet infectado 291
descarga y activacin de GlobalProtect 385
clientes infectados de botnet 291
comodn
categoras de URL personalizadas 261
patrones para listas de permitidas y
bloqueadas 236
comparacin de configuraciones 53
compilacin
cambios 26
opciones 26
Panorama 439
configuraciones, auditora 53
configuracin activa, actualizacin 39, 44
configuracin candidata
acerca de 39, 44
almacenamiento y restablecimiento 39, 44
configuracin de dplex 137, 148, 160, 161
configuracin de inspeccin de contenidos 47
configuracin de notificacin de correo electrnico
definicin 92, 93
en perfiles de logs 268
configuracin de red 32, 53
Palo Alto Networks
D
definicin de las plantillas de configuracin 461
denegacin de servicio (Dos), perfiles 243
desactualizacin del software 57
descarte aleatorio temprano 193
descodificadores y acciones 229
descripcin general de red 130
destinos de logs
acerca de 77
correo electrnico 92, 93
syslog 84
traps SNMP 83
destinos de traps SNMP
definicin 83
en perfiles de logs 268
deteccin de reconocimiento 190
DHCP
configuracin 186, 390
opciones de cortafuegos 186
retransmisin 186
servidores 186
direcciones
definicin 245
definicin de grupo 248
definicin de grupos de direcciones 248
definicin de intervalos 245
direcciones IPv6 246
dispositivo principal 426
dispositivos
cmo aadir 424
gestin 31
principal 426
DNS
servidores 186
dominios de acceso
cortafuegos 61, 67
Panorama 432
DoS
definicin de polticas 225
perfiles 243
perfiles de proteccin 243
duplicar deteccin de direccin (DAD) 141, 146,
154
E
edicin de ajustes en una pgina 25
encabezado de autenticacin (AH) 341
enlaces de pgina de log 276
enrutadores virtuales
configuracin 167, 168, 183
configuracin de multicast 183
definicin 167
estadsticas de tiempo de ejecucin 186
protocolos de enrutamiento 164
siguiente salto 168
enrutamiento
acerca de enrutadores virtuales y protocolos de
enrutamiento 164
multicast 166
enrutamiento multicast
acerca de 166
configuracin 183
entidad de certificacin (CA)
certificado de CA de confianza 94
CRL 50
GlobalProtect 368
OCSP 50
entradas de ARP
en interfaces L3 principales 147
en interfaces VLAN 143, 156
en subinterfaces L3 154
estado de los enlaces en el pasivo 117
estado del enlace
ajuste 137, 148, 160, 161
visualizacin 274
Ethernet 138
etiquetas
en cables virtuales 134
ndice 511
F
filtrado de datos
coincidencias HIP en pgina de ACC 277
configuracin de patrn 242
configuracin de perfil 241, 243
definicin de perfiles 241
lista 277
patrones de datos 263
pgina de ACC 277
perfiles 241
perfiles y patrones 242
visualizacin de logs 75, 291
filtrado de URL
categorizacin dinmica 235
configuracin de cancelacin 48
configuracin de perfil 235
definicin de perfiles 235
lista 277
pgina de ACC 277
pgina de respuesta de continuacin y
cancelacin 127, 476
pginas de respuesta 127
visualizacin de log 290
visualizacin de logs 76
filtros
aplicacin 249, 257
subcategora 249
FIPS 483
firmas
personalizadas 264
spyware 264
vulnerabilidad 264
firmas personalizadas
acerca de 264
spyware 264
vulnerabilidad 264
flujo de red
acerca de 93
configuracin 93
formato abierto de virtualizacin (OVF) 408
funciones
acerca de 60
definicin de administrador 63
512 ndice
G
gestin de configuraciones 39, 44
gestin de configuracin 39, 44
GlobalProtect
acerca de 367
agentes 367
autenticacin 368
configuracin 369
configuracin de agentes 386
configuracin de portales 374
configuracin de puertas de enlace 380
copia de seguridad de portal 365
descarga y activacin de clientes 385
pgina de respuesta 127
portales 367
proceso de conexin 368
puertas de enlace 367
uso del agente 386
VPN a gran escala 355
grupo de servicios
definicin 259
grupo Diffie-Hellman (DH) 341, 349
grupos
agregacin de interfaz 150
definicin de servicio 259
dispositivo 425
