PAN OS WebInterfaceRef 70 Spanish

Gua de referencia de interfaz web
Versin 7.0
Informacin de contacto
Sede de la empresa:
Palo Alto Networks
4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta gua

Esta gua describe el cortafuegos de ltima generacin de Palo Alto Networks y las interfaces web de Panorama.
Proporciona informacin sobre cmo usar la interfaz web e informacin de referencia para rellenar campos de la
interfaz:
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
2007-2015 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisin: julio 1, 2015
ii
julio 1, 2015 - Palo Alto Networks CONFIDENCIAL DE EMPRESA
Contenido
Captulo 1
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Caractersticas y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Interfaces de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de la interfaz web del cortafuegos de Palo Alto Networks . . . . . . . . . . 6

Compilacin de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Bsqueda de la configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Obtencin de ayuda para la configuracin del cortafuegos . . . . . . . . . . . 14
Cmo obtener ms informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . . . . . . 16

Definicin de la configuracin de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Definicin de la configuracin de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Definicin de mdulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . 34
Habilitacin de supervisin de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Definicin de la configuracin de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Ruta de servicio de destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definicin de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definicin de la configuracin de ID de contenido . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuracin de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Definicin de la configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tiempos de espera de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Ajustes de descifrado: Comprobacin de revocacin de certificado . . . . . . . 53
Ajustes de descifrado: Reenviar los ajustes de certificados
del servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuracin de sesin de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Palo Alto Networks
Gua de referencia de interfaz web, versin 7.0 iii
Contenido
Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Instalacin de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comportamiento tras el vencimiento de la licencia . . . . . . . . . . . . . . . . . . . . . 57
Definicin de orgenes de informacin de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Instalacin de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Actualizacin de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 63
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definicin de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definicin de perfiles de contrasea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Requisitos de nombre de usuario y contrasea . . . . . . . . . . . . . . . . . . . . . . . . 70
Creacin de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Especificacin de dominios de acceso para administradores . . . . . . . . . . . . . . . . 72
Configuracin de perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Creacin de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 77
Cmo aadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuracin de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuracin de ajustes del servidor TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuracin de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuracin de ajustes del servidor Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuracin de una secuencia de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . 83
Programacin de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Definicin de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuracin del log Configuracin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuracin del log Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuracin del log de correlacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuracin del log Coincidencias HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definicin de configuracin de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestin de configuracin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Configuracin de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuracin de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuracin de ajustes de notificaciones por correo electrnico . . . . . . . . . . . . 94
Configuracin de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configuracin de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestin de certificados de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Gestin de entidades de certificacin de confianza predeterminadas . . . . 100
Creacin de un perfil del certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Cmo aadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Gestin de perfiles de servicio SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Cifrado de claves privadas y contraseas del cortafuegos . . . . . . . . . . . . . . . . 104
Habilitacin de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Definicin de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuracin de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 116
Definicin de pginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 117
Visualizacin de informacin de asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . 119
Captulo 4
Configuracin de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
121
Definicin de cables virtuales (Virtual Wires) . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Configuracin de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . 122
Resumen de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Componentes comunes de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . 124
iv Gua de referencia de interfaz web, versin 7.0
Palo Alto Networks
Contenido
Componentes comunes de interfaces de cortafuegos de la serie PA-7000 . . . .

Configure la interfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la subinterfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure la interfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la subinterfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de cable virtual (Virtual Wire) . . . . . . . . . . . . .
Configuracin de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . . . .
Configuracin de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una subinterfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . . . . .
Configuracin de los grupos de interfaces de agregacin . . . . . . . . . . . . . . . .
Configuracin una interfaz de agregacin . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de bucle invertido . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Perfiles de redistribucin . . . . . . . . . . . . . . . .
Configuracin de la pestaa RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Multidifusin. . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ms estadsticas de tiempo de ejecucin para un enrutador virtual . . . . . .
Configuracin de la compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripcin general de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Direccin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del retransmisin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplo: Configure un servidor DHCP con opciones personalizadas . . . . . .
Configuracin de proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Resumen proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acciones adicionales de proxy DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripcin general de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definiendo perfiles de gestiones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de supervisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin contra inundaciones . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin de ataques basada en paquetes . . . . . . .
Definicin de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Palo Alto Networks
125
126
128
128
137
142
144
144
145
146
147
148
151
151
152
158
160
161
162
163
163
165
167
172
177
185
189
190
192
199
199
200
200
201
205
206
207
209
210
211
211
213
213
213
214
217
218
219
220
222
222
226
227
Gua de referencia de interfaz web, versin 7.0 v
Contenido
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
229
Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Traslado o duplicacin de una poltica o un objeto . . . . . . . . . . . . . . . . . . .
Cancelacin o reversin de una regla de seguridad predeterminada . . . .
Cancelacin o reversin de un objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de usuarios y aplicaciones para las polticas. . . . . . . . . . . . .
Definicin de polticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripcin general de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloques de creacin de una poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Creacin y gestin de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinacin de configuracin de zona en NAT y poltica de seguridad . . .
Opciones de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de poltica NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino/aplicacin/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Protocolo/Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Accin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opcin/Proteccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vi Gua de referencia de interfaz web, versin 7.0
230
230
232
233
234
235
235
236
237
245
247
248
250
250
251
252
252
256
256
257
258
260
261
262
263
264
265
266
266
267
268
268
269
269
270
270
271
271
272
272
273
273
274
274
274
275
276
276
277
Palo Alto Networks
Contenido
Acciones en perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cuadro de dilogo Perfil de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de anlisis de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de objetos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripcin general de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del explorador de etiquetas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestin de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . .
Definicin de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . .
Categoras de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
277
279
279
280
281
281
285
289
293
297
298
300
302
303
304
307
308
308
314
317
317
318
319
320
321
322
323
325
326
328
328
329
332
334
335
336
341
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
343
Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Centro de control de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Uso
Palo Alto Networks
Vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Informe Supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Gua de referencia de interfaz web, versin 7.0 vii
Contenido
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Visualizacin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Interaccin con logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualizacin de la informacin del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 368
Uso del motor de correlacin automatizada . . . . . . . . . . . . . . . . . . . . . . . 369
Visualizacin de los objetos de correlacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Visualizacin de los eventos correlacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Configuracin del informe de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Gestin de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 376
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Programacin de informes para entrega de correos electrnicos . . . . . . . 378
Visualizacin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Descripcin general de captura de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Componentes de una captura de paquetes personalizada . . . . . . . . . . . . . . . . 382
Habilitacin de captura de paquetes de amenazas . . . . . . . . . . . . . . . . . . . . . . 385
Captulo 7
Configuracin del cortafuegos para el usuario de usuarios . . . . . . . . . .
387
Configuracin del cortafuegos para la identificacin de usuarios . . . . . . . . . . .

Pestaa Asignacin de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Configuracin de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . .
387
388
395
397
397
400
Captulo 8
Configuracin de tneles de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
403
Definicin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Gestin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General de puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opciones avanzadas de puerta de enlace de IKE . . . . . . . . . . . . . . . .
Reinicie o actualice una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Gestin de tneles VPN de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General del tnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Identificadores proxy de Tnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . .
Visualizacin del estado del tnel de IPSec en el cortafuegos . . . . . . . . . . . . . .
Reinicie o actualice un tnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles criptogrficos de IKE . . . . . . . . . . . . . . . . . . . . . . . .

Definicin de perfiles criptogrficos de IPSec . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles criptogrficos de IPSec . . . . . . . . . . . . . . . . . . . . . .
viii Gua de referencia de interfaz web, versin 7.0
404
404
407
409
409
410
410
412
413
413
414
415
416
Palo Alto Networks
Contenido
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
417
Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

Pestaa Configuracin de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaa Configuracin clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Pestaa Configuracin Satlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Configuracin de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . 429
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Pestaa Configuracin clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Pestaa Configuracin Satlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Configuracin del acceso de la puerta de enlace a un gestor
de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Creacin de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaa Dispositivo mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Pestaa Administracin de parches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Pestaa Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Pestaa Antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaa Copia de seguridad de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaa Cifrado de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Pestaa Prevencin de prdida de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Pestaa Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuracin de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuracin y activacin del agente de GlobalProtect . . . . . . . . . . . . . . . . . 451
Configuracin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .
455
Definicin de un perfil de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Definicin de una poltica de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Habilitacin de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . 463
Descripcin general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Habilitacin de la QoS en una interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Supervisin de una interfaz de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Captulo 11
Gestin centralizada del dispositivo mediante Panorama . . . . . . . . . . .
467
Pestaa Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Configuracin de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . 472
Configuracin de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . 479
Definicin de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Objetos y polticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Aplicacin de polticas a dispositivos especficos de
un grupo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Palo Alto Networks
Gua de referencia de interfaz web, versin 7.0 ix
Contenido
Definicin de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 482

Creacin de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . 483
Especificacin de dominios de acceso de Panorama para administradores . . . 486
Compilacin de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 488
Gestin de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . 490
Definicin de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Definicin de pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Cancelacin de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Duplicacin de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Eliminacin o deshabilitacin de plantillas o pilas de plantillas . . . . . . . . . . . . . 495
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Habilitacin del reenvo de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Gestin de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Cmo aadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Instalacin de una actualizacin de software en un recopilador de logs . . . . . . 504
Definicin de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . 504
Generacin de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . 508
Gestin de actualizaciones de dispositivos y licencias . . . . . . . . . . . . . . . . 509
Programacin de actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . . . 511
Programacin de exportaciones de configuracin. . . . . . . . . . . . . . . . . . . 512
Actualizacin del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 514
Registro del cortafuegos VM-Series como servicio en

el administrador NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Actualizacin de informacin del administrador de servicios VMware . . . . 517
Apndice A
Compatibilidad con los estndares federales de procesamiento de la
informacin/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
519
Activacin del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519

Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
x Gua de referencia de interfaz web, versin 7.0
521
Palo Alto Networks
Captulo 1
Introduccin
Esta seccin proporciona una descripcin general del cortafuegos:
Descripcin general del cortafuegos

Caractersticas y ventajas
Interfaces de gestin
Descripcin general del cortafuegos

Palo Alto Networks ofrece una gama completa de dispositivos de seguridad de nueva
generacin, que van desde el cortafuegos PA-200, diseado para oficinas remotas de una
empresa, hasta el cortafuegos de la serie PA-7000, que es un chasis modular diseado para
centros de datos de alta velocidad. El cortafuegos le permite especificar polticas de seguridad
basadas en la identificacin precisa de cada una de las aplicaciones que atraviesen su red.
A diferencia de los cortafuegos tradicionales que nicamente identifican las aplicaciones por
su protocolo y nmero de puerto, el cortafuegos de nueva generacin de Palo Alto Networks
utiliza la inspeccin de paquetes y una biblioteca de firmas de aplicaciones para distinguir
entre aplicaciones que tengan protocolos y puertos idnticos, as como para identificar
aplicaciones potencialmente malintencionadas que no utilicen puertos estndar.
Para habilitar de forma segura el uso de aplicaciones, mantener una visibilidad y un control
absolutos y proteger la organizacin de las ciberamenazas ms recientes, puede definir
polticas de seguridad para aplicaciones especficas o grupos de aplicaciones en lugar de
utilizar una nica poltica para todas las conexiones al puerto 80. Puede especificar una
poltica de seguridad para cada aplicacin identificada con el fin de bloquear o permitir el
trfico basndose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cada
poltica de seguridad puede especificar perfiles de seguridad como proteccin frente a virus,
spyware y otras amenazas.
Palo Alto Networks
Gua de referencia de interfaz web, versin 7.0 1
Los cortafuegos de prxima generacin de Palo Alto Networks ofrecen un control detallado
del trfico que tiene permiso para acceder a su red. Las principales caractersticas y ventajas
incluyen las siguientes:
Cumplimiento de polticas basadas en aplicaciones (App-ID): El control de acceso

segn el tipo de aplicacin es mucho ms eficaz cuando la identificacin de las
aplicaciones no se basa nicamente en el protocolo y el nmero de puerto. El servicio
App-ID puede bloquear aplicaciones de alto riesgo, as como comportamientos de alto
riesgo, como el intercambio de archivos, y el trfico cifrado con el protocolo Secure
Sockets Layer (SSL) puede descifrarse e inspeccionarse.
Identificacin de usuarios (User-ID): La identificacin de usuarios (User-ID) permite

que los administradores configuren y apliquen polticas de cortafuegos basadas en
usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o adems de estas.
El cortafuegos puede comunicarse con numerosos servidores de directorio, como
Microsoft Active Directory, eDirectory, SunOne, OpenLDAP y la mayora de los otros
servidores de directorio basados en LDAP, para proporcionar informacin de usuarios y
grupos al cortafuegos. A continuacin podr utilizar esta informacin para una
habilitacin segura de aplicaciones que puede definirse por usuario o por grupo. Por
ejemplo, el administrador podra permitir que una organizacin utilizara una aplicacin
basada en Internet e impedir que cualquier otra organizacin de la empresa utilizarla la
misma aplicacin. Tambin puede configurar un control detallado de determinados
componentes de una aplicacin basndose en usuarios y grupos (consulte Configuracin
del cortafuegos para el usuario de usuarios).
Prevencin de amenazas: Los servicios de prevencin de amenazas que protegen la red

frente a virus, gusanos, spyware y otro trfico malintencionado pueden variar segn la
aplicacin y el origen del trfico (consulte Perfiles de seguridad).
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL).
Visibilidad del trfico: Los extensos informes, registros y mecanismos de notificacin

ofrecen una visibilidad detallada del trfico de aplicaciones y los eventos de seguridad en la
red. El centro de comando de aplicacin (ACC) de la interfaz web identifica las aplicaciones
con mayor trfico y el ms alto riesgo de seguridad (consulte Informes y logs).
Versatilidad de red y velocidad: El cortafuegos de Palo Alto Networks puede aadirse o

sustituir a su cortafuegos existente, y puede instalarse de manera transparente en cualquier
red o configurarse para permitir un entorno conmutado o enrutado. Las velocidades de
varios gigabits y la arquitectura de un nico paso le ofrecen estos servicios sin apenas
afectar a la latencia de red.
GlobalProtect: El software GlobalProtect protege los sistemas cliente, como

ordenadores porttiles, que se utilizan a nivel de campo, permitiendo iniciar sesin de
manera fcil y segura desde cualquier parte del mundo.
Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad (HA) ofrece una

tolerancia a fallos automtica en el caso de cualquier interrupcin en el hardware o el
software (consulte Habilitacin de HA en el cortafuegos).
2 Gua de referencia de interfaz web, versin 7.0
Palo Alto Networks
Elaboracin de anlisis e informes sobre software malintencionado: El servicio de

seguridad WildFire proporciona anlisis e informes detallados sobre el software
malintencionado que pasa por el cortafuegos.
Cortafuegos de la VM-Series: Un cortafuegos de VM-Series proporciona una instancia

virtual de PAN-OS situada para su uso en un entorno de centro de datos virtualizado y
es perfecto para sus entornos de computacin en la nube privados, pblicos e hbridos.
Gestin y Panorama: Puede gestionar cada cortafuegos mediante una interfaz web
intuitiva o una interfaz de lnea de comandos (CLI). Del mismo modo, puede gestionar
todos los dispositivos de manera centralizada mediante el sistema de gestin centralizado
de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
cortafuegos de Palo Alto Networks.
Los cortafuegos de prxima generacin de Palo Alto Networks admiten las siguientes
interfaces de gestin.
Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS

desde un explorador web.
CLI: La configuracin y la supervisin basadas en texto se realizan a travs de Telnet,

Secure Shell (SSH) o el puerto de la consola.
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos.
La interfaz de Panorama es parecida a la interfaz web del cortafuegos pero con funciones
de gestin adicionales (consulte Gestin centralizada del dispositivo mediante
Panorama para obtener informacin sobre el uso de Panorama).
API XML: Proporciona una interfaz basada en la transferencia de estado representacional

(REST) para acceder a la configuracin de dispositivos, el estado de funcionamiento,
informes y capturas de paquetes desde el cortafuegos. Hay disponible un explorador de
API en el cortafuegos en https://cortafuegos/api, donde cortafuegos es el nombre de host o la
direccin IP del cortafuegos. Este enlace proporciona ayuda sobre los parmetros
necesarios para cada tipo de llamada de la API.
Palo Alto Networks
Palo Alto Networks
Captulo 2
Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar el cortafuegos de
Palo Alto Networks:
Uso de la interfaz web del cortafuegos de Palo Alto Networks

Obtencin de ayuda para la configuracin del cortafuegos
Palo Alto Networks
Uso de la interfaz web del cortafuegos de

Palo Alto Networks
Elemento
Descripcin
Haga clic en las pestaas de la parte superior para ver los elementos de
configuracin bajo esa categora. El elemento resaltado es el que est seleccionado.
Seleccione una opcin del panel de la izquierda para ver las opciones de una
pestaa. Por ejemplo, en la captura de pantalla anterior, el panel Enrutadores
virtuales est seleccionado en la pestaa Red. Este documento identifica esta
ruta de navegacin en la interfaz web como Red > Enrutadores virtuales.
En el caso de algunas pestaas, las opciones de configuracin estn anidadas.
Haga clic en la
lista desplegable del panel de la izquierda para expandir y
contraer las opciones de configuracin incluidas en el panel.
Palo Alto Networks
Elemento
Descripcin
Los botones de accin varan segn la pgina pero la mayora de las pginas
incluyen los botones siguientes:
Aadir: Haga clic en Aadir para crear un nuevo elemento.
Eliminar: Para eliminar uno o ms elementos, seleccione las casillas de
verificacin junto al elemento y haga clic en Eliminar. Haga clic en
ACEPTAR para confirmar la eliminacin o haga clic en Cancelar para
cancelar la operacin.
Modificar: Haga clic en el elemento con hiperenlace en la columna Nombre.
Los campos obligatorios muestran un fondo amarillo claro.
Para modificar secciones dentro de una pgina (por ejemplo,

Dispositivos > Configuracin), haga clic en el icono de la esquina
superior derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o
Guardar para almacenar los cambios. Cuando haga clic en ACEPTAR,
se actualizar la configuracin candidata. Para guardar los cambios en la
configuracin que se est ejecutando, debe hacer clic en Compilar para
guardar los cambios.
4
Palo Alto Networks
Cierre de sesin: Haga clic en el botn Cierre de sesin para cerrar la sesin
de la interfaz web.
Elemento
Descripcin
Tareas: Haga clic en el icono Tareas para ver la lista actual de Todos los
elementos siguientes o aquellos que estn En ejecucin: Tareas, Trabajos y
Peticiones de log. Utilice la lista desplegable Mostrar para filtrar la lista de
tareas. La ventana Gestor de tareas muestra la lista de tareas, junto con los
estados, fechas de inicio, mensajes asociados y acciones.
Idioma: Haga clic en Idioma para seleccionar el idioma que desee en la lista
desplegable de la ventana Preferencia de idioma y, a continuacin, haga clic
en ACEPTAR para guardar el cambio. A menos que especifique una
preferencia de idioma, el idioma de la interfaz web ser el mismo que el
idioma actual del ordenador desde el que inicie sesin. Por ejemplo, si el
ordenador que utiliza para gestionar el cortafuegos tiene el espaol como
configuracin regional, la interfaz web estar en espaol cuando inicie
sesin en el cortafuegos.
Alarmas: Haga clic en Alarmas para ver la lista actual de alarmas en el log
de alarmas. Para habilitar alarmas y notificaciones de alarmas web, vaya a
Dispositivo > Configuracin de log > Alarmas. La lista mostrar las
alarmas no reconocidas y reconocidas. Para reconocer alarmas, seleccione las
casillas de verificacin y haga clic en Reconocer. Esta accin pasa las alarmas
a la lista Alarmas de reconocimiento.
6
Las tablas le permiten ordenar los datos y mostrar u ocultar las columnas que
puede ver en la pgina. Haga clic en el encabezado de una columna para
ordenar segn esa columna y haga clic de nuevo para invertir el orden. Para
mostrar u ocultar columnas, haga clic en la flecha situada a la derecha de
cualquier columna y seleccione o cancele la seleccin de la correspondiente
casilla de verificacin para mostrar u ocultar la columna en la pantalla.
Palo Alto Networks
Elemento
Descripcin
Utilice el cuadro de entrada de filtro para buscar trminos, nombres o palabras

claves de los elementos de la pgina. El nmero total de elementos de la pgina
se muestra en la esquina izquierda del cuadro de entrada de filtro. Para aplicar
un filtro, haga clic en ; para borrar un filtro, haga clic en . Los resultados de
la bsqueda se mostrarn y el nmero de coincidencias aparecer como una
fraccin de los elementos totales mostrados en la esquina izquierda del cuadro
de entrada de filtro.
Si desea ms informacin sobre Compilar, consulte Compilacin de cambios.

Si desea ms informacin sobre Bloqueos, consulte Bloqueo de transacciones.
Si desea ms informacin sobre Bsqueda, consulte Bsqueda de la
configuracin.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo
Compilar.
Las opciones siguientes estn disponibles en el cuadro de dilogo Compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones siguientes:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (Solamente los cortafuegos con varios
sistemas virtuales) Incluir los cambios de configuracin de objetos compartidos en la
operacin de compilacin.
Incluir polticas y objetos: (Solamente los cortafuegos que no pueden configurarse o
que no estn configurados para permitir varios sistemas virtuales) Incluir los cambios
de configuracin de polticas y objetos en la operacin de compilacin.
Palo Alto Networks
Los cambios de configuracin que abarcan varias reas de configuracin pueden

requerir una compilacin completa. Por ejemplo, si hace clic en Compilar y
nicamente selecciona la opcin Incluir configuracin de dispositivo y red, algunos
de los elementos que cambi en la pestaa Dispositivo no se compilarn. Esto incluye
certificados y opciones de ID de usuario, as como perfiles de servidor utilizados para ID
de usuario, como un perfil de servidor LDAP. Esto tambin puede suceder si realiza
una compilacin parcial tras importar una configuracin. Para compilar estos tipos de
cambios, realice una compilacin completa y seleccione las opciones de configuracin
Incluir configuracin de dispositivo y red e Incluir polticas y objetos.
Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Si desea ms informacin sobre la compilacin de cambios, consulte Definicin de la
configuracin de operaciones.
Vista previa de cambios: Haga clic en Vista previa de cambios para abrir una ventana
con dos paneles que muestra los cambios propuestos en la configuracin candidata en
comparacin con la configuracin que se est ejecutando actualmente. Puede seleccionar
el nmero de lneas que se mostrarn o mostrar todas las lneas. Los cambios estn
indicados con colores dependiendo de los elementos que se han agregado, modificado o
eliminado. La funcin Dispositivo > Auditora de configuraciones realiza la misma
funcin (consulte Comparacin de archivos de configuracin).
Validar cambios: Haga clic en Validar cambios para realizar una validacin sintctica
(comprobar que la sintaxis de la configuracin sea correcta) y una validacin
semntica (comprobar que la configuracin est completa y tiene sentido) de la
configuracin del cortafuegos antes de compilar los cambios. La respuesta incluir
todos los errores y advertencias que incluira una compilacin completa o una
compilacin de sistemas virtuales, incluidas las advertencias de dependencias de
aplicaciones y atenuacin de reglas; sin embargo, no se realizan cambios en la
configuracin que se est ejecutando. Esta validacin le ayuda a saber si un cambio
puede compilarse correctamente antes de realizar dicha compilacin, lo que reduce los
fallos considerablemente en el momento de la compilacin. La opcin Validar est
disponible en los perfiles de funcin de administrador para que pueda controlar quin
puede validar las configuraciones.
A partir de PAN-OS 7.0 y Panorama 7.0, el cortafuegos ya no finaliza una compilacin cuando
aparece el primer error. Por el contrario, el cortafuegos recopila y muestra todos los errores y,
a continuacin, finaliza la compilacin. Esto permite que un administrador vea todos los
errores inmediatamente tras un fallo de compilacin y evita el ciclo de varias compilaciones
que devuelven errores adicionales que tambin deben solucionarse antes de que todos los
cambios se compilen correctamente.
Bsqueda de la configuracin
La bsqueda global le permite buscar en la configuracin candidata en un cortafuegos o en
Panorama una cadena especfica, como una direccin IP, un nombre de objeto, un nombre de
poltica, un ID de amenaza o un nombre de aplicacin. Los resultados de bsqueda se agrupan
por categora y proporcionan enlaces a la ubicacin de la configuracin en la interfaz web, de
modo que pueda encontrar fcilmente todos los lugares donde se hace referencia a la cadena.
A continuacin tiene una lista de funciones de bsqueda global que le ayudarn a realizar
bsquedas correctamente:
Palo Alto Networks
Si inicia una bsqueda en un cortafuegos con varios sistemas virtuales habilitados o si

hay funciones de administrador definidas, la bsqueda global solamente devolver
resultados de las reas del cortafuegos para las que tenga permisos. Lo mismo ocurre con
los grupos de dispositivos de Panorama. En este caso, ver resultados de bsqueda de
cualquier grupo de dispositivos para el que tenga permisos.
Los espacios del texto de bsqueda se tratan como operaciones AND. Por ejemplo,
si busca poltica corporativa, tanto la palabra poltica como la palabra corporativa
deben existir en el elemento de configuracin para encontrarlo.
Para encontrar una frase exacta, indquela entre comillas.

La bsqueda global buscar la configuracin candidata.
Para volver a ejecutar una bsqueda anterior, haga clic en el icono Bsqueda situado en
la parte superior derecha de la interfaz web y aparecer una lista con las ltimas
20 bsquedas. Haga clic en un elemento de la lista para volver a ejecutar dicha bsqueda.
La lista del historial de bsqueda es exclusiva de cada cuenta de administrador.
Puede iniciar una bsqueda global haciendo clic en el icono Bsqueda situado en la parte
superior derecha de la interfaz web de gestin o haciendo clic en Bsqueda global en
cualquier rea de la interfaz web que admita las bsquedas globales. La captura de pantalla
siguiente muestra el icono Bsqueda que es visible desde todas las reas de la interfaz web.
Para acceder a la funcin Bsqueda global desde dentro de un rea de configuracin, haga clic
en la lista desplegable situada junto a un elemento y haga clic en Bsqueda global. La captura
de pantalla siguiente muestra el icono Bsqueda global que aparece cuando hace clic en la
lista desplegable situada a la derecha de un nombre de poltica de seguridad.
Palo Alto Networks
El icono Bsqueda global est disponible para todos los campos que permitan la bsqueda.
Por ejemplo, en el caso de una poltica de seguridad, puede buscar los campos siguientes:
Nombre, Etiquetas, Zona, Direccin, Usuario, Perfil HIP, Aplicacin y Servicio. Para
realizar una bsqueda, solamente tiene que hacer clic en la lista desplegable situada junto a
cualquiera de estos campos y hacer clic en Bsqueda global. Por ejemplo, si hace clic en
Bsqueda global en una zona denominada l3-vlan-trust, buscar en toda la configuracin de
ese nombre de zona y devolver resultados de cada ubicacin donde se haga referencia a la
zona. Los resultados de bsqueda se agrupan por categora y puede pasar el cursor por
encima de cualquier elemento para ver informacin detallada o hacer clic en el elemento para
desplazarse a su pgina de configuracin.
La captura de pantalla siguiente muestra los resultados de bsqueda de la zona l3-vlan-trust:
Las bsquedas globales no buscarn contenido dinmico (como logs, intervalos de

direcciones o direcciones individuales de DHPC) asignado a usuarios por parte del
cortafuegos. En el caso de DHCP, puede buscar un atributo de servidor DHCP,
como la entrada DNS, pero no puede buscar direcciones individuales emitidas para
usuarios. Otro ejemplo son los nombres de usuarios recopilados cuando la funcin
User-ID est habilitada. En este caso, un nombre de usuario o un grupo de
usuarios que exista en la base de datos de User-ID solamente se puede buscar si el
nombre o el grupo existe en la configuracin, como en la definicin de un nombre
de grupo de usuarios en una poltica. Por lo general, solamente puede buscar
contenido que el cortafuegos escriba en la configuracin.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de
configuracin o compilacin de informacin por otro administrador hasta que se elimine el
bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin: Bloquea la realizacin de cambios en la configuracin por

otros administradores. Se puede establecer este tipo de bloqueo de forma general o para
un sistema virtual. Solamente puede eliminarse por el administrador que configur el
bloqueo o por un superusuario del sistema.
Bloqueo de compilacin: Bloquea los cambios de compilacin por parte de otros

administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita
enfrentamientos que se pueden producir cuando dos administradores estn realizando
cambios a la vez y el primer administrador finaliza y compila cambios antes de que
finalice el segundo administrador. El bloqueo se libera cuando el administrador que
Palo Alto Networks
aplic el bloqueo compila los cambios actuales; el bloqueo tambin puede liberarse
manualmente por parte del administrador que realiz el bloqueo o por un superusuario
del sistema.
Cualquier administrador puede abrir la ventana de bloqueos para visualizar las transacciones
actuales que estn bloqueadas, junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono Bloqueo desbloqueado
en la barra
superior para abrir el cuadro de dilogo Bloqueos. Haga clic en Aplicacin de un bloqueo,
seleccione el mbito del bloqueo desde la lista desplegable y haga clic en ACEPTAR. Agregue
bloqueos adicionales segn sea necesario y, a continuacin, haga clic en Cerrar para cerrar el
cuadro de dilogo Bloqueo. La transaccin est bloqueada y el icono de la barra superior cambia a
un icono Bloqueo bloqueado que muestra el nmero de elementos bloqueados entre parntesis.
Para desbloquear una transaccin, haga clic en el icono Bloqueo bloqueado

en la barra
superior para abrir la ventana Bloqueos. Haga clic en el icono
del bloqueo que quiera eliminar
y haga clic en S para confirmar. Haga clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica
seleccionando la casilla de verificacin Adquirir bloqueo de compilacin automticamente
en el rea de administracin de la pgina Configuracin de dispositivo (consulte
Configuracin del sistema, configuracin y gestin de licencias).
Palo Alto Networks
Exploradores compatibles
Las versiones mnimas de los exploradores web compatibles para acceder a la interfaz web del
cortafuegos son las siguientes:
Internet Explorer 7
Firefox 3.6
Safari 5
Chrome 11

Utilice la informacin que aparece en esta seccin para obtener ayuda con el uso del
cortafuegos.
Cmo obtener ms informacin

Para obtener ms informacin acerca del cortafuegos, consulte:
Informacin general: Visite http://www.paloaltonetworks.com.

Documentacin: Para obtener informacin sobre funciones adicionales e instrucciones
sobre cmo configurar las funciones en el cortafuegos, consulte
https://www.paloaltonetworks.com/documentation.
Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web
para acceder al sistema de ayuda en lnea.
Base de conocimientos: Para acceder a la base de conocimientos, rea de colaboracin

para la interaccin cliente/socio, foros de debate y vdeos, vaya a
https://live.paloaltonetworks.com.
Asistencia tcnica
Para obtener asistencia tcnica, informacin sobre los programas de asistencia tcnica o
gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.
Palo Alto Networks
Captulo 3
Gestin de dispositivos
Utilice las siguientes secciones para obtener referencia de campo sobre la configuracin de
sistema bsica y tareas de mantenimiento en el cortafuegos:
Configuracin del sistema, configuracin y gestin de licencias

Definicin de orgenes de informacin de VM
Instalacin de software
Actualizacin de definiciones de aplicaciones y amenazas
Funciones, perfiles y cuentas de administrador
Configuracin de perfiles de autenticacin
Creacin de una base de datos de usuario local
Cmo aadir grupos de usuarios locales
Configuracin de ajustes de servidor RADIUS
Configuracin de ajustes del servidor TACACS+
Configuracin de ajustes de servidor LDAP
Configuracin de ajustes del servidor Kerberos
Configuracin de una secuencia de autenticacin
Creacin de un perfil del certificado
Programacin de exportaciones de logs
Definicin de destinos de logs
Configuracin de ajustes de flujo de red
Uso de certificados
Cifrado de claves privadas y contraseas del cortafuegos
Habilitacin de HA en el cortafuegos
Palo Alto Networks
Gua de referencia de interfaz web , versin 7.0 15
Definicin de sistemas virtuales

Definicin de pginas de respuesta personalizadas
Visualizacin de informacin de asistencia tcnica

En las siguientes secciones se describe cmo definir la configuracin de red para el acceso de
gestin (el cual define las rutas de servicio y los servicios), y cmo gestionar las opciones de
configuracin (como los tiempos de espera de sesin globales, identificacin de contenido,
anlisis e informes de software malintencionado de WildFire):
Definicin de la configuracin de gestin

Definicin de la configuracin de operaciones
Definicin de mdulos de seguridad de hardware
Habilitacin de supervisin de SNMP
Definicin de la configuracin de servicios
Definicin de un perfil de servidor de DNS
Definicin de la configuracin de ID de contenido
Configuracin de ajustes de WildFire
Definicin de la configuracin de sesin
Comparacin de archivos de configuracin
Instalacin de una licencia

Dispositivo > Configuracin > Gestin
Panorama > Configuracin > Gestin
En un cortafuegos, utilice la pestaa Dispositivo > Configuracin > Gestin para configurar
la configuracin de gestin.
En Panorama, use la pestaa Dispositivo > Configuracin > Gestin para configurar los
cortafuegos que quiere gestionar con plantillas de Panorama. Utilice la pestaa Panorama >
Configuracin > Gestin para configurar los ajustes para Panorama.
Para la gestin de cortafuegos, de forma optativa tambin puede utilizar la
direccin IP de una interfaz de loopback para el puerto de gestin (consulte
Configuracin de una interfaz de bucle invertido).
Configure los siguientes ajustes de gestin. Estos se aplican tanto al cortafuegos como a
Panorama, excepto donde se indique otra cosa.
16 Gua de referencia de interfaz web , versin 7.0
Palo Alto Networks
Configuracin general
Configuracin de autenticacin
Ajustes de Panorama: Dispositivo > Configuracin > Gestin (ajustes configurados en
el cortafuegos para la conexin a Panorama)
Ajustes de Panorama: Panorama > Configuracin > Gestin (ajustes configurados en

Panorama para la conexin a los cortafuegos)
Configuracin de interfaz de gestin

Ajustes de la interfaz Eth1 (nicamente en Panorama)
Ajustes de la interfaz Eth2 (nicamente en Panorama)
Configuracin de log e informes
Complejidad de contrasea mnima
Tabla 1. Configuracin de gestin
Elemento
Descripcin
Configuracin general
Nombre de host
Introduzca un nombre de host (de hasta 31 caracteres). El nombre hace

distincin entre maysculas y minsculas y debe ser exclusivo. Utilice
nicamente letras, nmeros, espacios, guiones y guiones bajos.
Dominio
Introduzca el nombre de dominio completo (FQDN) del cortafuegos

(de hasta 31 caracteres).
Titular de inicio de
sesin
Introduzca el texto personalizado que aparecer en la pgina de inicio de

sesin del cortafuegos. El texto se muestra debajo de los campos Nombre
y Contrasea.
Perfil de servicio
SSL/TLS
Asigne un perfil de servicio SSL/TLS existente o cree uno nuevo para

especificar un certificado y los protocolos permitidos para proteger el
trfico entrante en la interfaz de gestin del dispositivo. Para obtener ms
informacin, consulte Gestin de perfiles de servicio SSL/TLS.
Si selecciona ninguno, el dispositivo usa el certificado autofirmado
preconfigurado.
Nota: Se recomienda no usar el certificado predeterminado. Para obtener una
mejor seguridad, se recomienda que asigne un perfil de servicio SSL/TLS asociado
a un certificado que haya firmado una entidad de certificacin (CA) de confianza.
Zona horaria
Seleccione la zona horaria del cortafuegos.
Configuracin regional
Seleccione un idioma para los informes en PDF de la lista desplegable.

Consulte Gestin de informes de resumen en PDF.
Aunque haya establecido una preferencia de idioma especfica para la
interfaz web, los informes en PDF seguirn utilizando el idioma
especificado en este ajuste de configuracin regional. Consulte las
preferencias de idioma en Uso de la interfaz web del cortafuegos de
Palo Alto Networks.
Palo Alto Networks
Tabla 1. Configuracin de gestin (Continuacin)

Elemento
Descripcin
Hora
Defina la fecha y hora del cortafuegos:

Introduzca la fecha actual (con el formato AAAA/MM/DD), o bien
seleccione la fecha de la lista desplegable.
Introduzca la hora actual con el formato de 24 horas (HH:MM:SS).
Nota: Tambin puede definir un servidor NTP desde Dispositivo >
Configuracin > Servicios.
Nmero de serie (solo

mquinas virtuales de
Panorama)
Introduzca el nmero de serie de Panorama. Busque el nmero de serie

en el correo electrnico de ejecucin de pedido que se le ha enviado.
Ubicacin geogrfica
Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0) del
cortafuegos.
Adquirir bloqueo de
compilacin
automticamente
Marque la casilla de verificacin para aplicar automticamente un

bloqueo de compilacin cuando cambie la configuracin candidata. Para
obtener ms informacin, consulte Bloqueo de transacciones.
Comprobacin del
vencimiento del
certificado
Indique al cortafuegos que deber crear mensajes de advertencia cuando

se acerque la fecha de vencimiento de los certificados integrados.
Capacidad de
cortafuegos virtuales
Habilita el uso de varios sistemas virtuales en cortafuegos que admiten

esta funcin (consulte Definicin de sistemas virtuales).
Base de datos de filtrado

de URL (nicamente en
Panorama)
Seleccione un proveedor de filtrado de URL en Panorama: brightcloud o

paloaltonetworks (PAN-DB).
Use direcciones MAC

asignadas por el
hipervisor (nicamente
cortafuegos VM-Series)
Seleccione la casilla de verificacin para que el cortafuegos VM-Series use

las direcciones MAC asignadas por el hipervisor, en lugar de generar una
direccin MAC usando el esquema personalizado de PAN-OS.
Si habilita esta opcin y usa una direccin IPv6 para la interfaz, el ID de
la interfaz no debe usar el formato EUI-64, que procede de la direccin
IPv6 de la direccin MAC de la interfaz. En una configuracin activa/
pasiva de alta disponibilidad (HA), se produce un error de compilacin si
se usa el formato EUI-64.
Configuracin de autenticacin
Perfil de autenticacin
Seleccione el perfil de autenticacin (o secuencia) para autenticar

administradores que tengan cuentas externas (cuentas no definidas en el
dispositivo). Para este ajuste solo estn disponibles los perfiles de
autenticacin que tengan un tipo definido en RADIUS y que hagan
referencia a un perfil de servidor RADIUS. Cuando los administradores
externos inician sesin, el dispositivo les solicita la informacin de
autenticacin (incluido el rol del administrador) desde el servidor RADIUS.
Para permitir la autenticacin de administradores externos, debe instalar
tambin el archivo de diccionario RADIUS de Palo Alto Networks en el
servidor RADIUS. Este archivo define los atributos de autenticacin
necesarios para la comunicacin entre el dispositivo y el servidor
RADIUS. Consulte la documentacin de software del servidor RADIUS
para obtener instrucciones sobre la ubicacin de instalacin del archivo.
Si selecciona Ninguno, el dispositivo no autenticar a los
administradores externos y estos no podrn iniciar sesin.
Si desea informacin detallada, consulte Configuracin de perfiles de
autenticacin y Configuracin de ajustes de servidor RADIUS.
Nota: Si un administrador es local, el dispositivo usa el perfil de autenticacin
asociado con la cuenta del administrador para su autenticacin (consulte
Creacin de cuentas administrativas).
Palo Alto Networks

Elemento
Descripcin
Perfil del certificado
Seleccione el perfil del certificado que debe utilizar el administrador para

acceder al cortafuegos. Para obtener instrucciones sobre cmo configurar
perfiles de autenticacin, consulte Creacin de un perfil del certificado.
Tiempo de espera
de inactividad
Introduzca el intervalo de tiempo de espera en minutos (intervalo: 0-1440;

predeterminado: 0). Si el valor es 0, la sesin de gestin, interfaz web o de
CLI no presenta ningn tiempo de espera.
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos

(intervalo: 0-10; predeterminado: 0) que PAN-OS permite para la interfaz
web y la CLI antes de bloquear la cuenta. Un valor de 0 significa que el
nmero de intentos es ilimitado.
Tiempo de bloqueo
Introduzca el nmero de minutos (intervalo: 0-60; predeterminado: 0)

que PAN-OS bloquea a un usuario si este alcanza el lmite de intentos
fallidos. Un valor de 0 significa que el nmero de intentos es ilimitado.
Ajustes de Panorama: Dispositivo > Configuracin > Gestin

Configure el siguiente ajuste en el cortafuegos o en una plantilla de Panorama. Estos ajustes
establecen una conexin entre el cortafuegos y Panorama.
Tambin debe configurar los ajustes de conexin y uso compartido del objeto en Panorama; consulte
Ajustes de Panorama: Panorama > Configuracin > Gestin.
Servidores de Panorama
Introduzca la direccin IP del servidor de Panorama. Si Panorama tiene

una configuracin de alta disponibilidad (HA), introduzca la direccin IP
del servidor secundario de Panorama en el segundo campo Servidores
de Panorama.
Tiempo de espera de
recepcin para conexin
a Panorama
Introduzca el tiempo de espera en segundos para recibir mensajes de

TCP de Panorama (intervalo: 1-240 segundos; predeterminado: 240).
Tiempo de espera de
envo para conexin a
Panorama
Introduzca el tiempo de espera en segundos para enviar mensajes de TCP

a Panorama (intervalo: 1-240 segundos; predeterminado: 240).
Reintentar recuento de
envos SSL a Panorama
Introduzca el nmero de reintentos permitidos al enviar mensajes de capa

de sockets seguros (SSL) a Panorama (intervalo: 1-64; predeterminado: 25).
Deshabilitar/Habilitar
objetos y poltica de
Panorama
Este botn aparece cuando edita los Ajustes de Panorama en un

cortafuegos (no en una plantilla en Panorama).
Al hacer clic en Desactivar poltica y objetos de Panorama, se deshabilita
la propagacin de las polticas de grupo de dispositivos y objetos al
cortafuegos. De forma predeterminada, esta accin tambin elimina estas
polticas y objetos del cortafuegos. Para conservar una copia local de las
polticas y objetos del grupo de dispositivos del cortafuegos, en el cuadro
de dilogo que se abre al hacer clic en el botn, seleccione la casilla de
verificacin Importar poltica y objetos de Panorama antes de
desactivar. Despus de realizar una compilacin, las polticas y objetos
pasan a formar parte de la configuracin del cortafuegos y Panorama
deja de gestionarlos.
En condiciones normales de funcionamiento, desactivar la gestin de
Panorama es innecesario y podra complicar el mantenimiento y la
configuracin de los cortafuegos. Esta opcin suele aplicarse a
situaciones en las que los cortafuegos requieren valores de objetos y
reglas diferentes a los definidos en el grupo de dispositivos. Un ejemplo
de esto consiste en retirar un cortafuegos del entorno de trabajo e
introducirlo en un entorno de laboratorio para realizar pruebas.
Para invertir la poltica de cortafuegos y la gestin de objetos en
Panorama, haga clic en Habilitar objetos y poltica de Panorama.
Palo Alto Networks

Elemento
Descripcin
Deshabilitar/habilitar
plantilla de dispositivo
y red
Este botn aparece cuando edita los Ajustes de Panorama en un

cortafuegos (no en una plantilla en Panorama).
Al hacer clic en Desactivar dispositivo y plantilla de red, se deshabilita
la propagacin de informacin de plantillas (configuraciones de
dispositivo y red) al cortafuegos. De forma predeterminada, esta accin
tambin elimina la informacin de plantilla del cortafuegos. Para
conservar una copia de la informacin de la plantilla en el cortafuegos,
en el cuadro de dilogo que se abre al hacer clic en el botn seleccione la
casilla de verificacin Importar plantillas de dispositivo y red antes de
deshabilitar. Despus de realizar una compilacin, la informacin de la
plantilla pasa a formar parte de la configuracin del cortafuegos y
Panorama deja de gestionarla.
En condiciones normales de funcionamiento, desactivar la gestin de
Panorama es innecesario y podra complicar el mantenimiento y la
configuracin de los cortafuegos. Esta opcin suele aplicarse a
situaciones en las que los cortafuegos requieren valores configuracin de
dispositivos y red diferentes a los definidos en el grupo de dispositivos.
Un ejemplo de esto consiste en retirar un cortafuegos del entorno de
trabajo e introducirlo en un entorno de laboratorio para realizar pruebas.
Si quiere configurar el cortafuegos para que vuelva a aceptar plantillas,
haga clic en Habilitar plantilla de dispositivo y red.
Ajustes de Panorama: Panorama > Configuracin > Gestin

Si usa Panorama para gestionar los cortafuegos, configure los siguientes ajustes en Panorama. Estos
ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones desde
Panorama a los cortafuegos gestionados, as como los parmetros de uso compartido de los objetos.
Tambin debe configurar los ajustes de conexin de Panorama en el cortafuegos o en una plantilla en
Panorama: consulte Ajustes de Panorama: Dispositivo > Configuracin > Gestin.
Tiempo de espera de
recepcin para conexin
a dispositivo
Introduzca el tiempo de espera en segundos para recibir mensajes de

TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos;
predeterminado: 240).
Enviar tiempo de espera

de conexin a
dispositivo
Introduzca el tiempo de espera en segundos para enviar mensajes de TCP

de todos los cortafuegos gestionados (intervalo: 1-240 segundos;
Reintentar recuento de
envo SSL a dispositivo
Introduzca el nmero de reintentos permitidos al enviar mensajes de

capa de sockets seguros (SSL) a cortafuegos gestionados (intervalo: 1-64;
Compartir con
dispositivos objetos de
direcciones y servicios
no utilizados
Seleccione esta casilla de verificacin para compartir todos los objetos

compartidos de Panorama y los objetos especficos de grupos de
dispositivos con cortafuegos gestionados. Este ajuste est deshabilitado
de manera predeterminada.
Si desactiva la casilla de verificacin, PAN-OS busca en las polticas de
Panorama referencias a direcciones, grupos de direcciones, servicios y
objetos de grupo de servicio y no comparte ningn objeto sin referencia.
Esta opcin reduce el recuento total de objetos asegurndose de que
PAN-OS solo enva los objetos necesarios a cortafuegos gestionados.
Los objetos antecesores

tienen prioridad
Seleccione la casilla de verificacin para especificar que si los grupos de

dispositivos en diferentes niveles de la jerarqua tienen objetos del mismo
tipo y nombre pero con valores diferentes, los valores de objeto en los
grupos antecesores tienen prioridad sobre los valores de los grupos
sucesores. Esto significa que si realiza una compilacin de grupo de
dispositivos, el valor antecesor sustituir a cualquier valor de cancelacin.
De manera predeterminada, este ajuste global del sistema est deshabilitado
y los objetos que cancele en un grupo sucesor tendrn prioridad en ese
grupo sobre los valores heredados de los grupos antecesores.
Palo Alto Networks

Elemento
Descripcin
Configuracin de interfaz de gestin

Esta interfaz se aplica al cortafuegos, dispositivo M-Series de Panorama o dispositivo virtual de Panorama.
De forma predeterminada, el dispositivo M-Seriesutiliza la interfaz de gestin (MGT) para configuracin,
recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo, si configura Eth1 o Eth2
para la recopilacin de logs o comunicacin de grupos del recopilador, se recomienda definir una subred
distinta para la interfaz MGT que sea ms privada que las subredes Eth1 o Eth2. Defina la subred de la
Mscara de red (para IPv4) o el campo Direccin IPv6/longitud de prefijo (para IPv6). El dispositivo
virtual de Panorama no admite interfaces separadas.
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara de
red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos que compile
siempre una configuracin completa.
Direccin IP (IPv4)
Si la red utiliza IPv4, asigne una direccin IPv4 a la interfaz de gestin.

De forma alternativa, puede asignar la direccin IP de una interfaz de
loopback para la gestin de dispositivos. De manera predeterminada, la
direccin IP que introduzca es la direccin de origen para el reenvo de logs.
Mscara de red (IPv4)
Si ha asignado una direccin IPv4 a la interfaz de gestin, debe introducir

tambin una mscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 a la interfaz de gestin, debe asignar

tambin una direccin IPv4 a la puerta de enlace predeterminada (la puerta
de enlace debe estar en la misma subred que la interfaz de gestin).
Direccin IPv6/longitud
de prefijo
Si su red usa IPv6, asigne una direccin IPv6 a la interfaz de gestin.

Para indicar la mscara de red, introduzca una longitud de prefijo para
IPv6 (por ejemplo 2001:400:f00::1/64).
Puerta de enlace IPv6

predeterminada
Si ha asignado una direccin IPv6 a la interfaz de gestin, debe asignar

tambin una direccin IPv6 a la puerta de enlace predeterminada (la puerta
de enlace debe estar en la misma subred que la interfaz de gestin).
Velocidad
Configure una tasa de datos y una opcin de dplex para la interfaz de

gestin. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que el dispositivo (Panorama o el cortafuegos)
determine la velocidad de interfaz.
PRECAUCIN: Este ajuste debe coincidir con la configuracin de

los puertos del equipo de red vecino.
MTU
Introduzca la unidad mxima de transmisin (MTU) en bytes para los

paquetes enviados en esta interfaz (intervalo 576-1500, opcin
predeterminada 1500).
Servicios
Seleccione los servicios que quiere que se habiliten en la direccin de

interfaz de gestin especificada: HTTP, OCSP de HTTP, HTTPS, Telnet,
SSH (Secure Shell), Ping, SNMP, ID de usuario (User-ID), SSL de escucha
de Syslog de ID de usuario, UDP de escucha de Syslog de ID de usuario.
Direcciones IP
permitidas
Introduzca la lista de direcciones IP desde las que se permite la gestin

de cortafuegos. Al usar esta opcin para el dispositivo M-Series de
Panorama, aada la direccin IP de cada cortafuegos gestionado. De lo
contrario, el cortafuegos no podr conectarse y reenviar logs a Panorama
o recibir actualizaciones de configuracin.
Palo Alto Networks

Elemento
Descripcin
Ajustes de la interfaz Eth1

Esta interfaz solo se aplica al dispositivo M-Series de Panorama. De manera predeterminada, el
dispositivo M-Series usa la interfaz de gestin para configuracin, recopilacin de logs y
comunicacin de grupos de recopiladores. Sin embargo, si habilita Eth1, puede configurarlo para la
recopilacin de logs o la comunicacin de grupos de recopiladores cuando defina los recopiladores
gestionados (Panorama > Recopiladores gestionados).
Nota: No puede compilar la configuracin de Eth1 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth1
Seleccione esta casilla de verificacin para activar la interfaz Eth1.
Direccin IP (IPv4)
Si su red utiliza IPv4, asigne una direccin IPv4 a la interfaz Eth1.
Si ha asignado una direccin IPv4 a la interfaz, debe introducir tambin

una mscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 a la interfaz, tambin debe asignar una

direccin IPv4 a la puerta de enlace predeterminada (la puerta de enlace
debe estar en la misma subred que la interfaz Eth1).
de prefijo
Si su red utiliza IPv6, debe asignar tambin una direccin IPv6 a la

interfaz Eth1. Para indicar la mscara de red, introduzca una longitud de
prefijo para IPv6 (por ejemplo 2001:400:f00::1/64).

predeterminada

debe estar en la misma subred que la interfaz Eth1).
Velocidad
Configure una tasa de datos y una opcin de dplex para la interfaz Eth1.
Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex completo
o medio. Utilice el ajuste de negociacin automtica predeterminado
para que Panorama determine la velocidad de interfaz.

MTU

Servicios
Seleccione Ping si desea activar ese servicio en la interfaz Eth1.
Direcciones IP
permitidas

de Eth1.
Ajustes de la interfaz Eth2

Esta interfaz solo se aplica al dispositivo M-Series de Panorama. De manera predeterminada,
el dispositivo M-Series usa la interfaz de gestin para configuracin, recopilacin de logs y
comunicacin de grupos de recopiladores. Sin embargo, si habilita Eth2, puede configurarlo para la
recopilacin de logs o comunicacin de grupos de recopiladores cuando define recopiladores
gestionados (Panorama > Recopiladores gestionados).
Eth2
Seleccione esta casilla de verificacin para activar la interfaz Eth2.
Direccin IP (IPv4)
Si ha asignado una direccin IPv4 a la interfaz, debe introducir tambin

una mscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada

debe estar en la misma subred que el puerto Eth2).
Palo Alto Networks

Elemento
Descripcin
de prefijo

Para indicar la mscara de red, introduzca una longitud de prefijo para
IPv6 (por ejemplo 2001:400:f00::1/64).

predeterminada
Si ha especificado una direccin IPv6 a la interfaz, tambin debe asignar

una direccin IPv6 a la puerta de enlace predeterminada (la puerta de
enlace debe estar en la misma subred que la interfaz Eth2).
Velocidad
Configure una tasa de datos y una opcin de dplex para la interfaz Eth2.
Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex completo
o medio. Utilice el ajuste de negociacin automtica predeterminado
para que Panorama determine la velocidad de interfaz.

MTU

Servicios
Seleccione Ping si desea activar ese servicio en la interfaz Eth2.
Direcciones IP
permitidas

de Eth2.
Palo Alto Networks

Elemento
Descripcin
Configuracin de log e informes

Use esta seccin para modificar:
Periodos de vencimiento y cuotas de almacenamiento para los logs e informes que generen los
siguientes dispositivos. Los ajustes se sincronizan a travs de alta disponibilidad.
Logs que genera un cortafuegos (Dispositivo > Configuracin > Gestin). Los ajustes se aplican
a todos los sistemas virtuales del cortafuegos.
Los logs que genera el servidor de gestin de Panorama y sus recopiladores gestionados
(Panorama > Configuracin > Gestin). Para configurar los ajustes de logs que los cortafuegos
envan a un recopilador gestionado, consulte Definicin de grupos de recopiladores de logs.
Atributos para calcular y exportar informes de actividad de usuarios.
Informes predefinidos creados en el cortafuegos/Panorama.
Pestaa secundaria
Almacenamiento de log
(Las pestaas
Almacenamiento de
tarjeta de log y
Almacenamiento de
tarjeta de gestin solo se
aplican a los cortafuegos
de las series PA-7000)
Especifique para cada tipo de log y tipo de resumen de log:

La cuota asignada en el disco duro para almacenamiento de logs, en forma
de porcentaje. Al cambiar un valor de cuota, la asignacin de disco asociada cambia automticamente. Si el total de todos los valores supera el
100%, aparecer un mensaje de color rojo en la pgina y un mensaje de
error cuando intente guardar la configuracin. Si esto sucede, ajuste los
porcentajes de modo que el total quede por debajo del lmite del 100%.
Das mx., que es el periodo de vencimiento de los logs (intervalo: 1-2000).
El dispositivo elimina automticamente los logs que superan el periodo
especificado. De manera predeterminada, no se fija ningn periodo, lo que
significa que los logs no vencen nunca.
El dispositivo evala los logs a medida que los crea y elimina los logs que
superan el periodo de vencimiento o el tamao de cuota.
PRECAUCIN: Los logs de resumen semanales pueden superar el

umbral y continuar hasta la siguiente eliminacin si alcanzan el umbral de
vencimiento entre dos fechas de eliminacin de logs. Cuando una cuota de
log alcanza el tamao mximo, el dispositivo empieza a sustituir las
entradas del log ms antiguas por las nuevas. Si reduce el tamao de una
cuota de log, el dispositivo elimina los logs ms antiguos cuando compila los
cambios. En una configuracin activa/pasiva de alta disponibilidad (HA),
el peer pasivo no recibe logs y, por lo tanto, no los elimina a menos que se
produzca una conmutacin por error y se vuelva activo.
Haga clic en Restablecer valores predeterminados para recuperar los
valores predeterminados.
Haga clic en ACEPTAR para guardar los cambios.
Los cortafuegos de la serie PA-7000 almacenan los logs en la tarjeta de
procesamiento de logs (LPC) y en la tarjeta de gestin de conmutadores
(SMC) y divide las cuotas de registro en estas dos reas. La pestaa
Almacenamiento de log tiene la configuracin de la cuota para el trfico
del tipo de datos en la LPC (por ejemplo, logs de trfico y amenazas).
La pestaa Almacenamiento de la tarjeta de gestin tiene configuracin
de cuota para el trfico de tipo de gestin almacenado en la SMC (por
ejemplo, los logs de configuracin, los logs del sistema y logs de alarmas).
Palo Alto Networks

Elemento
Descripcin
Pestaa secundaria
Exportacin e informes
de log
Nmero de versiones para auditora de configuraciones: Introduzca el

nmero de versiones de configuracin que se deben guardar antes de
descartar las ms antiguas (valor predeterminado: 100). Puede utilizar estas
versiones guardadas para auditar y comparar cambios en la configuracin.
Nmero de versiones para Configurar copias de seguridad: (Solo
Panorama) Introduzca el nmero de copias de seguridad de configuraciones
que se deben guardar antes de descartar las ms antiguas (valor
Mx. de filas en exportacin CSV: Introduzca el nmero mximo de filas que
aparecern en los informes CSV generados desde el icono Exportar a CSV de
la vista de logs de trfico (rango 1-1048576, valor predeterminado: 65535).
Mx. de filas en informe de actividad de usuario: Introduzca el nmero
mximo de filas que se admite para los informes de actividad de usuario
detallada (intervalo: 1-1048576; valor predeterminado: 5000).
Tiempo medio de exploracin (seg.): Configure esta variable para ajustar
cmo se calcula el tiempo de exploracin en segundos para Informe de
actividad del usuario (intervalo: 0-300 segundos; predeterminado: 60).
El clculo ignorar los sitios categorizados como anuncios web y redes de
entrega de contenido. El clculo del tiempo de exploracin se basa en las
pginas contenedoras registradas en los logs de filtrado de URL.
Las pginas contenedoras se utilizan como base para este clculo debido
a que muchos sitios cargan contenido de sitios externos que no debera
considerarse. Para obtener ms informacin sobre la pgina contenedora,
consulte Pginas contenedoras.
El ajuste de tiempo medio de exploracin es el tiempo medio que el
administrador considera que tardar un usuario en explorar una pgina
web. Cualquier solicitud realizada despus de que haya transcurrido el
tiempo medio de exploracin se considerar una nueva actividad de
exploracin. El clculo ignorar las pginas web nuevas que se carguen entre
el momento de la primera solicitud (hora de inicio) y el tiempo medio de
exploracin. Este comportamiento se ha diseado para excluir los sitios
externos que se carguen dentro de la pgina web de inters.
Ejemplo: si el tiempo medio de exploracin es de 2 minutos y un usuario
abre una pgina web y visualiza dicha pgina durante 5 minutos, el tiempo
de exploracin de dicha pgina seguir siendo de 2 minutos. Esto es as
porque no hay forma de determinar durante cunto tiempo un usuario
visualiza una pgina concreta.
Umbral de carga de pgina (seg): Esta opcin le permite ajustar el
tiempo previsto en segundos que tardan los elementos de una pgina en
cargarse en la pgina (intervalo: 0-60; predeterminado: 20). Cualquier
solicitud que se produzca entre la primera carga de la pgina y el umbral
de carga de pgina se considerar que son elementos de la pgina.
Cualquier solicitud que se produzca fuera del umbral de carga de pgina
se considerar que es el usuario haciendo clic en un enlace de la pgina.
El umbral de carga de pgina tambin se utiliza en los clculos para el
informe de actividad de usuario.
Formato de nombre de host de Syslog: Seleccione si desea utilizar el
nombre de dominio completo (FQDN), el nombre de host, la direccin IP
(v4 o V6) en el encabezado del mensaje de Syslog; este encabezado identifica
el cortafuegos/Panorama desde el que se origina el mensaje.
Detener trfico cuando LogDb est lleno: (nicamente cortafuegos)
Seleccione la casilla de verificacin si desea que se detenga el trfico a travs
del cortafuegos cuando la base de datos de logs est llena (desactivada de
manera predeterminada).
Perodo de vencimiento del informe: Defina el periodo de vencimiento en
das para los informes (intervalo: 1-2000). De manera predeterminada, no se
fija ningn periodo, lo que significa que los informes no vencen nunca.
El dispositivo elimina los informes que han vencido todas las noches a las
2 a.m. (hora del dispositivo).
Palo Alto Networks

Elemento
Descripcin
Habilitar log con carga alta: (nicamente cortafuegos) Seleccione esta
casilla de verificacin si desea que se genere una entrada de log del
sistema cuando la carga de procesamiento del paquete del cortafuegos
est al 100% de la utilizacin de la CPU.
Una carga alta de CPU puede degradar el funcionamiento porque la CPU
no tiene suficientes ciclos para procesar todos los paquetes. El log del
sistema le avisa sobre este problema (se genera una entrada de log cada
minuto) y le permite investigar la posible causa.
De forma predeterminada, esta opcin est deshabilitada.
(Solo en Panorama)
Reenvo de log en bfer desde dispositivo: Permite al cortafuegos

almacenar en bfer las entradas de log en su disco duro (almacenamiento
local) cuando pierde la conexin con Panorama. Cuando se restaura la
conexin con Panorama, la entradas de log se reenvan a la aplicacin; el
espacio en disco disponible para el almacenamiento en bfer depende de
la cuota de almacenamiento de logs para la plataforma y el volumen de
los logs que quedan por ejecutar. Si se consume el espacio, las entradas
ms antiguas se eliminarn para permitir el registro de nuevos eventos.
De forma predeterminada, esta opcin est habilitada.
Obtener nicamente nuevos logs al convertir a principal: Esta opcin
solo es aplicable cuando Panorama escribe logs en un recurso compartido
de archivos de red (NFS). Con los logs de NFS solo se monta la instancia
principal de Panorama en el NFS. Por lo tanto, los cortafuegos solo envan
logs en la instancia activa principal de Panorama.
Esta opcin permite que un administrador configure los cortafuegos
gestionados para que solo enven los logs recin generados a Panorama
cuando se produce un error de HA y la instancia secundaria de
Panorama contina creando logs para el NFS (despus de promocionarse
como principal).
Este comportamiento suele habilitarse para impedir que los cortafuegos
enven grandes volmenes de logs almacenados en bfer cuando se
restablezca la conexin con Panorama despus de un perodo de tiempo
significativo.
Solo logs principales activos al disco local: le permite configurar solo la
instancia principal activa para guardar logs en el disco local.
Esta opcin es vlida para una mquina virtual de Panorama con un
disco virtual y para el dispositivo M-Series en modo Panorama.
Informes predefinidos: Hay informes predefinidos para aplicacin, trfico,
amenazas y filtrado de URL disponibles en el cortafuegos y en Panorama.
De forma predeterminada, estos informes predefinidos estn habilitados.
Debido a que los cortafuegos consumen recursos de memoria para
generar resultados cada hora (y enviarlos a Panorama cuando se agrega y
se compila para visualizacin), puede deshabilitar los informes que no
sean relevantes, reduciendo as el uso de memoria; para deshabilitar un
informe, quite la marca de la casilla de verificacin de los mismos.
Utilice las opciones Seleccionar todo o Anular seleccin para habilitar o
deshabilitar completamente la generacin de los informes predefinidos.
Nota: Antes deshabilitar un informe, asegrese de que no se incluye en ningn
informe de grupos o informe PDF. Si un informe predefinido forma parte de un
conjunto de de informes y se deshabilita, el conjunto de informes al completo
dejar de contener datos.
Palo Alto Networks

Elemento
Descripcin
Complejidad de contrasea mnima

Habilitado
Habilite los requisitos de contrasea mnimos para cuentas locales. Con

esta funcin, puede garantizar que las cuentas de administrador locales del
cortafuegos cumplan un conjunto definido de requisitos de contrasea.
Tambin puede crear un perfil de contrasea con un subconjunto de estas
opciones que cancelar estos ajustes y que puede aplicarse a cuentas
especficas. Para obtener ms informacin, consulte Definicin de
perfiles de contrasea. Consulte Definicin de funciones de
administrador para obtener informacin sobre los caracteres vlidos
que pueden utilizarse en las cuentas.
Nota: La longitud de contrasea mxima que puede introducirse es de

31 caracteres. Al ajustar los requisitos, asegrese de no crear una
combinacin que no pueda aceptarse. Por ejemplo, no puede establecer
un requisito de 10 maysculas, 10 minsculas, 10 nmeros y
10 caracteres especiales, ya que esto excedera la longitud mxima de 31.
Nota: Si tiene configurada la alta disponibilidad (HA), utilice siempre el
dispositivo principal cuando configure opciones de complejidad de
contrasea y compile lo antes posible despus de realizar cambios.
Longitud mnima
Exija una longitud mnima de 1-15 caracteres.
Letras en mayscula
mnimas
Exija un nmero mnimo de letras en mayscula de 0-15 caracteres.
Letras en minscula
mnimas
Exija un nmero mnimo de letras en minscula de 0-15 caracteres.
Letras numricas
mnimas
Exija un nmero mnimo de letras numricas de 0-15 nmeros.
Caracteres especiales
mnimos
Exija un nmero mnimo de caracteres especiales (no alfanumricos) de

0-15 caracteres.
Bloquear caracteres
repetidos
Especifique el nmero de caracteres duplicados secuenciales permitidos

en una contrasea. El intervalo es de 2-15.
Si establece el valor en 2, la contrasea puede contener el mismo carcter
dos veces seguidas, pero si el mismo carcter se usa tres o cuatro veces
seguidas, la contrasea no est permitida.
Por ejemplo, si el valor se fija en 2, el sistema aceptar la contrasea test11
u 11test11, pero no test111, porque el nmero 1 aparece tres veces seguidas.
Bloquear inclusin de
nombre de usuario
(incluida su inversin)
Seleccione esta casilla de verificacin para impedir que el nombre de

usuario de la cuenta (o la versin invertida del nombre) se utilice en la
contrasea.
La nueva contrasea
difiere por caracteres
Cuando los administradores cambien sus contraseas, los caracteres

deben diferir segn el valor especificado.
Es necesario cambiar la
contrasea al iniciar
sesin por primera vez
Seleccione esta casilla de verificacin para pedir a los administradores

que cambien sus contraseas la primera vez que inicien sesin en el
dispositivo.
Evitar lmite de
reutilizacin de
contrasea
Exija que no se reutilice una contrasea anterior basndose en el recuento

especificado. Por ejemplo, si el valor se establece como 4, no podr
reutilizar ninguna de sus ltimas 4 contraseas (rango: 0-50).
Bloquear perodo de
cambio de contrasea
(das)
El usuario no podr cambiar sus contraseas hasta que no se haya

alcanzado el nmero de das especificado (rango: 0-365 das).
Palo Alto Networks

Elemento
Descripcin
Perodo necesario para el

cambio de contrasea
(das)
Exija que los administradores cambien su contrasea con la regularidad

especificada por el nmero de das establecido, de 0 a 365 das.
Por ejemplo, si el valor se establece como 90, se pedir a los
administradores que cambien su contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das y
especificar un perodo de gracia.
Perodo de advertencia
de vencimiento (das)
Si se establece un perodo necesario para el cambio de contrasea, este

ajuste puede utilizarse para pedir al usuario que cambie su contrasea
cada vez que inicie sesin a medida que se acerque la fecha obligatoria de
cambio de contrasea (rango: 0-30 das).
Inicio de sesin de
administrador caducado
permitido (recuento)
Permita que el administrador inicie sesin el nmero de veces especificado

despus de que la cuenta haya vencido. Por ejemplo, si el valor se ha
establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3 veces ms
antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).
Perodo de gracia
posterior al vencimiento
(das)
Permita que el administrador inicie sesin el nmero de das especificado

despus de que la cuenta haya vencido (rango: 0-30 das).

Dispositivo > Configuracin > Operaciones
Panorama > Configuracin > Operaciones
Cuando cambia un ajuste de configuracin y hace clic en ACEPTAR, se actualiza la
configuracin candidata actual, no la configuracin activa. Al hacer clic en Compilar en la
parte superior de la pgina, se aplica la configuracin candidata a la configuracin activa, lo
que activa todos los cambios de configuracin desde la ltima compilacin.
Este mtodo le permite revisar la configuracin antes de activarla. Si activa varios cambios
simultneamente, ayudar a evitar estados de configuracin no vlidos que pueden
producirse cuando se aplican cambios en tiempo real.
Puede guardar y restablecer la configuracin candidata con la frecuencia que sea necesario y
tambin cargar, validar, importar y exportar configuraciones. Si pulsa Guardar, se crear una
copia de la configuracin candidata actual, mientras que si selecciona Compilar, actualizar la
configuracin activa con el contenido de la configuracin candidata.
Es conveniente guardar peridicamente los ajustes de configuracin que haya introducido
haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla.
Para gestionar configuraciones, seleccione las funciones de gestin de configuracin
adecuadas que se describen en la tabla siguiente.
Palo Alto Networks
Tabla 2. Funciones de gestin de configuracin

Funcin
Descripcin
Gestin de
configuracin
Volver a la ltima
configuracin
guardada
Restablece la ltima configuracin candidata guardada desde la unidad local.

La configuracin candidata actual se sobrescribir. Se producir un error si
no se ha guardado la configuracin candidata.
Volver a la
configuracin en
ejecucin
Restablece la ltima configuracin en ejecucin. La configuracin en

ejecucin actual se sobrescribir.
Guardar instantnea
de configuracin con
nombre
Guarda la configuracin candidata en un archivo. Introduzca un nombre de

archivo o seleccione un archivo existente para sobrescribirlo. Tenga en cuenta
que el archivo de configuracin activa actual (running-config.xml) no puede
sobrescribirse.
Guardar
configuracin
candidata
Guarda la configuracin candidata en la memoria flash (del mismo modo que

si hiciera clic en Guardar en la parte superior de la pgina).
Cargar instantnea
de configuracin con
nombre
Carga una configuracin candidata desde la configuracin activa

(running-config.xml) o desde una configuracin guardada o importada
anteriormente. Seleccione el archivo de configuracin que debe cargarse.
La configuracin candidata actual se sobrescribir.
Cargar versin de
configuracin
Carga una versin especificada de la configuracin.
Exportar instantnea
de configuracin con
nombre
Exporta la configuracin activa (running-config.xml) o una configuracin

guardada o importada anteriormente. Seleccione el archivo de configuracin
que debe exportarse. Puede abrir el archivo y/o guardarlo en cualquier
ubicacin de red.
Exportar versin de
configuracin
Exporta una versin especificada de la configuracin.
Exportar lote de
configuracin de
dispositivos y
Panorama
(nicamente en
Panorama)
Genera y exporta manualmente la versin ms reciente de la copia de

seguridad de configuracin en curso de Panorama y de los cortafuegos
gestionados. Para automatizar el proceso de crear y exportar el lote de
configuracin diariamente a un servidor SCP o FTP, consulte Programacin
de exportaciones de configuracin.
Exportar o insertar
lote de configuracin
de dispositivo
(nicamente en
Panorama)
Le indica que seleccione un cortafuegos y realice una de las siguientes acciones

en la configuracin del cortafuegos almacenada en Panorama:
Enviar y compilar la configuracin en el cortafuegos. La accin limpia el
cortafuegos (elimina cualquier configuracin local del mismo) y enva la
configuracin del cortafuegos almacenada en Panorama. Despus de importar
una configuracin de cortafuegos, use esta opcin para limpiarlo, de modo que
pueda gestionarlo usando Panorama. Para obtener informacin relacionada,
consulte Importa configuracin del dispositivo en Panorama.
Exportar la configuracin al cortafuegos sin cargarlo. Para cargar la
configuracin, debe acceder a la CLI del cortafuegos y ejecutar el comando del
modo de configuracin load device-state. Este comando limpia el cortafuegos
del mismo modo que la opcin Enviar y compilar.
Palo Alto Networks
Tabla 2. Funciones de gestin de configuracin (Continuacin)

Funcin
Descripcin
Exportar estado de
dispositivo
(nicamente
cortafuegos)
Exporta la configuracin y la informacin dinmica desde un cortafuegos que

est configurado como portal de GlobalProtect con la funcin VPN a gran
escala (LSVPN) habilitada. Si el portal tiene un fallo, se puede importar el
archivo exportado para restablecer la informacin dinmica y de
configuracin del portal.
La exportacin incluye una lista de todos los dispositivos satlite gestionados
por el portal, la configuracin en ejecucin en el momento de la exportacin y
toda la informacin de los certificados (certificados de CA raz, servidor y
satlite).
Importante: Debe realizar manualmente la exportacin del estado del
dispositivo o crear una secuencia de comandos programada de la API XML
para exportar el archivo a un servidor remoto. Esto debe hacerse con
regularidad, ya que puede que los certificados de satlite cambien a menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, en el modo
de configuracin, ejecute save device state.
El archivo se denominar device_state_cfg.tgz y se guardar en /opt/
pancfg/mgmt/device-state. El comando de operacin para exportar el
archivo de estado del dispositivo es scp export device-state (tambin
puede utilizar tftp export device-state).
Para obtener informacin sobre cmo utilizar la API XML, consulte el
documento PAN-OS XML-Based Rest API Usage Guide (Gua de uso de la
API Rest basada en XML de PAN-OS, en ingls) en
http://www.paloaltonetworks.com/documentation.
Importar
instantnea de
configuracin con
nombre
Importa un archivo de configuracin desde cualquier ubicacin de red. Haga

clic en Examinar y seleccione el archivo de configuracin que debe
importarse.
Importar estado de
dispositivo
(nicamente
cortafuegos)
Importa la informacin de estado del cortafuegos que se export mediante la

opcin Exportar estado de dispositivo. Esto incluye la configuracin en
ejecucin actual, plantillas de Panorama y polticas compartidas. Si el
dispositivo es un portal de GlobalProtect, la exportacin incluir la
informacin de la Entidad de certificacin (CA) y la lista de los dispositivos
satlite con su informacin de autenticacin.
Palo Alto Networks

Funcin
Descripcin
Importa
configuracin del
dispositivo en
Panorama
(nicamente en
Panorama)
Importa una configuracin de cortafuegos en Panorama. Panorama crea

automticamente una plantilla que contenga las configuraciones de red y
dispositivo. Para cada sistema virtual (vsys) en el cortafuegos, Panorama crea
automticamente un grupo de dispositivos que contenga las configuraciones de
poltica y objetos. Los grupos de dispositivos estarn un nivel por debajo de la
ubicacin compartida en la jerarqua, aunque puede reasignarlos a un grupo de
dispositivos principal diferente cuando finalice la importacin (consulte
Definicin de grupos de dispositivos).
ADVERTENCIA: Las versiones de contenido en Panorama (por ejemplo,

base de datos de aplicaciones y amenazas) deben ser iguales o superiores a las
versiones del cortafuegos desde el que importa una configuracin.
Configure las siguientes opciones de importacin:
Dispositivo: Seleccione el cortafuegos desde el que Panorama importar las
configuraciones. El men desplegable solo enumera los cortafuegos conectados a
Panorama y no asignados a ningn grupo de dispositivos o plantilla. Puede
seleccionar solamente un cortafuegos completo, no un vsys individual.
Nombre de plantilla: Introduzca un nombre para la plantilla que contendr el
dispositivo importado y los ajustes de red. Para un cortafuegos con vsys
mltiple, el campo estar vaco. Para otros cortafuegos, el valor predeterminado
es el nombre del cortafuegos. No puede usar el nombre de una plantilla existente.
Prefijo de nombre de grupo de dispositivo (nicamente cortafuegos vsys
mltiple): De manera opcional, una cadena de caracteres como prefijo para cada
nombre de grupo de dispositivo.
Nombre de grupo de dispositivo: Para un cortafuegos vsys mltiple, cada
grupo de dispositivo tiene un nombre vsys de manera predeterminada. Para
otros cortafuegos, el valor predeterminado es el nombre del cortafuegos. Puede
editar los nombres predeterminados, pero no puede usar el nombre de un grupo
de dispositivo existente.
Importar objetos compartidos de los dispositivos en el contexto
compartido de Panorama: Esta casilla de verificacin est seleccionada de
manera predeterminada, lo que significa que Panorama importa objetos de
Compartidos en el cortafuegos a Compartidos en Panorama. Si anula la seleccin
de la casilla de verificacin, Panorama copia los objetos del cortafuegos
compartidos en grupos de dispositivos en lugar de en Compartidos. Este ajuste
tiene las siguientes excepciones:
Si un objeto de cortafuegos compartido se llama igual y tiene el mismo valor
que un objeto de Panorama existente, la importacin excluye el objeto del
cortafuegos.
Si el nombre o el valor del objeto compartido del cortafuegos no coinciden con
el objeto compartido de Panorama, este importa el objeto del cortafuegos en
cada grupo de dispositivos.
Si una configuracin importada en una plantilla hace referencia a un objeto de
cortafuegos compartido, Panorama importa ese objeto en Compartidos
independientemente de que seleccione la casilla de verificacin.
Si un objeto compartido hace referencia a una configuracin importada en una
plantilla, Panorama importa el objeto en un grupo de dispositivos
independientemente de que seleccione la casilla de verificacin.
Ubicacin de importacin de reglas: Seleccione si Panorama importar las
polticas como reglas previas o posteriores. Independientemente de su seleccin,
Panorama importa reglas de seguridad predeterminadas (predeterminada intrazona y predeterminada entre zonas) en la base de reglas posterior.
ADVERTENCIA: Si Panorama tiene una regla que se llama igual que

una regla de cortafuegos que est importando, Panorama muestra ambas
reglas. Sin embargo, los nombres de reglas deben ser exclusivos: elimine una
de las reglas antes de realizar una compilacin en Panorama; de lo contrario,
la compilacin fallar.
Palo Alto Networks

Funcin
Descripcin
Operaciones de
dispositivo
Reiniciar
Para reiniciar el cortafuegos o Panorama, haga clic en Reiniciar dispositivo.

El dispositivo cierra su sesin, vuelve a cargar el software (PAN-OS o Panorama)
y la configuracin activa, cierra y registra las sesiones existentes y crea un log del
sistema que muestra el nombre del administrador que inici el apagado. Todos
los cambios de configuracin que no se guardasen o compilasen se perdern
(consulte Definicin de la configuracin de operaciones).
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart system.
Apagar
Para realizar un apagado correcto del cortafuegos/Panorama, haga clic en

Apagar dispositivo o Apagar Panorama y, a continuacin, haga clic en S en
el mensaje de confirmacin. Todos los cambios de configuracin que no se
hayan guardado o compilado se perdern. Todos los administradores
cerrarn sesin y se producirn los siguientes procesos:
Se cerrarn todas las sesiones de inicio de sesin.
Se deshabilitarn las interfaces.
Se detendrn todos los procesos del sistema.
Se cerrarn y registrarn las sesiones existentes.
Se crearn logs del sistema que mostrarn el nombre del administrador que
inici el apagado. Si no se puede crear esta entrada de log, aparecer una
advertencia y el sistema no se apagar.
Ahora podr desmontar de manera limpia las unidades de disco y el
dispositivo dejar de recibir alimentacin.
Deber desenchufar la fuente de alimentacin y volver a enchufarla antes de
poder activar el dispositivo.
Nota: Si la interfaz web no est disponible, utilice el comando de la
CLI request shutdown system .
Reiniciar plano de
datos
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga clic
en Reiniciar plano de datos. Esta opcin no est disponible en el cortafuegos
PA-200 y Panorama.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane.
Palo Alto Networks

Funcin
Descripcin
Varios
Logotipos
personalizados
Utilice esta opcin para personalizar cualquiera de los siguientes elementos:

Imagen de fondo de la pantalla de inicio de sesin
Imagen de encabezado de la interfaz de usuario principal
Imagen de la pgina de ttulo del informe en PDF. Consulte Gestin de
informes de resumen en PDF.
Imagen de pie de pgina del informe en PDF
Haga clic en
para cargar un archivo de imagen, en
para obtener una
vista previa o en
para eliminar una imagen cargada anteriormente.
Tenga en cuenta lo siguiente:
Los tipos de archivos admitidos son png, gif y jpg.
Los archivos de imagen con un canal alfa no son compatibles y, cuando se

utilizan en informes en PDF, los informes no se generan correctamente. Puede
que tenga que ponerse en contacto con el creador de la imagen para eliminar los
canales alfa de la imagen o asegurarse de que el software de grficos que est
utilizando no guarda los archivos con la funcin de canal alfa.
Para volver al logotipo predeterminado, elimine su entrada y realice una
compilacin.
El tamao de imagen mximo para cualquier imagen de logotipo es de
128 KB.
En el caso de las opciones de la pantalla de inicio de sesin y de la interfaz
de usuario principal, al hacer clic en
, la imagen se mostrar del modo
en que se visualizar. Si es necesario, se recortar la imagen para ajustarla.
En el caso de informes en PDF, el tamao de las imgenes se ajustar
automticamente sin recortarlas. En todos los casos, la vista previa muestra
las dimensiones de imagen recomendadas.
Para obtener informacin sobre cmo generar informes en PDF, consulte
Gestin de informes de resumen en PDF.
Configuracin de
SNMP
Especifique parmetros de SNMP. Consulte Habilitacin de supervisin de

SNMP.
Configuracin del
servicio de
estadsticas
La funcin Servicio de estadsticas permite que el cortafuegos enve

informacin de aplicaciones annimas, amenazas y bloqueos al equipo de
investigacin de Palo Alto Networks. La informacin recopilada permite que
el equipo de investigacin mejore continuamente la eficacia de los productos
de Palo Alto Networks basndose en informacin del mundo real. Este
servicio est deshabilitado de manera predeterminada y, una vez habilitado,
se cargar informacin cada 4 horas.
Puede permitir que el cortafuegos enve cualquiera de los siguientes tipos de
informacin:
Informes de aplicacin y amenazas
Informes de aplicaciones desconocidas
Informes de URL
Seguimientos de bloqueos de dispositivos
Para ver una muestra del contenido de un informe estadstico que se enviar,
haga clic en el icono de informe
. Se abrir la pestaa Muestra de informe
para mostrar el cdigo del informe. Para ver un informe, haga clic en la casilla
de verificacin que aparece junto al informe deseado y, a continuacin, haga
clic en la pestaa Muestra de informe.
Palo Alto Networks

Dispositivo > Configuracin > HSM
La pestaa HSM le permite ver el estado y configurar un mdulo de seguridad de hardware
(HSM).
La siguiente configuracin de estado aparece en la seccin del proveedor de mdulo de
seguridad de hardware.
Tabla 3. Configuracin de estado del proveedor de mdulo HSM

Campo
Descripcin
Proveedor configurado
Especifica una de las siguientes opciones:

Ninguno: No se ha configurado ningn HSM para el cortafuegos.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Alta disponibilidad
Si se selecciona, se configura la alta disponibilidad del HSM. Solo Luna SA

de Safenet.
Nombre de grupo de
alta disponibilidad.
Nombre de grupo configurado en el cortafuegos para la alta disponibilidad

del HSM. Solo Luna SA de Safenet.
Direccin de origen de
cortafuegos
Direccin del puerto utilizado para el servicio HSM. De forma

predeterminada, se trata de la direccin del puerto de gestin. Sin
embargo, se puede especificar como un puerto diferente a travs de la
opcin Configuracin de ruta de servicios en Dispositivo >
Configuracin > Servicios.
Clave maestra
asegurada por HSM
Si se activa, la clave maestra se asegura en el HSM.
Estado
Consulte Configuracin del estado del mdulo de seguridad de hardware

de Luna SA de Safenet o Configuracin del estado del mdulo de
seguridad de hardware de Thales Nshield Connect segn sea necesario.
Para configurar un mdulo de seguridad de hardware (HSM) en el cortafuegos, haga clic en el

icono Editar de la seccin Proveedor de mdulo de seguridad de hardware y configure los
siguientes ajustes.
Tabla 4. Ajustes de configuracin de HSM

Campo
Descripcin
Proveedor configurado

Ninguno: No se ha configurado ningn HSM para el cortafuegos. No se
necesita otra configuracin.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Nombre de mdulo
Especifique un nombre de mdulo para el HSM. Puede ser cualquier cadena

ASCII con una longitud de hasta 31 caracteres. Cree varios nombres de
mdulos si est definiendo una configuracin de alta disponibilidad del HSM.
Direccin de servidor
Especifique una direccin de IPv4 para cualquier mdulo HSM que est
configurando.
Palo Alto Networks
Tabla 4. Ajustes de configuracin de HSM (Continuacin)

Campo
Descripcin
Alta disponibilidad
Solo Luna SA de
Safenet
Seleccione esta casilla de verificacin si est definiendo mdulos HSM en

una configuracin de alta disponibilidad. Se debe configurar el nombre del
mdulo y la direccin del servidor de todos los mdulos HSM.
Reintento de
recuperacin
automtica
Solo Luna SA de Safenet
Especifique el nmero de intentos que debe realizar el cortafuegos para

recuperar la conexin con HSM antes de conmutarse por error a otro HSM
en una configuracin de alta disponibilidad del HSM. Rango 0 -500.
Nombre de grupo de
alta disponibilidad.
Solo Luna SA de Safenet
Especifique el nombre de grupo que se debe utilizar para el grupo de alta

disponibilidad del HSM. Este nombre lo utiliza el cortafuegos de forma
interna. Puede ser cualquier cadena ASCII con una longitud de hasta
31 caracteres.
Direccin de sistema
de archivos remoto
Solo Thales Nshield
Connect
Configure la direccin IPv4 del sistema de archivos remoto utilizado en la

configuracin de HSM de Thales Nshield Connect.
Seleccione Configurar mdulo de seguridad de hardware y configure los siguientes ajustes

para autenticar el cortafuegos en el HSM.
Tabla 5. Ajustes de Configurar mdulo de seguridad de hardware

Campo
Descripcin
Nombre de servidor
Seleccione un nombre de servidor HSM en el cuadro desplegable.
Contrasea de
administrador
Introduzca la contrasea del administrador de HSM para autenticar el

cortafuegos en el HSM.
La seccin Estado de mdulo de seguridad de hardware proporciona la siguiente

informacin sobre los HSM que se han autenticado correctamente. La pantalla mostrar
opciones diferentes dependiendo el proveedor HSM configurado.
Tabla 6.
Safenet
Configuracin del estado del mdulo de seguridad de hardware de Luna SA de
Campo
Descripcin
Nmero de serie
Se muestra el nmero de serie de la particin del HSM si la particin de

HSM se ha autenticado correctamente.
Particin
Nombre de la particin en el HSM que se asign en el cortafuegos.
Estado de mdulo
Estado de funcionamiento actual del HSM. Este ajuste tendr el valor

Autenticado si el HSM aparece en esta tabla.
Tabla 7. Configuracin del estado del mdulo de seguridad de hardware de Thales

Nshield Connect
Campo
Descripcin
Nombre
Nombre del servidor del HSM.
Direccin IP
Direccin IP del HSM que se asign en el cortafuegos.
Palo Alto Networks
Tabla 7. Configuracin del estado del mdulo de seguridad de hardware de Thales

Nshield Connect (Continuacin)
Campo
Descripcin
Estado de mdulo
Estado de funcionamiento actual del HSM.

Autenticado
No autenticado

Dispositivo > Configuracin > Operaciones
SNMP (Protocolo simple de administracin de redes) es un protocolo estndar para la
supervisin de los dispositivos de su red. Use la pgina Operaciones para configurar el
dispositivo y usar la versin de SNMP compatible con su gestor de SNMP (SNMPv2c o
SNMPv3). Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que
pueda interpretar las estadsticas que recopila de los dispositivos de Palo Alto Networks,
consulte MIB compatibles.
Para configurar el perfil de servidor que habilita la comunicacin del cortafuegos con los
destinos trap SNMP en su red (consulte Configuracin de destinos de traps SNMP).
Los MIB SNMP definen todos los traps SNMP que genera el dispositivo. Un trap SNMP
identifica un evento con un ID de objeto nico (OID) y los campos individuales se definen
como una lista de enlaces de variables (varbind).
Haga clic en el enlace Configuracin de SNMP y especifique los siguientes ajustes para
permitir las solicitudes GET SNMP desde su gestor de SNMP:
Tabla 8. Configuracin de SNMP

Campo
Descripcin
Ubicacin fsica
Especifique la ubicacin fsica del cortafuegos. Cuando se genera un log o trap,

esta informacin le permite identificar (en un gestor de SNMP) el dispositivo que
ha generado la notificacin.
Contacto
Introduzca el nombre o la direccin de correo electrnico de la persona

responsable del mantenimiento del cortafuegos. Este ajuste se indica en la MIB de
informacin del sistema estndar.
Utilizar definiciones de
traps especficas
Esta casilla de verificacin est seleccionada de manera predeterminada, lo que

significa que el dispositivo usa un OID exclusivo para cada trap SNMP en funcin
del tipo de evento. Si anula la seleccin de esta casilla de verificacin, todos los
traps tendrn el mismo OID.
Versin
Seleccione la versin de SNMP: V2c (predeterminado) o V3. Su seleccin controla

los campos restantes que muestra el cuadro de dilogo.
Para SNMP V2c

Cadena de comunidad
SNMP
Introduzca la cadena de comunidad, que identifica a una comunidad SNMP de

gestores SNMP y dispositivos supervisados, adems de servir como contrasea
para autenticar a los miembros de la comunidad entre s cuando intercambian
mensajes get (solicitud de estadsticas) y trap SNMP. Esta cadena puede tener
hasta 127 caracteres, admite todos los caracteres y distingue entre maysculas y
minsculas. Se recomienda no usar la cadena de comunidad pblica
predeterminada. Dado que los mensajes SNMP contienen cadenas de comunidad
en texto sin cifrar, tenga en cuenta los requisitos de seguridad de su red cuando
defina la pertenencia a la comunidad (acceso de administradores).
Palo Alto Networks
Tabla 8. Configuracin de SNMP (Continuacin)

Campo
Descripcin
Para SNMP V3
Nombre/Vista
Puede asignar un grupo de una o ms vistas al usuario de un gestor de SNMP para

controlar qu objetos MIB (estadsticas) del dispositivo puede obtener el usuario.
Cada vista es un OID emparejado y una mscara binaria: el OID especifica un MIB y
la mscara (en formato hexadecimal) especifica qu objetos son accesibles dentro
(incluir coincidencias) o fuera (excluir coincidencias) del MIB.
Por ejemplo, si el OID es 1.3.6.1, la opcin coincidente est fijada en incluir y la
mscara es 0xf0, los objetos que solicite el usuario debern tener OID que
coincidan con los primeros cuatro nodos (f = 1111) de 1.3.6.1. Los objetos no
necesitan coincidir con los nodos restantes. En este ejemplo, 1.3.6.1.2 coincide con
la mscara y 1.4.6.1.2 no.
Para cada grupo de vistas, haga clic en Aadir, introduzca un nombre para el
grupo y configure lo siguiente en cada vista que aada al grupo:
Ver: Especifique un nombre para una vista. El nombre puede tener hasta
31 caracteres que pueden ser alfanumricos, puntos, guiones bajos o guiones.
OID: Especifique el OID del MIB.
Opcin: Seleccione la lgica de coincidencia que se aplica al MIB.
Mscara: Especifique la mscara en formato hexadecimal.
Nota: Para proporcionar acceso a toda la informacin de gestin, use el OID de mximo
nivel 1.3.6.1, defina la mscara en 0xf0 y configure la opcin de coincidencia en incluir.
Usuarios
Las cuentas de usuario SNMP proporcionan autenticacin, privacidad y control

de acceso cuando los dispositivos reenvan traps y los gestores SNMP obtienen
estadsticas de dispositivos. Para cada usuario, haga clic en Aadir y configure los
siguientes ajustes:
Usuarios: Especifique un nombre de usuario para identificar una cuenta de
usuario de SNMP. El nombre de usuario que configure en el dispositivo debe
tener el mismo nombre de usuario configurado en el gestor SNMP. El nombre
de usuario puede tener hasta 31 caracteres.
Ver: Asigne un grupo de vistas al usuario.
Contrasea de autenticacin: Especifique la contrasea de autenticacin del
usuario. El dispositivo usa la contrasea para autenticar el gestor SNMP cuando
se reenvan traps y se responde a solicitudes de estadsticas. El dispositivo usa el
algoritmo de hash seguro (SHA-1 160) para cifrar la contrasea. La contrasea
debe tener entre 8 y 256 caracteres y todos estn permitidos.
Contrasea privada: Especifique la contrasea de privacidad del usuario.
El dispositivo usa la contrasea y el estndar de cifrado avanzado (AES-128)
para cifrar traps SNMP y respuestas a solicitudes de estadsticas. La contrasea
debe tener entre 8 y 256 caracteres y todos estn permitidos.