grupos de direcciones, definicin 248
grupos de dispositivos
asignacin y colaboracin de objetos 436
cmo aadir 425
seleccin 436
uso 436
grupos de enlaces, HA 117
grupos de perfil de seguridad, definicin 267
grupos de perfiles, definicin 267
grupos de rutas, HA 416
grupos de servicios, definicin 259
H
hora
ajuste 32, 53
zona 33
I
ID de aplicacin, solicitud 303
identificacin del peer 343
identificacin local 343
identificacin, IKE 340
IKE
acerca de 338, 340
AH 341
autenticacin 340
configuracin de perfiles criptogrficos 349
definicin de perfiles criptogrficos 348
ESP 341
grupo DH 341
identificacin 340
K
Kerberos
configuracin de ajustes de servidor 73
funciones de administrador 60
ndice 513
latitud y longitud 33
LDAP
autenticacin 60
configuracin de ajustes de servidor 72
licencias
cdigo abierto 485
instalacin 54, 94
licencias de cdigo abierto 485
lista de amenazas 277
lista de aplicaciones 277
lista de bloqueo
patrones de comodines 236
perfil de filtrado de URL 236
lista de permitidas
patrones de comodines 236
perfil de filtrado de URL 237
listas de bloqueos dinmicos 262
log amenaza 269
acerca de 76
definicin de logs remotos 267
visualizacin 290
log configuracin
acerca de 75
definicin de logs remotos 79, 80, 81, 82
visualizacin 291
log de trfico 268
definicin de logs remotos 267
visualizacin 290
log sistema
acerca de 75
visualizacin 291
logs 290
acerca de 75
ajustes de configuracin 79
alarmas 75, 81
almacenamiento en un servidor FTP 78
amenaza 76
borrado 82
coincidencia HIP 291
configuracin 75
configuracin de coincidencias HIP 81
definicin de logs remotos
para la configuracin 79, 80, 81, 82
para logs de amenazas y trfico 267
enlaces desde pginas de ACC 276
gestin 82
programacin de exportaciones 78
resolucin de nombre de host 289
sistema 75
visualizacin 288
visualizacin del filtro de URL 290
WildFire 76
LSA 165
MD5 176
MIB 51, 84
modificacin de ajustes en una pgina 25
modo de intercambio 343
modo tap
descripcin 133
opcin de implementacin 133
multicast de origen especfico (SSM) 185
514 ndice
N
NAT
definicin de polticas 210
ejemplos de poltica 212
NAT64 212
polticas 207
tipos 208
navegacin 27
navegacin de la interfaz de usuario 27
NFS 410
almacenamiento de logs externo 410
alta disponibilidad de Panorama 414
particiones de almacenamiento 410
no fragmentar (DF) 196
nombre de dominio 33
nombre de host, definicin 32, 53
NSSA (not so stub area) 174
NT LAN Manager (NTLM) 225, 311
nuevo anlisis de sesiones 49
O
objetos
colaboracin en Panorama 436
descripcin general 244
obtencin de ayuda 24
OCSP 50
opciones de descarte, perfiles DOS 195
opciones de implementacin
cable virtual 130
Capa 2 132
Capa 3 132
modo tap 133
PPPoE 132
OSPF
acerca de 164
configuracin de enrutador virtual 173
enrutadores virtuales 173
perfiles de redistribucin 169
P
panel
cortafuegos 274
Panorama
acceso 420
actualizacin del software 459, 461
alta disponibilidad 413
bloqueo de cuenta de usuario 67, 422, 431
certificado de servidor 96
Palo Alto Networks
compilacin 439
configuracin 407
configuracin de direccin IP 34
cmo aadir dispositivos 424
creacin de cuentas administrativas 428
descripcin de interfaz 420
dispositivo de hardware 412
dispositivo virtual 408
dominios de acceso 432
exportaciones de lote de configuracin 459
funciones de administrador 428
habilitacin de acceso 34
instalacin 408
interfaz de usuario 420
logs 444
objetos 436
opciones de administrador 426
panel 420
pestaa 421
pestaa ACC 420
pestaa dispositivo 421
pestaa objetos 420
pestaa panorama 421
pestaa polticas 420
pestaa red 421
pestaa supervisar 420
pestaas 420
plantillas 441
plantillas, configuracin 442
polticas compartidas, definicin 420, 433
PAN-OS, actualizacin del software 54
particiones de almacenamiento 410
Panorama 410
patrones de datos
cmo aadir nuevos 260