Dispositivo > Configuracin > Servicios
En un cortafuegos donde hay mltiples sistemas virtuales habilitados, la pestaa Servicios se
divide en las pestaas Global y Sistemas virtuales, donde define los servicios que el
cortafuegos o sus sistemas virtuales, respectivamente, usan para operar eficientemente. (Si el
cortafuegos es un nico sistema virtual o si hay varios sistemas virtuales deshabilitados,
no hay dos pestaas, sino simplemente un men Servicios.)
Use la pestaa Global para definir servicios para todo el cortafuegos. Estos ajustes tambin se
usan como los valores predeterminados para sistemas virtuales que no tienen un ajuste
personalizado para un servicio.
Palo Alto Networks
En la seccin Servicios, haga clic en el icono Editar para definir las direcciones IP de
destino de los servidores de sistemas de nombres de dominio (DNS), el servidor de
actualizaciones y el servidor proxy. Utilice la pestaa NTP especfica para configurar los
ajustes del protocolo de tiempo de red (NTP). Consulte la Tabla 9 para conocer
descripciones de los campos de las opciones disponibles en la seccin Servicios.
En la seccin Caractersticas de servicios, haga clic en Configuracin de ruta de servicios

para especificar cmo se comunicar el cortafuegos con otros dispositivos o servidores
para servicios como DNS, correo electrnico, LDAP, RADIUS, syslog y mucho ms.
Hay dos formas de configurar rutas de servicio globales:
La opcin Utilizar interfaz de gestin para todos forzar todas las comunicaciones de
servicios de cortafuegos con servidores externos a travs de la interfaz de gestin
(MGT). Si selecciona esta opcin, deber configurar la interfaz de gestin para permitir
las comunicaciones entre el cortafuegos y los servidores/dispositivos que
proporcionan servicios. Para configurar la interfaz de gestin, desplcese hasta la
pestaa Dispositivo > Configuracin > Gestin y edite la seccin Configuracin de
interfaz de gestin.
La opcin Personalizar le ofrece un control granular sobre la comunicacin del
servicio mediante la configuracin de una interfaz de origen y una direccin IP
especficas que el servicio usar como interfaz de destino y direccin IP de destino en
su respuesta. (Por ejemplo, puede configurar una IP/interfaz de origen especfica para
toda la comunicacin por correo electrnico entre el cortafuegos y un servidor de
correo electrnico y utilizar una interfaz/IP de origen diferente para las
actualizaciones de Palo Alto.) Seleccione los servicios que quiere personalizar para que
tengan la misma configuracin y haga clic en Establecer rutas de servicio
seleccionadas. Estos servicios se enumeran en la Tabla 10, que indica si se puede
configurar un servicio para el cortafuegos Global o los sistemas virtuales, y si el
servicio es compatible con direcciones de origen IPv4 o IPv6.
La pestaa Destino es otra funcin de ruta de servicio global que puede personalizar.
La pestaa Destino se muestra en la ventana Configuracin de ruta de servicios y se describe
en Ruta de servicio de destino.
Use la pestaa Sistemas virtuales para especificar rutas de servicios para un nico sistema
virtual. Seleccione una ubicacin (sistema virtual) y haga clic en Configuracin de ruta de
servicios. Seleccione Heredar configuracin de ruta de servicios globales o Personalizar
rutas de servicio para un sistema virtual. Si elige personalizar configuraciones, seleccione IPv4
o IPv6. Seleccione los servicios que quiere personalizar para que tengan la misma
configuracin y haga clic en Establecer rutas de servicio seleccionadas. Consulte en la
Tabla 10 los servicios que se pueden personalizar.
Para controlar y redirigir solicitudes de DNS entre sistemas virtuales especficos, puede usar
un Proxy DNS y un perfil de servidor DNS.
La Tabla 9 describe los servicios globales.
Palo Alto Networks
Tabla 9. Configuracin de servicios

Funcin
Descripcin
Servicios
DNS
Seleccione el tipo de servicio de DNS: Servidor u Objeto proxy DNS. Este ajuste se utiliza
para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de
direccin FQDN, logs y la gestin de dispositivos. Las opciones incluyen las siguientes:
Servidores DNS principal y secundario para proporcionar resolucin de nombres de
dominio.
Un proxy DNS que se haya configurado en el cortafuegos es otra opcin para configurar
servidores de DNS.
Servidor DNS
principal
Introduzca la direccin IP del servidor DNS primario. El servidor se utiliza para las
consultas de DNS del cortafuegos; por ejemplo, para buscar el servidor de actualizaciones,
para resolver entradas de DNS en logs o para objetos de direccin basados en FDQN.
Servidor de DNS
secundario
Introduzca la direccin IP de un servidor DNS secundario que deber utilizarse si el

servidor principal no est disponible (opcional).
Actualizar servidor
Este ajuste representa la direccin IP o el nombre de host del servidor utilizado para
descargar actualizaciones de Palo Alto Networks. El valor actual es
updates.paloaltonetworks.com. No cambie el nombre del servidor a menos que se lo
indique la asistencia tcnica.
Verificar identidad
del servidor de
actualizacin
Si se habilita esta opcin, el cortafuegos o Panorama verificarn que el servidor desde el que
se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado
por una autoridad fiable. Esta opcin aade un nivel de seguridad adicional para la
comunicacin entre el servidor del cortafuegos/Panorama y el servidor de actualizacin.
Seccin Servidor proxy

Servidor
Si el dispositivo necesita utilizar un servidor proxy para acceder a los servicios de

actualizacin de Palo Alto Networks, introduzca la direccin IP o el nombre de host del
servidor.
Puerto
Introduzca el puerto para el servidor proxy.
Usuario
Introduzca el nombre de usuario para acceder al servidor.
Contrasea/
Confirmar
contrasea
Introduzca y confirme la contrasea para que el usuario acceda al servidor proxy.
NTP
Direccin de
servidor NTP
Palo Alto Networks
Introduzca la direccin IP o el nombre de host del servidor NTP que desee usar para
sincronizar el reloj del cortafuegos. De forma optativa, introduzca la direccin IP o nombre
de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el
servidor primario no est disponible.
Tabla 9. Configuracin de servicios (Continuacin)

Funcin
Descripcin
Tipo de
autenticacin
Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor
NTP. Para cada servidor NTP, seleccione el tipo de autenticacin que debe utilizar el
cortafuegos:
Ninguno: Seleccione esta opcin para desactivar la autenticacin del NTP (predeterminado).
Clave simtrica: Seleccione esta opcin para que el cortafuegos utilice intercambio de clave
simtrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor
NTP. Si selecciona la clave simtrica, contine introduciendo los siguientes campos:
ID de clave: Introduzca el ID de clave (1- 65534).
Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticacin del NTP
(MD5 o SHA1).
Clave de autenticacin/Confirmar clave de autenticacin: Introduzca y confirme la
clave de autenticacin del algoritmo de autenticacin.
Clave automtica: Seleccione esta opcin para que el cortafuegos utilice la clave automtica
(criptografa de clave pblica) para autenticar las actualizaciones de hora del servidor NTP.
Tabla 10. Ajustes de configuracin de ruta de servicios

Servicio
Sistema
virtual
Global
IPv4
IPv6
IPv4
IPv6
Estado de CRL: Servidor de lista de revocacin de certificado

(CRL).
DNS: Servidor de sistema de nombres de dominio. * Para

sistemas virtuales, el DNS se realiza en el perfil de servidor
de DNS.
Correo electrnico: Servidor de correo electrnico.
HSM: Servidor de mdulo de seguridad de hardware.
Kerberos: Servidor de autenticacin Kerberos.
LDAP: Servidor de protocolo ligero de acceso a directorios.
MDM: Servidor de gestin de dispositivos mviles.
Flujo de red: Servidor de flujo de red para la recopilacin de

estadsticas de trfico de red.
NTP: Servidor de protocolo de tiempo de red.
Actualizaciones de Palo Alto: Actualizaciones de

Palo Alto Networks.
Panorama: Servidor Panorama de Palo Alto Networks.
Proxy: Servidor que acta como proxy para el cortafuegos.
RADIUS: Servidor de servicio de autenticacin remota

telefnica de usuario.
SNMP Trap: Servidor trap de protocolo simple de

administracin de redes.
Palo Alto Networks
Tabla 10. Ajustes de configuracin de ruta de servicios (Continuacin)

Servicio
Sistema
virtual
Global
IPv4
IPv6
IPv4
IPv6
Syslog: Servidor para registro de mensajes de sistema.
Tacplus: Servidor de sistema de control de acceso del

controlador de acceso a terminales para servicios de
autenticacin, autorizacin y contabilidad (AAA, por sus
siglas en ingls).
Agente UID: Servidor de agente de ID de usuarios.
Actualizaciones de URL: Servidor de actualizaciones de

Localizador de recursos uniforme (URL).
Supervisor de VM: Servidor de supervisor de mquina

virtual.
Wildfire Private: Servidor WildFire de Palo Alto Networks

privado.
Wildfire Public: Servidor WildFire de Palo Alto Networks

pblico.
Al personalizar una ruta de servicios global, en la pestaa IPv4 o IPv6, seleccione uno de los
servicios disponibles de la lista, haga clic en Establecer rutas de servicio seleccionadas y
seleccione Interfaz de origen y Direccin de origen del men desplegable. Una interfaz de
origen definida en Cualquiera permite seleccionar una direccin de origen desde cualquiera
de las interfaces disponibles. La direccin de origen muestra la direccin IPv4 o IPv6 asignada
a la interfaz seleccionada; la direccin IP seleccionada ser el origen del trfico de servicios.
No tiene que definir la direccin de destino porque el destino se configura para cada servicio
en cuestin. Por ejemplo, cuando defina sus servidores DNS en la pestaa Dispositivo >
Configuracin > Servicios, dicha accin establecer el destino de las consultas de DNS.
Al configurar rutas de servicio para un sistema virtual, la opcin Heredar configuracin de
ruta de servicios globales significa que todos los servicios del sistema virtual heredarn la
configuracin de ruta de servicios global. O bien puede elegir Personalizar, seleccionar IPv4 o
IPv6, seleccionar un servicio y hacer clic en Establecer rutas de servicio seleccionadas.
La Interfaz de origen tiene las siguientes tres opciones:
Heredar configuracin global: Los servicios seleccionados heredarn la configuracin

global para estos servicios.
Cualquiera: Permite seleccionar una direccin de origen desde cualquiera de las

interfaces disponibles (interfaces en el sistema virtual especfico).
Una interfaz del men desplegable: Para los servicios en configuracin, las respuestas del
servidor se enviarn a la interfaz seleccionada porque esta era la interfaz de origen.
Para Direccin de origen, seleccione una direccin del men desplegable. Para los servicios
seleccionados, las respuestas del servidor se enviarn a esta direccin de origen.
Palo Alto Networks
Ruta de servicio de destino

Dispositivo > Configuracin > Servicios > Global
Al regresar a la pestaa Global, si hace clic en Configuracin de ruta de servicios y luego en
Personalizar, aparece la pestaa Destino. Las rutas de servicio de destino estn disponibles
solo en la pestaa Global (no la pestaa Sistemas virtuales), de modo que la ruta de servicio
de un sistema virtual individual no puede cancelar entradas de tabla de rutas que no estn
asociadas a un sistema virtual.
Se puede usar una ruta de servicio de destino para aadir una redireccin personalizada de
un servicio compatible con los servicios de la lista Personalizar (Tabla 10). Una ruta de
servicio de destino es un modo de configurar la ruta para cancelar la tabla de rutas de base de
informacin de reenvo (FIB). Cualquier configuracin en las rutas de servicio de destino
cancelan las entradas de tabla de rutas. Pueden estar relacionadas o no relacionadas con
cualquier servicio.
La pestaa Destino sirve para los siguientes casos de uso:
Cuando un servicio no tiene una ruta de servicio de aplicaciones.

Dentro de un nico sistema virtual, cuando quiere usar varios enrutadores virtuales o una
combinacin de enrutador virtual y puerto de gestin.
La Tabla 11 define los campos para la ruta de servicio de destino.
Tabla 11. Configuracin de ruta de servicio de destino

Campo
Descripcin
Destino
Introduzca la direccin IP de destino.
Interfaz de origen
Seleccione la interfaz de origen que se utilizar para los

paquetes que regresan del destino.
Direccin de origen
Seleccione la direccin de origen que se utilizar para los

paquetes que regresan del destino. No necesita introducir la
subred de la direccin de destino.

Dispositivo > Perfiles de servidor > DNS
Para simplificar la configuracin para un sistema virtual, un perfil de servidor de DNS le
permite especificar el sistema virtual que se est configurando, un origen de herencia o las
direcciones DNS primarias y secundarias para los servidores de DNS, as como la interfaz y la
direccin de origen (ruta de servicio) que se usar en los paquetes enviados al servidor de
DNS. La interfaz y la direccin de origen se usan como interfaz y direccin destino en la
respuesta desde el servidor de DNS.
Un perfil de servidor de DNS solo sirve para un sistema virtual; no sirve para la ubicacin
compartida global.
La Tabla 12 describe la configuracin del perfil de servidor de DNS.
Palo Alto Networks
Tabla 12. Configuracin de perfil de servidor de DNS

Campo
Descripcin
Nombre
Asigne un nombre al perfil de servidor de DNS.
Ubicacin
Seleccione el sistema virtual al que pertenece el perfil.
Origen de herencia
Seleccione Ninguno si las direcciones del servidor de DNS no

son heredadas. De lo contrario, especifique el servidor de DNS
desde el que el perfil debera heredar la configuracin.
Comprobar estado
de origen de
herencia
Haga clic para ver la informacin de origen de herencia.
DNS principal
Especifique la direccin IP del servidor DNS primario.
DNS secundario
Especifique la direccin IP del servidor DNS secundario.
Ruta de servicio
IPv4
Haga clic en la casilla de verificacin si quiere especificar que los

paquetes dirigidos al servidor de DNS tienen su origen en una
direccin IPv4.
Interfaz de origen
Especifique la interfaz de origen que usarn los paquetes

dirigidos al servidor de DNS.
Direccin de origen
Especifique la direccin de origen IPv4 desde la que se originan

los paquetes dirigidos al servidor de DNS.
Ruta de servicio
IPv6
Haga clic en la casilla de verificacin si quiere especificar que los

paquetes dirigidos al servidor de DNS tienen su origen en una
direccin IPv6.
Interfaz de origen
Especifique la interfaz de origen que usarn los paquetes

dirigidos al servidor de DNS.
Direccin de origen
Especifique la direccin de origen IPv6 desde la que se originan

los paquetes dirigidos al servidor de DNS.

Dispositivo > Configuracin > ID de contenido
Utilice la pestaa ID de contenido (Content-ID) para definir la configuracin del filtrado de
URL, la proteccin de datos y las pginas contenedoras.
Tabla 13. Configuracin de ID de contenidos

Funcin
Descripcin
Filtrado de URL
Tiempo de espera de
cach de URL dinmica
Palo Alto Networks
Haga clic en Editar e introduzca el tiempo de espera (en horas). Este

valor se utiliza en el filtrado de URL dinmica para determinar la
cantidad de tiempo que una entrada permanece en la cach despus de
ser devuelta por el servicio de filtrado de URL. Esta opcin nicamente
es aplicable al filtrado de URL que utilice la base de datos de
BrightCloud. Si desea ms informacin sobre el filtrado de URL, consulte
Perfiles de filtrado de URL.
Tabla 13. Configuracin de ID de contenidos (Continuacin)

Funcin
Descripcin
Tiempo de espera de
cach de URL dinmica
Especifique en minutos el intervalo que transcurre desde una accin de

continuacin por parte del usuario hasta el momento en que el usuario
debe volver a pulsar el botn de continuacin para las URL de la misma
categora (intervalo: 1-86400; predeterminado: 15).
Tiempo de espera de
cancelacin de
administrador de URL
Especifique en minutos el intervalo que transcurre desde que el usuario

introduce la contrasea de cancelacin de administrador hasta que el
usuario debe volver a introducir la contrasea de cancelacin de
administrador para las URL de la misma categora (intervalo: 1-86400;
Tiempo de espera de
bloqueo de
Especifique en minutos el perodo que un usuario est bloqueado y no

puede utilizar la contrasea de cancelacin de administrador de URL
despus de tres intentos incorrectos (1-86400; predeterminado: 1800).
Servidor PAN-DB
(Necesario para la
conexin a un servidor
PAN-DB privado)
Especifique la direccin IPv4, direccin IPv6 o FQDN para los servidores

PAN-DB privados en su red. Puede introducir hasta 20 entradas.
El cortafuegos conecta con la nube PAN-DB pblica de manera
predeterminada. La solucin PAN-DB privada es para empresas que no
permiten que los cortafuegos accedan directamente a los servidores de
PAN-DB en la nube pblica. Los cortafuegos acceden a los servidores
incluidos en esta lista de servidores de PAN-DB para bases de datos de
URL, actualizaciones de URL y bsquedas de URL para categorizar
pginas web.
Cancelacin de
Configuracin de la
cancelacin de
Para cada sistema virtual que quiera configurar para la cancelacin de

administradores de URL, haga clic en Aadir y especifique la
configuracin que se aplica cuando un perfil de bloqueo de URL bloquea
una pgina y la accin Cancelar se especifica (para obtener ms
informacin, consulte Perfiles de filtrado de URL):
Ubicacin: Seleccione el sistema virtual en la lista desplegable
(nicamente cortafuegos de VSYS mltiple).
Contrasea/Confirmar contrasea: Introduzca la contrasea que el
usuario debe introducir para cancelar la pgina de bloque.
Perfil de servicio SSL/TLS: Para especificar un certificado y las
versiones de protocolo TLS para proteccin de comunicaciones al
redireccionar a travs del servidor especificado, seleccione un perfil de
servicio SSL/TLS. Para obtener ms informacin, consulte Gestin de
perfiles de servicio SSL/TLS.
Modo: Determina si la pgina de bloqueo se entrega de manera
transparente (parece originarse en el sitio web bloqueado) o redirige al
usuario al servidor especificado. Si selecciona Redirigir, introduzca la
direccin IP para el redireccionamiento.
Haga clic en
para eliminar una entrada.
Configuracin de ID de
contenidos
Longitud de captura de
paquetes extendida
Establezca el nmero de paquetes que se deben capturar cuando la

opcin de captura extendida se habilita en perfiles de antispyware y
vulnerabilidad. El rango es 1-50 y el valor predeterminado es 5.
Palo Alto Networks

Funcin
Descripcin
Permitir reenvo de
contenido descifrado
Seleccione la casilla de verificacin para permitir que el cortafuegos

reenve contenido descifrado a un servicio externo. Si est seleccionada,
el cortafuegos puede reenviar contenido descifrado al realizar reflejo de
puerto o enviar archivos de WildFire para su anlisis.
Para dispositivos con capacidad para varios sistemas virtuales, esta
opcin est habilitada para cada sistema virtual. Para habilitar esta
configuracin en cada sistema virtual, vaya a la pestaa Dispositivo >
Sistemas virtuales.
X-Forwarded-For
Headers
Usar X-Forwarded-For
Header en ID de usuario
Seleccione esta casilla de verificacin para especificar que el servicio de

ID de usuario lea las direcciones IP desde el encabezado de
X-Forwarded-For (XFF) en las solicitudes del cliente de servicios web
cuando se implementa el cortafuegos entre Internet y un servidor proxy
que, de lo contrario, ocultara las direcciones IP a los usuarios. El servicio
de ID de usuario compara los nombres de usuario que lee con los
nombres de usuario que menciona su regla, de modo que esas polticas
puedan controlar y registrar el acceso a los usuarios y grupos asociados.
Si el encabezado tiene una direccin IP no vlida, el servicio de ID de
usuario usa esa direccin IP como un nombre de usuario para las
referencias de asignacin de grupos en las polticas. Si el encabezado
tiene varias direcciones IP, el servicio de ID de usuario usa la primera
entrada de la izquierda.
Los logs de URL muestran los nombres de usuario coincidentes en el
campo Usuario de origen. Si el servicio de ID de usuario no puede
realizar la comparacin o no tiene permiso en la zona asociada con la
direccin IP, el campo Usuario de origen muestra la direccin IP XFF con
el prefijo x-fwd-for.
Strip-X-Forwarded-For
Header
Seleccione esta casilla de verificacin para eliminar el encabezado

X-Forwarded-For (XFF), que contiene las direcciones IP de un cliente que
solicita un servicio web cuando se implementa el cortafuegos entre
Internet y un servidor proxy. El cortafuegos pone a cero el valor del
encabezado antes de reenviar la solicitud y los paquetes reenviados no
contienen informacin de IP de origen interna.
Nota: Al seleccionar esta casilla de verificacin no se deshabilita el uso de
encabezado XFF para atribucin de usuarios en polticas (consulte Usar
X-Forwarded-For Header en ID de usuario); el cortafuegos solamente pone a
cero el valor de XFF tras usarlo para atribucin de usuarios.
Caractersticas de ID de
contenido
Gestionar proteccin de
datos
Palo Alto Networks
Aumente la proteccin para acceder a logs que puedan incluir

informacin confidencial, como nmeros de tarjetas de crdito o nmeros
de la Seguridad Social.
Haga clic en Gestionar proteccin de datos y configure lo siguiente:
Para establecer una nueva contrasea si todava no se ha establecido
una, haga clic en Establecer contrasea. Introduzca y confirme la
contrasea.
Para cambiar la contrasea, haga clic en Cambiar contrasea.
Introduzca la contrasea anterior y, a continuacin, introduzca y
confirme la nueva contrasea.
Para eliminar la contrasea y los datos que se han protegido, haga clic
en Eliminar contrasea.

Funcin
Descripcin
Pginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain y
text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida,
se utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de
contenido asociados a un sistema virtual, se utilizar la lista
predeterminada de tipos de contenido.

Dispositivo > Configuracin > WildFire
Utilice la pestaa WildFire para configurar los ajustes de WildFire en el cortafuegos. Puede
habilitar tanto la nube de WildFire como un dispositivo WildFire para que se usen para
realizar anlisis de archivos. Tambin puede establecer los lmites de tamao de archivo y la
informacin de sesin sobre la que se informar. Tras introducir la configuracin de WildFire,
puede especificar qu archivos se reenvan a la nube de WildFire o al dispositivo de WildFire
creando un perfil de anlisis de WildFire (Objetos > Perfiles de seguridad > Anlisis de
WildFire).
Para reenviar contenido descifrado a WildFire, deber seleccionar la casilla de
verificacin Permitir reenvo de contenido descifrado del cuadro Configuracin
de Dispositivo > Configuracin > ID de contenido > Filtrado de URL.
Tabla 14. Ajustes de WildFire en el cortafuegos

Campo
Descripcin
Configuracin
general
Nube pblica de
WildFire
Introduzca wildfire.paloaltonetworks.com para usar la nube de

WildFire alojada en EE. UU. para analizar archivos.
Para usar la nube de WildFire alojada en Japn, introduzca
wildfire.paloaltonetworks.jp. Puede que desee utilizar el servidor japons si
no desea que se enven archivos benignos a los servidores de nube
estadounidenses. Si se detecta que un archivo enviado a la nube de Japn es
malintencionado, el sistema de la nube de Japn lo reenva a los servidores
de EE. UU., donde el archivo se vuelve a analizar y se genera una firma. Si se
encuentra en la regin de Japn, puede que tambin experimente una
respuesta ms rpida en los envos de muestras y la generacin de informes.
Nube privada de
WildFire
Especifique la direccin IP o FQDN del dispositivo WildFire que se usar

para analizar archivos.
Palo Alto Networks
Tabla 14. Ajustes de WildFire en el cortafuegos (Continuacin)

Campo
Descripcin
Tamao de archivo
mximo (MB)
Especifique el tamao de archivo mximo que se reenviar al servidor

WildFire. Los rangos disponibles son:
flash (Adobe Flash): 1-10 MB, 5 MB de forma predeterminada
apk (aplicaciones para Android): 1-50 MB, 10 MB de forma
predeterminada
pdf (Portable Document Format) 100 KB-1000 KB, 200 KB de forma
predeterminada
jar (archivo de clase de Java empaquetado): 1-10 MB, 1 MB de forma
predeterminada
pe (Portable Executable): 1-10 MB, 2 MB de forma predeterminada
ms-office (Microsoft Office): 200 KB-10000 KB, 500 KB de forma
predeterminada
Nota: Los valores anteriores pueden variar segn la versin de PAN-OS o la
versin de contenido instalada. Para ver los intervalos vlidos, haga clic en el
campo Lmite de tamao y aparecer un mensaje emergente que mostrar el
intervalo disponible y el valor predeterminado.
Informar de archivos
benignos
Cuando esta opcin est activada (desactivada de forma

predeterminada), los archivos analizados por WildFire indicados como
benignos aparecern en el log Supervisar > Envos de WildFire.
Nota: Incluso si esta opcin est activada en el cortafuegos, los enlaces de correo
electrnico que WildFire considera benignos no se registrarn debido a la
cantidad potencial de enlaces procesados.
Archivos Grayware del

informe
Cuando esta opcin est activada (desactivada de forma

predeterminada), los archivos analizados por WildFire indicados como
grayware aparecern en el log Supervisar > Envos de WildFire.
Nota: Incluso si esta opcin est activada en el cortafuegos, los enlaces de correo
electrnico que WildFire considera grayware no se registrarn debido a la
cantidad potencial de enlaces procesados.
Palo Alto Networks
Tabla 14. Ajustes de WildFire en el cortafuegos (Continuacin)

Campo
Descripcin
Ajustes de informacin
de sesin
Configuracin
Especifique la informacin que se reenviar al servidor WildFire. De

manera predeterminada, todo est seleccionado:
IP de origen: Direccin IP de origen que envi el archivo sospechoso.
Puerto de origen: Puerto de origen que envi el archivo sospechoso.
IP de destino: Direccin IP de destino del archivo sospechoso.
Puerto de destino: Puerto de destino del archivo sospechoso.
Vsys: Sistema virtual del cortafuegos que identific al posible software
malintencionado.
Aplicacin: Aplicacin de usuario que se utiliz para transmitir el
archivo.
Usuario: Usuario de destino.
URL: URL asociada al archivo sospechoso.
Nombre de archivo: Nombre del archivo que se envi.
Remitente de correo electrnico: Proporciona el nombre del remitente
en los logs de WildFire e informes de WildFire detallados cuando se
detecta un enlace de correo electrnico malicioso en el trfico del SMTP
y POP3.
Destinatario de correo electrnico: Proporciona el nombre del destinatario
en los logs e informes detallados de WildFire cuando se detecta un enlace
de correo electrnico malicioso en el trfico del SMTP y POP3.
Asunto de correo electrnico: Proporciona el asunto del correo electrnico en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrnico malicioso en el trfico del SMTP y POP3.

Dispositivo > Configuracin > Sesin
Utilice la pestaa Sesin para configurar los tiempos de vencimiento de las sesiones,
la configuracin de certificados de descifrado y los ajustes globales relacionados con las
sesiones, como aplicar cortafuegos al trfico IPv6 y volver a hacer coincidir la poltica de
seguridad con las sesiones existentes cuando cambia la poltica. La pestaa presenta las
siguientes secciones:
Configuracin de sesin
Tiempos de espera de sesin
Ajustes de descifrado: Comprobacin de revocacin de certificado
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
Configuracin de sesin de VPN
Palo Alto Networks
Configuracin de sesin
Tabla 15. Configuracin de sesin
Campo
Descripcin
Reanalizar sesiones
establecidas
Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que

el cortafuegos aplique las polticas de seguridad recin configuradas a las
sesiones que ya estn en curso. Esta capacidad est habilitada de manera
predeterminada. Si este ajuste est deshabilitado, cualquier cambio de
poltica se aplica solo a las sesiones iniciadas despus de que se haya
compilado un cambio de poltica.
Por ejemplo, si se ha iniciado una sesin de Telnet mientras haba
configurada una poltica que permita Telnet y, en consecuencia, ha
compilado un cambio de poltica para denegar Telnet, el cortafuegos aplica
la poltica revisada a la sesin actual y la bloquea.
Tamao de depsito de
testigo de ICMPv6
Introduzca el tamao de depsito para la limitacin de tasa de mensajes de

error de ICMPv6. El tamao de depsito de testigo es un parmetro del
algoritmo de depsito de testigo que controla la intensidad de las rfagas
de transmisin de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).
Tasa de paquetes de
error de ICMPv6
Introduzca el nmero medio de paquetes de error de ICMPv6 por segundo

que se permiten globalmente a travs del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depsito de testigo de
ICMPv6 se utiliza para activar la limitacin de mensajes de error de
ICMPv6.
Habilitar cortafuegos
IPv6
Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y

seleccione la casilla de verificacin Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarn si IPv6 no se
habilita. Incluso si IPv6 est activado para una interfaz, el ajuste
Cortafuegos IPv6 tambin debe estar activado para que IPv6 funcione.
Habilitar trama gigante

MTU global
Seleccione esta opcin para habilitar la compatibilidad con tramas gigantes

en interfaces de Ethernet. Las tramas gigantes tienen una unidad de
transmisin mxima (MTU) de 9192 bytes y estn disponibles en
determinadas plataformas.
Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no est
especficamente configurada, estas interfaces heredarn automticamente
el tamao de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor. Para configurar la MTU
para la interfaz (Red > Interfaces > Ethernet), consulte Configuracin de
interfaz de capa 3.
Tamao mnimo de
MTU para NAT64 en
IPv6
Introduzca la MTU global para el trfico IPv6 traducido. El valor

predeterminado de 1280 bytes se basa en la MTU mnima estndar para el
trfico IPv6.
Palo Alto Networks
Tabla 15. Configuracin de sesin (Continuacin)

Campo
Descripcin
Ratio de
sobresuscripcin NAT
Seleccione la velocidad de sobresuscripcin NAT, es decir, el nmero de

ocasiones en las que el mismo par de direccin IP y puerto traducido se
pueden usar de forma simultnea. La reduccin de la velocidad de
sobresuscripcin disminuir el nmero de traducciones de dispositivo
origen, pero proporcionar ms capacidades de regla de NAT.
Valor predeterminado de plataforma: La configuracin explcita de la
velocidad de sobresuscripcin est desactivada; se aplica la velocidad de
sobresuscripcin predeterminada para la plataforma. Consulte las
velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
1x: 1 vez. Esto significa que no existe ninguna sobresuscripcin; cada par
de direccin IP y puerto traducido se puede utilizar solo una vez en cada
ocasin.
2x: 2 veces
4x: 4 veces
8x: 8 veces
Tasa de paquetes (por

segundo) inalcanzable
de ICMP
Define el nmero mximo de respuestas de ICMP inalcanzable que puede

enviar el cortafuegos por segundo. Este lmite es compartido por los
paquetes IPv4 e IPv6.
El valor predeterminado es 200 mensajes por segundo;
intervalo: 1-65535 mensajes por segundo.
Vencimiento acelerado
Activa el vencimiento acelerado de las sesiones inactivas.

Seleccione la casilla de verificacin para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesin alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado a
los clculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces ms rpida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera ms rpido
(la mitad). Para calcular el vencimiento acelerado de la sesin, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesin) entre
el factor de escala para determinar un tiempo de espera ms corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesin que por lo
general vencera despus de 3600 segundos lo har 10 veces ms rpido
(en 1/10 del tiempo), es decir, 360 segundos.
Tiempos de espera de sesin

El tiempo de espera de una sesin define la duracin para la que PAN-OS mantiene una
sesin en el cortafuegos despus de la inactividad en esa sesin. De forma predeterminada,
cuando la sesin agota su tiempo de espera para el protocolo, PAN-OS cierra la sesin.
En el cortafuegos, puede definir un nmero de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesin. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Adems de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicacin en la pestaa Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicacin aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicacin a una aplicacin que est en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicacin anulan los tiempos de espera globales de la sesin TCP o UDP.
Palo Alto Networks
Utilice las opciones de esta seccin para configurar los ajustes de los tiempos de espera globales:
especficamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la
deteccin de errores.
Tabla 16. Tiempos de espera de sesin

Campo
Descripcin
Valor predeterminado
Tiempo mximo que una sesin que no es TCP/UDP ni ICMP se puede abrir
sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Descartar tiempo de
espera
PAN-OS aplica el tiempo de espera de descarte cuando se deniega una

sesin debido a las polticas de seguridad configuradas en el cortafuegos.
Descartar valor
predeterminado
Solo se aplica al trfico que no es de TCP/UDP.

Descartar TCP
Se aplica al trfico de TCP.

Descartar UDP
Se aplica al trfico de UDP.

ICMP
Tiempo mximo que una sesin ICMP puede permanecer abierta sin una
respuesta de ICMP.
Analizar
Tiempo mximo que cualquier sesin puede permanecer abierta despus

de ser considerada inactiva. PAN-OS considera inactiva una aplicacin
cuando supera el umbral de generacin definido para la misma.
TCP
Tiempo mximo que una sesin TCP permanece abierta sin una respuesta
despus de que una sesin TCP active el estado Establecido (despus de
que se complete el protocolo o la transmisin de datos haya comenzado).
Protocolo de
enlace TCP
Tiempo mximo entre la recepcin de SYN-ACK y la siguiente ACK para

establecer completamente la sesin.
Inicializacin de TCP
Tiempo mximo entre la recepcin de SYN y SYN-ACK antes de iniciar el

temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; intervalo: 1-60 segundos
TCP semicerrado
Tiempo mximo entre la recepcin del primer FIN y la recepcin del

segundo FIN o RST.
Tiempo de espera
de TCP
Tiempo mximo despus de recibir el segundo FIN o RST.

RST sin verificar
Tiempo mximo despus de recibir un RST que no se puede verificar

(el RST est dentro de la ventana TCP pero tiene un nmero de secuencia
inesperado o el RST procede de una ruta asimtrica).
UDP
Tiempo mximo que una sesin UDP permanece abierta sin una respuesta
de UDP.
Palo Alto Networks
Tabla 16. Tiempos de espera de sesin (Continuacin)

Campo
Descripcin
Portal cautivo
El tiempo de espera de la sesin de autenticacin en segundos para el

formulario web del portal cautivo (predeterminado: 30; intervalo: 1-1599999).
Para acceder al contenido solicitado, el usuario debe introducir las
credenciales de autenticacin en este formato y autenticarse correctamente.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, utilice la pestaa Dispositivo > Identificacin de
usuario > Configuracin de portal cautivo. Consulte Pestaa
Configuracin de portal cautivo.
Ajustes de descifrado: Comprobacin de revocacin de certificado

En la pestaa Sesin, seccin Ajustes de descifrado, seleccione Comprobacin de revocacin
de certificado para establecer los parmetros descritos en la siguiente tabla.
Tabla 17. Caractersticas de sesin: Comprobacin de revocacin de certificado

Campo
Descripcin
Habilitar: CRL
Seleccione esta casilla de verificacin para utilizar el mtodo de la lista de

revocacin de certificados (CRL) y verificar el estado de revocacin de los
certificados.
Si tambin activa el protocolo de estado de certificado en lnea (OCSP), el
cortafuegos primero prueba con l; si el servidor OCSP no est disponible,
entonces el cortafuegos intenta utilizar el mtodo CRL.
Para obtener ms informacin sobre los certificados de descifrado, consulte
Polticas de descifrado.
Tiempo de espera de
recepcin: CRL
Si ha activado el mtodo CLR para verificar el estado de revocacin de

certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) despus del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.
Habilitar: OCSP
Seleccione la casilla de verificacin para utilizar OCSP y verificar el estado

de revocacin de los certificados.
Tiempo de espera de
recepcin: OCSP
Si ha activado el mtodo OCSP para verificar el estado de revocacin de

certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) despus del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.
Bloquear sesin con

estado de certificado
desconocido
Seleccione la casilla de verificacin para bloquear sesiones SSL/TLS cuando

el servicio OCSP o CRL devuelva un estado de revocacin de certificados
desconocido. De lo contrario, el cortafuegos continuar con la sesin.
Bloquear sesin al
agotar el tiempo de
espera de
comprobacin de
Seleccione la casilla de verificacin para bloquear sesiones SSL/TLS

despus de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuar con la sesin.
Palo Alto Networks
Tabla 17. Caractersticas de sesin: Comprobacin de revocacin de certificado (Continuacin)

Campo
Descripcin
Tiempo de espera del

estado del certificado
Especifique el intervalo en segundos (1-60 segundos, 5 de forma

predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lgica de bloqueo
de sesin que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepcin de OCSP/
CRL de la manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud despus de que pase el menor de dos intervalos: el
valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de CRL.
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy

En la pestaa Sesin, seccin Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamao de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvo SSL/TLS. La siguiente tabla describe los parmetros.
Tabla 18. Caractersticas de sesin: Reenviar los ajustes de certificados del servidor proxy
Campo
Descripcin
Definido por el host de

destino
Seleccione esta opcin si desea que PAN-OS genere certificados basados en

la clave que utiliza el servidor de destino:
Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS genera
un certificado con ese tamao de clave y un algoritmo de hash SHA-1.
Si el servidor de destino utiliza un tamao de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.
RSA de 1024 bits
Seleccione esta opcin si desea que PAN-OS genere certificados que

utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamao de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificacin pblicas
(CA) y navegadores ms populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
segn su configuracin de seguridad, cuando el navegador presente dichas
claves, el usuario podra recibir un aviso o se podra bloquear
completamente la sesin SSL/TLS.
RSA de 2048 bits
Seleccione esta opcin si desea que PAN-OS genere certificados que

utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamao de clave que utiliza el servidor de destino.
Las CA pblicas y los navegadores ms populares admiten claves de
2048 bits, que proporcionan ms seguridad que las claves de 1024 bits.
Palo Alto Networks
Configuracin de sesin de VPN

En la pestaa Sesin, en la seccin Configuracin de sesin de VPN, configure los ajustes
globales relacionados con el cortafuegos que establece una sesin de VPN. La siguiente tabla
describe la configuracin.
Tabla 19 Configuracin de sesin de VPN

Campo
Descripcin
Umbral de
activacin de
cookies
Especifique un nmero mximo de asociaciones de seguridad (SA) IKE a

medio abrir IKEv2 permitidas por el cortafuegos, por encima del cual se activa
la validacin de cookies. Si el nmero de SA IKE a medio abrir supera el
umbral de activacin de cookies, el respondedor solicita una cookie y el
iniciador debe responder con una IKE_SA_INIT que contenga una cookie. Si la
cookie se valida correctamente, se puede iniciar otra sesin de SA.
Un valor de 0 significa que la validacin de cookies est siempre activa.
El Umbral de activacin de cookies es una configuracin de cortafuegos global
y debera ser inferior a la configuracin de SA medio abiertas mx., que
tambin es global.
Intervalo: 0-65535. Valor predeterminado: 500.
SA medio abiertas
mx.
Especifique el nmero mximo de SA IKE a medio abrir IKEv2 que los

iniciadores pueden enviar al cortafuegos sin obtener una respuesta. Cuando se
alcance el mximo, el cortafuegos no responder a nuevos paquetes
IKE_SA_INIT. Intervalo: 1-65535. Valor predeterminado: 65535.
Certificados en
cach mx.
Especifique el nmero mximo de certificados de autoridades de certificados

(CA) de peer recuperados por HTTP que el cortafuegos puede almacenar en
cach. Este valor solo lo usan las funciones IKEv2 Hash y URL. Intervalo:
1-4000. Valor predeterminado: 500.
Palo Alto Networks

Dispositivo > Auditora de configuraciones
Puede ver y comparar archivos de configuracin utilizando la pgina Auditora de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el nmero de lneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente ilustracin.
La pgina tambin incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuracin consecutivas. Haga clic en
para
cambiar las configuraciones que se estn comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se estn
comparando por el conjunto siguiente de configuraciones guardadas.
Ilustracin 1. Comparacin de configuraciones
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.

Dispositivo > Licencias
Use esta pgina para activar licencias en todas las plataformas del cortafuegos. Al adquirir
una suscripcin de Palo Alto Networks, recibir un cdigo de autorizacin para activar una o
ms claves de licencia.
En el cortafuegos VM-Series, esta pgina tambin permite desactivar una mquina virtual (VM).
Las siguientes acciones estn disponibles en la pgina Licencias:
Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones

adquiridas que requieren un cdigo de autorizacin y que se han activado en el portal de
asistencia tcnica, haga clic en Recuperar claves de licencia del servidor de licencias.
Palo Alto Networks
Activar caracterstica mediante cdigo de autorizacin: Para habilitar suscripciones

adquiridas que requieren un cdigo de autorizacin y que no se han activado anteriormente
en el portal de asistencia tcnica, haga clic en Activar caracterstica mediante cdigo de
autorizacin. Introduzca su cdigo de autorizacin y haga clic en ACEPTAR.
Clave de licencia de carga manual: Si el cortafuegos no tiene conexin con el servidor de

licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:
a. Descargue el archivo de clave de licencia en https://support.paloaltonetworks.com y

gurdelo localmente.
b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PAN-DB
for URL Filtering), tendr que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuacin, hacer clic en Activar.
Tambin puede ejecutar el comando de CLI request url-filtering download
paloaltonetworks region <region name>.
Deshabilitar VM: Esta opcin est disponible en el cortafuegos VM-Series con el modelo
Traiga su propia licencia, que es compatible con licencias perpetuas y temporales;
el modelo de licencias a peticin no es compatible con esta funcionalidad.
Haga clic en Desactivar VM cuando ya no necesite una instancia del cortafuegos
VM-Series. Le permitir liberar todas las licencias activas (licencias de suscripcin,
licencias de capacidad de VM y derecho de asistencia) usando esta opcin. Las licencias se
devuelven a su cuenta y podr aplicarlas a nuevas instancias de un cortafuegos
VM-Series cuando sea necesario.
Al desactivar la licencia, la funcionalidad del cortafuegos se deshabilita y se queda sin
licencia; no obstante, la configuracin permanece intacta.
Haga clic en Continuar manualmente si el cortafuegos VM-Series no tiene acceso
directo a Internet. El cortafuegos genera un archivo de token. Haga clic en el enlace
Exportar token de licencia para guardar el archivo de token en su ordenador local y
luego reinicie el cortafuegos. Inicie sesin en el portal de asistencia de
Palo Alto Networks y acceda a la pgina Activos > Dispositivos; haga clic en el enlace
Deshabilitar VM para usar este archivo de token y completar el proceso de
desactivacin.
Haga clic en Continuar si desea desactivar las licencias del cortafuegos VM-Series.
Haga clic en Reiniciar ahora para completar el proceso de desactivacin de licencias.
Haga clic en Cancelar si desea cancelar y cerrar la ventana de desactivacin de VM.
Comportamiento tras el vencimiento de la licencia

Pngase en contacto con el equipo de operaciones y ventas de Palo Alto Networks para
obtener informacin sobre cmo renovar sus licencias o suscripciones.
Palo Alto Networks
Si vence la suscripcin de prevencin de amenazas en el cortafuegos, ocurrir lo siguiente:

Se genera una entrada de log en el sistema; la entrada indica que la suscripcin ha vencido.
Todas las funciones de prevencin de amenazas continuarn funcionado con las
firmas que se instalaron en el momento en que caduc la licencia.
Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
vlida. De igual forma, la capacidad de restablecimiento a una versin anterior de las
firmas no es compatible si la licencia ha caducado.
Las firmas de App-ID personalizadas continuarn funcionando y se pueden modificar.
Si la licencia de soporte caduca, la prevencin de amenazas y sus actualizaciones

continuarn funcionando normalmente.
Si los derechos de soporte vencen, las actualizaciones de software dejarn de estar

disponibles. Deber renovar su licencia para continuar teniendo acceso a las
actualizaciones de software e interactuar con el grupo de soporte tcnico.
Si vence una licencia de capacidad de VM temporal, no podr obtener software o

actualizaciones de contenido para el cortafuegos hasta que renueve la licencia. Aunque
puede que tenga una suscripcin vlida (prevencin de amenazas o WildFire, por
ejemplo) y una licencia de asistencia, debe tener una licencia de capacidad vlida para
obtener el software y las actualizaciones de contenido ms recientes.

Dispositivo > Orgenes de informacin de VM
Utilice esta pestaa para registrar cambios activamente en las mquinas virtuales (VM)
implementadas en cualquier de estos orgenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orgenes de informacin de VM.
El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de

VMware y los entornos AWS-VPC, as como y recuperar cambios conforme realiza el
abastecimiento o modifica los invitados en estos orgenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orgenes.
Si sus cortafuegos estn configurados con alta disponibilidad:
En una configuracin activa/pasiva, solo el cortafuegos activo supervisa los orgenes
de la informacin de la mquina virtual.
En una configuracin activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orgenes de la mquina virtual.
Para obtener informacin sobre cmo funcionan de forma sincronizada los orgenes de
informacin de la VM y los grupos de direcciones dinmicas, y poder supervisar los
cambios en el entorno virtual, consulte la Gua de implementacin de la serie VM.
Para la direccin IP de la identificacin de usuario, puede configurar los orgenes de la

informacin de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme
Palo Alto Networks
realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten

hasta 100 orgenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecucin. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.
Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos:
Atributos supervisados en un
origen de VMware
Atributos supervisados
en el AWS-VPC
UUID
Arquitectura
Nombre
Sistema operativo invitado
Sistema operativo invitado
ID de imagen
Estado de mquina virtual: el estado de
ID de instancia
alimentacin es apagado, encendido,

en espera y desconocido.
Estado de instancia
Anotacin
Tipo de instancia
Versin
Nombre de clave
Red: nombre del conmutador virtual,
Colocacin: arrendamiento, nombre de grupo,
nombre del grupo de puerto e ID de

VLAN
Nombre del contenedor: nombre de

vCenter, nombre del objeto del centro
de datos, nombre del grupo de
recursos, nombre del clster, host,
direccin IP del host.
zona de disponibilidad
Nombre de DNS privado

Nombre de DNS pblico
ID de subred
Etiqueta (clave, valor) (se admiten hasta
5 etiquetas por instancia)
ID de VPC
Aadir: para aadir un nuevo origen para la supervisin de VM, haga clic en Aadir y,
a continuacin, complete los detalles basados en el origen que se est supervisando:
Para el servidor ESXi de VMware o vCenter, consulte Activacin de los orgenes de

informacin de la VM para los servidores ESXi de VMware o vCenter.
Para AWS-VPC, consulte Activacin de los orgenes de informacin de la VM para

AWS VPC.
Actualizar conectados: Haga clic para actualizar el estado de la conexin; se actualiza la
visualizacin en pantalla. Este botn no actualiza la conexin entre el cortafuegos y los
orgenes supervisados.
Eliminar: Seleccione un origen de informacin de mquina virtual configurado y haga clic
para eliminar el origen configurado.
Palo Alto Networks
Tabla 20. Activacin de los orgenes de informacin de la VM para los servidores ESXi de
VMware o vCenter
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el origen supervisado (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.
Tipo
Seleccione si el host/origen que se est supervisando es un servidor ESXi

o vCenter.
Descripcin
(Optativo) Aada una etiqueta para identificar la ubicacin o funcin del

origen.
Puerto
Especifique el puerto en el que est escuchando el host/origen. (puerto

predeterminado 443).
Habilitado
De forma predeterminada, la comunicacin entre el cortafuegos y el

origen configurado est activada.
El estado de conexin entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:
Conectado
Desconectado
Pendiente; el estado de la conexin tambin aparece en amarillo

cuando se deshabilita el origen supervisado.
Quite la marca de la casilla de verificacin correspondiente para
deshabilitar la comunicacin entre el host y el cortafuegos.
Tiempo de espera
Introduzca el intervalo en horas despus del cual se cierra la conexin al

origen supervisado, si el host no responde. (de forma predeterminada:
2 horas, rango de 2-10 horas)
(Optativo) Para cambiar el valor predeterminado, seleccione la casilla de
verificacin Habilitar el tiempo de espera cuando el origen est
desconectado y especifique el valor. Cuando se alcanza el lmite
especificado o si no se puede acceder al host o este no responde,
el cortafuegos cerrar la conexin al origen.
Origen
Introduzca el FQDN o la direccin IP del host/origen que se est

supervisando.
Nombre de usuario
Especifique el nombre de usuario necesario para autenticar para el origen.
Contrasea
Introduzca la contrasea y confirme la entrada.
Intervalo de
actualizacin
Especifique el intervalo en el que el cortafuegos recupera informacin

del origen. (de forma predeterminada, 5 segundos, el rango es de
5-600 segundos)
Tabla 21. Activacin de los orgenes de informacin de la VM para AWS VPC

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el origen supervisado (de hasta

Tipo
Seleccione VPC de AWS.
Palo Alto Networks
Tabla 21. Activacin de los orgenes de informacin de la VM para AWS VPC (Continuacin)
Campo
Descripcin
Descripcin
(Optativo) Aada una etiqueta para identificar la ubicacin o funcin del

origen.
Habilitado
De forma predeterminada, la comunicacin entre el cortafuegos y el

origen configurado est activada.
El estado de conexin entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:
Conectado
Desconectado
Pendiente; El estado de la conexin tambin aparece en

amarillo cuando se deshabilita el origen supervisado.
Quite la marca de la casilla de verificacin correspondiente para
deshabilitar la comunicacin entre el host y el cortafuegos.
Origen
Aada la URI en la que reside la Virtual Private Cloud. Por ejemplo,

ec2.us-west-1.amazonaws.com.
La sintaxis es: ec2.<su_regin_AWS>.amazonaws.com
ID de clave de acceso
Introduzca la cadena de texto alfanumrico que identifica de forma

exclusiva al usuario propietario o con autorizacin de acceso a la cuenta
de AWS.
Esta informacin es una parte de las credenciales de seguridad de AWS.
El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de
acceso secreto) para firmar digitalmente las llamadas de API realizadas a
los servicios de AWS.
Clave de acceso secreto
Introduzca la contrasea y confirme la entrada.
Intervalo de actualizacin
Especifique el intervalo en el que el cortafuegos recupera informacin

del origen. (de forma predeterminada, 60 segundos, el rango es de
60-1200 segundos)
Tiempo de espera
Intervalo en horas despus del cual se cierra la conexin al origen

supervisado, si el host no responde. (valor predeterminado 2 horas)
(Optativo) Seleccione la casilla de verificacin Habilitar el tiempo de
espera cuando el origen est desconectado. Cuando se alcanza el lmite
especificado o si no se puede acceder al origen o este no responde,
el cortafuegos cerrar la conexin al origen.
ID de VPC
Introduzca el ID del AWS-VPC para supervisar, por ejemplo,

vpc-1a2b3c4d. Solo se supervisan las instancias de EC2 implementadas
en este VPC.
Si su cuenta se configura para usar un VPC predeterminado, el ID del
VPC predeterminado aparecer en los atributos de cuenta de AWS.
Palo Alto Networks
Dispositivo > Software
Use esta pgina para ver las versiones de software disponibles, descargar o actualizar una
versin, instalar una versin (se requiere una licencia de asistencia), eliminar una imagen de
software del dispositivo o ver las notas de la versin. Siga estas recomendaciones antes de
actualizar o desactualizar la versin de software:
Lea las notas de la versin para ver una descripcin de los cambios de una versin y la
ruta de migracin para instalar el software.
Realice una copia de seguridad de su configuracin actual, ya que una versin con
caractersticas puede migrar determinadas configuraciones para admitir nuevas
caractersticas. (Haga clic en la pestaa Dispositivo > Configuracin > Operaciones y
seleccione Exportar instantnea de configuracin con nombre, seleccione
running-config.xml y, a continuacin, haga clic en ACEPTAR para guardar el archivo de
configuracin en su ordenador.)
Cuando realice una desactualizacin, se recomienda que lo haga a una configuracin que
coincida con la versin del software.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 5.0 a
6.0. o de 6.0 a 6.1), puede que se migre la configuracin para admitir nuevas
caractersticas. Si est habilitada la sincronizacin de sesiones, las sesiones no se
sincronizarn si un dispositivo del clster ejecuta una versin con caractersticas de
PAN-OS diferente.
Si necesita actualizar el cortafuegos a una versin de mantenimiento de PAN-OS para la

cual la versin base es superior al software instalado actualmente, debe cargar (sin
instalar) la versin base en el cortafuegos antes de cargar e instalar la versin de
mantenimiento. Por ejemplo, para actualizar un cortafuegos de PAN-OS 5.0.12 a
PAN-OS 6.0.3, debe descargar (sin instalar) PAN-OS 6.0.0 en el cortafuegos antes de
descargar e instalar PAN-OS 6.0.3.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del dispositivo no est actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
En la siguiente tabla se proporciona ayuda para utilizar la pgina de Software.
Tabla 22. Opciones de software

Campo
Descripcin
Versin
Muestra las versiones de software que estn disponibles actualmente en

el servidor de actualizaciones de Palo Alto Networks. Para comprobar si
hay una nueva versin de software disponible en Palo Alto Networks,
haga clic en Comprobar ahora. El cortafuegos utiliza la ruta del servicios
para conectar al servidor de actualizaciones y comprueba la existencia de
nuevas versiones. Si hay actualizaciones disponibles, las muestra al
principio de la lista.
Tamao
Indica el tamao de la imagen de software.
Palo Alto Networks
Tabla 22. Opciones de software (Continuacin)

Campo
Descripcin
Fecha de versin
Indica la fecha y hora en la que Palo Alto Networks public la versin.
Disponible
Indica la versin correspondiente de la imagen de software cargada o

descargada en el cortafuegos.
Instalado actualmente
Indica si la versin correspondiente de la imagen de software est

activada y si se ejecuta actualmente en el cortafuegos.
Accin
Indica la accin actual que puede realizar para la imagen de software

correspondiente de la siguiente forma:
Descargar: La versin de software correspondiente est disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga.
Instalar: Se ha descargado o cargado la versin de software
correspondiente en el cortafuegos. Haga clic en el enlace para instalar el
software. Se necesita reiniciar para completar el proceso de actualizacin.
Reinstalar: Se ha instalado la versin de software correspondiente.
Para volver a instalar la misma versin, haga clic en el enlace.
Notas de versin
Proporciona un enlace a las notas de la versin de la actualizacin de

software correspondiente. Este enlace solo est disponible para
actualizaciones que descargue del servidor de actualizaciones de
Palo Alto Networks: no est disponible para actualizaciones cargadas.
Elimina la imagen de software cargada o descargada anteriormente del
cortafuegos. nicamente puede eliminar la imagen base en el caso de
versiones anteriores que no necesiten actualizarse. Por ejemplo, si
ejecuta 7.0, puede eliminar la imagen base de 6.1 a menos que crea
que pueda necesitar una versin anterior en algn momento.
Botn Comprobar ahora
Comprueba si hay nuevas actualizaciones de software en

Palo Alto Networks.
Botn Cargar
Importa una imagen de actualizacin de software desde un ordenador al

que tiene acceso el cortafuegos. Se suele utilizar esta opcin si el
cortafuegos no tiene acceso a Internet, que es necesario al descargar
actualizaciones desde el servidor de actualizaciones de
Palo Alto Networks. Para realizar una carga, visite el sitio de
actualizaciones de software desde un ordenador con conexin a Internet,
descargue la actualizacin en ese ordenador y en la pgina Dispositivo >
Software del cortafuegos haga clic en Cargar para importar la imagen de
software. En una configuracin de alta disponibilidad (HA), puede
seleccionar la casilla de verificacin Sincronizar en el peer para enviar la
imagen de software importada al peer HA. Una vez cargada, la pgina de
software muestra la misma informacin (p. ej., versin y tamao) y los
enlaces Instalar/Reinstalar para software cargado y descargado. Los
enlaces de Notas de versin no estn disponibles para el software cargado.

Dispositivo > Actualizaciones dinmicas
Panorama > Actualizaciones dinmicas
Palo Alto Networks publica regularmente actualizaciones para la deteccin de aplicaciones,
proteccin frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones
dinmicas para las siguientes funciones:
Palo Alto Networks
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas

descubiertas por WildFire. Debe contar con una suscripcin a prevencin de amenazas
para obtener estas actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no

requiere suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en
vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y

actualizadas. Esta actualizacin est disponible si cuenta con una suscripcin de
prevencin de amenazas (y en este caso obtiene esta actualizacin en lugar de la
actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y
amenazas. Tambin puede elegir instalar solamente las nuevas firmas de amenazas en
una versin de publicacin de contenido. Se le muestra esta opcin tanto al instalar una
versin de contenido como al establecer la programacin para instalar automticamente
versiones de publicacin de contenido. Esta opcin le permite disfrutar de nuevas firmas
de amenazas al instante; posteriormente puede revisar el impacto de la poltica en las
nuevas firmas de aplicaciones y realizar cualquier actualizacin de polticas antes de
habilitarlas.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor

para definir y evaluar los datos del perfil de informacin del host (HIP) proporcionados
por los agentes de GlobalProtect. Debe tener una suscripcin a una puerta de enlace de
GlobalProtect para recibir estas actualizaciones. Adems, debe crear una programacin
para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de

datos de filtrado de URL de BrightCloud. Debe contar con una suscripcin a BrightCloud
para obtener estas actualizaciones. Todos los das se publican nuevas actualizaciones de
la base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las
actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real

como consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la
suscripcin, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la
actualizacin de aplicaciones y amenazas.
WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo

real como consecuencia del anlisis realizado por un dispositivo de WildFire (WF-500).
Para recibir actualizaciones de contenido procedentes de un WF-500, el cortafuegos y el
dispositivo se deben ejecutar en PAN-OS 6.1 o superior y el cortafuegos debe estar
configurado para el uso del dispositivo de WildFire para el anlisis de enlaces de correo
electrnico/archivos.
Puede ver las actualizaciones ms recientes, leer las notas de versin de cada actualizacin y,
a continuacin, seleccionar la actualizacin que desee descargar e instalar. Tambin puede
revertir a una versin de una actualizacin instalada anteriormente.
Si est administrando sus cortafuegos con Panorama y desea programar actualizaciones dinmicas para
uno o varios cortafuegos, consulte Programacin de actualizaciones dinmicas.
Palo Alto Networks
En la siguiente tabla se proporciona ayuda para utilizar esta pgina.
Tabla 23. Opciones de las actualizaciones dinmicas

Campo
Descripcin
Versin
Muestra las versiones disponibles actualmente en el servidor de

actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva
versin de software disponible en Palo Alto Networks, haga clic en
Comprobar ahora. El cortafuegos utiliza la ruta del servicios para
conectar al servidor de actualizaciones y comprueba la existencia de
nuevas versiones de publicacin de contenido. Si hay actualizaciones
disponibles, las muestra al principio de la lista.
ltima comprobacin
Muestra la fecha y hora en la que el cortafuegos se conect por ltima vez

al servidor de actualizaciones y comprob si haba alguna actualizacin
disponible.
Programacin
Le permite programar la frecuencia de recuperacin de actualizaciones.

Puede definir la frecuencia y el momento de la descarga de
actualizaciones de contenido dinmico (da o fecha y hora), ya sea solo
para la descarga de las actualizaciones o para la descarga e instalacin de
estas en el cortafuegos.
Al programar descargas e instalaciones peridicas de actualizaciones de
contenido, puede elegir Deshabilitar nuevas aplicaciones en
actualizacin de contenido. Esta opcin ofrece proteccin contra las
amenazas ms recientes, as como la flexibilidad para habilitar
aplicaciones tras preparar actualizaciones de polticas que podran ser
necesarias para aplicaciones recin identificadas y que pueden tratarse de
manera diferente tras la actualizacin. (Para habilitar posteriormente
aplicaciones que tienen deshabilitadas de manera automticamente las
actualizaciones de contenido, seleccione el enlace Aplicaciones,
Amenazas en la pgina Actualizaciones dinmicas o seleccione Objetos >
Aplicaciones).
Cuando programa una actualizacin, puede especificar el tiempo de
espera antes de la actualizacin de contenidos, si desea retrasar la
instalacin de nuevas actualizaciones hasta que haya transcurrido un
determinado nmero de horas desde su publicacin. Para ello, introduzca
el nmero de horas que debe esperarse en el campo Umbral (Horas).
Nombre de archivo
Muestra el nombre de archivo; incluye informacin de la versin de

contenido.
Caractersticas
Enumera el tipo de firmas que puede incluir la versin de contenido.

En las versiones de publicaciones de contenido de Aplicaciones y
amenazas, este campo podra mostrar un enlace para revisar
Aplicaciones, Amenazas. Haga clic en esta opcin para ver nuevas firmas
de aplicaciones disponibles por primera vez desde la ltima versin de
publicacin de contenido instalada en el cortafuegos. Tambin puede
usar el cuadro de dilogo Nuevas aplicaciones para Habilitar/
Deshabilitar nuevas aplicaciones. Puede elegir deshabilitar una nueva
aplicacin incluida en una publicacin de contenido si quiere evitar
cualquier impacto en la poltica desde aplicacin que se identifique
exclusivamente (una aplicacin se puede tratar de manera diferente antes
y despus de una instalacin de contenido si una aplicacin desconocida
anteriormente se identifica y categoriza de manera de diferente).
Tipo
Indica si la descarga incluye una actualizacin completa o una

actualizacin incremental.
Tamao
Muestra el paquete de actualizacin de contenido.
Fecha de versin
Fecha y hora en la que Palo Alto Networks public la versin.
Descargado
Una marca de verificacin en esta columna indica que se ha descargado la

versin correspondiente de la publicacin de contenido en el cortafuegos.
Palo Alto Networks
Tabla 23. Opciones de las actualizaciones dinmicas (Continuacin)

Campo
Descripcin
Instalado actualmente

versin correspondiente de la publicacin de contenido que se est
ejecutando actualmente en el cortafuegos.
Accin
Indica la accin actual que puede realizar para la imagen de software

correspondiente de la siguiente forma:
Descargar: La versin de publicacin de contenido correspondiente est
disponible en el servidor de actualizaciones de Palo Alto Networks.
Haga clic en el enlace para iniciar la descarga. Si el cortafuegos no tiene
acceso a Internet, utilice un ordenador conectado a Internet para ir al
sitio Actualizaciones dinmicas para buscar y descargar la versin de
publicacin de contenido en su ordenador local. A continuacin, haga
clic en el botn Cargar para cargar manualmente la imagen de software
en el cortafuegos. Asimismo, al descargar una versin de publicacin de
contenido de Aplicaciones y amenazas se habilita la opcin de Revisin
de polticas afectadas por las nuevas firmas de aplicaciones incluidas en
la publicacin.
Revisin de polticas (solamente contenido de aplicaciones y
amenazas): Revisa cualquier impacto en polticas de nuevas
aplicaciones incluidas en una versin de publicacin de contenido. Use
esta opcin para evaluar el tratamiento que recibe una aplicacin antes
y despus de instalar una actualizacin de contenido. Tambin puede
usar el cuadro de dilogo Revisin de polticas para aadir o eliminar
una aplicacin pendiente (una aplicacin que se descarga con una
versin de publicacin de contenido pero no se instala en el
cortafuegos) de una poltica de seguridad existente; los cambios en
polticas para aplicaciones pendientes no tienen efecto hasta que se
instala la versin de publicacin de contenido correspondiente.
Instalar: La versin de publicacin de contenido correspondiente se ha
descargado en el cortafuegos. Haga clic en el enlace para instalar la
actualizacin. Al instalar una nueva versin de publicacin de contenido
en Aplicaciones y amenazas, ver la opcin de Deshabilitar nuevas
aplicaciones en actualizacin de contenido. Esta opcin ofrece
proteccin contra las amenazas ms recientes, y al mismo tiempo le
concede la flexibilidad de habilitar aplicaciones tras preparar cualquier
actualizaciones de polticas, debido al impacto de nuevas firmas de
aplicaciones (para habilitar aplicaciones que ha deshabilitado
anteriormente, seleccione el enlace Aplicaciones, amenazas en la pgina
Actualizaciones dinmicas o seleccione Objetos > Aplicaciones).
Revertir: Anteriormente se ha descargado la versin de publicacin de
contenido correspondiente. Para volver a instalar la misma versin,
haga clic en el enlace.
Documentacin
Proporciona un enlace a las notas de la versin de la versin

correspondiente.
Elimine la versin de publicacin de contenido descargada anteriormente
del cortafuegos.
Palo Alto Networks

Al crear una cuenta de administrador, especifique una de las siguientes opciones para determinar
el modo en que el cortafuegos autentica a los usuarios administradores que inician sesin:
Base de datos local: La informacin de inicio de sesin y contrasea de usuario se

introduce directamente en la base de datos del cortafuegos.
Certificado de cliente: Se autentica a los usuarios mediante certificados de cliente

existentes.
Perfil de autenticacin: Seleccione un servidor externo existente de uno de los siguientes

tipos para autenticar a usuarios:
RADIUS (Servidor de servicio de autenticacin remota telefnica de usuario)
TACACS+ (Servidor de sistema de control de acceso del controlador de acceso a
terminales)
LDAP (Protocolo ligero de acceso a directorios)
Kerberos
Las funciones que asigne a las cuentas de administrador determinan las funciones que el
cortafuegos permite a los administradores despus de que inicien sesin. Puede asignar
perfiles de funciones predefinidas o personalizadas, que especifican privilegios detallados.
Para obtener ms informacin, consulte:

Definicin de funciones de administrador
Creacin de cuentas administrativas
Configuracin de GlobalProtect: Para obtener informacin sobre autenticacin en redes
privadas virtuales SSL (VPN)
Especificacin de dominios de acceso para administradores: Para obtener instrucciones

sobre cmo definir dominios de sistemas virtuales para administradores
Creacin de un perfil del certificado: Para obtener instrucciones sobre la definicin de

perfiles de certificados para administradores
Definicin de funciones de administrador

Dispositivo > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cmo aadir cuentas de administrador, consulte Creacin
de cuentas administrativas.
Tambin hay tres funciones de administrador predefinidas que se pueden utilizar con fines de
criterios comunes. Primero utiliza la funcin Superusuario para la configuracin inicial del
dispositivo y para crear las cuentas de administrador para el administrador de seguridad,
el administrador de auditora y el administrador criptogrfico. Una vez se hayan creado las
cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas,
podr iniciar sesin utilizando esas cuentas. La cuenta Superusuario predeterminada en el
Palo Alto Networks
modo CC (Criterios comunes) o FIPS (Estndar federal de procesamiento de informacin) es

admin y la contrasea predeterminada es paloalto. En el modo de funcionamiento estndar,
la contrasea predeterminada de admin es admin. Las funciones de administrador
predefinidas se han creado donde las capacidades no se solapan, excepto en que todas tienen
un acceso de solo lectura a la traza de auditora (excepto el administrador de auditora con
acceso de lectura/eliminacin completo). Estas funciones de administrador no se pueden
modificar y se definen de la manera siguiente:
Administrador de auditora: El administrador de auditora es responsable de la revisin

regular de los datos de auditora del cortafuegos.
Administrador criptogrfico: El administrador criptogrfico es responsable de la

configuracin y el mantenimiento de los elementos criptogrficos relacionados con el
establecimiento de conexiones seguras con el cortafuegos.
Administrador de seguridad: El administrador de seguridad es responsable del resto de

tareas administrativas (p. ej., la creacin de la poltica de seguridad del cortafuegos) no
asumidas por las otras dos funciones administrativas.
Para aadir una funcin de administrador, haga clic en Aadir y especifique la siguiente
informacin:
Palo Alto Networks
Definicin de perfiles de contrasea
Tabla 24. Configuracin de funciones de administrador

Campo
Descripcin
Nombre
Introduzca un nombre para identificar esta funcin de administrador

(de hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.
Descripcin
Introduzca una descripcin opcional de la funcin (de hasta 255 caracteres).
Funcin
Seleccione el mbito de responsabilidad administrativa: dispositivo o

sistema virtual (para dispositivos habilitados para sistemas virtuales
mltiples).
Interfaz de usuario web
Haga clic en los iconos de reas especificadas para indicar el tipo de

acceso permitido
para la interfaz web:
Habilitar: acceso de lectura/escritura a la pestaa seleccionada.
Solo lectura: acceso de solo lectura a la pestaa seleccionada.
Deshabilitar: sin acceso a la pestaa seleccionada.
API XML
Haga clic en los iconos de reas especificadas para indicar el tipo de

acceso permitido para la API XML.
Lnea de comandos
Seleccione el tipo de funcin para el acceso a la CLI:

Ninguno: El acceso a la CLI del dispositivo no est permitido.
superusuario: El acceso al dispositivo actual es completo.
superlector: El acceso al dispositivo actual es de solo lectura.
deviceadmin: El acceso a un dispositivo seleccionado es completo,
excepto al definir nuevas cuentas o sistemas virtuales.
devicereader: El acceso a un dispositivo seleccionado es de solo lectura.

Dispositivo > Perfiles de contrasea y Panorama > Perfiles de contrasea
Los perfiles de contrasea le permiten establecer requisitos de contrasea bsicos para una
cuenta local individual. Si habilita Complejidad de contrasea mnima (consulte
Complejidad de contrasea mnima), que proporciona requisitos de contrasea para todas
las cuentas locales, este perfil de contrasea cancelar esos ajustes.
Para crear un perfil de contrasea, haga clic en Aadir y especifique la siguiente informacin.
Tabla 25. Configuracin de perfil de contrasea

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil de contrasea (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Perodo necesario
para el cambio de
contrasea (das)
Exija que los administradores cambien su contrasea con la regularidad

especificada por el nmero de das establecido, de 0 a 365 das. Por ejemplo, si
el valor se establece como 90, se pedir a los administradores que cambien su
contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das y
especificar un perodo de gracia.
Palo Alto Networks
Tabla 25. Configuracin de perfil de contrasea

Campo
Descripcin
Perodo de
advertencia de
vencimiento (das)
Si se establece un perodo necesario para el cambio de contrasea, este ajuste

puede utilizarse para pedir al usuario que cambie su contrasea cada vez que
inicie sesin a medida que se acerque la fecha obligatoria de cambio de
contrasea (rango: 0-30 das).
Recuento de inicio
de sesin de
administrador
posterior al
vencimiento
Permita que el administrador inicie sesin el nmero de veces especificado

despus de que su cuenta haya vencido. Por ejemplo, si el valor se ha
establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3 veces ms
antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).
Perodo de gracia
posterior al
vencimiento (das)
Permita que el administrador inicie sesin el nmero de das especificado

despus de que su cuenta haya vencido (rango: 0-30 das).
Para aplicar un perfil de contrasea a una cuenta, seleccione Dispositivo > Administradores
(para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuacin,
seleccione el perfil en la lista desplegable Perfil de la contrasea.
Requisitos de nombre de usuario y contrasea

La tabla siguiente enumera los caracteres vlidos que se pueden utilizar en nombres de
usuario y contraseas para cuentas de PAN-OS y Panorama.
Tabla 26. Caracteres vlidos para nombres de usuario y contraseas

Tipo de cuenta
Restricciones
Conjunto de caracteres de
contrasea
No hay ninguna restriccin en los conjuntos de caracteres de los campos de

contrasea.
Administrador remoto, VPN

SSL o portal cautivo
Los siguientes caracteres no estn permitidos para el nombre de usuario:

Acento grave (`)
Corchetes angulares (< y >)
Y comercial (&)
Asterisco (*)
Arroba (@)
Signos de interrogacin ( y ?)
Barra vertical (|)
Comilla simple ()
Punto y coma (;)
Comillas ( y )
Signo del dlar ($)
Parntesis (( y ))
Dos puntos (:)
Cuentas de administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario locales:
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Nota: Los nombres de inicio de sesin no pueden empezar por guin (-).
Palo Alto Networks

Dispositivo > Administradores
Las cuentas de administrador controlan el acceso a los dispositivos. Un administrador de
cortafuegos puede tener acceso completo o de solo lectura a un nico cortafuegos o a un
sistema virtual en un nico cortafuegos. Los cortafuegos tienen una cuenta de administrador
predefinida con acceso completo. (Para obtener ms informacin sobre administradores de
Panorama, consulte Creacin de cuentas administrativas de Panorama.)
Se admiten las siguientes opciones de autenticacin:
Autenticacin con contrasea: El administrador introduce un nombre de usuario y una

contrasea para iniciar sesin. No se necesitan certificados. Puede utilizar este mtodo
junto con los perfiles de autenticacin o para la autenticacin de base de datos local.
Autenticacin con certificado de cliente (web): Esta autenticacin no necesita nombre de

usuario o contrasea; el certificado ser suficiente para autenticar el acceso al dispositivo.
Autenticacin con clave pblica (SSH): El administrador genera un par de claves pblica
y privada en la mquina que requiere acceso al dispositivo y, a continuacin, carga la
clave pblica en el dispositivo para permitir un acceso seguro sin exigir que el
administrador introduzca un nombre de usuario y una contrasea.
Para garantizar la seguridad de la interfaz de gestin del dispositivo, se recomienda cambiar
peridicamente las contraseas administrativas utilizando una mezcla de minsculas, maysculas y
nmeros. Tambin puede aplicar Complejidad de contrasea mnima desde Configuracin >
Gestin.
Para aadir un administrador, haga clic en Aadir y especifique la siguiente informacin.
Tabla 27.
Configuracin de cuentas de administrador
Campo
Descripcin
Nombre
Introduzca un nombre de inicio de sesin para el administrador

(de hasta 31 caracteres). El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente
letras, nmeros, guiones, puntos y guiones bajos. Los nombres de
inicio de sesin no pueden empezar por guin (-).
Seleccione un perfil de autenticacin para la autenticacin del

administrador. Este ajuste se puede utilizar para RADIUS,
TACACS+, LDAP, Kerberos o la autenticacin de base de datos
local. Para obtener ms informacin, consulte Configuracin de
perfiles de autenticacin.
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Seleccione la casilla de verificacin para utilizar la autenticacin con

certificado de cliente para el acceso web. Si selecciona esta casilla de
verificacin, no es necesario ni el nombre de usuario ni la
contrasea; el certificado es suficiente para autenticar el acceso al
dispositivo.
Nueva contrasea
Confirmar nueva contrasea
Introduzca y confirme una contrasea que haga distincin entre

maysculas y minsculas para el administrador (de hasta
31 caracteres). Tambin puede aplicar Contrasea mnima desde
Configuracin > Gestin.
Palo Alto Networks
Especificacin de dominios de acceso para administradores
Tabla 27.
Configuracin de cuentas de administrador (Continuacin)
Campo
Descripcin
Utilizar autenticacin de clave

pblica (SSH)

clave pblica SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pblica. La clave cargada se muestra
en el rea de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y
RSA (768-4096 bits).
Nota: Si falla la autenticacin con clave pblica, se mostrar un mensaje
de nombre de usuario y contrasea para el administrador.
Funcin
Asigne una funcin a este administrador. La funcin determina lo

que el administrador puede ver y modificar.
Si elige Basado en funcin, seleccione un perfil de funcin
personalizado en la lista desplegable. Para obtener ms
informacin, consulte Definicin de funciones de administrador.
Si selecciona Dinmico, puede seleccionar una de las siguientes
funciones preconfiguradas:
Superusuario: El acceso al cortafuegos actual es completo.
Superusuario (solo lectura): Acceso de solo lectura al cortafuegos
actual.
Administrador de dispositivo: El acceso a un cortafuegos
seleccionado es completo, excepto al definir nuevas cuentas o
sistemas virtuales.
Administrador de dispositivo (solo lectura): El acceso a un
cortafuegos seleccionado es de solo lectura.
Administrador de Vsys: El acceso a un sistema virtual
seleccionado en un cortafuegos especfico (si hay varios sistemas
virtuales habilitados) es completo.
Administrador de Vsys (solo lectura): El acceso a un sistema
virtual seleccionado en un cortafuegos especfico es de solo
lectura.
Sistema virtual
(Solo para una funcin de
administrador de sistema
virtual del cortafuegos)
Haga clic en Aadir para seleccionar los sistemas virtuales a los que
puede acceder el administrador.
Perfil de la contrasea
Seleccione el perfil de contrasea, si es aplicable. Para crear un

nuevo perfil de contrasea, consulte Definicin de perfiles de
contrasea.
Especificacin de dominios de acceso para administradores

Dispositivo > Dominio de acceso
Panorama > Dominio de acceso
Utilice la pgina Dominio de acceso para especificar dominios para el acceso del
administrador al cortafuegos o Panorama. En el cortafuegos, los dominios de acceso estn
vinculados a atributos especficos del proveedor (VSA) RADIUS y nicamente se admiten si
se utiliza un servidor RADIUS para la autenticacin del administrador (consulte
Configuracin de ajustes de servidor RADIUS). En Panorama, puede gestionar dominios de
acceso localmente o usando VSA RADIUS (consulte Especificacin de dominios de acceso de
Panorama para administradores).
Palo Alto Networks
Cuando un administrador intenta iniciar sesin en el cortafuegos, este consulta al servidor

RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en el
servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales
definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza
RADIUS, los ajustes de dominio de acceso de esta pgina se ignorarn.
Tabla 28.
Configuracin de dominio de acceso
Campo
Descripcin
Nombre
Introduzca un nombre para el dominio de acceso (de hasta

31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, guiones, guiones bajos y puntos.
Sistemas virtuales
Seleccione sistemas virtuales en la columna Disponibles y haga clic

en Aadir para seleccionarlos.
Los dominios de acceso nicamente son compatibles en dispositivos que
admiten sistemas virtuales.

Dispositivo > Perfil de autenticacin
Panorama > Perfil de autenticacin
Utilice la pgina Perfil de autenticacin para configurar ajustes de autenticacin que puede
aplicar a cuentas de administradores, acceso SSL-VPN y portal cautivo. Los dispositivos de
Palo Alto Networks son compatibles con servicios de autenticacin de bases de datos locales
RADIUS, TACACS+, LDAP y Kerberos.
Consejo: Despus de configurar un perfil de autenticacin, use el comando CLI de
autenticacin para determinar si su cortafuegos o servidor de gestin Panorama puede
comunicarse con el servicio de autenticacin de back-end y si la solicitud de autenticacin
se realiz correctamente. Puede realizar pruebas de autenticacin con la configuracin del
candidato, de modo que sepa cul es la configuracin correcta antes de compilarla. Para
obtener ms informacin sobre este comando, consulte la Gua del administrador de
PAN-OS 7.0 o posterior.
Palo Alto Networks
Tabla 29. Configuracin de perfil de autenticacin

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil. El nombre distingue entre maysculas y

minsculas, puede tener hasta 31 caracteres, incluidas letras, nmeros, espacios,
guiones, guiones bajos y puntos. El nombre debe ser exclusivo en la ubicacin actual
(cortafuegos o sistema virtual) en relacin con otros perfiles de autenticacin y
secuencias de autenticacin.
PRECAUCIN: En un cortafuegos en modo de sistemas virtuales mltiples, si la

ubicacin del perfil de autenticacin es un vsys, no introduzca el mismo nombre como
una secuencia de autenticacin en la ubicacin Compartido. Del mismo modo, si el
perfil Ubicacin est compartido, no introduzca el mismo nombre como una secuencia
en un vsys. Se pueden producir errores de referencia mientras compila un perfil de
autenticacin y una secuencia con los mismos nombres en estos casos.
Ubicacin
Seleccione el mbito en el que est disponible el perfil. En el contexto de un cortafuegos

con ms de un sistema virtual (vsys), seleccione un vsys o Compartido (todos los
sistemas virtuales). En cualquier otro contexto, no puede seleccionar la Ubicacin; su
valor se define previamente como Compartido (para cortafuegos) o como Panorama.
Una vez guardado el perfil, no puede cambiar su Ubicacin.
Pestaa
Autenticacin
Tipo
Seleccione el tipo de autenticacin:

Ninguna: No utilice ninguna autenticacin del cortafuegos.
Base de datos local: Utilice la base de datos de autenticacin del cortafuegos.
RADIUS: Utilice un servidor RADIUS para la autenticacin.
TACACS+: Utilice un servidor RADIUS para la autenticacin.
LDAP: Use LDAP para autenticacin.
Kerberos: Use Kerberos para autenticacin.
Perfil de servidor
Si el Tipo de autenticacin es RADIUS, TACACS+, LDAP, o Kerberos, seleccione el

perfil de autenticacin del men desplegable. Consulte Configuracin de ajustes de
servidor RADIUS, Configuracin de ajustes del servidor TACACS+, Configuracin
de ajustes de servidor LDAP y Configuracin de ajustes del servidor Kerberos.
Obtener grupo de
usuarios
Si el tipo de autenticacin es RADIUS, seleccione la casilla de verificacin para utilizar

VSA RADIUS para definir el grupo que tiene acceso al cortafuegos.
Atributo de inicio de
sesin
Si el tipo de autenticacin es LDAP, introduzca un atributo de directorio LDAP que

identifique exclusivamente al usuario y que acte como ID de inicio de sesin para ese
usuario.
Palo Alto Networks
Tabla 29. Configuracin de perfil de autenticacin (Continuacin)

Campo
Descripcin
Aviso de caducidad de
contrasea
Si el tipo de autenticacin es LDAP y el perfil de autenticacin es para usuarios de

GlobalProtect, defina con cuntos das de antelacin empezarn a mostrarse mensajes de
notificacin a los usuarios para alertarles de que sus contraseas vencen en x nmero de
das. De forma predeterminada, los mensajes de notificacin se mostrarn 7 das antes
de la caducidad de la contrasea (de 1-255 das). Los usuarios no podrn acceder a la
VPN si las contraseas caducan.
Consejo: Se recomienda configurar los agentes para que utilicen el mtodo de conexin anterior
al inicio de sesin. Esto permitir a los usuarios conectarse al dominio para cambiar sus
contraseas incluso aunque la contrasea haya caducado.
Consejo: Si los usuarios dejan caducar sus contraseas, el administrador puede asignar una
contrasea de LDAP temporal que permita a los usuarios iniciar sesin en la VPN. En este flujo
de trabajo, se recomienda establecer el modificador de autenticacin en la configuracin del
portal para la autenticacin de cookies para la actualizacin de configuracin (de lo
contrario, la contrasea temporal se utilizar para autenticarse en el portal, pero el inicio de
sesin de la puerta de enlace fallar, lo que evitar el acceso a la VPN).
Consulte Configuracin de GlobalProtectpara obtener ms informacin sobre la
autenticacin de cookies y la conexin anterior al inicio de sesin.
Dominio de usuario
y
Modificador de
nombre de usuario
El dispositivo combina los valores de Dominio de usuario y Modificador de nombre de

usuario para modificar la cadena de dominio/nombre de usuario que introduce un
usuario durante el inicio de sesin. El dispositivo usa la cadena modificada para la
autenticacin y usa el valor Dominio de usuario para asignacin de grupos de User-ID.
Seleccione de entre las siguientes opciones:
Enviar solamente la informacin de usuario sin modificar, dejar en blanco el Dominio
de usuario (predeterminado) y definir el Modificador de nombre de usuario con la
variable %USERINPUT% (predeterminado).
Para que un dominio preceda a la entrada del usuario, introduzca Dominio de usuario
y defina Modificador de nombre de usuario como
%USERDOMAIN%\%USE-RINPUT%.
Para anexar un dominio a la entrada del usuario, introduzca Dominio de usuario y
defina Modificador de nombre de usuario como
%USE-RINPUT%@%USERDO-MAIN%.
Nota: Si el Modificador de nombre de usuario incluye la variable %USERDOMAIN%,
el valor Dominio de usuario sustituye a cualquier cadena de dominio que introduzcan los
usuarios. Si especifica la variable %USERDOMAIN% y deja en blanco Dominio de usuario,
el dispositivo elimina todas las cadenas de dominio introducidas por usuarios. El dispositivo
resuelve nombres de dominio con el nombre NetBIOS adecuado para la asignacin de grupos de
User-ID. Esto se aplica tanto para dominios principales como secundarios. Los modificadores
Dominio de usuario tiene prioridad con respecto a nombres NetBIOS derivados
automticamente.
Dominio de Kerberos
Si su red es compatible con el registro nico (SSO) de Kerberos, introduzca el Dominio

de Kerberos (hasta 127 caracteres). Corresponde al nombre de host del nombre de inicio
de sesin del usuario. Por ejemplo, en el nombre de cuenta de usuario
usuario@EJEMPLO.LOCAL, el dominio es EJEMPLO.LOCAL.
Palo Alto Networks
Tabla 29. Configuracin de perfil de autenticacin (Continuacin)

Campo
Descripcin
Keytab de Kerberos
Si su red es compatible con el registro nico (SSO) de Kerberos, haga clic en el enlace
Importar y luego en Examinar para buscar el archivo keytab; a continuacin, haga clic
en ACEPTAR. Un keytab contiene la informacin de cuenta de Kerberos (nombre
principal y contrasea con hash) para el dispositivo, necesaria para la autenticacin SSO.
Cada perfil de autenticacin puede tener un keytab. Durante la autenticacin, el
dispositivo intenta primero usar el keytab para establecer SSO. Si lo logra y el usuario
que intenta acceder est en la Lista de permitidas, la autenticacin es inmediata. De lo
contrario, el proceso de autenticacin se revierte a autenticacin manual (nombre de
usuario/contrasea) del tipo especificado, que no tiene por qu ser Kerberos. Para
obtener ms informacin sobre cmo crear keytabs vlidos para dispositivos
Palo Alto Networks, consulte la Gua del administrador de PAN-OS.
Nota: Si el dispositivo est en modo FIPS (Estndar federal de procesamiento de informacin) o CC
(Criterios comunes), el algoritmo tiene que ser aes128-cts-hmac-sha1-96 o aes256-cts-hmac-sha1-96.
De lo contrario, puede usar tambin des3-cbc-sha1 o arcfour-hmac. El algoritmo en el keytab tiene
que coincidir con el algoritmo del vale de servicio que el servicio de concesin de vales emite para
habilitar a los clientes para SSO. De lo contrario, el proceso de SSO fallar. Su administrador de
Kerberos determina qu algoritmos usan los vales de servicio.
Pestaa Avanzada
Lista de permitidas
Haga clic en Aadir y seleccione todos o seleccione los usuarios y grupos especficos que
tienen permiso para autenticarse con este perfil. Si no aade entradas, ningn usuario se
puede autenticar.
Nota: Si ha introducido un valor de Dominio de usuario, no necesita especificar dominios en la
Lista de permitidas. Por ejemplo, si el Dominio de usuario es businessinc y quiere aadir al
usuario admin1 a la Lista de permitidas, introducir admin1 tiene el mismo efecto que
introducir businessinc\admin1. Puede especificar grupos que ya existen en su servicio de
directorios o especificar grupos personalizados basados en filtros LDAP (consulte Pestaa
secundaria Grupo personalizado).
Para eliminar usuarios o grupos, seleccione las casillas de verificacin correspondientes
y haga clic en Eliminar.
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin errneos (1-10) que permite el

dispositivo antes de bloquear la cuenta de usuario. Un valor de 0 (predeterminado)
significa que no hay lmite.
PRECAUCIN: Si define Intentos fallidos con un valor diferente de 0 pero deja

Tiempo de bloqueo en 0, se ignora Intentos fallidos y nunca se bloquea al usuario.
Tiempo de bloqueo
Introduzca el nmero de minutos (0-60) que el dispositivo bloquear una cuenta de

usuario desde que el usuario alcanza el nmero de intentos fallidos. Un valor de
0 (predeterminado) significa que el bloqueo se aplica hasta que el administrador
desbloquee manualmente la cuenta de usuario.
PRECAUCIN: Si define Tiempo de bloqueo con un valor diferente de 0 pero deja

Intentos fallidos en 0, se ignora el Tiempo de bloqueo y nunca se bloquea al usuario.
Palo Alto Networks

Dispositivo > Base de datos de usuario local > Usuarios
Puede establecer una base de datos local en el cortafuegos para almacenar informacin de
autenticacin para usuarios con acceso remoto, administradores de dispositivos y usuarios de
portal cautivo. No se requiere ningn servidor de autenticacin externo con esta configuracin,
de modo que toda la gestin de cuentas se realiza en el cortafuegos o desde Panorama.
Tabla 30. Configuracin de usuario local

Campo
Descripcin
Nombre
Introduzca un nombre para identificar al usuario (de hasta 31 caracteres).

El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos.
Ubicacin
Seleccione el mbito en el que est disponible la cuenta de usuario. En el

contexto de un cortafuegos con ms de un sistema virtual (vsys), seleccione
un vsys o Compartido (todos los sistemas virtuales). En cualquier otro
contexto, no puede seleccionar la Ubicacin; su valor se define previamente
como Compartido (para cortafuegos) o como Panorama. Una vez guardada
la cuenta de usuario, no puede cambiar su Ubicacin.
Modo
Utilice este campo para especificar la opcin de autenticacin:

Contrasea: Introduzca y confirme una contrasea para el usuario.
Hash de la contrasea: Introduzca una cadena de contrasea con hash.
Habilitar
Seleccione la casilla de verificacin para activar la cuenta de usuario.
Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Al configurar el portal cautivo, primero debe crear la cuenta local, aadirla a un grupo de
usuarios y crear un perfil de autenticacin utilizando el nuevo grupo. A continuacin, debe
habilitar el portal cautivo desde Dispositivo > Autenticacin de usuario > Portal cautivo y
seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una poltica
desde Polticas > Portal cautivo. Consulte Configuracin del cortafuegos para la
identificacin de usuarios para obtener ms informacin.
Palo Alto Networks

Dispositivo > Base de datos de usuario local > Grupos de usuarios
Utilice la pgina Grupos de usuarios para aadir informacin de grupo de usuarios a la base
de datos local.
Tabla 31. Configuracin de grupo de usuarios local

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el grupo (de hasta 31 caracteres).

bajos.
Ubicacin
Seleccione el mbito en el que est disponible el grupo de usuarios. En el

contexto de un cortafuegos con ms de un sistema virtual (vsys), seleccione
un vsys o Compartido (todos los sistemas virtuales). En cualquier otro
contexto, no puede seleccionar la Ubicacin; su valor se define
previamente como Compartido (para cortafuegos) o como Panorama.
Una vez guardado el grupo de usuarios, no puede cambiar su Ubicacin.
Todos los usuarios

locales
Haga clic en Aadir para seleccionar a los usuarios que desee aadir al
grupo.

Dispositivo > Perfiles de servidor > RADIUS
Panorama > Perfiles de servidor > RADIUS
Utilice la pgina RADIUS para configurar los ajustes de los servidores RADIUS con referencia
en los perfiles de autenticacin (consulte Configuracin de perfiles de autenticacin).
Tabla 32. Configuracin de servidor RADIUS

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para identificar el perfil de servidor (de hasta

guiones bajos.
Ubicacin
Seleccione el mbito en el que est disponible el perfil. En el contexto de un

cortafuegos con ms de un sistema virtual (vsys), seleccione un vsys o
Compartido (todos los sistemas virtuales). En cualquier otro contexto, no
puede seleccionar la Ubicacin; su valor se define previamente como
Compartido (para cortafuegos) o como Panorama. Una vez guardado el
perfil, no puede cambiar su Ubicacin.
nicamente uso de
administrador
Seleccione esta casilla de verificacin para especificar que solo las cuentas
de administrador puedan usar el perfil para la autenticacin. Para
cortafuegos que tienen varios sistemas virtuales, la casilla de verificacin
aparece solo si la Ubicacin es Compartida.
Tiempo de espera
Introduzca un intervalo en segundos despus del cual la solicitud de

autenticacin vence (intervalo: 1-30, el predeterminado es 3).
Reintentos
Introduzca el nmero de reintentos automticos tras un tiempo de espera

antes de que falle la solicitud (intervalo: 1-5; predeterminado: 3).
Palo Alto Networks
Tabla 32. Configuracin de servidor RADIUS (Continuacin)

Campo
Descripcin
Servidores
Configure informacin para cada servidor en el orden preferido.

Nombre: Introduzca un nombre para identificar el servidor.
Servidor RADIUS: Introduzca la direccin IP del servidor o FQDN.
Secreto/Confirmar secreto: Introduzca y confirme una clave para
verificar y cifrar la conexin entre el dispositivo y el servidor RADIUS.
Puerto: Introduzca el puerto del servidor (predeterminado: 1812) para
solicitudes de autenticacin.

Dispositivo > Perfiles de servidor > TACACS+
Panorama > Perfiles de servidor > TACACS+
Use la pgina TACACS+ para configurar ajustes para los servidores de sistema de control de
acceso del controlador de acceso a terminales (TACACS+) con referencia en los perfiles de
autenticacin (consulte Configuracin de perfiles de autenticacin).
Tabla 33. Configuracin de servidor de TACACS+

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para identificar el perfil de servidor (de hasta

guiones bajos.
Ubicacin

Compartido (todos los sistemas virtuales). En cualquier otro contexto,
no puede seleccionar la Ubicacin; su valor se define previamente como
nicamente uso de
administrador
cortafuegos de vsys mltiples, la casilla de verificacin aparece solo si la
Ubicacin es Compartida.
Tiempo de espera
Introduzca un intervalo en segundos despus del cual la solicitud de

autenticacin vence (el intervalo es de 1-20, el predeterminado es 3).
Utilizar conexin nica

para toda la
autenticacin
Seleccione la casilla de verificacin para usar la misma sesin TCP para

todas las autenticaciones. Esta opcin mejora el rendimiento al evitar el
procesamiento que requiere iniciar y eliminar una sesin TCP diferente
para cada evento de autenticacin.
Servidores
Haga clic en Aadir y especifique los siguientes parmetros para cada

servidor TACACS+:
Nombre: Introduzca un nombre para identificar el servidor.
Servidor TACACS+: Introduzca la direccin IP o FQDN del servidor
TACACS+.
Secreto/Confirmar secreto: Introduzca y confirme una clave para
verificar y cifrar la conexin entre el dispositivo y el servidor TACACS+.
Puerto: Introduzca el puerto del servidor (predeterminado: 49) para
solicitudes de autenticacin.
Palo Alto Networks

Dispositivo > Perfiles de servidor > LDAP
Panorama > Perfiles de servidor > LDAP
Utilice la pgina LDAP para configurar los ajustes de los servidores LDAP con referencia en
los perfiles de autenticacin (consulte Configuracin de perfiles de autenticacin).
Tabla 34. Configuracin de servidor LDAP

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).

bajos.
Ubicacin

nicamente uso de
administrador
Servidores
Para cada servidor LDAP, haga clic en Aadir e introduzca el nombre de

host, direccin IP o FQDN (servidor LDAP) y puerto (predeterminado: 389).
Tipo
Seleccione el tipo de servidor de la lista desplegable.
DN base
Especifique el contexto raz del servidor de directorio para acotar la

bsqueda de informacin de usuario o grupo.
Enlazar DN
Especifique el nombre de inicio de sesin (nombre distintivo) del servidor

de directorio.
Contrasea/Confirmar
contrasea
Especifique la contrasea de la cuenta de enlace. El agente guardar la

contrasea cifrada en el archivo de configuracin.
Tiempo de espera
de enlace
Especifique el lmite de tiempo impuesto al conectar con el servidor de

directorio (1-30 segundos; predeterminado: 30 segundos).
Tiempo de espera de
bsqueda
Especifique el lmite de tiempo impuesto al realizar bsquedas de

directorio (1-30 segundos; predeterminado: 30 segundos).
Intervalo de reintento
Especifique el intervalo en segundos tras el cual el sistema intentar

conectarse al servidor LDAP despus de un intento fallido anterior
(intervalo: 1-3600; predeterminado: 60).
Solicitar conexin
SSL/TLS protegida
Seleccione esta casilla de verificacin si quiere que el dispositivo use SSL o TLS
para comunicarse con el servidor de directorio. El protocolo depende del
puerto del servidor:
389 (predeterminado): TLS (especficamente, el dispositivo usa la operacin
StartTLS, que actualiza la conexin de texto no cifrado con TLS).
636: SSL
Cualquier otro puerto: El dispositivo intenta primer usar TLS. Si el servidor
de directorio no admite TLS, el dispositivo regresa a SSL.
La casilla de verificacin est seleccionada de manera predeterminada.
Palo Alto Networks
Tabla 34. Configuracin de servidor LDAP (Continuacin)

Campo
Descripcin
Verificar certificado de
servidor para sesiones
SSL
Seleccione esta casilla de verificacin (est sin marcar de manera

predeterminada) si quiere que el dispositivo verifique el certificado que
presenta el servidor de directorio para conexiones SSL/TLS. El dispositivo
verifica el certificado en dos aspectos:
El certificado es fiable y vlido. Para que el dispositivo confe en el
certificado, su entidad de certificacin (CA) raz y cualquier certificado
intermedio debe estar en la tienda de certificados en Dispositivo >
Gestin de certificados > Certificados > Certificados de dispositivos.
El nombre del certificado debe coincidir con el Nombre del host del
servidor LDAP. El dispositivo comprueba primero la coincidencia del
atributo Subject AltName del certificado y, a continuacin, prueba el
atributo Subject DN. Si el certificado usa el FQDN del servidor de
directorio, debe usar FQDN en el campo servidor LDAP para que se
consiga la coincidencia de nombre.
Si la verificacin falla, la conexin tambin. Para habilitar esta verificacin,
debe seleccionar tambin la casilla de verificacin Solicitar conexin
SSL/TLS protegida.

Dispositivo > Perfiles de servidor > Kerberos
Panorama > Perfiles de servidor > Kerberos
Use la pgina de Kerberos para configurar un perfil de servidor que permita a los usuarios
autenticarse de manera nativa en un controlador de dominio de Active Directory o un
servidor de autenticacin compatible con Kerberos V5. Despus de configurar un perfil de
servidor Kerberos, puede asignarlo a los perfiles de autenticacin (consulte Configuracin de
perfiles de autenticacin).
Palo Alto Networks
Para usar autenticacin de Kerberos, debe poderse acceder a su servidor Kerberos

de back-end a travs de una direccin IPv4. Las direcciones IPv6 no son
compatibles.
Tabla 35. Configuracin de servidor Kerberos

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).

bajos.
Ubicacin

nicamente uso de
administrador
Servidores
En el caso de cada servidor Kerberos, haga clic en Aadir y especifique los

siguientes ajustes:
Nombre: Introduzca un nombre para el servidor.
Servidor Kerberos: Introduzca la direccin IPv4 del servidor o FQDN.
Puerto: Introduzca un nmero de puerto opcional (predeterminado: 88)
para la comunicacin con el servidor.

Dispositivo > Secuencia de autenticacin
Panorama > Secuencia de autenticacin
En algunos entornos, las cuentas de usuario residen en varios directorios (p. ej.: base de datos
local, LDAP y RADIUS). Una secuencia de autenticacin es un conjunto de perfiles de
autenticacin que el dispositivo Palo Alto Networks intenta usar para la autenticacin de
usuarios cuando estos inician sesin. El dispositivo prueba los perfiles de manera secuencial
descendente (aplicando la autenticacin, registro nico de Kerberos, lista de permitidas y
valores de bloqueo de cuenta) hasta que un perfil autentica correctamente al usuario.
El dispositivo solo deniega el acceso si la autenticacin falla con todos los perfiles de la
secuencia. Para ver informacin sobre perfiles de autenticacin, consulte Configuracin de
perfiles de autenticacin.
Palo Alto Networks
Tabla 36. Configuracin de secuencias de autenticacin

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la secuencia. El nombre distingue

entre maysculas y minsculas, puede tener hasta 31 caracteres, incluidas
letras, nmeros, espacios, guiones, guiones bajos y puntos. El nombre debe
ser exclusivo en la Ubicacin actual (cortafuegos o sistema virtual) en
relacin con otras secuencias de autenticacin y perfiles de autenticacin.
PRECAUCIN: En un cortafuegos con sistemas virtuales mltiples,

si la Ubicacin de la secuencia de autenticacin es un sistema virtual
(vsys), no introduzca el mismo nombre como un perfil de autenticacin en
la ubicacin Compartido. Del mismo modo, si la secuencia Ubicacin est
compartida, no introduzca el mismo nombre como un perfil en un vsys.
Se pueden producir errores de referencia mientras compila una secuencia
de autenticacin y un perfil con los mismos nombres en estos casos.
Ubicacin
Seleccione el mbito en el que est disponible la secuencia. En el contexto

de un cortafuegos con ms de un sistema virtual (vsys), seleccione un vsys
o Compartido (todos los sistemas virtuales). En cualquier otro contexto,
Compartido (para cortafuegos) o como Panorama. Una vez guardada la
secuencia, no puede cambiar su Ubicacin.
Usar el dominio para

determinar el perfil de
autenticacin
Seleccione esta casilla de verificacin (seleccionada de manera

predeterminada) si quiere que el dispositivo busque coincidencias con el
nombre de dominio que introduce un usuario durante el inicio de sesin con
el Dominio de usuario o Dominio de Kerberos de un perfil de autenticacin
asociado a la secuencia y luego usar el perfil para autenticar el usuario.
La entrada del usuario que usa el dispositivo para la coincidencia puede ser
el texto que precede al nombre de usuario (separado por una barra invertida)
o el texto que sigue al nombre de usuario (separado por el smbolo @). Si el
dispositivo no encuentra una coincidencia, prueba los perfiles de
autenticacin en la secuencia en orden descendente.
Perfiles de
autenticacin
Haga clic en Aadir y en el men desplegable seleccione los perfiles de

autenticacin que quiera aadir a la secuencia. Para cambiar el orden de la
lista, seleccione un perfil y haga clic en Mover hacia arriba o Mover hacia
abajo. Para eliminar un perfil, seleccinelo y haga clic en Eliminar.

Dispositivo > Programacin de la exportacin de logs
Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol
(FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura
entre el dispositivo y un host remoto. Los perfiles de logs contienen la informacin de
programacin y servidor FTP. Por ejemplo, puede que un perfil especifique la recogida de los
logs del da anterior cada da a las 3:00 y su almacenamiento en un servidor FTP especfico.
Palo Alto Networks
Haga clic en Aadir y especifique los siguientes ajustes:
Tabla 37. Configuracin de la programacin de la exportacin de logs

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).

El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.
No podr cambiar el nombre despus de crear el perfil.
Descripcin
Introduzca una descripcin opcional (de hasta 255 caracteres).
Habilitado
Seleccione la casilla de verificacin para habilitar la programacin de

exportaciones de logs.
Tipo de log
Seleccione el tipo de log (Trfico, Amenaza, URL, Datos o

Coincidencia HIP). El valor predeterminado es Trfico.
Hora de inicio de
exportacin
programada (a diario)
Introduzca la hora del da (hh:mm) a la que comenzar la exportacin en el

formato de 24 horas (00:00 - 23:59).
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde el

cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de
manera segura o puede utilizar FTP, que no es un protocolo seguro.
Si est utilizando SCP, deber hacer clic en el botn Conexin de servidor SCP
de prueba para probar la conectividad entre el cortafuegos y el servidor SCP.
Adems, deber verificar y aceptar la clave de host del servidor SCP.
Nombre de host
Introduzca el nombre de host o direccin IP del servidor FTP que se

utilizar para la exportacin.
Puerto
Introduzca el nmero de puerto que utilizar el servidor FTP. El valor

predeterminado es 21.
Ruta
Especifique la ruta ubicada en el servidor FTP que se utilizar para

almacenar la informacin exportada.
Habilitar modo pasivo

de FTP
Seleccione la casilla de verificacin para utilizar el modo pasivo para la

exportacin. De manera predeterminada, esta opcin est seleccionada.
Nombre de usuario
Introduzca el nombre de usuario para acceder al servidor FTP. El valor

predeterminado es annimo.
Contrasea
Introduzca la contrasea para acceder al servidor FTP. No se necesita

contrasea si el usuario es annimo.

Dispositivo > Configuracin de log
Utilice esta pgina para habilitar el cortafuegos y que registre cambios de configuracin,
eventos del sistema, logs de coincidencias HIP, logs de correlacin (en algunas plataformas) y
para configurar y habilitar alarmas. Para cada log, puede habilitar funcionamiento remoto
para Panorama, y generar traps SNMP, y seleccionar un perfil de syslog y de servidor de
correo electrnico para enviare mensajes de syslog y notificaciones de correo electrnico.
La siguiente tabla describe los destinos de logs remotos.
Palo Alto Networks
Tabla 38. Destinos de logs remotos

Destino
Descripcin
Panorama
Todas las entradas de logs se pueden reenviar a Panorama, el dispositivo de

gestin central de Palo Alto. Para especificar la direccin del servidor de
Panorama, consulte Definicin de la configuracin de gestin.
Trap SNMP
Se pueden generar traps SNMP segn el nivel de gravedad para entradas de

los logs Sistema, Amenaza y Trfico, pero no para entradas del log
Configuracin. Para definir los nuevos destinos de traps SNMP, consulte
Configuracin de destinos de traps SNMP.
Syslog
Se pueden generar mensajes de Syslog segn el nivel de gravedad para

entradas de los logs de sistema, amenazas y trfico, as como para las entradas
de log de configuracin. Para definir los destinos de syslog, consulte
Configuracin de servidores Syslog.
Correo electrnico
Se pueden enviar notificaciones de correo electrnico segn el nivel de

gravedad para entradas de los logs de sistema, amenazas y trfico, as como
para las entradas de log de configuracin. Para definir los servidores y
destinatarios de correo electrnico, consulte Configuracin de ajustes de
notificaciones por correo electrnico.
Nota: Para configurar los destinos de los logs de trfico, consulte Reenvo de logs.
Configuracin del log Configuracin

El widget Config le permite definir la configuracin de las entradas del log de configuracin.
Tabla 39. Configuracin del log Configuracin

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para habilitar el envo de entradas del

log Configuracin al sistema de gestin centralizado de Panorama.
Trap SNMP
Para generar traps SNMP para entradas del log configuracin, seleccione
el perfil del servidor trap SNMP. Para especificar los nuevos destinos de
traps SNMP, consulte Configuracin de destinos de traps SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log de
configuracin, seleccione un perfil de correo electrnico del men
desplegable. Para especificar un nuevo perfil de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.
Syslog
Para generar mensajes de Syslog para entradas del log Configuracin,

seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog.
Palo Alto Networks
Configuracin del log Sistema

El log Sistema muestra eventos del sistema, como fallos de HA, cambios de estado de enlaces
e inicios de sesin y cierres de sesin de administradores en el cortafuegos. En funcin de la
gravedad del evento, puede especificar si las entradas del log Sistema se registran de manera
remota con Panorama y se envan como traps SNMP, mensajes de Syslog o notificaciones por
correo electrnico.
Tabla 40. Configuracin del log Sistema

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para cada nivel de gravedad de las

entradas del log Sistema que se enviarn al sistema de gestin
centralizado de Panorama. Para especificar la direccin del servidor de
Panorama, consulte Definicin de la configuracin de gestin.
Los niveles de gravedad son los siguientes:
Crtico: Fallos de hardware, lo que incluye la conmutacin por error de
HA y los fallos de enlaces.
Alto: Problemas graves, incluidas las interrupciones en las conexiones
con dispositivos externos, como servidores Syslog y RADIUS.
Medio: Notificaciones de nivel medio, como actualizaciones de
paquetes de antivirus.
Bajo: Notificaciones de menor gravedad, como cambios de contrasea
de usuario.
Informativo: Inicios de sesin/cierres de sesin, cambio de nombre o
contrasea de administrador, cualquier cambio de configuracin y el
resto de eventos no cubiertos por los otros niveles de gravedad.
Trap SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin del log de correlacin

Los logs de correlacin se generan cuando un objeto de correlacin coincide con un patrn o
comportamiento y se registra un evento de correlacin. Los eventos correlacionados recopilan
pruebas de comportamientos sospechosos o inusuales de los usuarios o hosts en la red.
Para obtener ms informacin sobre el motor de correlacin, consulte Uso del motor de
correlacin automatizada.
Palo Alto Networks
En funcin de la gravedad del evento, puede especificar si las entradas del log Sistema se
registran de manera remota con Panorama y se envan como traps SNMP, mensajes de Syslog
o notificaciones por correo electrnico.
Tabla 41. Configuracin del log de correlacin

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin de cada nivel de gravedad de las

entradas del log de correlacin que se enviarn a Panorama.
Los niveles de gravedad son los siguientes:
Crtico: Confirma que se ha comprometido la seguridad de un host
basndose en eventos correlacionados que indican un patrn en
aumento. Por ejemplo, se registra un evento crtico cuando un host que
ha recibido un archivo considerado malintencionado por WildFire
muestra la misma actividad de comando y control observada en ese
archivo malintencionado dentro del espacio aislado de WildFire.
Alto: Indica que hay una probabilidad muy alta de que un host vea
comprometida su seguridad basndose en una correlacin entre varios
eventos de amenaza, como el software malicioso detectado en cualquier
punto de la red que coincida con la actividad de comando y control
generada por un host concreto.
Medio: Indica que hay una probabilidad alta de que un host vea
comprometida su seguridad basndose en la deteccin de uno o varios
eventos sospechosos, como las visitas repetidas a URL consideradas
malintencionadas que sugiere la existencia de una actividad de
comando y control generada por una secuencia de comandos.
Bajo: Indica la posibilidad de que un host vea comprometida su
seguridad basndose en la deteccin de uno o varios eventos
sospechosos, como una visitas a una URL considerada malintencionada
o un dominio DNS dinmico.
Informativo: Detecta un evento que podra resultar til en conjunto
para identificar una actividad sospechosa; un evento por separado no
tiene por qu ser significativo en s.
Trap SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log de correlacin. Para definir nuevos destinos, consulte:
Palo Alto Networks
Configuracin del log Coincidencias HIP

La configuracin del log Coincidencias HIP (perfil de informacin de host) se utiliza para
proporcionar informacin sobre las polticas de seguridad que se aplican a clientes de
GlobalProtect.
Tabla 42. Configuracin del log Coincidencias HIP

Campo
Descripcin
Panorama

log Configuracin al sistema de gestin centralizado de Panorama.
Trap SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar los nuevos destinos
de traps SNMP, consulte Configuracin de destinos de traps SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione el nombre de la configuracin de correo
electrnico que especifica las direcciones de correo electrnico adecuadas.
Para especificar nuevos ajustes de correo electrnico, consulte
Syslog
Para generar mensajes de Syslog para entradas del log Configuracin,

seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog.
Definicin de configuracin de alarmas

La configuracin de alarmas le permite habilitar alarmas y notificaciones de alarmas para la
CLI y la interfaz web. Tambin le permite configurar notificaciones para esos eventos:
Se ha encontrado una coincidencia con una regla de seguridad (o grupo de reglas) en un

umbral especificado y dentro de un intervalo de tiempo especificado.
Se ha alcanzado el umbral de fallos de cifrado/descifrado.

La base de datos de logs de cada tipo de log est casi llena; la cuota predeterminada est
configurada para notificar que se ha usado el 90% de la capacidad del disco. La configuracin
de alarmas permite actuar antes de que se llene el disco y se purguen los logs.
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono
Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opcin
Alarma est configurada. Esto abre una ventana que enumera las alarmas reconocidas y no
reconocidas del log de alarmas actual.
Para reconocer alarmas, seleccione sus casillas de verificacin y haga clic en Reconocer. Esta
accin pasa las alarmas a la lista Alarmas de reconocimiento. La ventana Alarmas tambin
incluye controles de pginas, orden de columnas y actualizacin.
Palo Alto Networks
Para aadir una alarma, edite la seccin Configuracin de alarma y utilice la siguiente tabla
para definirla:
Tabla 43. Configuracin del log Alarma

Campo
Descripcin
Habilitar alarmas
Habilite alarmas basndose en los eventos enumerados en esta pgina.

El botn Alarmas
solo es visible cuando la casilla de verificacin
Habilitar alarmas est seleccionada.
Habilitar notificaciones
de alarmas por CLI
Habilite notificaciones de alarmas por CLI cuando se produzca una

alarma.
Habilitar notificaciones
de alarma web
Abra una ventana para mostrar alarmas en las sesiones de usuario,

incluyendo el momento en que se producen y cundo se reconocen.
Habilitar alarmas
audibles
El cortafuegos seguir reproduciendo una alarma sonora cuando existan

alarmas no reconocidas en la interfaz web o la CLI.
Umbral de fallo de
cifrado/descifrado
Especifique el nmero de fallos de cifrado/descifrado tras los cuales se

genera una alarma.
Umbral de alarma de
base de datos de log
(% lleno)
Genere una alarma cuando una base de datos de logs alcance el

porcentaje indicado del tamao mximo.
Lmites de poltica de
seguridad
Se genera una alarma si un puerto o una direccin IP en concreto

incumple una regla de denegacin el nmero de veces especificado en el
ajuste Umbral de infracciones de seguridad dentro del perodo
(segundos) especificado en el ajuste Perodo de tiempo de infracciones
de seguridad.
Lmites de grupos de
polticas de seguridad
Se genera una alarma si el conjunto de reglas alcanza el nmero de

infracciones del lmite de reglas especificado en el campo Umbral de
infracciones durante el perodo especificado en el campo Perodo de
tiempo de infracciones. Los incumplimientos se cuentan cuando una
sesin coincide con una poltica de denegacin explcita.
Utilice Etiquetas de poltica de seguridad para especificar las etiquetas
con las que los umbrales de lmite de reglas generarn alarmas. Estas
etiquetas estn disponibles para su especificacin al definir polticas de
seguridad.
Auditora selectiva
Nota: Estos ajustes aparecen en la pgina Alarmas nicamente en el modo

Criterios comunes.
Especifique los siguientes ajustes:
Logging especfico de CC: Permite logs ampulosos necesarios para el
cumplimiento de criterios comunes (CC).
Logs de inicios de sesin correctos: Registra los inicios de sesin
correctos en el cortafuegos por parte del administrador.
Logs de inicios de sesin incorrectos: Registra los inicios de sesin
incorrectos en el cortafuegos por parte del administrador.
Administradores suprimidos: No genera logs para los cambios que
realizan los administradores enumerados en la configuracin del
cortafuegos.
Gestin de configuracin de logs

Cuando se configura para la creacin de logs, el cortafuegos registra cambios en la
configuracin, eventos del sistema, amenazas de seguridad, flujos de trfico y alarmas
generadas por el dispositivo. Utilice la pgina Gestionar logs para borrar los logs del
dispositivo. Haga clic en el enlace que corresponde al log (trfico, amenazas, URL, datos,
configuracin, sistema, coincidencia HIP, alarma) que le gustara borrar.
Palo Alto Networks
Configuracin de destinos de traps SNMP

Dispositivo > Perfiles de servidor > Trap SNMP
Panorama > Perfiles de servidor > Trap SNMP
SNMP (Protocolo simple de administracin de redes) es un protocolo estndar para la
supervisin de los dispositivos de su red. Para avisarle de eventos o alertas del sistema en su
red, los dispositivos supervisados envan traps SNMP a los gestores de SNMP (servidores trap).
Use la pgina Trap SNMP para configurar el perfil del servidor que permite al cortafuegos o
Panorama enviar traps a los gestores de SNMP. Para habilitar GET SNMP (solicitudes de
estadsticas desde un gestor SNMP), consulte Habilitacin de supervisin de SNMP.
Tras crear el perfil del servidor, debe especificar qu tipos de logs activarn el cortafuegos
para que enve traps SNMP (consulte Definicin de destinos de logs). Para obtener una lista
de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar los traps de
Palo Alto Networks, consulte MIB compatibles.
No elimine perfiles de servidor usados por configuracin de log Sistema o perfiles
de logs.
Tabla 44. Configuracin de perfil de servidor de Trap SNMP

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres).

exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Ubicacin
Seleccione el mbito en el que est disponible el perfil. En el contexto de

un cortafuegos con ms de un sistema virtual (vsys), seleccione un vsys o
Versin
Seleccione la versin de SNMP: V2c (predeterminado) o V3. Su seleccin

controla los campos restantes que muestra el cuadro de dilogo. Para
cada versin, pude aadir hasta cuatro gestores SNMP.
Para SNMP V2c

Nombre
Especifique un nombre para el gestor SNMP. El nombre puede tener

hasta 31 caracteres que pueden ser alfanumricos, puntos, guiones bajos
o guiones.
Gestor SNMP
Especifique el FQDN o direccin IP del gestor SNMP.
Comunidad
Introduzca la cadena de comunidad, que identifica a una comunidad

SNMP de gestores SNMP y dispositivos supervisados, adems de servir
como contrasea para autenticar a los miembros de la comunidad entre s
durante el reenvo de traps. Esta cadena puede tener hasta 127 caracteres,
admite todos los caracteres y distingue entre maysculas y minsculas.
Se recomienda no usar la cadena de comunidad pblica predeterminada.
Dado que los mensajes SNMP contienen cadenas de comunidad en texto
sin cifrar, tenga en cuenta los requisitos de seguridad de su red cuando
defina la pertenencia a la comunidad (acceso de administradores).
Palo Alto Networks
Tabla 44. Configuracin de perfil de servidor de Trap SNMP (Continuacin)

Campo
Descripcin
Para SNMP V3
Nombre
Especifique un nombre para el gestor SNMP. El nombre puede tener

hasta 31 caracteres que pueden ser alfanumricos, puntos, guiones bajos
o guiones.
Gestor SNMP
Especifique el FQDN o direccin IP del gestor SNMP.
Usuario
Especifique un nombre de usuario para identificar la cuenta de usuario

de SNMP (de hasta 31 caracteres). El nombre de usuario que configure en
el dispositivo debe tener el mismo nombre de usuario configurado en el
gestor SNMP.
EngineID
Especifique el ID de motor del dispositivo. Cuando un gestor SNMP y el

dispositivo se autentican entre s, los mensajes trap usan este valor para
identificar exclusivamente el dispositivo. Si deja este campo en blanco,
los mensajes usan el nmero de serie del dispositivo como EngineID.
Si introduce un valor, debe estar en formato hexadecimal, con el prefijo
0x, y con otros 10-128 caracteres para representar cualquier nmero de
5-64 bytes (2 caracteres por byte). Para dispositivos en configuracin de
alta disponibilidad (HA), deje el campo en blanco, de modo que el gestor
SNMP pueda identificar qu peer HA envi los traps; de lo contrario,
el valor se sincroniza y ambos peers usarn el mismo EngineID.
Contrasea de
autenticacin
Especifique la contrasea de autenticacin del usuario SNMP.

El dispositivo usa la contrasea para autenticar el gestor SNMP.
El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la
contrasea. La contrasea debe tener entre 8 y 256 caracteres y todos
estn permitidos.
Contrasea priv.
Especifique la privacidad de autenticacin del usuario SNMP.

El dispositivo usa la contrasea y el estndar de cifrado avanzado
(AES-128) para cifrar traps SNMP. La contrasea debe tener entre 8 y
256 caracteres y todos estn permitidos.
Palo Alto Networks
Configuracin de servidores Syslog

Dispositivo > Perfiles de servidor > Syslog
Panorama > Perfiles de servidor > Syslog
Para generar mensajes de Syslog para logs Sistema, Configuracin, Trfico, Amenaza o
Coincidencias HIP, debe especificar uno o ms servidores Syslog. Despus de definir los
servidores Syslog, podr utilizarlos para las entradas de los logs Sistema y Configuracin
(consulte Configuracin del log Configuracin).
Tabla 45. Nuevo servidor Syslog

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres).

Ubicacin

Pestaa Servidores
Nombre
Haga clic en Aadir e introduzca un nombre para el servidor Syslog (de hasta
guiones bajos.
Servidor
Introduzca la direccin IP del servidor Syslog.
Transporte
Elija si desea transportar los mensajes de Syslog en UDP, TCP o SSL.
Puerto
Introduzca el nmero de puerto del servidor Syslog (el puerto estndar para
UDP es 514; el puerto estndar para SSL es 6514; para TCP debe especificar un
nmero de puerto).
Formato
Especifique el formato de Syslog que se debe utilizar: BSD (valor

predeterminado) o IETF.
Instalaciones
Seleccione uno de los valores estndar de Syslog. Seleccione el valor que asigna
al modo en que su servidor Syslog usa el campo Instalaciones para gestionar
mensajes. Para obtener ms informacin sobre el campo Instalaciones, consulte
RFC 3164 (formato BSD) o RFC 5424 (formato IETF).
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Otras cadenas de texto
se pueden editar directamente en el rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin. Ver una descripcin de cada
campo que se pueda usar para logs personalizados.
Para obtener informacin detallada sobre los campos que se pueden utilizar
para logs personalizados, consulte Configuracin de ajustes de
Escape
Especifique secuencias de escape. Utilice el cuadro Caracteres de escape para

enumerar todos los caracteres que se escaparn sin espacios.
No puede eliminar un servidor que se utilice en algn ajuste del log Sistema o
Configuracin o algn perfil de logs.
Palo Alto Networks
Configuracin de ajustes de notificaciones por correo electrnico

Dispositivo > Perfiles de servidor > Correo electrnico
Panorama > Perfiles de servidor > Correo electrnico
Para generar mensajes de correo electrnico para logs, debe configurar un perfil de correo
electrnico. Despus de definir la configuracin de correo electrnico, podr habilitar las
notificaciones por correo electrnico para entradas de los logs Sistema y Configuracin
(consulte Configuracin del log Configuracin). Para obtener informacin sobre cmo
programar la entrega de informes por correo electrnico, consulte Programacin de informes
para entrega de correos electrnicos.
Tabla 46. Configuracin de notificaciones por correo electrnico

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de servidor (de hasta 31 caracteres). El

nombre hace distincin entre maysculas y minsculas y debe ser exclusivo.
Ubicacin

Pestaa Servidores
Servidor
Introduzca un nombre para identificar el servidor (1-31 caracteres). Este

campo es solamente una etiqueta y no tiene que ser el nombre de host de un
servidor SMTP existente.
Mostrar nombre
Introduzca el nombre mostrado en el campo De del correo electrnico.
De
Introduzca la direccin de correo electrnico del remitente, como

alerta_seguridad@empresa.com.
Para
Introduzca la direccin de correo electrnico del destinatario.
Destinatario adicional
Tambin puede introducir la direccin de correo electrnico de otro

destinatario. Solo puede aadir un destinatario adicional. Para aadir varios
destinatarios, aada la direccin de correo electrnico de una lista de
distribucin.
Puerta de enlace
Introduzca la direccin IP o el nombre de host del servidor Simple Mail

Transport Protocol (SMTP) utilizado para enviar el correo electrnico.
Pestaa Formato de
log personalizado
Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin.
Escape
Incluya los caracteres de escape y especifique el carcter o los caracteres de

escape.
No puede eliminar un ajuste de correo electrnico que se utilice en algn ajuste del
log Sistema o Configuracin o algn perfil de logs.
Palo Alto Networks

Dispositivo > Perfiles de servidor > Flujo de red
Todos los cortafuegos son compatibles con la versin 9 de NetFlow, a excepcin de los
cortafuegos de las series PA-4000 y PA-7000. Los cortafuegos solo son compatibles con NetFlow
unidireccional, pero no bidireccional. Puede habilitar NetFlow para que exporte todos los tipos
de interfaces, a excepcin de las de alta disponibilidad (HA), tarjeta de log o reflejo de
descifrado. El cortafuegos es compatible con plantillas de NetFlow estndar y de empresa
(especficas de PAN-OS). Los recopiladores NetFlow requieren plantillas para descifrar los
campos exportados. El cortafuegos selecciona una plantilla segn el tipo de datos que va a
exportar: trfico IPv4 o IPv6, con o sin NAT y con campos estndar o especficos de empresa.
Para configurar exportaciones de datos NetFlow, defina un perfil de servidor NetFlow, que
especifique los servidores NetFlow que recibirn los datos y especifique los parmetros de
exportacin. Despus de asignar el perfil a una interfaz (consulte Configuracin de la
interfaz de un cortafuegos), el cortafuegos exporta los datos NetFlow para todo el trfico que
atraviesa la interfaz hacia los servidores especificados.
Tabla 47. Configuracin de Netflow

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de servidor Netflow (de hasta

Tasa de actualizacin de
plantilla
Especifique el nmero de minutos (1-3600, de forma predeterminada 30) o

paquetes (1-600, de forma predeterminada 20) despus de los cuales el
cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier
cambio en sus campos o un cambio en la seleccin de plantilla. La frecuencia
de actualizacin necesaria depende del recopilador de flujo de red: Si aade
varios recopiladores de flujo de red al perfil del servidor, utilice el valor del
recopilador con la velocidad de actualizacin ms rpida.
Tiempo de espera activo
Especifique la frecuencia (en minutos) a la que el cortafuegos exporta

registros de datos para cada sesin (1-60, 5 de forma predeterminada).
Establezca la frecuencia basada en cuntas veces quiere que el
recopilador del flujo de datos actualice las estadsticas de trfico.
Tipos de campos de
PAN-OS
Exporte campos especficos de PAN-OS para App-ID y el servicio de

User-ID en registros de Netflow.
Servidores
Nombre
Especifique un nombre para identificar el servidor (de hasta

Servidor
Especifique el nombre de host o la direccin IP del servidor. Puede

aadir un mximo de dos servidores por perfil.
Puerto
Especifique el nmero de puerto para el acceso al servidor (valor

predeterminado: 2.055).
Palo Alto Networks
Configuracin de un perfil de servidor de DNS
Configuracin de un perfil de servidor de DNS

Dispositivo > Perfiles de servidor > DNS
Configure un perfil de servidor DNS, que se aplica a sistemas virtuales para simplificar la
configuracin.
Tabla 48 Perfil de servidor de DNS

Campo
Descripcin
Nombre
Especifique un nombre para el perfil de servidor SNMP.
Ubicacin
Seleccione el sistema virtual al que pertenece el perfil.
Origen de herencia
(Opcional) Especifique el servidor de DNS desde el que el perfil debera heredar la

configuracin.
Comprobar estado
de origen de
herencia
(Opcional) Si elige un servidor DNS desde el que heredar configuraciones, haga clic en este
enlace para ver el estado del origen de herencia.
DNS principal
Especifique la direccin IP del servidor DNS principal, o djelo como heredado si ha elegido
un origen de herencia.
DNS secundario
Especifique la direccin IP del servidor DNS secundario, o djelo como heredado si ha

elegido un origen de herencia.
Ruta de
servicio IPv4
Haga clic en esta casilla de verificacin si quiere especificar que los paquetes dirigidos al
servidor de DNS tienen su origen en una direccin IPv4.
(Opcional) Especifique la interfaz de origen que usarn los paquetes dirigidos al
servidor de DNS.
Especifique la direccin de origen IPv4 desde la que se originan los paquetes dirigidos
al servidor de DNS.
Ruta de
servicio IPv6
Haga clic en esta casilla de verificacin si quiere especificar que los paquetes dirigidos al
servidor de DNS tienen su origen en una direccin IPv6.
(Opcional) Especifique la interfaz de origen que usarn los paquetes dirigidos al
servidor de DNS.
Especifique la direccin de origen IPv6 desde la que se originan los paquetes dirigidos
al servidor de DNS.
Uso de certificados
Dispositivo > Gestin de certificados > Certificados
Los certificados se utilizan para cifrar datos y garantizar la comunicacin en una red.
Gestin de certificados de dispositivos: Use la pgina Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivos para gestionar (generar,
importar, renovar, eliminar, revocar) los certificados de dispositivos usados para
garantizar la comunicacin. Tambin puede exportar e importar la clave de alta
disponibilidad (HA) que protege la conexin entre los peers de HA en la red.
Gestin de entidades de certificacin de confianza predeterminadas: Utilice la pgina

Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas para ver, habilitar y deshabilitar las entidades de certificados
(CA) en las que confa el cortafuegos.
Palo Alto Networks
Uso de certificados
Gestin de certificados de dispositivos

Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos
Panorama > Gestin de certificados > Certificados
Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como
asegurar el acceso a la interfaz web, descifrado de SSL o LSVPN.
A continuacin se mencionan algunos usos de los certificados:
Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.
No fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado

cuando el servidor al que se estn conectando est firmado por una CA que no est en la
lista de CA de confianza del cortafuegos.
CA raz de confianza: El certificado est marcado como CA de confianza con fines de

descifrado de reenvo.
Cuando el cortafuegos descifra trfico, comprueba si el certificado ascendente ha sido
emitido por una CA de confianza. Si no es as, utiliza un certificado de CA no fiable
especial para firmar el certificado de descifrado. En este caso, el usuario ver la pgina de
error de certificado habitual al acceder al cortafuegos y deber desestimar la advertencia
de inicio de sesin.
El cortafuegos tiene una extensa lista de CA de confianza existentes. El certificado de CA
raz de confianza es para CA adicionales que son fiables para su empresa pero que no
forman parte de la lista de CA fiables preinstalada.
Exclusin de SSL: Este certificado excluye las conexiones si se encuentran durante el

descifrado de proxy de reenvo SSL.
Certificado de Syslog seguro: Este certificado activa el reenvo seguro de syslogs en un

servidor de syslog externo.
Para generar un certificado, haga clic en Generar y especifique la siguiente informacin.
Tabla 49. Configuracin para generar un certificado

Campo
Descripcin
Nombre del certificado
Introduzca un nombre (de hasta 31 caracteres) para identificar el

certificado. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos. Solo se requiere el nombre.
Nombre comn
Introduzca la direccin IP o FQDN que aparecer en el certificado.
Compartido
En un cortafuegos que tiene ms de un sistema virtual (vsys), seleccione

esta casilla de verificacin si quiere que el certificado est disponible en
cada vsys.
Palo Alto Networks
Uso de certificados
Tabla 49. Configuracin para generar un certificado (Continuacin)

Campo
Descripcin
Firmado por
Un certificado se puede firmar con una entidad de certificacin (CA)

importado al cortafuegos o se puede utilizar un certificado autofirmado
donde el propio cortafuegos es la CA. Si est utilizando Panorama, tambin
tiene la opcin de generar un certificado autofirmado para Panorama.
Si ha importado certificados de CA o los ha emitido en el propio
dispositivo (autofirmados), el men desplegable incluye los CA
disponibles para firmar el certificado que se est creando.
Para generar una solicitud de firma de certificado (CSR), seleccione una
autoridad externa (CSR). El dispositivo genera el certificado y el par de
claves y entonces puede exportar el CSR.
Autoridad del
certificado
Seleccione esta casilla de verificacin si quiere que el cortafuegos emita el

certificado.
Marcar este certificado como CA le permitir utilizarlo para firmar otros
certificados en el cortafuegos.
OCSP responder
Seleccione un perfil de respondedor OSCP de la lista desplegable

(consulte Cmo aadir un respondedor OCSP). El nombre de host
correspondiente aparece en el certificado.
Algoritmo
Seleccione un algoritmo de generacin de claves para el certificado: RSA

o DSA de curva elptica (ECDSA).
Nota: ECDSA usa tamaos de clave ms pequeos que el algoritmo RSA y, por
lo tanto, ofrece una mejora del rendimiento para las conexiones SSL/TLS de
procesamiento. ECDSA tambin ofrece una seguridad igual o superior a la de
RSA. ECDSA se recomienda para navegadores de clientes y sistemas operativos
compatibles. De lo contrario, seleccione RSA para compatibilidad con
navegadores y sistemas operativos antiguos.
ADVERTENCIA: Los cortafuegos que ejecutan versiones anteriores

a PAN-OS 7.0 eliminarn cualquier certificado de ECDSA que enve
desde Panorama, y ningn certificado RSA firmado por una entidad de
certificacin (CA) ECDSA ser vlido en esos cortafuegos.
Nmero de bits
Seleccione la longitud de la clave del certificado.

Si el cortafuegos est en modo FIPS o CC y el algoritmo de generacin de
claves es RSA, las claves RSA generadas deben ser de 2048 bits o
superiores. Si el algoritmo es DSA de curva elptica, son vlidas ambas
opciones de longitud (256 y 384).
Resumen
Seleccione el algoritmo de resumen del certificado. Las opciones

disponibles dependen de la generacin de claves de algoritmos:
RSA: MD5, SHA1, SHA256, SHA384 o SHA512
DSA de curva elptica: SHA256 o SHA384
Si el cortafuegos est en modo FIPS o CC y el algoritmo de generacin de
claves es RSA, debe seleccionar SHA256, SHA384 o SHA512 como el
algoritmo de resumen. Si el algoritmo es DSA de curva elptica, son
vlidos ambos algoritmos de resumen (SHA256 y SHA384).
Vencimiento (das)
Especifique el nmero de das que el certificado ser vlido. El valor

predeterminado es de 365 das.
PRECAUCIN: Si especifica un Perodo de validez en una

configuracin del satlite de GlobalProtect, ese valor cancelar el valor
introducido en este campo.
Palo Alto Networks
Uso de certificados
Tabla 49. Configuracin para generar un certificado (Continuacin)

Campo
Descripcin
Atributos del certificado
De forma alternativa, haga clic en Aadir para especificar atributos del

certificado adicionales que se deben utilizar para identificar la entidad
para la que est emitiendo el certificado. Puede aadir cualquiera de los
siguientes atributos: Pas, Estado, Localidad, Organizacin,
Departamento, Correo electrnico. Adems, puede especificar uno de
los siguientes campos de nombre alternativo del asunto: Nombre de host
(SubjectAltName:DNS), IP (SubjectAltName:IP), y Correo electrnico
alternativo (SubjectAltName:email).
Nota: Para aadir un pas como atributo de certificado, seleccione Pas en la
columna Tipo y, a continuacin, haga clic en la columna Valor para ver los
cdigos de pas ISO 6366.
Si ha configurado un mdulo de seguridad de hardware (HSM), las claves privadas

se almacenan en un almacn HSM externo, no en el cortafuegos.
Despus de generar el certificado, los detalles aparecen en la pgina.
Tabla 50. Otras acciones admitidas

Acciones
Descripcin
Eliminar
Seleccione el certificado que desea eliminar y haga clic en Eliminar.
Revocar
Seleccione el certificado que desea revocar y haga clic en Revocar.

El certificado se establecer instantneamente en estado revocado.
No es necesario realizar una compilacin.
Renovar
En caso de que un certificado caduque o est a punto de caducar, seleccione

el certificado correspondiente y haga clic en Renovar. Establezca el periodo
de validez (en das) para el certificado y haga clic en Aceptar.
Si el cortafuegos es la CA que emiti el certificado, el cortafuegos lo
sustituir por un nuevo certificado que tenga un nmero de serie diferente
pero los mismos atributos que el certificado anterior.
Si una entidad de certificacin (CA) externa firm el certificado y el
cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos
utilizar informacin del respondedor OCSP para actualizar el estado del
certificado.
Palo Alto Networks
Uso de certificados
Tabla 50. Otras acciones admitidas

Acciones
Descripcin
Importar
Para importar un certificado, haga clic en Importar y especifique los

siguientes detalles
Nombre para identificar el certificado.
Utilice la opcin Examinar para buscar el archivo de certificado. Si est
importando un certificado PKCS #12 y una clave privada, este ser el
nico archivo que contiene a ambos objetos. Si utiliza PEM, este ser
nicamente el certificado pblico.
Seleccione el formato de archivo para el archivo de certificado.
Seleccione la casilla La clave privada reside en el mdulo de seguridad
de hardware si est utilizando un HSM par almacenar la clave privada
para este certificado. Si desea ms informacin sobre HSM, consulte
Definicin de mdulos de seguridad de hardware.
Seleccione la casilla de verificacin Importar clave privada para cargar
la clave privada e introducir la frase de contrasea dos veces. Si utiliza
PKCS #12, el archivo de clave se seleccion anteriormente. Si utiliza
PEM, busque el archivo de clave privada cifrada (por lo general,
denominado *.key).
Seleccione el sistema virtual al que desea importar el certificado de la
lista desplegable.
Generar
Consulte generar.
Exportar
Para exportar un certificado, seleccione el certificado que desea exportar

y haga clic en Exportar. Seleccione el formato de archivo que desea que
utilice el certificado exportado (.pfx para PKCS#12 o .pem para formato
de codificacin base64).
Seleccione la casilla de verificacin Exportar clave privada e introduzca
una frase de contrasea dos veces para exportar la clave privada adems
del certificado.
Importar clave de HA
Las claves de HA se deben intercambiar entre ambos peers del cortafuegos;

es decir, se debe exportar la clave del cortafuegos 1 y, a continuacin,
importarse al cortafuegos 2 y viceversa.
Para importar claves para alta disponibilidad (HA), haga clic en Importar
clave de HA y explore para especificar el archivo de clave que se
importar.
Para exportar claves para HA, haga clic en Exportar clave de HA y
especifique una ubicacin en la que guardar el archivo.
Exportar clave de HA
Defina el uso del

certificado
En la columna Nombre, seleccione el enlace para el certificado y las casillas

de verificacin para indicar cmo planea utilizar el certificado. Para
obtener una descripcin de cada uno de ellos, consulte usos.
Gestin de entidades de certificacin de confianza predeterminadas

Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas
Utilice esta pgina para ver, deshabilitar o exportar las entidades de certificacin (CA)
preincluidas en las que confa el cortafuegos. Aparece el nombre, asunto, emisor, fecha de
vencimiento y estado de validez de cada una de ellas.
Palo Alto Networks
Esta lista no incluye los certificados de CA generados en el cortafuegos.
Tabla 51 Configuracin de entidades de certificacin de confianza

Campo
Descripcin
Habilitar
Si ha deshabilitado una CA y desea habilitarla, haga clic en la

casilla de verificacin junto a la CA y, a continuacin, haga clic en
Habilitar.
Deshabilitar
Haga clic en la casilla de verificacin junto a la CA que desee

deshabilitar y, a continuacin, haga clic en Deshabilitar. Puede
que le interese esto si solamente desea confiar en determinadas
CA o eliminarlas todas para nicamente confiar en su CA local.
Exportar
Haga clic en la casilla de verificacin junto a la CA y, a

continuacin, haga clic en Exportar para exportar el certificado
de CA. Puede realizar esta accin para importar el certificado a
otro sistema o si desea verlo fuera de lnea.

Dispositivo > Gestin de certificados > Perfil del certificado
Panorama > Gestin de certificados > Perfil del certificado
Los perfiles de certificados definen la autenticacin de usuarios y dispositivos para portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad mvil y acceso a la
interfaz web del cortafuegos/Panorama. Los perfiles especifican qu certificados deben
utilizarse, cmo verificar el estado de revocacin de certificados y cmo restringe el acceso
dicho estado. Configure un perfil de certificado para cada aplicacin.
Tabla 52. Configuracin de perfiles de certificado

Tipo de pgina
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta

nmeros, espacios, guiones y guiones bajos.
Ubicacin
Seleccione el mbito en el que est disponible el perfil. En el

contexto de un cortafuegos con ms de un sistema virtual (vsys),
seleccione un vsys o Compartido (todos los sistemas virtuales).
En cualquier otro contexto, no puede seleccionar la Ubicacin; su
valor se define previamente como Compartido (para cortafuegos) o
como Panorama. Una vez guardado el perfil, no puede cambiar su
Ubicacin.
Campo de nombre de usuario
Si GlobalProtect usa solo certificados para autenticacin de portal/

puerta de enlace, PAN-OS usa el campo de certificado que ha
seleccionado en el men desplegable Campo de nombre de usuario
como el nombre de usuario y busca coincidencias con la direccin
IP del servicio User-ID:
Asunto: PAN-OS utiliza el nombre comn.
Asunto alternativo: Seleccione si PAN-OS utiliza el correo
electrnico o nombre principal.
Ninguno: Suele destinarse al dispositivo GlobalProtect o a la
autenticacin anterior al inicio de sesin.
Palo Alto Networks
Cmo aadir un respondedor OCSP
Tabla 52. Configuracin de perfiles de certificado (Continuacin)

Tipo de pgina
Descripcin
Dominio
Introduzca el dominio NetBIOS para que PAN-OS pueda identificar

a los usuarios mediante el ID de usuario.
Certificados de CA
Haga clic en Aadir y seleccione un certificado de CA para

asignarlo al perfil.
Opcionalmente, si el cortafuegos utiliza el protocolo de estado de
certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, configure los siguientes campos para cancelar el
comportamiento predeterminado. Para la mayora de las
implementaciones, estos campos no son aplicables.
De manera predeterminada, el cortafuegos utiliza la URL del
respondedor OCSP que estableci en el procedimiento Cmo
aadir un respondedor OCSP. Para cancelar ese ajuste,
introduzca una URL de OCSP predeterminada (que comience
por http:// o https://).
De manera predeterminada, el cortafuegos utiliza el certificado
seleccionado en el campo Certificado de CA para validar las
respuestas de OCSP. Para utilizar un certificado diferente para la
validacin, seleccinelo en el campo Verificacin de certificado
CA con OCSP.
Utilizar CRL
Seleccione la casilla de verificacin para utilizar una lista de

revocacin de certificados (CRL) para verificar el estado de
revocacin de los certificados.
Utilizar OCSP
Seleccione la casilla de verificacin para utilizar OCSP y verificar el

estado de revocacin de los certificados.
Nota: Si selecciona OCSP y CRL, el cortafuegos primero intentar
utilizar el OCSP y solamente retroceder al mtodo CRL si el respondedor
OCSP no est disponible.
Tiempo de espera de
recepcin de CRL
Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos

deja de esperar una respuesta del servicio CRL.
Tiempo de espera de
recepcin de OCSP

deja de esperar una respuesta del respondedor OCSP.
Tiempo de espera del estado

del certificado

deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lgica de bloqueo de sesin que defina.
Bloquear una sesin si el

estado del certificado es
desconocido
Seleccione la casilla de verificacin si desea que el cortafuegos

bloquee sesiones cuando el servicio OCSP o CRL devuelva un
estado de revocacin de certificados desconocido (unknown). De lo
contrario, el cortafuegos continuar con la sesin.
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Seleccione la casilla de verificacin si desea que el cortafuegos

bloquee sesiones despus de registrar un tiempo de espera de la
solicitud de OCSP o CRL. De lo contrario, el cortafuegos continuar
con la sesin.
Cmo aadir un respondedor OCSP

Dispositivo > Gestin de certificados > OCSP responder
Utilice la pgina OCSP responder para definir un respondedor (servidor) del protocolo de
estado de certificado en lnea (OCSP) que verifique el estado de la revocacin de los
certificados.
Palo Alto Networks
Gestin de perfiles de servicio SSL/TLS
Adems de aadir un respondedor OCSP, habilitar un OCSP requiere las siguientes tareas:
Activar la comunicacin entre el cortafuegos y el servidor del OCSP: seleccione

Dispositivo > Configuracin > Gestin, edite la seccin Configuracin de interfaz de
gestin, seleccione OCSP de HTTP y, a continuacin, haga clic en Aceptar.
Si el cortafuegos descifra el trfico SSL/TLS saliente, configrelo de forma optativa para

verificar el estado de revocacin de los certificados del servidor de destino: seleccione
Dispositivo > Configuracin > Sesiones, haga clic en Configuracin de revocacin de
certificados de descifrado, seleccione la opcin para habilitar en la seccin OCSP,
introduzca el tiempo de espera de recepcin (intervalo despus del cual el cortafuegos
deja de esperar una respuesta del OCSP) y, a continuacin, haga clic en Aceptar.
Opcionalmente, para configurar el cortafuegos como respondedor OCSP, aada un perfil de

gestin de interfaz a la interfaz utilizada para servicios OCSP. En primer lugar, seleccione
Red > Perfiles de red > Gestin de interfaz, haga clic en Aadir, seleccione OCSP de HTTP
y, a continuacin, haga clic en Aceptar. En segundo lugar, seleccione Red > Interfaces, haga
clic en el nombre de la interfaz que utilizar el cortafuegos para los servicios del OCSP,
seleccione Avanzado > Otra informacin, seleccione el perfil de gestin de la interfaz que ha
configurado y, a continuacin, haga clic en Aceptar y Compilar.
Tabla 53 Configuracin de respondedor OCSP

Campo
Descripcin
Nombre
Introduzca un nombre para identificar al respondedor

(hasta 31 caracteres). El nombre distingue entre maysculas
y minsculas. Debe ser exclusivo y utilizar nicamente letras,
Ubicacin
Seleccione el mbito en el que est disponible el respondedor. En el

contexto de un cortafuegos con ms de un sistema virtual (vsys),
seleccione un vsys o Compartido (todos los sistemas virtuales).
En cualquier otro contexto, no puede seleccionar la Ubicacin; su
valor se define previamente como Compartido. Una vez guardado
el respondedor, no puede cambiar su Ubicacin.
Nombre de host
Especifique el nombre de host (recomendado) o la direccin IP

del respondedor OCSP. A partir de este valor, PAN-OS deriva
automticamente una URL y la aade al certificado que se est
verificando. Si configura el cortafuegos como respondedor OCSP,
el nombre de host debe resolverse en una direccin IP de la
interfaz que utiliza el cortafuegos para servicios de OCSP.
Gestin de perfiles de servicio SSL/TLS

Dispositivo > Gestin de certificados > Perfil de servicio SSL/TLS
Panorama > Gestin de certificados > Perfil de servicio SSL/TLS
Los perfiles de servicio SSL/TLS especifican un certificado y una versin o conjunto de
versiones de protocolo para servicios de dispositivos que utilizan SSL/TLS. Mediante la
definicin de versiones de protocolo, los perfiles le permiten restringir los conjuntos de cifras
disponibles para proteger la comunicacin con los clientes que solicitan los servicios.
Para aadir un perfil, haga clic en Aadir, rellene los campos en la siguiente tabla y luego
haga clic en ACEPTAR.
Palo Alto Networks
Para duplicar un perfil, seleccinelo, haga clic en Duplicar y luego en ACEPTAR.

Para eliminar un perfil, seleccinelo y haga clic en Eliminar.
Tabla 54 Configuracin de perfil de servicio SSL/TLS

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta

31 caracteres). El nombre distingue entre maysculas y
minsculas. Debe ser exclusivo y utilizar nicamente letras,
Compartido
Si el cortafuegos tiene ms de un sistema virtual (vsys), puede

seleccionar esta casilla de verificacin para que el perfil est
disponible en todos los sistemas virtuales. De manera
predeterminada, la casilla de verificacin no est seleccionada y
el perfil est disponible solo en el vsys seleccionado en la pestaa
Dispositivo, en el men desplegable Ubicacin.
Seleccione, importe o genere un certificado para asociarlo con el
perfil. Consulte Gestin de certificados de dispositivos.
Certificado
PRECAUCIN: No use certificados de entidades de

certificacin (CA) para servicios SSL/TLS; use solo certificados
firmados.
Versin mn.
Seleccione la versin de TLS ms reciente que pueden usar los

servicios a los que se asigna este perfil: TLSv1.0, TLSv1.1 o TLSv1.2.
Versin mx.
Seleccione la ltima versin de TLS que pueden usar los servicios

a los que se asigna este perfil: TLSv1.0, TLSv1.1, TLSv1.2 o Mx
(la versin ms reciente disponible).

Dispositivo > Clave maestra y diagnstico
Panorama > Clave maestra y diagnstico
Utilice la pgina Clave maestra y diagnstico para especificar una clave maestra para cifrar
las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). La clave
maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar el
acceso a la CLI), la clave privada utilizada para autenticar el acceso a la interfaz web del
dispositivo y cualquier otra clave cargada en el dispositivo. Como la clave maestra se utiliza
para cifrar el resto de claves, asegrese de almacenarla en un lugar seguro.
Incluso aunque no se especifique una clave maestra nueva, las claves privadas siempre se
almacenan de forma cifrada en el dispositivo, de forma predeterminada. Esta opcin de clave
maestra ofrece una capa aadida de seguridad.
Si los dispositivos tienen una configuracin de alta disponibilidad (HA), asegrese de utilizar
la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los
certificados se cifran con la misma clave. Si las claves maestras son diferentes, la
sincronizacin de la configuracin de HA no funcionar correctamente.
Palo Alto Networks
Para aadir una clave maestra, haga clic en el botn de edicin en la seccin Clave maestra y
utilice la siguiente tabla para introducir los valores:
Tabla 55. Configuracin de clave maestra y diagnstico

Campo
Descripcin
Clave maestra actual
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del dispositivo.
Nueva clave principal

Confirmar clave maestra
Para cambiar la clave maestra, introduzca una cadena de 16 caracteres y

confirme la nueva clave.
Duracin
Especifique el nmero de das y horas tras el cual vence la clave maestra

(rango: 1-730 das).
Deber actualizar la clave maestra antes de su vencimiento. Para obtener
informacin sobre cmo actualizar claves maestras, consulte
Habilitacin de HA en el cortafuegos.
Tiempo para el
recordatorio
Especifique el nmero de das y horas antes del vencimiento, en cuyo

momento se notificar al usuario del vencimiento inminente (rango:
1-365 das).
Almacenado en HSM
Marque esta casilla si la clave maestra se cifra en un mdulo de seguridad

de hardware (HSM). No puede utilizar HSM en una interfaz dinmica
como un cliente DHCP o PPPoE.
La configuracin HSM no est sincronizada entre dispositivos de peer en
modo de alta disponibilidad. Por lo tanto, cada peer del par de HA se
puede conectar a un origen HSM diferente. Si utiliza Panorama y desea
mantener sincronizada la configuracin en ambos peers, utilice las
plantillas de Panorama para configurar el origen de HSM en los
cortafuegos gestionados.
HSM no es compatible con los cortafuegos de las series PA-200, PA-500 y
PA-2000.
Criterios comunes
En el modo Criterios comunes, hay disponibles botones adicionales para

ejecutar una prueba automtica de algoritmos criptogrficos y una
prueba automtica de integridad del software. Tambin se incluye un
programador para especificar los momentos en los que se ejecutarn las
dos pruebas automticas.
Dispositivo > Alta disponibilidad
Para redundancia, el cortafuegos se puede implementar en una configuracin activa/pasiva o
activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se
reflejan entre s en la configuracin.
En un par de HA, ambos peers deben tener el mismo modelo, deben ejecutar la misma
versin de PAN-OS y deben tener el mismo conjunto de licencias.
Asimismo, para los cortafuegos VM-Series, ambos peers deben estar en el mismo
hipervisor y deben tener el mismo nmero de ncleos de CPU asignados a cada peer.
HA Lite
Los cortafuegos de las series PA-200 y VM-Series edicin NSX admiten una versin lite de
la HA activa/pasiva que no incluye ninguna sincronizacin de sesiones. HA Lite permite la
sincronizacin de la configuracin y la sincronizacin de algunos elementos de tiempo de
Palo Alto Networks
ejecucin. Tambin admite la conmutacin por error de tneles de IPSec (las sesiones deben
volver a establecerse), informacin de concesin de servidor DHCP, informacin de concesin
de cliente DHCP, informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos
cuando est configurado en el modo de capa 3.
Para cada seccin de la pgina Alta disponibilidad, haga clic en Editar en el encabezado y
especifique la informacin correspondiente descrita en la tabla siguiente.
Tabla 56. Configuracin de HA

Campo
Descripcin
Pestaa General
Configuracin
Especifique los siguientes ajustes:

Habilitar HA: Active las prestaciones de HA.
ID de grupo: Introduzca un nmero para identificar el par activo/pasivo
(de 1 a 63). Permite que varios pares de cortafuegos activos/pasivos
residan en la misma red. El ID debe ser exclusivo cuando hay ms de un
par de alta disponibilidad residiendo en una red de capa 2.
Descripcin: Introduzca una descripcin del par activo/pasivo (opcional).
Modo: Seleccione activo-activo o activo-pasivo.
ID de dispositivo: Seleccione 0 o 1 para designar el cortafuegos como
activo-primario o activo-secundario en una configuracin de HA activa/
activa.
Direccin IP de HA del peer: Introduzca la direccin IP de la interfaz de
HA1 que se especifica en la seccin Enlace de control del otro cortafuegos.
Crear copia de seguridad de la direccin IP de HA del peer: Introduzca la
direccin IP del enlace de control de copia de seguridad del peer.
Habilitar sincronizacin de configuracin: Sincronice la configuracin
entre peers.
Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los
cortafuegos activo y pasivo (cortafuegos con puertos de HA especficos).
Dplex de enlace: Seleccione una opcin de dplex para el enlace de datos
entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA
especficos).
Configuracin
Activa/Pasiva
Estado de enlace pasivo: apagado o automtico. Esta opcin no est

disponible en el cortafuegos VM-Series en AWS.
Automtico: Hace que el estado de los enlaces refleje la conectividad fsica,
pero descarta todos los paquetes recibidos. Esta opcin permite que el
estado de los enlaces de la interfaz permanezca activo hasta que se
produzca una conmutacin por error, disminuyendo la cantidad de tiempo
que tarda el dispositivo pasivo en tomar el control.
Esta opcin es compatible con el modo de capa 2, capa 3 y Virtual Wire.
La opcin Automtico es conveniente si es viable para su red.
Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. Esta es
la opcin predeterminada, que garantiza que no se creen bucles en la red.
Supervisar fallo de tiempo de espera descendente (min): Este valor entre
1 y 60 minutos determina el intervalo en el que un cortafuegos estar en un
estado no funcional antes de volverse pasivo. Este temporizador se utiliza
cuando faltan latidos o mensajes de saludo debido a un fallo de supervisin
de ruta o de enlace.
Palo Alto Networks
Tabla 56. Configuracin de HA (Continuacin)

Campo
Descripcin
Configuracin de
eleccin
Especifique la cantidad de tiempo (minutos) que un cortafuegos pasar en el

estado no funcional antes de volverse pasivo. Este temporizador nicamente
se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de
enlace (rango: 1-60; valor predeterminado: 1).
N. mximo de flaps: Se cuenta un flap cuando el

cortafuegos deja el estado activo antes de que
transcurran 15 minutos desde la ltima vez que dej el
estado activo. Puede especificar el nmero mximo de
flaps permitidos antes de que se determine suspender
el cortafuegos y que el cortafuegos pasivo tome el
control (rango: 0-16; valor predeterminado: 3). El valor
0 significa que no hay mximo (se necesita un nmero
infinito de flaps antes de que el cortafuegos pasivo
tome el control).
Tiempo de espera para ser preferente: Introduzca el
tiempo que un dispositivo secundario pasivo o activo
esperar antes de tomar el control como dispositivo
activo o principal activo (rango: 1-60 min.; valor
predeterminado: 1 min.).
Tiempo de espera ascendente tras fallo de
supervisor (ms): Especifique el intervalo durante el
cual el cortafuegos permanecer activo tras un fallo
de supervisor de ruta o supervisor de enlace.
Se recomienda este ajuste para evitar una
conmutacin por error de HA debido a los flaps
ocasionales de los dispositivos vecinos (rango:
0-60.000 ms; valor predeterminado: 0 ms).
Tiempo de espera ascendente principal adicional
(min.): Este intervalo de tiempo se aplica al mismo
evento que Supervisar fallo de tiempo de espera
ascendente (rango: 0-60.000 ms; valor
predeterminado: 500 ms). El intervalo de tiempo
adicional nicamente se aplica al dispositivo activo
en el modo activo/pasivo y al dispositivo principal
activo en el modo activo/activo. Se recomienda este
temporizador para evitar una conmutacin por error
cuando ambos dispositivos experimentan el mismo
fallo de supervisor de enlace/ruta simultneamente.
Palo Alto Networks

Campo
Descripcin
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
La configuracin recomendada para la conexin del enlace de control de

HA es utilizar el enlace HA1 especfico entre los dos dispositivos y utilizar el
puerto de gestin como interfaz de enlace de control (copia de seguridad de
HA). En este caso, no necesita habilitar la opcin Copia de seguridad de
heartbeat en la pgina Configuracin de eleccin. Si est utilizando un puerto
HA1 fsico para el enlace de HA de enlace de control y un puerto de datos
para el enlace de control (copia de seguridad de HA), se recomienda habilitar
la opcin Copia de seguridad de heartbeat.
En el caso de dispositivos que no tienen un puerto de HA especfico, como el
cortafuegos PA-200, debe configurar el puerto de gestin para la conexin de
HA del enlace de control y una interfaz de puerto de datos configurada con
el tipo HA para la conexin de copia de seguridad de HA1 del enlace de
control. Como en este caso se est utilizando el puerto de gestin, no es
necesario habilitar la opcin Copia de seguridad de heartbeat en la pgina
Configuracin de eleccin porque las copias de seguridad de latidos ya se
realizarn a travs de la conexin de interfaz de gestin.
En el cortafuegos VM-Series en AWS, el puerto de gestin se usa como el
enlace HA1.
Al utilizar un puerto de datos para el enlace de control de HA, debe tener en

cuenta que, dado que los mensajes de control tienen que comunicarse desde
el plano de datos hasta el plano de gestin, si se produce un fallo en el plano
de datos, la informacin del enlace de control de HA no podr comunicarse
entre los dispositivos y se producir una conmutacin por error. Lo mejor es
utilizar los puertos de HA especficos o, en dispositivos que no tengan
ningn puerto de HA especfico, el puerto de gestin.
Especifique los siguientes ajustes para los enlaces de control de HA principal
y de copia de seguridad:
Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y
de copia de seguridad. El ajuste de copia de seguridad es opcional.
Direccin IPv4/IPv6: Introduzca la direccin IPv4 o IPv6 de la interfaz de
HA1 para las interfaces de HA1 principal y de copia de seguridad. El ajuste
de copia de seguridad es opcional.
Mscara de red: Introduzca la mscara de red de la direccin IP (como
255.255.255.0) para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Puerta de enlace: Introduzca la direccin IP de la puerta de enlace
predeterminada para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Velocidad de enlace (nicamente modelos con puertos de HA
especficos): Seleccione la velocidad del enlace de control entre los
cortafuegos para el puerto de HA1 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los
cortafuegos para el puerto de HA1 especfico.
Cifrado habilitado: Habilite el cifrado despus de exportar la clave de HA
desde el peer de HA e importarla a este dispositivo. La clave de HA de este
dispositivo tambin debe exportarse desde este dispositivo e importarse al
peer de HA. Configure este ajuste para la interfaz de HA1 principal.
La importacin/exportacin de claves se realiza en la pgina Certificados
(consulte Creacin de un perfil del certificado).
Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperar antes de declarar un fallo de
peer debido a un fallo del enlace de control (1.000-60.000 ms; valor
predeterminado: 3.000 ms). Esta opcin supervisa el estado del enlace fsico
de los puertos de HA1.
Palo Alto Networks

Campo
Descripcin
Enlace de datos
(HA2)
Especifique los siguientes ajustes para el enlace de datos principal y de copia

de seguridad:
Puerto: Seleccione el puerto de HA. Configure este ajuste para las interfaces
de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad
es opcional.
Direccin IP: Especifique la direccin IPv4 o IPv6 de la interfaz de HA para
las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia
de seguridad es opcional.
Mscara de red: Especifique la mscara de red de la interfaz de HA para las
interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de
seguridad es opcional.
Puerta de enlace: Especifique la puerta de enlace predeterminada de la
interfaz de HA para las interfaces de HA2 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional. Si las direcciones IP
de HA2 de los cortafuegos del par de HA estn en la misma subred, el
campo Puerta de enlace debera quedarse en blanco.
Habilitar sincronizacin de sesin: Habilite la sincronizacin de la
informacin de la sesin con el cortafuegos pasivo y seleccione una opcin
de transporte.
Transporte: Seleccione una de las siguientes opciones de transporte:
Ethernet: Utilice esta opcin cuando los cortafuegos estn conectados
opuesto con opuesto o a travs de un conmutador (Ethertype 0x7261).
IP: Utilice esta opcin cuando se requiera el transporte de capa 3
(nmero de protocolo IP: 99).
UDP: Utilice esta opcin para aprovechar el hecho de que la suma de
comprobacin se calcula sobre todo el paquete y no solamente el
encabezado, como en la opcin IP (puerto UDP 29281).
Velocidad de enlace (nicamente modelos con puertos de HA
especficos): Seleccione la velocidad del enlace de control entre los
cortafuegos activo y pasivo para el puerto de HA2 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los
cortafuegos activo y pasivo para el puerto de HA2 especfico.
Conexin persistente de HA2: Seleccione esta casilla de verificacin para
habilitar la supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido, se producir la
accin definida (log o ruta de datos divididos). La opcin est
deshabilitada de manera predeterminada.
Puede configurar la opcin Conexin persistente de HA2 en ambos
dispositivos o solamente un dispositivo del par de HA. Si la opcin se
establece nicamente en un dispositivo, solamente ese dispositivo enviar
los mensajes de conexin persistente. Sin embargo, se notificar al otro
dispositivo si se produce un fallo y pasar al modo de ruta de datos
divididos si se selecciona esa accin.
Accin: Seleccione la accin que debe realizarse si fallan los mensajes de
supervisin basndose en el ajuste de umbral.
nicamente log: Seleccione esta opcin para generar

un mensaje del log Sistema de nivel crtico cuando se
produzca un fallo de HA2 basndose en el ajuste de
umbral. Si la ruta de HA2 se recupera, se generar un
log informativo.
En una configuracin activa/pasiva, debe utilizar
esta accin, ya que no es necesario dividir los datos
porque no hay ms de un dispositivo activo en un
momento concreto.
Palo Alto Networks

Campo
continuacin
Descripcin
Ruta de datos divididos: Esta accin est diseada
para una configuracin de HA activa/activa. En una
configuracin activa/activa, si el administrador o un
fallo de supervisin deshabilita la sincronizacin de
sesiones, la propiedad de sesin y la configuracin de
sesin se establecern como el dispositivo local y las
nuevas sesiones se procesarn localmente durante la
sesin.
Umbral (ms): Tiempo durante el cual los mensajes de
conexin persistente han fallado antes de que se haya
activado una de las acciones anteriores (rango:
5.000-60.000 ms; valor predeterminado: 10.000 ms).
Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producir
una conmutacin por error en el enlace de copia de seguridad si hay un fallo en el
enlace fsico. Con la opcin Conexin persistente de HA2 habilitada, la conmutacin
por error tambin se producir si fallan los mensajes de conexin persistente de HA
basados en el umbral definido.
Pestaa Supervisin de enlaces y rutas (no disponible para el cortafuegos VM-Series

en AWS)
Supervisin de rutas
Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino
especificadas enviando mensajes de ping ICMP para asegurarse de que
responden. Utilice la supervisin de rutas para configuraciones de
Virtual Wire, capa 2 o capa 3 cuando se necesite la supervisin de otros
dispositivos de red en caso de conmutacin por error y la supervisin de
enlaces no sea suficiente por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos al
responder.
Palo Alto Networks

Campo
Descripcin
Grupo de rutas
Defina uno o ms grupos de rutas para supervisar direcciones de destino

especficas. Para agregar un grupo de rutas, haga clic en Aadir para el tipo de
interfaz (Virtual Wire, VLAN o Enrutador virtual) y especifique lo siguiente:
Nombre: Seleccione un cable virtual, VLAN o enrutador virtual en la lista
de seleccin desplegable (la seleccin desplegable se rellena dependiendo
de si aade un cable virtual, VLAN o ruta de enrutador virtual).
Habilitado: Habilite el grupo de rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
IP de origen: En el caso de interfaces de Virtual Wire y de VLAN,
introduzca la direccin IP de origen utilizada en los paquetes sonda
enviados al enrutador de siguiente salto (direccin IP de destino).
El enrutador local debe ser capaz de enrutar la direccin al cortafuegos.
La direccin IP de origen para grupos de rutas asociados a enrutadores
virtuales se configurar automticamente como la direccin IP de interfaz
que se indica en la tabla de rutas como la interfaz de salida (egress) para la
direccin IP de destino especificada.
IP de destino: Introduzca una o ms direcciones de destino (separadas por
comas) que se supervisarn.
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 200-60.000 milisegundos; valor
predeterminado: 200 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 10 pings).
Supervisin de
enlaces
Especifique lo siguiente:
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Defina uno o ms grupos de enlaces para supervisar enlaces Ethernet

especficos. Para aadir un grupo de enlaces, especifique los siguientes
ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre de grupo de enlaces.
Habilitado: Habilite el grupo de enlaces.
Condicin de fallo: Seleccione si se produce un fallo cuando alguno o
todos los enlaces seleccionados presentan fallos.
Interfaces: Seleccione una o ms interfaces Ethernet que se supervisarn.
Pestaa Configuracin Activa/Activa

Reenvo de paquetes
Palo Alto Networks
Seleccione la casilla de verificacin Habilitar para permitir el reenvo de

paquetes a travs del enlace de HA3. Esto es obligatorio para sesiones
enrutadas asimtricamente que requieren la inspeccin de capa 7 para
inspeccin de identificacin de aplicaciones y usuarios (App-ID y
Content-ID).

Campo
Descripcin
Interfaz de HA3
Seleccione la interfaz para reenviar paquetes entre peers de HA cuando est

configurada en el modo activo/activo.
Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo
Frames) en el cortafuegos y en todos los dispositivos de red intermediarios.
Para habilitar las tramas gigantes (Jumbo Frames), seleccione
Dispositivo > Configuracin < Sesin y la opcin Habilitar trama
gigante en la seccin Configuracin de sesin.
Sincronizacin de VR
Fuerce la sincronizacin de todos los enrutadores virtuales configurados en

los dispositivos de HA.
La sincronizacin del enrutador virtual se puede utilizar cuando el enrutador
virtual no est empleando protocolos de enrutamiento dinmico. Ambos
dispositivos deben conectarse al mismo enrutador de siguiente salto a travs
de una red conmutada y deben utilizar nicamente rutas estticas.
Sincronizacin de
QoS
Sincronice la seleccin de perfil de QoS en todas las interfaces fsicas.

Utilice esta opcin cuando ambos dispositivos tengan velocidades de enlace
similares y requieran los mismos perfiles de QoS en todas las interfaces fsicas.
Este ajuste afecta a la sincronizacin de la configuracin de QoS en la pestaa
Red. La poltica de QoS se sincroniza independientemente de este ajuste.
Tiempo de espera de
tentativa (seg.)
Cuando falla un cortafuegos en un estado activo/activo de HA, este entrar

en estado de tentativa. Este temporizador define la duracin que tendr en
ese estado. Durante el periodo de tentativa, el cortafuegos intentar crear
adyacencias de ruta y completar su tabla de ruta antes de procesar los
paquetes. Sin este temporizador, el cortafuegos de recuperacin entrara en
estado activo-secundario inmediatamente y bloqueara los paquetes, ya que
carecera de las rutas necesarias (de forma predeterminada, 60 segundos).
Seleccin de
propietario de sesin
Especifique una de las siguientes opciones para seleccionar el propietario de

sesin:
Dispositivo principal: Seleccione esta opcin para que el cortafuegos
principal activo gestione la inspeccin de capa 7 para todas las sesiones.
Este ajuste se recomienda principalmente para operaciones de solucin de
problemas.
Primer paquete: Seleccione esta opcin para que el cortafuegos que reciba
el primer paquete de la sesin sea responsable de la inspeccin de la capa 7
de manera que admita identificacin de aplicaciones y usuarios (App-ID y
Content-ID). Esta es la configuracin recomendada para reducir al mnimo
el uso del enlace de reenvo de paquetes de HA3.
Configuracin de
sesin
Seleccione el mtodo para la configuracin de sesin inicial.

Mdulo de IP: Selecciona un cortafuegos basado en la paridad de la
direccin IP de origen.
Dispositivo principal: Garantiza que todas las sesiones se configuran en el
cortafuegos principal.
Hash de IP: Determina el cortafuegos de configuracin mediante un hash
de la direccin IP de origen o direccin IP de origen y destino y un valor de
inicializacin de hash si se desea una mayor aleatorizacin.
Palo Alto Networks

Campo
Descripcin
Direccin virtual
Haga clic en Aadir, seleccione la pestaa IPv4 o IPv6 y, a continuacin,

vuelva a hacer clic en Aadir para introducir opciones para una direccin
virtual de HA que utilizar el clster activo/activo de HA. Puede seleccionar
el tipo de direccin virtual para que sea Flotante o Uso compartido de carga
de ARP. Tambin puede mezclar los tipos de direcciones virtuales del
clster: por ejemplo, puede utilizar el uso compartido de carga de ARP en la
interfaz de LAN y una IP flotante en la interfaz de WAN.
Flotante: Introduzca una direccin IP que se desplazar entre los
dispositivos de HA en el caso de un fallo de enlace o dispositivo. Debe
configurar dos direcciones IP flotantes en la interfaz, de modo que cada
cortafuegos posea una y, a continuacin, establezca la prioridad. Si falla
alguno de los cortafuegos, la direccin IP flotante pasar al peer de HA.
Prioridad de dispositivo 0: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. El dispositivo con el valor
ms bajo tendr la prioridad.
Prioridad de dispositivo 1: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. El dispositivo con el valor
ms bajo tendr la prioridad.
Direccin de conmutacin por error si el estado de enlace no est
operativo: Utilice la direccin de conmutacin por error cuando el
estado del enlace est desactivado en la interfaz.
Uso compartido de carga de ARP: Introduzca una direccin IP que
compartir el par de HA y proporcionar servicios de puerta de enlace para
hosts. Esta opcin nicamente debera utilizarse cuando el cortafuegos y
los host se encuentren en el mismo dominio de difusin. Seleccione
Algoritmo de seleccin de dispositivo:
Mdulo de IP: Si se selecciona esta opcin, el cortafuegos que responda
a las solicitudes de ARP se seleccionar basndose en la paridad de la
direccin IP de los solicitantes de ARP.
Hash de IP: Si se selecciona esta opcin, el cortafuegos que responda a
las solicitudes de ARP se seleccionar basndose en un hash de la
direccin IP de los solicitantes de ARP.
Comandos de operacin
Suspender
dispositivo local
Cambia a Make local
device functional
Hace que el dispositivo de HA entre en el modo de suspensin y deshabilita

temporalmente las prestaciones de HA en el cortafuegos. Si suspende el
cortafuegos activo actual, el otro peer tomar el control.
Para volver a poner un dispositivo suspendido en un estado

funcional, CLI
Para probar la conmutacin por error, puede desconectar el cable del
dispositivo activo (o activo-principal) o puede hacer clic en este enlace para
suspender el dispositivo activo.
Aspectos importantes que hay que tener en cuenta al configurar la HA

La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.
Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo.
Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen.
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
Palo Alto Networks
Puede comparar la configuracin de los cortafuegos local y peer mediante la herramienta

Auditora de configuraciones de la pestaa Dispositivo, seleccionando la configuracin
local deseada en el cuadro de seleccin de la izquierda y la configuracin del peer en el
cuadro de seleccin de la derecha.
Sincronice los cortafuegos desde la interfaz web pulsando el botn Introducir configuracin
ubicado en el widget de HA en la pestaa Panel. Tenga en cuenta que la configuracin del
dispositivo desde el que introducir la configuracin sobrescribir la configuracin del
dispositivo del peer. Para sincronizar los cortafuegos desde la CLI del dispositivo activo,
utilice el comando request high-availability sync-to-remote running-config.
En una configuracin activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de
SFP+ de 10 gigabits, cuando se produce una conmutacin por error y el dispositivo activo cambia a un
estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el
puerto, pero no permite la transmisin hasta que el dispositivo vuelve a activarse. Si cuenta con un
software de supervisin en el dispositivo vecino, este ver el puerto como flap debido a su desactivacin y
posterior activacin. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de
1 gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisin, por lo que el dispositivo
vecino no detecta ningn flap.

Dispositivo > Sistemas virtuales
Los sistemas virtuales (vsys) son instancias de cortafuegos (virtuales) independientes que puede
gestionar por separado dentro de un cortafuegos fsico. Cada vsys puede ser un cortafuegos
independiente con su propia poltica de seguridad, interfaces y administradores; un vsys le
permite segmentan la administracin de todas las polticas, informes y funciones de visibilidad
que proporciona el cortafuegos. Por ejemplo, si desea personalizar las caractersticas de seguridad
para el trfico asociado al departamento financiero, puede definir un vsys financiero y, a
continuacin, definir polticas de seguridad que pertenezcan nicamente a ese departamento. Para
optimizar la administracin de polticas, puede mantener cuentas de administrador distintas para
todo el dispositivo y las funciones de red, y crear a su vez cuentas de administrador de vsys que
permitan el acceso a vsys individuales. Esto permite al administrador de vsys del departamento
financiero gestionar las polticas de seguridad nicamente de dicho departamento.
Las funciones de red, incluidos el enrutamiento esttico y dinmico, pertenecen a todo un
cortafuegos y a todos sus vsys; los vsys no controlan las funciones de control de dispositivos y
niveles de red. Para cada vsys puede especificar un conjunto de interfaces de cortafuegos
fsicas y lgicas (incluidas VLAN y Virtual Wire) y zonas de seguridad. Si necesita
segmentacin de rutas para cada vsys, debe crear/asignar enrutadores virtuales adicionales y
asignar interfaces, VLAN y Virtual Wire, segn corresponda.
Si usa una plantilla de Panorama para definir vsys, puede establecer un vsys como
predeterminado. El vsys predeterminado y el modo de sistemas virtuales mltiples determinan si
los cortafuegos aceptan configuraciones especficas de vsys durante una compilacin de plantilla:
Los cortafuegos que estn en modo de sistemas virtuales mltiples aceptan configuraciones
especficas de vsys para todos los vsys definidos en la plantilla.
Palo Alto Networks
Los cortafuegos que no estn en modo de sistemas virtuales mltiples aceptan

configuraciones especficas de vsys para el vsys predeterminado. Tenga en cuenta que si no
establece un vsys como predeterminado, estos cortafuegos aceptan configuraciones no
especficas de vsys.
Los cortafuegos de las series PA-4000, PA-5000 y PA-7000 Series admiten mltiples sistemas virtuales.
Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala
la licencia adecuada. Los cortafuegos PA-500 y PA-200 no admiten varios sistemas virtuales.
Antes de habilitar mltiples vsys, tenga en cuenta lo siguiente:
Un administrador de vsys crea y gestiona todos los elementos necesarios para las
polticas.
Las zonas son objetos dentro de vsys. Antes de definir una poltica o un objeto de las
polticas, seleccione el sistema virtual en la lista desplegable de la pestaa Polticas u
Objetos.
Puede establecer destinos de logs remotos (SNMP, syslog y correo electrnico),

aplicaciones, servicios y perfiles para que estn disponibles para todos los vsys
(compartido) o con un nico vsys.
Puede configurar rutas de servicios globales (para todos los vsys en un cortafuegos) o
especficas de un vsys (consulte Definicin de la configuracin de servicios).
Antes de definir vsys, debe habilitar primero la capacidad para varios vsys en el cortafuegos:
seleccione Dispositivo > Configuracin > Gestin, modifique la Configuracin general,
seleccione la casilla de verificacin Capacidad de cortafuegos virtuales y haga clic en
ACEPTAR. Esto aade una pgina Dispositivo > Sistemas virtuales. Seleccione la pgina,
haga clic en Aadir y especifique la siguiente informacin.
Tabla 57. Configuracin de sistemas virtuales

Campo
Descripcin
ID
Introduzca un identificador que sea un nmero entero para el vsys.

Consulte la hoja de datos de su modelo de cortafuegos para obtener
informacin sobre el nmero de vsys admitidos.
Nota: Si usa una plantilla de Panorama para configurar el vsys, este campo no
aparece.
Nombre
Introduzca un nombre (de hasta 31 caracteres) para identificar el vsys.

guiones bajos.
Nota: Si usa una plantilla de Panorama para enviar configuraciones vsys,
el nombre vsys en la plantilla debe coincidir con el nombre de vsys en el
cortafuegos.
Permitir reenvo de
contenido descifrado
Seleccione esta casilla de verificacin para permitir que el sistema virtual

reenve el contenido descifrado a un servicio exterior durante el reflejo de
puerto o el envo de archivos de WildFire para anlisis. Para obtener
informacin sobre el reflejo de puertos de descifrado, consulte Reflejo de
puertos de descifrado.
Palo Alto Networks
Configuracin de puertas de enlace compartidas
Tabla 57. Configuracin de sistemas virtuales (Continuacin)

Campo
Descripcin
Pestaa General
Seleccione un objeto de proxy de DNS si desea aplicar reglas de proxy de

DNS a este vsys. Consulte Configuracin de proxy DNS.
Para incluir objetos de un tipo especial, seleccione la casilla de
verificacin de ese tipo (Interfaz, VLAN, Virtual Wire, Enrutador virtual
o Sistema virtual visible), haga clic en Aadir y seleccione el objeto del
men desplegable. Puede aadir uno o ms objetos de cualquier tipo.
Para eliminar un objeto, seleccinelo y haga clic en Eliminar.
Pestaa Recurso
Especifique los lmites de recursos permitidos para este vsys:

Lmite de sesiones: nmero mximo de sesiones.
Reglas de seguridad: nmero mximo de reglas de seguridad.
Reglas de NAT: nmero mximo de reglas de NAT.
Reglas de descripcin: nmero mximo de reglas de descifrado.
Reglas de QoS: nmero mximo de reglas de QoS.
Reglas de cancelacin de aplicaciones: nmero mximo de reglas
de cancelacin de aplicaciones.
Reglas de reenvo basados en polticas: nmero mximo de reglas
de reenvo basado en polticas (PBF).
Reglas de portal cautivo: nmero mximo de reglas de portal cautivo (CP).
Reglas de proteccin DoS: nmero mximo de reglas de denegacin
de servicio (DoS).
Tneles VPN de sitio a sitio: nmero mximo de tneles de VPN de sitio
a sitio.
Tneles de GlobalProtect concurrentes: nmero mximo de usuarios
de GlobalProtect remotos concurrentes.
Configuracin de puertas de enlace compartidas

Dispositivo > Puertas de enlace compartidas
Las puertas de enlace compartidas permiten a los sistemas virtuales mltiples compartir una
nica comunicacin externa (tradicionalmente conectada a una red ascendente comn como
un proveedor de servicios de Internet). El resto de sistemas virtuales se comunican con el
mundo exterior a travs de la interfaz fsica mediante una nica direccin IP. Se utiliza un
nico enrutador virtual para enrutar el trfico de todos los sistemas virtuales a travs de la
puerta de enlace compartida.
Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mnimo, una interfaz
de capa 3 debe configurarse como puerta de enlace compartida. Las comunicaciones que se
originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace
compartida requieren una poltica similar para las comunicaciones que pasan entre dos
sistemas virtuales. Puede configurar una zona Vsys externa para definir las reglas de
seguridad en el sistema virtual.
Palo Alto Networks
Tabla 58. Configuracin de puertas de enlace compartidas

Campo
Descripcin
ID
Identificador de la puerta de enlace (no utilizado por el cortafuegos).
Nombre
Introduzca un nombre para la puerta de enlace compartida (de hasta

guiones bajos. Solo se requiere el nombre.
Proxy DNS
(Optativo) Si hay un proxy DNS configurado, seleccione qu servidores

DNS se deben utilizar para las consultas de nombre de dominio.
Interfaces
Seleccione casillas de verificacin para las interfaces que utilizar la puerta

de enlace compartida.

Dispositivo > Pginas de respuesta
Las pginas de respuesta personalizadas son las pginas web que se muestran cuando un
usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado que
se descargar y mostrar en lugar del archivo o la pgina web que ha solicitado.
Cada sistema virtual puede tener sus propias pginas de respuesta personalizadas.
La siguiente tabla describe los tipos de pginas de respuesta personalizadas que admiten
mensajes del cliente.
Tabla 59. Tipos de pginas de respuesta personalizadas

Tipo de pgina
Descripcin
Pgina de bloqueo de
antivirus
Acceso bloqueado debido a una infeccin por virus.
Pgina de bloqueo de
aplicacin
Acceso bloqueado debido a que la aplicacin est bloqueada por

una poltica de seguridad.
Pgina de comodidad de
portal cautivo
Pgina para que los usuarios verifiquen su nombre de usuario y

contrasea para mquinas que no formen parte del dominio.
Pgina de opcin continua de

bloqueo de archivo
Pgina para que los usuarios confirmen que la descarga debe

continuar. Esta opcin nicamente est disponible si las
prestaciones de opcin continua estn habilitadas en el perfil de
seguridad. Consulte Perfiles de bloqueo de archivo.
Pgina de bloqueo de bloqueo

de archivo
Acceso bloqueado debido a que el acceso al archivo est bloqueado.
Pgina de ayuda de portal de

GlobalProtect
Pgina de ayuda personalizada para usuarios de GlobalProtect

(accesible desde el portal).
Pgina de inicio de sesin en

el portal de GlobalProtect
Pgina para los usuarios que intenten acceder al portal de

GlobalProtect.
Pgina de bienvenida de
GlobalProtect
Pgina de bienvenida para los usuarios que intenten iniciar sesin

en el portal de GlobalProtect.
Pgina de notificacin de
errores de certificado SSL
Notificacin de que un certificado SSL se ha revocado.
Palo Alto Networks
Tabla 59. Tipos de pginas de respuesta personalizadas (Continuacin)

Tipo de pgina
Descripcin
Pgina de exclusin de
descifrado de SSL
Pgina de advertencia para el usuario que indica que esta sesin se

inspeccionar.
Pgina de bloqueo de URL
Acceso bloqueado por un perfil de filtrado de URL o porque la

categora de URL est bloqueada por una poltica de seguridad.
Pgina de continuacin y
cancelacin de filtrado de URL
Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.
Pgina de bloqueo de
aplicacin de bsqueda
segura de filtro de URL
Acceso bloqueado por una poltica de seguridad con un perfil de

filtrado de URL que tiene habilitada la opcin Forzaje de
bsquedas seguras.
El usuario ver esta pgina si se realiza una bsqueda con Bing,
Google, Yahoo, Yandex o YouTube y la configuracin de cuenta de
su explorador o motor de bsqueda no est establecida como
estricta. La pgina de bloque pedir al usuario que establezca la
configuracin de bsqueda segura como estricta.
Puede realizar cualquiera de las siguientes funciones bajo Pginas de respuesta:
Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del tipo
de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar. Explore
para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se ha realizado
con xito. Para que la importacin tenga xito, el archivo debe estar en formato HTML.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
Para habilitar o deshabilitar la pgina Bloqueo de aplicacin o las pginas Exclusin de

descifrado de SSL, haga clic en el enlace Habilitar del tipo de pgina. Seleccione o
cancele la seleccin de la casilla de verificacin Habilitar.
Para usar la pgina de respuesta predeterminada de una pgina personalizada cargada

anteriormente, elimine la pgina de bloqueo personalizada y realice una compilacin.
Esto establecer la pgina de bloqueo predeterminada como la nueva pgina activa.
Palo Alto Networks

Dispositivo > Asistencia tcnica
Panorama > Asistencia tcnica
La pgina de asistencia le permite acceder a opciones relacionadas con la asistencia tcnica.
Puede ver la informacin de contacto de Palo Alto Networks, la fecha de vencimiento y alertas
de producto y seguridad de Palo Alto Networks, segn el nmero de serie de su dispositivo
(cortafuegos o dispositivo de Panorama).
Realice cualquiera de las siguientes funciones en esta pgina:
Asistencia tcnica: Utilice esta seccin para ver la informacin de contacto de la asistencia
tcnica de Palo Alto Networks, el estado de la asistencia tcnica del dispositivo o activar
su contrato usando un cdigo de autorizacin.
Alertas de produccin/Alertas de aplicacin y amenazas: Estas alertas se recuperarn

desde los servidores de actualizacin de Palo Alto Networks cuando se acceda a esta
pgina o se actualice. Para ver los detalles de las alertas de produccin o las alertas de
aplicacin y amenazas, haga clic en el nombre de la alerta. Las alertas de produccin se
publicarn si hay una recuperacin a gran escala o un problema urgente relacionado con
una determinada publicacin. Se publicarn alertas de aplicacin y amenazas si se
descubren alertas de importancia.
Enlaces: Esta seccin proporciona un enlace a la pgina de inicio de asistencia tcnica,

donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el
inicio de sesin de asistencia tcnica.
Archivo de asistencia tcnica: Utilice el enlace Generar archivo de asistencia tcnica

para generar un archivo del sistema que pueda utilizar el grupo de asistencia tcnica para
facilitar la resolucin de los problemas que pudiera estar experimentando el dispositivo.
Despus de generar el archivo, haga clic en Descargar archivo de asistencia tcnica para
recuperarlo y, a continuacin, envelo al departamento de asistencia tcnica de
Palo Alto Networks.
Archivo de volcado de estadsticas: Utilice el enlace Generar archivo de volcado de

estadsticas para generar un conjunto de informes de XML que resuma el trfico de red
en los ltimos 7 das. Una vez generado el informe, haga clic en el enlace Descargar
archivo de volcado de estadsticas para recuperar el informe. El ingeniero de sistemas de
Palo Alto Networks o de un socio autorizado utiliza el informe para generar un informe
de riesgos y visibilidad de la aplicacin (Informe AVR). El AVR resalta lo que se ha
encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden
existir. Tradicionalmente se utiliza como parte del proceso de evaluacin. Para obtener
ms informacin sobre el informe AVR, pngase en contacto con el ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado.
Palo Alto Networks
Palo Alto Networks
Captulo 4
Configuracin de red
Definicin de cables virtuales (Virtual Wires)
Configuracin de la interfaz de un cortafuegos
Configuracin de un enrutador virtual
Configuracin de la compatibilidad de VLAN
Configuracin de DHCP
Configuracin de proxy DNS
Configuracin de LLDP
Definiendo perfiles de gestiones de interfaz
Definicin de perfiles de supervisin
Definicin de perfiles de proteccin de zonas
Definicin de perfiles LLDP
Palo Alto Networks

Red > Cables virtuales
Utilice esta pgina para definir cables virtuales (Virtual Wire) despus de especificar dos
interfaces de cable virtual en el cortafuegos.
Tabla 60. Configuracin de cable virtual (cable virtual)

Campo
Descripcin
Nombre de cable virtual
Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta

31 caracteres). Este nombre aparece en la lista de cables virtuales cuando
se configuran interfaces. El nombre hace distincin entre maysculas y
Interfaces
Seleccione dos interfaces Ethernet de la lista de configuracin de cable

virtual. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de
cable virtual y no se han asignado a otro cable virtual.
Etiquetas permitidas
Introduzca el nmero de etiqueta (0 a 4094) o el intervalo de nmeros de

etiqueta (tag1-tag2) del trfico permitido en el cable virtual. Un valor de cero
indica trfico sin etiquetar (opcin predeterminada). Si especifica varias
etiquetas o intervalos, deben estar separados por comas. El trfico que se
excluye del valor de la etiqueta se descarta. Tenga en cuenta que los valores
de etiqueta no se cambian en los paquetes de entrada o de salida.
Si utiliza subinterfaces de cable virtual, la lista Tags permitidos causar
que todo el trfico con las etiquetas de la lista se clasifique en el cable
virtual principal. Las subinterfaces de cable virtual deben utilizar
etiquetas que no existen en la lista principal Tags permitidos.
Cortafuegos multicast
Seleccione esta opcin si desea poder aplicar reglas de seguridad al trfico

multicast. Si este ajuste no est activado, el trfico multicast se reenva por
el cable virtual.
Envo del estado del

enlace
Seleccione esta casilla de verificacin si desea desactivar el otro puerto en

un cable virtual cuando se detecta un estado de enlace no operativo. Si no
selecciona esta casilla de verificacin, el estado del enlace no se propaga
por el cable virtual.
Configuracin de la interfaz de un cortafuegos

Las interfaces de cortafuegos (puertos) permiten a un cortafuegos conectar con otros
dispositivos de red y con otras interfaces del cortafuegos. En los siguientes temas se describen
los tipos de interfaz y cmo configurarlos:
Qu est buscando?
Consulte
Qu son las interfaces de

cortafuegos?
Resumen de las interfaces de cortafuegos
Acabo de empezar con las

interfaces de cortafuegos; qu
componentes tienen?
Componentes comunes de las interfaces de

cortafuegos
Componentes comunes de interfaces de cortafuegos
de la serie PA-7000
Palo Alto Networks
Qu est buscando?
Consulte
S bastante sobre interfaces de

cortafuegos; dnde puedo
encontrar informacin sobre
cmo configurar un tipo de
interfaz especfico?
Interfaces fsicas (Ethernet)

Configure la interfaz de capa 2
Configuracin de la subinterfaz de capa 2
Configuracin de una interfaz de cable virtual
(Virtual Wire)
Configuracin de una subinterfaz de cable virtual
(Virtual Wire)
Configuracin de una interfaz de Tap
Configuracin de una interfaz de tarjeta de log
Configuracin de una subinterfaz de tarjeta de log
Configuracin de una interfaz de reflejo de
descifrado
Configuracin de los grupos de interfaces de
agregacin
Configuracin una interfaz de agregacin
Configuracin de una interfaz HA
Interfaces lgicas
Configuracin de una interfaz VLAN
Configuracin de una interfaz de bucle invertido
Configuracin de una interfaz de tnel
Busca ms informacin?
Consulte Networking (Redes)

Las configuraciones de interfaz en los puertos de datos del cortafuegos permiten que entre y
salga el trfico del cortafuegos. Un cortafuegos de Palo Alto Networks puede funcionar en
mltiples implementaciones de forma simultnea porque puede configurar las interfaces para
admitir distintas implementaciones. Por ejemplo, puede configurar las interfaces de Ethernet
en un cortafuegos para implementaciones de cable virtual, capa 2, capa 3 y modo tap.
Las interfaces que admite el cortafuegos son:
Interfaces fsicas: El cortafuegos tiene dos tipos de interfaces de Ethernet, cobre coaxial y
fibra ptica, puede enviar y recibir trfico a distintas velocidades de transmisin. Puede
configurar interfaces de Ethernet como los siguientes tipos: Tap, alta disponibilidad (HA),
la tarjeta de log (interfaz y subinterfaz), el reflejo de descifrado, el cable virtual (interfaz y
Palo Alto Networks
Componentes comunes de las interfaces de cortafuegos
subinterfaz), la capa 2 (interfaz y subinterfaz), la capa 3 (interfaz y subinterfaz) y la

Ethernet agregada. Los tipos de interfaz y las velocidades de transmisin disponibles
pueden variar por modelo de hardware.
Interfaces lgicas: Esto incluye interfaces de red de rea local virtual (VLAN), interfaces
de bucle invertido e interfaces de tnel. Debe configurar la interfaz fsica antes de definir
una VLAN o una interfaz de tnel.
Componentes comunes de las interfaces de cortafuegos

La siguiente tabla describe los componentes de la pgina Red > Interfaces que son comunes
para la mayora de tipos de interfaz.
Para una descripcin de componentes que son nicos o diferentes cuando configura
interfaces en un cortafuegos de la serie PA-7000, o cuando usa Panorama para
configurar interfaces en cualquier cortafuegos, consulte Componentes comunes de
interfaces de cortafuegos de la serie PA-7000.
Tabla 61. Componentes comunes de las interfaces de cortafuegos

Campo
Descripcin
Interfaz (nombre
de interfaz)
El nombre de interfaz viene predefinido y no puede cambiarlo. Puede adjuntar

un sufijo numrico para subinterfaces, interfaces agregadas, interfaces VLAN,
interfaces de bucle invertido e interfaces de tnel.
Tipo de interfaz
Para las interfaces de Ethernet (Red > Interfaces > Ethernet), puede seleccionar el
tipo de interfaz:
Puntear
HA
Reflejo de descifrado (solo cortafuegos de las series PA-7000, PA-5000 y
PA-3000)
Virtual Wire
Capa 2
Capa 3
Tarjeta de log (solo cortafuegos de la serie PA-7000)
Agregar Ethernet
Perfil de gestin
Seleccione un perfil que defina los protocolos (por ejemplo, SSH, Telnet y HTTP)
que puede usar para gestionar el cortafuegos en esta interfaz.
Estado de enlace
Para interfaces Ethernet, esta columna indica si la interfaz es accesible y puede

recibir trfico a travs de la red:
Verde: Configurado y ascendente
Rojo: Configurado pero desactivado o inactivo
Gris: No configurado
Pase el ratn sobre un icono para mostrar informacin sobre herramientas que
indique la velocidad de enlace y los ajustes dplex en la interfaz.
Direccin IP
Configure la direccin IPv4 o IPv6 de la interfaz de Ethernet, VLAN, de bucle

invertido o de tnel. Para una direccin IPv4, tambin puede seleccionar el modo
de direccionamiento de la interfaz: esttico, protocolo de configuracin de host
dinmico (DHCP) o el protocolo punto a punto sobre Ethernet (PPPoE).
Enrutador
virtual
Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador

virtual para definir uno nuevo (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador virtual
actual de la interfaz.
Palo Alto Networks
Componentes comunes de interfaces de cortafuegos de la serie PA-7000
Tabla 61. Componentes comunes de las interfaces de cortafuegos

Campo
Descripcin
Etiqueta
Introduzca la etiqueta VLAN (1-4094) para la subinterfaz.
VLAN
Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva
VLAN (consulte Configuracin de la compatibilidad de VLAN). Si selecciona
Ninguno, se elimina la asignacin de VLAN de la interfaz. Para permitir el
intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a travs de
una interfaz de VLAN, debe configurar un objeto VLAN.
Sistema virtual
Si el cortafuegos admite mltiples sistemas virtuales y que la capacidad se ha

habilitado, seleccione un sistema virtual (vsys) para la interfaz o haga clic en el
enlace Sistema virtual para definir un nuevo vsys.
Zona de
seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona
para definir una nueva zona. Si selecciona Ninguno, se elimina la asignacin de
zona actual de la interfaz.
Caractersticas
En las interfaces Ethernet, esta columna indica si se han habilitado las siguientes
caractersticas:
Protocolo de control de agregacin de enlaces (LACP)
Perfil de calidad del servicio (QoS)
Protocolo de deteccin de nivel de enlace (LLDP)
Perfil de flujo de red
Cliente de protocolo de configuracin de host dinmico (DHCP): Esta
interfaz funciona como un cliente DHCP y recibir una direccin IP asignada
dinmicamente.
Comentarios
Una descripcin de la funcin u objetivo de la interfaz.
Componentes comunes de interfaces de cortafuegos de la

serie PA-7000
La siguiente tabla describe los componentes de la pgina Red > Interfaces > Ethernet que son
nicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000,
o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. Haga clic en el
botn Agregar interfaz para crear una interfaz o haga clic en el nombre de una interfaz
existente (ethernet1/1, por ejemplo) para editarla.
En los cortafuegos de la serie PA-7000, debe Configuracin de una interfaz de

tarjeta de log con un puerto de datos.
Palo Alto Networks
Tabla 62. Componentes comunes de interfaces de cortafuegos de la serie PA-7000

Campo
Descripcin
Ranura
Seleccione el nmero de ranura (1-12) de la interfaz. Solo los cortafuegos de la

serie PA-7000 tienen mltiples ranuras. Si usa Panorama para configurar una
interfaz para cualquier otra plataforma de cortafuegos, seleccione la Ranura 1.
Interfaz (nombre
de interfaz)
Seleccione el nombre de una interfaz que est asociada con la Ranura

seleccionada.