definicin 263
perfiles de filtrado de datos 242
reglas 260
pgina de bloqueo de archivo 473
pginas de bloque HTML 471
pginas de respuesta
antivirus 126, 471
ayuda del portal de GlobalProtect 127
bloqueo de aplicacin 126, 473
bloqueo de archivos 126, 473
continuacin y cancelacin de filtrado de
URL 127, 476
definicin 126
exclusin de descifrado de SSL 127
inicio de sesin del portal de
GlobalProtect 127
notificacin de certificado SSL revocado 478
opcin continua de bloqueo de archivo 127
pgina de notificacin de errores de certificado
SSL 127
portal cautivo 126, 476
tipos 98, 126
pginas de respuesta antivirus 471
perfil de antispyware
Palo Alto Networks
acerca de 230
definicin 230
perfil de informacin de host (HIP)
coincidencias en pgina de ACC 277
configuracin 373
configuracin de objetos 370
configuracin del log coincidencias HIP 81
log coincidencias 291
perfiles
acerca de seguridad 227
acerca de supervisin 192
antispyware 230
antivirus 229
antivirus, descodificadores y acciones 229
antivirus, excepciones de aplicacin 230
ataques basados en paquetes 190
bloqueo de archivos 238, 267
configuracin de perfiles criptogrficos de
IKE 349
configuracin de perfiles criptogrficos de
IPSec 349
criptogrfico de IKE 348
criptogrfico de IPSec 349
definicin de reenvo de logs 268
deteccin de reconocimiento 190
filtrado de datos 241
filtrado de URL 235
gestin de interfaz 191
grupos de seguridad 228, 267
logs 267
proteccin contra inundaciones 190
proteccin de vulnerabilidades 232, 235
proteccin de zonas 193, 392
QoS 389, 392
red 190
redistribucin 169
supervisor de tnel 192
perfiles criptogrficos 348, 349
perfiles criptogrficos, acerca de 340
perfiles de antivirus
configuracin 229
definicin 229
perfiles de autenticacin
acerca de 67
configuracin 68
configuracin de Kerberos 73
configuracin de LDAP 72
configuracin de RADIUS 71
perfiles de gestin de interfaz 191
perfiles de proteccin de vulnerabilidades 232, 235
perfiles de red 190
perfiles de redistribucin
acerca de 169
configuracin 170
perfiles de seguridad
acciones 227
acerca de 227
definicin 267
perfiles de supervisin 192
ndice 515
poltica compartida
definicin 420, 433
dispositivo principal 426
poltica de descifrado 269
polticas
acerca de 199
acerca de NAT 207
acerca de seguridad 203
acerca del reenvo basado en polticas 216
compartidas 420, 433
definicin de descifrado 219
definicin de DoS 225
definicin de NAT 210
definicin de objetos de direcciones 245
definicin de portal cautivo 223
directrices de definicin 200
especificacin de usuarios y aplicaciones 202
otros objetos de las polticas 244
patrones de datos 263
QoS 393
reglas posteriores 434
reglas previas 433
sistemas virtuales 121
tipos 199
y sistemas virtuales 122, 124
polticas compartidas globales 433
polticas de cancelacin de aplicacin
acerca de 221
definicin 222
polticas de seguridad
acerca de 203
definicin 203
portal
acerca de 367
configuracin de GlobalProtect 374
GlobalProtect 367
portal cautivo 67
configuracin 224, 226
configuracin de cortafuegos para 317
definicin de polticas 223
pgina de comfort 126, 476
PPPoE
acerca de 132
configuracin 139
implementaciones 132
prioridad de dispositivo, HA 415
programaciones
definicin 267, 271
exportaciones de lote de configuracin 459
proteccin ante fallo del peer 343
proteccin contra inundaciones 190
proteccin de ataques basados en paquetes 190,
195
proteccin de datos
cambio de contrasea 48
cmo aadir 48
protocolos de enrutamiento
acerca de 164
BGP 173
516 ndice
Q
QoS
clases 392, 393
configuracin 206
configuracin de las interfaces del
cortafuegos 389
configuracin de prioridad 392
configuracin de salida 392
instrucciones de configuracin 389
marca 206
perfiles 389, 392
polticas 393
trfico de tnel 390
trfico en claro 390
R
RADIUS
autenticacin 60