Red > Interfaces > Ethernet
Para configurar una interfaz de Capa 2, haga clic en el nombre de una interfaz (ethernet1/1,
por ejemplo) que no est configurado y especifique la siguiente informacin.
Tabla 63. Configuracin de interfaz de capa 2

Campo
Configurado en
Descripcin
Nombre
de interfaz
Interfaz
Ethernet
El nombre de interfaz viene predefinido y no puede cambiarlo.
Comentarios
Interfaz
Ethernet
Introduzca una descripcin opcional para la interfaz.
Tipo de interfaz
Interfaz
Ethernet
Seleccione Capa2.
Perfil de flujo
de red
Interfaz
Ethernet
Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz

de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Perfil de flujo de red para definir un nuevo perfil (consulte
Configuracin de ajustes de flujo de red). Si selecciona Ninguno, se
elimina la asignacin del servidor NetFlow actual de la interfaz.
Note: El cortafuegos de la serie PA-4000 no admite esta caracterstica.
VLAN
Interfaz de
Ethernet >
Configurar
Para habilitar el cambio entre las interfaces de Capa 2 o para habilitar el

enrutamiento a travs de una interfaz VLAN, seleccione una VLAN o
haga clic en el enlace VLAN para definir una nueva VLAN (consulte
Configuracin de la compatibilidad de VLAN). Si selecciona Ninguno,
se elimina la asignacin de VLAN de la interfaz.
Sistema virtual
Interfaz de
Ethernet >
Configurar
Si el cortafuegos admite mltiples sistemas virtuales y esa funcin est

activada, seleccione un sistema virtual para la interfaz o haga clic en el
Zona de
seguridad
Interfaz de
Ethernet >
Configurar
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace

Zona para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.
Velocidad
de enlace
Interfaz de
Ethernet >
Avanzado
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) o seleccione

auto para que el cortafuegos determine automticamente la velocidad.
Dplex
de enlace
Interfaz de
Ethernet >
Avanzado
Seleccione si el modo de transmisin de la interfaz es dplex completo

(Completo), dplex medio (Medio) o negociado automticamente (Auto).
Palo Alto Networks
Tabla 63. Configuracin de interfaz de capa 2 (Continuacin)

Campo
Configurado en
Descripcin
Estado de
enlace
Interfaz de
Ethernet >
Avanzado
Seleccione si el estado de la interfaz es activada (Arriba), desactivada

(abajo) o determinado automticamente (auto).
Habilitar LLDP
Interfaz de
Ethernet >
Avanzado > LLDP
Seleccione esta opcin para habilitar Protocolo de deteccin de nivel de

enlace (LLDP) en la interfaz. Funciones LLDP en la capa de enlace para
descubrir dispositivos vecinos y sus capacidades.
Perfil
Interfaz de
Ethernet >
Avanzado > LLDP
Si LLDP est activada, seleccione un perfil LLDP para asignar a la interfaz

o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte
Definicin de perfiles LLDP). La seleccin de Ninguno provoca que el
cortafuegos use los valores predeterminados globales.

Para cada puerto Ethernet configurado con una interfaz fsica de capa 2, puede definir una
interfaz lgica de capa 2 adicional (subinterfaz) para cada etiqueta VLAN asignada al trfico
que recibe el puerto. Para permitir el intercambio entre subinterfaces de capa 2, asgneles el
mismo objeto VLAN a las subinterfaces.
Para configurar una subinterfaz de capa 2, Configure la interfaz de capa 2, seleccione una fila de
interfaz fsica asociada, haga clic en Aadir subinterfaz y especifique la siguiente informacin.
Tabla 64. Configuracin de subinterfaz de capa 2

Campo
Descripcin
Nombre de
interfaz
El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz fsica que ha
seleccionado. En el campo adyacente, introduzca un sufijo numrico (1-9999) para identificar la
subinterfaz.
Comentarios
Introduzca una descripcin opcional para la subinterfaz.
Etiqueta
Perfil de flujo de
red
Si quiere exportar el trfico IP unidireccional que atraviesa una subinterfaz de entrada a un

servidor NetFlow, seleccione el perfil del servidor o haga clic en Perfil de flujo de red para
definir un nuevo perfil (consulte Configuracin de ajustes de flujo de red). Si selecciona
Ninguno, se elimina la asignacin de servidor NetFlow actual de la subinterfaz.
VLAN
Para permitir el cambio entre las interfaces de capa 2 o para permitir el enrutamiento a travs de
una interfaz VLAN, seleccione una VLAN, o haga clic en el enlace VLAN para definir una
nueva VLAN (consulte Configuracin de la compatibilidad de VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Sistema virtual
Si el cortafuegos admite mltiples sistemas virtuales y que la capacidad se ha habilitado,

seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual
para definir un nuevo vsys.
Zona de
seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una
nueva zona. Si selecciona Ninguno, se elimina la asignacin de zona actual de la subinterfaz.
Palo Alto Networks

Para configurar una interfaz de Capa 3, haga clic en el nombre de una interfaz (ethernet1/1,
por ejemplo) que no est configurado y especifique la siguiente informacin.
Tabla 65. Configuracin de interfaz de capa 3

Campo
Configurado en
Descripcin
Nombre de interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Seleccione Capa3.
Interfaz
Ethernet
Si quiere exportar el trfico IP unidireccional que atraviesa una

interfaz de entrada a un servidor NetFlow, seleccione el perfil del
servidor o haga clic en Perfil de flujo de red para definir un nuevo
perfil (consulte Configuracin de ajustes de flujo de red).
Si selecciona Ninguno, se elimina la asignacin del servidor
NetFlow actual de la interfaz.
Enrutador virtual
Interfaz de
Ethernet >
Configurar
Seleccione una enrutador virtual o haga clic en el enlace Enrutador

virtual para definir uno nuevo (consulte Configuracin de un
enrutador virtual). Si selecciona Ninguno, se elimina la asignacin
del enrutador virtual actual de la interfaz.
Sistema virtual
Interfaz de
Ethernet >
Configurar
Si el cortafuegos admite mltiples sistemas virtuales y que la capacidad

se ha habilitado, seleccione un sistema virtual (vsys) para la interfaz o
haga clic en el enlace Sistema virtual para definir un nuevo vsys.
Zona de seguridad
Interfaz de
Ethernet >
Configurar
Seleccione una zona de seguridad para la interfaz o haga clic en el

enlace Zona para definir una nueva zona. Si selecciona Ninguno,
se elimina la asignacin de zona actual de la interfaz.
Velocidad de enlace
Interfaz de
Ethernet >
Avanzado
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o

modo automtico.
Dplex de enlace
Interfaz de
Ethernet >
Avanzado
Seleccione si el modo de transmisin de la interfaz es dplex

completo (Completo), dplex medio (Medio) o negociado
automticamente (Auto).
Estado de enlace
Interfaz de
Ethernet >
Avanzado
Seleccione si el estado de la interfaz es habilitado (Activado),

deshabilitado (Desactivado) o determinado automticamente
(Auto).
Perfil de gestin
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Seleccione un perfil que defina los protocolos (por ejemplo, SSH,

Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta
interfaz. Si selecciona Ninguno, se elimina la asignacin de perfil
MTU
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Introduzca la unidad mxima de transmisin (MTU) en bytes para

los paquetes enviados en esta interfaz (576-9192, opcin
predeterminada 1500). Si las mquinas de ambos extremos del
cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD)
y la interfaz recibe un paquete que supera la MTU, el cortafuegos
enva al origen un mensaje de necesidad de fragmentacin del ICMP
que indica que el paquete es demasiado grande.
Palo Alto Networks

Campo
Configurado en
Descripcin
Ajustar TCP MSS
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Active esta casilla de verificacin si desea ajustar el tamao de

segmento mximo (MSS) en 40 bytes menos que la MTU de la
interfaz. Esta configuracin est destinada a aquellas situaciones en
las que un tnel que atraviesa la red necesita un MSS de menor
tamao. Si un paquete no cabe en el MSS sin fragmentarse, este
parmetro permite ajustarlo.
Subinterfaz no
etiquetada
Interfaz de
Ethernet >
Avanzado >
Otra informacin
Especifica que todas las interfaces que pertenecen a esta interfaz de

capa 3 no se etiqueten. PAN-OS selecciona una subinterfaz sin
etiquetar como la interfaz de entrada (ingress) basada en el destino
del paquete. Si el destino es la direccin IP de una subinterfaz sin
etiquetar, se asignar a la subinterfaz. Esto tambin significa que un
paquete que va en direccin inversa debe tener su direccin de
origen traducida a la direccin IP de la subinterfaz sin etiquetar.
Otra variable de esta forma de clasificacin es que todos los
paquetes de multidifusin (multicast) y difusin se asignarn a la
interfaz de base en lugar de a cualquiera de las subinterfaces. Como
OSPF utiliza multidifusin, no es compatible con subinterfaces sin
etiquetar.
Direccin IP
Interfaz de
Ethernet >
Avanzado >
Entradas de ARP
Para aadir una o ms entradas estticas del protocolo de resolucin de

direccin (ARP), haga clic en Aadir y, a continuacin, introduzca una
direccin IP y la direccin del hardware asociado (Media Access
Control o MAC). Para eliminar una entrada, seleccinela y haga clic en
Eliminar. Las entradas ARP estticas reducen el procesamiento ARP e
impiden los ataques de man in the middle de las direcciones
especificadas.
Interfaz de
Ethernet >
Avanzado >
Entradas de ND
Para proporcionar informacin sobre vecinos para el protocolo de

deteccin de vecinos (NDP), haga clic en Aadir y, a continuacin,
introduzca la direccin IP y MAC del vecino.
Interfaz de
Ethernet >
Avanzado >
Proxy NDP
Seleccione esta casilla de verificacin para activar el proxy del

protocolo de deteccin de vecinos (ND) para la interfaz.
El cortafuegos no responder a los paquetes ND que solicitan
direcciones MAC para direcciones IPv6 en esta lista. En la respuesta
ND, el cortafuegos enva su propia direccin MAC para la interfaz y
solicita todos los paquetes destinados para estas direcciones. Puede
filtrar numerosas direcciones introduciendo una cadena de
bsqueda y haciendo clic en el icono Aplicar filtro
.
Direccin MAC
Direccin IPv6
Direccin MAC
Habilitar Proxy NDP
Se recomienda que seleccione Habilitar Proxy NDP si usa

Traduccin de prefijo de red IPv6 (NPTv6).
Si la casilla de verificacin Habilitar Proxy NDP est seleccionada,
Direccin
Interfaz de
Ethernet >
Avanzado >
Proxy NDP
Haga clic en Aadir para introducir una o ms direcciones IPv6,

intervalos de IP, subredes IPv6 u objetos de direcciones para las que
el cortafuegos actuar como el Proxy NDP. Idealmente, una de estas
direcciones es la misma que la traduccin de origen en NPTv6.
El orden de las direcciones es indiferente.
Si la direccin es una subred, el cortafuegos enviar una respuesta
ND para todas las direcciones de la subred, por lo que le
recomendamos que agregue tambin los vecinos IPv6 del
cortafuegos y seleccione la casilla de verificacin Negar para indicar
al cortafuegos que no responda a estas direcciones IP.
Palo Alto Networks

Campo
Configurado en
Descripcin
Negar
Interfaz de
Ethernet >
Avanzado >
Proxy NDP
Seleccione la casilla de verificacin Negar junto a una direccin para

evitar el Proxy NDP de esa direccin. Puede negar un subconjunto
del intervalo de direccin IP o subred IP especificado.
Habilitar LLDP
Interfaz de
Ethernet >
Avanzado > LLDP
Seleccione esta opcin para habilitar Protocolo de deteccin de nivel

de enlace (LLDP) en la interfaz. Funciones LLDP en la capa de
enlace para descubrir dispositivos vecinos y sus capacidades.
Perfil
Interfaz de
Ethernet >
Avanzado > LLDP
Si LLDP est activada, seleccione un perfil LLDP para asignar a la

interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo
perfil (consulte Definicin de perfiles LLDP). La seleccin de
Ninguno provoca que el cortafuegos use los valores
predeterminados globales.
Para una direccin IPv4

Tipo
Interfaz de
Ethernet > IPv4
Seleccione el mtodo para asignar un tipo de direccin IPv4 a la

interfaz:
Esttica: debe especificar manualmente la direccin IP.
PPPoE: el cortafuegos utilizar la interfaz para el protocolo punto
a punto sobre Ethernet (PPPoE).
Cliente DHCP: permite a la interfaz actuar como cliente del
protocolo de configuracin de host dinmico (DHCP) y recibir
una direccin IP dinmicamente asignada.
Note: Los cortafuegos que estn en modo de alta disponibilidad (HA)
activo/activo no admiten el cliente PPPoE o DHCP.
Las opciones que se muestran en la pestaa variarn segn su
seleccin de mtodo de direccin IP.
Direccin IPv4 Tipo = Esttico

IP
Interfaz de
Ethernet > IPv4
Haga clic en Aadir y, a continuacin, realice uno de los siguientes

pasos para especificar una direccin IP y una mscara de red para la
interfaz.
Introduzca la entrada en la notacin de enrutamiento entre
dominios sin clases (CIDR): direccin_ip/mscara (por ejemplo,
192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6).
Seleccione un objeto de direccin existente de tipo mscara de red IP.
Haga clic en enlace Direccin para crear un objeto de direccin de
tipo mscara de red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base
de informacin de reenvo (FIB) que utiliza su sistema determina el
nmero mximo de direcciones IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en
Eliminar.
Direccin IPv4 Tipo = PPPoE

Habilitar
Interfaz
Ethernet > IPv4 >
PPPoE > General
Seleccione esta casilla de verificacin para activar la interfaz para la

terminacin PPPoE.
Nombre de usuario
Interfaz
Ethernet > IPv4 >
PPPoE > General
Introduzca el nombre de usuario de la conexin de punto a punto.
Contrasea/
Confirmar contrasea
Interfaz
Ethernet > IPv4 >
PPPoE > General
Introduzca y confirme la contrasea del nombre de usuario.
Palo Alto Networks

Campo
Configurado en
Descripcin
Mostrar informacin
de tiempo de
ejecucin de cliente
PPPoE
Interfaz
Ethernet > IPv4 >
PPPoE > General
De forma opcional, haga clic en este enlace para abrir un cuadro de

dilogo que muestre los parmetros que el cortafuegos ha
negociado con el proveedor de servicios de Internet (ISP) para
establecer una conexin. La informacin especfica depende del ISP.
Autenticacin
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Seleccione el protocolo de autenticacin para las comunicaciones

PPPoE: CHAP (Protocolo de autenticacin por desafo mutuo),
PAP (Protocolo de autenticacin de contrasea) o, de forma
predeterminada, Auto (el cortafuegos determina el protocolo).
Si selecciona Ninguno, se elimina la asignacin del protocolo actual
de la interfaz.
Direccin esttica
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Realice uno de los siguientes pasos para especificar la direccin IP

que ha asignado el proveedor de servicios de Internet (no
predeterminado):
Crear
automticamente
ruta predeterminada
que apunte al peer
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Seleccione esta casilla de verificacin para crear automticamente

una ruta predeterminada que seale al peer PPPoE cuando se
conecta.
Mtrica de ruta
predeterminada
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Para la ruta entre el cortafuegos y el proveedor de servicios de

Internet, introduzca una mtrica de ruta (nivel prioritario) que se
asocie a la ruta predeterminada y que se utilice para la seleccin de
ruta (intervalo 1-65535, optativa). El nivel de prioridad aumenta
conforme disminuye el valor numrico.
Acceder a
concentrador
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
De forma optativa, introduzca el nombre del concentrador de

acceso, en el proveedor de servicios de Internet, al que se conecta el
cortafuegos (no predeterminado).
Servicio
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
De forma optativa, introduzca la cadena de servicio (no

predeterminado).
Pasivo
Interfaz
Ethernet > IPv4 >
PPPoE >
Avanzado
Seleccione la casilla de verificacin para utilizar el modo pasivo.

En modo pasivo, un extremo PPPoE espera a que el concentrador de
acceso enve la primera trama.
Introduzca la entrada en la notacin de enrutamiento entre

dominios sin clases (CIDR): direccin_ip/mscara (por ejemplo,
Seleccione Ninguno para eliminar la asignacin de direccin
Direccin IPv4 Tipo = DHCP

Habilitar
Palo Alto Networks
Interfaz de
Ethernet > IPv4
Seleccione la casilla de verificacin para activar el cliente DHCP en

la interfaz.

Campo
Configurado en
Descripcin
Crear
automticamente
ruta predeterminada
que apunte a la
puerta de enlace
predeterminada
proporcionada por el
servidor
Interfaz de
Ethernet > IPv4
Seleccione la casilla de verificacin para que se cree

automticamente una ruta predefinida que apunte a la puerta de
enlace predeterminada por el servidor DHCP.
Mtrica de ruta
predeterminada
Interfaz de
Ethernet > IPv4
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de

forma optativa una mtrica de ruta (nivel prioritario) que se asocie a
la ruta predeterminada y que se utilice para la seleccin de ruta
(intervalo 1-65535, no predeterminada). El nivel de prioridad
aumenta conforme disminuye el valor numrico.
Mostrar informacin
de tiempo de ejecucin
de cliente DHCP
Interfaz de
Ethernet > IPv4
Haga clic en este botn para mostrar todos los ajustes recibidos
desde el servidor DHCP, incluidos el estado de concesin de DHCP,
la asignacin de IP dinmica, la mscara de subred, la puerta de
enlace, la configuracin del servidor (DNS, NTP, dominio, WINS,
NIS, POP3 y SMTP).

Habilitar IPv6 en la
interfaz
Interfaz de
Ethernet > IPv6
Seleccione esta casilla de verificacin para habilitar las direcciones

IPv6 en esta interfaz.
ID de interfaz
Interfaz de
Ethernet > IPv6
Introduzca el identificador nico ampliado de 64 bits (EUI-64) en

formato hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja
este campo en blanco, el cortafuegos utilizar el EUI-64 generado
desde la direccin MAC de la interfaz fsica. Si activa la opcin
Usar ID de interfaz como parte de host cuando se aade una
direccin, el cortafuegos utiliza el ID de interfaz como la parte de host
de esa direccin.
Palo Alto Networks

Campo
Configurado en
Descripcin
Direccin
Interfaz de
Ethernet > IPv6
Haga clic en Aadir y configure los siguientes parmetros para cada

una de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo
(p. ej., 2001:400:f00::1/64). Tambin puede seleccionar un objeto de
direccin IPv6 existente o hacer clic en Direccin para crear un
objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin
para habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de
verificacin para utilizar el ID de interfaz como parte de host de
la direccin IPv6.
Difusin por proximidad: active esta casilla de verificacin para
que se incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin
para habilitar el anuncio de enrutador (RA) para esta direccin IP.
(Tambin puede activar la opcin Habilitar anuncio de enrutador
de forma global en la interfaz.) Si desea informacin sobre el RA,
consulte Habilitar anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual
o superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se
prefiere la direccin vlida, lo que significa que el cortafuegos
la puede utilizar para enviar y recibir trfico. Cuando caduca la
duracin preferida, el cortafuegos deja de poder utilizar la
direccin para establecer nuevas conexiones, pero cualquier
conexin existente es vlida hasta que caduque la duracin
vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas
que tienen direcciones en el prefijo se pueden alcanzar sin
necesidad de un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas
pueden crear de forma independiente una direccin IP
combinando el prefijo publicado con un ID de interfaz.
Habilitar deteccin
de direcciones
duplicadas
Interfaz de
Ethernet > IPv6
Seleccione esta casilla de verificacin para habilitar la deteccin de

direccin duplicada (DAD) y, a continuacin, configure los otros
campos de esta seccin.
Intentos DAD
Interfaz de
Ethernet > IPv6
Especifique el nmero de intentos DAD en el intervalo de

solicitacin de vecinos (Intervalo NS) antes de que falle el intento
de identificar vecinos (intervalo 1-10, predeterminado 1).
Tiempo alcanzable
Interfaz de
Ethernet > IPv6
Especifique la duracin (en segundos) que un vecino permanece

alcanzable despus de una consulta y respuesta correctas
(intervalo: 1-36000 segundos, predeterminado 30).
Intervalo NS
(intervalo de
solicitacin de
vecinos)
Interfaz de
Ethernet > IPv6
Especifique el nmero de segundos de intentos DAD antes de

indicar el fallo (intervalo 1-10 segundos, predeterminado 1).
Palo Alto Networks

Campo
Configurado en
Descripcin
Habilitar anuncio
de enrutador
Interfaz de
Ethernet > IPv6
Para proporcionar la configuracin automtica de direcciones sin

estado (SLAAC) en interfaces IPv6, active esta casilla de verificacin
y configure los otros campos de esta seccin. Los clientes que
reciben mensajes de anuncio de enrutador (RA) utilizan esta
informacin.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estn configurados
estticamente y proporcionar al host un prefijo IPv6 que se puede
utilizar para la configuracin de direcciones. Puede utilizar un
servidor DHCPv6 independiente junto con esta funcin para
proporcionar DNS y otros ajustes a los clientes.
Esta opcin es un ajuste global de la interfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en
Aadir en la tabla de direcciones IP y configure la direccin (para
obtener detalles, consulte Direccin en esta tabla). Si establece las
opciones de RA para cualquier direccin IP, debe seleccionar la
opcin Habilitar anuncio de enrutador para la interfaz.
Mn. de intervalo
(segundos)
Interfaz de
Ethernet > IPv6
Especifique el intervalo mnimo (en segundos) entre los distintos

RA que el cortafuegos enviar (intervalo 3-1350, predeterminado
200). El cortafuegos enviar los RA en intervalos aleatorios entre los
valores mnimo y mximo que configure.
Mx. de intervalo
(segundos)
Interfaz de
Ethernet > IPv6
Especifique el intervalo mximo (en segundos) entre los distintos

Lmite de salto
Interfaz de
Ethernet > IPv6
Especifique el lmite de salto que se debe aplicar a los clientes en los

paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca
0 si no desea ningn lmite de salto.
MTU de enlace
Interfaz de
Ethernet > IPv6
Especifique la unidad mxima de transmisin (MTU) del enlace que

se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).
Tiempo alcanzable
(ms)
Interfaz de
Ethernet > IPv6
Especifique el tiempo alcanzable (en milisegundos) que el cliente

utilizar para asumir que un vecino es alcanzable despus de recibir
un mensaje de confirmacin de esta condicin. Seleccione
no especificado si no desea establecer ningn valor de tiempo
alcanzable (intervalo 0-3600000, predeterminado no especificado).
Tiempo de
retransmisin (ms)
Interfaz de
Ethernet > IPv6
Especifique el temporizador de retransmisin que determinar

cunto tiempo debe esperar el cliente (en milisegundos) antes de
retransmitir los mensajes de solicitacin de vecinos. Seleccione
no especificado si no desea ningn tiempo de retransmisin
(intervalo 0-4294967295, predeterminado no especificado).
Duracin de
enrutador (segundos)
Interfaz de
Ethernet > IPv6
Especifique la duracin (en segundos) que el cliente utilizar el

cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duracin,
el cliente elimina la entrada del cortafuegos de la lista de ruta
predeterminada y utiliza otro enrutador como puerta de enlace
predeterminada.
Palo Alto Networks

Campo
Configurado en
Descripcin
Preferencia
de enrutador
Interfaz de
Ethernet > IPv6
Si el segmento de la red tiene mltiples enrutadores de IPv6,

el cliente utiliza este campo para seleccionar un enrutador
preferido. Seleccione si el RA publica el enrutador del cortafuegos
con prioridad Alta, Media (predeterminada) o Baja en relacin con
otros enrutadores del segmento.
Configuracin
gestionada
Interfaz de
Ethernet > IPv6
Seleccione la casilla de verificacin para indicar al cliente que las

direcciones estn disponibles en DHCPv6.
Otras
configuraciones
Interfaz de
Ethernet > IPv6
Seleccione esta casilla de verificacin para indicar al cliente que hay

disponible otra informacin de direccin (por ejemplo, ajustes
relacionados con DNS) a travs de DHCPv6.
Comprobacin
de coherencia
Interfaz de
Ethernet > IPv6
Seleccione esta casilla de verificacin si desea que el cortafuegos

verifique que los RA enviados desde otros enrutadores estn
publicando informacin coherente en el enlace. El cortafuegos enva
logs sobre cualquier incoherencia.
Palo Alto Networks

Para cada puerto Ethernet configurado como interfaz fsica de capa 3, puede definir interfaces
adicionales lgicas de capa 3 (subinterfaces).
Para configurar una subinterfaz de capa 3, Configure la interfaz de capa 3, seleccione una
fila de interfaz fsica asociada, haga clic en Aadir subinterfaz y especifique la siguiente
informacin.
Tabla 66. Configuracin de subinterfaz de capa 3

Campo
Configurado en
Descripcin
Nombre de interfaz
Subinterfaz
de capa3
El campo Nombre de interfaz de solo lectura muestra el nombre de la

interfaz fsica que ha seleccionado. En el campo adyacente,
introduzca un sufijo numrico (1-9999) para identificar la subinterfaz.
Comentarios
Subinterfaz
de capa3
Etiqueta
Subinterfaz
de capa3
Subinterfaz
de capa3
Si quiere exportar el trfico IP unidireccional que atraviesa una

subinterfaz de entrada a un servidor NetFlow, seleccione el perfil
del servidor o haga clic en Perfil de flujo de red para definir un
nuevo perfil (consulte Configuracin de ajustes de flujo de red).
Si selecciona Ninguno, se elimina la asignacin de servidor
NetFlow actual de la subinterfaz.
Enrutador virtual
Subinterfaz
de capa3 >
Configurar
Asigne un enrutador virtual a la interfaz o haga clic en el enlace

Enrutador virtual para definir uno nuevo (consulte Configuracin
de un enrutador virtual). Si selecciona Ninguno, se elimina la
asignacin del enrutador virtual actual de la interfaz.
Sistema virtual
Subinterfaz
de capa3 >
Configurar
Si el cortafuegos admite mltiples sistemas virtuales y que la

capacidad se ha habilitado, seleccione un sistema virtual (vsys) para
la subinterfaz o haga clic en el enlace Sistema virtual para definir
un nuevo vsys.
Zona de seguridad
Subinterfaz
de capa3 >
Configurar
Seleccione una zona de seguridad para la interfaz o haga clic en el

enlace Zona para definir una nueva zona. Si selecciona Ninguno,
se elimina la asignacin de zona actual de la subinterfaz.
Perfil de gestin
Subinterfaz
de capa3 >
Avanzado >
Otra informacin
Perfil de gestin: seleccione un perfil que defina los protocolos

(por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el
cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la
asignacin de perfil actual de la interfaz.
MTU
Subinterfaz
de capa3 >
Avanzado >
Otra informacin
Introduzca la unidad mxima de transmisin (MTU) en bytes para

los paquetes enviados en esta interfaz (576-9192, opcin
predeterminada 1500). Si las mquinas de ambos extremos del
cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD)
y la interfaz recibe un paquete que supera la MTU, el cortafuegos
enva al origen un mensaje de necesidad de fragmentacin del ICMP
que indica que el paquete es demasiado grande.
Palo Alto Networks
Tabla 66. Configuracin de subinterfaz de capa 3 (Continuacin)

Campo
Configurado en
Descripcin
Ajustar TCP MSS
Subinterfaz
de capa3 >
Avanzado >
Otra informacin
Active esta casilla de verificacin si desea ajustar el tamao de

segmento mximo (MSS) en 40 bytes menos que la MTU de la
interfaz. Esta configuracin est destinada a aquellas situaciones en
las que un tnel que atraviesa la red necesita un MSS de menor
tamao. Si un paquete no cabe en el MSS sin fragmentarse, este
parmetro permite ajustarlo.
Direccin IP
Subinterfaz
de capa3 >
Avanzado >
Entradas de ARP
Para aadir una o ms entradas estticas del protocolo de

resolucin de direccin (ARP), haga clic en Aadir y, a
continuacin, introduzca una direccin IP y la direccin del
hardware asociado (Media Access Control o MAC). Para eliminar
una entrada, seleccinela y haga clic en Eliminar. Las entradas ARP
estticas reducen el procesamiento ARP e impiden los ataques de
man in the middle de las direcciones especificadas.
Subinterfaz
de capa3 >
Avanzado >
Entradas de ND

introduzca la direccin IP y MAC del vecino.
Subinterfaz
de capa3 >
Avanzado >
Proxy NDP
Haga clic para activar el proxy de protocolo de deteccin de vecinos

(NDP) para la interfaz. El cortafuegos no responder a los paquetes
ND que solicitan direcciones MAC para direcciones IPv6 en esta
lista. En la respuesta ND, el cortafuegos enva su propia direccin
MAC para la interfaz, de modo que el cortafuegos recibir paquetes
dirigidos a las direcciones en la lista.
Direccin MAC
Direccin IPv6
Direccin MAC
Habilitar Proxy NDP
Se recomienda que habilite el Proxy NDP si usa traduccin de

prefijo de red IPv6 (NPTv6).
Si se selecciona la casilla de verificacin Habilitar Proxy NDP,
puede filtrar numerosas entradas Direccin introduciendo un
filtro y haciendo clic en el icono Aplicar filtro (la flecha gris).
Direccin
Subinterfaz
de capa3 >
Avanzado >
Proxy NDP

intervalos de IP, subredes IPv6 u objetos de direcciones para las que
el cortafuegos actuar como el Proxy NDP. Idealmente, una de estas
direcciones es la misma que la traduccin de origen en NPTv6.
El orden de las direcciones es indiferente.
Si la direccin es una subred, el cortafuegos enviar una respuesta
ND para todas las direcciones de la subred, por lo que le
recomendamos que agregue tambin los vecinos IPv6 del
cortafuegos y haga clic en la casilla de verificacin Negar para
indicar al cortafuegos que no responda a estas direcciones IP.
Negar
Palo Alto Networks
Subinterfaz
de capa3 >
Avanzado >
Proxy NDP

evitar el Proxy NDP de esa direccin. Puede negar un subconjunto
del intervalo de direccin IP o subred IP especificado.

Campo
Configurado en
Descripcin

Tipo
Subinterfaz de
capa3 > IPv4
Seleccione el mtodo para asignar un tipo de direccin IPv4 a la

subinterfaz:
Cliente DHCP: permite a la subinterfaz actuar como cliente del
protocolo de configuracin de host dinmico (DHCP) y recibir
una direccin IP dinmicamente asignada.
Note: Los cortafuegos que estn en modo de alta disponibilidad (HA)
activo/activo no admiten el cliente DHCP.
Las opciones que se muestran en la pestaa variarn segn su
seleccin de mtodo de direccin IP.

IP
Subinterfaz de
capa3 > IPv4
Haga clic en Aadir y, a continuacin, realice uno de los siguientes

pasos para especificar una direccin IP y una mscara de red para la
interfaz.
Introduzca la entrada en la notacin de enrutamiento entre dominios sin clases (CIDR): direccin_ip/mscara (por ejemplo,
Puede introducir mltiples direcciones IP para la interfaz. La base
de informacin de reenvo (FIB) que utiliza su sistema determina el
nmero mximo de direcciones IP.
Eliminar.

Habilitar
Subinterfaz de
capa3 > IPv4
Seleccione la casilla de verificacin para activar el cliente DHCP en

la interfaz.
Crear
automticamente
ruta predeterminada
que apunte a la
puerta de enlace
predeterminada
servidor
Subinterfaz de
capa3 > IPv4
Seleccione la casilla de verificacin para que se cree

automticamente una ruta predefinida que apunte a la puerta de
enlace predeterminada por el servidor DHCP.
Mtrica de ruta
predeterminada
Subinterfaz de
capa3 > IPv4
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de

forma optativa una mtrica de ruta (nivel prioritario) que se asocie a
la ruta predeterminada y que se utilice para la seleccin de ruta
(intervalo 1-65535, no predeterminada). El nivel de prioridad
aumenta conforme disminuye el valor numrico.
Mostrar informacin
de tiempo de
ejecucin de cliente
DHCP
Subinterfaz de
capa3 > IPv4
Haga clic en este botn para mostrar todos los ajustes recibidos
desde el servidor DHCP, incluidos el estado de concesin de DHCP,
la asignacin de IP dinmica, la mscara de subred, la puerta de
enlace, la configuracin del servidor (DNS, NTP, dominio, WINS,
NIS, POP3 y SMTP).
Palo Alto Networks

Campo
Configurado en
Descripcin

Habilitar IPv6 en la
interfaz
Subinterfaz de
capa3 > IPv6
Seleccione esta casilla de verificacin para habilitar las direcciones

IPv6 en esta interfaz.
ID de interfaz
Subinterfaz de
capa3 > IPv6
Introduzca el identificador nico ampliado de 64 bits (EUI-64) en

formato hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja
este campo en blanco, el cortafuegos utilizar el EUI-64 generado
desde la direccin MAC de la interfaz fsica. Si activa la opcin
Usar ID de interfaz como parte de host cuando se aade una
direccin, el cortafuegos utiliza el ID de interfaz como la parte de
host de esa direccin.
Direccin
Subinterfaz de
capa3 > IPv6
Haga clic en Aadir y configure los siguientes parmetros para cada

una de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo
(p. ej., 2001:400:f00::1/64). Tambin puede seleccionar un objeto
de direccin IPv6 existente o hacer clic en Direccin para crear un
objeto de direccin.
Habilitar direccin en interfaz: Haga clic aqu para habilitar la
direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: Active esta casilla de
verificacin para utilizar el ID de interfaz como parte de host de
la direccin IPv6.
Difusin por proximidad: Haga clic aqu para incluir el enrutador
mediante el nodo ms cercano.
Enviar anuncio de enrutador: Haga clic aqu para habilitar el
anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la interfaz.) Si desea informacin sobre el RA, consulte
Habilitar anuncio de enrutador en esta tabla.
considera vlida la direccin. La duracin vlida debe ser igual
o superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se
prefiere la direccin vlida, lo que significa que el cortafuegos
la puede utilizar para enviar y recibir trfico. Cuando caduca la
duracin preferida, el cortafuegos deja de poder utilizar la
direccin para establecer nuevas conexiones, pero cualquier
conexin existente es vlida hasta que caduque la duracin
vlida. El valor predeterminado es de 604800.
Enlace activo: Haga clic aqu si los sistemas que tienen
direcciones en el prefijo se pueden alcanzar sin necesidad de un
enrutador.
Autnomo: Haga clic aqu si los sistemas pueden crear de
forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Habilitar deteccin
de direcciones
duplicadas
Subinterfaz de
capa3 > IPv6

direccin duplicada (DAD) y, a continuacin, configure los otros
campos de esta seccin.
Intentos DAD
Subinterfaz de
capa3 > IPv6
Especifique el nmero de intentos DAD en el intervalo de

solicitacin de vecinos (Intervalo NS) antes de que falle el intento
de identificar vecinos (intervalo 1-10, predeterminado 1).
Palo Alto Networks

Campo
Configurado en
Descripcin
Tiempo alcanzable
Subinterfaz de
capa3 > IPv6

Intervalo NS
(intervalo de
solicitacin de
vecinos)
Subinterfaz de
capa3 > IPv6
Especifique el nmero de segundos de intentos DAD antes de

indicar el fallo (intervalo 1-10 segundos, predeterminado 1).
Habilitar anuncio de
enrutador
Subinterfaz de
capa3 > IPv6
Para proporcionar la configuracin automtica de direcciones sin

estado (SLAAC) en interfaces IPv6, active esta casilla de verificacin
y configure los otros campos de esta seccin. Los clientes que
reciben mensajes de anuncio de enrutador (RA) utilizan esta
informacin.
predeterminada para hosts IPv6 que no estn configurados
estticamente y proporcionar al host un prefijo IPv6 que se puede
utilizar para la configuracin de direcciones. Puede utilizar un
servidor DHCPv6 independiente junto con esta funcin para
proporcionar DNS y otros ajustes a los clientes.
opciones de RA para direcciones IP individuales, haga clic en
Aadir en la tabla de direcciones IP y configure la direccin (para
obtener detalles, consulte Direccin en esta tabla). Si establece las
opciones de RA para cualquier direccin IP, debe seleccionar la
opcin Habilitar anuncio de enrutador para la interfaz.
Mn. de intervalo
(segundos)
Subinterfaz de
capa3 > IPv6
Especifique el intervalo mnimo (en segundos) entre los distintos

Mx. de intervalo
(segundos)
Subinterfaz de
capa3 > IPv6
Especifique el intervalo mximo (en segundos) entre los distintos

Lmite de salto
Subinterfaz de
capa3 > IPv6

paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca
0 si no desea ningn lmite de salto.
MTU de enlace
Subinterfaz de
capa3 > IPv6
Especifique la unidad mxima de transmisin (MTU) del enlace que

se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).
Tiempo alcanzable
(ms)
Subinterfaz de
capa3 > IPv6
Especifique el tiempo alcanzable (en milisegundos) que el cliente

utilizar para asumir que un vecino es alcanzable despus de recibir
un mensaje de confirmacin de esta condicin. Seleccione
no especificado si no desea establecer ningn valor de tiempo
alcanzable (intervalo 0-3600000, predeterminado no especificado).
Tiempo de
retransmisin (ms)
Subinterfaz de
capa3 > IPv6
Especifique el temporizador de retransmisin que determinar

cunto tiempo debe esperar el cliente (en milisegundos) antes de
retransmitir los mensajes de solicitacin de vecinos. Seleccione
no especificado si no desea ningn tiempo de retransmisin
(intervalo 0-4294967295, predeterminado no especificado).
Palo Alto Networks
Configuracin de una interfaz de cable virtual (Virtual Wire)

Campo
Configurado en
Descripcin
Duracin de
enrutador (segundos)
Subinterfaz de
capa3 > IPv6

cortafuegos como puerta de enlace predeterminada (intervalo
0-9000, predeterminado 1800). Un valor cero especifica que el
cortafuegos no es la puerta de enlace predeterminada. Cuando
acaba la duracin, el cliente elimina la entrada del cortafuegos de la
lista de ruta predeterminada y utiliza otro enrutador como puerta
de enlace predeterminada.
Preferencia de
enrutador
Subinterfaz de
capa3 > IPv6
Si el segmento de la red tiene mltiples enrutadores de IPv6, el

cliente utiliza este campo para seleccionar un enrutador preferido.
Seleccione si el RA publica el enrutador del cortafuegos con
prioridad Alta, Media (predeterminada) o Baja en relacin con
otros enrutadores del segmento.
Configuracin
gestionada
Subinterfaz de
capa3 > IPv6

Otras
configuraciones
Subinterfaz de
capa3 > IPv6

relacionados con DNS) a travs de DHCPv6.
Comprobacin de
coherencia
Subinterfaz de
capa3 > IPv6
Seleccione esta casilla de verificacin si desea que el cortafuegos

verifique que los RA enviados desde otros enrutadores estn
publicando informacin coherente en el enlace. El cortafuegos enva
logs sobre cualquier incoherencia.

Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet, permitiendo que pase todo
el trfico entre los puertos, o solo el trfico con etiquetas VLAN seleccionadas (no hay disponible
ningn otro servicio de enrutamiento o conmutacin). Tambin puede crear subinterfaces de cable
virtual y clasificar el trfico en funcin de una direccin o intervalo IP, o una subred. Un cable
virtual no requiere ningn tipo de cambio en los dispositivos de red adyacentes.
Para configurar un cable virtual (Virtual Wire) en el cortafuegos, primero debe definir las
interfaces Virtual Wire, tal y como se describe en el siguiente procedimiento y, a continuacin,
crear el cable virtual usando las interfaces que ha creado.
1.
Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
2.
Haga clic en el nombre de la interfaz y especifique la siguiente informacin.
Tabla 67. Configuracin de interfaces de cable virtual (Virtual Wire)

Campo
Configurado en
Descripcin
Nombre de
interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Seleccione Virtual Wire.
Palo Alto Networks
Tabla 67. Configuracin de interfaces de cable virtual (Virtual Wire) (Continuacin)

Campo
Configurado en
Descripcin
Virtual Wire
Interfaz de
Ethernet >
Configurar
Seleccione un cable virtual o haga clic en el enlace Virtual Wire para

definir uno nuevo (consulte Definicin de cables virtuales (Virtual
Wires)). Si selecciona Ninguno, se elimina la asignacin del cable virtual
Sistema virtual
Interfaz de
Ethernet >
Configurar

Zona de
seguridad
Interfaz de
Ethernet >
Configurar

Velocidad de
enlace
Interfaz de
Ethernet >
Avanzado

Dplex de
enlace
Interfaz de
Ethernet >
Avanzado

Estado de
enlace
Interfaz de
Ethernet >
Avanzado

Habilitar LLDP
Interfaz de
Ethernet >
Avanzado >
LLDP
Seleccione esta opcin para habilitar Protocolo de deteccin de nivel de

enlace (LLDP) en la interfaz. Funciones LLDP en la capa de enlace para
descubrir dispositivos vecinos y sus capacidades.
Perfil
Interfaz de
Ethernet >
Avanzado >
LLDP
Si LLDP est activada, seleccione un perfil LLDP para asignar a la interfaz

o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte
Definicin de perfiles LLDP). La seleccin de Ninguno provoca que el
cortafuegos use los valores predeterminados globales.
Palo Alto Networks
Configuracin de una subinterfaz de cable virtual (Virtual Wire)
Configuracin de una subinterfaz de cable virtual (Virtual Wire)

Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el trfico segn las
etiquetas VLAN o una combinacin de etiqueta VLAN y clasificador IP, asignar el trfico
etiquetado a una zona y sistema virtual diferentes y, a continuacin, aplicar polticas de
seguridad para el trfico que coincida con los criterios definidos.
Para aadir una subinterfaz de cable virtual, Configuracin de una interfaz de cable virtual
(Virtual Wire), seleccione una fila de interfaz fsica asociada, haga clic en Aadir subinterfaz
y especifique la siguiente informacin.
Tabla 68. Configuracin de subinterfaces de cable virtual (Virtual Wire)

Campo
Descripcin
Nombre
de interfaz
El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz fsica que ha
seleccionado. En el campo adyacente, introduzca un sufijo numrico (1-9999) para identificar la
subinterfaz.
Comentarios
Etiqueta
Perfil de flujo
de red
Si quiere exportar el trfico IP unidireccional que atraviesa una subinterfaz de entrada a un

servidor NetFlow, seleccione el perfil del servidor o haga clic en Perfil de flujo de red para
definir un nuevo perfil (consulte Configuracin de ajustes de flujo de red). Si selecciona
Ninguno, se elimina la asignacin de servidor NetFlow actual de la subinterfaz.
Clasificador IP
Haga clic en Aadir para introducir una direccin IP, intervalo IP o subred para clasificar el
trfico en esta subinterfaz de cable virtual.
Virtual Wire
Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo
(consulte Definicin de cables virtuales (Virtual Wires)). Si selecciona Ninguno, se elimina la
asignacin del enrutador virtual actual de la subinterfaz.
Sistema virtual
Si el cortafuegos admite mltiples sistemas virtuales y que la capacidad se ha habilitado,

seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual
para definir un nuevo vsys.
Zona de
seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una
nueva zona. Si selecciona Ninguno, se elimina la asignacin de zona actual de la subinterfaz.
Configuracin de una interfaz de Tap

Puede usar una interfaz de Tap para supervisar el trfico en un puerto.
Para configurar una interfaz de Tap, haga clic en el nombre de una interfaz (ethernet1/1,
por ejemplo) que no est configurada y especifique la siguiente informacin.
Palo Alto Networks
Tabla 69. Configuracin de interfaz de Tap

Campo
Configurado
en
Nombre
de interfaz
Interfaz
Ethernet
Comentarios
Interfaz
Ethernet
Tipo de interfaz
Interfaz
Ethernet
Seleccione Tap.
Perfil de flujo
de red
Interfaz
Ethernet
Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz de

entrada a un servidor NetFlow, seleccione el perfil del servidor o haga clic
en Perfil de flujo de red para definir un nuevo perfil (consulte
Configuracin de ajustes de flujo de red). Si selecciona Ninguno,
se elimina la asignacin del servidor NetFlow actual de la interfaz.
Descripcin

Sistema virtual
Interfaz de
Ethernet >
Configurar

Zona de
seguridad
Interfaz de
Ethernet >
Configurar

Velocidad
de enlace
Interfaz de
Ethernet >
Avanzado

Dplex de
enlace
Interfaz de
Ethernet >
Avanzado

Estado de
enlace
Interfaz de
Ethernet >
Avanzado


En un cortafuegos PA-7000, un puerto de datos debe tener un tipo de interfaz Tarjeta de log.
Esto se debe a que las funciones de trfico y logs de esta plataforma superan las del puerto de
gestin. Un puerto de datos de tarjeta de log realiza el reenvo de logs para syslog, correo
electrnico, Protocolo simple de administracin de redes (SNMP) y reenvo de archivos
WildFire. Solo un puerto del cortafuegos puede ser una interfaz de tarjeta de log. Si activa el
reenvo de logs pero no configura ninguna interfaz como la tarjeta de log, se produce un error
de compilacin.
Para configurar una interfaz de tarjeta de log, haga clic en el nombre de una interfaz
(ethernet1/16, por ejemplo) que no est configurada y especifique la siguiente informacin.
Palo Alto Networks
Tabla 70. Configuracin de la interfaz de tarjeta de log

Campo
Configurado en
Descripcin
Ranura
Interfaz Ethernet
Seleccione el nmero de ranura (1-12) de la interfaz.
Nombre de
interfaz
Interfaz Ethernet
Comentarios
Interfaz Ethernet
Tipo de interfaz
Interfaz Ethernet
Seleccione Tarjeta de log.
IPv4
Interfaz
Ethernet >
Reenvo de
tarjeta de log
Si su red use IPv4, defina lo siguiente:
Interfaz
Ethernet >
Reenvo de
tarjeta de log
Velocidad de
enlace
Interfaz de
Ethernet >
Avanzado

Dplex de
enlace
Interfaz de
Ethernet >
Avanzado

Estado de
enlace
Interfaz de
Ethernet >
Avanzado

IPv6
Direccin IP: Direccin IPv4 del puerto.

Mscara de red: Mscara de red para la direccin IPv4 del puerto.
Puerta de enlace predeterminada: Direccin IPv4 de la puerta de enlace
para el puerto.
Puerta de enlace predeterminada: Direccin IPv6 de la puerta de enlace
predeterminada para el puerto.

Para aadir una subinterfaz de tarjeta de log, Configuracin de una interfaz de tarjeta de
log, seleccione una fila de interfaz fsica asociada, haga clic en Aadir subinterfaz y
especifique la siguiente informacin.
Tabla 71. Configuracin de la subinterfaz de tarjeta de log

Campo
Configurado en
Descripcin
Nombre de
interfaz
Subinterfaz LPC
El campo Nombre de interfaz de solo lectura muestra el nombre de la

interfaz de tarjeta log que ha seleccionado. En el campo adyacente,
introduzca un sufijo numrico (1-9999) para identificar la subinterfaz.
Comentarios
Subinterfaz LPC
Etiqueta
Subinterfaz LPC
Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. Lo mejor es

hacer que la etiqueta sea igual al nmero de subinterfaz para una mayor
facilidad de uso.
Palo Alto Networks
Configuracin de una interfaz de reflejo de descifrado
Tabla 71. Configuracin de la subinterfaz de tarjeta de log (Continuacin)

Campo
Configurado en
Descripcin
Sistema virtual
Subinterfaz
LPC > Configurar
Seleccione el sistema virtual (vsys) al que se asigna la subinterfaz de

tarjeta de procesamiento de log (LPC). Alternativamente, puede hacer clic
en el enlace Sistemas virtuales para aadir un nuevo vsys. Cuando una
subinterfaz LPC se asigna a vsys, esa interfaz se usa como interfaz fuente
para todos los servicios que enva logs (syslog, correo electrnico, SNMP)
desde la tarjeta de log.
IPv4
Interfaz
Ethernet >
Reenvo de
tarjeta de log
Interfaz
Ethernet >
Reenvo de
tarjeta de log
IPv6

Mscara de red: La mscara de red para la direccin IPv4 del puerto.
Puerta de enlace predeterminada: La direccin IPv4 del puerto de
enlace predeterminado para el puerto.
Puerta de enlace predeterminada: La direccin IPv6 del puerto de
enlace predeterminado al puerto.
Configuracin de una interfaz de reflejo de descifrado

Para utilizar la funcin Reflejo de puerto de descifrado, debe seleccionar el tipo de la interfaz
Reflejo de descifrado. Esta funcin permite crear una copia del trfico descifrado desde un
cortafuegos y enviarla a una herramienta de recopilacin de trfico que pueda recibir capturas
de paquetes sin formato (como NetWitness o Solera) para su archivo o anlisis. Aquellas
organizaciones que necesitan la captura integral de datos con fines forenses o histricos o para
prevenir la fuga de datos (DLP) necesitan esta funcin. El reflejo del puerto de descifrado solo
est disponible en los cortafuegos de las series PA-7000, PA-5000 y PA-3000. Para permitir la
funcin, debe adquirir e instalar la licencia gratuita.
Para configurar una interfaz de reflejo de descifrado, haga clic en el nombre de una interfaz
(ethernet1/1, por ejemplo) que no est configurada y especifique la siguiente informacin.
Palo Alto Networks
Configuracin de los grupos de interfaces de agregacin
Tabla 72. Configuracin de interfaz de reflejo de descifrado

Campo
Descripcin
Nombre de
interfaz
Comentarios
Tipo de interfaz
Seleccione Reflejo de descifrado.
Velocidad de
enlace
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) o seleccione auto para
que el cortafuegos determine automticamente la velocidad.
Dplex de
enlace

Estado de
enlace
Seleccione si el estado de la interfaz es activada (Arriba), desactivada (abajo) o

determinado automticamente (auto).

Un grupo de interfaces de agregacin le permite combinar varias interfaces Ethernet usando
la agregacin de enlace IEEE 802.1AX. Puede agregar XFP de 1 Gbps o 10 Gbps y Ethernet de
SPF+. La interfaz de agregacin que cree se convertir en una interfaz lgica. Las siguientes
propiedades pertenecen a la interfaz lgica, no a las interfaces subyacentes fsicas:
asignaciones de configuracin (sistema virtual, enrutador virtual, cable virtual, VLAN, zona
de seguridad), direcciones IP, perfil de gestin, configuracin de Protocolo de control de
agregacin de enlace (LACP), entradas de Protocolo de resolucin de direcciones (ARP) y
entradas de Deteccin de vecinos (ND). Por lo tanto, una vez creado el grupo, realice
operaciones como configurar parmetros de capa 2 o capa 3 en el grupo de agregacin en
lugar de en interfaces individuales.
Las siguientes reglas se aplican a los grupos de agregacin:
En un grupo, los enlaces de 1 Gbps deben ser completamente de cobre o de fibra.

Un grupo puede tener hasta 8 interfaces.
Los grupos de agregacin admiten HA, cable virtual, interfaces de capa 2 o capa 3. En un
grupo, todas las interfaces deben ser del mismo tipo. PAN-OS valida esto durante la
operacin de compilacin.
Puede usar grupos de agregacin para el escalado de la redundancia y rendimiento en el

enlace HA3 (reenvo de paquetes) en implementaciones de HA Activo/Activo. La
compatibilidad para HA3 est limitada a los cortafuegos de las series PA-500, PA-3000,
PA-4000 y PA-5000.
Si activa LACP para un grupo de agregacin, la compatibilidad se limita a las interfaces

HA3, de capa 2 capa 3. No puede habilitar LACP para interfaces de cable virtual. La
compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos de
las series PA-500, PA-3000, PA-4000, PA-5000 y PA-7000.
Para configurar un grupo de agregacin, haga clic en Aadir grupo de agregacin y
especifique la informacin en la siguiente tabla. A continuacin, asigne interfaces al grupo
segn lo descrito en Configuracin una interfaz de agregacin.
Palo Alto Networks
Tabla 73. Agregar configuracin de grupo de interfaz

Campo
Configurado en
Descripcin
Nombre de
interfaz
Agregar interfaz
Ethernet
El campo Nombre de interfaz de solo lectura se define como ae. En el

campo adyacente introduzca un sufijo numrico (1-8) para identificar el
grupo agregado.
Comentarios
Agregar interfaz
Ethernet
Tipo de interfaz
Agregar interfaz
Ethernet
Seleccione el tipo de interfaz, que controla los requisitos de configuracin

y opciones que quedan:
HA: solo debe seleccionar esta opcin si la interfaz es un enlace de HA3
entre dos cortafuegos en una implementacin activa/activa. Tambin
puede seleccionar un Perfil de flujo de red y configurar la pestaa
LACP como se describe abajo.
Virtual Wire: Tambin puede seleccionar un Perfil de flujo de red, y
configurar las pestaas Configurar y Avanzado tal y como se describe
en la Tabla 67.
Capa 2: Puede seleccionar un Perfil de flujo de red; configurar las pestaas Configurar y Avanzado como se en la Tabla 63; tambin puede
configurar la pestaa LACP como se describe a continuacin.
Capa 3: Tambin puede seleccionar un Perfil de flujo de red; configurar
las pestaas Configurar, IPv4 o IPv6 y Avanzado como se describe en la
Tabla 65; as como configurar las pestaas LACP que se describen abajo.
Perfil de flujo de
red
Agregar interfaz
Ethernet

Configuracin de ajustes de flujo de red). Si selecciona Ninguno se
eliminar la asignacin del servidor actual NetFlow desde el grupo de
interfaz agregado.
Habilitar LACP
Agregar interfaz
Ethernet > LACP
Seleccione esta casilla de verificacin si desea habilitar el Protocolo de

control de agregacin de grupo (LACP) para el grupo de agregacin.
LACP est deshabilitada de manera predeterminada.
Modo
Agregar interfaz
Ethernet > LACP
Seleccione el modo de LACP del cortafuegos. Entre cualquier par de peers

LACP, se recomienda que uno sea activo y otro pasivo. LACP no puede
funcionar si los dos peers son pasivos.
Activo: el cortafuegos consulta de forma activa el estado del LACP
(disponible o sin respuesta) de dispositivos de peer.
Pasivo (predeterminado): el cortafuegos responde pasivamente a las
consultas de estado del LACP procedentes de los dispositivos peer.
Velocidad de
transmisin
Agregar interfaz
Ethernet > LACP
Seleccione la velocidad con la que el cortafuegos intercambia consultas y

responde a los dispositivos peer.
Rpido: cada segundo
Lento: cada 30 segundos (este es el ajuste predeterminado)
Conmutacin
rpida
Agregar interfaz
Ethernet > LACP
Seleccione esta casilla de verificacin si, cuando una interfaz tenga un

fallo, quiere que el cortafuegos cambie a una interfaz operativa en
1 segundo. De lo contrario, el fallo se produce a la velocidad estndar
definida en IEEE 802.1AX (al menos tres segundos).
Palo Alto Networks
Tabla 73. Agregar configuracin de grupo de interfaz (Continuacin)

Campo
Configurado en
Descripcin
Prioridad del
sistema
Agregar interfaz
Ethernet > LACP
Nmero que determina si el cortafuegos o su peer sobrescribe el otro con

respecto a las prioridades del puerto (consulte la descripcin del campo
Puertos mx. que aparece a continuacin). Observe que cuanto ms bajo
es el nmero, ms alta es la prioridad. El intervalo es 1-65535 y el valor
Puertos mx.
Agregar interfaz
Ethernet > LACP
Nmero de interfaces (1-8) que pueden ser activas en cualquier momento

en un grupo de agregacin del LACP. El valor no puede superar el
nmero de interfaces asignadas al grupo. Si el nmero de interfaces
asignadas supera el nmero de interfaces activas, el cortafuegos utiliza las
prioridades del puerto de las interfaces para determinar cules estn en
modo de espera. Puede establecer prioridades de puerto al configurar
interfaces individuales para el grupo.
Misma
direccin MAC
del sistema para
modo ActivoPasivo de HA
Agregar interfaz
Ethernet > LACP
Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo

valor de prioridad del sistema. Sin embargo, en una implementacin
activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto,
dependiendo de si asigna o no la misma direccin MAC. Cuando los peers
del LACP (tambin en modo de HA) se virtualizan (apareciendo para la
red como un dispositivo nico), usando la misma direccin MAC del
sistema para los cortafuegos, se recomienda minimizar la latencia durante
el fallo. Cuando los peers del LACP no se virtualizan, usando la direccin
MAC nica de cada cortafuegos, se recomienda minimizar la latencia del
fallo. Si los cortafuegos no estn en modo de HA activo/pasivo, PAN-OS
ignora este campo. (Los cortafuegos de una implementacin activa/activa
requieren direcciones MAC nicas, de forma que PAN-OS las asigne
automticamente.)
LACP utiliza la direccin MAC para derivar un ID de sistema a cada peer
del LACP. Si el par del cortafuegos y el par de peers tienen valores de
prioridad del sistema idnticos, el LACP utiliza los valores de ID del
sistema para determinar qu cancela al otro con respecto a las prioridades
del puerto. Si ambos cortafuegos tienen la misma direccin MAC, ambos
tendrn el mismo ID del sistema, que ser mayor o menor que el ID del
sistema de los peers del LACP. Si los cortafuegos de HA tienen direcciones
MAC nicas, es posible que uno tenga un ID del sistema mayor que los
peers del LACP y el otro un ID del sistema menor. En este caso, cuando el
fallo se produzca en los cortafuegos, la prioridad de puerto cambia entre
los peers del LACP y el cortafuegos que se activa.
Direccin MAC
Palo Alto Networks
Agregar interfaz
Ethernet > LACP
Si ha activado Usar la misma direccin MAC del sistema, seleccione una

direccin MAC generada por el sistema, o introduzca la suya propia, para
ambos cortafuegos del par de HA. Debe verificar que la direccin es nica
globalmente.

Para configurar una interfaz Ethernet agregado, Configuracin de los grupos de interfaces de
agregacin y haga clic en el nombre de la interfaz que asignar al grupo agregado.
La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregacin
(por ejemplo, Capa3), aunque cambiar el tipo a Agregar Ethernet cuando la configure.
Especifique la siguiente informacin para la interfaz.
Si activa el protocolo de control de agregacin de enlaces (LACP) para el grupo de
agregacin, se recomienda seleccionar la misma Velocidad de enlace y Dplex de
enlace para cada interfaz del grupo. Para los valores que no coinciden, la operacin
de compilacin muestra un aviso y PAN-OS activa el valor predeterminado de la
velocidad ms alta y dplex completo.
Tabla 74. Configuracin de interfaz de Ethernet de agregacin

Campo
Descripcin
Nombre de
interfaz
Comentarios
Tipo de interfaz
Seleccione Agregar Ethernet.
Agregar grupo
Asigne la interfaz a un grupo de agregacin.
Velocidad de
enlace
Dplex de
enlace

Estado de
enlace

Prioridad de
puerto LACP
El cortafuegos solo utiliza este campo si ha activado el Protocolo de control de

agregacin de grupo (LACP) para el grupo de agregacin. Un grupo de
agregacin podra tener ms interfaces de las que admite en los estados activos.
(En la configuracin del grupo de agregacin, el parmetro Puertos mx.
determina el nmero de interfaces activas). En este caso, la prioridad de puerto
asignada a cada interfaz determina si est activa o en espera. Cuanto ms bajo es
el valor numrico, ms alta es la prioridad. El intervalo es 1-65535 y el valor
Configuracin de una interfaz HA

Todas las interfaces de alta disponibilidad (HA) tienen una funcin especfica: una interfaz se
utiliza para la sincronizacin de la configuracin y latidos y la otra interfaz se utiliza para la
sincronizacin del estado. Si se activa la alta disponibilidad activa/activa, el cortafuegos
puede usar una tercera interfaz de HA para reenviar los paquetes.
Palo Alto Networks
Algunos cortafuegos de Palo Alto Networks incluyen puertos fsicos exclusivos para
su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de
datos). En el caso de cortafuegos que no incluyen puertos exclusivos, debe especificar
los puertos de datos que se utilizarn para HA. Si desea ms informacin sobre HA,
consulte Habilitacin de HA en el cortafuegos.
Para configurar una interfaz de HA, haga clic en el nombre de una interfaz (ethernet1/1,
por ejemplo) que no est configurada y especifique la siguiente informacin.
Tabla 75. Configuracin de interfaz HA

Campo
Descripcin
Nombre de
interfaz
Comentarios
Tipo de interfaz
Seleccione HA.
Velocidad de
enlace
Dplex de
enlace

Estado de
enlace


Red > Interfaces > VLAN
Una interfaz VLAN puede proporcionar enrutamiento a una red de capa 3 (IPv4 e IPv6).
Puede aadir uno o ms puertos de Ethernet de capa 2 (consulte Configure la interfaz de
capa 2) a una interfaz VLAN.
Tabla 76. Configuracin de interfaz VLAN

Campo
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de VLAN
El campo Nombre de interfaz de solo lectura se define como vlan. En el

campo adyacente, escriba un sufijo numrico (1-9999) para identificar la
interfaz.
Comentarios
Interfaz de VLAN
Perfil de flujo
de red
Interfaz de VLAN

Palo Alto Networks
Tabla 76. Configuracin de interfaz VLAN (Continuacin)

Campo
Configurado en
Descripcin
VLAN
Interfaz de
VLAN >
Configurar
Seleccione una VLAN o haga clic en el enlace VLAN para definir una
nueva (consulte Configuracin de la compatibilidad de VLAN).
Si selecciona Ninguno, se elimina la asignacin de VLAN de la interfaz.
Enrutador
virtual
Interfaz de
VLAN >
Configurar
Asigne un enrutador virtual a la interfaz o haga clic en el enlace

Enrutador virtual para definir uno nuevo (consulte Configuracin de un
enrutador virtual). Si selecciona Ninguno, se elimina la asignacin del
enrutador virtual actual de la interfaz.
Sistema virtual
Interfaz de
VLAN >
Configurar
Si el cortafuegos admite mltiples sistemas virtuales y que la capacidad se

ha habilitado, seleccione un sistema virtual (vsys) para la interfaz o haga
clic en el enlace Sistema virtual para definir un nuevo vsys.
Zona de
seguridad
Interfaz de
VLAN >
Configurar

Perfil de gestin
Interfaz de
VLAN >
Avanzado >
Otra informacin
Perfil de gestin: seleccione un perfil que defina los protocolos (por

ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el
MTU
Interfaz de
VLAN >
Avanzado >
Otra informacin

paquetes enviados en esta interfaz (576-9192, opcin predeterminada
1500). Si las mquinas de ambos extremos del cortafuegos ejecutan un
descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete
que supera la MTU, el cortafuegos enva al origen un mensaje de necesidad
de fragmentacin del ICMP que indica que el paquete es demasiado grande.
Ajustar TCP
MSS
Interfaz de
VLAN >
Avanzado >
Otra informacin
Active esta casilla de verificacin si desea ajustar el tamao de segmento

mximo (MSS) en 40 bytes menos que la MTU de la interfaz. Esta
configuracin est destinada a aquellas situaciones en las que un tnel
que atraviesa la red necesita un MSS de menor tamao. Si un paquete no
cabe en el MSS sin fragmentarse, este parmetro permite ajustarlo.
Direccin IP
Interfaz de
VLAN >
Avanzado >
Entradas de ARP
Para aadir una o ms entradas de protocolo de resolucin de direcciones

(ARP) estticas, haga clic en Aadir e introduzca una direccin IP y la
direccin (Media Access Control o MAC) de su hardware asociado y
seleccione una interfaz de capa 3 que pueda acceder a la direccin del
hardware. Para eliminar una entrada, seleccinela y haga clic en Eliminar.
Las entradas ARP estticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.
Interfaz de
VLAN >
Avanzado >
Entradas de ND

introduzca la direccin IPv6 y MAC del vecino.
Direccin MAC
Interfaz
Direccin IPv6
Direccin MAC
Palo Alto Networks

Campo
Configurado en
Descripcin
Habilitar
Proxy NDP
Interfaz de
VLAN >
Avanzado >
Proxy NDP
Seleccione para habilitar el proxy de protocolo de deteccin de vecinos

(NDP) para la interfaz. El cortafuegos no responder a los paquetes ND
que solicitan direcciones MAC para direcciones IPv6 en esta lista. En la
respuesta ND, el cortafuegos enva su propia direccin MAC para la
interfaz y bsicamente solicita todos los paquetes destinados para estas
direcciones.
Se recomienda que habilite el Proxy NDP si usa traduccin de prefijo de
red IPv6 (NPTv6).
Si se selecciona la casilla de verificacin Habilitar Proxy NDP, puede
filtrar numerosas entradas Direccin introduciendo un filtro y haciendo
clic en el icono Aplicar filtro (la flecha verde).
Direccin
Interfaz de
VLAN >
Avanzado >
Proxy NDP

intervalos de IP, subredes IPv6 u objetos de direcciones para las que el
cortafuegos actuar como el Proxy NDP. Idealmente, una de estas
direcciones es la misma que la traduccin de origen en NPTv6. El orden
de las direcciones es indiferente.
Si la direccin es una subred, el cortafuegos enviar una respuesta ND
para todas las direcciones de la subred, por lo que le recomendamos que
agregue tambin los vecinos IPv6 del cortafuegos y haga clic en la casilla
de verificacin Negar para indicar al cortafuegos que no responda a estas
direcciones IP.
Negar
Interfaz de
VLAN >
Avanzado >
Proxy NDP

evitar el Proxy NDP de esa direccin. Puede negar un subconjunto del
intervalo de direccin IP o subred IP especificado.

Tipo
Interfaz de
VLAN > IPv4
Seleccione el mtodo para asignar un tipo de direccin IPv4 a la interfaz:

Cliente DHCP: permite a la interfaz actuar como cliente del protocolo
de configuracin de host dinmico (DHCP) y recibir una direccin IP
dinmicamente asignada.
Note: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente DHCP.
Las opciones que se muestran en la pestaa variarn segn su seleccin
de mtodo de direccin IP.

IP
Interfaz de
VLAN > IPv4
Haga clic en Aadir y, a continuacin, realice uno de los siguientes pasos

para especificar una direccin IP y una mscara de red para la interfaz.
Introduzca la entrada en la notacin de enrutamiento entre dominios sin
clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24 para
IPv4 o 2001:db8::/32 para IPv6).
Haga clic en enlace Direccin para crear un objeto de direccin de tipo
mscara de red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base de
informacin de reenvo (FIB) que utiliza su sistema determina el nmero
mximo de direcciones IP.
Eliminar.
Palo Alto Networks

Campo
Configurado en
Descripcin

Habilitar
Interfaz de
VLAN > IPv4
Seleccione la casilla de verificacin para activar el cliente DHCP en la

interfaz.
Crear
automticament
e ruta
predeterminada
que apunte a la
puerta de enlace
predeterminada
proporcionada
por el servidor
Interfaz de
VLAN > IPv4
Seleccione la casilla de verificacin para que se cree automticamente una

ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Mtrica de ruta
predeterminada
Interfaz de
VLAN > IPv4
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de forma

optativa una mtrica de ruta (nivel prioritario) que se asocie a la ruta
predeterminada y que se utilice para la seleccin de ruta (intervalo
1-65535, no predeterminada). El nivel de prioridad aumenta conforme
disminuye el valor numrico.
Mostrar
informacin de
tiempo de
ejecucin de
cliente DHCP
Interfaz de
VLAN > IPv4
Haga clic en este botn para mostrar todos los ajustes recibidos desde el
servidor DHCP, incluidos el estado de concesin de DHCP, la asignacin
de IP dinmica, la mscara de subred, la puerta de enlace, la
configuracin del servidor (DNS, NTP, dominio, WINS, NIS, POP3
y SMTP).

Habilitar IPv6
en la interfaz
Interfaz de
VLAN > IPv6
Seleccione esta casilla de verificacin para habilitar las direcciones IPv6 en

esta interfaz.
ID de interfaz
Interfaz de
VLAN > IPv6
Introduzca el identificador nico ampliado de 64 bits (EUI-64) en formato

hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo en
blanco, el cortafuegos utilizar el EUI-64 generado desde la direccin
MAC de la interfaz fsica. Si activa la opcin Usar ID de interfaz como
parte de host cuando se aade una direccin, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa direccin.
Palo Alto Networks

Campo
Configurado en
Descripcin
Direccin
Interfaz de
VLAN > IPv6
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.,
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o hacer clic en Direccin para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
verificacin para utilizar el ID de interfaz como parte de host de la
direccin IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar RA: active esta casilla de verificacin para habilitar el anuncio de
enrutador (RA) para esta direccin IP. (Tambin puede activar la opcin
Habilitar anuncio de enrutador de forma global en la interfaz.) Si desea
informacin sobre el RA, consulte Habilitar anuncio de enrutador en
esta tabla.
considera vlida la direccin. La duracin vlida debe ser igual o
superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida,
el cortafuegos deja de poder utilizar la direccin para establecer
nuevas conexiones, pero cualquier conexin existente es vlida hasta
que caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Habilitar
deteccin de
direcciones
duplicadas
Interfaz de
VLAN > IPv6

direccin duplicada (DAD) y, a continuacin, configure los otros campos
de esta seccin.
Intentos DAD
Interfaz de
VLAN > IPv6
Especifique el nmero de intentos DAD en el intervalo de solicitacin de

vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).
Tiempo
alcanzable
Interfaz de
VLAN > IPv6

Intervalo NS
(intervalo de
solicitacin de
vecinos)
Interfaz de
VLAN > IPv6
Especifique el nmero de segundos de intentos DAD antes de indicar el

fallo (intervalo 1-10 segundos, predeterminado 1).
Palo Alto Networks

Campo
Configurado en
Descripcin
Habilitar
anuncio de
enrutador
Interfaz de
VLAN > IPv6
Para proporcionar la configuracin automtica de direcciones sin estado

(SLAAC) en interfaces IPv6, active esta casilla de verificacin y configure
los otros campos de esta seccin. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta informacin.
predeterminada para hosts IPv6 que no estn configurados estticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuracin de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta funcin para proporcionar DNS y otros
ajustes a los clientes.
opciones de RA para direcciones IP individuales, haga clic en Aadir en
la tabla de direcciones IP y configure la direccin (para obtener detalles,
consulte Direccin en esta tabla). Si establece las opciones de RA para
cualquier direccin IP, debe seleccionar la opcin Habilitar anuncio de
enrutador para la interfaz.
Mn. de
intervalo
(segundos)
Interfaz de
VLAN > IPv6
Especifique el intervalo mnimo (en segundos) entre los distintos RA que

el cortafuegos enviar (intervalo 3-1350, predeterminado 200). El
cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.
Mx. de
intervalo
(segundos)
Interfaz de
VLAN > IPv6
Especifique el intervalo mximo (en segundos) entre los distintos RA que

el cortafuegos enviar (intervalo 4-1800, predeterminado 600). El
cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.
Lmite de salto
Interfaz de
VLAN > IPv6

paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0 si
no desea ningn lmite de salto.
MTU de enlace
Interfaz de
VLAN > IPv6
Especifique la unidad mxima de transmisin (MTU) del enlace que se

debe aplicar a los clientes. Seleccione no especificado si no desea ninguna
MTU de enlace (intervalo 1280-9192, predeterminado no especificado).
Tiempo
alcanzable (ms)
Interfaz de
VLAN > IPv6
Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizar

para asumir que un vecino es alcanzable despus de recibir un mensaje de
confirmacin de esta condicin. Seleccione no especificado si no desea
establecer ningn valor de tiempo alcanzable (intervalo 0-3600000,
predeterminado no especificado).
Tiempo de
retransmisin
(ms)
Interfaz de
VLAN > IPv6
Especifique el temporizador de retransmisin que determinar cunto

tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los
mensajes de solicitacin de vecinos. Seleccione no especificado si no
desea ningn tiempo de retransmisin (intervalo 0-4294967295,
predeterminado no especificado).
Duracin de
enrutador
(segundos)
Interfaz de
VLAN > IPv6

cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es la
puerta de enlace predeterminada. Cuando acaba la duracin, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.
Preferencia de
enrutador
Interfaz de
VLAN > IPv6
Si el segmento de la red tiene mltiples enrutadores de IPv6, el cliente

utiliza este campo para seleccionar un enrutador preferido. Seleccione si
el RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relacin con otros enrutadores del segmento.
Palo Alto Networks

Campo
Configurado en
Descripcin
Configuracin
gestionada
Interfaz de
VLAN > IPv6

Otras
configuraciones
Interfaz de
VLAN > IPv6

relacionados con DNS) est disponible a travs de DHCPv6.
Comprobacin
de coherencia
Interfaz de
VLAN > IPv6
Seleccione esta casilla de verificacin si desea que el cortafuegos verifique

que los RA enviados desde otros enrutadores estn publicando
informacin coherente en el enlace. El cortafuegos enva logs sobre
cualquier incoherencia.

Red > Interfaces > Bucle invertido
Tabla 77. Configuracin de interfaz de bucle invertido

Campo
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de bucle
invertido
El campo Nombre de interfaz de solo lectura se define como bucle

invertido. En el campo adyacente, escriba un sufijo numrico (1-9999)
para identificar la interfaz.
Comentarios
Interfaz de bucle
invertido
Perfil de flujo de
red
Interfaz de bucle
invertido

Enrutador
virtual
Interfaz de bucle
invertido >
Configurar

virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.
Sistema virtual
Interfaz de bucle
invertido >
Configurar

Zona de
seguridad
Interfaz de bucle
invertido >
Configurar

Perfil de gestin
Interfaz de
tnel >
Avanzado >
Otra informacin
Perfil de gestin: seleccione un perfil que defina los protocolos (por

ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el
Palo Alto Networks
Tabla 77. Configuracin de interfaz de bucle invertido (Continuacin)

Campo
Configurado en
Descripcin
MTU
Interfaz
de tnel >
Avanzado >
Otra informacin

Ajustar TCP
MSS
Interfaz de
tnel >
Avanzado >
Otra informacin
Active esta casilla de verificacin si desea ajustar el tamao de segmento

mximo (MSS) en 40 bytes menos que la MTU de la interfaz. Esta
configuracin est destinada a aquellas situaciones en las que un tnel que
atraviesa la red necesita un MSS de menor tamao. Si un paquete no cabe
en el MSS sin fragmentarse, este parmetro permite ajustarlo.

IP
Interfaz de bucle
invertido > IPv4
Haga clic en Aadir y, a continuacin, realice uno de los siguientes pasos para
especificar una direccin IP y una mscara de red para la interfaz.
clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24 para IPv4 o
2001:db8::/32 para IPv6).
mscara de red IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en Eliminar.

Habilitar IPv6
en la interfaz
Interfaz de bucle
invertido > IPv6

esta interfaz.
ID de interfaz
Interfaz de bucle
invertido > IPv6

Direccin
Interfaz de bucle
invertido > IPv6
direccin IPv6.
Palo Alto Networks

Red > Interfaces > Tnel
Tabla 78. Configuracin de interfaz de tnel

Campo
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de tnel
El campo Nombre de interfaz de solo lectura se define como tnel. En el

campo adyacente, escriba un sufijo numrico (1-9999) para identificar la
interfaz.
Comentarios
Interfaz de tnel
Perfil de flujo
de red
Interfaz de tnel

Enrutador
virtual
Interfaz de
tnel >
Configurar

virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.
Sistema virtual
Interfaz de
tnel >
Configurar

Zona de
seguridad
Interfaz de
tnel >
Configurar

Perfil de gestin
Interfaz de
tnel >
Avanzado >
Otra informacin
Perfil de gestin: seleccione un perfil que defina los protocolos

(por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el
MTU
Interfaz de
tnel >
Avanzado >
Otra informacin

Palo Alto Networks
Tabla 78. Configuracin de interfaz de tnel (Continuacin)

Campo
Configurado en
Descripcin

IP
Interfaz de
tnel > IPv4
Haga clic en Aadir y, a continuacin, realice uno de los siguientes pasos

para especificar una direccin IP y una mscara de red para la interfaz.
clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24 para
IPv4 o 2001:db8::/32 para IPv6).
mscara de red IP.
Eliminar.

Habilitar IPv6
en la interfaz
Interfaz de
tnel > IPv6

esta interfaz.
ID de interfaz
Interfaz de
tnel > IPv6

Direccin
Interfaz de
tnel > IPv6
direccin IPv6.

Red > Enrutadores virtuales
Utilice esta pgina para definir enrutadores virtuales. La definicin de enrutadores virtuales
permite configurara reglas de reenvo de capa 3 y activar el uso de protocolos de
enrutamiento dinmicos. Todas las interfaces de capa 3, de bucle invertido y VLAN definidas
en el cortafuegos se deben asociar con un enrutador virtual. Cada interfaz solo puede
pertenecer a un nico enrutador virtual.
La definicin de un enrutador virtual requiere la configuracin de la asignacin de los ajustes
en la pestaa Configuracin de enrutador > General y en cualquiera de las siguientes
pestaas, segn exija su topologa de red:
Palo Alto Networks
Pestaa Rutas estticas: Consulte Configuracin de la pestaa Rutas estticas.

Pestaa Perfil de redistribucin: Consulte Configuracin de la pestaa Perfiles de
redistribucin.
Pestaa RIP: Consulte Configuracin de la pestaa RIP.

Pestaa OSPF: Consulte Configuracin de la pestaa OSPF.
Pestaa OSPFv3: Consulte Configuracin de la pestaa OSPFv3.
Pestaa BGP: Consulte Configuracin de la pestaa BGP.
Pestaa Multidifusin: Consulte Configuracin de la pestaa Multidifusin.
Pestaa ECMP: Consulte Componentes del ECMP.
Cuando ha configurado una porcin de un enrutador virtual, en la pgina Red > Enrutadores
virtuales, puede ver informacin sobre un enrutador virtual concreto haciendo clic en
Ms estadsticas de tiempo de ejecucin en la ltima columna.
Enlace Ms estadsticas de tiempo de ejecucin: Consulte Ms estadsticas de tiempo de

ejecucin para un enrutador virtual.
Configuracin de la pestaa General

Red > Enrutador virtual > Configuracin de enrutador > General
Todas las configuraciones del enrutador virtual exigen que aada interfaces de capa 3 y cifras
de distancia administrativa segn se describe en la siguiente tabla:
Tabla 79. Configuracin de enrutador virtual - Pestaa General

Campo
Descripcin
Nombre
Especifique un nombre para identificar el enrutador virtual (de hasta

Interfaces
Seleccione las interfaces que desea incluir en el enrutador virtual. Cuando

selecciona una interfaz, se incluye en el enrutador virtual y se puede
utilizar como una interfaz de salida en la pestaa de enrutamiento del
enrutador virtual.
Para especificar el tipo de interfaz, consulte Configuracin de la interfaz
de un cortafuegos.
Cuando aade una interfaz, sus rutas conectadas se aaden automticamente.
Distancias
administrativas
Palo Alto Networks
Especifique las siguientes distancias administrativas:

Rutas estticas (10-240, opcin predefinida 10).
OSPF Int (10-240, opcin predefinida 30).
OSPF Ext (10-240, opcin predefinida 110).
IBGP (10-240, opcin predefinida 200).
EBGP (10-240, opcin predefinida 20).
RIP (10-240, opcin predefinida 120).
Configuracin de la pestaa Rutas estticas

Red > Enrutador virtual > Rutas estticas
Opcionalmente puede introducir una o ms rutas estticas. Haga clic en la pestaa IP o IPv6
para especificar la ruta mediante direcciones IPv4 o IPv6. Aqu suele ser necesario configurar
las rutas predefinidas (0.0.0.0/0). Las rutas predefinidas se aplican a destinos que de otro
modo no se encontraran en la tabla de enrutamiento del enrutador virtual.
Tabla 80. Configuracin de enrutador virtual - Pestaa Rutas estticas

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la ruta esttica (de hasta

Destino
Introduzca una direccin IP y una mscara de red en la notacin de

enrutamiento entre dominios sin clases (CIDR): direccin_ip/mscara
(por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6).
Interfaz
Seleccione la interfaz para reenviar paquetes al destino o configure el

siguiente salto, o ambos.
Siguiente salto
Especifique los siguientes ajustes de salto:

Ninguno: Seleccione esta opcin si no existe el siguiente salto en la ruta.
Direccin IP: Especifique la direccin IP del siguiente enrutador de salto.
Descartar: Seleccione esta opcin si desea descartare l trfico que se
dirige a este destino.
Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como
el siguiente salto. Esta opcin permite configurar rutas internamente
entre enrutadores virtuales en un nico cortafuegos.
Distancia administrativa
Especifique la distancia administrativa de la ruta esttica (10-240; opcin

predefinida 10).
Mtrica
Especifique una medida para la ruta esttica (1 - 65535).
No instalar
Seleccione esta opcin si no desea instalar la ruta en la tabla de reenvos.

La ruta se retiene en la configuracin para su referencia futura.
Configuracin de la pestaa Perfiles de redistribucin

Red > Enrutador virtual > Perfiles de redistribucin
Los perfiles de redistribucin dirigen el cortafuegos para filtrar, establecer la prioridad y
realizar acciones basadas en el comportamiento de red deseado. La redistribucin de rutas
permite a las rutas estticas y a las rutas adquiridas por otros protocolos anunciarse mediante
protocolos de enrutamiento especficos. Los perfiles de redistribucin se deben aplicar a los
protocolos de enrutamiento para que surtan efecto. Sin las reglas de redistribucin, cada uno
de los protocolos se ejecuta de forma separada y no se comunican fuera de su mbito.
Los perfiles de redistribucin se pueden aadir o modificar despus de configurar todos los
protocolos de enrutamiento y de establecer la topologa de red resultante. Aplique perfiles de
redistribucin a los protocolos RIP y OSPF definiendo reglas de exportacin. Aplique perfiles
de redistribucin a BGP en la pestaa Reglas de redistribucin. Consulte la tabla siguiente.
Palo Alto Networks
Tabla 81. Configuracin de enrutador virtual - Pestaa Perfiles de redistribucin

Campo
Descripcin
Nombre
Haga clic en Aadir para mostrar la pgina Perfil de redistribucin e

introduzca el nombre del perfil.
Prioridad
Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. Los

perfiles se muestran en orden (con los nmeros ms bajos primero).
Redistribuir
Seleccione si la redistribucin de la ruta se realizar segn los ajustes de

esta ventana.
Redistr.: Seleccione si la redistribucin se realizar con rutas de candidato coincidentes. Si selecciona esta opcin, introduzca un nuevo valor
mtrico. Un valor mtrico inferior significa una ruta ms preferible.
No hay ninguna redistribucin: Seleccione si no se realizar ningn
tipo de redistribucin.
Pestaa Filtro general

Tipo
Seleccione las casillas de verificacin para especificar los tipos de ruta de

candidato.
Interfaz
Seleccione las interfaces para especificar las interfaces de reenvo de la

ruta de candidato.
Destino
Para especificar el destino de la ruta de candidato, introduzca la direccin

IP o la subred de destino (con el formato x.x.x.x o x.x.x.x/n) y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Siguiente salto
Para especificar la puerta de enlace de la ruta de candidato, introduzca la

direccin IP o la subred (con el formato x.x.x.x o x.x.x.x/n) que represente
el siguiente salto y haga clic en Aadir. Para eliminar una entrada, haga
clic en el icono
asociado con la entrada.
Pestaa Filtro OSPF

Tipo de ruta
Seleccione las casillas de verificacin para especificar los tipos de ruta de

candidato OSPF.
rea
Especifique el identificador de rea de la ruta de candidato OSPF.

Introduzca el ID de rea OSPF (con el formato x.x.x.x), y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Etiqueta
Especifique los valores de etiqueta OSPF. Introduzca un valor de etiqueta

numrica (1-255) y haga clic Aadir. Para eliminar una entrada, haga clic
en el icono
asociado con la entrada.
Pestaa Filtro BGP

Comunidad
Especifique una comunidad para la poltica de enrutamiento BGP.
Comunidad extendida
Especifique una comunidad extendida para la poltica de enrutamiento BGP.
Palo Alto Networks
Configuracin de la pestaa RIP

Red > Enrutador virtual > RIP
La configuracin del protocolo de informacin de enrutamiento (RIP) requiere que se
establezcan los siguientes ajustes generales:
Tabla 82. Configuracin de enrutador virtual - Pestaa RIP

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo RIP.
Rechazar ruta por

defecto
Seleccione la casilla de verificacin si no desea obtener ninguna de las

rutas predefinidas mediante RIP. Es muy recomendable seleccionar esta
casilla de verificacin.
Adems, se deben configurar ajustes en las siguientes pestaas:
Pestaa Interfaces: Consulte Configuracin de la pestaa Interfaces.

Pestaa Temporizadores: Consulte Configuracin de la pestaa Temporizadores.
Pestaa Perfiles de autenticacin: Consulte Configuracin de la pestaa Perfiles de
autenticacin.
Pestaa Reglas de exportacin: Consulte Configuracin de la pestaa Reglas de

exportacin.
Configuracin de la pestaa Interfaces

Red > Enrutador virtual > RIP > Interfaces
En la siguiente tabla se describen los ajustes de la pestaa Interfaces.
Tabla 83.
Configuracin de RIP Pestaa Interfaces
Campo
Descripcin
Interfaces
Interfaz
Seleccione la interfaz que ejecuta el protocolo RIP.
Habilitar
Seleccione esta opcin para habilitar estos ajustes.
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica
Especifique un valor mtrico para el anuncio del enrutador. Este campo

solo es visible si se ha seleccionado la casilla de verificacin Anunciar.
Seleccione el perfil.
Modo
Seleccione Normal, Pasivo o Enviar nicamente.
Palo Alto Networks
Configuracin de la pestaa Temporizadores

Red > Enrutador virtual > RIP > Temporizadores
En la siguiente tabla se describen los ajustes de la pestaa Temporizadores.
Tabla 84. Configuracin de RIP Pestaa Temporizadores

Campo
Descripcin
Temporizadores
Segundos del intervalo
(seg)
Defina la duracin del intervalo de tiempo en segundos. Esta duracin se

utiliza para el resto de los campos de temporizacin de RIP (1 - 60).
Intervalo de
actualizaciones
Introduzca el nmero de intervalos entre los anuncios de actualizacin de

rutas (1 - 3600).
Intervalos de
vencimiento
Introduzca el nmero de intervalos entre la ltima hora de actualizacin

de la ruta hasta su vencimiento (1- 3600).
Intervalos de
eliminacin
Introduzca el nmero de intervalos entre la hora de vencimiento de la

ruta hasta su eliminacin (1- 3600).
Configuracin de la pestaa Perfiles de autenticacin

Red > Enrutador virtual > RIP > Perfiles de autenticacin
La tabla siguiente describe los ajustes de la pestaa Perfiles de autenticacin.
Tabla 85. Configuracin de RIP Pestaa Perfiles de autenticacin

Campo
Descripcin
Perfiles de
autenticacin
Nombre de perfil
Tipo de contrasea
Introduzca un nombre para el perfil de autenticacin para autenticar los

mensajes RIP. Para autenticar mensajes RIP, primero defina los perfiles de
autenticacin y a continuacin, aplquelos a las interfaces en la pestaa RIP.
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Sencillo, introduzca la contrasea sencilla y, a
continuacin, confirme.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente, el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin, haga
clic en ACEPTAR. Para especificar la clave que se debe utilizar para
autenticar el mensaje saliente, seleccione la opcin Preferido.
Palo Alto Networks
Configuracin de la pestaa Reglas de exportacin

Red > Enrutador virtual > RIP > Reglas de exportacin
La tabla siguiente describe los ajustes de la pestaa Reglas de exportacin.
Tabla 86. Configuracin de RIP Pestaa Reglas de exportacin

Campo
Descripcin
Reglas de exportacin
(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y la
accin, en funcin del comportamiento de red deseado. Consulte
Configuracin de la pestaa Perfiles de redistribucin.
Configuracin de la pestaa OSPF

Red > Enrutador virtual > OSPF
La configuracin del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los
siguientes ajustes generales:
Tabla 87. Configuracin del enrutador virtual - Pestaa OSPF

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo OSPF.
Rechazar ruta por

defecto

rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este

enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.
Pestaa reas: Consulte Configuracin de la pestaa reas.

autenticacin.
Pestaa Reglas de exportacin: Consulte .Configuracin de la pestaa Reglas de

exportacin.
Pestaa Avanzado: Consulte Configuracin de la pestaa Avanzado.
Palo Alto Networks
Configuracin de la pestaa reas

Red > Enrutador virtual > OSPF > reas
La tabla siguiente describe los ajustes de la pestaa reas.
Tabla 88. Configuracin de OSPF Pestaa reas

Campo
Descripcin
reas
ID de rea
Configure el rea en el que los parmetros OSPF se pueden aplicar.

Introduzca un identificador del rea en formato x.x.x.x. Es el identificador
que cada vecino debe aceptar para formar parte de la misma rea.
Tipo
Seleccione una de las siguientes opciones.

Normal: No hay restricciones; el rea puede aceptar todos los tipos de
rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida en
los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que no
sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen si
desea aceptar este tipo de LSA. Seleccione Anunciar ruta
predeterminada para especificar si desea incluir una LSA de ruta
predeterminada en los anuncios del rea de cdigo auxiliar, junto con el
valor mtrico asociado (1-255). Tambin puede seleccionar el tipo de
ruta que se utilizar para anunciar el LSA predefinido. Haga clic en
Aadir en la seccin Intervalos externos e introduzca los intervalos si
desea activar o suprimir rutas externas de anuncios que se obtienen
mediante NSSA a otras reas.
Intervalo
Palo Alto Networks
Haga clic en Aadir para aadir direcciones de destino LSA en el rea en

subredes. Habilite o suprima LSA de anuncios que coincidan con la
subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
Tabla 88. Configuracin de OSPF Pestaa reas (Continuacin)

Campo
Descripcin
Interfaz
Haga clic en Aadir e introduzca la siguiente informacin en cada

interfaz que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envan ni reciben, si selecciona esta opcin, la interfaz se incluir en la
base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automticamente por
mensajes de saludo multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino
automticamente. Seleccione p2mp (punto a multipunto) si los vecinos
se deben definir manualmente. La definicin manual de vecino solo se
permite en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la
prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) segn el protocolo OSPF. Si el valor es cero, el enrutador
no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF
enva paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
Recuentos fallidos: Nmero de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. El intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de fallos. Intervalo: 3-20.
Valor predeterminado: 4.
Intervalo de retransmisin (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor
predeterminado: 10 segundos.
Retraso de trnsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor
predeterminado: 1 segundo.
Retraso de saludo de reinicio correcto (segundos): Se aplica a una
interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos enva los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envan paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
tambin avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajar durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador de
fallos de 40 segundos. Si el retraso de saludo de reinicio correcto se
establece en 10 segundos, ese retraso de 10 segundos de los paquetes de
saludo se enmarca cmodamente dentro del temporizador de fallos de
40 segundos, de forma que la adyacencia no agotar su tiempo de
espera durante un reinicio correcto. Intervalo: 1-10 segundos. Valor
predeterminado: 10 segundos.
Palo Alto Networks
Tabla 88. Configuracin de OSPF Pestaa reas (Continuacin)

Campo
Descripcin
Enlace virtual
Configure los ajustes del enlace virtual para mantener o mejorar la

conectividad del rea troncal. Los ajustes se deben definir para
enrutadores de borde de rea y se deben definir en el rea troncal
(0.0.0.0). Haga clic en Aadir e introduzca la siguiente informacin en
enlace virtual que se incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el enlace virtual.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
previamente.

Red > Enrutador virtual > OSPF > Perfiles de autenticacin
Tabla 89. Configuracin de OSPF Pestaa Perfiles de autenticacin

Campo
Descripcin
Perfiles de autenticacin
Nombre de perfil
Introduzca un nombre para el perfil de autenticacin. Para autenticar

mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.
Tipo de contrasea
Seleccione el tipo de contrasea (simple o MD5).

Si selecciona Simple, introduzca la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opcin Preferido.
.Configuracin
de la pestaa Reglas de exportacin
Red > Enrutador virtual > OSPF > Reglas de exportacin


Campo
Descripcin
Permitir redistribucin de
ruta predeterminada
Palo Alto Networks
Seleccione la casilla de verificacin para permitir la redistribucin de las

rutas predeterminadas mediante OSPF.
Tabla 90. Configuracin de OSPF Pestaa Perfiles de autenticacin (Continuacin)

Campo
Descripcin
Nombre
Seleccione el nombre del perfil de redistribucin. El valor debe ser una

subred IP o un nombre de perfil de redistribucin vlido.
Nuevo tipo de ruta
Seleccione el tipo de mtrica que se aplicar.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Mtrica
Especifique la mtrica de ruta asociada con la ruta exportada que se

utilizar para seleccionar la ruta (opcional, intervalo 1-65535).
Configuracin de la pestaa Avanzado

Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado.
Tabla 91. Configuracin de OSPF Pestaa Avanzado

Campo
Descripcin
Avanzado
Compatibilidad
RFC 1583
Selecciona la casilla de verificacin para garantizar la compatibilidad con

RFC 1583.
Temporizadores
Retraso de clculo SPF (seg): Esta opcin es un temporizador que le

permite definir el retraso de tiempo entre la recepcin de nueva
informacin de topologa y ejecutar un clculo SPF. Los valores
menores permiten una reconvergencia OSPF ms rpida. Los
enrutadores que se emparejan con el cortafuegos se deben configurar de
manera similar para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en
RFC 2328. Los valores ms bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipologa.
Reinicio correcto
Habilitar reinicio correcto: Habilitado de forma predeterminada; un

cortafuegos que tenga esta funcin activada indicar a los enrutadores
vecinos que continen usndolo como ruta cuando tenga lugar una
transicin que lo desactive temporalmente.
Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuar reenviando a un
dispositivo adyacente durante el reinicio del dispositivo.
Habilitar comprobacin de LSA estricta: Habilitado de forma
predeterminada; esta funcin hace que el cortafuegos que tenga
habilitado el modo auxiliar de OSPF salga de este modo si se produce
un cambio de topologa.
Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de este
mientras se estn restableciendo o el enrutador se est reiniciando.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos.
Mx. de hora de reinicio del mismo nivel: Periodo de gracia mximo
en segundos que el cortafuegos aceptar como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia ms largo
en su LSA de gracia, el cortafuegos no entrar en modo auxiliar.
Palo Alto Networks
Configuracin de la pestaa OSPFv3

Red > Enrutador virtual > OSPFv3
La configuracin del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se
establezcan los siguientes ajustes generales:
Tabla 92. Configuracin del enrutador virtual - Pestaa OSPF

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo OSPF.
Rechazar ruta por

defecto

rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este

enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.
Pestaa reas: Consulte Configuracin de la pestaa reas.

autenticacin.
Pestaa Reglas de exportacin: Consulte Configuracin de la pestaa Reglas de

exportacin.
Palo Alto Networks
Configuracin de la pestaa reas

Red > Enrutador virtual > OSPFv3 > reas
La tabla siguiente describe los ajustes de la pestaa reas.
Tabla 93. Configuracin del enrutador virtual - Pestaa reas

Campo
Descripcin
Autenticacin
Seleccione el nombre del perfil de autenticacin que desea especificar para

esta rea de OSPFarea.
Tipo
Seleccione una de las siguientes opciones.

Normal: No hay restricciones; el rea puede aceptar todos los tipos de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino fuera
del rea, es necesario atravesar el lmite, que conecta con el resto de reas. Si
selecciona esta opcin, seleccione Aceptar resumen si desea aceptar este tipo
de anuncio de estado de enlace (LSA) de otras reas. Tambin puede especificar si desea incluir una ruta LSA predefinida en los anuncios al rea de
cdigo auxiliar, junto con el valor mtrico asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la interfaz de
enrutador de borde de rea (ABR) est desactivada, el rea OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA) y ABR no propagar
ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que no sean
OSPF. Si selecciona esta opcin, seleccione Aceptar resumen si desea aceptar
este tipo de LSA. Especifique si desea incluir una ruta LSA predefinida en los
anuncios al rea de cdigo auxiliar, junto con el valor mtrico asociado
(1-255). Tambin puede seleccionar el tipo de ruta que se utilizar para
anunciar el LSA predefinido. Haga clic en Aadir en la seccin Intervalos
externos e introduzca los intervalos si desea activar o suprimir rutas externas
de anuncios que se obtienen mediante NSSA a otras reas.
Intervalo
Haga clic en Aadir para que la subred aada direcciones IPv6 de destino
LSA en el rea. Habilite o suprima LSA de anuncios que coincidan con la
subred y haga clic en ACEPTAR. Repita esta accin para aadir intervalos
adicionales.
Palo Alto Networks
Tabla 93. Configuracin del enrutador virtual - Pestaa reas (Continuacin)

Campo
Descripcin
Interfaz
Haga clic en Aadir e introduzca la siguiente informacin en cada interfaz que se

incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz OSPF
enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se envan ni
reciben, si selecciona esta opcin, la interfaz se incluir en la base de datos
de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los vecinos
mediante la interfaz y poder descubrirlos automticamente por mensajes de
saludo multicast OSPF, como una interfaz Ethernet. Seleccione p2p (punto a
punto) para descubrir al vecino automticamente. Seleccione p2mp (punto a
multipunto) si los vecinos se deben definir manualmente. La definicin
manual de vecino solo se permite en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la
prioridad del enrutador para ser el enrutador designado (DR) o de reserva
(BDR) segn el protocolo OSPF. Si el valor es cero, el enrutador no se designar
como DR ni BDR.
previamente.
Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF enva
paquetes de saludo a sus vecinos directamente conectados.
Recuentos fallidos: Nmero de ocasiones en las que se puede producir el
intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo
desde el vecino, antes de que OSPF considere que ese vecino tiene un fallo.
El intervalo de saludo multiplicado por los recuentos fallidos es igual al
valor del temporizador de fallos. Intervalo: 3-20. Valor predeterminado: 4.
Intervalo de retransmisin (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el
OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
Retraso de trnsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado:
1 segundo.
Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz
de OSPF cuando se configura la alta disponibilidad activa/pasiva. Retraso de
saludo de reinicio correcto es el tiempo durante el cual el cortafuegos enva
los paquetes de LSA de gracia en intervalos de 1 segundo. Durante este tiempo
no se envan paquetes de saludo desde el cortafuegos de reinicio. Durante el
reinicio, el temporizador de fallos (que es el intervalo de saludo multiplicado
por los recuentos fallidos) tambin avanza. Si el temporizador de fallos es
demasiado corto, la adyacencia bajar durante el reinicio correcto a causa del
retraso de saludo. Por lo tanto, se recomienda que el temporizador de fallos sea
al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Por
ejemplo, un intervalo de saludo de 10 segundos y un valor de recuentos
fallidos de 4 da como resultado un valor de temporizador de fallos de
40 segundos. Si el retraso de saludo de reinicio correcto se establece en
10 segundos, ese retraso de 10 segundos de los paquetes de saludo se enmarca
cmodamente dentro del temporizador de fallos de 40 segundos, de forma que
la adyacencia no agotar su tiempo de espera durante un reinicio correcto.
Vecinos: En interfaces p2pmp, introduzca la direccin IP de todos los vecinos
accesibles mediante esta interfaz.
Palo Alto Networks
Tabla 93. Configuracin del enrutador virtual - Pestaa reas (Continuacin)

Campo
Descripcin
Enlaces virtuales
Configure los ajustes del enlace virtual para mantener o mejorar la conectividad
del rea troncal. Los ajustes se deben definir para enrutadores de borde de rea y
se deben definir en el rea troncal (0.0.0.0). Haga clic en Aadir e introduzca la
siguiente informacin en enlace virtual que se incluir en el rea troncal y haga
clic en ACEPTAR.
Nombre: Introduzca un nombre para el enlace virtual.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace
virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene fsicamente
al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
previamente.

Red > Enrutador virtual > OSPFv3 > Perfiles de autenticacin
Tabla 94. Configuracin de OSPFv3: Pestaa Perfiles de autenticacin

Campo
Descripcin
Perfiles de
autenticacin
Nombre de perfil
Introduzca un nombre para el perfil de autenticacin. Para autenticar

mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.
SPI
Especifique el ndice de parmetros de seguridad (SPI) para los paquetes

transversales desde el cortafuegos remoto hasta el peer.
Protocolo
Especifique uno de los siguientes protocolos:

ESP: Protocolo de carga de seguridad encapsulada.
AH: Protocolo del encabezado de autenticacin.
Algoritmo criptogrfico
Especifique una de las siguientes opciones:

Ninguno: No se utilizar ningn algoritmo criptogrfico.
SHA1: Algoritmo de hash seguro 1.
SHA256: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 256 bits.
MD5: Algoritmo de resumen de mensaje de MD5.
Clave/Confirmar clave
Introduzca y confirme una clave de autenticacin.
Palo Alto Networks
Tabla 94. Configuracin de OSPFv3: Pestaa Perfiles de autenticacin (Continuacin)

Campo
Cifrado
Descripcin
aes-128-cbc: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 128 bits.
nulo: No se utiliza ningn cifrado.
No est disponible si no se ha seleccionado el protocolo AH.
Clave/Confirmar clave
Introduzca y confirme una clave de cifrado.
Configuracin de la pestaa Reglas de exportacin

Red > Enrutador virtual > OSPF > Reglas de exportacin

Campo
Descripcin
Permitir redistribucin de
ruta predeterminada
Seleccione la casilla de verificacin para permitir la redistribucin de las

rutas predeterminadas mediante OSPF.
Nombre
Seleccione el nombre del perfil de redistribucin. El valor debe ser una

subred IP o un nombre de perfil de redistribucin vlido.
Nuevo tipo de ruta
Seleccione el tipo de mtrica que se aplicar.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Mtrica
Especifique la mtrica de ruta asociada con la ruta exportada que se

utilizar para seleccionar la ruta (opcional, intervalo 1-65535).

Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado.
Tabla 96. Configuracin de OSPF Pestaa Avanzado

Campo
Descripcin
Avanzado
Deshabilitar
enrutamiento de trnsito
para el clculo de SPF
Palo Alto Networks
Seleccione esta casilla de verificacin si desea establecer el R-bit en los LSA

del enrutador enviados desde este dispositivo para indicar que el enrutador
no est activo. Cuando est en este estado, el dispositivo participa en OSPFv3
pero ningn otro enrutador enva trfico de trnsito. En este estado, el trfico
local seguir reenvindose al dispositivo. Es til cuando se realiza
mantenimiento con una red de dos bases porque el trfico se puede volver a
enrutar en el dispositivo mientras este siga siendo accesible.
Tabla 96. Configuracin de OSPF Pestaa Avanzado (Continuacin)

Campo
Descripcin
Temporizadores
Retraso de clculo SPF (seg): Esta opcin es un temporizador que le

permite definir el retraso de tiempo entre la recepcin de nueva
informacin de topologa y ejecutar un clculo SPF. Los valores
menores permiten una reconvergencia OSPF ms rpida. Los
enrutadores que se emparejan con el cortafuegos se deben configurar de
manera similar para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en
RFC 2328. Los valores ms bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipologa.
Reinicio correcto
Habilitar reinicio correcto: Habilitado de forma predeterminada; un

cortafuegos que tenga esta funcin activada indicar a los enrutadores
vecinos que continen usndolo como ruta cuando tenga lugar una
transicin que lo desactive temporalmente.
Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuar reenviando a un
dispositivo adyacente durante el reinicio del dispositivo.
Habilitar comprobacin de LSA estricta: Habilitado de forma
predeterminada; esta funcin hace que el cortafuegos que tenga
habilitado el modo auxiliar de OSPF salga de este modo si se produce
un cambio de topologa.
Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de este
mientras se estn restableciendo o el enrutador se est reiniciando.
Mx. de hora de reinicio del mismo nivel: Periodo de gracia mximo
en segundos que el cortafuegos aceptar como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia ms largo
en su LSA de gracia, el cortafuegos no entrar en modo auxiliar.
Configuracin de la pestaa BGP

Red > Enrutador virtual > BGP
La configuracin del protocolo de puerta de enlace de borde (BGP) requiere que se
establezcan los siguientes ajustes:
Tabla 97. Configuracin de enrutador virtual - Pestaa BGP

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar funciones de BGP.
ID del enrutador
Introduzca la direccin IP para asignarla al enrutador virtual.
Nmero AS
Introduzca el nmero AS al que pertenece el enrutador virtual, en funcin

del ID del enrutador (intervalo 1-4294967295).
Pestaa General: Consulte Configuracin de la pestaa General.

Palo Alto Networks
Pestaa Grupo del peer: Consulte Configuracin de la pestaa Grupo del peer.
Pestaa Importar: Consulte Configuracin de las pestaas Importar y Exportar.
Pestaa Exportar: Consulte Configuracin de las pestaas Importar y Exportar.
Pestaa Anuncio condicional: Consulte Configuracin de la pestaa Anuncio
condicional.
Pestaa Agregado: Consulte Configuracin de la pestaa Anuncio condicional.

Pestaa Reglas de redistr.: Consulte Configuracin de la pestaa Reglas de distr..
Configuracin de la pestaa General
Red > Enrutador virtual > BGP > General
La tabla siguiente describe los ajustes de la pestaa General.
Tabla 98. Configuracin de BGP Pestaa General

Campo
Descripcin
Pestaa General
Rechazar ruta por
defecto
Seleccione la casilla de verificacin para ignorar todas las rutas

predeterminadas anunciadas por peers BGP.
Instalar ruta
Seleccione la casilla de verificacin para instalar rutas BGP en la tabla de

enrutamiento global.
Agregar MED
Seleccione esta opcin para activar la agregacin de rutas incluso si las rutas
tienen valores diferentes de discriminador de salida mltiple (MED).
Preferencia local
predeterminada
Especifica un valor que se puede asignar para determinar preferencias

entre diferentes rutas.
Formato AS
Seleccione el formato de 2 (predefinido) o 4 bytes. Este ajuste es

configurable por motivos de interoperabilidad.
Comparar siempre MED
Permite comparar MED para rutas de vecinos en diferentes sistemas

autnomos.
Comparacin
determinista de MED
Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).
Perfiles de autenticacin
Haga clic en Aadir para incluir un nuevo perfil de autenticacin y

configurar los siguientes ajustes:
Nombre del perfil: Introduzca un nombre para identificar el perfil.
Secreto/Confirmar secreto: Introduzca y confirme la contrasea para
comunicaciones de peer BGP.
Haga clic en el icono para eliminar un perfil.
Palo Alto Networks

Red > Enrutador virtual > BGP > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado:
Tabla 99. Configuracin de BGP Pestaa Avanzado

Campo
Descripcin
Pestaa Avanzado
Reinicio correcto
Active la opcin de reinicio correcto.

Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede
permanecer inhabilitada (intervalo 1-3600 segundos; opcin
predefinida 120 segundos).
Hora de reinicio local: Especifique el tiempo que el dispositivo local
tarda en reiniciar. Este valor se le comunica a los peers (intervalo
1-3600 segundos; opcin predefinida 120 segundos).
Mx. de hora de reinicio del peer: Especifique el tiempo mximo que el
dispositivo local acepta como perodo de gracia para reiniciar los
dispositivos peer (intervalo 1-3600 segundos; opcin predefinida
120 segundos).
ID de clster reflector
Especifique un identificador IPv4 para representar el clster reflector.
AS de miembro de
confederacin
Especifique el identificador de la confederacin AS que se presentar

como un AS nico a los peers BGP externos.
Perfiles de
amortiguacin
Entre los parmetros se incluyen:

Nombre del perfil: Introduzca un nombre para identificar el perfil.
Habilitar: activa el perfil.
Corte: Especifique un umbral retirada de ruta por encima del cual, se
suprime un anuncio de ruta (intervalo 0,0-1000,0; opcin predefinida 1,25).
Reutilizar: Especifique un umbral de retirada de ruta por debajo del
cual una ruta suprimida se vuelve a utilizar (intervalo 0,0-1000,0; opcin
predeterminada 5).
Mx. de tiempo de espera: Especifique el tiempo mximo durante el
que una ruta se puede suprimir, con independencia de su inestabilidad
(intervalo 0-3600 segundos; opcin predeterminada 900 segundos).
Media vida de disminucin alcanzable: Especifique el tiempo despus
del cual la mtrica de estabilidad de una ruta se divide entre dos si la
ruta se considera alcanzable (intervalo 0-3600 segundos; opcin
predefinida 300 segundos).
Media vida de disminucin no alcanzable: Especifique el tiempo
despus del cual la mtrica de estabilidad de una ruta se divide entre
dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos;
opcin predefinida 300 segundos).
Haga clic en el icono
para eliminar un perfil.
Palo Alto Networks
Configuracin de la pestaa Grupo del peer

Red > Enrutador virtual > BGP > Grupo del peer
La tabla siguiente describe los ajustes de la pestaa Grupo del peer.
Tabla 100. Configuracin de BGP Pestaa Grupo del peer

Campo
Descripcin
Pestaa Grupo del peer

Nombre
Introduzca un nombre para identificar el peer.
Habilitar
Seleccione para activar el peer.
Ruta AS confederada
agregada
Seleccione la casilla de verificacin para incluir una ruta a la AS de

confederacin agregada configurada.
Restablecimiento parcial
con informacin
almacenada
Seleccione la casilla de verificacin para ejecutar un restablecimiento

parcial del cortafuegos despus de actualizar los ajustes de peer.
Tipo
Especifique el tipo o grupo de peer y configure los ajustes asociados

(consulte la tabla siguiente para ver las descripciones de Importar
siguiente salto y Exportar siguiente salto).
IBGP: Especifique lo siguiente:
Exportar siguiente salto
EBGP confederado: Especifique lo siguiente;
IBGP confederado: Especifique lo siguiente:
EBGP: Especifique lo siguiente:
Importar siguiente salto
Eliminar AS privado (seleccione si desea forzar que BGP elimine
nmeros AS privados).
Importar siguiente salto
Seleccione una opcin para importar el siguiente salto:

original: Utilice la direccin del salto siguiente en el anuncio de la ruta
original.
uso-peer: Utilice la direccin IP del peer como la direccin del salto
siguiente.
Seleccione una opcin para exportar el siguiente salto:

resolver: Resuelve la direccin del siguiente salto mediante la tabla de
reenvo local.
usar mismas: Sustituya la direccin del siguiente salto con la direccin
de esta direccin IP del enrutador para garantizar que estar en la ruta
de reenvo.
Palo Alto Networks
Tabla 100. Configuracin de BGP Pestaa Grupo del peer (Continuacin)

Campo
Descripcin
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin
IP local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin:
Especifique un intervalo despus del cual las rutas de un peer se
supriman segn el parmetro de tiempo de espera (intervalo
0-1200 segundos; opcin predeterminada: 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predeterminada:
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un
peer antes de cerrar la conexin del peer. (rango: 3-3600 segundos;
valor predeterminado: 90 segundos)
Tiempo de espera de inactividad: Especifique el tiempo de espera en
estado de inactividad antes de volver a intentar la conexin con el
peer (intervalo 1-3600 segundos; opcin predeterminada:
15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Conexiones entrantes/Conexiones salientes: Especifique los nmeros
de puertos entrantes y salientes y seleccione la casilla de verificacin
Permitir para permitir el trfico desde o hacia estos puertos.
Configuracin de las pestaas Importar y Exportar

Red > Enrutador virtual > BGP > Importar
Red > Enrutador virtual > BGP > Exportar
Palo Alto Networks
La tabla siguiente describe los ajustes de la pestaa Importar y Exportar:
Tabla 101. Configuracin de BGP Pestaas Importar y Exportar

Campo
Descripcin
Pestaas Importar
reglas/Exportar reglas
Importar reglas/
Exportar reglas
Haga clic en la pestaa secundaria de BGP Importar reglas o Exportar

reglas. Para agregar una nueva regla, haga clic en Aadir y configure los
siguientes ajustes:
Pestaa secundaria General:
Nombre: Especifique un nombre para identificar la regla.
Habilitar: Seleccione para activar la regla.
Utilizada por: Seleccione los grupos de peer que utilizarn esta regla.
Pestaa secundaria Coincidencia:
Expresin regular de ruta AS: Especifique una expresin regular para el
filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
Prefijo de direccin: Especifique direcciones o prefijos IP para el filtrado
de rutas.
MED: Especifique un valor de MED para el filtrado de rutas.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Pestaa secundaria Accin:
Accin: Especifique una accin (Permitir o Denegar) que se realizar
cuando se cumplan las condiciones especificadas.
Preferencia local: Especifique un valor de preferencia local nicamente
si la accin es Permitir.
MED: Especifique un valor de MED, nicamente si la accin es Permitir
(0- 65535).
Peso: Especifique un valor de peso, nicamente si la accin es Permitir.
(0- 65535).
Siguiente salto: Especifique un enrutador de siguiente salto,
nicamente si la accin es Permitir.
Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta,
Lmite de ruta AS: Especifique un lmite de ruta AS, nicamente si la
accin es Permitir.
Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder,
Eliminar y preceder, nicamente si la accin es Permitir.
Comunidad: Especifique una opcin de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, nicamente si la
accin es Permitir.
Comunidad extendida: Especifique una opcin de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
Amortiguacin: Especifique un parmetro de amortiguacin,
Haga clic en el icono para eliminar un grupo. Haga clic en Duplicar para
aadir un nuevo grupo con los mismos ajustes que el grupo seleccionado.
Se aade un sufijo al nombre del nuevo grupo para distinguirlo del original.
Palo Alto Networks
Configuracin de la pestaa Anuncio condicional

Red > Enrutador virtual > BGP > Anuncio condicional
La tabla siguiente describe los ajustes de la pestaa Anuncio condicional:
Tabla 102. Configuracin de BGP Pestaas Anuncio condicional

Campo
Descripcin
Pestaa Anuncio
condicional
La funcin de anuncio condicional BGP permite controlar la ruta que se

anunciar en caso de que no exista ninguna ruta diferente en la tabla de
enrutamiento BGP local (LocRIB), indicando un fallo de peering o
alcance. Esta funcin es muy til si desea probar y forzar rutas de un AS a
otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea enrutar
el trfico a un nico proveedor, en lugar de a los otros, salvo que se
produzca una prdida de conectividad con el proveedor preferido. Con la
funcin de anuncio condicional, puede configurar un filtro no existente
que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta
coincidente con el filtro no existente en la tabla de enrutamiento BGP
local, solo entonces el dispositivo permitir el anuncio de la ruta
alternativa (la ruta al otro proveedor no preferido) tal y como se
especifica en su filtro de anuncio. Para configurar el anuncio condicional,
seleccione la pestaa Anuncio condicional y haga clic en Aadir.
A continuacin se describe cmo se configuran los valores en los campos.
Poltica
Especifique el nombre de la poltica para esta regla de anuncio

condicional.
Habilitar
Seleccione la casilla de verificacin para activar el anuncio condicional

de BGP.
Utilizado por
Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Pestaa secundaria
Filtros no existentes
Utilice esta pestaa para especificar el prefijo de la ruta preferida.

Especifica la ruta que desea anunciar, si est disponible en la tabla de ruta
de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no
existente, el anuncio se suprimir.
Haga clic en Aadir para crear un filtro no existente.
Filtros no existentes: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto de la ruta preferida.
Palo Alto Networks
Tabla 102. Configuracin de BGP Pestaas Anuncio condicional (Continuacin)

Campo
Descripcin
Pestaa secundaria
Anunciar filtros
Utilice esta pestaa para especificar el prefijo de la ruta de la tabla de

enrutamiento Local-RIB que se debera anunciar en caso de que la ruta del
filtro no existente no est disponible en la tabla de enrutamiento local.
Si un prefijo se va a anunciar y no coincide con un filtro no existente, el
anuncio se producir.
Haga clic en Aadir para crear un filtro de anuncio.
Anunciar filtros: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto para anunciar la ruta si la ruta preferida no est disponible.
Configuracin de la pestaa Agregado

Red > Enrutador virtual > BGP > Agregado
La tabla siguiente describe los ajustes de la pestaa Agregado:
Tabla 103. Configuracin de BGP Pestaas Agregado

Campo
Descripcin
Pestaa Agregado
Nombre
Introduzca un nombre para la configuracin de agregacin.
Suprimir filtros
Defina los atributos que harn que las rutas coincidentes se supriman.
Anunciar filtros
Defina los atributos para los filtros anunciados que asegurarn que
cualquier enrutador que coincida con el filtro definido se publicar en
los peers.
Agregar atributos
de ruta
Defina los atributos que se utilizarn para hacer coincidir las rutas que se
agregarn.
Palo Alto Networks
Configuracin de la pestaa Reglas de distr.

Red > Enrutador virtual > BGP > Reglas de distr.
En la siguiente tabla se describe la configuracin de la pestaa Reglas de redistr.:
Tabla 104. Configuracin de BGP Reglas de distr.

Campo
Descripcin
Pestaa Reglas
de redistr.
Nombre
Seleccione el nombre del perfil de redistribucin.
Permitir redistribucin
de ruta predeterminada
Seleccione la casilla de verificacin para permitir que el cortafuegos

redistribuya su ruta predefinida a los peers BGP.
Reglas de redistr.
Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla se han
descrito anteriormente en las pestaas Importar reglas y Exportar reglas.
para eliminar una regla.
Configuracin de la pestaa Multidifusin

Red > Enrutador virtual > Multidifusin
La configuracin de protocolos multicast necesita que se configuren los siguientes ajustes
estndar:
Tabla 105. Configuracin de enrutador virtual - Pestaa Multicast

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el enrutamiento multicast.
Pestaa Punto de encuentro: Consulte Configuracin de la pestaa Punto de

encuentro.
Pestaa Interfaces: Consulte Configuracin de la pestaa Interfaces.

Pestaa Umbral SPT: Consulte Configuracin de la pestaa Umbral SPT.
Pestaa Espacio de direccin especfico de origen: Consulte Configuracin de la
pestaa Espacio de direccin especfico de origen.
Configuracin de la pestaa Punto de encuentro

Red > Enrutador virtual > Multicast > Punto de encuentro
Palo Alto Networks
La tabla siguiente describe los ajustes de la pestaa Punto de encuentro:
Tabla 106. Configuracin multicast Pestaa Punto de encuentro

Campo
Descripcin
Pestaa secundaria
Punto de encuentro
Tipo de RP
Seleccione el tipo de Punto de encuentro (RP) que se ejecutar en este

enrutador virtual. Se debe configurar un RP esttico de forma explcita en
otros enrutadores PIM, mientras que se elige automticamente un RP
candidato.
Ninguno: Seleccione esta opcin si no hay ningn RP ejecutndose en
este enrutador virtual.
Esttico: Especifique una direccin IP esttica para el RP y seleccione las
opciones de Interfaz de RP y Direccin de RP en las listas desplegables.
Active la casilla de verificacin Cancelar RP obtenido para el mismo
grupo si desea utilizar el RP especificado del RP elegido para este grupo.
Candidato:: Especifique la siguiente informacin para el candidato del
RP que se ejecuta en este enrutador virtual:
Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de
interfaz vlidos incluyen loopback, L3, VLAN, Ethernet agregada y
tnel.
Direccin de RP: Seleccione una direccin IP para el RP.
Prioridad: Especifique una prioridad para los mensajes de RP
candidato (opcin predefinida 192).
Intervalo de anuncio: Especifique un intervalo entre anuncios para
mensajes RP candidatos.
Lista de grupos: Si selecciona Esttico o Candidato, haga clic en Aadir
para especificar una lista de grupos en los que este RP candidato se
propone para ser el RP.
Punto de encuentro
remoto
Haga clic en Aadir y especifique la siguiente informacin:

Direccin IP: Especifique la direccin IP del RP.
Cancelar RP obtenido para el mismo grupo: Active esta casilla de
verificacin si desea utilizar el RP especificado del RP elegido para este
grupo.
Grupo: Especifique una lista de grupos en los que la direccin
especificada actuar como RP.
Configuracin de la pestaa Interfaces

Red > Enrutador virtual > Multicast > Interfaces
En la siguiente tabla se describe la configuracin de la pestaa Interfaces:
Tabla 107. Configuracin multicast Pestaa Interfaces

Campo
Descripcin
Pestaa secundaria
Interfaces
Nombre
Introduzca un nombre para identificar un grupo de interfaces.
Descripcin
Introduzca una descripcin opcional.
Interfaz
Haga clic en Aadir para especificar una o ms interfaces de cortafuegos.
Palo Alto Networks
Tabla 107. Configuracin multicast Pestaa Interfaces (Continuacin)

Campo
Descripcin
Permisos de grupos
Especifique las reglas generales para el trfico multicast:

Cualquier fuente: Haga clic en Aadir para especificar una lista de
grupos multicast para los que se permite el trfico PIM-SM.
Origen especfico: Haga clic en Aadir para especificar una lista de
grupos multicast y pares de origen multicast para los que se permite el
trfico PIM-SSM.
IGMP
Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando se
comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes del
grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Configuracin PIM
Especifique los siguientes ajustes multicast independiente de protocolo

(PIM):
Habilitar: Seleccione la casilla de verificacin para permitir que esta
interfaz reciba y/o reenve mensajes PIM
Imponer intervalo: Especifique el intervalo entre mensajes de imposicin de PIM.
Intervalo de saludo: Especifique el intervalo entre mensajes de saludo
de PIM.
Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de
unin y poda de PIM (segundos). El valor predeterminado es 60.
Prioridad de DR: Especifique la prioridad del enrutador que se ha
designado para esta interfaz
Borde de BSR: Active la casilla de verificacin para utilizar la interfaz
como borde de arranque.
Vecinos PIM: Haga clic en Aadir para especificar la lista de vecinos
que se comunicarn mediante PIM.
Palo Alto Networks
Configuracin de la pestaa Umbral SPT

Red > Enrutador virtual > Multicast > Umbral SPT
La tabla siguiente describe los ajustes de la pestaa Umbral SPT.
Tabla 108. Configuracin multicast Pestaa Umbral SPT

Campo
Descripcin
Pestaa secundaria
Umbral SPT
Nombre
El umbral SPT (Shortest Path Tree) define la tasa de rendimiento

(en kbps) a la que el enrutamiento multicast cambiar desde la
distribucin del rbol compartido (con origen en el punto de encuentro) a
la distribucin del rbol de origen.
Haga clic en Aadir para especificar los siguientes ajustes de SPT:
Grupo/prefijo multicast: Especifique la direccin/prefijo IP para el que
SPT se cambiar a la distribucin del rbol de origen cuando el
rendimiento alcance los umbrales deseados (kbps).
Umbral: Especifique el rendimiento al que se cambiar desde la
distribucin del rbol compartido a la distribucin del rbol de origen.
Configuracin de la pestaa Espacio de direccin especfico de origen

Red > Enrutador virtual > Multicast > Espacio de direccin especfico de origen
La tabla siguiente describe los ajustes de la pestaa Espacio de direccin especfico de origen.
Tabla 109. Configuracin multicast Pestaa Espacio de direccin especfico de origen

Campo
Descripcin
Pestaa secundaria
Espacio de direccin
especfico de origen
Nombre
Define los grupos multicast a los que el cortafuegos proporcionar

servicios multicast de origen especfico (SSM).
Haga clic en Aadir para especificar los siguientes ajustes de direcciones
de origen especfico:
Nombre: Introduzca un nombre para identificar este grupo de ajustes.
Grupo: Especifique los grupos del espacio de direccin SSM.
Incluido: Active esta casilla de verificacin para incluir los grupos
especificados en el espacio de direccin SSM.
Palo Alto Networks
Definicin de zonas de seguridad

Red > Zonas
Para que la interfaz de un cortafuegos pueda procesar el trfico, se debe asignar a una zona de
seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente
informacin:
Tabla 110. Configuracin de zona de seguridad

Campo
Descripcin
Nombre
Introduzca un nombre de una zona (hasta 15 caracteres). Este nombre

aparece en la lista de zonas cuando se definen polticas de seguridad y se
configuran interfaces. El nombre hace distincin entre maysculas y
espacios, puntos, guiones y guiones bajos.
Ubicacin
Este campo solo aparece si el dispositivo admite varios sistemas virtuales

(vsys) y esa funcin est activada. Seleccione el vsys que se aplicar a esta
zona.
Tipo
Seleccione un tipo de zona (Capa 2, Capa 3, Cable virtual, Tap, o sistema

virtual externo) para enumerar todas las interfaces de ese tipo que no
tengan una zona asignada. Los tipos de zona de capa 2 y capa 3
enumeran todas las interfaces y subinterfaces Ethernet de ese tipo. El tipo
de sistema virtual externo es para comunicaciones entre los sistemas
virtuales del cortafuegos.
Cada interfaz puede pertenecer a una zona en un sistema virtual.
Perfiles de proteccin de
zonas
Seleccione un perfil que especifique cmo responde la puerta de enlace

de seguridad a los ataques en esta zona. Para aadir nuevos perfiles,
consulte Definicin de perfiles de proteccin de zonas.
Ajuste de log
Seleccione un perfil para reenviar logs de proteccin de zonas a un

sistema externo.
Si tiene un perfil de reenvo de logs denominado predeterminado, este se
seleccionar automticamente para este campo cuando defina una nueva
zona de seguridad. Puede cancelar esta configuracin predeterminada en
cualquier momento seleccionado un perfil de reenvo de logs diferente
cuando establezca una nueva zona de seguridad. Para definir o aadir un
nuevo perfil de reenvo de logs (y para denominar a un perfil
predeterminado y que este campo se rellene automticamente), haga clic en
Nuevo (consulte Reenvo de logs).
Palo Alto Networks
Tabla 110. Configuracin de zona de seguridad (Continuacin)

Campo
Descripcin
Habilitar identificacin
de usuarios
Si ha configurado el ID de usuario para realizar una asignacin de

direccin IP a nombre de usuario (deteccin), seleccione esta casilla de
verificacin para aplicar la informacin de asignacin al trfico en esta
zona. Si cancela la seleccin de la casilla de verificacin, los logs de
cortafuegos, informes y polticas excluirn la informacin de asignacin
de usuario del trfico de la zona.
Por defecto, si selecciona esta casilla de verificacin, el cortafuegos aplica
informacin de asignacin de usuario al trfico de todas las subredes de
la zona. Para limitar la informacin a subredes especficas de la zona, use
la Lista de permitidos y la Lista de excluidos.
Observe que el ID de usuario realiza una deteccin de la zona solo si cae
dentro del intervalo de red que supervisa el ID de usuario. Si la zona est
fuera del intervalo, el cortafuegos no aplicar la informacin de
asignacin de usuario al trfico de la zona aunque seleccione la casilla de
verificacin Habilitar identificacin de usuarios. Para definir el
intervalo supervisado, consulte la Gua del administrador de
PAN-OS.
ACL de identificacin de
usuarios
Lista de permitidos
Por defecto, si no especifica las subredes en esta lista, el cortafuegos

aplica la informacin de asignacin de usuario que detecte a todo el
trfico de la zona para usarla en logs, informes y polticas. Para limitar la
aplicacin de informacin de asignacin de usuario a subredes
especficas en la zona despus, para cada subred, haga clic en Agregar y
seleccione un objeto de direccin (o grupo de direcciones) o escriba el
intervalo de direcciones IP (por ejemplo, 10.1.1.1/24). La exclusin de
todas las dems subredes es implcita: no necesita aadirlas a la Lista de
excluidos. Aada entradas a la Lista de excluidos nicamente para
excluir informacin de asignacin de usuario para un subconjunto de
redes en la Lista de permitidos. Por ejemplo, si aade 10.0.0.0/8 a la
Lista de permitidos y 10.2.50.0/22 a la Lista de excluidos, el cortafuegos
incluir la informacin de asignacin de usuario a todas las subredes de
zona de 10.0.0.0/8 excepto 10.2.50.0/22, y excluye informacin de todas
las subredes de zona fuera de 10.0.0.0/8. Observe que solo puede incluir
subredes que caigan dentro del intervalo de red que supervise el ID de
usuario. Para definir el intervalo supervisado, consulte la Gua del
administrador de PAN-OS.
ACL de identificacin de
usuarios
Lista de excluidos
Para excluir la informacin de asignacin de usuario para un

subconjunto de subredes en la Lista de permitidos, para cada subred que
vaya a excluir, haga clic en Aadir y seleccione un objeto de direccin
(o grupo de direcciones) o escriba el intervalo de direcciones IP.
Si aade entradas a la Lista de excluidos pero no la Lista de
permitidos, el cortafuegos excluye la informacin de asignacin
de usuarios para todas las subredes de la zona, no solo las
subredes que ha aadido.
Componentes del ECMP

Red > Enrutadores virtuales > Configuracin de enrutador > ECMP
El procesamiento de trayectoria mltiple a igual coste (ECMP) es una funcin de red que permite
al cortafuegos usar hasta cuatro rutas de igual coste hacia el mismo destino. Sin esta funcin, si hay
mltiples rutas del mismo coste al mismo destino, el enrutador virtual selecciona una de estas
rutas de la tabla de enrutamiento y la aade a su tabla de envo; no usar ninguna de las dems
Palo Alto Networks
rutas a no ser que se interrumpa la ruta seleccionada. La habilitacin de la funcionalidad ECMP en

un enrutador virtual permite que el cortafuegos tenga hasta cuatro rutas del mismo coste a un
destino en esta tabla de reenvo, permitiendo que el cortafuegos:
Equilibre la carga de los flujos (sesiones) al mismo destino en mltiples enlaces del mismo
coste.
Use el ancho de banda disponible en enlaces hacia el mismo destino, en lugar de dejar
algunos enlaces sin usar.
Cambie dinmicamente el trfico a otro miembro de ECMP hacia el mismo destino si falla
un enlace, en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB
seleccione una ruta alternativa. Esto puede ayudar a reducir el tiempo de inactividad
cuando falla el enlace.
El equilibrio de carga de ECMP se realiza a nivel de sesin, no a nivel de paquete. Esto
significa que el cortafuegos selecciona una ruta de igual coste al principio de una nueva
sesin, no cada vez que se recibe un paquete.
Note: La activacin, desactivacin o cambio de funcionalidad de ECMP requiere que
reinicie el cortafuegos, lo que puede provocar que se terminen las sesiones.
Para configurar ECMP para un enrutador virtual, seleccione un enrutador virtual y,

en Configuracin de enrutador, seleccione la pestaa ECMP y configure lo siguiente:
Tabla 111 ECMP

Campo
Descripcin
Haga clic en Habilitar para habilitar ECMP.
Habilitar
La activacin, desactivacin o cambio de funcionalidad de ECMP

requiere que reinicie el cortafuegos, lo que puede provocar que se
terminen las sesiones.
Retorno simtrico
Tiene la opcin se hacer clic en la casilla de verificacin Retorno simtrico

para provocar que los paquetes de retorno salgan de la misma interfaz a la que
llegaron los paquetes de entrada asociados. Es decir, el cortafuegos usar la
interfaz de entrada a la que enviar los paquetes de retorno, en lugar de usar la
interfaz ECMP, de modo que el ajuste Retorno simtrico sobrescribe el
equilibrio de cargas. Este comportamiento solo se produce con flujos de trfico
del servidor al cliente.
Ruta mx.
Seleccione el nmero mximo de rutas de coste igual (2, 3 o 4) a una red de

destino que puede copiarse del RIB al FIB. Valor predeterminado: 2.
Palo Alto Networks
Tabla 111 ECMP (Continuacin)

Campo
Descripcin
Seleccione uno de los siguientes algoritmos de equilibrado de carga ECMP
para usarlo en el enrutador virtual. El equilibrio de carga de ECMP se realiza a
nivel de sesin, no a nivel de paquete. Esto significa que el cortafuegos
(ECMP) selecciona una ruta de igual coste al principio de una nueva sesin, no
cada vez que se recibe un paquete.
Mtodo
Mdulo de IP: Por defecto, el enrutador virtual equilibra las cargas de

sesiones mediante esta opcin, que usa un hash de las direcciones IP de
origen y destino en el encabezado del paquete para determinar qu ruta
ECMP se puede usar.
Hash de IP: Tiene la opcin de hacer clic en Usar puertos de origen/destino
para incluir los puertos en el clculo de hash, adems de las direcciones IP de
origen y destino. Tambin puede introducir un valor de Valor de
inicializacin de hash (un entero) para aleatorizar an ms el equilibrio de
cargas.
Operacin por turnos ponderada: Este algoritmo se puede usar para tener
en cuenta distintas capacidades y velocidades de enlace. Al seleccionar este
algoritmo se abrir la ventana Interfaz. Haga clic en Aadir y seleccione una
Interfaz para incluirla en el grupo de operacin por turnos ponderada.
En cada interfaz, escriba el Peso que se usar para esa interfaz. El campo
Peso es de manera predeterminada 100; el intervalo 1-255. Mientras mayor
sea el peso de una ruta de coste igual especfica, con ms frecuencia se seleccionar esa ruta de igual coste en una nueva sesin. Un enlace de mayor
velocidad recibir un peso ms alto que uno ms lento, para que haya ms
trfico ECMP que atraviese el enlace ms rpido. Haga clic en Aadir de
nuevo para aadir otra interfaz y peso.
Operacin por turnos equilibrada: Distribuye las secciones de ECMP
entrantes de forma homognea entre los enlaces.
Ms estadsticas de tiempo de ejecucin para un enrutador virtual

Haga clic en el enlace Ms estadsticas de tiempo de ejecucin de una fila de enrutador virtual para
que se abra una ventana con informacin sobre ese enrutador virtual. La ventana muestra las
siguientes pestaas:
Pestaa Enrutamiento: Consulte Pestaa Enrutamiento.

Pestaa RIP: Consulte Pestaa RIP.
Pestaa BGP: Consulte Pestaa BGP.
Pestaa Multidifusin: Consulte Pestaa Multidifusin.
Palo Alto Networks
Pestaa Enrutamiento
La siguiente tabla describe las Estadsticas de tiempo de ejecucin de enrutamiento del
enrutador virtual.
Tabla 112 Estadsticas de tiempo de ejecucin de enrutamiento

Campo
Descripcin
Destino
Mscara de red y direccin IPv4 o direccin IPv6 y longitud de prefijo de

redes que puede alcanzar el enrutador virtual.
Siguiente salto
Direccin IP del siguiente salto hacia la red de destino. Si el siguiente

salto es 0.0.0.0, se indica la ruta predeterminada.
Mtrica
Mtrica de la ruta.
Marcas
A?B: Activo y obtenido mediante BGP.

A C: Activo y resultado de una interfaz interna (conectada) - Destino = red.
A C: Activo y resultado de una interfaz interna (conectada) - Destino =
solo host.
A R: Activo y obtenido mediante RIP.

A S: Activo y esttico.
S: Inactivo (porque esta ruta tiene una mtrica ms alta) y esttico.
O1: OSPF externo tipo 1.
O2: OSPF externo tipo 2.
Oi: OSPF intrarea.
Oo: OSPF interrea.
Edad
Edad de la entrada de la ruta en la tabla de rutas. Las rutas estticas no

tienen edad.
Interfaz
Interfaz de salida del enrutador virtual que deber usarse para llegar al
siguiente salto.
Pestaa RIP
La siguiente tabla describe las Estadsticas de tiempo de ejecucin de RIP del enrutador virtual.
Tabla 113 Estadsticas de tiempo de ejecucin de RIP

Campo
Descripcin
Pestaa secundaria
Resumen
Segundos del intervalo
Nmero de segundos en un intervalo; esta valor afecta al Intervalo de

actualizacin, los Intervalos de vencimiento y el Intervalo de eliminacin.
Intervalo de
actualizaciones
Numero de intervalos entre las actualizaciones de anuncio de

enrutamiento RIP que el enrutador virtual enva a los peer.
Intervalos de
vencimiento
Nmero de intervalos desde que se recibi la ltima actualizacin del

enrutador virtual de un peer, tras el cual el enrutador virtual marca las
rutas del peer como inutilizables.
Intervalos de
eliminacin
Nmero de intervalos tras el cual una ruta se marca como inutilizable y

tras el cual, si no se recibe ninguna actualizacin, la ruta se elimina de la
tabla de enrutamiento.
Palo Alto Networks
Tabla 113 Estadsticas de tiempo de ejecucin de RIP (Continuacin)

Campo
Descripcin
Pestaa secundaria
Interfaces
Direccin
Direccin IP de una interfaz en el enrutador virtual donde est activado

RIP.
Tipo de autenticacin
Tipo de autenticacin: contrasea simple, MD5 o ninguno.
Enviar permitidos
La marca de verificacin indica que esta interfaz tiene permiso para

enviar paquetes RIP.
Recibir permitidos
La marca de verificacin indica que esta interfaz tiene permiso para

recibir paquetes RIP.
Anunciar ruta
predeterminada
La marca de verificacin indica que RIP anunciar su ruta

predeterminada a sus peers.
Mtrica de ruta
predeterminada
Mtrica (recuento de saltos) asignada a la ruta predeterminada.

Mientras menor sea el valor mtrico ms prioridad tendr en la tabla de
enrutamiento para su seleccin como ruta preferida.
ID de clave
Clave de autenticacin usada con los peers.
Preferido
Clave de autenticacin preferida.
Pestaa secundaria
Peer
Direccin del peer
Direccin IP de un peer hacia la interfaz RIP del enrutador virtual.
ltima actualizacin
Fecha y hora a la que se recibi la ltima actualizacin de este peer.
Versin de RIP
Versin RIP que est ejecutando el peer.
Paquetes no vlidos
Recuento de paquetes no vlidos recibidos de este peer. Posibles causas

por las que el cortafuegos no puede procesar el paquete RIP: x bytes por
encima del lmite de enrutamiento, demasiadas rutas en el paquete,
subred incorrecta, direccin ilegal, fallo de autenticacin o no hay
suficiente memoria.
Rutas no vlidas
Recuento de rutas no vlidas recibidas de este peer. Causas posibles: ruta

no vlida, fallo de importacin o memoria insuficiente.
Pestaa BGP
La siguiente tabla describe las estadsticas de tiempo de ejecucin de BGP del enrutador
virtual.
Tabla 114 Estadsticas de tiempo de ejecucin de BGP

Campo
Descripcin
Pestaa secundaria
Resumen
ID del enrutador
Id de enrutador asignada a la instancia de BGP.
Rechazar ruta por

defecto
Indica si se ha configurado la opcin Rechazar ruta por defecto, que

provoca que VR ignore cualquier ruta predeterminada anunciada por los
peers BGP.
Palo Alto Networks
Tabla 114 Estadsticas de tiempo de ejecucin de BGP (Continuacin)

Campo
Descripcin
Redistribuir ruta por

defecto
Indica si se ha configurado la opcin Permitir redistribucin de ruta

predeterminada.
Instalar ruta
Indica si se ha configurado la opcin Instalar ruta, que provoca que VR

instale las rutas BGP en la tabla de enrutamiento global.
Reinicio correcto
Indica si se ha activado o no Reinicio correcto (asistencia).
Tamao AS
Indica si el tamao de Formato AS seleccionado es 2 Byte o 4 Byte.
AS local
Nmero de AS al que pertenece VR.
AS de miembro local
Nmero AS de miembro local (solo vlido si el VR est en una

confederacin). El campo ser 0 si VR no est en una confederacin.
ID de clster
Muestra el ID de clster reflector configurado.
Preferencia local
predeterminada
Muestra la preferencia local predeterminada configurada para el VR.
Comparar siempre MED
Indica si se ha configurado la opcin Comparar siempre MED, que

permite comparar entre rutas de vecinos en distintos sistemas
autnomos.
Agregar MED
independientemente
Indica si se ha configurado la opcin Agregar MED, que permite aadir

una ruta aunque las rutas tengan valores MED distintos.
Procesamiento
determinista de MED
Indica si se ha configurado la opcin Comparacin determinista de MED,

que permite a una comparacin elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo AS).
Entradas salientes de
RIB actuales
Nmero de entradas en la tabla RIB saliente.
Entradas salientes de
RIB pico
Nmero mximo de rutas Adj-RIB-Salida que se han asignado en un

momento dado.
Pestaa secundaria
Peer
Nombre
Nombre del peer.
Grupo
Nombre del grupo de peers al que pertenece este peer.
IP local
Direccin IP de la interfaz BGP en el VR.
IP del peer
Direccin IP del peer.
Peer AS
Sistema autnomo al que pertenece el peer.
Contrasea establecida
S o No indica si se ha definido la autenticacin.
Estado
Estado del peer, p. ej. Activo, Conectar, Establecido, Inactivo,

Confirmacin abierta o Enviado abierto.
Duracin de estado
(seg.)
Duracin del estado del peer.
Pestaa secundaria
Grupo de peers
Nombre de grupo
Nombre del grupo de peers.
Tipo
Tipo del grupo de peers configurados, como EBGP o IBGP.
Palo Alto Networks

Campo
Descripcin
Agregar AS
confederado
S o No indican si se ha configurado la opcin Agregar AS confederado.
Soporte de
restablecimiento parcial
S o No indica si el grupo de peers admite un restablecimiento parcial.

Cuando cambian las polticas de enrutamiento a un peer BGP, las
actualizaciones de tabla de enrutamiento pueden verse afectadas. Se
recomienda un restablecimiento parcial de las sesiones BGP en lugar de
uno completo, el restablecimiento parcial permite que las tablas de
enrutamiento se actualicen sin borrar las sesiones BGP.
Prximo salto
automtico
S o No indica si se ha configurado esta opcin.
Siguiente salto de
tercero
S o No indica si se ha configurado esta opcin.
Eliminar AS privado
Indica si las actualizaciones eliminarn los nmeros AS privados del

atributo AS_PATH antes de que se enven.
Pestaa secundaria
RIB local
Prefijo
Prefijo de red y mscara de subred en la base de informacin de

enrutamiento local.
Marca
* indica que la ruta se seleccion como la mejor ruta BGP.
Siguiente salto
Direccin IP del siguiente salto hasta el prefijo.
Peer
Nombre del peer.
Peso
Atributo de peso asignado al prefijo. Si el cortafuegos tiene ms de una

ruta hacia el mismo prefijo, la ruta con el peso ms alto se instalar en la
tabla de enrutamiento de IP.
Preferencia local.
Atributo de preferencia local para la ruta, que se usa para seleccionar el

punto de salida hacia el prefijo si hay mltiples puntos de salida. Es
preferible una preferencia local ms alta en lugar de ms baja.
Ruta AS
Lista de sistemas autnomos en la ruta hacia la red Prefijo; la lista se

anuncia en las actualizaciones BGP.
IP Origen
Atributo de origen para el prefijo, cmo BGP program la ruta.
MED
Atributo Discriminador de salida mltiple (MED) de la ruta. El MED es

un atributo mtrico para una ruta, que el AS que anuncia la ruta sugiere a
un AS externo. Se prefiere un MED ms bajo antes que uno ms alto.
Recuento de flaps
Nmero de flaps de la ruta.
Pestaa secundaria
RIB saliente
Prefijo
Entrada de enrutamiento de red en la base de informacin de

enrutamiento.
Siguiente salto
Direccin IP del siguiente salto hasta el prefijo.
Peer
Peer al que el VR anunciar esta ruta.
Preferencia local.
Atributo de preferencia local para acceder al prefijo, que se usa para

seleccionar el punto de salida hacia el prefijo si hay mltiples puntos de
salida. Es preferible una preferencia local ms alta en lugar de ms baja.
Palo Alto Networks

Campo
Descripcin
Ruta AS
Lista de sistemas autnomos en la ruta hacia la red de prefijo.
IP Origen
Atributo de origen para el prefijo, cmo BGP program la ruta.
MED
Atributo Discriminador de salida mltiple (MED) del prefijo. El MED es

un atributo mtrico para una ruta, que el AS que anuncia la ruta sugiere a
un AS externo. Se prefiere un MED ms bajo antes que uno ms alto.
Anunciar estado
Estado anunciado de la ruta.
Agregar estado
Indica si la ruta se ha agregado con otras rutas.
Pestaa Multidifusin
La siguiente tabla describe las estadsticas de tiempo de ejecucin de IP multicast del
enrutador virtual.
Tabla 115 Estadsticas de tiempo de ejecucin multicast

Campo
Descripcin
Pestaa secundaria
FIB
Grupo
Direccin de grupo multicast que reenviar el VR.
Origen
Direccin de origen multicast.
Interfaces entrantes
Indica interfaces en las que el trfico multicast entra en VR.
Pestaa secundaria
Interfaz IGMP
Interfaz
Interfaz que tiene activado IGMP.
Versin
Versin 1, 2 o 3 del Protocolo de administracin de grupos de Internet

(IGMP).
Solicitante
Direccin IP del solicitante IGMP en esa interfaz.
Tiempo de activacin
del solicitante
Tiempo que el solicitante IGMP ha estado activado.
Tiempo de vencimiento
del solicitante
Tiempo restante para que caduque el cronmetro de presencia de otro

solicitante.
Potencia
Potencia variable de la interfaz IGMP.
Lmite de grupos
Nmero de grupos multicast permitidos en la interfaz.
Lmite de orgenes
Nmero de orgenes multicast permitidos en la interfaz.
Salida inmediata
S o No indica si se ha configurado la Salida inmediata. Salida inmediata

indica que el enrutador virtual eliminar una interfaz de la entrada de tabla
de reenvos sin enviar las consultas especficas de grupo IGMP de la interfaz.
Pestaa secundaria
Pertenencia IGMP
Interfaz
Nombre de una interfaz a la que corresponde la pertenencia.
Grupo
Direccin de grupo multicast de IP.
Palo Alto Networks
Tabla 115 Estadsticas de tiempo de ejecucin multicast (Continuacin)

Campo
Descripcin
Origen
Direccin de origen del trfico multicast.
Tiempo de activacin
Tiempo que ha estado activada esta pertenencia.
Tiempo que queda antes de que venza la pertenencia.
Modo de filtro
Incluir o excluir el origen. VR se ha configurado para incluir todo el trfico

o solo el que procede de este origen (incluir), o el trfico de cualquier
origen excepto este (excluir).
Excluir caducidad
Tiempo restante hasta que vence el estado Excluir de la interfaz.
Temporizador de
host V1
Tiempo restante hasta que el enrutador local asume que no quedan miembros
de ningn IGMP versin 1 en la subred de IP adjuntada a la interfaz.
Temporizador de
host V2
Tiempo restante hasta que el enrutador local asume que no quedan miembros
de ningn IGMP versin 2 en la subred de IP adjuntada a la interfaz.
Pestaa secundaria
Asignacin de
grupos PIM
Grupo
Direccin IP del grupo asignado a un punto de encuentro.
RP
Direccin IP del punto de encuentro del grupo.
IP Origen
Indica dnde identific VR el RP.
Modo PIM
ASM o SSM.
Inactivo
Indica que la asignacin del grupo al RP est inactiva.
Pestaa secundaria
Interfaz PIM
Interfaz
Nombre de la interfaz que participa en PIM.
Direccin
Direccin IP de la interfaz.
DR
Direccin IP del enrutador designado en esa interfaz.
Intervalo de saludo
Intervalo de saludo configurado (en segundos).
Unir/eliminar intervalo
Intervalo de unin/eliminacin configurado (en segundos).
Imponer intervalo
Intervalo de imposicin configurado (en segundos).
Prioridad de DR
Prioridad configurada para el enrutador designado.
Borde de BSR
S o no.
Pestaa secundaria
Vecino PIM
Interfaz
Nombre de la interfaz en el VR.
Direccin
Direccin IP del vecino.
Direccin secundaria
Direccin IP secundaria del vecino.
Tiempo de activacin
Tiempo que el vecino ha estado activado.
Tiempo restante antes de que expire el vecino porque VR no recibe

paquetes de saludo del vecino.
Palo Alto Networks
Tabla 115 Estadsticas de tiempo de ejecucin multicast (Continuacin)

Campo
Descripcin
ID de generacin
Valor que el VR ha recibido del vecino en el ltimo mensaje de saludo PIM

que se ha recibido en esta interfaz.
Prioridad de DR
Prioridad de enrutador designado que ha recibido el VR en el ltimo

mensaje de saludo PIM de este vecino.

Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN.
Tabla 116. Configuracin de VLAN

Campo
Descripcin
Nombre
Introduzca un nombre de VLAN (de hasta 31 caracteres). Este nombre

aparece en la lista de redes VLAN cuando se configuran interfaces.
guiones bajos.
Interfaz de VLAN
Seleccione una interfaz VLAN para permitir enrutar el trfico fuera de la

VLAN. Para definir una interfaz VLAN, consulte Configuracin de una
interfaz VLAN.
Interfaces
Especifique interfaces del cortafuegos para VLAN.
Configuracin de MAC
esttica
Especifique la interfaz mediante la que una direccin MAC es alcanzable.

Sustituye a todas las asignaciones obtenidas de interfaz a MAC.
El protocolo de configuracin de host dinmico (DHCP) es un protocolo estandarizado que
proporciona parmetros de configuracin de capa de enlace y TCP/IP, y direcciones de red a
los hosts configurados dinmicamente en una red TCP/IP. Una interfaz en un cortafuegos
Palo Alto Networks puede actuar como un servidor, cliente o agente de retransmisin de
DHCP. Al asignar esas funciones a distintas interfaces, el cortafuegos puede desempear
mltiples funciones.
Qu est buscando?
Consulte
Qu es el DHCP?
Descripcin general de DHCP
Cmo asigna las direcciones

un servidor DHCP?
Direccin DHCP
Cmo se configura un
servidor DHCP?
Componentes del servidor DHCP
Palo Alto Networks
Qu est buscando?
Consulte
Cmo se configura un agente de

retransmisin DHCP?
Componentes del retransmisin DHCP
Cmo se configura un cliente

DHCP?
Componentes del cliente DHCP
Mostrarme un ejemplo bsico.
Ejemplo: Configure un servidor DHCP con opciones

personalizadas
Consulte DHCP.
Descripcin general de DHCP

Red > DHCP
DHCP usa un modelo cliente-servidor de comunicacin. Este modelo consta de tres funciones
que puede desempear el dispositivo: Cliente DHCP, servidor DHCP y agente de rel DHCP.
Un dispositivo que funcione como cliente DHCP (host) puede solicitar una direccin IP y
otros ajustes de configuracin al servidor DHCP. Los usuarios de los dispositivos cliente
ahorran el tiempo y esfuerzo de configuracin, y no necesitan conocer el plan de
direcciones de red y otros recursos y opciones que heredan del servidor DHCP.
Un dispositivo que acta como un servidor DHCP puede atender a los clientes. Si se usa
alguno de esos tres mecanismos de direcciones DHCP, el administrador de red ahorra
tiempo y tiene el beneficio de reutilizar un nmero limitado de direcciones IP de clientes
que ya no necesitan una conectividad de red. El servidor puede ofrecer direcciones IP y
muchas opciones DHCP a muchos clientes.
Un dispositivo que acta como un agente de retransmisin DHCP escucha mensajes de

transmite mensajes de DHCP de unidifusin y difusin y los transmite entre los clientes y
los servidores DHCP.
DHCP usa protocolo de datagramas de usuario(UDP), RFC 768, como protocolo de transporte.
Los mensajes DHCP que un cliente enva a un servidor se envan al puerto conocido 67 (UDP,
protocolo de arranque y DHCP). Los mensajes DHCP que un servidor enva a un cliente se
envan al puerto 68.
Direccin DHCP
Hay tres formas en que el servidor DHCP asigna o enva una direccin IP a un cliente.
Ubicacin automtica: El servidor DHCP asigna una direccin IP permanente a un

cliente desde sus Grupos de IP. En el cortafuegos, una Concesin que se especifique como
Ilimitada significa que la ubicacin es permanente.
Ubicacin dinmica: El servidor DHCP asigna una direccin IP reutilizable desde

Grupos de IP de direcciones a un cliente para un periodo mximo de tiempo, conocido
como Concesin. Este mtodo de asignacin de la direccin es til cuando el cliente tiene
un nmero limitado de direcciones IP; pueden asignarse a los clientes que necesitan solo
un acceso temporal a la red.
Asignacin esttica: El administrador de red selecciona la direccin IP para asignarla al

cliente y el servidor DHCP se la enva. La asignacin DHCP esttica es permanente; se
realiza configurando un servidor DHCP y seleccionando una Direccin reservada para
Palo Alto Networks
que corresponda con la Direccin MAC del dispositivo cliente. La asignacin DHCP
contina en su lugar aunque el cliente se desconecte (cierre sesin, reinicie, sufra un corte
de alimentacin, etc.).
La asignacin esttica de una direccin IP es til, por ejemplo, si tiene una impresora en
una LAN y no desea que su direccin IP siga cambiando porque se asocia con un nombre
de impresora a travs de DNS. Otro ejemplo es si el dispositivo cliente se usa para una
funcin crucial y debe mantener la misma direccin IP aunque el dispositivo se apague,
desconecte, reinicie o sufra un corte de alimentacin, etc.
Tenga en cuenta los siguientes puntos cuando configure una Direccin reservada:
Es una direccin de Grupos de IP. Puede configurar mltiples direcciones reservadas.
Si no configura ninguna Direccin reservada, los clientes del servidor recibirn
nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se
reinician, etc. (a no ser que haya especificado que una Concesin sea Ilimitada).
Si asigna todas las direcciones de Grupos IP como una Direccin reservada, no hay
direcciones dinmicas libres para asignarlas al siguiente cliente DHCP que solicite una
direccin.
Puede configurar una Direccin reservada sin configurar una Direccin MAC. En este
caso, el servidor DHCP no asignar la Direccin reservada a ningn dispositivo.
Puede reservar unas direcciones del grupo y asignarlas estticamente a un fax e
impresora, por ejemplo, sin usar DHCP.
Vnculo hacia los temas relacionados:

Ejemplo: Configure un servidor DHCP con opciones personalizadas

Red > DHCP > Servidor DHCP
La siguiente seccin describe cada componente del servidor DHCP. Antes de configurar un
servidor DHCP, asegrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de
capa 3, y de que la interfaz se asigna a una zona y un enrutador virtual. Tambin debera
conocer un grupo vlido de direcciones IP de su plan de red que pueda designarse para que su
servidor DHCP lo asigne a los clientes.
Palo Alto Networks
Cuando aada un servidor DHCP, puede configurar los ajustes descritos en la tabla siguiente.
Los ajustes del servidor DHCP resultantes tendrn un aspecto similar al siguiente:
Tabla 117. Configuracin de servidor DHCP
Campo
Configurado en
Descripcin
Interfaz
Servidor DHCP
Nombre de la interfaz que funcionar como servidor DHCP.
Servidor DHCP
Seleccione habilitado o modo Automtico. El modo

Automtico activa el servidor y lo desactiva si se detecta
otro servidor DHCP en la red. El ajuste habilitado
desactiva el servidor.
Concesin
Si hace clic en Hacer ping a la IP al asignar IP nuevas, el

servidor har ping a la direccin IP antes de asignarla a su
cliente. Si el ping recibe una respuesta, significar que ya
hay un dispositivo diferente con esa direccin, por lo que
no est disponible. El servidor asigna la siguiente direccin
desde el grupo. Si selecciona esta opcin, la columna
Rastrear IP de la pantalla tendr una marca de seleccin.
Modo
Hacer ping a la
IP al asignar IP
nuevas
Especifique un tipo de concesin.
Concesin
Grupos de IP
Direccin
reservada
Palo Alto Networks
Concesin
Concesin
Ilimitada provoca que el servidor seleccione dinmicamente direcciones IP desde los Grupos IP y los asigne de
forma permanente a los clientes.
Tiempo de espera determina cunto durar esa concesin. Introduzca el nmero de Das y Horas y, opcionalmente, el nmero de Minutos.
Especifique el grupo de direcciones IP de estado desde el
que el servidor DHCP seleccione una direccin y la asigna a
un cliente DHCP.
Puede introducir una nica direccin, una direccin/
<longitud de mscara>, como 192.168.1.0/24, o un intervalo
de direcciones, como 192.168.1.10-192.168.1.20.
Tambin puede especificar una direccin IP (formato
x.x.x.x) desde los grupos de IP que no desee asignar
dinmicamente mediante el servidor DHCP.
Concesin
Si tambin especifica una Direccin MAC (formato

xx:xx:xx:xx:xx:xx), la Direccin reservada se asigna al
dispositivo asociado con la direccin MAC cuando ese
dispositivo solicita una direccin IP a travs de DHCP.
Campo
Configurado en
Descripcin
Seleccione Ninguno (predeterminado) o seleccione una
interfaz de cliente DHCP de origen o una interfaz de cliente
PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Origen de herencia,
seleccione una o varias opciones que desee como heredadas
desde este origen.
Origen de
herencia
Opciones
Una de las ventajas de especificar un origen de herencia es

que las opciones DHCP se transfieren rpidamente desde el
servidor que est antes del cliente DHCP de origen.
Tambin mantiene actualizadas las opciones del cliente si se
cambia una opcin en el origen de herencia. Por ejemplo, si
el origen de herencia sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente
heredar automticamente la nueva direccin como su
nuevo servidor NTP principal.
Opciones
Si ha seleccionado Origen de herencia, al hacer clic en

Comprobar estado de origen de herencia para abrir la
ventana Estado de interfaz de IP dinmica que muestra las
opciones que se han heredado desde el cliente DHCP.
Puerta de enlace
Opciones
Especifique la direccin IP de la puerta de enlace de la red

(una interfaz en el cortafuegos) que se usa para llegar a
cualquier dispositivo que no est en la misma LAN que este
servidor DHCP.
Mscara de
subred
Opciones
Especifique la mscara de red que se aplica a las direcciones

del campo Grupos de IP.
Comprobar el
estado de origen
de herencia
Palo Alto Networks
Campo
Configurado en
Descripcin
En los siguientes campos, haga clic en la flecha hacia abajo y
seleccione Ninguno o heredado, o introduzca una direccin
IP de servidor remoto que su servidor DHCP enviar a los
clientes para acceder a ese servicio. Si ha seleccionado
heredado, el servidor DHCP hereda los valores desde el
cliente DHCP de origen, especificado como Origen de
herencia.
El servidor DHCP enva estos ajustes a sus clientes.
Opciones
Palo Alto Networks
Opciones
DNS principal, DNS secundario: Direccin IP de los servidores del sistema de nombres de dominio (DNS) preferidos y alternativos.
WINS principal, WINS secundario: Introduzca la direccin IP de los servidores Windows Internet Naming
Service (WINS) preferidos y alternativos.
NIS principal, NIS secundario: Introduzca la direccin
IP de los servidores del Servicio de informacin de la red
(NIS) preferidos y alternativos.
NTP principal, NTP secundario: Direccin IP de los servidores del protocolo de tiempo de redes (NTP) disponibles.
Servidor POP3: Introduzca la direccin IP del servidor
Post Office Protocol de versin 3 (POP3).
Servidor SMTP: Introduzca la direccin IP del servidor
del protocolo simple de transferencia de correo (SMTP).
Sufijo DNS: Sufijo para que el cliente lo use localmente
cuando se introduce un nombre de host sin cualificar que
no puede resolver el cliente.
Campo
Configurado en
Descripcin
Haga clic en Aadir e introduzca el Nombre de la opcin
personalizada que desea que el servidor DHCP enve a los
clientes.
Introduzca un Cdigo de opcin (intervalo 1-254).
Opciones de
DHCP
personalizadas
Opciones
Si se introduce el Cdigo de opcin 43, aparece el campo

Identificador de clase de proveedor (VCI). Introduzca un
criterio de coincidencia que se compare con el VCI entrante
desde la opcin 60 del cliente. El cortafuegos buscar en el
VCI entrante desde la opcin 60 del cliente, busca el VCI
coincidente en su propia tabla de servidor DHCP y
devuelve el valor correspondiente al cliente en la opcin 43.
El criterio de coincidencia de VCI es una cadena o valor
hexagonal. Un valor hexagonal debe tener un prefijo 0x.
Haga clic en Heredado de fuente de herencia de DHCP
para que el servidor herede el valor para ese cdigo de
opcin desde el origen de herencia en lugar de introducir
un Valor de opcin.
Como alternativa a la casilla de verificacin, puede
continuar con lo siguiente:
Tipo de opcin: Seleccione Direccin IP, ASCII o
Hexadecimal para especificar el tipo de datos usado para el
Valor de opcin.
En Valor de opcin, haga clic en Aadir e introduzca el
valor para la opcin personalizada.

Red > DHCP > Retransmisin DHCP
Antes de configurar una interfaz de cortafuegos como un agente de retransmisin DHCP,
asegrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha
asignado la interfaz a una zona y un enrutador virtual. Si quiere que la interfaz pueda pasar
mensajes DHCP entre los clientes y los servidores. La interfaz puede reenviar mensajes a un
mximo de cuatro servidores DHCP externos. Un mensaje de DHCPDISCOVER del cliente se
enva a todos los servidores configurados, y el mensaje DHCPOFFER del primer servidor que
responde se retransmite al cliente que origin la peticin.
Palo Alto Networks
Tabla 118. Configuracin de retransmisin DHCP

Campo
Configurado en
Descripcin
Interfaz
Retransmisin DHCP
Nombre de la interfaz que ser el agente de retransmisin

DHCP.
IPv4/IPv6
Retransmisin DHCP
Seleccione el tipo de servidor DHCP y direccin IP que

especificar.
Direccin IP de
servidor DHCP
Retransmisin DHCP
Introduzca la direccin IP del servidor DHCP desde donde

y hacia donde retransmitir los mensajes DHCP.
Interfaz
Retransmisin DHCP
Si ha seleccionado IPv6 como el protocolo de direccin IP

para el servidor DHCP y especificado una direccin
multicast, deber tambin especificar una interfaz saliente.

Red > Interfaces > Ethernet > IPv4
Red > Interfaces > VLAN > IPv4
Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegrese de que ha
configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha asignado la interfaz a
una zona y un enrutador virtual. Realice esta tarea si quiere usar DHCP para solicitar una
direccin IPv4 para una interfaz en un cortafuegos.
Tabla 119. Configuracin de cliente DHCP

Campo
Configurado en
Descripcin
Tipo
IPv4
Haga clic en el botn de opcin para Cliente DHCP y

seleccione Habilitar para configurar la interfaz como un
cliente DHCP.
Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
servidor
Mtrica de ruta
predeterminada
Mostrar informacin de
tiempo de ejecucin de
cliente DHCP
Palo Alto Networks
IPv4
Esto provoca que el cortafuegos cree una ruta esttica a una

puerta de enlace predeterminada que ser til cuando los
clientes intenten acceder a muchos destinos que no
necesitan mantener rutas en una tabla de enrutamiento en
el cortafuegos.
IPv4
Una opcin es introducir una Mtrica de ruta

predeterminada (nivel de prioridad) para la ruta entre el
cortafuegos y el servidor de actualizacin. Un ruta con un
nmero ms bajo tiene una prioridad alta durante la
seleccin de la ruta. Por ejemplo, una ruta con una mtrica
de 10 se usa antes que una ruta con una mtrica de 100.
El intervalo es de 1-65535. No hay un valor de mtrica
predeterminado.
IPv4
Muestra todos los ajustes recibidos desde el servidor

DHCP, incluidos el estado de concesin de DHCP, la
asignacin de direccin IP dinmica, la mscara de subred,
la puerta de enlace, la configuracin del servidor (DNS,
NTP, dominio, WINS, NIS, POP3 y SMTP).
Ejemplo: Configure un servidor DHCP con opciones personalizadas

En el siguiente ejemplo, se configura una interfaz en el cortafuegos como servidor DHCP.
El servidor DHCP se configura con las opciones 66 y 150 para proporcionar informacin sobre
servidores TFTP que proporciona configuraciones para telfonos IP de Cisco. Esto significa
que cuando los clientes solicitan las opciones 66 y 150 del servidor, el servidor enviar estos
valores de opcin en su respuesta. Los telfonos IP de Cisco reciben su configuracin desde
un servidor TFTP. La opcin 66 de DHCP ofrece el nombre de host para un servidor TFTP; la
opcin 150 ofrece la direccin IP de un servidor TFTP.
Configuracin de un servidor DHCP con opciones personalizadas

1.
Seleccione Red > DHCP > Servidor DHCP.
2.
Seleccione la interfaz que sirve como servidor DHCP.
3.
En la pestaa Concesin, especifique Timeout como 1 da.
4.
Especifique el intervalo de direcciones IP en Grupos de IP que el servidor puede

asignar a los clientes.
Palo Alto Networks

5.
En la pestaa Opciones, escriba la direccin de puerta de enlace y la mscara de

subred para la red.
6.
Escriba las direcciones de los servidores que este servidor DHCP enviar a los clientes.
Palo Alto Networks

7.
Para introducir una opcin DHCP personalizada, haga clic en Aadir. En este ejemplo,
escriba un nombre para la opcin, como Nombre de host de telfonos VoIP y el cdigo
de opcin 66. El nombre de la opcin no se enva al cliente y facilita la identificacin del
servidor.
8.
Seleccione ASCIl.
9.
Haga clic en Aadir para introducir el valor de opcin TFTPserver10 y haga clic en
ACEPTAR.
10. Para introducir otra opcin DHCP, haga clic en Aadir. Introduzca un nombre
diferente, como Direccin IP de telfonos VoIP y el cdigo de opcin 150. El nombre
debe ser distinto del primer nombre porque los tipos de datos son diferentes.
11. Seleccione Direccin IP.
12. Haga clic en Aadir para introducir el valor de opcin 10.1.1.1 (la direccin de
servidor TFTP principal) y haga clic en ACEPTAR.
13. Haga clic en ACEPTAR y seleccione Confirmar para guardar la configuracin.

Los servidores DNS realizan el servicio de resolver un nombre de dominio con una direccin
IP y viceversa. Cuando configura el cortafuegos como un proxy DNS, acta como un
intermediario entre los clientes y servidores y como un servidor DNS resolviendo consultas
desde su cach DNS. Use esta pgina para configurar los ajustes que determinan cmo el
cortafuegos sirve como un proxy DNS.
Qu desea saber?
Consulte
Cmo funciona el cortafuegos

como proxy de las solicitudes
DNS?
Resumen proxy DNS
Cmo se configura la cach

DHCP?
Componentes del proxy DNS
Palo Alto Networks
Qu desea saber?
Consulte
Cmo configuro las

asignaciones de FQDN esttica a
direccin IP?
Qu acciones adicionales puedo

realizar para gestionar proxies
DNS?
Acciones adicionales de proxy DNS
Resumen proxy DNS

Red > Proxy DNS
Para dirigir las consultas DNS a distintos servidores DNS segn los nombres de dominio,
puede configurar el cortafuegos como un proxy DNS y especificar qu servidores DNS usar.
La especificacin de mltiples servidores DNS puede garantizar la localizacin de las
consultas DNS y aumentar la eficiencia. Por ejemplo, puede reenviar todas las consultas DNS
corporativas a un servidor DNS corporativo y reenviar todas las dems consultas a los
servidores DNS ISP.
Tambin puede enviar las consultas DNS a travs de un tnel seguro para proteger detalles
sobre la configuracin de red interna y le permite usar las funciones de seguridad como una
autenticacin y cifrado.
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
La interfaz incluye las siguientes pestaas para definir el proxy DNS:
Reglas de proxy DNS: Le permite configurar los ajustes de nombre, nombre de dominio y
servidor DNS primario y secundario.
Entradas estticas: Le permite configurar un FQDN esttico a las asignaciones de

direccin IP que se distribuirn en respuesta a consultas DNS realizadas por los hosts.
Avanzado: Le permite definir los reintentos de consulta TCP, consulta UDP y la cach.
Palo Alto Networks
Si el nombre de dominio no se encuentra en la cach proxy de DNS, el cortafuegos busca una

coincidencia de configuracin de las entradas en el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.
Consulte:
Traslado o duplicacin de una poltica o un objeto

Red > Proxy DNS
La siguiente seccin describe cada componente que puede configurar para establecer el
cortafuegos como un proxy DNS.
Tabla 120. Proxy DNS Configuracin

Campo
Configurado en
Descripcin
Habilitar
Proxy DNS
Seleccione la casilla de verificacin para activar proxy DNS.
Nombre
Proxy DNS
Especifique un nombre para identificar el objeto proxy DNS

(hasta 31 caracteres). El nombre hace distincin entre maysculas
y minsculas y debe ser exclusivo. Utilice nicamente letras,
Ubicacin
Proxy DNS
Especifique el sistema virtual al que se aplique el objeto proxy

DNS. Si quiere seleccionar Compartido, el campo Perfil de
servidor no est disponible. Introduzca los objetos de direcciones
o direcciones IP del servidor DNS Principal y Secundario. Para
que un sistema virtual utilice Proxy DNS, debe configurar uno
previamente. Vaya a Dispositivo > Sistemas virtuales, seleccione
un sistema virtual, y seleccione un Proxy DNS.
Origen de herencia
Proxy DNS
Seleccione un origen para heredar las configuraciones del

servidor DNS predefinido. Se suele utilizar en implementaciones
de sucursales, en las que a la interfaz WAN del cortafuegos se
accede mediante DHCP o PPPoE.
Comprobar el estado de
origen de herencia
Proxy DNS
Haga clic en el enlace para ver la configuracin del servidor

asignada actualmente a las interfaces del cliente DHCP y PPoE.
Pueden incluir DNS, WINS, NTP, POP3, SMTP o sufijo DNS.
Perfil de servidor
Proxy DNS
Seleccione o cree un nuevo perfil de servidor DNS. Este campo no

aparece si la ubicacin de los sistemas virtuales se especifica como
Compartido.
Principal
Proxy DNS
Especifique las direcciones IP de los servidores DNS primario y

secundario. Si el servidor DNS primario no se encuentra, se
utilizar el secundario.
Secundario
Palo Alto Networks
Tabla 120. Proxy DNS Configuracin (Continuacin)

Campo
Configurado en
Descripcin
Interfaz
Proxy DNS
Active las casillas de verificacin Interfaz para especificar las

interfaces del cortafuegos que admiten las reglas de proxy DNS.
Seleccione una interfaz de la lista desplegable y haga clic en
Aadir. Puede aadir varias interfaces. Para eliminar una
interfaz, seleccinela y haga clic en Eliminar.
No se requiere una interfaz si se usa el proxy DNS solo para la
funcionalidad de la ruta de servicio. Debe usarse una ruta de
servicio de destino con un proxy DNS sin interfaz, si desea que la
direccin IP de origen pueda definirse en la ruta de servicio de
destino. De lo contrario, el proxy DNS debe seleccionar una
direccin IP de interfaz como origen (cuando no se definen rutas
de servicio DNS).
Nombre
Proxy DNS >

Reglas de proxy
DNS
Se requiere un nombre para poder modificar y hacer referencia a

una entrada mediante CLI.
Activar el
almacenamiento en
cach de dominios
resueltos por esta
asignacin
Proxy DNS >

Reglas de proxy
DNS
Seleccione la casilla de verificacin para activar el

almacenamiento en cach de los dominios que se han resuelto
mediante esta asignacin.
Nombre de dominio
Proxy DNS >

Reglas de proxy
DNS
Haga clic en Aadir e introduzca el nombre de dominio del

servidor proxy. Repita esta accin para aadir ms nombres.
Para eliminar un nombre, seleccinelo y haga clic en Eliminar.
En el caso de una regla de proxy DNS, el nmero de testigos en
una cadena comodn debe coincidir con el nmero de testigos en
el dominio solicitado. Por ejemplo, *.ingeniera.local no
coincidir con ingeniera.local. Se deben especificar ambos.
Primario/Secundario
Proxy DNS >

Reglas de proxy
DNS
Introduzca el nombre de host o la direccin IP de los servidores

DNS principal y secundario.
Nombre
Proxy DNS >

Entradas estticas
Introduzca un nombre para la entrada esttica.
FQDN
Proxy DNS >

Entradas estticas
Introduzca el nombre de dominio completo (FQDN) que se asignar

a las direcciones IP estticas definidas en el campo Direccin.
Direccin
Proxy DNS >

Entradas estticas
Haga clic en Aadir e introduzca las direcciones IP que se asignan

a este dominio.
Repita esta accin para aadir ms direcciones. Para eliminar una
direccin, seleccinela y haga clic en Eliminar.
Cach
Proxy DNS >

Avanzado
Seleccione la casilla de verificacin para activar el almacenamiento

en cach DNS y especifique la siguiente informacin:
Tamao: Especifique el nmero de entradas que retendr la
cach (intervalo 1024-10240; opcin predefinida 1024).
Tiempo de espera: Especifique la duracin (horas) despus de
la que se eliminarn todas las entradas. Los valores de tiempo
de vida DNS se utilizan para eliminar las entradas de cach
cuando se han almacenado durante menos tiempo que el
perodo configurado. Tras el tiempo de espera, las nuevas
solicitudes se deben resolver y volver a guardar en la cach
(intervalo 4 a 24, opcin predefinida 4 horas).
Palo Alto Networks
Tabla 120. Proxy DNS Configuracin (Continuacin)

Campo
Configurado en
Descripcin
Consultas TCP
Proxy DNS >

Avanzado
Seleccione la casilla de verificacin para activar las consultas DNS

mediante TCP. Especifique el lmite superior del nmero de
solicitudes DNS TCP pendientes simultneas que admitir el
cortafuegos (intervalo 64-256, opcin predeterminada: 64) en el
campo Mx. de solicitudes pendientes.
Reintentos de consultas
de UDP
Proxy DNS >

Avanzado
Especifique los ajustes para los reintentos de consulta UDP:

Intervalo: Especifique el tiempo en segundos despus del cual
se enviar otra solicitud si no se ha recibido respuesta (intervalo
1-30, opcin predeterminada: 2 segundos).
Intentos: Especifique el nmero mximo de intentos (sin incluir
el primer intento) despus de los cuales se intentar el siguiente
servidor DNS (intervalo 1-30, opcin predefinida 5).
Acciones adicionales de proxy DNS

Tras configurar el cortafuegos como un proxy DNS, puede realizar las siguientes acciones en
la pgina Red > Proxy DNS para gestionar las configuraciones de proxy DNS:
Modificar: Para modificar un proxy DNS, haga clic en el nombre de la configuracin de

proxy DNS.
Eliminar: Seleccione una entrada de proxy DNS y haga clic en Eliminar para eliminar la
configuracin de proxy DNS.
Deshabilitar: Para deshabilitar un proxy DNS, haga clic en la entrada del proxy DNS y
cancele la seleccin de Habilitar. Para habilitar un proxy DNS que se haya deshabilitado,
haga clic en el nombre de la entrada de proxy DNS y se seleccione Habilitar.
El protocolo de deteccin de nivel de enlace (LLDP) ofrece un mtodo automtico de
deteccin de los dispositivos vecinos y sus funciones en la capa de enlace.
Qu est buscando?
Consulte
Qu es el LLDP?
Descripcin general de LLDP
Cmo se configura el LLDP?
Componentes del LLDP
Cmo se configura un perfil de

LLDP?
Consulte LLDP.

Red > LLDP
El LLDP permite el cortafuegos para enviar y recibir las tramas Ethernet que contienen las
unidades de datos LLDP (LLDPDUs) desde y hacia los vecinos. El dispositivo receptor
almacena la informacin en un MIB, a la que se puede acceder mediante el protocolo simple
Palo Alto Networks
de administracin de redes (SNMP). El LLDP permite que los dispositivos de red asignen su
topologa de red y funciones de programacin de los dispositivos conectados. Esto facilita la
solucin de problemas, especialmente para las implementaciones de cable virtual donde el
cortafuegos puede pasar desapercibido en una topologa de red.

Red > LLDP
Para habilitar el LLDP en el cortafuegos, haga clic en Editar y despus en Habilitar y
configure los cuatro ajustes que se muestran en la siguiente tabla, si los ajustes
predeterminado no se adapta en su entorno. El resto de entradas de la tabla describe las
estadsticas de peer y estado.
Tabla 121. Configuracin LLDP e informacin mostrada
Campo
Configurado en o
Mostrado en
Intervalo de
transmisin
(segundos)
LLDP
Retraso de
transmisin
(segundos)
Mltiple tiempo de
espera
Palo Alto Networks
Descripcin
Especifica el intervalo en el que se transmiten LLDPDUs. Valor
predeterminado: 30 segundos. Intervalo: 1-3600 segundos.
LLDP
Especifique el tiempo de intervalo entre las transmisiones LLDP

enviados despus de que se realice un cambio en un elemento de
Tipo-Longitud-Valor (TLV). Este intervalo impide la inundacin
del segmento con LLDPDU si muchos cambios de red aumentan el
nmero de cambios LLDP o si la interfaz provoca flaps. El Retraso
de transmisin debe ser inferior al Intervalo de transmisin. Valor
LLDP
Especifique un valor que se multiplica por el Intervalo de

transmisin para determinar el tiempo total de espera TTL.
El tiempo de espera TTL es el tiempo que el cortafuegos conservar
la informacin del peer como vlido. Valor predeterminado:
4. Intervalo: 1-100. El tiempo de espera TTL mximo es 65535,
independientemente del valor de multiplicador.
Tabla 121. Configuracin LLDP e informacin mostrada (Continuacin)
Campo
Configurado en o
Mostrado en
Descripcin
Intervalo de
notificaciones
LLDP
Especifique el intervalo en el que las notificaciones de Trap SNMP y

syslog se transmiten cuando se producen los cambios MIB. Valor
filtro de catalejo
Estado
Tambin puede introducir un valor de datos en la fila de filtro y

hacer clic en la flecha gris, que provoca que solo las filas que
incluyen ese valor de datos se puedan ver. Haga clic en la X roja
para borrar el filtro.
Interfaz
Estado
Nombre de las interfaces que tienen asignados perfiles LLDP.
LLDP
Estado
Estado de LLDP: habilitado o deshabilitado.
Modo
Estado
Modo LLDP de la interfaz: Tx/Rx, Tx solo o Rx solo.
Perfil
Estado
Nombre del perfil asignado a la interfaz.
Total transmitidos
Estado
Nmero de LLDPDU transmitidos fuera de la interfaz.
Transmisin
descartada
Estado
Nmero de LLDPDU que no se han transmitido fuera de la interfaz

por un error. Por ejemplo, un error de longitud cuando el sistema
construye un LLDPDU para la transmisin.
Total recibidos
Estado
Nmero de tramas LLDP recibidas de la interfaz.
TLV descartado
Estado
Recuento de las tramas LLDP descartadas en la recepcin.
Errores
Estado
Nmero de elementos Tiempo-Longitud-Valor (TLV) que se

recibieron en la interfaz y contenan errores. Entre los tipos de errores
de TLV se incluyen: falta de uno o ms TLV obligatorios, mal
funcionamiento, informacin fuera de rango o error de longitud.
No reconocido
Estado
Nmero de TLV recibidos en la interfaz que no reconoce el agente

local LLDP, por ejemplo, porque el tipo TLV est en el intervalo
TLV reservado.
Caducado
Estado
Nmero de elementos eliminados desde Recibir MIB por una

caducidad TTL adecuada.
Palo Alto Networks
Campo
Configurado en o
Mostrado en
Descripcin
Borrar estadsticas
LLDP
Estado
Haga clic en este botn de la parte inferior de la pantalla para borrar

todas las estadsticas LLDP.
filtro de catalejo
Mismos niveles
Tambin puede introducir un valor de datos en la fila de filtro y

hacer clic en la flecha gris, que provoca que solo las filas que
incluyen ese valor de datos se puedan ver. Haga clic en la X roja
para borrar el filtro.
Interfaz local
Mismos niveles
Interfaz en el cortafuegos que detect el dispositivo vecino.
ID de bastidor
remoto
Mismos niveles
ID de puerto
Mismos niveles
IP de puerto del peer.
Nombre
Mismos niveles
Nombre del peer.
Ms info
Mismos niveles
Haga clic en este enlace para ver los detalles de peer remoto, que se
basan en TLV obligatorios y opcionales.
Tipo de bastidor
Mismos niveles
El tipo de chasis en direccin MAC.
Direccin MAC
Mismos niveles
La direccin MAC del peer.
Nombre del sistema
Mismos niveles
Nombre del peer.
Descripcin del
sistema
Mismos niveles
Descripcin de
puerto
Mismos niveles
Tipo de puerto
Mismos niveles
Nombre de interfaz.
ID de puerto
Mismos niveles
El cortafuegos usa el NombreIf de la interfaz.
Capacidades del
sistema
Mismos niveles
Funcionalidades del sistema. O=Otro, P=Repetidor, B=Puente,

W=LAN-Inalmbrico, R=Enrutador, T=Telfono
Palo Alto Networks
ID de bastidor del peer, se usa la direccin MAC.
Descripcin del peer.

Descripcin del puerto del peer.
Campo
Configurado en o
Mostrado en
Capacidades
habilitadas
Mismos niveles
Direccin de gestin
Mismos niveles
Descripcin
Funcionalidades habilitadas en el peer.
Direccin de gestin del peer.

Red > Perfiles de red > Gestin de interfaz
Utilice esta pgina para especificar los protocolos que se utilizan para gestionar el cortafuegos.
Para asignar perfiles de gestin a cada interfaz, consulte Configure la interfaz de capa 3 y
Configuracin de la subinterfaz de capa 3.
Palo Alto Networks
Tabla 122. Configuracin del Perfil de gestin de interfaz

Campo
Descripcin
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre

aparece en la lista de perfiles de gestin de interfaz cuando se configuran
interfaces. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Ping
Seleccione la casilla de verificacin para cada servicio que desee activar

en las interfaces a las que asigna el perfil.
Telnet
SSH
HTTP
OCSP de HTTP
HTTPS
SNMP
Pginas de respuesta
ID de usuario
Si selecciona la casilla de verificacin Pginas de respuesta, los puertos

usados para atender las pginas de respuesta del Portal cautivo quedan
abiertos en las interfaces de capa 3: puerto 6080 para NTLM, 6081 para el
Portal cautivo en modo transparente, y 6082 para el Portal cautivo en el
modo Redirigir.
Si selecciona la casilla de verificacin ID de usuario permite la
comunicacin entre cortafuegos donde uno redistribuye la asignacin de
usuarios y la informacin de asignacin de grupo a los otros. Para obtener
informacin detallada, consulte Pestaa Agentes de ID de usuarios.
SSL de escucha de
Syslog de ID de usuario
UDP de escucha de
Syslog de ID de usuario
Direcciones IP
permitidas
Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la

gestin de cortafuegos.

Red > Perfiles de red > Supervisar
Un perfil de supervisor se utiliza para supervisar las reglas de reenvo basado en polticas
(PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de
supervisin se utiliza para especificar la medida que se adoptar cuando un recurso (tnel de
IPSec o dispositivo de siguiente salto) no est disponible. Los perfiles de supervisin son
opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para
garantizar el cumplimiento de las reglas PBF. Los siguientes ajustes se utilizan para configurar
un perfil de supervisin.
Palo Alto Networks
Tabla 123.
Configuracin de supervisin
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil de supervisin (de hasta

Accin
Especifique la accin que se realizar si el tnel no est disponible. Si el

nmero de umbral de latidos se pierde, el cortafuegos realiza la accin
especificada.
Esperar recuperacin: Espera a que el tnel se recupere, no realiza
ninguna accin adicional. Los paquetes continuarn envindose de
acuerdo con la regla PBF.
Conmutacin por error: El trfico cambiar a una ruta de seguridad, si
existe una disponible. El cortafuegos utiliza la bsqueda de tabla de
enrutamiento para determinar el enrutamiento durante la sesin.
En ambos casos, el cortafuegos intentar negociar nuevas claves de IPSec
para acelerar la recuperacin.
Intervalo
Especifique el tiempo entre latidos (intervalo 2-10; opcin predefinida 3).
Umbral
Especifique el nmero de latidos que se perdern antes de que el cortafuegos

realice la accin especificada (intervalo 2-100; opcin predefinida 5).