definicin de la configuracin de servidor 71
perfiles de autenticacin 67
reconocimiento de alarmas 93
reenvo basado en polticas (PBF)
acerca de 216
definicin 216
y perfiles de supervisin 192
reenvo de logs
configuracin de perfil 268
definicin de perfiles 268
regiones
acerca de 248
polticas 248
reglas
aplicacin de poltica de excepcin 267
poltica de seguridad 203
reglas posteriores en polticas 434
S
secreto perfecto hacia adelante (PFS) 341
secuencias de autenticacin
acerca de 74
configuracin 74
seguridad
definicin de grupos de perfiles 228, 267
grupos de perfil 267
servicio BrightCloud 235
servicios, definicin 258
servidor FTP, almacenamiento de logs en 78
servidores
definicin de Kerberos 73
definicin de LDAP 72
definicin de RADIUS 71
definicin de syslog 84
servidores NIS 187
servidores NTP 187
servidores syslog
campos personalizados de syslog 85
definicin 84
en perfiles de logs 268
Servidores WINS 187
siguiente salto 168
sistemas virtuales
acerca de 121
comunicaciones entre 122
definicin 121, 124, 126
definicin de varios 124
flujo de trfico interno 122
habilitacin 33
habilitacin de varios 33
interfaz comn de puertas de enlace
compartidas 123
polticas 121
puertas de enlace compartidas 123
varios 122
y zonas de seguridad 122
zonas de seguridad 121
SNMP
cadena de comunidad 51
configuracin de MIB 51
definicin de destinos de traps 83
MIB 84
software
actualizacin 54, 67, 432, 459, 461
actualizacin de Panorama 461
desactualizacin 57
versin 274
software PAN-OS
actualizacin 54, 67, 432
versin 274
solicitud de asistencia tcnica 128
SPT (Shortest Path Tree) 185
SSL
configuracin de reglas de descifrado 216, 220
definicin de polticas de descifrado 219
polticas de descifrado 267
referencias de notas tcnicas 219
subcategora
aplicacin 252
filtrado 249
supervisor de tnel
conmutacin por error 192
esperar recuperacin 192
perfiles 192
T
tablas, uso en la interfaz web 27
tiempo de espera 415
tiempo de espera de URL dinmica 47
tiempo de espera pasivo, HA 415
tipografa, convenciones 15
tipos de implementaciones 130
transferencia de estado representacional (REST) 19
Transport Layer Security (TLS) 72
trfico de tnel y QoS 390
trfico en claro y QoS 390
tneles
acerca de VPN 339
configuracin 344
divisin para SSL VPN 382
nmero de IPSec 339
tneles de VPN
acerca de 339
claves de seguridad manuales 339
configuracin 341, 344
IKE 339
proteccin 339
U
umbrales de respuesta 193, 194
umbrales, alarma 193
utilizacin de CPU 274
utilizacin de la memoria 274
utilizacin del disco 274
V
varios sistemas virtuales 33, 122, 124
velocidad de enlace y dplex 137, 148, 160, 161
velocidad, enlace 137, 148, 160, 161
versin, software 274
ndice 517
visualizacin
dispositivos 426
explorador de sesin 291
informacin de sesin 291
logs 288
VLAN
interfaces L2 152
interfaces, definicin 152
VMware ESX(i) 408
VPN
acerca de 338
configuracin de muestra 351
configuracin de tneles 339
descripcin general de VPN a gran escala 355
implementacin de VPN a gran escala 355
perfiles criptogrficos de IPSec e IKE 340
SSL, acerca de 389
VPN a gran escala y protocolos de
enrutamiento dinmico 365
VPN a gran escala
descripcin general 355
VPN SSL
acerca de 389
base de datos de usuario local 69
pgina de comfort 127
perfiles de autenticacin 67
tneles divididos 382
vSphere 408
W
WildFire
acerca de 463
configuracin de ajustes de cortafuegos 465
configuracin de ajustes en el portal 469
configuracin del reenvo 466
descripciones del log 467
panel 468
suscripcin 464
tareas de configuracin 465
tipos de archivos admitidos 464
uso del portal 468
visualizacin de informes 470
Z
zonas
definicin 163
en polticas de seguridad 204
en polticas NAT 210
perfiles de proteccin 193, 392
zonas de seguridad
acerca de 162
definicin 163
en polticas de seguridad 204
en polticas NAT 210
interfaces 162
518 ndice