Red > Perfiles de red > Proteccin de zona
Un perfil de proteccin de zona ofrece proteccin frente a las inundaciones ms comunes,
ataques de reconocimiento y otros ataques basados en paquetes. Est diseado para
proporcionar una proteccin amplia en la zona de entrada (p. ej., la zona donde el trfico entra
al cortafuegos) y no estn diseados para proteger un host de extremo especfico o el trfico
que vaya a una zona de destino particular. Para aumentar las capacidades de proteccin de
zona en el cortafuegos, utilice la base de reglas de proteccin DoS para la coincidencia con una
zona especfica, interfaz, direccin IP o usuario.
Note: La proteccin de zona solo se aplica cuando no hay ninguna coincidencia de sesin para el paquete. Si el
paquete coincide con una sesin existente, sortear el ajuste de proteccin de zona.
Para configurar un perfil Proteccin de zona, haga clic en Aadir y especifique los siguientes
ajustes:
Tabla 124. Configuracin de Perfil de proteccin de zonas

Campo
Descripcin
Nombre

aparece en la lista de perfiles de proteccin de zonas cuando se
configuran zonas. El nombre hace distincin entre maysculas y
espacios y guiones bajos.
Descripcin
Introduzca una descripcin opcional para el perfil de proteccin de zonas.
Palo Alto Networks
Cuando se define un perfil Proteccin de zona, debe configurar los ajustes en la pestaa
General y en cualquiera de las siguientes pestaas, segn lo requiera su topologa de red:
Pestaa Proteccin contra inundaciones: Consulte Configuracin de la proteccin

contra inundaciones.
Pestaa Proteccin de reconocimiento: Consulte Configuracin de la proteccin de

reconocimiento.
Pestaa Proteccin de ataque basada en paquetes: Consulte Configuracin de la

proteccin de ataques basada en paquetes.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:
Zonas externas para permitir la comunicacin entre sistemas virtuales
Puertas de enlace compartidas para permitir que los sistemas virtuales compartan
una interfaz comn y una direccin IP para las comunicaciones externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para activar la fragmentacin IP y la proteccin ICMPv6, debe crear un perfil de
proteccin de zona separado para la puerta de enlace compartida.
Para activar la proteccin frente a inundaciones SYN en una puerta de enlace
compartida puede aplicar un perfil de proteccin de inundacin SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo est disponible el
descarte aleatorio temprano para la proteccin frente a inundacin SYN
Configuracin de la proteccin contra inundaciones

Red > Perfiles de red > Proteccin de zona > Proteccin contra inundaciones
La tabla siguiente describe los ajustes de la pestaa Proteccin contra inundaciones.
Tabla 125. Configuracin de la pestaa Proteccin contra inundaciones

Campo
Descripcin
Umbrales de proteccin contra inundaciones: Inundacin SYN

Accin
Seleccione la accin que se adoptar en respuesta a un ataque de

inundacin SYN.
Descarte aleatorio temprano: Permite descartar paquetes SYN para
mitigar un ataque de inundacin:
Si el flujo supera el umbral de tasa de alerta, se genera una alarma.
Si el flujo supera el umbral de tasa de activacin, se descartan
paquetes SYN individuales de forma aleatoria para reducir el flujo.
Si el flujo supera el umbral de tasa de mxima, se descartan todos los
paquetes.
Cookies SYN: Calcula un nmero de secuencia de paquetes SYN-ACK
que no requieren almacenar las conexiones pendientes en memoria. Es
el mtodo preferido.
Palo Alto Networks
Tabla 125. Configuracin de la pestaa Proteccin contra inundaciones (Continuacin)

Campo
Descripcin
Alerta (paquetes/seg.)
Introduzca el nmero de paquetes SYN recibidos por la zona (en un

segundo) que genera una alarma de ataque. Las alarmas se pueden en el
panel (consulte Uso del panel) y en el log de amenazas (consulte
Realizacin de capturas de paquetes).
Activar (paquetes/seg.)
Introduzca el nmero de paquetes SYN recibidos por la zona (en un

segundo) que genera la accin especificada.
Mximo (paquetes/seg.)
Introduzca el nmero mximo de paquetes SYN que se pueden recibir

por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.
Umbrales de proteccin contra inundaciones: Inundacin ICMP

Introduzca el nmero de solicitudes de eco ICMP (pings) recibidos por

segundo que genera una alarma de ataque.
Introduzca el nmero de paquetes ICMP recibidos por la zona (en un

segundo) que causa que se descarten los siguientes paquetes ICMP.
Introduzca el nmero mximo de paquetes ICMP que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: ICMPv6

Introduzca el nmero de solicitudes de eco ICMPv6 (pings) recibidos por

segundo que genera una alarma de ataque.
Introduzca el nmero de paquetes ICMPv6 recibidos por segundo en la

zona que causa que se descarten los siguientes paquetes ICMPv6. La
medicin se detiene cuando el nmero de paquetes ICMPv6 es inferior al
umbral.
Introduzca el nmero mximo de paquetes ICMPv6 que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: UDP

Introduzca el nmero de paquetes UDP recibidos por la zona (en un

segundo) que genera una alarma de ataque.
Introduzca el nmero de paquetes UDP recibidos por la zona (en un

segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta
se desactiva si el nmero de paquetes UDP es inferior al umbral.
Introduzca el nmero mximo de paquetes UDP que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: Otras IP

Introduzca el nmero de paquetes IP recibidos por la zona (en un

segundo) que genera una alarma de ataque.
Introduzca el nmero de paquetes IP recibidos por la zona (en un

segundo) que genera el descarte aleatorio de paquetes IP. La respuesta se
desactiva si el nmero de paquetes IP es inferior al umbral. Cualquier
nmero de paquetes que supere el mximo se descartar.
Palo Alto Networks
Tabla 125. Configuracin de la pestaa Proteccin contra inundaciones (Continuacin)

Campo
Descripcin
Introduzca el nmero mximo de paquetes IP que se pueden recibir por

segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.
Configuracin de la proteccin de reconocimiento

Red > Perfiles de red > Proteccin de zona > Proteccin de reconocimiento
La tabla siguiente describe los ajustes de la pestaa Proteccin de reconocimiento.
Tabla 126. Configuracin de la pestaa Proteccin de reconocimiento

Campo
Descripcin
Proteccin de reconocimiento: Examen de puerto TCP, Examen de puerto de UDP,

Limpieza de host
Intervalo (seg)
Introduzca el intervalo de tiempo para la deteccin de exmenes puerto y

limpieza de host (segundos).
Umbral (eventos)
Introduzca el nmero de puertos explorados en el intervalo de tiempo

especificado que activarn este tipo de proteccin (eventos).
Accin
Introduzca la accin que el sistema adoptar como respuesta a este tipo

de evento:
Permitir: Permite la exploracin de puerto de reconocimiento de
limpieza de host.
Alerta: Genera una alerta para cada exploracin o limpieza que coincida
con el umbral del intervalo de tiempo especificado.
Bloquear: Descarta todos los paquetes enviados desde el origen al
destino durante el resto del intervalo de tiempo especificado.
Bloquear IP: Descarta el resto de paquetes durante un perodo de
tiempo especificado. Seleccione si se bloquear el trfico de origen,
destino, o el de origen y destino, e introduzca la duracin (segundos).
IPv6 Colocar paquetes con

Encabezado de
enrutamiento tipo 0
Active la casilla de verificacin para colocar los paquetes de IPv6 que

incluirn un encabezado de enrutador de tipo 0.
Direccin compatible de
IPv4
Active la casilla de verificacin para colocar los paquetes IPv6 que

incluyan una direccin compatible con IPv4.
Direccin de origen
multicast

incluyan una direccin de origen multicast.
Direccin de fuente de
difusin por proximidad

incluyan una direccin de fuente de difusin por proximidad.
Configuracin de la proteccin de ataques basada en paquetes

Red > Perfiles de red > Proteccin de zona > Proteccin de ataque basada en paquetes
Las siguientes pestaas se utilizan para la configuracin de la proteccin de ataque basada en
paquetes:
Descarte IP: Consulte Configuracin de la pestaa Descarte IP.

Palo Alto Networks
Descarte TCP: Consulte Configuracin de la pestaa Descarte TCP.

Colocacin de ICMP: Consulte Configuracin de la pestaa Colocacin de ICMP.
Colocacin de IPv6: Consulte Configuracin de la pestaa Colocacin de IPv6.
ICMPv6: Consulte Configuracin de la pestaa Colocacin de ICMPv6.
Configuracin de la pestaa Descarte IP
Para configurar Descarte IP, especifique los siguientes ajustes:
Tabla 127. Configuracin de la pestaa Proteccin de ataque basada en paquetes

Campo
Descripcin
Pestaa secundaria
Descarte IP
Direccin IP de rplica
Active la casilla de verificacin para activar la proteccin contra

replicacin de direccin IP.
Comprobacin de
direccin IP estricta
Trfico fragmentado
Descarta los paquetes IP fragmentados.
Descartar opciones IP
Enrutamiento de fuente
estricto
Descarta paquetes con la opcin de IP de enrutamiento de origen estricto

activada.
Enrutamiento de origen
no estricto
Descarta paquetes con la opcin de IP de enrutamiento de origen no

estricto activada.
Marca de tiempo
Descarta paquetes con la opcin de marca de tiempo activada.
Ruta de log
Descarta paquetes con la opcin de ruta de log activada.
Seguridad
Descarta paquetes con la opcin de seguridad activada.
ID de secuencia
Descarta paquetes con la opcin de ID de secuencia activada.
Desconocido
Descarta paquetes si no se conoce la clase ni el nmero.
Forma incorrecta
Descarta paquetes si tienen combinaciones incorrectas de clase, nmero y

longitud basadas en RFC 791, 1108, 1393 y 2113.
Segmento TCP
superpuesto no
coincidente
Este ajuste har que el cortafuegos informe sobre una falta de

coincidencia de superposicin y coloque el paquete cuando los datos de
segmento no coincidan en estas situaciones:
El segmento est dentro de otro segmento.
El segmento est superpuesto a parte de otro segmento.
El segmento cubre otro segmento.
Este mecanismo de proteccin utiliza nmeros de secuencia para
determinar el lugar donde residen los paquetes dentro del flujo de datos
TCP.
Eliminar marca de
tiempo de TCP
Determina si el paquete tiene una marca de tiempo de TCP en el

encabezado y, si es as, la elimina.
Palo Alto Networks
Tabla 127. Configuracin de la pestaa Proteccin de ataque basada en paquetes (Continuacin)

Campo
Descripcin
Rechazar TCP sin SYN
Determina si el paquete se rechazar, si el primer paquete de la

configuracin de sesin TCP no es un paquete SYN:
Global: Utilice el ajuste del sistema asignado mediante CLI.
S: Rechaza TCP sin SYN.
No: Acepta TCP sin SYN. Tenga en cuenta que permitir el trfico que no
es de sincronizacin de TCP puede impedir que las polticas de bloqueo
de archivos funcionen de la forma esperada en aquellos casos en los que
no se establece la conexin del cliente o servidor despus de que se
produzca el bloqueo.
Ruta asimtrica
Determine si los paquetes que contienen nmeros de secuencia fuera del

umbral o ACK de fallo de sincronizacin se descartarn o se derivarn:
Colocar: Descarte los paquetes que contienen una ruta asimtrica.
Derivar: Derive los paquetes que contienen una ruta asimtrica.
Configuracin de la pestaa Descarte TCP

Para configurar Descarte TCP, especifique los siguientes ajustes:
Tabla 128 Configuracin de la pestaa Descarte TCP

Campo
Descripcin
Segmento TCP
superpuesto no
coincidente
Hace que el cortafuegos informe sobre una falta de coincidencia de

superposicin y coloque el paquete cuando los datos de segmento no
coincidan en estas situaciones:
El segmento est dentro de otro segmento.
El segmento est superpuesto a parte de otro segmento.
El segmento cubre otro segmento.
Este mecanismo de proteccin utiliza nmeros de secuencia para determinar el
lugar donde residen los paquetes dentro del flujo de datos TCP.
Protocolo de enlace
dividido
Evita que una sesin TCP se establezca si el procedimiento de establecimiento

de sesin no usa la reconocida presentacin de tres direcciones. La
presentacin dividida de cuatro o cinco direcciones o un procedimiento de
establecimiento de sesin abierta simultnea son ejemplos de variaciones que
no se permiten.
El cortafuegos del ltima generacin Palo Alto Networks gestiona
correctamente sesiones y todos los procesos de capa 7 para la presentacin de
enlace dividido y un establecimiento de sesin abierta simultnea sin
configurar Protocolo de enlace dividido. Cuando se configura esta opcin
para un perfil de proteccin de zona y el perfil se aplica a una zona, las
sesiones TCP para interfaces de esa zona deben establecerse usando una
presentacin estndar de tres direcciones; no se permiten las variaciones.
Rechazar TCP sin

SYN
Determina si el paquete se rechazar, si el primer paquete de la configuracin

de sesin TCP no es un paquete SYN:
S: Rechaza TCP sin SYN.
No: Acepta TCP sin SYN. Tenga en cuenta que permitir el trfico que no es
de sincronizacin de TCP puede impedir que las polticas de bloqueo de
archivos funcionen de la forma esperada en aquellos casos en los que no se
establece la conexin del cliente o servidor despus de que se produzca el
bloqueo.
Palo Alto Networks
Tabla 128 Configuracin de la pestaa Descarte TCP

Campo
Descripcin
Ruta asimtrica
Determine si los paquetes que contienen nmeros de secuencia fuera del

umbral o ACK de fallo de sincronizacin se descartarn o se derivarn:
Colocar: Descarte los paquetes que contienen una ruta asimtrica.
Derivar: Derive los paquetes que contienen una ruta asimtrica.
Eliminar marca de
tiempo de TCP
Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y,

si es as, la elimina.
Configuracin de la pestaa Colocacin de ICMP

Para configurar Colocacin de ICMP, especifique los siguientes ajustes:
Tabla 129. Configuracin de la pestaa Colocacin de ICMP

Campo
Descripcin
Pestaa secundaria
Colocacin de ICMP
ID de 0 de ping de ICMP
Descarta paquetes si el paquete de ping de ICMP tiene un identificador

con el valor de 0.
Fragmento de ICMP
Descarta paquetes formados con fragmentos ICMP.
ICMP de gran tamao

(>1.024)
Descarta paquetes ICMP con un tamao mayor de 1024 bytes.
Descartar ICMP
incrustado con mensaje
de error
Descarta los paquetes ICMP que se incrustan con un mensaje de error.
Suprimir error caducado

ICMP TTL
Detiene el envo de mensajes caducados ICMP TTL.
Suprimir fragmento de
ICMP necesario
Detiene el envo de mensajes necesarios por la fragmentacin ICMP en

respuesta a paquetes que exceden la interfaz MTU y tienen el bit no
fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que
ejecutan los hosts tras el cortafuegos.
Configuracin de la pestaa Colocacin de IPv6

Para configurar Colocacin de IPv6, especifique los siguientes ajustes:
Tabla 130. Configuracin de la pestaa Colocacin de IPv6

Campo
Descripcin
Pestaa secundaria
Descarte de IPv6
Encabezado de
enrutamiento tipo 0
Descarta los paquetes IPv6 que contienen un encabezado de

enrutamiento de Tipo 0. Consulte RFC 5095 para la informacin de
encabezado de enrutamiento de tipo 0.
Direccin compatible de
IPv4
Descarta los paquetes IPv6 que se definen como una direccin IPv6
compatible con IPv4 RFC 4291.
Palo Alto Networks
Tabla 130. Configuracin de la pestaa Colocacin de IPv6 (Continuacin)

Campo
Descripcin
Direccin de fuente de
difusin por proximidad
Descarta los paquetes IPv6 con una direccin de origen de difusin.
Encabezado de
fragmento innecesario
Descarta los paquetes IPv6 con la etiqueta del ltimo fragmento (M=0) y
un desplazamiento de cero.
MTU en paquete ICMP

demasiado grande
inferior a 1280 bytes
Descarta los paquetes IPv6 que contienen un mensaje Paquete de error de

ICMPv6 demasiado grande MTU inferior a 1.280.
Extensin de salto por

salto
Descarta los paquetes IPv6 que contienen el encabezado de extensin de

salto por salto.
Extensin de
enrutamiento
Descarta los paquetes IPv6 que contienen el encabezado de extensin de

enrutamiento, que dirige los paquetes a uno o ms nodos intermedios a
su destino.
Extensin de destino
Descarta los paquetes IPv6 que contienen la extensin de opciones de

destino, que contiene opciones buscadas solo para el destino del paquete.
Opciones de IPv6 no
vlidas en encabezado
de extensin
Descarta los paquetes IPv6 que contienen opciones IPv6 no vlidas en el

encabezado de extensin.
Campo reservado
diferente a cero
Descarta paquetes IPv6 que tienen un encabezado con un campo

reservado no definido a cero.
Configuracin de la pestaa Colocacin de ICMPv6

Para configurar Colocacin de ICMPv6, especifique los siguientes ajustes:
Tabla 131. Configuracin de la pestaa Colocacin de ICMPv6

Campo
Descripcin
Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere regla
de seguridad explcita
Requiere una bsqueda de poltica de seguridad explcita para errores

de destinos ICMPv6 no alcanzables incluso con una sesin existente.
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad

de paquetes ICMPv6 demasiado grandes incluso con una sesin
existente.
Tiempo superado de
ICMPv6: requiere
coincidencia explcita de
regla de seguridad

de tiempo de ICMPv6 superado incluso con una sesin existente.
Problema de parmetro de
ICMPv6: requiere
coincidencia explcita de
regla de seguridad

de problema de parmetro de ICMPv6 incluso con una sesin existente.
Palo Alto Networks
Tabla 131. Configuracin de la pestaa Colocacin de ICMPv6 (Continuacin)

Campo
Descripcin
Redireccin de ICMPv6:
requiere coincidencia
explcita de regla de
seguridad

de redireccionamiento de ICMPv6 incluso con una sesin existente.

Qu est buscando?
Consulte
Qu es el LLDP?
Cmo se configura el LLDP?
Cmo se configura un perfil de LLDP?
Componentes de perfiles LLDP
Consulte LLDP.
Componentes de perfiles LLDP

Red > Perfiles de red > Perfil LLDP
Un perfil de Protocolo de deteccin de nivel de enlace (LLDP) es la forma que le permite
configurar el modo LLDP en el cortafuegos, habilitar las notificaciones de syslog y SNMP y
configurar el Tipo-Longitud-Valores (TLV) opcional que desea se transmitan a los peer LLDP.
Tras configurar el perfil LLDP, asigna el perfil a una o ms interfaces.
Tabla 132. Configuracin de perfil de LLDP

Campo
Configurado en
Descripcin
Nombre
Perfil de LLDP
Especifique un nombre para el perfil LLDP.
Modo
Perfil de LLDP
Seleccione el modo en el que funcionar LLDP: transmisin-recepcin,

transmisin-solo o recepcin-solo.
Notificacin
Syslog SNMP
Perfil de LLDP
Permite las notificaciones de syslog y trap SNMP, que ocurrirn en el

Intervalo de notificaciones global. Si se activa, el cortafuegos enviar tanto
un evento de syslog y trap SNMP como se configura en Dispositivo >
Configuracin de log > Sistema > Perfil de Trap SNMP y Perfil de Syslog.
Descripcin de
puerto
Perfil de LLDP
Permite que el objeto ifAlias del cortafuegos se enve en el TLV Descripcin

de puerto.
Nombre del
sistema
Perfil de LLDP
Permite que el objeto sysName del cortafuegos se enve en el TLV Nombre

de sistema.
Descripcin del
sistema
Perfil de LLDP
Permite que el objeto sysDescr del cortafuegos se enve en el TLV

Descripcin del sistema.
Palo Alto Networks
Tabla 132. Configuracin de perfil de LLDP (Continuacin)

Campo
Configurado en
Descripcin
Habilita el modo de implementacin (L3, L2 o cable virtual) de la interfaz
que se enviar, a travs de la siguiente asignacin en el TLV Capacidades
del sistema.
Capacidades
del sistema
Perfil de LLDP
Si L3, el cortafuegos anuncia la funcionalidad de enrutador (bit 6) u el bit

Otro (bit 1).
Si L2, el cortafuegos anuncia la funcionalidad de puente MAC (bit 3) u el
bit Otro (bit 1).
Si el cable virtual, el cortafuegos anuncia la funcionalidad del Repetidor
(bit 2) y el bit Otro (bit 1).
SNMP MIB combina las funcionalidades configuradas en las interfaces en
una nica entrada.
Direccin de
gestin
Perfil de LLDP
Permite que Direccin de gestin se enve en el TLV Direccin de gestin.

Puede introducir hasta cuatro direcciones de gestin, que se envan en el
orden especificado. Para cambiar el orden, use los botones Mover hacia
arriba o Mover hacia abajo.
Nombre
Perfil de LLDP
Especifique un nombre para Direccin de gestin.
Interfaz
Perfil de LLDP
Seleccione una interfaz cuya direccin IP ser la Direccin de gestin. Si se

especifica Ninguno, puede introducir una direccin IP en el siguiente
campo a la seleccin de IPv4 o IPv6.
Perfil de LLDP
Seleccione IPv4 o IPv6 y, en el campo adyacente, seleccione o introduzca

que la direccin IP se transmita como la direccin de gestin. Se requiere al
menos una direccin de gestin si se ha activado el TLV Direccin de
gestin. Si no se configura la direccin IP de gestin, el sistema usa la
direccin MAC de la interfaz de transmisin a medida que se transmite la
direccin de gestin.
Eleccin de IP
Palo Alto Networks
Palo Alto Networks
Tipos de polticas
Captulo 5
Polticas y perfiles de seguridad

Esta seccin describe cmo configurar polticas y perfiles de seguridad:
Tipos de polticas
Perfiles de seguridad
Otros objetos de las polticas
Tipos de polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las
medidas necesarias de forma automtica. Se admiten los siguientes tipos de polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en la aplicacin, las
zonas y direcciones de origen y destino y, opcionalmente, el servicio (puerto y protocolo). Las zonas
identifican interfaces fsicas o lgicas que envan o reciben trfico. Consulte Definicin de polticas de
seguridad
Para obtener informacin sobre cmo utilizar el explorador de etiquetas, consulte Uso del explorador
de etiquetas.
Polticas de traduccin de direccin de red (NAT) para traducir direcciones y puertos, segn sea
necesario. Consulte Polticas NAT y Definicin de polticas de traduccin de direccin de red.
Polticas de reenvo basado en polticas para cancelar la tabla de enrutamiento y especificar una
interfaz de salida para el trfico. Consulte Polticas de reenvo basado en polticas.
Polticas de descifrado para especificar el descifrado del trfico de las polticas de seguridad.
Cada una de las polticas puede especificar las categoras de las URL del trfico que desea descifrar.
El descifrado SSH se utiliza para identificar y controlar los tneles SSH, as como el acceso SSH
(Secure Shell). Consulte Polticas de descifrado.
Polticas de cancelacin para anular las definiciones de la aplicacin proporcionadas por el

cortafuegos. Consulte Definicin de polticas de cancelacin de aplicacin.
Polticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el trfico para su
tratamiento, cuando pasa por una interfaz con QoS activado. Consulte Estadsticas de QoS.
Palo Alto Networks
Tipos de polticas
Polticas de portal cautivo para solicitar la autenticacin de los usuarios no identificados. Consulte
Definicin de polticas de portal cautivo.
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las medidas de
proteccin en respuesta que coincidan con las reglas. Consulte Definicin de polticas DoS.
Las polticas compartidas introducidas en Panorama se muestran de color verde en la interfaz
web del cortafuegos; estas polticas compartidas no se pueden editar en el cortafuegos.

Al trasladar o duplicar polticas y objetos, puede asignar un Destino (un sistema virtual en un cortafuegos
o un grupo de dispositivos en Panorama) para el que tenga permisos de acceso, incluida la ubicacin
compartida.
Para trasladar polticas u objetos, seleccinelos en la pestaa Polticas u Objetos, haga clic en Mover,
seleccione Mover a otro vsys (nicamente cortafuegos) o Mover a otro grupo de dispositivos (nicamente
Panorama), cumplimente los campos de la tabla siguiente y, a continuacin, haga clic en Aceptar.
Para duplicar polticas u objetos, seleccinelos en la pestaa Polticas u Objetos, haga clic en Duplicar,
cumplimente los campos de la tabla siguiente y, a continuacin, haga clic en Aceptar.
Tabla 133 Configuracin de traslado/duplicacin

Campo
Descripcin
Reglas/objetos seleccionados
Muestra el nombre y la ubicacin actual (sistema virtual o grupo de

dispositivos) de las polticas u objetos que ha seleccionado para la
operacin.
Destino
Seleccione la nueva ubicacin de la poltica u objeto: un sistema

virtual, un grupo de dispositivos o una ubicacin compartida.
El valor predeterminado es el Sistema virtual o Grupo de
dispositivos que seleccion en la pestaa Polticas u Objetos.
Seleccione la posicin de regla con respecto a otras reglas:
Orden de regla (nicamente

polticas)
Error en el primer error

detectado en la validacin
Mover a la parte superior: La regla preceder al resto de reglas.

Mover a la parte inferior: La regla seguir al resto de reglas.
Regla anterior: En la lista desplegable adyacente, seleccione la
regla posterior.
Regla posterior: En la lista desplegable adyacente, seleccione la
regla anterior.
Seleccione esta casilla de verificacin (seleccionada de manera
predeterminada) para que el dispositivo muestre el primer error
que encuentre y deje de buscar ms errores. Por ejemplo, se produce
un error si el Destino no incluye un objeto al que se haga referencia
en la regla de poltica que est moviendo. Si cancela la seleccin de
la casilla de verificacin, el dispositivo buscar todos los errores
antes de mostrarlos.
Cancelacin o reversin de una regla de seguridad predeterminada

Las reglas de seguridad predeterminadas, predeterminada entre zonas y predeterminada intrazona,
tienen ajustes predefinidos que puede cancelar en un cortafuegos o en Panorama. Si un cortafuegos recibe
las reglas predeterminadas de un grupo de dispositivos, tambin puede cancelar los ajustes del grupo de
dispositivos. El dispositivo o sistema virtual donde realice la cancelacin almacena una versin local de la
regla en su configuracin. Los ajustes que puede cancelar son un subconjunto del conjunto completo
Palo Alto Networks
Tipos de polticas
(la tabla siguiente indica el subconjunto de reglas de seguridad). Para obtener informacin acerca de las
reglas de seguridad predeterminadas, consulte Definicin de polticas de seguridad.
Para cancelar una regla, seleccione Polticas > Seguridad en un cortafuegos o Polticas > Seguridad >
Reglas predeterminadas en Panorama. La columna Nombre muestra el icono de herencia
para las
reglas que puede cancelar. Seleccione la regla, haga clic en Cancelar y edite los ajustes en la tabla siguiente.
Para revertir una regla cancelada a sus ajustes predefinidos o a los ajustes introducidos desde un grupo de
dispositivos de Panorama, seleccione Polticas > Seguridad en un cortafuegos o Polticas > Seguridad >
Reglas predeterminadas en Panorama. La columna Nombre muestra el icono de cancelacin
para las
reglas que tienen valores cancelados. Seleccione la regla, haga clic en Revertir y haga clic en S para
confirmar la operacin.
Tabla 134 Cancelacin de una regla de seguridad predeterminada

Campo
Descripcin
Pestaa General
Nombre
El Nombre que identifica la regla es de solo lectura; no puede cancelarlo.
Tipo de regla
El Tipo de regla es de solo lectura; no puede cancelarlo.
Descripcin
La Descripcin es de solo lectura; no puede cancelarla.
Etiqueta
Seleccione una etiqueta en la lista desplegable.

Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas polticas y
desea revisar las que estn etiquetadas con una palabra clave especfica.
Por ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad
con Entrante en DMZ, polticas de descifrado especficas de etiqueta con
las palabras descifrado y sin descifrado o utilizar el nombre de un centro
de datos especfico para polticas asociadas a esa ubicacin.
Pestaa Acciones
Configuracin de accin
Accin: Seleccione una de las siguientes acciones para el trfico que

coincida con la regla.
Permitir: (Predeterminado) Permite el trfico.
Denegar: Bloquea el trfico y aplica la accin predeterminada Denegar
que se define para la aplicacin que el cortafuegos est denegando.
Para ver la accin de denegacin definida de manera predeterminada
para una aplicacin, consulte la informacin detallada de la aplicacin
en Objetos > Aplicaciones.
Descartar: Descarta la aplicacin silenciosamente. El cortafuegos no
enva un mensaje de restablecimiento de TCP al host o la aplicacin.
Restablecer cliente: Enva un mensaje de restablecimiento de TCP al
dispositivo de la parte del cliente.
Restablecer servidor: Enva un mensaje de restablecimiento de TCP al
dispositivo de la parte del servidor.
Restablecer ambos: Enva un mensaje de restablecimiento de TCP tanto
al dispositivo de la parte del cliente como al de la parte del servidor.
Palo Alto Networks
Tipos de polticas
Tabla 134 Cancelacin de una regla de seguridad predeterminada (Continuacin)

Campo
Descripcin
Ajuste de perfil
Tipo de perfil: Asigne perfiles o grupos de perfiles a la regla de seguridad:

Para especificar la comprobacin que realizan los perfiles de seguridad
predeterminados, seleccione Perfiles y, a continuacin, seleccione los
perfiles individuales de Antivirus, Proteccin de vulnerabilidades,
Antispyware, Filtrado de URL, Bloqueo de archivo, Filtrado de datos
y/o Anlisis de WildFire.
Para asignar un grupo de perfiles, en lugar de perfiles individuales,
seleccione Grupo y, a continuacin, seleccione un Perfil de grupo en la
lista desplegable.
Para definir nuevos perfiles (consulte Perfiles de seguridad) o grupos
de perfiles (consulte Grupos de perfiles de seguridad), haga clic en
Nuevo en la lista desplegable del perfil o grupo correspondiente.
Ajuste de log
Especifique cualquier combinacin de las siguientes opciones:

Reenvo de logs: Para enviar el log del trfico local y las entradas del log
de amenazas a destinos remotos, como servidores de Panorama y
Syslog, seleccione un perfil de reenvo de logs de la lista desplegable.
Los perfiles de seguridad determinan la generacin de entradas en el log
Amenaza. Para definir un nuevo perfil de Reenvo de logs, seleccione
Perfil en la lista desplegable (consulte Reenvo de logs).
Para generar entradas de trfico en el log de trfico local que cumplan
esta regla, seleccione las siguientes opciones:
Log al iniciar sesin: Genera una entrada en el log Trfico al inicio de
una sesin (seleccionado de manera predeterminada).
Log al finalizar sesin: Genera una entrada en el log Trfico al final
de una sesin (sin seleccionar de manera predeterminada).
Nota: Si configura el cortafuegos para incluir entradas al inicio o al final de una
sesin en el log Trfico, tambin incluir entradas de colocacin y denegacin.
Cancelacin o reversin de un objeto

En Panorama, puede anidar grupos de dispositivos en una jerarqua de rbol de hasta cuatro niveles. En el
nivel inferior, un grupo de dispositivos puede tener grupos de dispositivos primarios, primarios
principales y primarios principales superiores en niveles sucesivamente mayores (lo que en conjunto se
denomina antecesores), de los cuales hereda polticas y objetos. En el nivel superior, un grupo de
dispositivos puede tener grupos de dispositivos secundarios, secundarios de segundo nivel y secundarios
de tercer nivel (lo que en conjunto se denomina descendientes). Puede cancelar un objeto en un
descendiente de modo que sus valores difieran de los de un antecesor. Esta capacidad de cancelacin est
habilitada de manera predeterminada. Sin embargo, no puede cancelar objetos compartidos o
predeterminados (preconfigurados). La interfaz web muestra el icono
para indicar que un objeto tiene
valores heredados y muestra el icono
para indicar que un objeto heredado tiene valores cancelados.
Para cancelar un objeto, seleccione la pestaa Objetos, seleccione el Grupo de dispositivos descendiente
que tendr la versin cancelada, seleccione el objeto, haga clic en Cancelar y edite los ajustes. No puede
cancelar los ajustes Nombre o Compartido del objeto.
Para revertir un objeto cancelado a sus valores heredados, seleccione la pestaa Objetos, seleccione el
Grupo de dispositivos que tiene la versin cancelada, seleccione el objeto, haga clic en Revertir y haga clic
en S para confirmar la operacin.
Para deshabilitar las cancelaciones de un objeto, seleccione la pestaa Objetos, seleccione el Grupo de
dispositivos donde reside el objeto, haga clic en el nombre del objeto para editarlo, seleccione la casilla de
verificacin Deshabilitar anulacin y haga clic en Aceptar. A continuacin, las cancelaciones de ese objeto
se deshabilitarn en todos los descendientes del Grupo de dispositivos seleccionado.
Palo Alto Networks
Tipos de polticas
Para sustituir todas las cancelaciones de objetos en Panorama con los valores heredados de la ubicacin
compartida o los grupos de dispositivos antecesores, seleccione Panorama > Configuracin > Gestin,
edite los ajustes de Panorama, seleccione la casilla de verificacin Los objetos antecesores tienen
prioridad y haga clic en Aceptar. A continuacin debe compilar en Panorama y en los grupos de
dispositivos que contengan cancelaciones para introducir los valores heredados.
Especificacin de usuarios y aplicaciones para las polticas

Polticas > Seguridad
Polticas > Descifrado
Puede restringir las polticas de seguridad que se deben aplicar a aplicaciones o usuarios seleccionados
haciendo clic en el enlace del usuario o aplicacin en la pgina de reglas del dispositivo Seguridad o
Descifrado. Para obtener ms informacin sobre cmo restringir las reglas segn la aplicacin, consulte
Definicin de aplicaciones.
Para restringir una poltica a los usuarios/grupos seleccionados, realice los siguientes pasos:
1.
En la pgina de reglas del dispositivo Seguridad o Descifrado, haga clic en la pestaa Usuario para
abrir la ventana de seleccin.
Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de
usuarios no se muestra y deber introducir la informacin del usuario manualmente.
2.
Haga clic en el men desplegable situado encima de la tabla Usuario de origen para seleccionar el
tipo de usuario:
Cualquiera: Incluye todo el trfico independientemente de los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante
GlobalProtect pero que no han iniciado sesin en su sistema. Cuando se configura la opcin
Anterior al inicio de sesin en el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el nombre de usuario Anterior al
inicio de sesin. Puede crear estas polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn autenticados en el dominio
como si hubieran iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de
usuario asignados. Esta opcin es equivalente al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP que no estn
asignadas a un usuario. Por ejemplo, podra usar desconocido para acceso de invitados a alguna
parte porque tendrn una IP en su red, pero no se autenticarn en el dominio y no tendrn ninguna
IP en la informacin de asignacin de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede que quiera
aadir a un usuario, una lista de individuos, algunos grupos o aadir usuarios manualmente.
3.
Para aadir grupos de usuarios, seleccione la casilla de verificacin Grupos de usuarios disponibles
y haga clic en Aadir grupo de usuarios. Tambin puede escribir el texto de uno o ms grupos y hacer
clic en Aadir grupo de usuarios.
4.
Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo Usuario y haga
clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir usuario. Tambin puede
introducir los nombres de usuarios individuales en el rea Ms usuarios.
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de
descripcin.
Palo Alto Networks
Tipos de polticas
Definicin de polticas en Panorama

Los grupos de dispositivos en Panorama le permiten gestionar polticas de forma centralizada en los
dispositivos gestionados (o cortafuegos). Las polticas definidas en Panorama se crean como reglas
previas o reglas posteriores; las reglas previas y las reglas posteriores le permiten implementar la poltica
siguiendo un sistema de capas.
Las reglas previas o posteriores se pueden definir en un contexto compartido como polticas compartidas
para todos los dispositivos gestionados o, en un grupo de dispositivos, como especficas para un
determinado grupo de dispositivos. Debido a que las reglas previas y posteriores se definen en Panorama
y, a continuacin, se envan de Panorama a los dispositivos gestionados, podr ver las reglas en los
cortafuegos gestionados, pero solo podr editarlas en Panorama.
Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se evalan en primer
lugar. Puede utilizar las reglas previas para aplicar la poltica de uso aceptable para una organizacin;
por ejemplo, para bloquear el acceso a categoras de URL especficas o permitir el trfico DNS a todos
los usuarios.
Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan despus de las
reglas previas y de las reglas definidas localmente en el dispositivo. Las reglas posteriores suelen
incluir reglas para impedir el acceso al trfico basado en App-ID, ID de usuario o servicio.
Reglas predeterminadas: Reglas que indican al cortafuegos cmo gestionar el trfico que no coincide
con ninguna regla previa, regla posterior o regla local de un dispositivo. Estas reglas son parte de la
configuracin predefinida de Panorama. Debe cancelarlas para permitir la edicin de determinados
ajustes en ellas: consulte Cancelacin o reversin de una regla de seguridad predeterminada.
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos
gestionados. En cada base de reglas, la jerarqua de las mismas se marca visualmente para cada grupo de
dispositivos (y dispositivo gestionado), lo que permite revisarlas entre un gran nmero de reglas.
Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente, elimine o
deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos.
Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. Panorama supervisa
cada dispositivo, obtiene y agrega la lista de reglas sin coincidencia. Dado que la marca se restablece
cuando se produce un restablecimiento del plano de datos al reiniciar, la prctica recomendada es
supervisar esta lista peridicamente para determinar si la regla ha tenido una coincidencia desde la ltima
comprobacin antes de eliminarla o deshabilitarla.
Para crear polticas, consulte la seccin relevante de cada base de reglas.
Definicin de polticas de seguridad

Definicin de polticas de traduccin de direccin de red
Estadsticas de QoS
Polticas de reenvo basado en polticas
Polticas de descifrado
Definicin de polticas de cancelacin de aplicacin
Definicin de polticas de portal cautivo
Definicin de polticas DoS
Palo Alto Networks
Tipos de polticas
Definicin de polticas de seguridad

Las polticas de seguridad hacen referencia a zonas de seguridad y gracias a ellas puede permitir,
restringir y realizar un seguimiento del trfico de su red basndose en la aplicacin, el usuario o grupo de
usuarios y el servicio (puerto y protocolo). De manera predeterminada, el cortafuegos incluye una regla de
seguridad denominada regla1 que permite todo el trfico desde la zona fiable a la zona no fiable.
Qu desea saber?
Consulte
Qu es una poltica de
seguridad?
Descripcin general de polticas de seguridad

En el caso de Panorama, consulte Definicin de
polticas en Panorama
Qu campos estn disponibles

para crear una poltica de
seguridad?
Bloques de creacin de una poltica de seguridad
Cmo puedo utilizar la interfaz

web para gestionar polticas de
seguridad?
Creacin y gestin de polticas
Desea obtener ms
informacin?
No encuentra lo busca?
Consulte Security Policy (en ingls).
Descripcin general de polticas de seguridad

Las polticas de seguridad le permiten aplicar reglas y realizar acciones, y pueden ser todo lo general o
especficas como sea necesario. Las reglas de poltica se comparan con el trfico entrante en secuencia y al
aplicar la primera regla que coincida con el trfico, las reglas ms especficas deben anteceder a las reglas
ms generales. Por ejemplo, una regla de una aplicacin simple debe anteceder a una regla para todas las
aplicaciones si el resto de configuraciones de trfico son las mismas.
Para el trfico que no coincide con ninguna regla definida por el usuario, se aplican las reglas
predeterminadas. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de
seguridad) se predefinen para permitir todo el trfico de intrazona (en la zona) y denegar todo el trfico
interzona (entre zonas). Aunque estas reglas son parte de la configuracin predefinida y son de solo
lectura de forma predeterminada, puede cancelarlas y cambiar un nmero limitado de ajustes, incluidas
las etiquetas, accin (permitir o denegar) configuracin de log y perfiles de seguridad.
La interfaz incluye las siguientes pestaas para definir la poltica de seguridad:
General: Utilice la pestaa General para configurar un nombre y una descripcin para la poltica de
seguridad.
Origen: Utilice la pestaa Origen para definir la zona o direccin de origen donde se origina el trfico.
Usuario: Utilice la pestaa Usuario para aplicar una poltica para usuarios individuales o un grupo de
usuarios. Si est utilizando GlobalProtect con Perfil de informacin del host (HIP) habilitado, tambin
puede basar la poltica en informacin recopilada por GlobalProtect. Por ejemplo, el nivel de acceso
del usuario puede estar determinado por un HIP que informe al cortafuegos acerca de la
Palo Alto Networks
Tipos de polticas
configuracin local del usuario. La informacin HIP se puede utilizar para un control de acceso
granular basado en los programas de seguridad en ejecucin en el host, los valores de registro y
muchas ms comprobaciones si el host tiene instalado software antivirus.
Destino: Utilice la pestaa Destino para definir la zona o direccin de destino para el trfico.
Aplicacin: Utilice la pestaa Aplicacin para que la accin de la poltica se produzca basndose en
una aplicacin o un grupo de aplicaciones. Un administrador tambin puede usar una firma de
identificacin de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad
reservada o para detectar atributos especficos de una aplicacin existente. Las aplicaciones
personalizadas se definen en Objetos > Aplicaciones.
Categora de URL/servicio: Utilice la pestaa Categora de URL/servicio para especificar un nmero

de puerto TCP y/o UDP especfico o una categora de URL como criterios de coincidencia en la
poltica.
Acciones: Utilice la pestaa Acciones para determinar la accin que se realizar basndose en el
trfico que coincida con los atributos de la poltica definida.
Consulte:
Palo Alto Networks
Tipos de polticas

La seccin siguiente describe cada bloque de creacin o componente de una regla de poltica de seguridad.
Cuando visualice la regla de seguridad predeterminada o cree una nueva regla, podr configurar las
opciones descritas aqu.
Tabla 135. Bloques de creacin de una regla de seguridad
Campo
Configurado en
Descripcin
Cada regla se numera automticamente y el orden cambia a medida
que se mueven las reglas. Al filtrar reglas para que coincidan con
filtros especficos, cada regla se enumera con su nmero en el
contexto del conjunto de reglas completo de la base de reglas y su
puesto en el orden de evaluacin.
Nmero de regla
Nombre
N/D
General
En Panorama, las reglas previas y las posteriores se enumeran de

forma independiente. Cuando las reglas se envan desde Panorama
a un cortafuegos gestionado, la numeracin de reglas incorpora
jerarqua en las reglas previas, reglas del dispositivo y reglas
posteriores dentro de una base de reglas y refleja la secuencia de
reglas y su orden de evaluacin.
Introduzca un nombre para identificar la regla. El nombre distingue
entre maysculas y minsculas y puede tener hasta 31 caracteres,
que pueden ser letras, nmeros, espacios, guiones y guiones bajos.
El nombre debe ser exclusivo en un cortafuegos y, en Panorama,
exclusivo dentro de su grupo de dispositivos y cualquier grupo de
dispositivos antecesor o descendiente.
Haga clic en Aadir para especificar la etiqueta para la poltica.
Etiqueta
General

ordenar o filtrar polticas. Es til cuando ha definido muchas
polticas y desea revisar las que estn etiquetadas con una palabra
clave especfica. Por ejemplo, tal vez quiera etiquetar determinadas
reglas con palabras especficas como descifrado y sin descifrado,
o utilizar el nombre de un centro de datos especfico para polticas
asociadas a esa ubicacin.
Tambin puede aadir etiquetas a las reglas predeterminadas.
Palo Alto Networks
Tipos de polticas
Campo
Configurado en
Descripcin
Especifica si la regla se aplica al trfico en una zona, entre zonas o
ambas.
Tipo
Zona de origen
Direccin de
origen
General
Origen
Origen
universal (predeterminado): aplica la regla a todo el trfico

coincidente de interzona e intrazona en las zonas de origen y
destino especificadas. Por ejemplo, si crea una regla universal
con las zonas de origen A y B y las zonas de destino A y B, esta se
aplicar a todo el trfico dentro de la zona A, a todo el trfico de
la zona B, a todo el trfico que vaya de la zona A a la B y a todo el
trfico de la zona B a la A.
intrazona: aplica la regla a todo el trfico coincidente dentro de
las zonas de origen especificadas (no puede especificar una zona
de destino para las reglas de intrazona). Por ejemplo, si establece
la zona de origen en A y B, la regla se aplicar a todo el trfico
dentro de la zona A y a todo el trfico dentro de la zona B, pero
no al trfico entre las zonas A y B.
interzona: aplica la regla a todo el trfico coincidente entre la
zona de origen especificada y las zonas de destino. Por ejemplo,
si establece la zona de origen en A, B, y C y la zona de destino en
A y B, la regla se aplicar al trfico que va de la zona a A a la B,
de la zona B a la A, de la zona C a la A y de la zona C a la B, pero
no al trfico dentro de las zonas A, B o C.
Haga clic en Aadir para seleccionar las zonas de origen (el valor
predeterminado es Cualquiera). Las zonas deben ser del mismo
tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir
nuevas zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por
ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas
y Relaciones pblicas) que se dirigen todas a la zona de destino no
fiable, puede crear una regla que cubra todas las clases.
Haga clic en Aadir para aadir las direcciones, direcciones de
grupos o regiones de origen (la opcin predeterminada es
Cualquiera). Realice su seleccin en la lista desplegable o haga clic
en Direccin, Grupo de direcciones o Regiones en la parte inferior
de la lista desplegable y especifique la configuracin.
Palo Alto Networks
Tipos de polticas
Campo
Configurado en
Descripcin
Haga clic en Aadir para seleccionar los usuarios o grupos de
usuarios de origen sometidos a la poltica. Los siguientes tipos de
usuarios de origen son compatibles:
Usuario de
origen
Perfil HIP de
origen
Palo Alto Networks
Usuario
Usuario
Cualquiera: Incluye todo el trfico independientemente de los

datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos
conectados a la red mediante GlobalProtect pero que no han
iniciado sesin en su sistema. Cuando se configura la opcin
Anterior al inicio de sesin en el portal de clientes de
GlobalProtect, cualquier usuario que no est registrado en su
equipo en ese momento ser identificado con el nombre de usuario
Anterior al inicio de sesin. Puede crear estas polticas para
usuarios anteriores al inicio de sesin y, aunque el usuario no haya
iniciado sesin directamente, sus equipos estarn autenticados en
el dominio como si hubieran iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es
decir, cualquier IP con datos de usuario asignados. Esta opcin es
equivalente al grupo de usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estn asignadas a un usuario. Por
ejemplo, podra utilizar desconocido para acceso de invitados a
alguna parte porque tendrn una IP en su red, pero no se
autenticarn en el dominio y no tendrn ninguna IP en la
informacin de asignacin de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera aadir a un usuario, una lista de
individuos, algunos grupos o aadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios, la
lista de usuarios no se muestra y deber introducir la informacin del
usuario manualmente.
Haga clic en Aadir para seleccionar los perfiles de informacin de
host (HIP) que identificarn a los usuarios. Un HIP le permite
recopilar informacin sobre el estado de seguridad de sus hosts de
extremo, como por ejemplo si tienen instalados los parches de
seguridad y las definiciones de antivirus ms recientes. El uso de
los perfiles de informacin del host para la aplicacin de polticas
posibilita una seguridad granular que garantiza que los hosts
remotos que acceden a sus recursos crticos posean un
mantenimiento adecuado y conforme a sus normas de seguridad
antes de que se les permita acceder a los recursos de su red.
Tipos de polticas
Campo
Configurado en
Descripcin
Haga clic en Aadir para seleccionar las zonas de destino
(la opcin predeterminada es Cualquiera). Las zonas deben ser del
mismo tipo (capa 2, capa 3 o de cable virtual, Virtual Wire). Para
definir nuevas zonas, consulte Definicin de zonas de seguridad.
Zona de destino
Destino
Puede utilizar mltiples zonas para simplificar la gestin. Por

ejemplo, si tiene tres zonas internas diferentes (Marketing, Ventas
y Relaciones pblicas) que se dirigen todas a la zona de destino no
fiable, puede crear una regla que cubra todas las clases.
Nota: En las reglas de intrazona, no puede definir una zona de destino
porque estos tipos de reglas solo pueden hacer coincidir trfico con un
origen y un destino dentro de la misma zona. Para especificar las zonas
que coincidan con una regla de intrazona, solo necesita establecer la zona
de origen.
Direccin de
destino
Destino
Haga clic en Aadir para aadir las direcciones, direcciones de grupos

o regiones de destino (el valor predeterminado es Cualquiera).
Realice su seleccin en la lista desplegable o haga clic en Direccin,
en el enlace en la parte inferior de la lista desplegable y especifique la
configuracin de la direccin.
Seleccione si desea especificar aplicaciones a la regla de seguridad.
Si una aplicacin tiene mltiples funciones, puede seleccionar una
aplicacin general o aplicaciones individuales. Si selecciona la
aplicacin general, se incluirn todas las funciones y la definicin
de la aplicacin se actualizar automticamente a medida que se
aadan futuras funciones.
Aplicacin
Aplicacin
Si utiliza grupos de aplicaciones, filtros o contenedores en la regla

de seguridad, podr ver la informacin detallada de estos objetos
pasando el ratn por encima del objeto en la columna Aplicacin,
haciendo clic en la flecha hacia abajo y seleccionando Valor. De esta
forma podr ver fcilmente miembros de la aplicacin
directamente desde la poltica, sin tener que desplazarse a las
pestaas Objeto.
Palo Alto Networks
Tipos de polticas
Campo
Configurado en
Descripcin
Seleccione los servicios para limitar nmeros de puertos TCP y/o
UDP concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Servicio
Categora de URL/
servicio
Cualquiera: Las aplicaciones seleccionadas se permiten o

deniegan en cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones
seleccionadas se permiten o deniegan nicamente segn sus
puertos predeterminados por Palo Alto Networks. Esta opcin se
recomienda para polticas de permiso porque impide que las
aplicaciones se ejecuten en puertos y protocolos no habituales,
que si no es a propsito, puede ser una seal de comportamiento
y uso de aplicaciones no deseados.
Tenga en cuenta que cuando utiliza esta opcin, el dispositivo
sigue comprobando todas las aplicaciones en todos los puertos,
pero con esta configuracin, las aplicaciones solamente tienen
permiso en sus puertos y protocolos predeterminados.
Seleccin: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una
nueva entrada. Consulte Servicios y Grupos de servicios.
Seleccione las categoras URL de la regla de seguridad.
Categora de
URL
Palo Alto Networks
Categora de URL/
servicio
Seleccione Cualquiera para permitir o denegar todas las

sesiones, con independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione
una categora especfica (incluyendo una categora
personalizada) de la lista desplegable. Puede aadir varias
categoras. Consulte Listas de bloqueos dinmicos para
obtener ms informacin sobre cmo definir categoras
personalizadas.
Tipos de polticas
Campo
Configurado en
Descripcin
Para especificar la accin para el trfico que coincida con los
atributos definidos en una regla, seleccione una de las acciones
siguientes:
Permitir: (Predeterminado) Permite el trfico.
Denegar: Bloquea el trfico y aplica la accin predeterminada
Denegar definida para la aplicacin que se est denegando.
Para ver la accin de denegacin definida de manera
predeterminada para una aplicacin, consulte la informacin
detallada de la aplicacin en Objetos > Aplicaciones.
Dado que la accin de denegacin predeterminada vara segn
la aplicacin, el cortafuegos podra bloquear la sesin y enviar
un restablecimiento para una aplicacin, mientras que podra
descartar la sesin silenciosamente para otra aplicacin.
Descartar: Descarta la aplicacin silenciosamente. No se enva
un restablecimiento de TCP al host o la aplicacin, a menos
que seleccione Enviar ICMP inalcanzable.
Restablecer cliente: Enva un restablecimiento de TCP al
dispositivo de la parte del cliente.
Accin
Acciones
Restablecer servidor: Enva un restablecimiento de TCP al

dispositivo de la parte del servidor.
Restablecer ambos: Enva un restablecimiento de TCP tanto al
dispositivo de la parte del cliente como al de la parte del
servidor.
Enviar ICMP inalcanzable: Solamente est disponible para interfaces de capa 3. Cuando configura una poltica de seguridad para
descartar trfico o restablecer la conexin, el trfico no alcanza el
host de destino. En dichos casos, para todo el trfico de UDP y
para el trfico de TCP descartado, puede habilitar el cortafuegos
para enviar una respuesta inalcanzable de ICMP a la direccin IP
de origen donde se origin el trfico. Habilitar este ajuste permite
que el origen cierre o borre la sesin correctamente y evita que las
aplicaciones fallen.
Para ver la tasa de paquetes inalcanzable de ICMP configurada
en el cortafuegos, consulte la seccin Configuracin de sesin en
Dispositivo > Configuracin > Sesin.
Para cancelar la accin predeterminada definida en las reglas de
interzona e intrazona predefinidas, consulte Cancelacin o
reversin de una regla de seguridad predeterminada
Palo Alto Networks
Tipos de polticas
Campo
Configurado en
Descripcin
Para especificar la comprobacin realizada por los perfiles de
seguridad predeterminados, seleccione los perfiles individuales de
Antivirus, Antispyware, Proteccin de vulnerabilidades, Filtrado
de URL, Bloqueo de archivo y/o Filtrado de datos.
Ajuste de perfil
Acciones
Para especificar un grupo de perfiles en lugar de perfiles

individuales, seleccione Grupo en Tipo de perfil y, a continuacin,
seleccione un grupo de perfiles en la lista desplegable Perfil de
grupo.
Para definir nuevos perfiles o grupos de perfiles, haga clic en
Nuevo junto al perfil o grupo adecuado (consulte Grupos de
perfiles de seguridad).
Tambin puede adjuntar perfiles de seguridad (o grupos de
perfiles) a las reglas predeterminadas.
Palo Alto Networks
Tipos de polticas
Campo
Configurado en
Descripcin
La pestaa Opciones incluye los ajustes de logs y
una combinacin de otras opciones indicadas a continuacin:
Para generar entradas de trfico en el log de trfico local que cumplan
esta regla, seleccione las siguientes opciones:
Opciones
Acciones
Log al iniciar sesin. Genera una entrada de log de trfico al inicio

de la sesin (deshabilitada de forma predeterminada).
Log al finalizar sesin. Genera una entrada de log de trfico al final
de la sesin (habilitada de forma predeterminada).
Nota: Si las entradas de inicio o fin de la sesin se registran, tambin
lo harn las entradas de colocacin y denegacin.
Perfil de reenvo de logs: Para enviar el log del trfico local y las
entradas del log de amenazas a destinos remotos, como servidores
de Panorama y Syslog, seleccione un perfil de logs de la lista
desplegable Perfil de reenvo de logs.
Tenga en cuenta que la generacin de entradas del log de amenazas
est determinada por los perfiles de seguridad. Para definir nuevos
perfiles de log, haga clic en Nuevo (consulte Reenvo de logs).
Tambin puede cambiar la configuracin del log en las reglas
predeterminadas.
Especifique cualquier combinacin de las siguientes opciones:
Programacin: Para limitar los das y horas en los que la regla est
en vigor, seleccione una programacin de la lista desplegable.
Para definir nuevas programaciones, haga clic en Nueva (consulte
Ajustes de descifrado SSL en un perfil de descifrado).
Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS)
en paquetes que coincidan con la regla, seleccione IP DSCP o
Precedencia de IP e introduzca el valor de QoS en formato binario o
seleccione un valor predeterminado de la lista desplegable. Para
obtener ms informacin sobre QoS, consulte Configuracin de la
calidad de servicio.
Deshabilitar inspeccin de respuesta de servidor: Para deshabilitar
la inspeccin de paquetes del servidor en el cliente, seleccione esta
casilla de verificacin. Esta opcin puede ser de utilidad en
condiciones con gran carga del servidor.
Descripcin
General
Introduzca una descripcin de la poltica (hasta 255 caracteres).
Palo Alto Networks
Tipos de polticas

Utilice la pgina Polticas > Seguridad para aadir, modificar y gestionar polticas de seguridad:
Tarea
Aadir
Descripcin
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar la nueva regla y haga clic en Duplicar
regla, o bien seleccione una regla haciendo clic en el espacio en blanco de la
regla y seleccione Duplicar regla en la parte inferior de la pgina (una regla
seleccionada en la interfaz web se muestra con un fondo de color amarillo).
La regla copiada, regla n se inserta debajo de la regla seleccionada, donde n es
el siguiente nmero entero disponible que hace que el nombre de la regla sea
nico. Si desea informacin detallada sobre la duplicacin, consulte Traslado o
duplicacin de una poltica o un objeto.
Modificar
Para modificar una regla, haga clic en ella.

Si la regla se ha introducido desde Panorama, la regla ser de solo lectura en el
cortafuegos y no podr editarse localmente.
Las acciones Cancelar y Revertir nicamente pertenecen a las reglas
predeterminadas que se muestran en la parte inferior de la base de reglas de
seguridad. Estas reglas predefinidas (permitir todo el trfico de intrazona y
denegar todo el trfico de interzona) indican al cortafuegos cmo debe gestionar
el trfico que no coincida con ninguna otra regla de la base de reglas. Como son
parte de la configuracin predefinida, debe cancelarlas con el fin de editar la
configuracin de polticas seleccionada. Si usa Panorama, tambin puede
cancelar las reglas predeterminadas y, a continuacin, enviarlas a los cortafuegos
de un grupo de dispositivos o contexto compartido. Tambin puede revertir las
reglas predeterminadas, lo que restaura la configuracin predefinida o la
configuracin enviada a Panorama. Para obtener ms informacin, consulte
Cancelacin o reversin de una regla de seguridad predeterminada.
Mover
Las reglas se evalan de arriba a abajo y del modo enumerado en la pgina

Polticas. Para cambiar el orden en el que las reglas se evalan con respecto al
trfico de red, seleccione una regla y haga clic en Mover hacia arriba, Mover
hacia abajo, Mover a la parte superior o Mover a la parte inferior. Para obtener
ms informacin, consulte Traslado o duplicacin de una poltica o un objeto.
Eliminar
Seleccione una regla y haga clic en Eliminar para eliminar la regla existente.
Habilitar/
deshabilitar
Para deshabilitar una regla, seleccione la regla y haga clic en Deshabilitar. Para
habilitar una regla que est deshabilitada, seleccinela y haga clic en Habilitar.
Palo Alto Networks
Tipos de polticas
Tarea
Descripcin
Visualizar
reglas no
utilizadas
Para buscar reglas no utilizadas actualmente, seleccione la casilla de verificacin

Resaltar reglas no utilizadas. A continuacin, podr decidir si desea deshabilitar
la regla o eliminarla. Las reglas no utilizadas actualmente se muestran con un
fondo de puntos amarillos.
Prctica recomendada: Cada dispositivo mantiene una marca para las reglas que
tienen una coincidencia. Dado que la marca se restablece cuando se produce un
restablecimiento del plano de datos al reiniciar, supervise esta lista
peridicamente para determinar si la regla ha tenido una coincidencia desde la
ltima comprobacin antes de eliminarla o deshabilitarla.
En Panorama, desde cada dispositivo gestionado, Panorama obtiene y agrega
la lista de reglas sin coincidencia.
Regla en uso
Regla no utilizada (fondo de puntos amarillos)
Mostrar/
ocultar
columnas
Para cambiar (mostrar u ocultar) las columnas que aparecen en cualquiera de las
pginas de Polticas. Seleccione o cancele la seleccin de la casilla de verificacin
junto al nombre de columna para alternar la visualizacin de cada columna.
Aplicar
filtros
Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro.

Para aadir un valor que defina un filtro, haga clic en la lista desplegable del
elemento y seleccione Filtro. Nota: Las reglas predeterminadas no son parte del
filtro de la base de reglas y siempre aparecen en la lista de reglas filtradas.
Para ver las sesiones de red registradas como coincidencias con respecto a la
poltica, haga clic en la lista desplegable del nombre de regla y seleccione Visor
de log.
Palo Alto Networks
Tarea
Descripcin
Puede mostrar el valor actual haciendo clic en la lista desplegable de la entrada y
seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos elementos
directamente desde el men de la columna. Por ejemplo, para ver las direcciones
incluidas en un grupo de direcciones, pase el ratn por encima del objeto en la
columna Direccin, haga clic en la lista desplegable y seleccione Valor. Esto le
permitir ver rpidamente los miembros y las direcciones IP correspondientes del
grupo de direcciones sin tener que navegar a las pestaas Objeto.
Para buscar objetos que se utilicen dentro de una poltica basndose en el nombre
del objeto o la direccin IP, utilice el filtro. La bsqueda rastrear los objetos
incrustados para encontrar una direccin en un objeto de direccin o en un grupo
de direcciones. En la siguiente captura de pantalla, la direccin IP 10.8.10.177 se
ha introducido en la barra de filtros y se muestra la poltica aaa. Esa poltica
utiliza un objeto de grupo de direcciones denominado aaagroup, que contiene la
direccin IP.
Barra de filtros
Resultados de filtros
Reglas de
vista previa
(nicamente
Panorama)
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a
los dispositivos gestionados. En cada base de reglas, la jerarqua de las mismas se
marca visualmente para cada grupo de dispositivos (y dispositivo gestionado),
lo que permite revisarlas entre un gran nmero de reglas.

Los grupos de dispositivos en Panorama le permiten gestionar polticas de forma centralizada en los
dispositivos gestionados (o cortafuegos). Las polticas definidas en Panorama se crean como reglas
previas o reglas posteriores; las reglas previas y las reglas posteriores le permiten implementar la poltica
siguiendo un sistema de capas.
Palo Alto Networks
Las reglas previas o posteriores se pueden definir en un contexto compartido como polticas compartidas
para todos los dispositivos gestionados o, en un grupo de dispositivos, como especficas para un
determinado grupo de dispositivos. Debido a que las reglas previas y posteriores se definen en Panorama
y, a continuacin, se envan de Panorama a los dispositivos gestionados, podr ver las reglas en los
cortafuegos gestionados, pero solo podr editarlas en Panorama.
Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se evalan en primer
lugar. Puede utilizar las reglas previas para aplicar la poltica de uso aceptable para una organizacin;
por ejemplo, para bloquear el acceso a categoras de URL especficas o permitir el trfico DNS a todos
los usuarios.
Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan despus de las
reglas previas y de las reglas definidas localmente en el dispositivo. Las reglas posteriores suelen
incluir reglas para impedir el acceso al trfico basado en App-ID, ID de usuario o servicio.
Reglas predeterminadas: Reglas que indican al cortafuegos cmo gestionar el trfico que no coincide
con ninguna regla previa, regla posterior o regla local de un dispositivo. Estas reglas son parte de la
configuracin predefinida de Panorama. Puede cancelar las reglas predeterminadas para permitir la
edicin de ajustes seleccionados en estas reglas e introducirlas en los dispositivos gestionados de un
grupo de dispositivos o contexto compartido.
Para definir polticas, consulte Bloques de creacin de una poltica de seguridad o Creacin y gestin
de polticas.
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de direccin de red
(NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirn entre pblicos
y privados. Por ejemplo, las direcciones de origen privadas se pueden traducir a direcciones pblicas en el
trfico enviado desde una zona interna (fiable) a una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de cable virtual,
es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se
comunican los dispositivos vecinos. Proxy ARP no es compatible con cables virtuales, por lo que los
dispositivos vecinos solamente podrn resolver solicitudes ARP para direcciones IP que residan en la
interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe configurar una
poltica de seguridad para permitir el trfico NAT. La poltica de seguridad se basar en la direccin de la
zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas direcciones IP
pblicas con diferentes nmeros de puerto de origen. Las reglas de IP dinmica/NAT de puerto permiten
traducir una direccin IP nica, un intervalo de direcciones IP, una subred o una combinacin de todas
ellas. Si una interfaz de salida tiene una direccin IP asignada dinmicamente, puede ser de utilidad
especificar la interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin adquirida por la
interfaz para subsiguientes traducciones.
IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT que
las admitidas por el nmero de puertos y direcciones IP disponibles. El cortafuegos
puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma
simultnea) en los cortafuegos de las series PA-200, PA-500, PA-2000 y PA-3000,
cuatro veces en los cortafuegos PA-4020 y PA-5020 y ocho veces en los cortafuegos
de las series PA-4050, PA-4060, PA-5050, PA-5060 y PA-7000 cuando las
direcciones IP de destino sean exclusivas.
Palo Alto Networks
IP dinmica: Para el trfico saliente. Las direcciones de origen privadas se traducen a la siguiente
direccin disponible en el intervalo de direcciones especificado. Las polticas de NAT de IP dinmica
permiten especificar una direccin IP nica, mltiples IP, mltiples intervalos IP o mltiples subredes
como el grupo de direcciones traducidas. Si el grupo de direcciones de origen es mayor que el grupo
de direcciones traducidas, las nuevas direcciones IP que buscan traduccin se vern bloqueadas,
mientras que el grupo de direcciones traducidas se utiliza en su totalidad. Para evitar este problema,
puede especificar un grupo de reserva que se utilizar si el grupo primario agota sus direcciones IP.
IP dinmica: Para el trfico entrante o saliente. Puede utilizar la IP esttica de origen o destino,
mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza para asignar una
direccin IP pblica a mltiples servidores y servicios privados, los puertos de destino pueden ser los
mismos o dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo de
direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros diferentes. N
tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP dinmica en que los puertos
TCP y UDP de origen no se conservan en IP dinmica/puerto, mientras que permanecen inalterables con
NAT de IP dinmica. Tambin existen lmites diferentes del tamao del grupo de IP traducido, tal y como
se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su direccin
traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a M para un grupo de
direcciones IP asignadas una a una.
Tabla 136. Tipos de NAT

Tipo de
asignacin
Tamao del grupo de

direcciones
traducidas
No
Muchas a
1MaN
Hasta 254 direcciones

consecutivas
No
MaN
Hasta
32.000 direcciones
consecutivas
No
1a1
Ilimitado
Tipos de NAT
de PAN-OS
El puerto de destino
es el mismo
El puerto de
destino puede
cambiar
IP dinmica/
puerto
No
IP dinmica
IP esttica
MaN
MIP
Opcional
Palo Alto Networks
1 a muchas
PAT VIP
Determinacin de configuracin de zona en NAT y poltica de seguridad

Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP anteriores a NAT
configuradas en la poltica. Por ejemplo, si traduce el trfico entrante a un servidor interno (al que se
accede mediante una IP pblica de servidores de Internet), es necesario configurar la poltica NAT
mediante la zona en la que reside la direccin IP pblica. En este caso, las zonas de origen y destino seran
las mismas. Como ejemplo adicional, si traduce el trfico de host saliente a una direccin IP pblica,
es necesario configurar la poltica NAT con una zona de origen correspondiente a las direcciones IP
privadas de esos hosts. La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que
NAT haya modificado el paquete.
La poltica de seguridad es diferente de la poltica NAT en que las zonas posteriores a NAT se deben
utilizar para controlar el trfico. NAT puede afectar a las direcciones IP de origen o destino y pueden
llegar a modificar la interfaz saliente y la zona. Si crea polticas de seguridad con direcciones IP especficas,
es importante tener en cuenta que las direcciones IP anteriores a NAT se utilizarn en la correspondencia
de polticas. La poltica de seguridad debe permitir de forma explcita el trfico sujeto a NAT, si el trfico
atraviesa mltiples zonas.
Opciones de regla NAT

El cortafuegos admite reglas no NAT y reglas NAT bidireccionales.
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas en el intervalo
de las reglas NAT definidas posteriormente en la poltica NAT. Para definir una poltica no NAT,
especifique todos los criterios coincidentes y seleccione Sin traduccin de origen en la columna de
traduccin de origen.
Reglas NAT bidireccionales

El ajuste bidireccional en reglas NAT de origen estticas crea una regla NAT de destino para el trfico en
los mismo recursos en la direccin opuesta. En este ejemplo, se utilizan dos reglas NAT para crear una
traduccin de origen del trfico saliente desde la IP 10.0.1.10 a la IP pblica 3.3.3.1; y una traduccin de
destino para el trfico destinado de la IP pblica 3.3.3.1 a la IP privada 10.0.1.10. Este par de reglas se
pueden simplificar configurando nicamente la tercera regla NAT, utilizando la funcin bidireccional.
Palo Alto Networks
Ilustracin 2. Reglas NAT bidireccionales
Ejemplos de poltica NAT

La siguiente regla de polticas NAT traduce un intervalo de direcciones de origen privadas (10.0.0.1 a
10.0.0.100 en la zona L3Trust) en una direccin IP pblica nica (200.10.2.100 en la zona L3Untrust) y
un nmero de puerto de origen nico (traduccin de origen dinmica). La regla solo se aplica al trfico
recibido en una interfaz Capa 3 en la zona L3Trust que se destina a una interfaz en la zona L3Untrust.
Como las direcciones privadas estn ocultas, las sesiones de red no se pueden iniciar desde la red pblica.
Si la direccin pblica no est en una direccin de interfaz de cortafuegos (o en la misma subred), el
enrutador local requiere una ruta esttica para dirigir el trfico de retorno al cortafuegos.
La poltica de seguridad debe configurarse explcitamente para permitir el trfico coincidente con esta
regla NAT. Cree una poltica de seguridad con zonas y direcciones de origen/destino que coincidan con la
regla NAT.
Ilustracin 3. Traduccin de direccin de origen dinmica

En el siguiente ejemplo, la primera regla NAT traduce la direccin privada de un servidor de correo
interno en una direccin IP pblica esttica. La regla solo se aplica al correo saliente enviado desde la zona
L3Trust a la zona L3Untrust. Para el trfico en direccin opuesta (correo electrnico entrante), la
segunda regla traduce la direccin de destino de la direccin pblica del servidor a su direccin privada.
La regla 2 utiliza L3Untrust para las zonas de origen y destino porque la poltica NAT se basa en la zona
de direcciones anterior a NAT. En este caso, esa direccin anterior a NAT es una direccin IP Pblica y,
por lo tanto, se encuentra en la zona L3Untrust.
Ilustracin 4. Origen esttico y Traduccin de direccin de destino

En ambos ejemplos, si la direccin pblica no est en la direccin de la interfaz del cortafuegos (o en la
misma subred), debe aadir una ruta esttica al enrutador local para enrutar el trfico al cortafuegos.
Palo Alto Networks
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4.
Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4 acceder a servidores
IPv6. Existen tres mecanismos principales de transicin definidos por IETF: pila doble, tneles y
transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicacin, debe utilizar la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga de una
solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin NAT.
Las siguientes funciones NAT64 son compatibles:
Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4 pueda
asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede compartir con NAT44.
En contraste, Stateless NAT64 asigna una direccin IPv4 a una direccin IPv6.
Traduccin de comunicacin IPv4 iniciada. El enlace esttico de IPv4 asigna una direccin/nmero de
puerto IPv4 a una direccin IP IPv6. PAN-OS tambin admite la reescritura, lo que le permite
conservar an ms direcciones IPv4.
Permite traducir subredes /32, /40, /48, /56, /64 y /96.

Compatibilidad de varios prefijos. Puede asignar un prefijo NAT64 por regla.
No requiere que conserve un grupo de direcciones IPv4 especficamente para NAT64. Por lo tanto,
puede utilizar una direccin IP simple para NAT44 y NAT64.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de
hairpinning.
Permite la traduccin de paquetes TCP/UDP/ICMP por RFC, as como otros protocolos sin ALG
(best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traduccin tiene la misma
limitacin que NAT44.
Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamao mximo de segmento) para TCP.
Permite configurar el parmetro IPv6 MTU. El valor predeterminado es 1280, que es el valor mnimo
de MTU para el trfico IPv6. Este ajuste se configura en la pestaa Dispositivo > Configuracin >
Sesiones en Ajustes de sesin.
Traduce el atributo de longitud entre IPv4 e IPv6.

Admitido en interfaces y subinterfaces de capa 3, tnel e interfaces VLAN.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que es similar al
origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es similar al destino NAT en IPv4.
Comunicacin IPv6 iniciada

En este tipo de traduccin, la direccin IPv6 de destino de la regla NAT es un prefijo que sigue al formato
RFC 6052 (/32, /40,/48,/56,/64 y /96). La mscara de red de la direccin IPv6 de destino en la regla se
utilizara para extraer la direccin IPv4. La traduccin de origen necesita tener un puerto e IP dinmicas para
implementar Stateful NAT64. La direccin IPv4 definida como origen se configura de la misma forma que una
traduccin de destino NAT44. El campo de traduccin de destino no est definido. Sin embargo, debe
realizarse una traduccin de destino ya que la direccin se extrae de la direccin IPv6 en el paquete. Utiliza el
prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en cuenta que en un prefijo /96,
est en los ltimos 4 octetos, pero la ubicacin de la direccin IPv4 sera diferente si el prefijo no es /96.
Palo Alto Networks
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Internet IPv4
Fiable
No fiable
Host IPv6
Ilustracin 5. Red de cliente NAT64 IPv6 a IPv4

La tabla siguiente describe los valores necesarios en esta poltica NAT64.
Tabla 137.
IP de origen
IP de destino
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC6052
Traduccin de
origen
IP dinmica y modo
de puerto (usar
direcciones IPv4)
Traduccin de destino
Ninguna
(Extrada de las direcciones IPv6 de
destino)
Comunicacin IPv4 iniciada

La direccin IPv4 se asigna a la direccin IPv6 y puede usar el modo de IP esttica en la traduccin de
origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y se adjunta a la direccin
IPv4 de origen. La direccin de destino es la direccin IP definida en la columna de traduccin de destino.
Es posible reescribir el puerto de destino. Este mtodo permite que una nica direccin IP comparta
mltiples servidores IPv6 mediante una asignacin esttica en el puerto.
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Internet IPv4
Fiable
No fiable
Host IPv4
Ilustracin 6. Red de Internet NAT64 IPv4 a cliente IPv6
Palo Alto Networks
La tabla siguiente describe los valores necesarios en esta poltica NAT64.
Tabla 138. Valores de IPv4 iniciada

IP de origen
IP de destino
Cualquier
direccin
IPv4
Direccin IPv4
Traduccin de
origen
Modo de IP esttica
(Prefijo IPv6 en
formato RFC 6052)
Direccin simple IPv6 (direccin IP
del servidor real)
Nota: Puede especificar una
reescritura del puerto del servidor.
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta para buscar
la zona de destino antes de buscar en la regla NAT. En NAT64, es importante solucionar la accesibilidad
del prefijo NAT64 para la asignacin de la zona de destino, porque el prefijo NAT64 no debe estar en la
ruta de la puerta de enlace NAT64. Es muy probable que el prefijo NAT64 acierte con la ruta
predeterminada, o que se cancele porque no hay ninguna ruta. Puede configurar una interfaz de tnel sin
punto de finalizacin porque este tipo de interfaz actuar como un puerto de loopback y aceptar otras
mscaras de subred adems de /128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para
garantizar que el trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
Escenarios IETF para la transicin IPv4/IPv6

Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. El cortafuegos de
Palo Alto Networks admite todos los escenarios menos uno de ellos, tal y como se indica en la tabla siguiente.
Tabla 139. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS

Escenario
Red IPv6 a
Internet IPv4
IP de
origen
Cualquier
direccin
IPv6
IP de destino
Traduccin de
origen
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Modo de IP
dinmica y
puerto.
Modo de IP
esttica.
Internet IPv4
a una red
IPv6
Cualquier
direccin
IPv4
Direccin IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
direccin
IPv6
Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.
Red IPv4 a
Internet IPv6
No admitida actualmente
Ninguna
(extrada de direcciones
IPv6 de destino)
Usar direccin
IPv4 pblica
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
IPv6 de destino)
Palo Alto Networks
Tabla 139. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuacin)
IP de
origen
Escenario
Red IPv4 a
red IPv6
Red IPv6 a
red IPv4
IP de destino
Traduccin de
origen
Cualquier
direccin
IPv4
Direccin IPv4
simple
Modo de IP
esttica.
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red
compatible con
RFC 6052.
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguna
IPv6 de destino)
IP esttica: Para trfico entrante o saliente. Puede utilizar la IP esttica de origen o destino, mientras
que puede dejar el puerto de origen o destino sin modificar. Si se utiliza para asignar una direccin IP
pblica a mltiples servidores y servicios privados, los puertos de destino pueden ser los mismos o
dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo de
direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros diferentes.
N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP dinmica en que los
puertos TCP y UDP de origen no se conservan en IP dinmica/puerto, mientras que permanecen
inalterables con NAT de IP dinmica. Tambin existen lmites diferentes del tamao del grupo de IP
traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su direccin
traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a M para un grupo de
direcciones IP asignadas una a una.
Tabla 140. Tipos de NAT

Tipos de
NAT de
PAN-OS
El puerto de
destino es el
mismo
El puerto de
destino puede
cambiar
IP dinmica/
puerto
No
No
Palo Alto Networks
Muchas a 1
MaN
S
IP dinmica
Tipo de
asignacin
No
MaN
Tamao del grupo

de direcciones
traducidas
Hasta 254 direcciones
consecutivas
Hasta 32.000
direcciones
consecutivas
Tabla 140. Tipos de NAT (Continuacin)

Tipos de
NAT de
PAN-OS
El puerto de
destino es el
mismo
El puerto de
destino puede
cambiar
Tipo de
asignacin
Tamao del grupo

de direcciones
traducidas
IP esttica
No
1a1
Ilimitado
MaN
MIP
Opcional
1 a muchas
PAT VIP
Definicin de polticas de traduccin de direccin de red

Polticas > NAT
Las reglas NAT se basan en las zonas de origen y destino, en las direcciones de origen y destino y en el
servicio de aplicacin (como HTTP). Al igual que las polticas de seguridad, las reglas de poltica NAT se
comparan con el trfico entrante en secuencia, y se aplica la primera regla que coincida con el trfico.
A medida que sea necesario, aada rutas estticas al enrutador local para enrutar el trfico a todas las
direcciones pblicas hacia el cortafuegos. Es posible que tambin necesite aadir reglas estticas a la
interfaz de destino en el cortafuegos para reducir el trfico en la direccin privada.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de polticas en
Panorama.
Las tablas siguientes describen los ajustes de NAT y NPTv6 (traduccin de prefijo de red de IPv6 a IPv6):
Pestaa General
Pestaa Paquete original
Pestaa Paquete traducido
Pestaa General
Utilice la pestaa General para configurar un nombre y una descripcin de la poltica NAT o NPTv6.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando existan
numerosas polticas. Seleccione el tipo de poltica NAT que est creando, lo que influir en los campos que
estarn disponibles en las pestaas Paquete original y Paquete traducido.
Palo Alto Networks
Tabla 141. Configuracin reglas NAT (pestaa General)

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la regla. El nombre distingue

entre maysculas y minsculas y puede tener hasta 31 caracteres,
que pueden ser letras, nmeros, espacios, guiones y guiones bajos.
El nombre debe ser exclusivo en un cortafuegos y, en Panorama,
exclusivo dentro de su grupo de dispositivos y cualquier grupo de
Descripcin
Introduzca una descripcin de la regla (hasta 255 caracteres).
Etiqueta
Si desea aadir una etiqueta a la poltica, haga clic en Aadir para

especificar la etiqueta.
desea revisar las que estn etiquetadas con una palabra clave
especfica. Por ejemplo, podra etiquetar determinadas polticas de
seguridad con Entrante en DMZ, polticas de descifrado con las
palabras descifrado y sin descifrado o utilizar el nombre de un centro
de datos especfico para polticas asociadas a esa ubicacin.
Tipo de NAT
Especifique el tipo de traduccin para el que va destinado la regla:

ipv4 para la traduccin entre direcciones IPv4.
nat64 para la traduccin entre direcciones IPv6 y IPv4.
nptv6 para la traduccin entre prefijos IPv6.
No puede combinar intervalos de direcciones IPv4 e IPv6 en una
nica regla NAT.
Pestaa Paquete original

Utilice la pestaa Paquete original para definir el trfico de origen y destino que se traducir, as como el
tipo de interfaz de destino y el tipo de servicio. Se pueden configurar varias zonas de origen y destino del
mismo tipo y es posible definir la regla para que se aplique a redes o direcciones IP especficas.
Tabla 142. Configuracin de reglas NAT (pestaa Paquete original)

Campo
Descripcin
Zona de origen
Zona de destino
Seleccione una o ms zonas de origen y destino para el paquete

original (no NAT). (El valor predeterminado es Cualquiera.) Las
zonas deben ser del mismo tipo (capa 2, capa 3 o de cable virtual,
Virtual Wire). Para definir nuevas zonas, consulte Definicin de
zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, puede configurar los ajustes para que mltiples
direcciones NAT internas se dirijan a la misma direccin IP externa.
Interfaz de destino
Palo Alto Networks
Especifique el tipo de interfaz de traduccin. La interfaz de destino

se puede utilizar para traducir direcciones IP de manera diferente
en caso de que la red est conectada a dos proveedores de Internet
con grupos diferentes de direcciones IP.
Tabla 142. Configuracin de reglas NAT (pestaa Paquete original) (Continuacin)

Campo
Descripcin
Servicio
Especifique los servicios para los que las direcciones de origen y

destino se traducen. Para definir nuevos grupos de servicio,
consulte Grupos de servicios.
Direccin de origen
Direccin de destino
Especifique una combinacin de direcciones de origen y destino

que se traducirn.
Para NPTv6, los prefijos configurados para Direccin de origen y
Direccin de destino deben tener el formato xxxx:xxxx::/yy.
La direccin no puede tener definida una parte de identificador de
interfaz (host). El intervalo admitido de longitudes de prefijo es
de /32 a /64.
Pestaa Paquete traducido

Utilice la pestaa Paquete traducido para determinar, para la traduccin de direccin de origen, el tipo de
traduccin que se realizar en el origen y la direccin y/o el puerto al que se traducir.
La traduccin de direccin de destino tambin se puede configurar para un host interno que al que se
necesite acceder desde una direccin IP pblica. En este caso, defina una direccin de origen (pblica)
y una direccin de destino (privada) en la pestaa Paquete original para un host interno, y en la pestaa
Paquete traducido habilite Traduccin de direccin de destino e introduzca la Direccin traducida.
Cuando se acceda a la direccin pblica, se traducir a la direccin interna (destino) del host interno.
Palo Alto Networks
Tabla 143. Configuracin de reglas NAT (pestaa Paquete traducido)

Campo
Descripcin
Traduccin de direccin de
origen
Seleccione el tipo de traduccin (grupo de direcciones dinmicas o

estticas) e introduzca una direccin IP o un intervalo de
direcciones IP (direccin1-direccin2) a las que se traducir la
direccin de origen (Direccin traducida). El tamao del intervalo
de direcciones est limitado por el tipo del grupo de direcciones:
IP dinmica y puerto: La seleccin de direcciones se basa en un hash
de la direccin de IP de origen. Para una direccin de IP de origen,
el cortafuegos utilizar la misma direccin de origen traducida para
todas las sesiones. IP dinmica y NAT de puerto origen admite
aproximadamente 64.000 sesiones simultneas en cada direccin IP
en el grupo NAT. En algunas plataformas, se permite un exceso de
suscripciones, lo que permite a una nica IP albergar ms de
64.000 sesiones simultneas.
IP dinmica/NAT de puerto de Palo Alto Networks admite ms
sesiones NAT que las admitidas por el nmero de direcciones y
puertos IP disponibles. El cortafuegos puede utilizar combinaciones
de puertos y direcciones IP hasta dos veces (de forma simultnea) en
los cortafuegos de las series PA-200, PA-500, PA-2000 y PA-3000,
cuatro veces en los cortafuegos PA-4020 y PAh5020 y ocho veces en
los cortafuegos PA-4050, PA-4060, PAh5050 y PA-5060 cuando las
direcciones IP de destino sean exclusivas.
IP dinmica: Se utiliza la siguiente direccin disponible en el
intervalo especificado, pero el nmero de puerto no se cambia.
Se admiten hasta 32.000 direcciones IP consecutivas. Un grupo de
direcciones IP dinmicas puede contener varias subredes, por lo
que podr traducir sus direcciones de red internas a dos o ms
subredes pblicas diferentes.
Avanzado (traduccin de IP dinmica de reserva): Utilice esta
opcin para crear un grupo de reserva que ejecutar la
traduccin de IP y puerto, y que se utilizar si el grupo primario
agota sus direcciones. Puede definir las direcciones del grupo
utilizando la opcin Direccin traducida o Direccin de interfaz,
para interfaces que reciben una direccin IP dinmica. Si crea un
grupo de reserva, asegrese de que las direcciones no se solapan
con las direcciones del grupo primario.
IP esttica: Siempre se utiliza la misma direccin para la
traduccin y el puerto permanece inalterable. Por ejemplo, si el
intervalo de origen es 192.168.0.1-192.168.0.10 y el intervalo de
traduccin es 10.0.0.1-10.0.0.10, la direccin 192.168.0.2 siempre se
traduce a 10.0.0.2. El intervalo de direccin es casi ilimitado.
NPTv6 debe utilizar la traduccin de IP esttica para la
traduccin de direccin de origen. Para NPTv6, los prefijos
configurados para Direccin traducida deben tener el formato
xxxx:xxxx::/yy. La direccin no puede tener definida una parte
de identificador de interfaz (host). El intervalo admitido de
longitudes de prefijo es de /32 a /64.
Ninguna: La traduccin no se ejecuta.
Palo Alto Networks
Tabla 143. Configuracin de reglas NAT (pestaa Paquete traducido) (Continuacin)

Campo
Descripcin
Bidireccional
(Opcional) Habilite la traduccin bidireccional si quiere que el

cortafuegos cree una traduccin correspondiente (NAT o NPTv6)
en la direccin opuesta de la traduccin que configure.
Si habilita la traduccin bidireccional, es extremadamente
importante asegurarse de tener establecidas polticas de
seguridad para controlar el trfico en ambas direcciones. Sin
dichas polticas, la funcin bidireccional permitir la
traduccin automtica de paquetes en ambas direcciones,
algo que quizs no desee.
Traduccin de direccin de
destino: Direccin traducida
Introduzca una direccin o intervalo de direcciones IP y un nmero

de puerto traducido (1 a 65535) al que la direccin y nmero de
puerto de destino se traducirn. Si el campo Puerto traducido se deja
en blanco, el puerto de destino no se modifica. La traduccin de
destino se suele utilizar para permitir un servidor interno, como un
servidor de correo electrnico al que se accede desde la red pblica.
Para NPTv6, los prefijos configurados para Direccin traducida de
prefijo de destino deben tener el formato xxxx:xxxx::/yy.
La direccin no puede tener definida una parte de identificador de
interfaz (host). El intervalo admitido de longitudes de prefijo es
de /32 a /64. Tenga en cuenta que el puerto traducido no es
compatible con NPTv6 porque NPTv6 es una traduccin de prefijo
estricta. La seccin de direcciones de puerto y host sencillamente
se reenva sin cambios.
Polticas de reenvo basado en polticas

Polticas > Reenvo basado en polticas
Normalmente, cuando el trfico entra en el cortafuegos, el enrutador virtual de la interfaz de entrada
(ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de destino basada en la
direccin IP de destino. Gracias al reenvo basado en polticas (PBF), puede especificar otra informacin
para determinar la interfaz de salida, incluyendo la zona, direccin y usuario de origen, as como la
direccin, aplicacin y servicio de destino. La sesin inicial de una direccin IP y puerto de destino
concretos asociados con una aplicacin no coincidir con una regla de aplicacin especfica y se reenviarn
de acuerdo con reglas PBF subsiguientes (que no especifican ninguna aplicacin) o la tabla de reenvo del
enrutador virtual. El resto de sesiones de esa direccin IP y puerto de destino de la misma aplicacin
coincidirn con una regla especfica de aplicacin. Para garantizar el reenvo mediante reglas PBF, no se
recomienda el uso de reglas especficas de la aplicacin.
Cuando sea necesario, las reglas PBF se pueden utilizar para forzar el trfico mediante un sistema virtual
adicional con la accin de reenvo Reenviar a Vsys. En este caso, es necesario definir una regla PBF
adicional que reenve el paquete desde el sistema virtual de destino mediante una interfaz de salida
(egress) concreta en el cortafuegos.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas, consulte
Polticas y perfiles de seguridad.
Panorama.
Palo Alto Networks
Las siguientes tablas describen la configuracin de reenvo basado en polticas:
Pestaa General
Pestaa Origen
Pestaa Destino/aplicacin/servicio
Pestaa Reenvo
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica PBF. Tambin puede
configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Introduzca un nombre para identificar la regla. El nombre distingue entre

maysculas y minsculas y puede tener hasta 31 caracteres, que pueden
ser letras, nmeros, espacios, guiones y guiones bajos. El nombre debe ser
exclusivo en un cortafuegos y, en Panorama, exclusivo dentro de su
grupo de dispositivos y cualquier grupo de dispositivos antecesor o
descendiente.
Descripcin
Introduzca una descripcin de la poltica (hasta 255 caracteres).
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para

con Entrante en DMZ, polticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos especfico para
polticas asociadas con esa ubicacin.
Pestaa Origen
Utilice la pestaa Origen para definir la zona de origen o la direccin de origen que define el trfico de
origen entrante al que se aplicar la poltica de reenvo.
Campo
Descripcin
Zona de origen
Para elegir zonas de origen (el valor predeterminado es cualquiera),

haga clic en Aadir y seleccione una de la lista desplegable. Para definir
nuevas zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Nota: Solo se admiten zonas de tipo Capa 3 para reenvo basado en polticas.
Direccin de origen
Palo Alto Networks
Haga clic en Aadir para aadir las direcciones, direcciones de grupos o

regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.
Campo
Descripcin
Usuario de origen
Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de

origen sometidos a la poltica. Los siguientes tipos de usuarios de origen
son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos de
usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la
red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en el
portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas
polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn
autenticados en el dominio como si hubieran iniciado sesin
completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opcin es equivalente
al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las
direcciones IP que no estn asignadas a un usuario. Por ejemplo, podra
utilizar desconocido para acceso de invitados a alguna parte porque
tendrn una IP en su red, pero no se autenticarn en el dominio y no
tendrn ninguna informacin de asignacin de IP a usuario en el
cortafuegos.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios
(User-ID), la lista de usuarios no se muestra y deber introducir la informacin
del usuario manualmente.
Pestaa Destino/aplicacin/servicio
Utilice la pestaa Destino/aplicacin/servicio para definir la configuracin de destino que se aplicar al
trfico que coincida con la regla de reenvo.
Campo
Descripcin
Direccin de destino

regiones de destino (la opcin predeterminada es Cualquiera). De manera
predeterminada, esta regla se aplica a cualquier direccin IP. Realice su
desplegable y especifique la configuracin.
Palo Alto Networks
Campo
Descripcin
Aplicacin/servicio
Seleccione aplicaciones o servicios especficos para la regla de PBF.

Para definir nuevas aplicaciones, consulte Definicin de aplicaciones.
Para definir grupos de aplicaciones, consulte Definicin de grupos de
aplicaciones.
Nota: No se recomienda usar las reglas especficas de aplicacin con PBF. Cuando
sea posible, use un objeto de servicio, que es el puerto de capa 4 (TCP o UDP) usado
por el protocolo o la aplicacin. Si desea informacin detallada, consulte
https://paloaltonetworks.com/documentation/70/pan-os/pan-os/policy/pbf.html
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
PBF, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podr ver fcilmente miembros de
la aplicacin directamente desde la poltica, sin tener que ir hasta las
pestaas de objetos.
Pestaa Reenvo
Use la pestaa Reenvo para definir la accin y la informacin de red que se aplicar al trfico que
coincida con la poltica de reenvo. El trfico se puede reenviar a una direccin IP de siguiente salto o un
sistema virtual, o bien se puede interrumpir el trfico.
Campo
Descripcin
Accin
Seleccione una de las siguientes opciones:

Reenviar: Especifique la direccin IP del prximo salto y la interfaz de
salida (egress) (la interfaz que toma el paquete para el siguiente salto
especificado).
Reenviar a VSYS: Seleccione el sistema virtual de reenvo en la lista
desplegable.
Descartar: descarta el paquete.
No hay ningn PBF: No altera la ruta que tomar el paquete.
Esta opcin excluye los paquetes que coincidan con los criterios de
origen/destino/aplicacin/servicio definidos en la regla. Los paquetes
coincidentes usan la tabla de enrutamiento en lugar de PBF;
el cortafuegos usa la tabla de enrutamiento para excluir el trfico
coincidente del puerto redirigido.
Interfaz de salida
Dirige el paquete a una interfaz de salida especfica.
Siguiente salto
Si dirige el paquete a una interfaz especfica, especifique la direccin IP de

Siguiente salto para el paquete.
Supervisar
Habilite la supervisin para comprobar la conectividad con una

Direccin IP de destino o con la direccin IP de Siguiente salto.
Seleccione Supervisar y aada un perfil de supervisin (predeterminado
o personalizado) que especifique la accin cuando no se pueda alcanzar la
direccin IP.
Forzar vuelta simtrica
(Necesario para entornos de enrutamiento asimtrico) Seleccione Forzar

vuelta simtrica e introduzca una o ms direcciones IP en la Lista de
direcciones de prximo salto.
Al habilitar el retorno simtrico se garantiza que el trfico de retorno
(p. ej., desde la zona de confianza en la LAN a Internet) se reenva a travs
de la misma interfaz por la cual el trfico accede a Internet.
Palo Alto Networks
Campo
Descripcin
Programacin
Para limitar los das y horas en los que la regla est en vigor, seleccione una
programacin de la lista desplegable. Para definir nuevas programaciones,
consulte Ajustes de descifrado SSL en un perfil de descifrado.
Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y seguridad
granular. Las polticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL), incluidos
protocolos SSL encapsulados como IMAP(S), POP3(S), SMTP(S) y FTP(S), y a trfico Secure Shell (SSH).
El descifrado SSH se puede utilizar para descifrar el trfico SSH entrante y saliente para asegurar que los
protocolos no se estn utilizando para tneles de aplicaciones y contenido no permitido.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no. El descifrado
SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware,
Filtrado de URL y Bloqueo de archivos al trfico SSL descifrado antes de volverse a cifrar a medida que el
trfico sale del dispositivo. Puede aplicar perfiles de descifrado a sus polticas con objeto de bloquear y
controlar diferentes aspectos del trfico. Para obtener ms informacin, consulte Perfiles de descifrado.
Con el descifrado activado, la seguridad de punto a punto entre clientes y servidores se mantiene, y el
cortafuegos acta como un agente externo de confianza durante la conexin. Ningn tipo de trfico
descifrado sale del dispositivo.
Las polticas de descifrado pueden ser tan generales o especficas como sea necesario. Las reglas de las
polticas se comparan con el trfico en secuencias, por lo que las reglas ms especficas deben preceder a
las reglas ms generales. Para mover una regla a la parte superior de las polticas y que tenga preferencia,
seleccinela y haga clic en Mover hacia arriba. Una poltica que excluya el trfico del descifrado (con la
accin No hay ningn descifrado) siempre debe tener preferencia para poder entrar en vigor.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de un certificado
de confianza, si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de
certificacin de confianza del cortafuegos. Para configurar este certificado, cree uno en la pgina
Dispositivo > Gestin de certificados > Certificados y, a continuacin, haga clic en el nombre del
certificado y active la casilla Reenviar certificado fiable. Consulte Gestin de certificados de dispositivos.
Panorama.
Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para evitarlo, PAN-OS no
descifrar el trfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el artculo de ayuda ubicado en https://
live.paloaltonetworks.com/docs/DOC-1423.
Las siguientes tablas describen la configuracin de polticas de descifrado:
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Categora de URL/servicio
Pestaa Opciones
Palo Alto Networks
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de descifrado. Tambin
puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre

maysculas y minsculas y puede tener hasta 31 caracteres, que pueden ser
letras, nmeros, espacios, guiones y guiones bajos. El nombre debe ser
exclusivo en un cortafuegos y, en Panorama, exclusivo dentro de su grupo
de dispositivos y cualquier grupo de dispositivos antecesor o descendiente.
Descripcin
Etiqueta

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico de origen
entrante al que se aplicar la poltica de descifrado.
Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Direccin de origen
Palo Alto Networks

desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.
Campo
Descripcin
Usuario de origen
Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de

origen sometidos a la poltica. Los siguientes tipos de usuarios de origen
son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos de
usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la
red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en el
portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el nombre
de usuario Anterior al inicio de sesin. Puede crear estas polticas para
usuarios anteriores al inicio de sesin y, aunque el usuario no haya
iniciado sesin directamente, sus equipos estarn autenticados en el
dominio como si hubieran iniciado sesin completamente.
cualquier IP con datos de usuario asignados. Esta opcin es equivalente al
grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las
direcciones IP que no estn asignadas a un usuario. Por ejemplo, podra
usar desconocido para acceso de invitados a alguna parte porque tendrn
una IP en su red, pero no se autenticarn en el dominio y no tendrn
ninguna IP en la informacin de asignacin de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por
ejemplo, puede que quiera aadir a un usuario, una lista de individuos,
algunos grupos o aadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deber introducir la informacin del usuario
manualmente.
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el trfico de
destino al que se aplicar la poltica.
Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
Direccin de destino

regiones de destino (la opcin predeterminada es Cualquiera). Realice su
configuradas.
Palo Alto Networks

Utilice la pestaa Categora de URL/servicio para aplicar la poltica de descifrado al trfico en funcin del
nmero de puerto TCP o a cualquier categora de URL (o una lista de categoras).
Campo
Descripcin
Servicio
Aplique la poltica de descifrado al trfico en funcin de nmeros de

puertos TCP especficos. Seleccione una de las siguientes opciones de la
lista desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas se
descifrarn (o estarn exentas de descifrado) nicamente en los puertos
predeterminados definidos para las aplicaciones por
Palo Alto Networks.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
especifique un nuevo Servicio o Grupo de servicios. Consulte
Servicios y Grupos de servicios.
Pestaa Categora
de URL
Seleccione las categoras URL de la regla de descifrado.

Seleccione Cualquiera para buscar en todas las sesiones, con
independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Listas de
bloqueos dinmicos para obtener ms informacin sobre cmo definir
categoras personalizadas.
Pestaa Opciones
Use la pestaa Opciones para determinar si el trfico coincidente debera descifrarse o no. Si se ha
definido Descifrar, especifique el tipo de descifrado. Tambin puede aadir funciones de descifrado
adicionales configurando o seleccionando un perfil de descifrado.
Campo
Descripcin
Accin
Seleccione Descifrar o No descifrar para el trfico.
Tipo
Seleccione el tipo de trfico para descifrar de la lista desplegable:

Proxy SSL de reenvo: Especifique que la poltica descifrar el trfico
del cliente destinado a un servidor externo.
Proxy SSH: Especifique que la poltica descifrar el trfico SSH. Esta
opcin permite controlar los tneles SSH en polticas, especificando el
ID de aplicacin (App-ID) de tnel ssh.
Inspeccin de entrada SSL: Especifique que la poltica descifrar el
trfico de inspeccin entrante SSL.
Perfil de descifrado
Palo Alto Networks
Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte

Perfiles de descifrado.
Definicin de polticas de cancelacin de aplicacin

Polticas > Cancelacin de aplicacin
Para cambiar la forma en la que el cortafuegos clasifica el trfico de la red en las aplicaciones, puede
especificar polticas de cancelacin de aplicacin. Por ejemplo, si desea controlar una de sus aplicaciones
personalizadas, puede utilizar una poltica de cancelacin de aplicacin para identificar el trfico de esa
aplicacin en funcin de la zona, direccin de origen y destino, puerto y protocolo. Si tiene aplicaciones de
red clasificadas como desconocidas, puede crear nuevas definiciones de aplicaciones (consulte
Definicin de aplicaciones).
Al igual que las polticas de seguridad, las polticas de cancelacin de aplicacin pueden ser tan generales
o especficas como sea necesario. Las reglas de las polticas se comparan con el trfico en secuencias, por lo
que las reglas ms especficas deben preceder a las reglas ms generales.
Como el motor App-ID de PAN-OS clasifica el trfico identificando el contenido especfico de la aplicacin
en el trfico de red, la definicin de aplicacin personalizada no puede utilizar un nmero de puerto para
identificar una aplicacin. La definicin de la aplicacin tambin debe incluir el trfico (restringido por
zona y direccin IP de origen, y zona y direccin IP de destino).
Para crear una aplicacin personalizada con cancelacin de aplicaciones:
1.
Defina la aplicacin personalizada. Consulte Definicin de aplicaciones. No es necesario especificar

firmas para la aplicacin si la aplicacin se utiliza nicamente para reglas de cancelacin de
aplicacin.
2.
Defina una poltica de cancelacin de aplicacin que especifique si la aplicacin personalizada se debe
activar. Una poltica suele incluir la direccin IP del servidor que ejecuta la aplicacin personalizada y
un conjunto restringido de direcciones IP o una zona de origen.
Panorama.
Use las siguientes tablas para configurar una regla de cancelacin de aplicaciones.
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Protocolo/Aplicacin
Pestaa General
Utilice la pestaa General para configurar un nombre y una descripcin de la poltica de cancelacin de
aplicacin. Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.
Campo
Descripcin
Nombre

exclusivo en un cortafuegos y, en Panorama, exclusivo dentro de su grupo
de dispositivos y cualquier grupo de dispositivos antecesor o descendiente.
Descripcin
Palo Alto Networks
Campo
Descripcin
Etiqueta

Pestaa Origen
entrante al que se aplicar la poltica de cancelacin de aplicacin.
Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
Direccin de origen

configuradas.
Pestaa Destino
Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
Palo Alto Networks
Campo
Descripcin
Direccin de destino

regiones de destino (la opcin predeterminada es Cualquiera). Realice su
configuradas.
Pestaa Protocolo/Aplicacin
Use la pestaa Protocolo/Aplicacin para definir el protocolo (TCP o UDP), puerto y aplicacin que
definen con mayor exactitud los atributos de la aplicacin para que coincida con la poltica.
Campo
Descripcin
Protocolo
Seleccione el protocolo por el que la aplicacin se puede cancelar.
Puerto
Introduzca el nmero de puerto (0 a 65535) o el intervalo de nmeros de

puerto (puerto1-puerto2) de las direcciones de destino especificadas. Si
especifica varios puertos o intervalos, deben estar separados por comas.
Aplicacin
Seleccione la aplicacin de cancelacin de los flujos de trfico que

coincidan con los criterios de la regla anterior. Si cancela una aplicacin
personalizada, no se realizar una inspeccin de amenazas. La excepcin
es si cancela una aplicacin predeterminada que admite la inspeccin de
amenazas.
Para definir nuevas aplicaciones, consulte Definicin de aplicaciones.
Definicin de polticas de portal cautivo

Polticas > Portal cautivo
Utilice la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticacin de
usuarios mediante un perfil de autenticacin, una secuencia de autenticacin o un perfil de certificado.
El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID) para aumentar las funciones de
identificacin de usuarios ms all del dominio de Active Directory. Los usuarios se dirigen hacia el portal
y se autentican, creando una asignacin de usuario a direccin IP.
Antes de definir polticas de portal cautivo, habilite las funciones y configure los ajustes de portal cautivo
en la pgina Identificacin de usuarios, tal y como se describe en Configuracin del cortafuegos para el
usuario de usuarios.
Las siguientes tablas describen la configuracin de polticas de portal cautivo:
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Accin
Palo Alto Networks
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de portal cautivo.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son
muy numerosas.
Campo
Descripcin
Nombre

exclusivo en un cortafuegos y, en Panorama, exclusivo dentro de su grupo de
dispositivos y cualquier grupo de dispositivos antecesor o descendiente.
Descripcin
Etiqueta

Pestaa Origen
entrante al que se aplicar la poltica de portal cautivo.
Campo
Descripcin
Origen
Especifique la siguiente informacin:

Seleccione una zona de origen si necesita aplicar la poltica al trfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica del portal cautivo desde las direcciones de origen especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Palo Alto Networks
Pestaa Destino
Campo
Destino
Descripcin
Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la poltica
del portal cautivo desde las direcciones de destino especficas. Seleccione la
casilla de verificacin Negar para seleccionar cualquier direccin excepto las
configuradas. Haga clic en Aadir para especificar mltiples interfaces o
zonas.

Use la pestaa Categora de URL/servicio para hacer que la accin de la poltica se realice en funcin de
nmeros de puerto TCP o UDP especficos. Una categora de URL tambin puede usarse como un atributo
para la poltica.
Campo
Descripcin
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier
protocolo o puerto.
Valor predeterminado de aplicacin: Los servicios seleccionados se
permiten o deniegan nicamente segn los puertos predeterminados por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
Seleccin: Haga clic en Aadir. Seleccione un servicio existente o seleccione
Servicio o Grupo de servicios para especificar una nueva entrada. Consulte
Servicios y Grupos de servicios.
Categora de URL
Seleccione las categoras URL de la regla de portal cautivo.

Seleccione Cualquiera para aplicar las acciones especificadas en la pestaa
Servicio/Accin con independencia de la categora de URL.
Para especificar una categora, haga clic en Aadir y seleccione una categora
concreta (incluyendo una categora personalizada) de la lista desplegable.
Puede aadir varias categoras. Consulte Listas de bloqueos dinmicos
para obtener ms informacin sobre cmo definir categoras personalizadas.
Palo Alto Networks
Pestaa Accin
Use la pestaa Acciones para determinar si el usuario ver un formato web, un cuadro de dilogo de reto
de explorador o si no se producir ningn desafo de portal cautivo.
Campo
Descripcin
Configuracin
de accin
Seleccione la accin que se realizar:

Formato web: Abre una pgina de portal cautivo en la que el usuario puede
introducir explcitamente las credenciales de autenticacin.
portal no cautivo: Permite el paso del trfico sin abrir una pgina de portal cautivo
para su autenticacin.
reto de explorador: Abre una solicitud de autenticacin NT LAN Manager (NTLM)
en el explorador web del usuario. El explorador web responder utilizando las
credenciales de inicio de sesin actuales del usuario.
Definicin de polticas DoS

Polticas > Proteccin DoS
Las polticas de proteccin DoS permiten controlar el nmero de sesiones entre interfaces, zonas,
direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen y/o destino. Por ejemplo,
puede controlar el trfico desde y hacia determinadas direcciones o grupos de direcciones o desde
determinados usuarios y para servicios concretos.
Una poltica DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o paquetes por
segundo) que indican un ataque. Entonces podr seleccionar una accin protectora en una poltica cuando
se active una coincidencia.
Panorama.
Use esta pgina para aadir, editar o eliminar reglas de polticas DoS. Para aadir una nueva regla de
poltica, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica DoS. Tambin puede
configurar una pestaa para que le permita ordenar o filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Introduzca un nombre para identificar la regla. El nombre distingue entre maysculas y

minsculas y puede tener hasta 31 caracteres, que pueden ser letras, nmeros, espacios,
guiones y guiones bajos. El nombre debe ser exclusivo en un cortafuegos y, en
Panorama, exclusivo dentro de su grupo de dispositivos y cualquier grupo de
Descripcin
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para especificar la
etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar o filtrar
polticas. Es til cuando ha definido muchas polticas y desea revisar las que estn
etiquetadas con una palabra clave especfica. Por ejemplo, tal vez quiera etiquetar
determinadas polticas de seguridad con Entrante en DMZ, polticas de descifrado
con las palabras descifrado y sin descifrado, o usar el nombre de un centro de datos
especfico para polticas asociadas con esa ubicacin.
Palo Alto Networks
Pestaa Origen
entrante al que se aplicar la poltica DoS.
Campo
Descripcin
Origen

Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica DoS al trfico
entrante en una interfaz o en un grupo de interfaces. Seleccione Zona si la poltica
DoS se debe aplicar al trfico entrante desde todas las interfaces en una zona
concreta. Haga clic en Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la poltica DoS
desde las direcciones de origen especficas. Seleccione la casilla de verificacin
Negar para seleccionar cualquier direccin excepto las configuradas. Haga clic en
Aadir para especificar varias direcciones.
Especifique el parmetro Usuario de origen que se aplicar a la poltica DoS para el
trfico procedente de los usuarios especficos. Los siguientes tipos de usuarios de
origen son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos

de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en
el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas
polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn
autenticados en el dominio como si hubieran iniciado sesin
completamente.
cualquier IP con datos de usuario asignados. Esta opcin es
equivalente al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estn asignadas a un usuario. Por ejemplo,
podra usar desconocido para acceso de invitados a alguna parte
porque tendrn una IP en su red, pero no se autenticarn en el
dominio y no tendrn ninguna IP en la informacin de asignacin de
usuarios en el cortafuegos.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de
usuarios no se muestra y deber introducir la informacin del usuario manualmente.
Palo Alto Networks
Pestaa Destino
Campo
Destino
Descripcin
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica DoS al
trfico entrante en una interfaz o en un grupo de interfaces. Seleccione Zona si la
poltica DoS se debe aplicar al trfico entrante desde todas las interfaces en una
zona concreta. Haga clic en Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la poltica DoS
para el trfico a las direcciones de destino especficas. Seleccione la casilla de verificacin Negar para seleccionar cualquier direccin excepto las configuradas.
Haga clic en Aadir para especificar varias direcciones.
Pestaa Opcin/Proteccin
Use la pestaa Opcin/Proteccin para configurar opciones adicionales de la poltica DoS, como el tipo de
servicio (http o https) o la accin que se realizar y decidir si se activar un reenvo de log para el trfico
coincidente. Tambin puede definir una programacin que determine cundo estar activa la poltica y
seleccionar un perfil DoS agregado o clasificado que defina ms atributos para la proteccin DoS.
Campo
Descripcin
Servicio
Seleccione en la lista desplegable la poltica DoS que se aplicar nicamente a los

servicios configurados.
Accin
Seleccione la accin en la lista desplegable:

Denegar: Cancela todo el trfico.
Permitir: Permite todo el trfico.
Proteger: Aplica las protecciones proporcionadas en los umbrales que se configuran como parte del perfil DoS aplicado a esta regla.
Programacin
Seleccione una programacin preconfigurada de la lista desplegable, que se aplicar

a la regla DoS a una fecha/hora concretas.
Reenvo de
logs
Si quiere activar el reenvo de entradas de logs de amenazas a un servicio externo,

como un servidor syslog o Panorama, seleccione un perfil de reenvo de logs de la
lista desplegable o haga clic en Perfil para crear uno nuevo. Tenga en cuenta que
solo ser registrado y reenviado el trfico que coincida con una accin de la regla.
Agregado
Seleccione un perfil de proteccin DoS de la lista desplegable para determinar la

tasa a la que desea adoptar las medidas en respuesta a las amenazas DoS. Esta
configuracin se aplica al total del trfico del origen especificado al destino
especificado.
Clasificado
Seleccione la casilla de verificacin y especificar los siguientes ajustes:

Perfil: Seleccione un perfil de la lista desplegable.
Direccin: Seleccione si la regla se aplicar al origen, destino, o a las direcciones IP
de origen y destino.
Si se especifica un perfil clasificado, las limitaciones del perfil se aplican a una
direccin IP de origen, direccin IP de destino, o pares de direcciones IP de origen y
destino. Por ejemplo, puede especificar un perfil clasificado con un lmite de sesin
de 100 y especificar un parmetro Direccin de origen en la regla. El resultado
sera un lmite de 100 sesiones en cualquier momento para esa direccin IP de origen
en particular.
Palo Alto Networks
Los perfiles de seguridad proporcionan proteccin ante amenazas en polticas de seguridad. Cada poltica
de seguridad puede incluir uno o ms perfiles de seguridad.
Los siguientes tipos de perfil estn disponibles:
Perfiles de antivirus para proteger contra gusanos, virus y troyanos y bloquear descargas de spyware.
Consulte Perfiles de antivirus.
Perfiles de antispyware para bloquear los intentos del spyware en hosts comprometidos para realizar
llamadas a casa o balizamiento a servidores externos de comando y control (C2). Consulte Perfiles de
antispyware.
Perfiles de proteccin de vulnerabilidades para detener los intentos de explotacin de fallos del sistema y
de acceso no autorizado a los sistemas. Consulte Perfiles de proteccin de vulnerabilidades.
Perfiles de filtrado de URL para restringir el acceso de los usuarios a sitios web especficos y/o
categoras de sitios web, como compras o apuestas. Consulte Perfiles de filtrado de URL.
Perfiles de bloqueo de archivo para bloquear tipos de archivos seleccionados y en la direccin de flujo
de sesin especificada (entrante/saliente/ambas). Consulte Perfiles de bloqueo de archivo.
Perfiles de anlisis de WildFire para especificar que se realice un anlisis de archivos localmente en el
dispositivo WildFire o en la nube de WildFire. Consulte Perfiles de anlisis de WildFire.
Perfiles de filtrado de datos que ayudan a evitar que la informacin confidencial, como los nmeros
de tarjetas de crdito o de la seguridad social, salga de una red protegida. Consulte Perfiles de
filtrado de datos.
Adems de perfiles individuales, puede combinar perfiles que a menudo se aplican en conjunto, y crear
grupos de perfiles de seguridad en Objetos > Grupos de perfiles de seguridad.
Acciones en perfiles de seguridad

La accin especifica cmo responde un cortafuegos ante un evento de amenaza. Cada firma de amenaza o
virus definida por Palo Alto Networks incluye una accin predeterminada, que suele establecerse como
Alerta, que le informa del uso de la opcin que ha habilitado para que se realice una notificacin, o como
Restablecer ambos, que restablece ambas partes de la conexin. No obstante, puede definir o cancelar la
accin en el cortafuegos. Las siguientes acciones son aplicables al definir perfiles de antivirus, perfiles de
antispyware, perfiles de proteccin de vulnerabilidades, objetos de spyware personalizados u objetos de
vulnerabilidades personalizados.
Palo Alto Networks
Accin
Descripcin
Valor predeterminado
Realiza la accin predeterminada especificada internamente

para cada firma de
amenaza.
Perfil de
Perfil de
antisantivirus
pyware
Perfil de proObjeto personaliteccin de vul- zado: spyware y

nerabilidades vulnerabilidades
Para perfiles de antivirus,

realiza la accin predeterminada para la firma de
virus.
Permitir
Permite el trfico de la
aplicacin.
Alerta
Genera una alerta para

el flujo de trfico de
cada aplicacin. La
alerta se guarda en el
log de amenazas.
Descartar
Descarta el trfico de la
aplicacin.
Restablecer
cliente
Para TCP, restablece la

conexin de la parte
del cliente.
Para UDP, descarta la

conexin.
Restablecer
servidor

conexin de la parte
del servidor.
conexin.
Restablecer
ambos

conexin tanto en el
extremo del cliente
como en el del
servidor.
conexin.
Bloquear IP
Esta accin bloquea el

trfico de un par de
origen u origendestino; configurable
durante un perodo de
tiempo especificado.
Palo Alto Networks
No puede eliminar un perfil que se utiliza en una poltica de seguridad. Antes debe
quitar el perfil de la poltica de seguridad y luego eliminarlo.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
En la pgina Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus
mediante anlisis del trfico definido. Defina en qu aplicaciones se buscarn virus mediante inspecciones
y la accin que se llevar a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los
descodificadores de protocolo enumerados, genera alertas de Simple Mail Transport Protocol (SMTP),
Internet Message Access Protocol (IMAP), y Post Office Protocol Version 3 (POP3), y toma las medidas
predeterminadas para el resto de las aplicaciones (alerta o denegacin), dependiendo del tipo de virus
detectado. El perfil se adjuntar despus a una poltica de seguridad para determinar la inspeccin del
trfico que atraviese zonas especficas.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el trfico entre
zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de zonas no fiables, como
Internet, as como el trfico enviado a destinos altamente sensibles, como granjas de servidores.
Para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarn al trfico
coincidente, consulte Perfiles de seguridad.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:
Cuadro de dilogo Perfil de antivirus

Pestaa Antivirus
Pestaa Excepciones
Cuadro de dilogo Perfil de antivirus

Utilice este cuadro de dilogo para definir un nombre y una descripcin del perfil.
Campo
Descripcin
Nombre

aparece en la lista de perfiles de antivirus cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, puntos,
Descripcin
Introduzca una descripcin del perfil (hasta 255 caracteres).
Palo Alto Networks
Campo
Descripcin
Compartido
Seleccione esta casilla de verificacin si quiere que el perfil est

disponible para:
Cada sistema virtual (vsys) de un cortafuegos de vsys mltiples.
Si cancela la seleccin de la casilla de verificacin, el perfil nicamente
estar disponible para el Sistema virtual seleccionado en la pestaa
Objetos.
Cada grupo de dispositivos en Panorama. Si cancela la seleccin de la
casilla de verificacin, el perfil nicamente estar disponible para el
Grupo de dispositivos seleccionado en la pestaa Objetos.
Deshabilitar anulacin
(solamente Panorama)
Seleccione la casilla de verificacin si desea impedir que los

administradores creen copias locales del perfil en grupos de dispositivos
descendientes cancelando sus valores heredados. La casilla de
verificacin no est seleccionada de manera predeterminada, lo que
significa que la cancelacin est habilitada.
Pestaa Antivirus
Use la pestaa Antivirus para definir el tipo de trfico que se inspeccionar, como ftp y http, y especifique
a continuacin la accin aplicable. Puede definir diferentes acciones para firmas de antivirus estndar
(columna Accin) y firmas generadas por el sistema WildFire (Accin de WildFire). Algunos entornos
pueden requerir pruebas de estabilidad ms largas para firmas de antivirus, por lo que esta opcin
permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por
Palo Alto Networks. Por ejemplo, las firmas de antivirus estndar pasan pruebas de estabilidad ms largas
(24 horas) en comparacin con las firmas de WildFire, que se pueden generar y emitir en 15 minutos o
menos tras la deteccin de la amenaza. Por ello, tal vez prefiera elegir la accin de alerta en las firmas de
WildFire en lugar del bloqueo.
Use la tabla Excepcin de aplicaciones para definir las aplicaciones que no sern inspeccionadas. Por
ejemplo, puede que quiera permitir http pero no inspeccionar el trfico de una aplicacin especfica que
funcione a travs de http.
Campo
Descripcin
Captura de paquetes
Seleccione la casilla de verificacin para capturar paquetes identificados.
Descodificadores y
acciones
Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire.
Excepciones de
aplicaciones y acciones
Identifique aplicaciones que se considerarn excepciones a la regla de

antivirus.
Por ejemplo, para bloquear todo el trfico HTTP excepto el de una
aplicacin especfica, puede definir un perfil de antivirus para el que la
aplicacin es una excepcin. Bloquear es la accin del descodificador
HTTP, y Permitir es la excepcin de la aplicacin.
Para buscar una aplicacin, comience escribiendo el nombre de la
aplicacin en el cuadro de texto. Se mostrar una lista con las
aplicaciones coincidentes, en la que podr realizar una seleccin.
La aplicacin se aade a la tabla y puede asignar una accin.
Para cada excepcin de la aplicacin, seleccione la accin que se adoptar
cuando se detecte la amenaza. Para ver una lista de las acciones, consulte
Acciones en perfiles de seguridad.
Palo Alto Networks
Pestaa Excepciones
Use la pestaa Excepciones para definir la lista de amenazas que ignorar el perfil de antivirus.
Campo
Descripcin
ID de amenaza
Aada amenazas especficas que deberan ignorarse. Aparecern las

excepciones ya especificadas. Puede aadir amenazas adicionales
introduciendo el ID de amenaza y haciendo clic en Aadir. Los ID de
amenaza se presentan como parte de la informacin del log de amenaza.
Consulte Visualizacin de logs.
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Puede adjuntar un perfil de antispyware a una poltica de seguridad para detectar conexiones de llamada
a casa que se inicien desde spyware instalado en sistemas de su red.
Puede elegir entre dos perfiles de antispyware predefinidos en la poltica de seguridad. Cada uno de estos
perfiles tiene un conjunto de reglas predefinidas (con firmas de amenazas) organizadas por la gravedad de
la amenaza; cada firma de amenaza incluye una accin predeterminada especificada por
Palo Alto Networks.
Predeterminado: El perfil predeterminado utiliza la accin predeterminada para cada firma, tal como
especifica Palo Alto Networks al crear la firma.
Estricto: El perfil estricto cancela la accin definida en el archivo de firma para amenazas de gravedad
crtica, alta y media y la establece como la accin de bloqueo. La accin predeterminada se utiliza con
amenazas de gravedad baja e informativa.
Tambin puede crear perfiles personalizados. Por ejemplo, puede reducir el rigor de la inspeccin del
antispyware del trfico entre zonas de seguridad de confianza y aprovechar al mximo la inspeccin del
trfico recibido de Internet o del trfico enviado a activos protegidos, como granjas de servidores.
Los ajustes de Reglas
Los ajustes de Excepciones le permiten cambiar la accin de una firma especfica. Por ejemplo, puede
generar alertas para un conjunto especfico de firmas y bloquear todos los paquetes que coincidan con el
resto de firmas. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos.
Con objeto de facilitar an ms la gestin de amenazas, puede aadir excepciones de amenazas
directamente desde la lista Supervisar > Logs > Amenazas. Asegrese de obtener las actualizaciones de
contenido ms recientes para estar protegido ante las nuevas amenazas y contar con nuevas firmas para
cualquier falso positivo.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts infectados en una
red. Estas firmas detectan bsquedas DNS concretas de nombres de host asociados con malware.
Las firmas DNS se pueden configurar para permitir, alertar o (por defecto) bloquear cuando se observen
estas consultas, al igual que las firmas de antivirus normales. Adems, los hosts que realizan consultas
DNS en dominios malware aparecern en el informe de botnet. Las firmas DNS se descargan como parte
de las actualizaciones de antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms columnas de
informacin disponibles en el selector de columnas. Haga clic en la flecha a la derecha de un encabezado
de columna y seleccione las columnas en el submen Columnas. Para obtener ms informacin, consulte
Bloqueo de transacciones.
Palo Alto Networks
Las siguientes tablas describen la configuracin de perfil de antispyware:
Tabla 144. Configuracin de perfil de antispyware

Campo
Descripcin
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece

en la lista de perfiles de antispyware cuando se definen polticas de seguridad.
Utilice nicamente letras, nmeros, espacios, puntos, guiones y guiones bajos.
Descripcin
Compartido
Seleccione esta casilla de verificacin si quiere que el perfil est disponible para:
Cada sistema virtual (vsys) de un cortafuegos de vsys mltiples. Si cancela la
seleccin de la casilla de verificacin, el perfil nicamente estar disponible
para el Sistema virtual seleccionado en la pestaa Objetos.
Cada grupo de dispositivos en Panorama. Si cancela la seleccin de la casilla
de verificacin, el perfil nicamente estar disponible para el Grupo de
dispositivos seleccionado en la pestaa Objetos.
Seleccione la casilla de verificacin si desea impedir que los administradores

creen copias locales del perfil en grupos de dispositivos descendientes
cancelando sus valores heredados. La casilla de verificacin no est
seleccionada de manera predeterminada, lo que significa que la cancelacin
est habilitada.
Pestaa Reglas
Nombre de regla
Especifique el nombre de la regla.
Nombre de amenaza
Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para
buscar cualquier firma con el texto indicado como parte del nombre de la
firma.
Gravedad
Seleccione un nivel de gravedad (crtico, alto, medio, bajo o informativo).
Accin
Seleccione una accin para cada amenaza. Para ver una lista de las acciones,
consulte Acciones en perfiles de seguridad.
Captura de paquetes

Seleccione paquete nico para capturar un paquete cuando se detecta, o bien
seleccione la opcin captura extendida para capturar de 1 a 50 paquetes.
La captura extendida ofrece mucho ms contexto de la amenaza al analizar los
logs de amenazas. Para ver la captura de paquetes, desplcese hasta
Supervisar > Logs > Amenaza, busque la entrada del log que le interesa y
haga clic en la flecha verde hacia abajo de la segunda columna. Para definir
el nmero de paquetes que deben capturarse, desplcese hasta Dispositivo >
Configuracin > ID de contenido y, a continuacin, edite la seccin
Configuracin de ID de contenidos.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.
Palo Alto Networks
Tabla 144. Configuracin de perfil de antispyware (Continuacin)

Campo
Descripcin
Pestaa
Excepciones
Excepciones
Seleccione la casilla de verificacin Habilitar para cada amenaza a la que desee

asignar una accin, o seleccionar Todas para responder a todas las amenazas
indicadas. La lista depende del host, categora y gravedad seleccionada. Si la
lista est vaca, no hay amenazas en las selecciones actuales.
Utilice la columna Excepciones de direccin IP para aadir filtros de direccin
IP a una excepcin de amenaza. Si las direcciones IP se aaden a una excepcin
de amenaza, la accin de excepcin de la amenaza de esa firma solo sustituir a
la accin de la regla, si la firma est activada por una sesin con la IP de origen
y destino con una IP coincidente en la excepcin. Puede aadir hasta 100
direcciones IP por firma. Con esta opcin no tiene que crear una nueva regla de
poltica y un nuevo perfil de vulnerabilidad para crear una excepcin para una
direccin IP concreta.
Pestaa firma DNS
Palo Alto Networks

Campo
Descripcin
Accin para consultas

de DNS
Seleccione la accin que se realizar cuando se hagan bsquedas DNS en sitios

conocidos de software malintencionado [permitir, bloquear, sinkhole o
predeterminada (alertar)].
La accin sinkhole de DNS ofrece a los administradores un mtodo para
identificar hosts infectados en la red usando trfico DNS, incluso aunque el
cortafuegos est antes de un servidor de DNS local (es decir, que el cortafuegos
no puede ver el originador de una solicitud de DNS). Si tiene instalada una
licencia de prevencin de amenazas y tiene habilitado un perfil de antispyware
en un perfil de seguridad, las firmas basadas en DNS se activarn en las
solicitudes de DNS destinadas a dominios de software malintencionado.
En una implementacin tpica, donde el cortafuegos est antes del servidor
DNS local, el log de amenazas identificar la resolucin DNS local como el
origen del trfico en lugar del host infectado. Las consultas DNS de software
malintencionado falsificadas resuelven este problema de visibilidad
generando respuestas errneas a las consultas dirigidas a dominios
malintencionados, de modo que los clientes que intenten conectarse a
dominios malintencionados (mediante comando y control, por ejemplo)
intenten conectarse en su lugar a una direccin IP especificada por el
administrador. Los hosts infectados pueden identificarse fcilmente en los logs
de trfico porque cualquier host que intente conectarse a la IP sinkhole est
infectado casi con toda seguridad con software malintencionado.
Tras seleccionar la accin sinkhole, especifique una direccin IPv4 y/o IPv6 que
se utilizar como sinkhole (la predeterminada es la IP del loopback, que
resolver los dominios al host local). Cuando se configura una direccin IP
sinkhole, los clientes infectados pueden ser identificados filtrando los logs de
trfico o generando un informe personalizado que compruebe las sesiones de la
direccin IP especificada. Es importante seleccionar una direccin IP mediante la
cual una sesin tenga que enrutarse a travs del cortafuegos para que este pueda
ver la sesin; por ejemplo, una IP no usada en otra zona interna.
A continuacin se detalla la secuencia de eventos que se sucedern al habilitar
la funcin sinkhole:
Captura de paquetes
Palo Alto Networks
1.
El software malintencionado en el ordenador de un cliente infectado enva

una consulta DNS para resolver un host malintencionado en Internet.
2.
La consulta DNS del cliente se enva a un servidor DNS interno, que a su

vez realiza una consulta al servidor de DNS pblico al otro lado del
cortafuegos.
3.
La consulta DNS coincide con una entrada DNS en la base de datos de

firmas DNS, de modo que la accin sinkhole se llevar a cabo en la consulta.
4.
El cliente infectado intenta entonces iniciar una sesin en el host, pero usa
la direccin IP falsificada en su lugar. La direccin IP falsificada es la
direccin definida en la pestaa Firmas DNS del perfil Antispyware al
seleccionar la accin sinkhole.
5.
Se alerta al administrador de la consulta DNS malintencionada en el log

de amenazas, quien puede entonces buscar en los logs de trfico la
direccin IP sinkhole y localizar fcilmente la direccin IP del cliente que
intenta iniciar una sesin con la direccin IP sinkhole.

Campo
Descripcin
Habilitar supervisin
de DNS pasivo
Se trata de una funcin opcional que permite al cortafuegos actuar como un

sensor DNS pasivo y enviar informacin de DNS escogida a
Palo Alto Networks para que sea analizada y poder mejorar as las funciones
de inteligencia y prevencin de amenazas. Los datos recopilados incluyen
consultas DNS no recursivas (es decir, con origen en la resolucin recursiva
local, no en clientes individuales) y cargas de paquetes de respuesta. El equipo
de investigacin de amenazas de Palo Alto Networks usa esta informacin
para conocer mejor cmo funciona la propagacin de software
malintencionado y las tcnicas de evasin que se aprovechan del sistema DNS.
La informacin recopilada a travs de estos datos se usa para mejorar la
precisin y la capacidad para detectar software malintencionado dentro del
filtrado de URL PAN-DB (PAN-DB URL filtering), las firmas de comando y
control basadas en DNS y WildFire. Se recomienda habilitar esta funcin.
Cuando el cortafuegos se configura con rutas de servicio personalizadas,

la funcin de DNS pasivo utilizar la ruta de servicio de WildFire para enviar
la informacin de DNS a Palo Alto Networks.
La opcin est deshabilitada de manera predeterminada.
ID de amenaza
Introduzca manualmente excepciones de firma DNS (intervalo 4000000-4999999).
Perfiles de proteccin de vulnerabilidades

Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades
Una poltica de seguridad puede incluir especificaciones de un perfil de proteccin de vulnerabilidades
que determine el nivel de proteccin contra desbordamiento de bfer, ejecucin de cdigo ilegal y otros
intentos de explotar las vulnerabilidades del sistema. Hay dos perfiles predefinidos disponibles para la
funcin de proteccin de vulnerabilidades:
El perfil predeterminado aplica la accin predeterminada a todas las vulnerabilidades de gravedad

crtica, alta y media del servidor y del cliente. No detecta los eventos de proteccin de vulnerabilidad
informativos y bajos.
El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crtica,
alta y media y utiliza la accin predeterminada para los eventos de proteccin de vulnerabilidad bajos
e informativos.
Los perfiles personalizados se pueden utilizar para minimizar la comprobacin de vulnerabilidades para
el trfico entre zonas de seguridad fiables y para maximizar la proteccin del trfico recibido de zonas no
fiables, como Internet; y el trfico enviado a destinos altamente sensibles, como granjas de servidores. Para
aplicar los perfiles de proteccin de vulnerabilidades a las polticas de seguridad, consulte Definicin de
polticas de seguridad.
Los parmetros de Reglas especifican conjuntos de firmas para habilitar, as como las medidas que se
deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo, puede
bloquear todos los paquetes coincidentes con una firma, excepto el del paquete seleccionado, que genera
una alerta. La pestaa Excepcin admite funciones de filtrado.
La pgina Proteccin de vulnerabilidades muestra un conjunto predeterminado de columnas. Existen
ms columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la derecha de
un encabezado de columna y seleccione las columnas en el submen Columnas. Para obtener ms
informacin, consulte Bloqueo de transacciones.
Palo Alto Networks
Las siguientes tablas describen la configuracin del perfil de proteccin de vulnerabilidades:
Tabla 145. Configuracin del perfil de proteccin de vulnerabilidades

Campo
Descripcin
Nombre

aparece en la lista de perfiles de proteccin de vulnerabilidades cuando
se definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, puntos, guiones y guiones bajos.
Descripcin
Compartido

disponible para:
Objetos.

Pestaa Reglas
Nombre de regla
Especifique un nombre para identificar la regla.
Nombre de amenaza
Especifique una cadena de texto para buscar. El cortafuegos aplica un

conjunto de firmas a la regla buscando nombres de firmas para esta
cadena de texto.
Accin
Seleccione la accin que deber realizarse cuando se active la regla.

Para ver una lista de las acciones, consulte Acciones en perfiles de
seguridad.
La accin Predeterminada se basa en la accin por defecto que forma
parte de cada firma proporcionada por Palo Alto Networks. Para ver la
accin predeterminada de una firma, desplcese a Objetos > Perfiles de
seguridad > Proteccin de vulnerabilidades y haga clic en Aadir o
seleccione un perfil existente. Haga clic en la pestaa Excepciones y, a
continuacin, haga clic en Mostrar todas las firmas. Aparecer una lista
de todas las firmas y ver una columna Accin.
Host
Palo Alto Networks
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Tabla 145. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)

Campo
Captura de paquetes
Descripcin
Seleccione paquete nico para capturar un paquete cuando se detecta,
o bien seleccione la opcin captura extendida para capturar de 1 a
50 paquetes. La captura extendida ofrece mucho ms contexto de la
amenaza al analizar los logs de amenazas. Para ver la captura de
paquetes, desplcese hasta Supervisar > Logs > Amenaza, busque la
entrada del log que le interesa y haga clic en la flecha verde hacia abajo
de la segunda columna. Para definir el nmero de paquetes que deben
capturarse, desplcese hasta Dispositivo > Configuracin > ID de
contenido y, a continuacin, edite la seccin Configuracin de ID de
contenidos.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.
Categora
Seleccione una categora de vulnerabilidad si desea limitar las firmas a

las que coinciden con esa categora.
Lista CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea

limitar las firmas a las que tambin coinciden con las CVE especificadas.
Cada CVE tiene el formato CVE-aaaa-xxxx, donde aaaa es el ao y xxxx es
un identificador nico. Puede realizar una bsqueda de cadenas en este
campo. Por ejemplo, para buscar las vulnerabilidades del ao 2011,
introduzca 2011.
ID de proveedor
Especifique el ID del proveedor si desea limitar las firmas a las

coincidentes con la de los Id de los proveedores especificados.
Por ejemplo, los ID de proveedor de Microsoft tienen el formato
MSaa-xxx, donde aa es el ao en formato de dos dgitos y xxx es el
identificador nico. Por ejemplo, para buscar Microsoft en el ao 2009,
introduzca MS09.
Gravedad
Seleccione el nivel de gravedad (informativo, bajo, medio, alto o crtico)

si desea limitar las firmas a las coincidentes con los niveles de gravedad
especificados.
Palo Alto Networks
Tabla 145. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)

Campo
Descripcin
Pestaa Excepciones
Amenazas
Seleccione la casilla de verificacin Habilitar para cada amenaza a la que

desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Seleccione una accin de la lista desplegable o seleccione una opcin de
la lista desplegable Accin en la parte superior de la lista para aplicar la
misma accin a todas las amenazas. Si la casilla de verificacin Mostrar
todo est seleccionada, aparecern todas las firmas. Si la casilla de
verificacin Mostrar todo no est seleccionada, solo se mostrarn las
firmas que son excepciones.
Seleccione la casilla de verificacin Captura de paquetes si desea
capturar paquetes identificados.
La base de datos de firma de vulnerabilidad contiene firmas que indican
un ataque de fuerza bruta; por ejemplo, el ID de amenaza 40001 se activa
en un ataque de fuerza bruta de FTP. Las firmas de fuerza bruta se
activan cuando se produce una condicin en un determinado umbral
temporal. Los umbrales estn preconfigurados para firmas de fuerza
bruta y se pueden modificar haciendo clic en el icono de lpiz
junto
al nombre de la amenaza de la pestaa Vulnerabilidad (con la opcin
Personalizada seleccionada). Puede especificar el nmero de resultados
por unidad de tiempo y si se aplicarn los umbrales de origen, destino u
origen-destino.
Los umbrales se pueden aplicar en una IP de origen, IP de destino o una
combinacin de IP de origen y destino.
La accin predeterminada se muestra entre parntesis. La columna CVE muestra
los identificadores de vulnerabilidades y exposiciones comunes (CVE). Estos
identificadores nicos y comunes son para vulnerabilidades de seguridad de
informacin pblicamente conocidas.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden
a una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.
Palo Alto Networks
Perfiles de filtrado de URL

Objetos > Perfiles de seguridad > Filtrado de URL
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de una URL que bloquee
el acceso a sitios web y a categoras de sitios web especficas, que aplique Safe Search o que genere una
alerta cuando se accede a sitios web concretos (se requiere una licencia de filtrado de URL). Tambin
puede definir una lista de bloqueo de sitios web que est siempre bloqueada (o que generen alertas) y
una lista de permiso de sitios web que est siempre permitida.
Para aplicar los perfiles de filtrado de URL a las polticas de seguridad, consulte Definicin de polticas
de seguridad. Para crear categoras de URL personalizadas con sus propias listas de URL, consulte
Categoras de URL personalizadas.
Las siguientes tablas describen la configuracin de perfil de filtrado de URL:
Tabla 146. Configuracin de perfil de filtrado de URL

Campo
Descripcin
Nombre

aparece en la lista de perfiles de filtrado de URL cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
Descripcin
Compartido

disponible para:
Objetos.

Categoras
(configurable solo para
BrightCloud)
Accin tras el
vencimiento de la
licencia
Seleccione la medida que se adoptar si vence la licencia de filtrado de URL:

Bloquear: Bloquea el acceso a todos los sitios web.
Permitir: Permite el acceso a todos los sitios web.
Nota: Si usa la base de datos BrightCloud y define esta opcin para bloquear al
vencimiento de la licencia, se bloquearn todas las URL, no solo las categoras de
URL definidas para bloquearse. Si elige Permitir, se permitirn todas las URL.
Si usa PAN-DB, el filtrado de URL seguir funcionando y las categoras de URL
que se encuentran en cach actualmente se usarn para bloquear o permitir en
funcin de su configuracin.
Palo Alto Networks
Tabla 146. Configuracin de perfil de filtrado de URL (Continuacin)

Campo
Descripcin
Lista de bloqueadas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios

web que desee bloquear o cuyas alertas desee generar. Introduzca las
URL una a una.
Importante: Debe omitir la parte http y https de las URL cuando aada
los sitios web a la lista.
Las entradas de la lista de bloqueo deben ser una coincidencia completa y
no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea bloquear el dominio entero, debe incluir
*.paloaltonetworks.com y paloaltonetworks.com.
Ejemplos:
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo.
Un testigo puede ser cualquier nmero de caracteres ASCII que no contenga
un carcter separador o *. Por ejemplo, los siguientes patrones son vlidos:
*.yahoo.com (Los testigos son: "*", "yahoo" y "com")
www.*.com (Los testigos son: "www", "*" and "com")
www.yahoo.com/search=* (Los testigos son: "www", "yahoo", "com", "search", "*")
Los siguientes patrones no son vlidos porque el carcter * no es el

nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Accin
Seleccione la medida que se adoptar cuando se acceda a un sitio web de

la lista de bloqueo.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta
al log de URL.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y otros ajustes de cancelacin
se especifican en el rea de cancelacin de administrador de URL de la
pgina Configuracin (consulte la tabla Configuracin de gestin en
Definicin de la configuracin de gestin).
Palo Alto Networks

Campo
Descripcin
Lista de permitidas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios

web que desee permitir o cuyas alertas desee generar. Introduzca una
direccin IP o URL en cada lnea.
Importante: Debe omitir la parte http y https de las URL cuando aada
los sitios web a la lista.
Las entradas de la lista de permitidas deben ser una coincidencia
completa y no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea permitir el dominio entero, debe incluir
*.paloaltonetworks.com y paloaltonetworks.com.
Ejemplos:
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo.
Un testigo puede ser cualquier nmero de caracteres ASCII que no
contenga un carcter separador o *. Por ejemplo, los siguientes patrones
son vlidos:
*.yahoo.com (Los testigos son: "*", "yahoo" y "com")
www.*.com (Los testigos son: "www", "*" and "com")
www.yahoo.com/search=* (Los testigos son: "www", "yahoo", "com", "search", "*")
Los siguientes patrones no son vlidos porque el carcter * no es el

nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Esta lista tiene prioridad sobre las categoras de sitios web seleccionados.
Categora/Accin
Seleccione, para cada categora, la medida que se adoptar cuando

accede a un sitio web de esa categora.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta
al log de URL.
Permitir: Permite al usuario acceder al sitio web.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y otros ajustes de cancelacin
se especifican en el rea de cancelacin de administrador de URL de la
pgina Configuracin (consulte la tabla Configuracin de gestin en
Definicin de la configuracin de gestin).
Nota: Las pginas Continuar y Cancelar no se mostrarn correctamente en
mquinas cliente configuradas para utilizar un servidor proxy.
Palo Alto Networks

Campo
Descripcin
Comprobar categora
de URL
Haga clic para acceder al sitio web donde podr introducir una URL
o direccin IP para ver informacin de categorizacin.
Filtrado de URL
dinmica
Seleccione para activar las bsquedas en la nube y categorizar la URL. Esta

opcin se activa si la base de datos local no puede categorizar la URL.
Valor predeterminado:
Deshabilitado
Si la URL no se resuelve despus de que aparezca la ventana de tiempo

de espera de 5 segundos, la respuesta aparece como URL no resuelta.
(configurable solo para

BrightCloud)
Con PAN-DB, esta opcin
est habilitada de forma
predeterminada y no es
configurable.
Pgina de contenedor de
log nicamente
Seleccione la casilla de verificacin para incluir en el log nicamente las

URL que coinciden con el tipo de contenido especificado.
Habilitado
Habilitar forzaje de
bsquedas seguras
Seleccione esta casilla de verificacin para forzar el filtrado de bsquedas

seguras estricto.
Deshabilitado
Al habilitarla, esta opcin evitar que los usuarios que realicen bsquedas
en Internet usando uno de los tres principales proveedores de bsquedas
(Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de
bsqueda, a menos que tengan definida la opcin de bsqueda segura
estricta en sus exploradores para estos motores de bsqueda. Si un usuario
realiza una bsqueda usando uno de estos motores y su explorador o
motor de bsqueda no tiene configurada la opcin bsqueda segura en la
opcin estricta, los resultados de bsqueda sern bloqueados
(dependiendo de la accin definida en el perfil) y se pedir al usuario que
defina la opcin estricta en la configuracin de bsqueda segura.
Para usar esta funcin,

no es necesaria una
licencia de filtrado
de URL.
Nota: Si est realizando una bsqueda en Yahoo Japan (yahoo.co.jp) mientras

est registrado en su cuenta de Yahoo!, la opcin de bloqueo para el ajuste de
bsqueda tambin debe estar habilitada.
Para forzar la bsqueda segura, debe aadirse el perfil a la poltica de
seguridad. Y, para activar la bsqueda segura para los sitios cifrados
(HTTPS), debe aadirse el perfil a una poltica de cifrado.
La habilidad del cortafuegos para detectar la configuracin de bsquedas
seguras dentro de estos tres proveedores se actualizar usando la
actualizacin de firma Aplicaciones y amenazas. Si un proveedor cambia
el mtodo de configuracin de bsquedas seguras que usa
Palo Alto Networks para detectar estas configuraciones, se llevar a cabo
una actualizacin de firmas para garantizar que se detecta la
configuracin adecuadamente. Adems, la evaluacin para determinar si
un sitio se considera seguro o no la realizan los proveedores de
bsquedas, no Palo Alto Networks.
Para evitar que los usuarios omitan esta funcin usando otros
proveedores de bsquedas, configure el perfil de filtrado de URL para
que bloquee la categora de los motores de bsqueda y que se puedan
permitir Bing, Google, Yahoo, Yandex y YouTube.
Consulte la Gua del administrador de PAN-OS para obtener ms
informacin.
Palo Alto Networks

Campo
Descripcin
Logging de la cabecera
HTTP
La activacin del logging de la cabecera HTTP proporciona visibilidad

sobre los atributos incluidos en la solicitud de HTTP enviada a un
servidor. Cuando estn activados, uno o varios de los siguientes pares de
valores de atributos se graban en el log de filtrado de URL:
Agente-usuario (User-Agent): El navegador web que utilizaba el
usuario para acceder a la URL. Esta informacin se enva en la solicitud
de HTTP al servidor. Por ejemplo, el agente-usuario puede ser
Internet Explorer o Firefox. El valor Agente-usuario del log admite
hasta 1024 caracteres.
Sitio de referencia: URL de la pgina web que enlazaba el usuario a otra
pgina web; se trata del origen que ha redirigido (referencia) al usuario
a la pgina web que se est solicitando. El valor del sitio de referencia
en el log admite hasta 256 caracteres.
X-Forwarded-For: Opcin del campo de encabezado que conserva la
direccin IP del usuario que ha solicitado la pgina web. Le permite
identificar la direccin IP del usuario. Es especialmente til si tiene un
servidor proxy en su red o ha implementado NAT de origen, algo que
enmascara la direccin IP del usuario de tal forma que todas las
solicitudes parecen originarse desde la direccin IP del servidor proxy
o una direccin IP comn. El valor de x reenviado para en el log admite
Perfiles de bloqueo de archivo

Objetos > Perfiles de seguridad > Bloqueo de archivo
Una poltica de seguridad puede incluir la especificacin de un perfil de bloqueo de archivos que impida
que los tipos de archivos seleccionados se carguen y/o descarguen, o que genere una alerta cuando se
detecten. Si se selecciona la accin Reenviar, los tipos de archivos compatibles se enviarn a WildFire,
donde sern analizados para buscar comportamientos malintencionados. La Tabla 148 enumera los
formatos de archivo compatibles en el momento de esta publicacin. Sin embargo, dado que en una
actualizacin de contenido se puede aadir una nueva compatibilidad con un tipo de archivo, para ver la
lista ms actualizada, haga clic en Aadir en el campo Tipos de archivo del cuadro de dilogo Perfil de
bloqueo de archivo.
Para aplicar los perfiles de bloqueo de archivo a las polticas de seguridad, consulte Definicin de
Las siguientes tablas describen la configuracin de perfil de bloqueo de archivo:
Tabla 147. Configuracin de perfil de bloqueo de archivo

Campo
Descripcin
Nombre

aparece en la lista de perfiles de bloqueo de archivos cuando se definen
Descripcin
Palo Alto Networks
Tabla 147. Configuracin de perfil de bloqueo de archivo (Continuacin)

Campo
Descripcin
Compartido

disponible para:
Objetos.

Reglas
Defina una o ms reglas para especificar la medida que se adoptar (si se

especifica alguna) para los tipos de archivos seleccionados. Para aadir
una regla, especifique los siguientes ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre para la regla (hasta 31 caracteres).
Aplicaciones: Seleccione las aplicaciones a las que afectar la regla o
seleccione Cualquiera.
Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o
para los que desee generar alertas.
Direccin: Seleccione la direccin de la transferencia de archivos
(Cargar, Descargar o Ambos).
Accin: Seleccione la medida que se adoptar cuando se detecten
archivos de los tipos seleccionados:
Alertar: Se aade una entrada al log de amenazas.
Bloquear: El archivo se bloquea.
Continuar: Aparecer un mensaje para el usuario indicando que se
ha solicitado una descarga y le pide confirmacin para continuar.
El propsito es advertir al usuario de una posible descarga
desconocida (tambin se conocen como descargas drive-by) y darle
al usuario la opcin de continuar o detener la descarga.
Cuando crea un perfil de bloqueo de archivos con la accin Continuar o

Continuar y reenviar (utilizado para el reenvo de WildFire),
nicamente puede elegir la aplicacin navegacin web. Si elige
cualquier otra aplicacin, el trfico que coincida con la poltica de
seguridad no fluir hacia el cortafuegos debido al hecho de que los
usuarios no vern una pgina que les pregunte si desean continuar.
Reenviar: El archivo se enva automticamente a WildFire.
Continuar y reenviar: Aparece una pgina de continuacin y el
archivo se enva a WildFire (combina las acciones Continuar y
Reenviar). Esta accin solo funciona con trfico basado en web.
Esto se debe al hecho de que un usuario debe hacer clic en continuar
antes de que el archivo se reenve y la opcin de pgina de respuesta
de continuacin solo est disponible con http/https.
Palo Alto Networks
Tabla 148. Formatos de archivo compatibles con bloqueo de archivos

Campo
Descripcin
apk
Archivo de paquete de aplicaciones Android
avi
Archivo de vdeo basado en el formato Microsoft AVI (RIFF)
avi-divx
Archivo de vdeo AVI codificado con el cdec DivX
avi-xvid
Archivo de vdeo AVI codificado con el cdec XviD
bat
Archivo por lotes MS DOS
bmp-upload
Archivo de imagen de mapa de bits (carga nicamente)
cab
Archivo comprimido de Microsoft Windows
cdr
Archivo de Corel Draw
class
Archivo bytecode de Java
cmd
Archivo de comandos de Microsoft
dll
Biblioteca de vnculos dinmicos de Microsoft Windows
doc
Documento de Microsoft Office
docx
Documento de Microsoft Office 2007
dpx
Archivo Digital Picture Exchange
dsn
Archivo Database Source Name
dwf
Archivo Design Web Format de Autodesk
dwg
Archivo Autodesk AutoCAD
edif
Archivo Electronic Design Interchange Format
email-link
Al enviar el tipo de archivo email-link, el cortafuegos extrae los enlaces de HTTP/

HTTPS contenidos en los mensajes de correo electrnico POP3 y SMTP y los enva a
la nube de WildFire para su anlisis (esta funcin no est admitida en el dispositivo
WF-5000 WildFire). Observe que el cortafuegos solo extrae enlaces e informacin de
sesin asociada (emisor, receptor y asunto) de los mensajes de correo electrnico
que atraviesan el cortafuegos; no recibe, almacena, reenva ni ve el mensaje de
correo electrnico.
Despus de recibir un enlace de correo electrnico de un cortafuegos, WildFire
visita los enlaces para determinar si la pgina web correspondiente alberga
alguna explotacin. Si determina que la pgina es benigna, no se enviar ninguna
entrada de log al cortafuegos. Si el enlace es malintencionado, se genera un
informe de anlisis detallado de WildFire en el log de presentaciones de WildFire
y la URL se aade a PAN-DB.
encrypted-doc
Documento cifrado de Microsoft Office
encrypted-docx
Documento cifrado de Microsoft Office 2007
encrypted-office2007
Archivo cifrado de Microsoft Office 2007
encrypted-pdf
Documento cifrado de Adobe PDF
encrypted-ppt
Documento cifrado de Microsoft PowerPoint
encrypted-pptx
Documento cifrado de Microsoft PowerPoint 2007
encrypted-rar
Archivo cifrado rar
encrypted-xls
Archivo cifrado de Microsoft Office Excel
encrypted-xlsx
Archivo cifrado de Microsoft Office Excel 2007
encrypted-zip
Archivo cifrado zip
exe
Ejecutable de Microsoft Windows
Palo Alto Networks
Tabla 148. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)

Campo
Descripcin
flash
Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. El archivo
SWF suministra grficos de vector, texto, vdeo y sonido en Internet; este
contenido se ve en el reproductor Adobe Flash. El archivo SWC es un paquete
comprimido de componentes SWF.
flv
Archivo de Adobe Flash Video
gds
Archivo Graphics Data System
gif-upload
Archivo de imagen GIF (carga nicamente)
gzip
Archivos comprimidos con la aplicacin gzip
hta
Archivo de aplicacin HTML
iso
Imagen de disco segn la normativa ISO-9660
iwork-keynote
Documentos de iWork Keynote de Apple
iwork-numbers
Documentos de iWork Numbers de Apple
iwork-pages
Documentos de iWork Pages de Apple
jar
Archivo Java
jpeg-upload
Archivo de imagen JPG/JPEG (carga nicamente)
lnk
Acceso directo a archivo de Microsoft Windows
lzh
Archivo comprimido con la utilidad/algoritmo lha/lhz
mdb
Archivo Microsoft Access Database
mdi
Archivo Microsoft Document Imaging
mkv
Archivo Matroska Video
mov
Archivo Apple Quicktime Movie
mp3
Archivo de audio MP3
mp4
Archivo de audio MP4
mpeg
Archivo de audio y vdeo con la compresin MPEG-1 o MPEG-2
msi
Archivo paquete de Microsoft Windows Installer
msoffice
Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx).
Si quiere que el cortafuegos bloquee/reenve archivos de MS Office, se
recomienda que seleccione el grupo msoffice para asegurarse de que se
identificarn todos los tipos de archivos de MS Office admitidos en lugar de
seleccionar individualmente cada tipo de archivo.
Codificacin multinivel
Archivo que se ha codificado cinco o ms veces.

Varios niveles de codificacin de archivo pueden indicar un comportamiento
sospechoso. Los archivos pueden estar comprimidos varias veces con la
intencin de ocultar el tipo de archivo original y evadir la deteccin de
contenido malintencionado. De manera predeterminada, el cortafuegos
descodifica e identifica los archivos que se han codificado hasta cuatro veces; sin
embargo, puede utilizar este tipo de archivo para bloquear los archivos que el
cortafuegos no descodifique debido a que estn codificados cinco o ms veces.
ocx
Archivo Microsoft ActiveX
pdf
Archivo Adobe Portable Document
PE
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys, drv, tlb)
pgp
Clave de seguridad o firma digital cifrada con software PGP
pif
Archivo de informacin de programas de Windows con instrucciones ejecutables
pl
Archivo de comandos Perl
Palo Alto Networks
Tabla 148. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)

Campo
Descripcin
png-upload
Archivo de imagen PNG (carga nicamente)
ppt
Presentacin en Microsoft Office PowerPoint
pptx
Presentacin en Microsoft Office PowerPoint 2007
psd
Documento de Adobe Photoshop
rar
Archivo comprimido creado con winrar
reg
Archivo de registro de Windows
rm
Archivo RealNetworks Real Media
rtf
Archivo de documento de formato de texto enriquecido de Windows
sh
Archivo de comandos Shell de Unix
stp
Archivo de grficos estndar para el intercambio de datos de modelo de

productos en 3D
tar
Archivo comprimido tar de Unix
tdb
Archivo Tanner Database (www.tannereda.com)
tif
Archivo Windows Tagged Image
torrent
Archivo de BitTorrent
wmf
Metaarchivo de Windows para guardar imgenes de vectores
wmv
Archivo de vdeo Windows Media
wri
Archivo de documento de Windows Write
wsf
Archivo de comandos de Windows
xls
Microsoft Office Excel
xlsx
Microsoft Office 2007 Excel
zcompressed
Archivo Z comprimido en Unix, se descomprime con la utilidad uncompress
zip
Archivo Winzip/pkzip
Perfiles de anlisis de WildFire

Objetos > Perfiles de seguridad > Anlisis de WildFire
Utilice un perfil de anlisis de WildFire para especificar que se realice un anlisis de archivos de WildFire localmente en el
dispositivo WildFire o en la nube de WildFire. Puede especificar que el trfico se reenve a la nube pblica o a la nube
privada en funcin del tipo de archivo, la aplicacin o la direccin de transmisin del archivo (carga o descarga). Despus
de crear un perfil de anlisis de WildFire, aadir el perfil a una poltica (Polticas > Seguridad) le permite aplicar los ajustes
de perfil a cualquier trfico que coincida con esa poltica (por ejemplo, una categora de URL definida en la poltica).
Palo Alto Networks
Tabla 149. Configuracin de perfil de anlisis de WildFire

Campo
Descripcin
Nombre
Introduzca un nombre descriptivo para el perfil de anlisis de WildFire

(hasta 31 caracteres). Este nombre aparecer en la lista de perfiles de
anlisis de WildFire entre los que puede elegir al definir una poltica de
seguridad. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Descripcin
Opcionalmente, puede describir las reglas de perfil o el uso previsto del

perfil (hasta 255 caracteres).
Compartido

disponible para:
Objetos.
Reglas
Defina una o ms reglas para especificar que el trfico se reenve a la

nube pblica de WildFire o al dispositivo WildFire (nube privada) para
su anlisis.
Introduzca un Nombre descriptivo para cada regla que aada al perfil
(hasta 31 caracteres).
Aada una Aplicacin para que el trfico de cualquier aplicacin
coincida con la regla y se reenve al destino de anlisis especificado.
Seleccione un Tipo de archivo para su anlisis en el destino de anlisis
definido para la regla.
Aplique la regla al trfico dependiendo de la Direccin de la transmisin. Puede aplicar la regla para cargar trfico, descargar trfico o
ambas acciones.
Seleccione el Destino del trfico que se reenviar para su anlisis:
Seleccione la nube pblica para que todo el trfico que coincida con
la regla se reenve a la nube pblica de WildFire para su anlisis.
Seleccione la nube privada para que todo el trfico que coincida con
la regla se reenve al dispositivo de WildFire para su anlisis.
Perfiles de filtrado de datos

Objetos > Perfiles de seguridad > Filtrado de datos
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de datos que ayuda a
identificar informacin confidencial como nmeros de tarjetas de crdito o de la seguridad social y que
evita que dicha informacin salga del rea protegida por el cortafuegos.
Para aplicar los perfiles de filtrado de datos a las polticas de seguridad, consulte Definicin de polticas
de seguridad.
Palo Alto Networks
Las siguientes tablas describen la configuracin de perfil de filtrado de datos:
Tabla 150. Configuracin de perfiles de filtrado de datos

Campo
Descripcin
Nombre

aparece en la lista de perfiles de reenvo de logs cuando se definen
Descripcin
Compartido

disponible para:
Objetos.

Captura de datos
Seleccione la casilla de verificacin para recopilar automticamente los

datos bloqueados por el filtro.
Especifique una contrasea para Gestionar proteccin de datos en la pgina

Configuracin para ver sus datos capturados. Consulte Definicin de la
configuracin de gestin.
Para aadir un patrn de datos, haga clic en Aadir y especifique la siguiente informacin.
Tabla 151. Configuracin de patrones de datos

Campo
Descripcin
Patrn de datos
Seleccione un patrn de datos existente de la lista desplegable Patrn de

datos o configure un nuevo patrn seleccionando Patrn de datos de la
lista y especificando la informacin descrita en Definicin de patrones
de datos.
Aplicaciones
Especifique las aplicaciones que se incluirn en la regla de filtrado:

Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones
enumeradas. Esta seleccin no bloquea todas las aplicaciones posibles,
solo las enumeradas.
Haga clic en Aadir para especificar aplicaciones individuales.
Tipos de archivos
Especifique los tipos de archivos que se incluirn en la regla de filtrado:

Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos
enumerados. Esta seleccin no bloquea todos los posibles tipos de
archivo, solo los enumerados.
Haga clic en Aadir para especificar tipos de archivos individuales.
Palo Alto Networks
Tabla 151. Configuracin de patrones de datos (Continuacin)

Campo
Descripcin
Direccin
Especifique si desea aplicar el filtro en la direccin de la carga, descarga o

ambas.
Umbral de alerta
Especifique el valor que activar la alerta. Por ejemplo si tiene un umbral

de 100 con un peso de SSN de 5, la regla necesitar detectar al menos
20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100).
Umbral de bloqueo
Especifique el valor que activar el bloqueo. Por ejemplo si tiene un umbral

de 100 con un peso de SSN de 5, la regla necesitar detectar al menos
20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100).
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Los perfiles de proteccin DoS estn diseados para una seleccin muy precisa y los perfiles de proteccin de
zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un
ataque de DoS. Estos perfiles se adjuntan a polticas de proteccin de DoS para permitirle controlar el trfico
entre interfaces, zonas, direcciones y pases segn sesiones agregadas o direcciones IP nicas de origen o o
destino. Para aplicar perfiles DoS a polticas DoS, consulte Definicin de polticas DoS.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:
Zonas externas para permitir la comunicacin entre sistemas virtuales
Puertas de enlace compartidas para permitir que los sistemas virtuales compartan
una interfaz comn y una direccin IP para las comunicaciones externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para activar la fragmentacin IP y la proteccin ICMPv6, debe crear un perfil de
proteccin de zona separado para la puerta de enlace compartida.
Para protegerse contra inundaciones SYN en una puerta de enlace compartida,
puede aplicar un perfil de proteccin Inundacin SYN con Descarte aleatorio
temprano o Cookies SYN; en una zona externa, solo Descarte aleatorio temprano
est disponible para la proteccin contra inundaciones SYN
Palo Alto Networks
Las siguientes tablas describen la configuracin del perfil de proteccin DoS:
Tabla 152. Configuracin del perfil de proteccin DoS

Campo
Descripcin
Nombre

Compartido

disponible para:
Objetos.

Descripcin
Tipo
Especifique uno de los tipos de perfil siguientes:

Agregar: Aplica los umbrales DoS configurados en el perfil a todos los
paquetes que cumplan los criterios de la regla en la que se aplica el
perfil. Por ejemplo, una regla de agregacin con un umbral de inundacin SYN de 10000 paquetes por segundo (pps) cuenta todos los
paquetes que cumplen esa regla DoS concreta.
Clasificado: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplen el criterio de clasificacin (IP de origen, IP de
destino, o IP de origen y destino).
Palo Alto Networks
Tabla 152. Configuracin del perfil de proteccin DoS (Continuacin)

Campo
Descripcin
Pestaa Proteccin
contra inundaciones
Pestaa secundaria
Inundacin SYN
Seleccione la casilla de verificacin para activar la proteccin de

inundacin SYN y especificar los siguientes ajustes:
Pestaa secundaria
Inundacin de UDP
Accin: (Inundacin SYN nicamente) Seleccione entre las siguientes

opciones:
Descarte aleatorio temprano: Descarta paquetes de forma aleatoria
antes de alcanzar el lmite DoS.
Pestaa secundaria
Inundacin de ICMP
Cookies SYN: Utilice esta opcin para generar confirmaciones, de

forma que no sea necesario cancelar conexiones en presencia de un
ataque de inundacin SYN.
Otras pestaas
secundarias
Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma

DoS (intervalo 0-2000000 pps, por defecto, 10000 pps).
Activar tasa: Seleccione la tasa (pps) a la que se activar la respuesta
DoS (intervalo 0-2000000 pps, por defecto, 10000 pps).
Tasa mxima: Especifique la tasa a la que los paquetes se descartarn o
se bloquearn.
Duracin del bloqueo: Especifique la duracin (en segundos) durante
la que los paquetes infractores se denegarn. Los paquetes que lleguen
durante la duracin del bloqueo no afectarn al recuento para activar
las alertas.
Nota: Si define lmites de umbral de paquetes por segundo (pps) de

perfiles de proteccin de zonas, el umbral se basa en los paquetes por
segundo que no coinciden con ninguna sesin establecida previamente.
Pestaa Proteccin de
recursos
Sesiones
Seleccione la casilla de verificacin para habilitar la proteccin de los

recursos.
Mx. de lmites
simultneos
Especifique el nmero mximo de sesiones simultneas. Si el tipo de

perfil DoS es de agregacin, este lmite se aplica a todo el trfico entrante
que cumple la regla DoS en la que se aplica el perfil DoS. Si el tipo de
perfil DoS es de clasificacin, este lmite se aplica a todo el trfico
clasificado (IP de origen, IP de destino, o IP de origen y destino) que
cumple la regla DoS en la que se aplica el perfil DoS.

Los objetos de las polticas son los elementos que le permiten construir, programar y buscar polticas.
Los siguientes tipos de objetos son compatibles:
Direcciones y grupos de direcciones para determinar el mbito de la poltica. Consulte Definicin de

grupos de direcciones.
Aplicaciones y grupos de aplicaciones que permiten especificar cmo se tratan las aplicaciones de
software en las polticas. Consulte Aplicaciones.
Filtros de aplicacin que permiten simplificar bsquedas. Consulte Filtros de aplicacin.

Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios.
Etiquetas para ordenar y filtrar objetos. Consulte Etiquetas.
Palo Alto Networks
Patrones de datos para definir categoras de informacin confidencial para polticas de filtrado de
datos. Consulte Patrones de datos.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo
en perfiles de filtrado URL. Consulte Categoras de URL personalizadas.
Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. Consulte
Grupos de perfiles de seguridad.
Reenvo de log para especificar configuraciones de log. Consulte Reenvo de logs.

Programaciones para especificar cundo estn las polticas activas. Consulte Ajustes de descifrado
SSL en un perfil de descifrado.
Para trasladar o duplicar objetos, consulte Traslado o duplicacin de una poltica o un objeto.
Definicin de objetos de direcciones

Objetos > Direcciones
Un objeto de direccin puede incluir una direccin IPv4 o IPv6 (direccin IP simple, intervalo, subred) o
FQDN. Le permite reutilizar el mismo objeto como direccin de origen o destino en todas las bases de
reglas de polticas sin tener que aadirlas cada vez de forma manual. Se configura usando la interfaz web
o la CLI y se requiere una operacin de compilacin para hacer que el objeto forme parte de la
configuracin.
Para definir un objeto de direccin, haga clic en Aadir y cumplimente los siguientes campos.
Tabla 153. Configuracin de nuevas direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe las direcciones que se definirn

(de hasta 63 caracteres). Este nombre aparece en la lista de direcciones
cuando se definen polticas de seguridad. El nombre hace distincin
entre maysculas y minsculas y debe ser exclusivo. Utilice nicamente
letras, nmeros, espacios, guiones y guiones bajos.
Compartido
Seleccione esta casilla de verificacin si quiere que el objeto de direccin

est disponible para:
Si cancela la seleccin de la casilla de verificacin, el objeto de direccin
nicamente estar disponible para el Sistema virtual seleccionado en la
pestaa Objetos.
casilla de verificacin, el objeto de direccin nicamente estar
disponible para el Grupo de dispositivos seleccionado en la pestaa
Objetos.

administradores creen copias locales de la direccin en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificacin no est seleccionada de manera predeterminada, lo que
Descripcin
Introduzca una descripcin del objeto (hasta 255 caracteres).
Palo Alto Networks
Tabla 153. Configuracin de nuevas direcciones (Continuacin)

Campo
Descripcin
Tipo
Especifique una direccin o intervalo de direcciones IPv4 o IPv6 o FQDN.

Mscara de red IP:
Introduzca la direccin IPv4 o IPv6 o la el intervalo de la direccin IP con
la siguiente notacin:
direccin_ip/mscara o direccin_ip
donde la mscara es el nmero de dgitos binarios significativos utilizados
para la porcin de red de la direccin.
Ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica
todas las direcciones desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e
introduzca un intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22
Tipo (continuacin)
FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin. Por
tanto, las entradas se actualizan cuando el cortafuegos realiza una
comprobacin cada 30 minutos; todos los cambios en la direccin IP de
las entradas se recogen en el ciclo de actualizacin.
FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy
DNS, si se configura un proxy. Para obtener informacin acerca del proxy
DNS, consulte Configuracin de proxy DNS.
Etiquetas
Seleccione o introduzca etiquetas que desee aplicar a este objeto de

direccin.
Puede definir una etiqueta aqu o usar la pestaa Objetos > Etiquetas
para crear etiquetas nuevas. Si desea ms informacin sobre etiquetas,
consulte Etiquetas.
Definicin de grupos de direcciones

Objetos > Grupos de direcciones
Para simplificar la creacin de polticas de seguridad, las direcciones que requieren los mismos ajustes
de seguridad se pueden combinar en grupos de direcciones. Un grupo de direcciones puede ser
esttico o dinmico.
Grupos de direcciones dinmicas: Un grupo de direcciones dinmicas cumplimenta sus miembros

dinmicamente usando bsquedas de etiquetas y filtros basados en etiquetas. Los grupos de
direcciones dinmicas son muy tiles si tiene una infraestructura virtual amplia con cambios
frecuentes en la ubicacin de la mquina virtual o la direccin IP. Por ejemplo, si tiene una
Palo Alto Networks
configuracin de conmutacin por error o incluye nuevas mquinas virtuales con frecuencia y le
gustara aplicar una poltica al trfico que va o que procede de la nueva mquina sin modificar la
configuracin o las reglas del cortafuegos.
A diferencia de los grupos de direcciones estticas, en los que se especifica una direccin de red en un
host, los miembros de un grupo de direcciones dinmicas se cumplimentan definiendo un criterio de
coincidencia. El criterio de coincidencia usa operadores lgicos y u o; cada host que quiera aadir al
grupo de direcciones dinmicas debe incluir la etiqueta o atributo definido en el criterio de
coincidencia. Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama, as como
definirse dinmicamente usando la API XML y registrarse en el cortafuegos. Cuando se registra una
direccin IP y la etiqueta correspondiente (una o ms), cada grupo dinmico evala las etiquetas y
actualiza la lista de miembros de su grupo.
Para registrar una nueva direccin IP y etiquetas o cambios en las direcciones IP o etiquetas actuales,
debe usar secuencias de comandos que activen la API XML en el cortafuegos. Si dispone de un
entorno virtual con VMware, en lugar de usar secuencias de comandos para activar la API XML,
puede usar la funcin Orgenes de informacin de VM (pestaa Dispositivo > Orgenes de
informacin de VM ) para configurar el cortafuegos de modo que supervise el host ESX(i) o
vCenterServer y recuperar informacin (direccin de red y etiquetas correspondientes) de nuevos
servidores/invitados implementados en estas mquinas virtuales.
Para usar un grupo de direcciones dinmicas en la poltica, debe realizar las siguientes tareas.
Defina un grupo de direcciones dinmicas y haga referencia al mismo en la regla de poltica.
Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan
formarse los grupos de direcciones dinmicas. Esto se puede hacer usando secuencias de
comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware
configurando en la pestaa Dispositivo > Orgenes de informacin de VM en el cortafuegos.
Los grupos de direcciones dinmicas tambin pueden incluir objetos de direcciones definidas estticamente. Si crea un
objeto de direccin y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinmicas, este incluir
todos los objetos estticos y dinmicos que coincidan con las etiquetas. Por lo tanto, puede usar etiquetas para agrupar
objetos tanto dinmicos como estticos en el mismo grupo de direcciones.
Grupos de direcciones estticas: Un grupo de direcciones estticas puede incluir objetos de direccin
que sean estticas, grupos de direcciones dinmicas o puede ser una combinacin de objetos de
direccin y grupos de direcciones dinmicas.
Para crear un grupo de direcciones, haga clic en Aadir y cumplimente los siguientes campos.
Palo Alto Networks
Tabla 154. Grupo de direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe el grupo de direcciones (de hasta 63

caracteres). Este nombre aparece en la lista de direcciones cuando se definen
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
Compartido
Seleccione esta casilla de verificacin si quiere que el grupo de direcciones est

disponible para:
seleccin de la casilla de verificacin, el grupo de direcciones nicamente
estar disponible para el Sistema virtual seleccionado en la pestaa Objetos.
de verificacin, el grupo de direcciones nicamente estar disponible para el

creen copias locales del grupo de direcciones en grupos de dispositivos
descendientes cancelando sus valores heredados. La casilla de verificacin no
est seleccionada de manera predeterminada, lo que significa que la
cancelacin est habilitada.
Descripcin
Introduzca una descripcin del objeto (hasta 255 caracteres).
Tipo
Seleccione Esttico o Dinmico.

Para usar un grupo de direcciones dinmicas, use el criterio de coincidencia
para incluir los miembros en el grupo. Defina el criterio Coincidencia usando
los operadores Y u O.
Nota: Para ver la lista de atributos del criterio de coincidencia, debe haber configurado
el cortafuegos para acceder y recuperar los atributos desde el origen/host. Cada mquina
virtual en el origen de informacin configurado se registra en el cortafuegos, que puede
realizar un sondeo de la mquina para recuperar cambios en direcciones IP o en la
configuracin sin modificaciones en el cortafuegos.
Para un grupo de direcciones estticas, haga clic en Aadir y seleccione una o
ms direcciones. Haga clic en Aadir para aadir un objeto o un grupo de
direcciones al grupo de direcciones. El grupo puede contener objetos de
direcciones y grupos de direcciones tanto estticas como dinmicas.
Etiquetas
Palo Alto Networks
Seleccione o introduzca etiquetas que desee aplicar a este grupo de direcciones.

Si desea ms informacin sobre etiquetas, consulte Etiquetas.
Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras regiones.
La regin est disponible como una opcin si especifica el origen y el destino de las polticas de seguridad,
polticas de descifrado y polticas DoS. Puede elegir entre una lista estndar de pases o usar los ajustes de
regin que se describen en esta regin, para definir las regiones personalizadas que se incluirn como
opciones para reglas de poltica de seguridad.
Las siguientes tablas describen la configuracin regional:
Tabla 155. Configuracin de nuevas regiones

Campo
Descripcin
Nombre
Introduzca un nombre que describe la regin (de hasta 31 caracteres).

Este nombre aparece en la lista de direcciones cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.
Ubicacin geogrfica
Para especificar la latitud y la longitud, seleccione la casilla de verificacin y los

valores (formato xxx.xxxxxx). Esta informacin se utiliza en los mapas de
trfico y amenazas de Appscope. Consulte Uso de Appscope.
Direcciones
Especifique una direccin IP, un intervalo de direcciones IP o una subred para

identificar la regin, utilizando cualquiera de los siguientes formatos:
x.x.x.x
x.x.x.x-a.a.a.a
x.x.x.x/n
Palo Alto Networks
Aplicaciones
Objetos > Aplicaciones
Qu est buscando?
Consulte
Comprender los ajustes y

atributos de aplicaciones que
aparecen en la pgina
Aplicaciones.
Descripcin general de aplicaciones
Aadir una nueva aplicacin

o modificar una existente.
Definicin de aplicaciones
Descripcin general de aplicaciones

La pgina Aplicaciones muestra los diferentes atributos de cada definicin de aplicacin, como el riesgo
de seguridad relativo de la aplicacin (1 a 5). El valor del riesgo se basa en criterios como si la aplicacin
puede compartir archivos, si es proclive a un uso incorrecto o a intentos de evasin de cortafuegos.
Los valores mayores indican un mayor riesgo.
El rea superior de navegacin de la aplicacin de la pgina muestra los atributos que puede utilizar para
filtrar la vista de la manera siguiente. El nmero a la izquierda de cada entrada representa el nmero total
de aplicaciones con ese atributo.
Las publicaciones semanales de contenido incluyen peridicamente nuevos

descodificadores y contextos para los que puede desarrollar firmas.
Palo Alto Networks
Puede realizar cualquiera de las siguientes funciones en esta pgina:
Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base para el
filtrado. Por ejemplo, para restringir la lista a la categora de colaboracin, haga clic en colaboracin y
la lista solamente mostrar las aplicaciones de esta categora.
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado es sucesivo:
en primer lugar se aplican los filtros Categora, a continuacin los filtros Subcategora, Tecnologa y
Riesgo y, finalmente, los filtros Caracterstica. Por ejemplo, si aplica un filtro Categora, Subcategora y
Riesgo, la columna Tecnologa se restringe automticamente a las tecnologas coherentes con la
categora y la subcategora seleccionadas, aunque no se haya aplicado un filtro Tecnologa de manera
explcita. Cada vez que aplique un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualizar automticamente. Visualice todos los filtros guardados en Objetos > Filtros de aplicacin.
Para buscar una aplicacin concreta, introduzca el nombre o descripcin de la aplicacin en el campo
Bsqueda y pulse Intro. Se mostrar la aplicacin y las columnas de filtrado se actualizarn con las
estadsticas de las aplicaciones que coinciden con la bsqueda.
Una bsqueda incluye cadenas parciales. Cuando defina polticas de seguridad, puede escribir reglas
que se aplicarn a todas las aplicaciones que coincidan con un filtro guardado. Estas reglas se
actualizan dinmicamente cuando se aade una nueva aplicacin mediante una actualizacin de
contenido que coincida con el filtro.
Puede Deshabilitar una aplicacin (o varias aplicaciones) para que la firma de aplicacin no coincida
con el trfico. Las reglas de seguridad definidas para bloquear, permitir o forzar una aplicacin
coincidente no se aplican al trfico de la aplicacin cuando la aplicacin est deshabilitada. Puede
decidir deshabilitar una aplicacin que est incluida con una nueva versin de publicacin de
contenido porque la implementacin de la poltica de la aplicacin podra cambiar cuando la
aplicacin est identificada de manera exclusiva. Por ejemplo, una aplicacin identificada como
trfico de exploracin web est permitida por el cortafuegos antes de una nueva instalacin de versin
de contenido; despus de instalar la actualizacin de contenido, la aplicacin identificada de manera
exclusiva ya no coincide con la regla de seguridad que permite el trfico de exploracin web. En este
caso, podra decidir deshabilitar la aplicacin para que el trfico que coincida con la firma de
aplicacin siga estando clasificado como trfico de exploracin web y est permitido.
Seleccione una aplicacin deshabilitada y seleccione Habilitar la aplicacin para que pueda
implementarse de acuerdo con sus polticas de seguridad configuradas.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el sistema
virtual de destino en la lista desplegable Destino.
Palo Alto Networks
Para exportar una aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
Seleccione Polticas de revisin para evaluar la implementacin basada en polticas para aplicaciones
antes y despus de instalar una versin de publicacin de contenido. Utilice el cuadro de dilogo
Polticas de revisin para revisar el impacto de la poltica en las nuevas aplicaciones incluidas en una
versin de publicacin de contenido descargada. El cuadro de dilogo Revisin de polticas le permite
aadir o eliminar una aplicacin pendiente (una aplicacin que se descarga con una versin de
publicacin de contenido pero no se instala en el cortafuegos) desde o hacia una poltica de seguridad
existente; los cambios en polticas para aplicaciones pendientes no tienen efecto hasta que no se instala
la versin de publicacin de contenido correspondiente. Tambin puede acceder al cuadro de dilogo
Revisin de polticas al descargar e instalar versiones de publicacin de contenido en la pgina
Dispositivo > Actualizaciones dinmicas.
Para ver detalles adicionales sobre la aplicacin o personalizar el riesgo y los valores de tiempo de
espera, como se describe en la siguiente tabla, haga clic en el nombre de la aplicacin. Un lpiz
amarillo sobre el icono que aparece a la izquierda del nombre de la aplicacin significa que la
aplicacin se ha personalizado. Observe que los ajustes disponibles varan de una aplicacin a otra.
Las siguientes tablas describen la configuracin de la aplicacin:
Tabla 156. Detalles de la aplicacin

Elemento
Descripcin
Nombre
Nombre de la aplicacin.
Descripcin
Descripcin de la aplicacin (hasta 255 caracteres).
Informacin adicional
Enlaces a sitios web (Wikipedia, Google o Yahoo!) que contienen ms

informacin sobre la aplicacin.
Puertos estndar
Puertos que utiliza la aplicacin para comunicarse con la red.
Depende de
Lista de otras aplicaciones necesarias para el funcionamiento de esta aplicacin.

Al crear una regla de poltica para permitir la aplicacin seleccionada, tambin
debe asegurarse de permitir otras aplicaciones de las que dependa la
aplicacin.
Usa implcitamente
Otras aplicaciones de las que depende la aplicacin seleccionada pero que no

necesita aadir a sus reglas de poltica de seguridad para permitir la aplicacin
seleccionada porque dichas aplicaciones son compatibles de manera implcita.
Identificado anteriormente
como
Para nuevos App-ID, o App-ID que han cambiado, esto indica cmo se
identificaba anteriormente la aplicacin. Esto le ayuda a evaluar si se requieren
cambios de poltica en funcin de los cambios en la aplicacin. Si un App-ID
est deshabilitado, las sesiones asociadas a esa aplicacin coincidirn con la
poltica como la anteriormente identificada como aplicacin. De igual modo,
los App-ID deshabilitados aparecern en los logs como la aplicacin como se
identificaban anteriormente.
Denegar accin
Los App-ID se desarrollan con una accin de denegacin predeterminada que

determina cmo responde el cortafuegos cuando la aplicacin se incluye en una
regla de seguridad con una accin de denegacin. La accin de denegacin
predeterminada puede especificar un descarte silencioso o un restablecimiento
de TCP. Puede cancelar esta accin predeterminada en la poltica de seguridad.
Caracterstica
Evasiva
Utiliza un puerto o protocolo para cualquier cosa menos su propsito inicial

con la intencin de atravesar un cortafuegos.
Ancho de banda excesivo
Consume al menos 1 Mbps con regularidad en uso normal.
Palo Alto Networks
Tabla 156. Detalles de la aplicacin (Continuacin)

Elemento
Descripcin
Proclive al uso indebido
Habitualmente utilizada para fines nefarios o fcilmente establecida para llegar

ms all de las intenciones del usuario.
En el cortafuegos, el software como servicio (SaaS) se caracteriza como un
servicio en el que el software y la infraestructura son propiedad y estn
gestionados por el proveedor de servicios de aplicaciones pero en el que
conserva el control completo sobre los datos, incluido quin puede crear,
compartir y transferir los datos, as como acceder a ellos.
SaaS
Recuerde que en el contexto de cmo se caracteriza una aplicacin, las

aplicaciones SaaS difieren de los servicios web. Los servicios web son
aplicaciones alojadas en las que el usuario no posee los datos (por ejemplo,
Pandora) o donde el servicio est compuesto principalmente de datos
compartidos proporcionados por numerosos suscriptores con fines sociales
(por ejemplo, LinkedIn, Twitter o Facebook).
Archivos de transaccin
Tiene la capacidad de transferir un archivo de un sistema a otro a travs de

una red.
Tuneliza otras aplicaciones
Puede incluir otras aplicaciones en su protocolo.
Utilizada por software

malintencionado
El software malintencionado es conocido por utilizar la aplicacin con fines de

propagacin, ataque o robo de datos o se distribuye con software
malintencionado.
Vulnerabilidades
Ha informado pblicamente de vulnerabilidades.
Ampliamente utilizado
Probablemente cuente con ms de 1.000.000 de usuarios.
Continuar buscando otras

aplicaciones
Indica al cortafuegos que debe seguir intentando buscar coincidencias con otras
firmas de aplicaciones. Si no selecciona esta opcin, el cortafuegos dejar de
buscar coincidencias de aplicaciones adicionales despus de la primera firma
coincidente.
Categora
La categora de la aplicacin ser una de las siguientes:
sistemas empresariales
colaboracin
internet general
multimedia
redes
desconocido
Subcategora
Subcategora en la que se clasifica la aplicacin. Las diferentes categoras tienen
diferentes subcategoras asociadas a ellas. Por ejemplo, las subcategoras de la
categora colaboracin incluyen correo electrnico, intercambio de archivos,
mensajera instantnea, videoconferencia por Internet, empresas sociales, redes
sociales, voip y vdeo y publicacin web. No obstante, las subcategoras de la
categora sistemas empresariales incluyen servicio de autenticacin, base de
datos, erp-crm, empresa general, gestin, programas de oficina, actualizacin
de software y copia de seguridad de almacenamiento.
Tecnologa
basado en explorador
Una aplicacin que se basa en un explorador web para funcionar.
servidor cliente
Una aplicacin que utiliza un modelo de servidor cliente donde uno o ms

clientes se comunican con un servidor en la red.
Palo Alto Networks

Elemento
Descripcin
protocolo de red
Una aplicacin que se utiliza generalmente para la comunicacin entre sistemas y

que facilita la operacin de red. Eso incluye la mayora de los protocolos de IP.
punto a punto
Una aplicacin que se comunica directamente con otros clientes para transferir
informacin en vez de basarse en un servidor central para facilitar la
comunicacin.
Riesgo
Riesgo asignado de la aplicacin.
Para personalizar este ajuste, haga clic en el enlace Personalizar e introduzca
un valor (1-5), y haga clic en ACEPTAR.
Opciones
Tiempo de espera de sesin
Perodo de tiempo, en segundos, necesario para agotar el tiempo de espera por

inactividad (el intervalo es de 1-604800 segundos). Este tiempo de espera es
para protocolos diferentes a TCP o UDP. En el caso de TCP y UDP, consulte las
siguientes filas de esta tabla.
Para personalizar este ajuste, haga clic en el enlace Personalizar introduzca un
valor y haga clic en Aceptar.
Tiempo de espera, en segundos, para finalizar un flujo de aplicacin TCP (el
intervalo es de 1-604800).
Tiempo de espera de TCP

(segundos)
Tiempo de espera de UDP

(segundos):
TCP semicerrado (segundos)

Un valor de 0 indica que se utilizar el temporizador de sesin global, que es
3600 segundos para TCP.
Tiempo de espera, en segundos, para finalizar un flujo de aplicacin UDP (el
intervalo es de 1-604800 segundos).
Tiempo mximo, en segundos, que una sesin permanece en la tabla de la
sesin entre la recepcin del primer paquete FIN y la recepcin del segundo
paquete FIN o RST. Cuando el temporizador caduca, la sesin se cierra (el
intervalo es de 1-604800).
Valor predeterminado: Si este temporizador no est configurado en el nivel de
aplicacin, se utiliza el ajuste global.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global TCP
semicerrado.
Palo Alto Networks

Elemento
Tiempo de espera TCP

(segundos)
Descripcin
Tiempo mximo, en segundos, que una sesin permanece en la tabla de la
sesin despus de la recepcin del segundo paquete FIN o un paquete RST.
Cuando el temporizador caduca, la sesin se cierra (el intervalo es de 1-600).
aplicacin, se utiliza el ajuste global.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
Tiempo de espera TCP.
App-ID habilitado
Indica si App-ID est habilitado o deshabilitado. Si un App-ID est

deshabilitado, el trfico de esa aplicacin se tratar como el App-ID Identificado
anteriormente como tanto en la poltica de seguridad como en los logs. En el caso
de aplicaciones aadidas tras la versin de publicacin de contenido 490, tendr
la capacidad de deshabilitarlos mientras revisa el impacto de la poltica de la
nueva aplicacin. Tras revisar la poltica, puede decidir Habilitar el App-ID.
Tambin tiene la capacidad de Deshabilitar una aplicacin que haya habilitado
anteriormente. En un cortafuegos de vsys mltiples, puede deshabilitar varios
App-ID por separado en cada sistema virtual.
Si el cortafuegos no puede identificar una aplicacin utilizando el App-ID, el trfico se clasifica como
desconocido: TCP desconocido o UDP desconocido. Este comportamiento se aplica a todas las
aplicaciones desconocidas, excepto aquellas que emulan HTTP completamente. Para obtener ms
informacin, consulte Trabajo con informes de Botnet.
Puede crear nuevas definiciones para aplicaciones desconocidas y a continuacin, definir polticas de
seguridad para las nuevas definiciones de la aplicacin. Adems, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creacin de
Palo Alto Networks
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir una nueva aplicacin a la evaluacin del cortafuegos cuando
aplique polticas.
Tabla 157. Configuracin de nuevas aplicaciones

Campo
Descripcin
Pestaa
Configuracin
Nombre
Introduzca el nombre de la aplicacin (de hasta 31 caracteres). Este nombre

aparece en la lista de aplicaciones cuando se definen polticas de seguridad. El
Utilice nicamente letras, nmeros, espacios, puntos, guiones y guiones bajos.
El primer carcter debe ser una letra.
Compartido
Seleccione esta casilla de verificacin si quiere que la aplicacin est disponible

para:
seleccin de la casilla de verificacin, la aplicacin nicamente estar
disponible para el Sistema virtual seleccionado en la pestaa Objetos.
de verificacin, la aplicacin nicamente estar disponible para el Grupo de
dispositivos seleccionado en la pestaa Objetos.

creen copias locales de la aplicacin en grupos de dispositivos descendientes
cancelando sus valores heredados. La casilla de verificacin no est
seleccionada de manera predeterminada, lo que significa que la cancelacin est
habilitada.
Descripcin
Introduzca una descripcin de la aplicacin como referencia general (hasta 255

caracteres).
Categora
Seleccione la categora de la aplicacin, como correo electrnico o base de datos.

Esta categora se utiliza para generar el grfico Diez categoras de aplicacin
principales y est disponible para su filtrado (consulte Centro de control de
aplicaciones).
Subcategora
Seleccione la subcategora de la aplicacin, como correo electrnico o base de

datos. Esta subcategora se utiliza para generar el grfico Diez categoras de
aplicacin principales y est disponible para su filtrado (consulte Centro de
control de aplicaciones).
Tecnologa
Seleccione la tecnologa de la aplicacin.
Aplicacin primaria
Especifique una aplicacin principal para esta aplicacin. Este ajuste se aplica
cuando en una sesin coinciden las aplicaciones principal y personalizadas; sin
embargo, se registra la aplicacin personalizada porque es ms especfica.
Riesgo
Seleccione el nivel de riesgo asociado con esta aplicacin (1= el ms bajo a 5= el

ms alto).
Caractersticas
Seleccione las caractersticas de la aplicacin que pueden poner en riesgo la

aplicacin. Para ver una descripcin de cada caracterstica, consulte
Caracterstica.
Palo Alto Networks
Tabla 157. Configuracin de nuevas aplicaciones (Continuacin)

Campo
Descripcin
Pestaa Avanzada
Puerto
Si el protocolo que utiliza la aplicacin es TCP y/o UDP, seleccione Puerto e

introduzca una o ms combinaciones del protocolo y nmero de puerto (una
entrada por lnea). El formato general es:
<protocolo>/<puerto>
donde <puerto> es un nmero de puerto nico; o dinmica para una asignacin
dinmica de puertos.
Ejemplos: TCP/dinmica o UDP/32.
Este ajuste se aplica si utiliza app-default en la columna Service de una regla de
seguridad.
Protocolo IP
Especifique un protocolo IP diferente a TCP o UDP, seleccionando Protocolo IP

e introduciendo el nmero del protocolo (1 a 255).
Tipo de ICMP
Especifique un tipo de protocolo de mensajes de control de Internet versin 4

(ICMP), seleccionando Tipo de ICMP e introduciendo el nmero
(intervalo 0-255).
Tipo de ICMP6
Especifique un tipo de protocolo de mensajes de control de Internet versin 6

(ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el nmero
(intervalo 0-255).
Ninguno
Especifique firmas independientes de protocolo, seleccionando Ninguno.
Tiempo de espera
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de

una aplicacin (intervalo 0-604800 segundos). Un valor de cero indica que se
utilizar el tiempo de espera predeterminado de la aplicacin. Este valor se
utiliza para protocolos diferentes de TCP y UDP en todos los casos y para
tiempos de espera TCP y UDP cuando no se especifican los tiempos de espera
TCP y UDP.
Tiempo de espera de
TCP

una aplicacin TCP (intervalo 0-604800 segundos). Un valor de cero indica que
se utilizar el tiempo de espera predeterminado de la aplicacin.
Tiempo de espera de
UDP

una aplicacin UDP (intervalo 0-604800 segundos). Un valor de cero indica que
se utilizar el tiempo de espera predeterminado de la aplicacin.
TCP semicerrado
Introduzca el tiempo mximo que una sesin permanece en la tabla de la sesin

entre la recepcin del primer FIN y la recepcin del segundo FIN o RST.
Cuando el temporizador caduca, la sesin se cierra.
aplicacin, se utiliza el ajuste global. El rango es 1h604800 segundos.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global TCP
semicerrado.
Tiempo de espera TCP
Introduzca el tiempo mximo que una sesin permanece en la tabla de la sesin

despus de la recepcin del segundo FIN o RST. Cuando el temporizador
caduca, la sesin se cierra.
aplicacin, se utiliza el ajuste global. El rango es 1-600 segundos.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
Tiempo de espera TCP.
Palo Alto Networks
Tabla 157. Configuracin de nuevas aplicaciones (Continuacin)

Campo
Descripcin
Analizando
Seleccione las casillas de verificacin de los tipos de anlisis que desee permitir,
en funcin de los perfiles de seguridad (tipos de archivos, patrones de datos y
virus).
Pestaa Firma
Firmas
Haga clic en Aadir para agregar una firma nueva y especificar la siguiente
informacin:
Nombre de firma: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual nicamente o a la sesin completa del usuario.
Importa el orden de las condiciones: Seleccione si el orden en que se definen
las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga
clic en Aadir condicin.
Seleccione un operador entre Coincidencia de patrones e Igual que. Si selecciona el operador Coincidencia de patrones, especifique las siguientes
opciones:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 163 para ver
reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Si selecciona el operador Igual que, especifique las siguientes opciones:
Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o
UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos cuatro en la
carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Para mover una condicin en un grupo, seleccione la condicin y haga clic en el
flecha Mover hacia arriba o Mover hacia abajo. Para mover un grupo, seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo.
No puede mover condiciones de un grupo a otro.
No es necesario especificar firmas para la aplicacin si la aplicacin se utiliza

nicamente para reglas de cancelacin de aplicacin.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el sistema virtual
de destino en la lista desplegable Destino.
Para exportar la aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en Exportar.
Siga las instrucciones para guardar el archivo.
Palo Alto Networks
Definicin de grupos de aplicaciones

Objetos > Grupos de aplicaciones
Para simplificar la creacin de polticas de seguridad, las aplicaciones que requieren los mismos ajustes de
seguridad se pueden combinar en un grupo de aplicaciones. (Para definir una nueva aplicacin, consulte
Definicin de aplicaciones.)
Tabla 158. Nuevo grupo de aplicaciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe el grupo de aplicaciones (de hasta

31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se
definen polticas de seguridad. El nombre hace distincin entre
Compartido
Seleccione esta casilla de verificacin si quiere que el grupo de

aplicaciones est disponible para:
Cada sistema virtual (vsys) de un cortafuegos de vsys mltiples. Si
cancela la seleccin de la casilla de verificacin, el grupo de
aplicaciones nicamente estar disponible para el Sistema virtual
seleccionado en la pestaa Objetos.
casilla de verificacin, el grupo de aplicaciones nicamente estar
Objetos.

administradores creen copias locales del grupo de aplicaciones en grupos
de dispositivos descendientes cancelando sus valores heredados.
La casilla de verificacin no est seleccionada de manera
predeterminada, lo que significa que la cancelacin est habilitada.
Aplicaciones
Haga clic en Aadir y seleccione las aplicaciones, filtros de aplicaciones

y/o grupos de aplicaciones diferentes que se incluirn en este grupo.
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir filtros de
aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e introduzca el nombre del
filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para el filtrado.
Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Palo Alto Networks
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas de
verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros Categora, a continuacin los
filtros Subcategora, Tecnologa y Riesgo y, finalmente, los filtros Caracterstica.
Por ejemplo, la siguiente ilustracin muestra el resultado de seleccionar un filtro Categora, Subcategora y
Riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa se restringe automticamente a las
tecnologas que cumplen los requisitos de la categora y subcategora seleccionadas, aunque no se haya
aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno o ms servicios
para limitar el nmero de puertos que las aplicaciones pueden utilizar. El servicio predeterminado es
Cualquiera, quepermite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones de servicios.
Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la
creacin de polticas de seguridad (consulte Grupos de servicios).
Palo Alto Networks
La siguiente tabla describe la configuracin del servicio:
Tabla 159. Configuracin de servicios

Campo
Descripcin
Nombre
Introduzca el nombre del servicio (de hasta 63 caracteres). Este nombre

aparece en la lista de servicios cuando se definen polticas de seguridad.
guiones bajos.
Descripcin
Introduzca una descripcin del servicio (hasta 255 caracteres).
Compartido
Seleccione esta casilla de verificacin si quiere que el objeto de servicio

Si cancela la seleccin de la casilla de verificacin, el objeto de servicio
pestaa Objetos.
casilla de verificacin, el objeto de servicio nicamente estar
Objetos.

administradores creen copias locales del objeto de servicio en grupos de
Protocolo
Seleccione el protocolo que utiliza el servicio (TCP o UDP).
Puerto de destino
Introduzca el nmero de puerto de destino (0 a 65535) o el intervalo de

nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de destino es obligatorio.
Puerto de origen
Introduzca el nmero de puerto de origen (0 a 65535) o el intervalo de

nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de origen es opcional.
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los mismos ajustes
de seguridad en grupos de servicios. Para definir nuevos servicios, consulte Servicios.
La siguiente tabla describe la configuracin del grupo de servicios:
Tabla 160. Configuracin de grupos de servicios

Campo
Descripcin
Nombre
Introduzca el nombre del grupo de servicios (de hasta 63 caracteres).

Este nombre aparece en la lista de servicios cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas
Palo Alto Networks
Tabla 160. Configuracin de grupos de servicios (Continuacin)

Campo
Descripcin
Compartido
Seleccione esta casilla de verificacin si quiere que el grupo de servicios

Si cancela la seleccin de la casilla de verificacin, el grupo de servicios
pestaa Objetos.
casilla de verificacin, el grupo de servicios nicamente estar
Objetos.

administradores creen copias locales del grupo de servicios en grupos de
Servicio
Haga clic en Aadir para agregar servicios al grupo. Realice su seleccin

en la lista desplegable o haga clic en Servicio, en el enlace en la parte
inferior de la lista desplegable y especifique la configuracin. Consulte
Servicios para obtener una descripcin de la configuracin.
Etiquetas
Objetos > Etiquetas
Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Las etiquetas pueden aplicarse a
objetos de direccin, grupos de direcciones (estticas y dinmicas), zonas, servicios, grupos de servicios y
reglas de polticas. Puede utilizar una etiqueta para ordenar o filtrar objetos y para distinguir objetos
visualmente debido a que pueden tener color. Al aplicar un color a una etiqueta, la pestaa Poltica
muestra el objeto con un color de fondo.
Qu desea saber?
Consulte
Cmo puedo crear etiquetas?
Crear etiquetas
Qu es el explorador de
etiquetas?
Uso del explorador de etiquetas
Cmo puedo buscar reglas que

estn etiquetadas?
Gestin de etiquetas
Cmo puedo agrupar reglas

utilizando etiquetas?
Cmo puedo ver etiquetas
utilizadas en una poltica?
Cmo puedo aplicar etiquetas a
una poltica?
Desea obtener ms
informacin?
Palo Alto Networks
Consulte Policy (en ingls).
Crear etiquetas
Objetos > Etiquetas
Utilice esta pestaa para crear una etiqueta, asignar un color y eliminar, renombrar y duplicar etiquetas.
Cada objeto puede tener hasta 64 etiquetas; cuando un objeto tiene varias etiquetas, muestra el color de la
primera etiqueta aplicada.
En el cortafuegos, la pestaa Objetos > Etiquetas muestra las etiquetas que define localmente en el cortafuegos o
enva desde Panorama al cortafuegos; en Panorama, muestra las etiquetas que define en Panorama. Esta pestaa no
muestra las etiquetas que se recuperan dinmicamente de las fuentes de informacin de VM definidas en el
cortafuegos para formar grupos de direcciones dinmicas, o etiquetas que se definen utilizando la API XML.
Cuando crea una nueva etiqueta, la etiqueta se crea automticamente en el sistema virtual o grupo de
dispositivos seleccionado actualmente en el cortafuegos o Panorama.
Aada una etiqueta: Para aadir una nueva pestaa, haga clic en Aadir y, a continuacin,
cumplimente los siguientes campos:
Tabla 161. Configuracin de etiqueta

Campo
Descripcin
Nombre
Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres).

El nombre no distingue entre maysculas y minsculas.
Compartido
Seleccione esta casilla de verificacin si quiere que la etiqueta est

disponible para:
Si cancela la seleccin de la casilla de verificacin, la etiqueta
pestaa Objetos.
casilla de verificacin, la etiqueta nicamente estar disponible para el

administradores creen copias locales de la etiqueta en grupos de
Color
Seleccione un color de la paleta de colores de la lista desplegable. El valor

predeterminado es Ninguno.
Comentarios
Aada una etiqueta o descripcin para recordar la funcin de la etiqueta.
Tambin puede crear una nueva etiqueta cuando cree o edite una poltica en la pestaa Polticas.
La etiqueta se crea automticamente en el grupo de dispositivos o sistema virtual seleccionado
actualmente.
Edite una etiqueta: Para editar, renombrar o asignar un color a una etiqueta, haga clic en el nombre de
etiqueta que aparezca como enlace y modifique los ajustes.
Elimine una etiqueta: Para eliminar una etiqueta, haga clic en Eliminar y seleccione la etiqueta en la
ventana.
Palo Alto Networks
Traslade o duplique una etiqueta: La opcin de trasladar o clonar una etiqueta le permite copiar una
etiqueta o trasladarla a un grupo de dispositivos o sistema virtual diferente en dispositivos
habilitados para varios sistemas virtuales.
Haga clic en Duplicar o Mover y seleccione la etiqueta en la ventana. Seleccione la ubicacin de
Destino (grupo de dispositivos o sistema virtual) de la etiqueta. Cancele la seleccin de la casilla de
verificacin Error en el primer error detectado en la validacin si desea que el proceso de validacin
detecte todos los errores del objeto antes de mostrar los errores. De manera predeterminada, la casilla
de verificacin est habilitada y el proceso de validacin se detiene cuando se detecta el primer error y
solamente muestra ese error.
Cancele o revierta una etiqueta (solamente en Panorama): La opcin Cancelar est disponible si no
seleccion la opcin Deshabilitar anulacin al crear la etiqueta. Le permite cancelar el color asignado a
la etiqueta heredado de un grupo de dispositivos compartido o antecesor. El campo Ubicacin
muestra el grupo de dispositivos actual. Tambin puede seleccionar la opcin Deshabilitar anulacin
para deshabilitar cancelaciones adicionales.
Para deshacer los cambios en una etiqueta, haga clic en Revertir. Cuando revierte una etiqueta, el
campo Ubicacin muestra el grupo de dispositivos o sistema virtual del que se hered la etiqueta.
Uso del explorador de etiquetas

Polticas > Fundamento de la regla (seguridad, NAT, QoS...)
El explorador de etiquetas presenta un resumen de todas las etiquetas utilizadas en una base de reglas
(conjunto de polticas). Le permite ver una lista de todas las etiquetas y el orden en el que se enumeran en
la base de reglas.
Puede ordenar, examinar, buscar y filtrar en busca de una etiqueta especfica, o ver nicamente la primera
etiqueta aplicada a cada regla en la base de reglas.
La tabla siguiente describe las opciones del explorador de etiquetas:
Tabla 162. Uso del explorador de etiquetas

Campo
Descripcin
Etiqueta (n.)
Muestra la etiqueta y el nmero de regla o intervalo de nmeros en los que

la etiqueta se utiliza de manera contigua.
Pase el ratn por encima de la etiqueta para ver la ubicacin en la que se
defini la regla. La ubicacin puede haberse heredado de la ubicacin
Compartido, un grupo de dispositivos o un sistema virtual.
Regla
Enumera el nmero de regla o intervalo de nmeros asociados a las

etiquetas.
Filtrar por primera

etiqueta de la regla
Muestra solamente la primera etiqueta aplicada a cada regla en la base de

reglas, cuando se selecciona.
Esta vista es de especial utilidad si desea acotar la lista y ver reglas
relacionadas que podran estar extendidas en la base de reglas. Por ejemplo,
si la primera etiqueta de cada regla indica su funcin (administracin,
acceso web, acceso al centro de datos, proxy), puede acotar el resultado y
examinar las reglas basndose en su funcin.
Orden de regla
Palo Alto Networks
Clasifica las etiquetas por orden de aparicin en la base de reglas

seleccionada. Cuando se muestran por orden de aparicin, las etiquetas
utilizadas en reglas contiguas se muestran agrupadas. El nmero de regla al
que se asocia la etiqueta se muestra junto con el nombre de la etiqueta.
Tabla 162. Uso del explorador de etiquetas (Continuacin)

Campo
Descripcin
Alfabtico
Clasifica las etiquetas por orden alfabtico en la base de reglas seleccionada.

La pantalla muestra el nombre de etiqueta, el color (si hay un color asignado)
y el nmero de veces que se utiliza en la base de reglas.
La etiqueta Ninguno representa las reglas que no tienen ninguna etiqueta;
no muestra los nmeros de reglas de aquellas reglas no etiquetadas.
Cuando selecciona Ninguno, el panel derecho se filtra para mostrar las
reglas que no tienen ninguna etiqueta asignada.
Borrar
Borra el filtro de las etiquetas seleccionadas actualmente en la barra de

bsquedas.
Barra de bsquedas
Le permite buscar una etiqueta, introducir el trmino y hacer clic en el icono

de flecha verde para aplicar el filtro.
Tambin muestra el nmero total de etiquetas de la base de reglas y el
nmero de etiquetas seleccionadas.
Para conocer otras acciones, consulte Gestin de etiquetas.
Gestin de etiquetas
La siguiente tabla enumera las acciones que puede realizar mediante el explorador de etiquetas.
Gestin de etiquetas
Etiquete una regla.
1.
Seleccione una regla en el panel derecho.
2.
Realice una de las siguientes acciones:

Seleccione una etiqueta en el explorador de etiquetas y, en la lista
desplegable, seleccione Aplicar
etiqueta a las selecciones.
Arrastre y suelte etiquetas desde el explorador de
etiquetas a la columna de etiquetas de la regla.
Cuando suelte las etiquetas, aparecer un cuadro de
dilogo de confirmacin.
Visualice las etiquetas seleccionadas

actualmente.
1.
Seleccione una o ms etiquetas en el explorador de

etiquetas. Las etiquetas se filtran utilizando un
operador OR.
2.
El panel derecho se actualiza para mostrar las reglas

que tengan cualquiera de las etiquetas
seleccionadas.
3.
Para ver las etiquetas seleccionadas actualmente,

pase el ratn por encima de la etiqueta Borrar del
explorador de etiquetas.
Para ver las etiquetas seleccionadas actualmente, pase el

ratn por encima de la etiqueta Borrar del explorador de
etiquetas.
Palo Alto Networks
Gestin de etiquetas
Visualice reglas que coincidan con las
etiquetas seleccionadas.
Puede filtrar reglas en funcin de etiquetas
con un operador AND u OR.
Filtro OR: Para ver reglas que tengan etiquetas

especficas, seleccione una o ms etiquetas en el
explorador de etiquetas. El panel derecho mostrar
solamente las reglas que incluyan las etiquetas
seleccionadas actualmente.
Filtro AND: Para ver reglas que tengan todas las
etiquetas seleccionadas, pase el ratn por encima del
nmero de la columna Regla del explorador de
etiquetas y seleccione Filtro en la lista desplegable.
Repita esta accin para aadir ms etiquetas.
Haga clic en
en la barra de bsquedas del panel
derecho. Los resultados se muestran con un operador
AND.
Elimine la etiqueta de una regla.
Pase el ratn por encima del nmero de la regla en la

columna Regla del explorador de etiquetas y seleccione
Quitar etiquetas a las reglas en la lista desplegable.
Confirme que quiere eliminar la etiqueta seleccionada de
la regla.
Reordene una regla utilizando etiquetas.
Seleccione una o ms etiquetas y pase el ratn por

encima del nmero de la regla en la columna Regla del
explorador de etiquetas y seleccione Mover reglas en la
lista desplegable.
Seleccione una etiqueta de la lista desplegable en la
ventana para mover reglas y seleccione si desea aplicar la
opcin Mover antes de o Mover despus de con
respecto a la etiqueta seleccionada en la lista desplegable.
Aada una nueva regla que aplique las

etiquetas seleccionadas.
Seleccione una o ms etiquetas, pase el ratn por encima

del nmero de la regla en la columna Regla del
explorador de etiquetas y seleccione Aadir nueva regla
en la lista desplegable.
El orden numrico de la nueva regla vara dependiendo
de si seleccion una regla en el panel derecho. Si no se ha
seleccionado ninguna regla en el panel derecho, la nueva
regla se aadir despus de la regla a la que pertenezcan
las etiquetas seleccionadas. De lo contrario, la nueva
regla se aadir despus de la regla seleccionada.
Busque una etiqueta.
Palo Alto Networks
En el explorador de etiquetas, introduzca las primeras

letras del nombre de la etiqueta que quiera buscar y haga
clic en
. Aparecern las etiquetas que coincidan con
el texto que ha introducido.
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea someter al
filtrado mediante polticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cmo
configurar patrones de datos, consulte Definicin de patrones de datos.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes, pero no menos.
La coincidencia de cadena puede o no distinguir entre maysculas y minsculas, dependiendo del
descodificador que se est utilizando. Cuando sea necesario distinguir entre maysculas y
minsculas, deber definir patrones de todas las cadenas posibles para hallar coincidencias de todas
las variaciones de un trmino. Por ejemplo, si desea encontrar coincidencias de documentos
denominados como confidenciales, deber crear un patrn para confidencial, Confidencial y
CONFIDENCIAL.
La sintaxis de expresin regular en PAN-OS es similar a la de los motores de expresiones regulares
tradicionales, pero cada motor es nico. La tabla siguiente describe la sintaxis compatible con PAN-OS.
Tabla 163. Reglas de patrones

Sintaxis
Descripcin
Busca cualquier carcter nico.
Busca el carcter o la expresin anterior 0 o 1 veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)?
Busca el carcter o la expresin anterior 0 o ms veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)*
Busca el carcter o la expresin anterior una o ms veces. La expresin general DEBE

estar entre parntesis.
Ejemplo: (abc)+
Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.
Se utiliza para crear expresiones de intervalo.

Ejemplo: [c-z] busca cualquier carcter entre c y z, ambos inclusive.
[]
Busca cualquier carcter.

Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.
Busca cualquier carcter excepto.

Ejemplo: [^abz] busca cualquier carcter excepto a, b, o z.
{}
Nmero mnimo/mximo de bytes.

Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite -.
Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).
&amp
& es un carcter especial, por lo que para buscar & en una cadena debe utilizar &amp.
Palo Alto Networks
Ejemplos de patrones de datos

A continuacin se incluyen algunos ejemplos de patrones personalizados vlidos:
.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
Dependiendo de los requisitos de distincin entre maysculas y minsculas del descodificador,
puede que esto no coincida con confidencial (todo en minsculas)
.*((Privado &amp Confidencial)|(Privado y Confidencial))

Busca Privado & Confidencial o Privado y Confidencial
Es ms preciso que buscar Confidencial
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra borrador, lo que
puede indicar que el comunicado de prensa no est preparado an para ser emitido.
.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad
Listas de bloqueos dinmicos

Objetos > Listas de bloqueos dinmicos
Utilice la pgina Listas de bloqueos dinmicos para crear un objeto de direccin basado en una lista
importada de direcciones IP. Debe crear esta lista como archivo de texto y guardarla en un servidor web al
que el cortafuegos pueda acceder y que pueda importar; el cortafuegos utilizar el puerto de gestin para
recuperar esta lista.
Puede configurar el cortafuegos para que actualice automticamente la lista del dispositivo cada hora, da,
semana o mes. Una vez haya creado un objeto de lista de bloqueo dinmico, puede utilizar el objeto de la
direccin en los campos de origen y destino en las polticas de seguridad.
Se admite un mximo de diez listas de bloqueos dinmicos en la mayora de las plataformas; las
excepciones son los cortafuegos de las series PA-5000 y PA-7000, que admiten hasta 50 listas. Cada lista
puede contener hasta 5.000 direcciones IP (IPv4 y/o IPv6), que pueden incluir intervalos y/o subredes de
IP. La lista debe contener una direccin IP, intervalo o subred por lnea. A continuacin se incluyen varios
ejemplos:
Direccin IP nica:
IPv4: 192.168.80.150/32
IPv6: 2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de
direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
IPv4: 192.168.80.0/24 indica todas las direcciones de 192.168.80.0 a 192.168.80.255
IPv6: 2001:db8:123:1::1 - 2001:db8:123:1::22
Palo Alto Networks
La siguiente tabla describe la configuracin de lista de bloqueadas dinmicas:
Tabla 164 Listas de bloqueos dinmicos

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la lista de bloqueos

dinmicos (de hasta 32 caracteres). Este nombre aparecer
cuando seleccione el origen o el destino de una poltica.
Compartido
Seleccione esta casilla de verificacin si quiere que la lista de

bloqueos dinmicos est disponible para:
Cada sistema virtual (vsys) de un cortafuegos de vsys mltiples. Si cancela la seleccin de la casilla de verificacin, la lista
de bloqueos dinmicos nicamente estar disponible para el
Sistema virtual seleccionado en la pestaa Objetos.
Cada grupo de dispositivos en Panorama. Si cancela la seleccin de la casilla de verificacin, la lista de bloqueos dinmicos
nicamente estar disponible para el Grupo de dispositivos

administradores creen copias locales de la lista de bloqueos
dinmicos en grupos de dispositivos descendientes cancelando
sus valores heredados. La casilla de verificacin no est
seleccionada de manera predeterminada, lo que significa que la
cancelacin est habilitada.
Descripcin
Introduzca una descripcin de la lista de bloqueos dinmicos

(hasta 255 caracteres).
Origen
Introduzca una ruta URL HTTP o HTTPS que contenga el archivo

de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.
Repetir
Especifique la frecuencia en la que la lista se debe importar.

Puede elegir cada hora, da, semana o mes. En el intervalo
especificado, la lista se importar a la configuracin. No es
necesario realizar una compilacin completa para que este tipo
de actualizacin tenga lugar.
Probar URL de origen

(solamente cortafuegos)
Comprueba que la URL de origen o la ruta del servidor est

disponible. Este botn solamente est disponible en la interfaz
web del cortafuegos, no en Panorama.
Palo Alto Networks
Firmas personalizadas de spyware y vulnerabilidades

Esta seccin describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de vulnerabilidades.
Objetos > Objetos personalizados > Patrones de datos
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
Objetos > Objetos personalizados > Categora de URL
Definicin de patrones de datos

Objetos > Objetos personalizados > Patrones de datos
Utilice la pgina Patrones de datos para definir las categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener instrucciones sobre
cmo definir perfiles de filtrado de datos, consulte Perfiles de filtrado de datos.
La siguiente tabla describe la configuracin de patrones de datos:
Tabla 165. Configuracin de patrones de datos

Campo
Descripcin
Nombre
Introduzca el nombre de patrn de datos (de hasta 31 caracteres).

guiones bajos.
Descripcin
Introduzca una descripcin del patrn de datos (hasta 255 caracteres).
Compartido
Seleccione esta casilla de verificacin si quiere que el patrn de datos est

disponible para:
Si cancela la seleccin de la casilla de verificacin, el patrn de datos
pestaa Objetos.
casilla de verificacin, el patrn de datos nicamente estar disponible
para el Grupo de dispositivos seleccionado en la pestaa Objetos.
Palo Alto Networks

administradores creen copias locales del patrn de datos en grupos de
Tabla 165. Configuracin de patrones de datos (Continuacin)

Campo
Descripcin
Peso
Introduzca el peso de los tipos de patrones especificados de forma

predeterminada. El peso es un nmero entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
funcin de este peso.
CC#: Especifique un peso para el campo de tarjeta de crdito (intervalo
0-255).
SSN#: Especifique un peso para el campo del nmero de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de la
seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).
Patrones personalizados
Los patrones predefinidos incluyen el nmero de la tarjeta de crdito y el

de la seguridad social (con y sin guiones).
Haga clic en Aadir para agregar un patrn nuevo. Especifique un
nombre para el patrn, introduzca la expresin regular que define el
patrn e introduzca un valor de peso para asignarlo al patrn. Aada los
patrones que sean necesarios.
Definicin de firmas de spyware y vulnerabilidad

Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas del
cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada
a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones de spyware y vulnerabilidades
resultantes estn disponibles para su uso en cualquier perfil de vulnerabilidad personalizado.
El cortafuegos busca los patrones definidos de forma personalizada en el trfico de la red y toma las
medidas especificadas para la explotacin de la vulnerabilidad.
Las publicaciones semanales de contenido incluyen peridicamente nuevos
descodificadores y contextos para los que puede desarrollar firmas.
Tambin puede incluir un atributo temporal cuando defina firmas personalizadas especificando un
umbral por intervalo para activar posibles acciones en respuesta a un ataque. Las acciones solo se activan
una vez alcanzado el umbral.
Utilice la pgina Firma de spyware personalizada para definir firmas de perfiles de antispyware. Utilice la
pgina Firma de vulnerabilidad personalizada para definir firmas de perfiles de proteccin de
vulnerabilidades.
Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware

Campo
Descripcin
Pestaa Configuracin
ID de amenaza
Introduzca un identificador numrico para la configuracin. En el caso

de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.
Nombre
Especifique el nombre de la amenaza.
Palo Alto Networks
Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuacin)

Campo
Descripcin
Compartido
Seleccione esta casilla de verificacin si quiere que la firma

personalizada est disponible para:
Si cancela la seleccin de la casilla de verificacin, la firma
personalizada nicamente estar disponible para el Sistema virtual
casilla de verificacin, la firma personalizada nicamente estar
Objetos.

administradores creen copias locales de la firma en grupos de
dispositivos descendientes cancelando sus valores heredados.
La casilla de verificacin no est seleccionada de manera
Comentarios
Introduzca un comentario opcional.
Gravedad
Asigne un nivel que indique la gravedad de la amenaza.
Accin predeterminada
Asigne la accin predefinida que se activar si se cumplen las

condiciones de la amenaza. Para ver una lista de las acciones, consulte
Acciones en perfiles de seguridad.
Direccin
Indique si la amenaza se evaluar desde el cliente al servidor, desde el

servidor al cliente, o ambos.
Sistema afectado
Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos

o a ambos. Se aplica a las firmas de vulnerabilidades, pero no a las
firmas de spyware.
CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) como

una referencia externa de informacin y anlisis adicional.
Proveedor
Especifique el identificador del proveedor de la vulnerabilidad como

una referencia externa de informacin y anlisis adicional.
Bugtraq
Especifique la bugtraq (similar a CVE) como una referencia externa de

informacin y anlisis adicional.
Referencia
Aada vnculos a la informacin o al anlisis. La informacin se

muestra cuando un usuario hace clic en la amenaza desde ACC, logs o
el perfil de vulnerabilidad.
Palo Alto Networks

Campo
Descripcin
Pestaa Firmas
Firma estndar
Seleccione el botn de opcin Estndar y haga clic en Aadir para

aadir una firma nueva. Especifique la siguiente informacin:
Estndar: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Aada una condicin haciendo clic en Aadir condicin OR o Aadir
condicin AND. Para aadir una condicin en un grupo, seleccione el
grupo y haga clic en Aadir condicin. Aada una condicin a una
firma para que la firma se genere para el trfico cuando los parmetros
que defina para la condicin sean verdaderos. Seleccione un Operador
de la lista desplegable. El operador define el tipo de condicin que
debe ser verdadera para que la firma personalizada coincida con el
trfico. Seleccione un operador de entre Inferior a, Igual que, Mayor
que y Coincidencia de patrones.
Cuando seleccione un operador Coincidencia de patrones,
especifique que lo siguiente sea verdadero para que la firma coincida
con el trfico:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 163
para ver reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Negar: Seleccione la casilla de verificacin Negar para que la firma
personalizada coincida con el trfico nicamente cuando la
condicin Coincidencia de patrones definida no sea verdadera.
Esto le permite garantizar que la firma personalizada no se active
en ciertas circunstancia.
Nota: Una firma personalizada no se puede crear nicamente con
condiciones Negar; se debe incluir al menos una condicin positiva para
poder especificar una condicin Negar. Asimismo, si el mbito de la firma
se establece como Sesin, no se podr configurar una condicin Negar
como la ltima condicin que debe coincidir con el trfico.
Ahora podr definir excepciones para firmas de vulnerabilidades o
spyware personalizadas utilizando la nueva opcin para negar la
generacin de firmas cuando el trfico coincida tanto con una firma
como con la excepcin de la firma. Utilice esta opcin para permitir
determinado trfico en su red que de otro modo se clasificara como
spyware o una explotacin de la vulnerabilidad. En este caso, la firma
se ha generado para el trfico que coincide con el patrn; el trfico que
coincide con el patrn pero que tambin coincide con la excepcin del
patrn se excluye de la generacin de firmas y cualquier accin de
poltica asociada (como su bloqueo o denegacin). Por ejemplo, puede
definir una firma para que se genere para URL redirigidas; sin
embargo, ahora tambin puede crear una excepcin cuando la firma no
se genere para URL que redirijan a un dominio de confianza.
Palo Alto Networks

Campo
Descripcin
Cuando seleccione un operador Igual que, Inferior a o Mayor que,
especifique que lo siguiente sea verdadero para que la firma coincida
con el trfico:
Contexto: Seleccione entre solicitudes desconocidas y respuestas
de TCP o UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos
cuatro en la carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por
ejemplo, 0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Firma de combinacin
Seleccione el botn de opcin Combinacin. En el rea por encima de

las pestaas secundarias, especifique la siguiente informacin:
En la pestaa secundaria Firmas de combinacin, especifique las
condiciones que definirn las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo,
seleccione el grupo y haga clic en Aadir condicin.
Para mover una condicin en un grupo, seleccione la condicin y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.
En la pestaa secundaria Atributo de fecha y hora, especifique la
siguiente informacin:
Nmero de resultados: Especifique el umbral que activar una
accin basada en una poltica como un nmero de resultados (1-1000)
en un nmero especificado de segundos (1-3600)
Criterios de agregacin: Especifique si los resultados los supervisar
la direccin IP de origen, la direccin IP de destino o una
combinacin de las direcciones IP de origen y destino.
Para mover una condicin en un grupo, seleccione la condicin y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.
Categoras de URL personalizadas

Objetos > Objetos personalizados > Categora de URL
La funcin de categoras URL personalizadas permite crear sus propias listas de URL que puede
seleccionar en cualquier perfil de filtrado de URL. Cada una de las categoras se puede controlar de forma
independiente y tendr una accin asociada en cada perfil de filtrado URL (permitir, bloquear, continuar,
cancelar, alertar o ninguno). La accin ninguno solo se aplica a las categoras de URL personalizadas.
El objetivo de seleccionar la opcin ninguno es garantizar que si existen varios perfiles de URL, la categora
personalizada no influir en otros perfiles. Por ejemplo, si tiene dos perfiles URL y la categora URL
personalizada se establece para bloquear en uno de los perfiles, el otro perfil debera tener la accin
establecida en ninguno si no quiere que se aplique.
Palo Alto Networks
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree
un archivo de texto con las URL que se incluirn, con una URL por lnea. Cada URL puede tener el
formato www.ejemplo.com y puede contener * como comodn, como en *.ejemplo.com. Para obtener
informacin adicional sobre comodines, consulte la descripcin del campo Lista de bloqueadas en la tabla
Configuracin de perfil de filtrado de URL.
Las entradas URL aadidas a las categoras personalizadas no distinguen entre
maysculas y minsculas. De igual forma, para eliminar una categora
personalizada despus de que se haya aadido a un perfil de URL y de que se haya
establecido una accin, la accin debe estar establecida en Ninguno para poder
eliminar la categora personalizada.
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles de filtrado
de URL.
La siguiente tabla describe la configuracin de URL personalizada:
Tabla 167. Categoras de URL personalizadas

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la categora de URL personalizada

(de hasta 31 caracteres). Este nombre aparece en la lista de categoras
cuando se definen polticas de seguridad. El nombre hace distincin
entre maysculas y minsculas y debe ser exclusivo. Utilice nicamente
letras, nmeros, espacios, guiones y guiones bajos.
Descripcin
Introduzca una descripcin de la categora URL (hasta 255 caracteres).
Compartido
Seleccione esta casilla de verificacin si quiere que la categora de URL

cancela la seleccin de la casilla de verificacin, la categora de URL
pestaa Objetos.
casilla de verificacin, la categora de URL nicamente estar
Objetos.

administradores creen copias locales de la categora de URL en grupos de
Sitios
En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Palo Alto Networks
Grupos de perfiles de seguridad

Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que se pueden
tratar como una unidad y aadirse posteriormente a las polticas de seguridad. Por ejemplo, puede crear
un grupo de perfil de seguridad amenazas que incluya perfiles de antivirus, antispyware y proteccin
contra vulnerabilidades y, a continuacin, crear una poltica de seguridad que incluya el perfil
amenazas.
Los perfiles de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y bloqueo de archivos
que se suelen asignar juntos pueden combinarse en grupos de perfiles para simplificar la creacin de las
Para definir nuevos perfiles de seguridad, consulte Definicin de polticas de seguridad.
La siguiente tabla describe la configuracin de perfil de seguridad:
Tabla 168. Configuracin de grupos de perfiles de seguridad

Campo
Descripcin
Nombre
Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre

aparece en la lista de perfiles cuando se definen polticas de seguridad.
guiones bajos.
Compartido
Seleccione esta casilla de verificacin si quiere que el grupo de perfiles

cancela la seleccin de la casilla de verificacin, el grupo de perfiles
pestaa Objetos.
casilla de verificacin, el grupo de perfiles nicamente estar
Objetos.

administradores creen copias locales del grupo de perfiles en grupos de
Perfiles
Seleccione un perfil de antivirus, antispyware, proteccin de

vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluir
en este grupo. Los perfiles de filtrado de datos tambin se pueden
especificar en grupos de perfiles de seguridad. Consulte Perfiles de
filtrado de datos.
Palo Alto Networks
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si las entradas de
log de trfico y amenazas se registran de forma remota con Panorama, y/o se envan como traps SNMP,
mensajes de Syslog o notificaciones por correo electrnico. De forma predefinida, solo se realizan logs
locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de amenazas
registran las amenazas o problemas con el trfico de la red, como la deteccin de virus o spyware. Tenga
en cuenta que los perfiles de antivirus, antispyware y proteccin de vulnerabilidades asociados a cada
regla determinan las amenazas que se registran (de forma local o remota). Para aplicar los perfiles de log a
polticas de seguridad, consulte Definicin de polticas de seguridad.
En un cortafuegos de la serie PA-7000, se debe configurar un tipo de interfaz especial
(Tarjeta de log) antes de que el cortafuegos reenve los siguientes tipos de logs:
Syslog, correo electrnico y SNMP. Esto tambin se aplica al reenvo a WildFire.
Una vez configurado el puerto, se usar este puerto automticamente para el reenvo
de logs y de WildFire y no har falta ninguna configuracin especial para ello.
Solamente tiene que configurar el puerto de datos en uno de los NPC de la
serie PA-7000 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a
usar puede establecer contacto con sus servidores de logs. Para reenvo de WildFire,
la red necesitar comunicarse con la nube WildFire o dispositivo WildFire.
Si desea ms informacin sobre cmo configurar esta interfaz, consulte
Configuracin de una interfaz de tarjeta de log.
La siguiente tabla describe la configuracin de reenvo de logs:
Tabla 169.
Configuracin de perfiles de reenvo de logs
Campo
Descripcin
Nombre

Compartido

disponible para:
Objetos.

Palo Alto Networks
Tabla 169.
Configuracin de perfiles de reenvo de logs (Continuacin)
Campo
Descripcin
Configuracin de trfico
Panorama

log de trfico al sistema de gestin centralizado de Panorama. Para
definir la direccin del servidor de Panorama, consulte Definicin de la
configuracin de gestin.
Trap SNMP
Correo electrnico
Syslog
Seleccione los ajustes de SNMP, Syslog y/o correo electrnico que

especifican destinos adicionales a los que se envan las entradas de
trfico. Para definir nuevos destinos, consulte:
Configuracin del log de amenazas

Panorama
Haga clic en la casilla de verificacin de cada nivel de seguridad de las

entradas del log de amenazas que se enviarn a Panorama. Los niveles de
gravedad son los siguientes:
Crtico: Ataques muy graves detectados por el motor de seguridad de
amenazas.
Alto: Ataques graves detectados por el motor de seguridad de
amenazas.
Medio: Ataques leves detectados por el motor de seguridad de
amenazas, incluyendo el bloqueo de URL.
Bajo: Ataques de advertencias detectados por el motor de seguridad de
amenazas.
Informativo: El resto de eventos no incluidos en los niveles de
seguridad anteriores, incluyendo bsquedas de objeto de ataques
informativos.
Trap SNMP
Correo electrnico
Syslog
En cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o

correo electrnico que especifican destinos adicionales a los que se
envan las entradas del log de amenazas.
Perfiles de descifrado
Objetos > Perfil de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvo,
inspeccin entrante SSL y trfico SSH. Despus de crear un perfil de descripcin, podr aadir dicho perfil
a una poltica de descifrado; cualquier trfico que coincida con la poltica de descifrado se aplicar de
acuerdo con los ajustes de perfil.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms informacin, consulte
Gestin de entidades de certificacin de confianza predeterminadas.
Un perfil de descifrado predeterminado se configura en el cortafuegos y se incluye automticamente en las
nuevas polticas de descifrado (no puede modificar el perfil de descifrado predeterminado). Haga clic en
Aadir para crear un nuevo perfil de descifrado, o seleccione un perfil existente para duplicarlo mediante
Duplicar o modificarlo.
Palo Alto Networks
Las siguientes secciones ofrecen descripciones de ajustes que suelen aplicarse al trfico que coincide con
una poltica de descifrado, as como informacin detallada sobre ajustes que pueden aplicarse
especficamente a trfico SSL descifrado, trfico SSH descifrado y trfico que coincida con una poltica de
no descifrado (excepciones de descifrado):
Configuracin general de perfiles de descifrado

Ajustes de descifrado SSL en un perfil de descifrado
Ajustes de ausencia de descifrado en un perfil de descifrado
Ajustes de proxy SSH en un perfil de descifrado
Antes de poder habilitar el reflejo del puerto de descifrado, debe obtener una licencia de
reflejo del puerto de descifrado, instalar la licencia y reiniciar el cortafuegos.
Tabla 170. Configuracin general de perfiles de descifrado

Campo
Descripcin
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre aparece en la

lista de perfiles de descifrado cuando se definen polticas de descifrado. El nombre
hace distincin entre maysculas y minsculas y debe ser exclusivo. Utilice
Compartido
Seleccione esta casilla de verificacin si quiere que el perfil est disponible para:
seleccin de la casilla de verificacin, el perfil nicamente estar disponible para el
Sistema virtual seleccionado en la pestaa Objetos.
Cada grupo de dispositivos en Panorama. Si cancela la seleccin de la casilla de
verificacin, el perfil nicamente estar disponible para el Grupo de dispositivos
Seleccione la casilla de verificacin si desea impedir que los administradores creen

copias locales del perfil en grupos de dispositivos descendientes cancelando sus
valores heredados. La casilla de verificacin no est seleccionada de manera
Interfaz de reflejo de
descifrado
Seleccione una Interfaz que debe utilizarse para el reflejo del puerto de descifrado.
(nicamente cortafuegos
de las series PA-3000,
PA-5000 y PA-7000)
Reenviado solo
(nicamente cortafuegos
de las series PA-3000,
PA-5000 y PA-7000)
Pestaas Descifrado
SSL, No hay descifrado
y Proxy SSH
Seleccione la casilla de verificacin Reenviado solo si desea reflejar el trfico

descifrado solamente despus de la aplicacin de la poltica de seguridad. Con esta
opcin, solamente se reflejar el trfico reenviado a travs del cortafuegos. Esta opcin
es de utilidad si est reenviando el trfico descifrado a otros dispositivos de deteccin
de amenazas, como un dispositivo de DLP u otro sistema de prevencin de
intrusiones (IPS). Si cancela la seleccin de la casilla de verificacin (el ajuste
predeterminado), el cortafuegos reflejar todo el trfico descifrado en la interfaz antes
de la bsqueda de polticas de seguridad, lo que le permitir reproducir eventos y
analizar el trfico que genere una amenaza o active una accin de descarte.
Para obtener informacin detallada sobre ajustes de perfiles adicionales de
Descifrado SSL, No hay descifrado y Proxy SSH, consulte:
Configuracin de la pestaa Descifrado SSL
Configuracin de la pestaa No hay descifrado
Configuracin de la pestaa Proxy SSH
Palo Alto Networks
Ajustes de descifrado SSL en un perfil de descifrado

La tabla siguiente describe los ajustes que puede utilizar para controlar el trfico SSL que se ha descifrado
mediante descifrado del proxy SSL de reenvo o inspeccin entrante SSL. Puede utilizar estos ajustes para
limitar o bloquear sesiones SSL en funcin de los criterios, incluidos el estado del certificado del servidor
externo, el uso de conjuntos de cifras o versiones de protocolos no compatibles o la disponibilidad de los
recursos del sistema para procesar el descifrado.
Tabla 171. Configuracin de la pestaa Descifrado SSL

Campo
Pestaa secundaria
Proxy SSL de reenvo
Descripcin
Con el descifrado del proxy SSL de reenvo, el cortafuegos funciona como proxy
para una sesin entre un cliente interno y un servidor externo, generando un
certificado de reenvo fiable (o no fiable, si el certificado del servidor original no
est firmado por un CA de confianza) para el servidor externo que, a
continuacin, se presenta al cliente. El cortafuegos se establece como agente
externo de confianza en la sesin.
Seleccione las opciones para limitar o bloquear el trfico SSL descifrado mediante
Proxy SSL de reenvo.
Validacin de
certificado de servidor
Seleccione las opciones para controlar certificados de servidor para el trfico SSL
descifrado.
Bloquear sesiones con

certificados caducados
Finalice la conexin SSL si el certificado del servidor est caducado. De esta forma se
evita que un usuario acepte un certificado caducado y contine con una sesin SSL.

emisores no fiables
Finalice la sesin SSL si el emisor del certificado del servidor no es fiable.

desconocido
Finalice la sesin SSL si un servidor devuelve un estado de revocacin de

certificado Desconocido. El estado de revocacin de certificado indica si se ha
revocado o no la fiabilidad del certificado.
Bloquear sesiones al
agotar el tiempo de
espera de comprobacin
de estado de certificado
Finalice la sesin SSL si el estado del certificado no se puede recuperar en la

cantidad de tiempo que el cortafuegos tiene configurado antes de dejar de esperar
una respuesta de un servicio de estado de certificado. Puede configurar el valor de
Tiempo de espera del estado del certificado al crear o modificar un perfil de
certificado (Dispositivo > Gestin de certificados > Perfil del certificado).
Restringir extensiones de
certificado
Limita las extensiones de certificados utilizados en el certificado de servidor

dinmico al uso de claves y claves extendidas.
Comprobaciones de
modo no admitidas
Seleccione las opciones para controlar aplicaciones SSL no compatibles.

versin no compatible
Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente.

PAN-OS admite SSLv3, TLS1.0, TLS1.1 y TLS1.2.

conjuntos de cifras no
compatibles
Finalice la sesin si el conjunto de cifrado especificado en el protocolo de enlace

SSL si no es compatible con PAN-OS.

autenticacin de cliente
Finalice las sesiones con autenticacin de cliente para el trfico de proxy de

reenvo SSL.
Comprobaciones de
fallos
Seleccione la accin que se adoptar si los recursos del sistema no estn

disponibles para procesar el descifrado.
Bloquear sesiones si no
hay recursos disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para procesar
el descifrado.
Palo Alto Networks
Tabla 171. Configuracin de la pestaa Descifrado SSL (Continuacin)

Campo
Descripcin
Bloquear sesiones si
HSM no est disponible
Finalizar sesiones si no hay un mdulo de seguridad de hardware (HSM)

disponible para firmar certificados.
Nota: En el caso de modos no compatibles y de fallos, la informacin de la sesin se guarda en cach durante 12 horas, por
lo que las futuras sesiones entre los mismos pares de hosts y servidor no se descifran. En su lugar, utilice las casillas de
verificacin para bloquear esas sesiones.
Pestaa secundaria
Inspeccin de entrada
SSL
Con Inspeccin de entrada SSL, el cortafuegos reside entre un cliente y un servidor de

destino, donde el certificado y la clave del servidor de destino se importan al
cortafuegos. Esto permite que el cortafuegos acceda a la sesin SSL entre el servidor
de destino y el cliente de manera transparente, en lugar de funcionar como proxy
(como con el descifrado del proxy SSL de reenvo).
Seleccione las opciones para limitar o bloquear el trfico SSL descifrado mediante
Proxy SSL de reenvo.
Comprobaciones de
modo no admitidas
Seleccione opciones para controlar sesiones si se detectan modos no compatibles en el

trfico SSL.

versiones no
compatibles
Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. PANOS admite SSLv3, TLS1.0, TLS1.1 y TLS1.2.

conjuntos de cifras no
compatibles
Finalice la sesin si el conjunto de cifrado utilizado no es compatible con PAN-OS.
Comprobaciones de
fallos
Seleccione la accin que se adoptar si los recursos del sistema no estn disponibles.
Bloquear sesiones si no
hay recursos disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para procesar el
descifrado.
Bloquear sesiones si
HSM no est disponible
Finalizar sesiones si no hay un mdulo de seguridad de hardware (HSM) disponible

para descifrar la clave de sesin.
Pestaa secundaria
Configuracin de
protocolo SSL
Seleccione los ajustes siguientes para aplicar versiones de protocolo y conjuntos de

cifras al trfico de la sesin SSL.
Versiones de protocolo
Aplique el uso de versiones de protocolo mnima y mxima para la sesin SSL.
Versin mn.
Establezca la versin de protocolo mnima que se puede utilizar para establecer la

conexin SSL.
Versin mx.
Establezca la versin de protocolo mxima que se puede utilizar para establecer la

conexin SSL. Puede seleccionar la opcin mxima para que no se especifique
ninguna versin mxima; en este caso, se admiten las versiones de protocolo que sean
equivalentes o posteriores a la versin mnima seleccionada.
Algoritmos de cifrado
Aplique el uso de los algoritmos de cifrado seleccionados para la sesin SSL.
Algoritmos de
autenticacin
Aplique el uso de los algoritmos de autenticacin seleccionados para la sesin SSL.
Ajustes de ausencia de descifrado en un perfil de descifrado

Puede utilizar la pestaa No hay descifrado para habilitar ajustes que bloqueen el trfico que coincida con
una poltica de descifrado configurada con la accin No hay ningn descifrado (Polticas > Descifrado >
Accin). Utilice estas opciones para controlar los certificados de servidor de la sesin, aunque el
cortafuegos no descifre e inspeccione el trfico de la sesin.
Palo Alto Networks
Tabla 172. Configuracin de la pestaa No hay descifrado

Campo
Descripcin

certificados caducados
Finalice la conexin SSL si el certificado del servidor est caducado.

De esta forma se evita que un usuario acepte un certificado caducado y
contine con una sesin SSL.

emisores no fiables
Finalice la sesin SSL si el emisor del certificado del servidor no es fiable.
Ajustes de proxy SSH en un perfil de descifrado

La tabla siguiente describe los ajustes que puede utilizar para controlar el trfico SSH entrante y saliente
descifrado. Estos ajustes le permiten limitar o bloquear el trfico SSH de tnel en funcin de criterios,
incluidos el uso de algoritmos no compatibles, la deteccin de errores SSH o la disponibilidad de recursos
para procesar el descifrado del proxy SSH.
Tabla 173. Configuracin de la pestaa Proxy SSH

Campo
Descripcin
Comprobaciones
de modo no
admitidas
Utilice estas opciones para controlar sesiones si se detectan modos no

compatibles en el trfico SSH. La versin SSH compatible es la versin 2.
Bloquear sesiones
con versiones no
compatibles
Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible

con PAN-OS.
Bloquear sesiones
con algoritmos no
compatibles
Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no

es compatible con PAN-OS.
Comprobaciones
de fallos
Seleccione las medidas que se adoptarn si se producen errores de aplicacin SSH y si

no hay recursos del sistema disponibles.
Bloquear sesiones
con errores SSH
Finalice las sesiones si se producen errores SSH.
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para procesar el descifrado.
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas y horas. Para
limitar una poltica de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las
polticas correctas. Para cada programacin puede especificar una fecha y un intervalo horario fijo, o bien
una programacin diaria o semanal recurrente. Para aplicar las programaciones a las polticas de
seguridad, consulte Definicin de polticas de seguridad.
Cuando se activa una poltica de seguridad en una programacin definida, solo se
vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.
Palo Alto Networks
La siguiente tabla describe la configuracin de la programacin:
Tabla 174. Ajustes de programacin

Campo
Descripcin
Nombre
Introduzca un nombre de la programacin (de hasta 31 caracteres). Este

nombre aparece en la lista de programaciones cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas
Compartido
Seleccione esta casilla de verificacin si quiere que la programacin est

disponible para:
cancela la seleccin de la casilla de verificacin, la programacin nicamente estar disponible para el Sistema virtual seleccionado en la
pestaa Objetos.
casilla de verificacin, la programacin nicamente estar disponible
para el Grupo de dispositivos seleccionado en la pestaa Objetos.

administradores creen copias locales de la programacin en grupos de
Periodicidad
Seleccione la periodicidad (Diaria, Semanal o Sin repeticin).
Diario
Haga clic en Aadir y especifique una hora de inicio y de finalizacin en

formato de 24 horas (HH:MM).
Semanal
Haga clic en Aadir, seleccione un da de la semana y especifique una

hora de inicio y de finalizacin en formato de 24 horas (HH:MM).
Sin repeticin
Haga clic en Aadir y especifique una fecha y hora de inicio y de

finalizacin.
Palo Alto Networks
Captulo 6
Informes y logs
En los siguientes temas se describe cmo usar el panel, el Centro de control de aplicaciones
(ACC), los informes y los logs en el cortafuegos para supervisar la actividad de su red:
Uso del panel

Centro de control de aplicaciones
Uso de Appscope
Visualizacin de logs
Uso del motor de correlacin automatizada
Trabajo con informes de Botnet
Gestin de informes de resumen en PDF
Gestin de informes de actividad del usuario/grupo
Gestin de grupos de informes
Programacin de informes para entrega de correos electrnicos
Visualizacin de informes
Generacin de informes personalizados
Realizacin de capturas de paquetes
Palo Alto Networks
Uso del panel
La mayora de los informes de esta seccin admiten la seleccin opcional de un

sistema virtual en la lista desplegable de la parte superior de la pgina.
Uso del panel

Panel
Los widgets de la pgina Panel muestran informacin general del dispositivo, como la versin
de software, el estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 entradas
en los logs Sistema, Configuracin y Amenaza. Aparecen las entradas de los logs de los
ltimos 60 minutos. Todos los widgets disponibles aparecen de forma predeterminada, pero
cada usuario puede eliminar y agregar widgets individuales segn sea necesario.
para actualizar el panel o un widget individual. Para cambiar el
intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el men desplegable
Widget, seleccione una categora y luego el nombre del widget. Para eliminar un widget,
haga clic en
en la barra de ttulos.
Tabla 175. Grficos del panel

Grfico
Descripcin
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque

indica el nmero relativo de sesiones (pase el ratn sobre el bloque para ver
el nmero) y el color indica el riesgo de seguridad, desde verde (ms bajo) a
rojo (ms alto). Haga clic en una aplicacin para ver su perfil de aplicacin.
Aplicaciones principales
de alto riesgo
Similar a Aplicaciones principales, excepto las que muestran las

aplicaciones de mayor riesgo con la mayora de las sesiones.
Informacin general
Muestra el nombre del dispositivo, el modelo, la versin del software de

PAN-OS, la aplicacin, las amenazas, las versiones de definicin del filtro
de URL, la fecha y hora actuales y el perodo de tiempo transcurrido
desde el ltimo reinicio.
Estado de interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un

estado desconocido (gris).
Logs de amenazas
Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas

entradas en el log Amenazas. El ID de amenaza es una descripcin
malintencionada de una URL que incumple el perfil de filtro de URL.
Solo aparecen las entradas de los logs de los ltimos 60 minutos.
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y

la fecha y hora de las 10 ltimas entradas en el log Configuracin. Solo
aparecen las entradas de los ltimos 60 minutos.
Logs de filtrado de datos
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el

log Filtrado de datos.
Logs de filtrado de URL
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el

log Filtrado de URL.
Registros del sistema
Muestra la descripcin y la fecha y hora de las ltimos 10 entradas en el

log Sistema. Tenga en cuenta que una entrada Configuracin instalada
indica que se han llevado a cabo cambios en la configuracin
correctamente. Solo aparecen las entradas de los ltimos 60 minutos.
Palo Alto Networks
Uso del panel
Tabla 175. Grficos del panel (Continuacin)

Grfico
Descripcin
Recursos del sistema
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero

de sesiones que muestra el nmero de sesiones establecidas a travs del
cortafuegos.
Administradores
registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora

de inicio de sesin para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado

la semana pasada. Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta

disponibilidad (HA) del dispositivo local y del peer: Verde (activa),
amarillo (pasiva) o negro (otro). Para obtener ms informacin sobre la
HA, consulte Habilitacin de HA en el cortafuegos.
Bloqueos
Muestra bloqueos de configuracin realizados por los administradores.
Palo Alto Networks

ACC
El Centro de control de aplicaciones (ACC) es una herramienta analtica que proporciona
inteligencia intuitiva sobre la actividad dentro de su red. El ACC usa los logs del cortafuegos
para representar grficamente las tendencias de su red. La representacin grfica le permite
interactuar con los datos y visualizar las relaciones entre eventos en la red, incluidos los
patrones de uso de la red, patrones de trfico, actividades sospechosas y anomalas.
Qu desea saber?
Consulte
Cmo se usa el ACC?
Informacin bsica sobre el ACC

Vistas
Widgets
Cmo se interacta con el ACC?
Acciones
Uso de filtros
Desea obtener ms
informacin?
No encuentra lo que busca?
Consulte Uso del Centro de control de aplicaciones
Palo Alto Networks
Pestaas
El ACC incluye tres pestaas o vistas predefinidas que ofrecen visibilidad del
trfico de la red, la actividad de amenazas y la actividad bloqueada. Si desea
ms informacin sobre cada vista, consulte Vistas.
Widgets
Cada pestaa incluye un conjunto predeterminado de widgets que

representan concretamente los eventos y tendencias asociados a la pestaa.
Los widgets le permiten consultar los datos usando los siguientes filtros: bytes
(entrada y salida), sesiones, contenido (archivos y datos), categoras de URL,
amenazas (malintencionadas y buenas) y recuento. Si desea ms informacin
sobre cada widget, consulte Widgets.
Hora
Los grficos en cada widget ofrecen una vista en tiempo real y de historial.
Puede elegir un intervalo personalizado o usar los periodos predefinidos que
van desde 15 minutos hasta los ltimos 30 das o los ltimos 30 das naturales.
El periodo usado de manera predeterminada para representar datos es la
ltima hora. El intervalo de hora y fecha se muestran en la pantalla.
Por ejemplo:
01/12 10:30:00-01/12 11:29:59
Filtros
globales
Los filtros globales le permiten establecer el filtro en todas las pestaas. Los
grficos se aplican a los filtros seleccionados antes de representar los datos.
Para obtener informacin sobre cmo utilizar los filtros, consulte Acciones.
Medidor de
riesgos
El medidor de riesgos (1=ms bajo; 5=ms alto) indica el riesgo de seguridad

relativo de su red. El medidor de riesgos usa diversos factores como el tipo
de aplicaciones vistas en la red y los niveles de riesgo asociados a las
aplicaciones, la actividad de las amenazas y el software malintencionado
segn el nmero de amenazas bloqueadas, as como los hosts en riesgo o el
trfico hacia hosts o dominios malintencionados.
Palo Alto Networks

6
Origen
El origen de los datos usado para la visualizacin vara entre el cortafuegos y

Panorama.
En el cortafuegos, si est habilitado para varios sistemas virtuales, puede
usar el men desplegable Sistema virtual para cambiar la visualizacin de
ACC de modo que incluya todos los sistemas virtuales o solo un sistema
virtual seleccionado.
En Panorama, puede cambiar la visualizacin para usar Panorama o Datos
de dispositivo remoto. Si el origen de los datos es Panorama, puede filtrar la
visualizacin para un grupo de dispositivos especfico.
Exportar
Puede exportar los widgets que se muestran en la pestaa actual como un

PDF.
Vistas
Actividad de red: Esta pestaa muestra una descripcin general del trfico y la actividad
de los usuarios en su red. Se centra en las aplicaciones principales en uso, los usuarios que
generan ms trfico y una descripcin pormenorizada de los bytes, contenido, amenazas
o URL a las que ha accedido el usuario, as como las reglas de seguridad ms usadas para
comparar el trfico. Asimismo, puede ver la actividad de la red segn la zona de origen o
destino, regin o direcciones IP, por interfaces de acceso o salida y por informacin del
host, como los sistemas operativos de los dispositivos ms usados en la red.
Actividad de amenazas: Esta pestaa muestra una descripcin general de las amenazas
en la red. Se centra en las principales amenazas: vulnerabilidades, spyware, virus, hosts
que visitan dominios o URL malintencionados, principales envos de WildFire por tipo de
archivo y aplicacin y aplicaciones que usan puertos no estndar. El widget Hosts en
riesgo complementa la deteccin con mejores tcnicas de visualizacin. Usa la
informacin de la pestaa de eventos correlacionados (Motor de correlacin
automatizada > Eventos correlacionados) para presentar una vista agregada de hosts en
riesgo en su red por usuarios o direcciones IP de origen, organizadas por nivel de
gravedad.
Actividad bloqueada: Esta pestaa se centra en eltrfico bloqueado para que no entre en
la red. Los widgets de esta pestaa le permiten ver la actividad denegada por nombre de
aplicacin, nombre de usuario, nombre de amenaza, contenido (archivos y datos) y las
principales reglas de seguridad con una accin de denegacin que bloquearon el trfico.
Palo Alto Networks
Widgets
Los widgets de cada pestaa estn inactivos. Puede establecer filtros y pormenorizar la vista
para personalizarla y poder centrarse en la informacin que necesita.
Cada widget est estructurado para mostrar lo siguiente:

1
Ver
Puede ordenar los datos por bytes, sesiones, amenazas, recuento, contenido,
URL, malintencionados, buenos, archivos, datos, perfiles, objetos.
Las opciones disponibles varan segn el widget.
Grfico
Las opciones de visualizacin de los grficos son mapa jerrquico, grfico de

lneas, grfico de barras horizontales, grfico de rea apilada, grfico de
barra apilada y mapas. Las opciones disponibles varan segn el widget;
la experiencia de interaccin tambin vara segn el tipo de grfico. Por
ejemplo, el widget para aplicaciones que usan puertos no estndar le permite
elegir entre un mapa jerrquico y un grfico de lneas.
Para obtener una vista ms detalladas, haga clic en el grfico. El rea en la
que haga clic se convierte en un filtro y le permite acercarse a la seleccin y
ver informacin ms granular para esa seleccin.
Palo Alto Networks
Tabla
La vista detallada de los datos usados para representar el grfico se ofrece en

una tabla debajo del grfico.
Puede hacer clic y establecer un filtro local o un filtro global para elementos
en la tabla. Con un filtro local, el grfico se actualiza y la tabla se ordena
segn ese filtro.
Con un filtro global, la vista de todo el ACC pivota para mostrar solo
informacin que pertenezca a su filtro.
Acciones
Maximizar vista: Le permite aumentar el widget y verlo en una pantalla ms

grande. En la vista maximizada, los elementos que se muestran no se limitan
a los diez principales como en la pantalla predeterminada del widget.
Configurar filtros locales: Le permite aadir filtros para refinar la
visualizacin dentro del widget. Consulte Uso de los filtros: Filtros locales y
filtros globales.
Saltar a logs: Le permite navegar directamente a los logs (pestaa
Supervisar > Logs > Tipo de log ). Los logs se filtran usando el periodo que
se muestra en el grfico.
Si ha establecido filtros locales y globales, la consulta de log concatena el
periodo y los filtros y muestra solo logs que cumplan con el filtro
establecido.
Exportar: Le permite exportar el grfico como PDF.
Si quiere ver una descripcin de cada widget, consulte la informacin sobre el uso del ACC.
Acciones
Para personalizar y refinar la visualizacin de ACC, puede aadir y eliminar pestaas y
widgets, establecer filtros locales y globales e interactuar con los widgets.
Uso de las pestaas y widgets

Uso de los filtros: Filtros locales y filtros globales
Palo Alto Networks

Aadir una pestaa
1.
Seleccione el icono
pestaas.
de la lista de
2.
Introduzca un Nombre de vista. Este nombre

se utilizar como el nombre de la pestaa.
Puede aadir hasta 5 pestaas.
Modificar una pestaa
1.
Seleccione la pestaa y haga clic en el icono

de lpiz junto al nombre de la pestaa para
modificarla.
Por ejemplo
Consultar qu widgets estn
1.
Seleccione la vista y haga clic en el icono de

lpiz para editar la vista.
2.
Seleccione el men desplegable Aadir

widgets y compruebe los widgets que tienen
marcas las casillas de verificacin.
1.
Aadir una nueva pestaa o modificar una

pestaa predefinida.
2.
Seleccione Aadir widget y marque la casilla

de verificacin del widget que quiere aadir.
Puede seleccionar hasta 12 widgets.
3.
(Opcional) Para crear un diseo de dos

columnas, seleccione Aadir grupo de
widgets. Puede arrastrar y soltar los widgets
en la vista de dos columnas. Cuando arrastre
el widget sobre el diseo, aparecer un
marcador de posicin para que suelte el
widget.
incluidos en una vista.
Aadir un widget a un grupo de
widgets.
Nota: No puede ponerle nombre a los grupos de widgets.
Eliminar una pestaa o un
1.
widget/grupo de widgets.
Para eliminar una pestaa personalizada,

seleccione la pestaa y haga clic en el icono X.
Nota: No puede eliminar una pestaa predefinida.
2.
Para eliminar un widget o grupo de widgets,

modifique la pestaa y haga clic en el
icono [X] de la derecha. Esta accin no se puede
deshacer.
Restablecer la vista
predeterminada.
Palo Alto Networks
En una vista predefinida, como la vista Actividad

bloqueada, puede eliminar uno o ms widgets. Si
quiere restablecer el diseo para que incluya el
conjunto predeterminado de widgets de la
pestaa, modifique la pestaa y haga clic en
Restablecer vista.
Uso de los filtros: Filtros locales y filtros globales

Para depurar la informacin y controlar con precisin qu muestra el ACC, puede usar filtros.
Filtros locales: Los filtros locales se aplican a un widget especfico. Un filtro local le permite
interactuar con el grfico y personalizar la vista para que puede explorar los datos y acceder a
la informacin que quiere supervisar en un widget especfico. Puede aplicar un filtro local de
dos modos: haciendo clic en un atributo del grfico o tabla o usando el icono Establecer
filtro
dentro de un widget. El icono Establecer filtro le permite establecer un filtro local que
no se elimina al reiniciar.
Filtros globales: Los filtros globales se aplican en todo el ACC. Un filtro global le permite
pivotar la vista alrededor de la informacin que necesita instantneamente y excluir la
informacin irrelevante para la vista actual. Por ejemplo, para ver todos los eventos
relacionados con un usuario y aplicacin especficos, puede aplicar la direccin IP del usuario
y la aplicacin como un filtro global y ver solo informacin relativa a ese usuario y aplicacin
a travs de todas las pestaas y widgets en el ACC. Los filtros globales s se borran al reiniciar.
Los filtros globales se pueden aplicar de tres formas:
Establecer un filtro global desde una tabla: Seleccionar un atributo desde una tabla en
cualquier widget y aplicar el atributo como un filtro global.
Promocionar un filtro local para usarlo como un filtro global: Esta opcin le permite
promocionar un atributo que ha establecido como filtro local para que sea un filtro global.
Promocionar un filtro local a filtro global cambia la visualizacin en todas las vistas del ACC.
Definir un filtro global: Defina un filtro usando el panel Filtros globales en el ACC.
Uso de filtros
Establecer un filtro local.
1.
Seleccione un widget y haga clic en el icono
Nota: Tambin puede hacer clic en un atributo

en la siguiente tabla bajo el grfico para
aplicarlo como un filtro local.
2.

que quiere aplicar.
3.
Haga clic en Aplicar. Estos filtros no se

eliminan al reiniciar.
y aada los filtros
Nota: El nmero de filtros locales aplicado en un widget se

indica junto al nombre del widget.
Establecer un filtro global desde
1.
Pase el ratn sobre un atributo en la siguiente

tabla bajo el grfico y haga clic en el men
desplegable.
2.
Haga clic en Filtro para aadir el atributo

como un filtro global.
una tabla.
Palo Alto Networks
Uso de filtros
Establecer un filtro global usando

el panel Filtros globales
Promocionar un filtro local como

quiere aplicar.
1.
En cualquier tabla de un widget, haga clic en

el enlace de un atributo. De este modo se
establece el atributo como un filtro local.
2.
Para promocionar el filtro como un filtro

global, seleccione la flecha a la izquierda del
filtro.
filtro global.
Eliminar un filtro
y aada los filtros que
para eliminar un filtro.
Para filtros globales: Se encuentra en el panel

Filtros globales.
Para filtros locales: Haga clic en el icono

para ver el cuadro de dilogo Configurar
filtros locales, seleccione el filtro y haga clic
en el icono de eliminacin.
Borrar todos los filtros
Para filtros globales: Haga clic en el botn

Borrar todo debajo de Filtros globales.
Para filtros locales: Seleccione un widget y

haga clic en el icono . Haga clic en el botn
Borrar todo en el widget Configurar filtros
locales.
Palo Alto Networks
Uso de filtros
Invalidar filtros
Seleccione un atributo y haga clic en el icono

para invalidar un filtro.
Para filtros globales: Se encuentra en el panel

Filtros globales.
Para filtros locales: Haga clic en el icono

para ver el cuadro de dilogo Configurar
filtros locales, aada un filtro y haga clic en el
icono de invalidacin.
Ver filtros en uso.
Para filtros globales: El nmero de filtros

globales aplicado se muestra en el panel
izquierdo, debajo de Filtros globales.
Para filtros locales: El nmero de filtros

locales aplicado en un widget se muestra
junto al nombre del widget. Para ver los
filtros, haga clic en el icono Establecer filtros
locales.
Palo Alto Networks
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope proporcionan visibilidad grfica en los siguientes aspectos
de la red:
Cambios en el uso de la aplicacin y la actividad del usuario

Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope, puede ver rpidamente si se produce algn comportamiento
inusual o inesperado y que la deteccin de cualquier comportamiento problemtico sea ms
sencilla; cada informe proporciona una ventana dinmica y personalizable por el usuario en la
red. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar. En
Panorama puede seleccionar tambin el origen de datos de la informacin que se muestra. El
origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de datos
local de Panorama que almacena los logs enviados por los dispositivos remotos, en una
actualizacin el origen de datos predeterminado son los datos de dispositivo remoto. Para
recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos
gestionados tendr que cambiar el origen de Panorama a Datos de dispositivo remoto.
Al pasar el ratn por encima y hacer clic en las lneas o barras de los grficos, se pasa al ACC y
se proporciona informacin detallada sobre la aplicacin especfica, la categora de la
aplicacin, el usuario o el origen.
Tabla 176. Grficos del Centro de control de aplicaciones

Grfico
Descripcin
Resumen
Informe de resumen
Supervisor de cambios
Informe del supervisor de cambios
Supervisor de amenazas
Informe del supervisor de amenazas
Mapa de amenazas
Informe del mapa de amenazas
Supervisor de red
Informe Supervisor de red
Mapa de trfico
Informe del mapa de trfico
Palo Alto Networks
Uso de Appscope
Informe de resumen
El informe Resumen (Ilustracin 7) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y
orgenes.
Para exportar los grficos en el informe de resumen como un PDF, haga clic en
Cada grfico se guarda como una pgina en el PDF creado.
Ilustracin 7. Informe de resumen de Appscope
Palo Alto Networks
Uso de Appscope
Informe del supervisor de cambios

El informe Supervisor de cambios (Ilustracin 8) muestra cambios realizados en un perodo de
tiempo especfico. Por ejemplo, Ilustracin 8 muestra las principales aplicaciones adquiridas
en la ltima hora en comparacin con el ltimo perodo de 24 horas. Las principales
aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes.
Ilustracin 8. Informe del supervisor de cambios de Appscope

Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 177. Opciones del informe del supervisor de cambios

Elemento
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Palo Alto Networks
Uso de Appscope
Tabla 177. Opciones del informe del supervisor de cambios (Continuacin)

Elemento
Descripcin
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si ordenar entradas por porcentajes o

incremento bruto.
Exporta el grfico como imagen .png o PDF.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
Palo Alto Networks
Uso de Appscope
Informe del supervisor de amenazas

El informe del supervisor de amenazas (Ilustracin 9) muestra un recuento de las principales
amenazas durante el perodo de tiempo seleccionado. Por ejemplo, Ilustracin 9 muestra los
10 principales tipos de amenaza en las ltimas 6 horas.
Ilustracin 9. Informe del supervisor de amenazas de Appscope
Palo Alto Networks
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 178. Botones del Informe del supervisor de amenazas

Botn
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.
Informe del mapa de amenazas

El informe del mapa de amenazas (Ilustracin 10) muestra una vista geogrfica de amenazas,
incluyendo la gravedad.
Ilustracin 10. Informe de mapa de amenazas de Appscope

Palo Alto Networks
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Tabla 179. Botones del Informe del mapa de amenazas

Botn
Descripcin
Barra superior
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Aplica un filtro para mostrar nicamente el tipo de elemento

seleccionado.
Acerque y aleje el mapa.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Informe Supervisor de red

El informe Supervisor de red (Ilustracin 11) muestra el ancho de banda dedicado a diferentes
funciones de red durante el periodo especificado. Cada funcin de red est indicada con
colores como se indica en la leyenda debajo del grfico. Por ejemplo, la Ilustracin 11 muestra
el ancho de banda de aplicacin en los 7 ltimos das basndose en la informacin de sesin.
Palo Alto Networks
Uso de Appscope
Ilustracin 11. Informe del supervisor de red de Appscope

El informe contiene los siguientes botones y opciones.
Tabla 180. Botones del Informe del supervisor de red

Botn
Descripcin
Barra superior
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si la informacin se presenta en un grfico de

columna apilado o un grfico de rea apilado.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
Palo Alto Networks
Uso de Appscope
Informe del mapa de trfico

El informe Mapa de trfico (Ilustracin 12) muestra una vista geogrfica de los flujos de trfico
segn las sesiones o los flujos.
Ilustracin 12. Informe del mapa de trfico de Appscope

Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico.
Este informe contiene los siguientes botones y las siguientes opciones.
Palo Alto Networks
Tabla 181. Botones del Informe del mapa de amenazas

Botn
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Determina si mostrar informacin de sesin o

byte.
Acerque y aleje el mapa.
Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.
Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de trfico, amenazas, filtrado de URL, filtrado de datos y perfil de informacin de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
especficas, puede aplicar filtros a la mayora de los campos de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos
de administracin basado en funcin. Cuando muestra logs, solo se incluye la
informacin de cuyo permiso dispone. Para obtener informacin acerca de los
permisos de administrador, consulte Definicin de funciones de administrador.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Palo Alto Networks
Tabla 182. Descripciones del log

Grfico
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas
incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y
puertos, el nombre de la aplicacin, el nombre de la regla de seguridad aplicada
al flujo, la accin de la regla (permitir, denegar o borrar), la interfaz de entrada y
salida, el nmero de bytes y la razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.
Amenaza
Muestra una entrada para cada alarma de seguridad generada por el

cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o
URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicacin
y la accin de alarma (permitir o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el
mismo origen y destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica el tipo de amenaza, como virus o
spyware. La columna Nombre es la descripcin de la amenaza o URL y la
columna Categora es la categora de la amenaza (como Registrador de
pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una
entrada para acceder a los paquetes capturados, como se indica en la siguiente
ilustracin. Para activar las capturas de paquetes locales, consulte las
subdivisiones en Perfiles de seguridad.
filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web.
Puede activar la creacin de logs de las opciones de encabezados HTTP para la
URL. Consulte Perfiles de filtrado de URL para obtener ms informacin sobre
cmo definir perfiles de filtrado de URL.
Envos a WildFire
Muestra logs de archivos que se han cargado y actualizado por el servidor

WildFire, los datos de logs se reenvan al dispositivo despus del anlisis junto
con los resultados del anlisis.
Palo Alto Networks
Tabla 182. Descripciones del log (Continuacin)

Grfico
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos para obtener ms informacin sobre cmo definir
perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono . Introduzca la contrasea y haga clic en
ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas para
obtener instrucciones acerca de cmo cambiar o eliminar la contrasea de
proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Este log tambin muestra informacin de perfiles de bloqueo de archivos. Por
ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que
estaban bloqueados. Si reenva archivos a WildFire, podr ver los resultados de
dicha accin. En este caso, si reenva archivos PE a WildFire, por ejemplo, el log
mostrar que el archivo fue reenviado y tambin el estado para saber si se carg
correctamente en WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.
Coincidencias
HIP
Muestra informacin acerca de las polticas de seguridad aplicadas a clientes de

GlobalProtect. Para obtener ms informacin, consulte Configuracin del portal
de GlobalProtect.
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Definicin de configuracin de alarmas.
Interaccin con logs

Use los filtros: Los filtros le permiten analizar los archivos de logs en funcin de sus
necesidades. Por ejemplo, puede ver logs de un atributo especfico, como una direccin IP
dentro de un periodo especfico.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host
en la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y
la bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para
Palo Alto Networks
agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para
cerrar la ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista
filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha
definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en la
lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar
filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar
filtro, introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo
cualquier filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el
archivo o guardarlo en el disco y seleccione la casilla de verificacin si desea continuar
utilizando la misma opcin. Haga clic en ACEPTAR.
Exportar logs: Para exportar la lista actual de logs en formato CSV, seleccione el icono
Exportar a CSV
. De manera predeterminada, la exportacin de la lista de logs al
formato CSV genera un informe CSV con hasta 2.000 lneas de logs. Para cambiar el lmite
de lnea de los informes CSV generados, utilice el campo Mx. de filas en exportacin
CSV (seleccione Dispositivo > Configuracin > Gestin > Configuracin de log e
informes > Exportacin e informes de logs o consulte Definicin de la configuracin de
gestin).
Cambiar el intervalo de actualizacin automtico: Seleccione un intervalo en el men

desplegable (1 min, 30 segundos, 10 segundos o Manual).
Cambie las entradas que se muestran por pgina: Las entradas de logs se recuperan en
bloques de 10 pginas. Utilice los controles de pgina en la parte inferior de la pgina
para navegar por la lista de logs. Para cambiar el nmero de entradas de logs por pgina,
seleccione el nmero de filas en el men desplegable Filas. Para ordenar los resultados de
modo ascendente o descendente, use el men desplegable ASC o DESC.
Resolver direcciones IP a los nombres de dominio: Seleccione la casilla de verificacin

Resolver nombre de host para iniciar la resolucin de direcciones IP externas en nombres
de dominio.
Ver detalles de log adicionales: Para mostrar detalles adicionales, haga clic en el icono de
catalejo
Palo Alto Networks
de una entrada.
Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.
Visualizacin de la informacin del sistema

Supervisar > Explorador de sesin
Abra la pgina Explorador de sesin para explorar y filtrar sesiones actualmente en ejecucin
en el cortafuegos. Para obtener informacin acerca de las opciones de filtrado en esta pgina,
consulte Visualizacin de logs.
Palo Alto Networks

El motor de correlacin automatizada realiza un seguimiento de los patrones de su red y
correlaciona eventos que indican un aumento de los comportamientos o eventos sospechosos
que se convierten en actividad malintencionada. El motor funciona como su analista de
seguridad personal, que escudria eventos aislados en los diferentes conjuntos de logs en el
cortafuegos, solicita los datos de patrones especficos y analiza la informacin obtenida para
que pueda disponer de informacin procesable.
El motor de correlacin usa objetos de correlacin que generan eventos correlacionados. Los
eventos correlacionados cotejan las pruebas para ayudarle a llevar un seguimiento de eventos
comunes entre eventos de red no relacionados a primera vista; adems, le permite centrarse
en la respuesta a incidentes.
El motor de correlacin automatizada solo es compatible con las siguientes plataformas:
Panorama: M-Series y el dispositivo virtual

Cortafuegos de la serie PA-3000
Qu desea saber?
Consulte
Qu son los objetos de

correlacin?
Visualizacin de los objetos de correlacin
Qu es un evento
correlacionado?
Visualizacin de los eventos correlacionados
Dnde puedo ver una prueba

de coincidencia para una
coincidencia de correlacin?
Cmo puedo ver una vista
grfica de coincidencias de
correlacin?
Desea obtener ms
informacin?
Consulte el widget de hosts en riesgo en Centro de

control de aplicaciones.
Consulte Use el motor de correlacin automatizada
Visualizacin de los objetos de correlacin

Supervisar > Motor de correlacin automatizada > Objetos de correlacin
Para contrarrestar los avances en los mtodos de explotacin y distribucin de malware, los
objetos de correlacin amplan las funciones de deteccin de malware basadas en firmas en el
cortafuegos. Ofrecen la inteligencia para identificar patrones de comportamiento sospechosos
en diferentes conjuntos de logs y recopilan las pruebas necesarias para investigar y dar
respuestas rpidas a los eventos.
Un objeto de correlacin es un archivo de definicin que especifica patrones para la bsqueda
de coincidencias, orgenes de datos que se usarn para las bsquedas y el periodo durante el
que buscarn dichos patrones. Un patrn es una estructura booleana de condiciones que
consulta los orgenes de datos y a cada patrn se le asigna un nivel de gravedad y un umbral,
Palo Alto Networks
que es el nmero de veces que se produce una coincidencia con el patrn dentro de un lmite
de tiempo definido. Cuando se produce una coincidencia con un patrn, se registra un evento
de correlacin.
Los orgenes de datos usados para realizar las bsquedas pueden incluir los siguientes logs:
estadsticas de aplicacin, trfico, resumen de trfico, resumen de amenazas, amenazas,
filtrado de datos y filtrado de URL. Por ejemplo, la definicin de un objeto de correlacin
puede incluir un conjunto de patrones que consulta los logs en busca de pruebas de hosts
infectados, patrones de malware, movimiento lateral del malware en el trfico, filtrado de
URL y logs de amenazas.
Palo Alto Networks define los objetos de correlacin, que se incluyen en las actualizaciones de
contenido. Debe contar con una licencia de prevencin de amenazas para obtener
actualizaciones de contenido.
Un objeto de correlacin incluye los siguientes campos:
Campo
Descripcin
Nombre y
ttulo
La etiqueta indica el tipo de actividad que detecta el objeto de correlacin.
ID
Un nmero exclusivo que identifica el objeto de correlacin. Este nmero

pertenece a la serie 6000.
Categora
Resumen del tipo de amenaza o riesgo para la red, usuario o host.
Estado
Indica si el objeto de correlacin est habilitado (activo) o deshabilitado (inactivo).
Descripcin
Especifica las condiciones de coincidencia con las que el cortafuegos o Panorama

analizar los logs. Describe el patrn de aumento o ruta de progresin que se
usar para identificar la actividad malintencionada o el comportamiento
sospechoso del host.
Todos los objetos de correlacin estn habilitados de forma predeterminada. Para deshabilitar
un objeto, seleccione la casilla de verificacin junto al objeto y haga clic en Deshabilitar.
Visualizacin de los eventos correlacionados

Supervisar > Motor de correlacin automatizada > Eventos correlacionados
Los eventos correlacionados amplan las funciones de deteccin de amenazas en el
cortafuegos y Panorama; los eventos correlacionados recopilan pruebas o sospechas de
comportamiento inusual en los hosts en la red.
El objeto de correlacin permite pivotar en ciertas condiciones o comportamientos y seguir la
pista de eventos comunes en mltiples orgenes de logs. Cuando se observa un conjunto de
condiciones especificadas en un objeto de correlacin en la red, cada coincidencia se registra
como un evento correlacionado.
El evento correlacionado incluye los siguientes detalles:
Campo
Descripcin
Hora de
coincidencias
La hora a la que el objeto de correlacin activ una coincidencia.
Hora de
actualizacin
La marca de tiempo a la que se actualiz la ltima coincidencia.
Palo Alto Networks
Campo
Descripcin
Nombre de objeto
El nombre del objeto de correlacin que activ la coincidencia.
Direccin de origen
La direccin IP del usuario desde el que se origin el trfico.
Usuario de origen
La informacin del usuario y grupo de usuario del servidor de directorios si

se habilita el User-ID.
Gravedad
Una escala que clasifica el riesgo en funcin del alcance de los daos.
Resumen
Una descripcin que resume las pruebas recopiladas en el evento

correlacionado.
Para mostrar detalles adicionales, haga clic en la vista de log detallada

Este log detallado incluye todas las pruebas de una coincidencia:
de una entrada.
Pestaa
Descripcin
Informacin de
coincidencias
Detalles de objeto: Presenta la informacin del objeto de correlacin que

activ la coincidencia. Para obtener ms informacin sobre los objetos de
correlacin, consulte Visualizacin de los objetos de correlacin.
Detalles de coincidencia: Un resumen de los detalles de coincidencia que
incluye la hora de la coincidencia, la ltima hora de actualizacin de la
prueba de coincidencia, la gravedad del evento y un resumen de eventos.
Evidencia de
coincidencias
Esta pestaa incluye todas las pruebas que corroboran el evento

correlacionado. Enumera la informacin detallada en las pruebas recopiladas
de cada sesin.
Consulte una vista grfica de la informacin en la pestaa Eventos correlacionados, consulte

el widget Hosts en riesgo en la pestaa ACC > Actividad de amenazas. En el widget Hosts en
riesgo, la vista se compone de usuarios y direcciones IP de origen ordenados por nivel de
gravedad.
Para configurar notificaciones al registrar un evento de correlacin, vaya a la pestaa
Dispositivo > Configuracin de log o Panorama > Configuracin de log.

La funcin Informe de Botnet le permite utilizar mecanismos basados en el comportamiento
para identificar posibles hosts infectados por Botnet en la red. Mediante el uso de logs de
filtrado de datos, URL, amenazas y red, el cortafuegos evala las amenazas segn criterios
que incluyen visitas a sitios de malware y sitios de DNS dinmicos, visitas a dominios
registrados recientemente (en los 30 ltimos das), uso de aplicaciones desconocidas y la
existencia de trfico de Internet Relay Chat (IRC).
Despus de establecer una correlacin e identificacin de los hosts que coinciden con un
comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un
margen de confianza del 1 al 5 para indicar la probabilidad de infeccin del botnet (1 indica la
probabilidad de infeccin ms baja y 5 la probabilidad ms alta). Como los mecanismos de
deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un periodo de 24 horas, el cortafuegos genera un informe cada 24 horas
con una lista de hosts ordenada basndose en un nivel de confianza.
Palo Alto Networks
Configuracin del informe de Botnet

Supervisar > Botnet
Utilice estos ajustes para especificar tipos de trfico sospechoso (trfico que puede indicar
actividad de botnet). Para configurar los ajustes, haga clic en el botn Configuracin en el
lado derecho de la pgina Botnet.
Tabla 183. Ajustes de configuracin de Botnet

Campo
Descripcin
Trfico HTTP
Seleccione la casilla de verificacin Habilitar para los eventos que desea

incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios
que se estn comunicando con URL con software malintencionado
conocidas basndose en las categoras de filtrado de URL de software
malintencionado y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que
pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan
dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en
dominios que se han registrado en los ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos
ejecutables descargados desde URL desconocidas.
Aplicaciones
desconocidas
Seleccione las casillas de verificacin para marcar TCP desconocidos o

aplicaciones de UDP desconocidas como sospechosas y especifique las
siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora
asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la
aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga
Bytes mximos: Tamao mximo de carga.
IRC
Seleccione la casilla de verificacin para incluir servidores IRC como

sospechosos.
Palo Alto Networks
Gestin de informes de Botnet

Supervisar > Botnet > Configuracin de informes
Puede especificar consultas de informes y luego generar y ver informes de anlisis de botnet.
Los informes estn basados en los ajustes de configuracin de botnet (consulteConfiguracin
del informe de Botnet). Puede incluir o excluir direcciones IP de origen o destino, usuarios,
zonas, interfaces, regiones o pases.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar
informes a peticin haciendo clic en Ejecutar ahora en la ventana donde define las consultas
de informe. El informe generado aparece en la pgina Botnet.
Para gestionar informes de botnet, haga clic en el botn Ajuste de informe en el lado derecho
de la pgina Botnet.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Tabla 184. Configuracin de informe de Botnet

Campo
Descripcin
Perodo de ejecucin
del informe
Seleccione el intervalo de tiempo para el informe (ltimas 24 horas o

ltimo da del calendario).
# Filas
Especifique el nmero de filas en el informe.
Programado
Seleccione la casilla de verificacin para ejecutar el informe diariamente.

Si no se selecciona la casilla de verificacin, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la
ventana Informe de Botnet.
Generador de consultas
Cree la consulta de informe especificando lo siguiente y luego haga clic en

Aadir para agregar la expresin configurada a la consulta. Repita las
veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o
destino.
Operador: Especifique el operador para relacionar el atributo con un
valor.
Valor: Especifique el valor para coincidir.
Negar
Palo Alto Networks
Seleccione la casilla de verificacin para aplicar la negacin a la consulta

especificada, lo que significa que el informe contendr toda la
informacin que no sea resultado de la consulta definida.

Supervisar > Informes en PDF > Gestionar resumen de PDF
Los informes de resumen en PDF contienen informacin recopilada de informes existentes,
basndose en datos de los 5 principales de cada categora (en vez de los 50 principales).
Tambin pueden contener grficos de tendencias que no estn disponibles en otros informes.
Ilustracin 13. Informe de resumen en PDF
Palo Alto Networks
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Ilustracin 14. Gestin de informes en PDF

Use una o ms de estas opciones para disear el informe:
Para eliminar un elemento del informe, haga clic en el icono
en la esquina superior
derecha del cuadro de icono del elemento o elimine la casilla de verificacin del elemento
en el cuadro de lista desplegable correcto junto a la parte superior de la pgina.
Seleccione elementos adicionales seleccionndolos de los cuadros de la lista desplegable

junto a la parte superior de la pgina.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo de
informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Palo Alto Networks

Supervisar > Informes en PDF > Informe de actividad del usuario
Utilice esta pgina para crear informes que resumen la actividad de usuarios individuales o
grupos de usuarios. Haga clic en Nuevo y especifique la siguiente informacin.
Tabla 185. Configuracin del informe de actividad del usuario/grupo

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).

bajos.
Tipo
Para informe de actividad de usuario: Seleccione Usuario e introduzca el

nombre de usuarioo direccin IP (IPv4 o IPv6) del usuario que ser el
asunto del informe.
En Panorama, debe haber configurado un dispositivo principal para cada
grupo de dispositivo para recuperar la informacin del grupo de usuarios
y generar el informe.
Para informe de actividad de grupo: Seleccione grupo e introduzca el
nombre del grupo.
En Panorama no puede crear informes de actividad del grupo porque
Panorama no tiene la informacin para asignar usuarios a los grupos.
Perodo de tiempo
Seleccione el perodo de tiempo para el informe en la lista desplegable.
Incluir navegacin
detallada
Seleccione esta opcin si quiere incluir logs de URL detallados en el

informe.
La informacin de navegacin detallada puede incluir un gran volumen de

logs (miles de logs) para el usuario o grupo de usuarios seleccionado y
puede hacer que el informe sea muy extenso.
El informe de actividad de grupo no incluye Resumen de navegacin por categora de URL;
el resto de informacin es comn para el informe de actividad de usuarios y el informe de
actividad de grupo.
Para ejecutar el informe a peticin, haga clic en Ejecutar ahora; para cambiar el nmero
mximo de filas que mostrar el informe, consulte Configuracin de log e informes.
Para guardar el informe, haga clic en Aceptar. Puede programar la entrega del informe por
correo electrnico; consulte Programacin de informes para entrega de correos electrnicos.
Palo Alto Networks

Supervisar > Informes en PDF > Grupos de informes
Los grupos de informes le permiten crear conjuntos de informes que el sistema puede
compilar y enviar como un informe agregado en PDF nico con una pgina de ttulo opcional
y todos los informes constituyentes incluidos.
Tabla 186.
Configuracin de grupo de informes
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el grupo de informe (de hasta

guiones bajos.
Pgina de ttulo
Seleccione la casilla de verificacin para incluir una pgina de ttulo en el

informe.
Ttulo
Introduzca el nombre que aparecer como el ttulo del informe.
Seleccin del informe
Seleccione informes de la columna izquierda y haga clic en Aadir para

mover cada informe al grupo de informes en la derecha. Puede seleccionar
tipos de informe Predefinidos, Personalizados, De resumen en PDF y Vista
de log.
El informe Vista de log es un tipo de informe que se crea automticamente
cada vez que crea un informe personalizado y utiliza el mismo nombre que
el informe personalizado. Este informe mostrar los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de informes,
agregue su informe personalizado a la lista Informes personalizados y
luego agregue el informe de vista de log seleccionando el nombre del
informe coincidente de la lista Vista de log. Cuando reciba el informe, ver
sus datos del informe personalizado seguidos por los datos de log que se
han utilizado para crear el informe personalizado.
Para utilizar el grupo de informes, consulte Programacin de informes para entrega de

correos electrnicos.
Palo Alto Networks
Programacin de informes para entrega de correos electrnicos
Programacin de informes para entrega de correos

electrnicos
Supervisar > Informes en PDF > Programador de correo electrnico
Utilice el programador de correo electrnico para programar informes para la entrega de
correo electrnico. Antes de agregar un programa, debe definir grupos de informe y un perfil
de correo electrnico. Consulte Gestin de grupos de informes y Configuracin de ajustes
de notificaciones por correo electrnico.
Los informes programados comienzan a ejecutarse a las 2:00 AM y el reenvo de correo
electrnico se produce despus de que finalice la ejecucin de todos los informes
programados.
Tabla 187. Configuracin del programador de correo electrnico

Campo
Descripcin
Nombre
Permite introducir un nombre para identificar el programa (de hasta

guiones bajos.
Grupo de informes
Seleccione el grupo de informes (consulte Gestin de grupos de

informes).
Periodicidad
Seleccione la frecuencia con la que generar y enviar el informe.
Perfil de correo
electrnico
Seleccione el perfil que define los ajustes de correo electrnico. Consulte

Configuracin de ajustes de notificaciones por correo electrnico para
obtener ms informacin sobre cmo definir perfiles de correo electrnico.
Cancelar correos
electrnicos del
destinatario
Introduzca una direccin de correo electrnico opcional para utilizar en

lugar del destinatario especificado en el perfil de correo electrnico.
Visualizacin de informes
Supervisar > Informes
El cortafuegos proporciona diversos informes de los 50 principales de las estadsticas de
trfico del da anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior. Para
ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de informe
en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar a
CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF. Los
archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte superior
de la ventana para imprimir o guardar el archivo.
Palo Alto Networks

Supervisar > Gestionar informes personalizados
Puede crear informes personalizados basados opcionalmente en plantillas de informe
existentes. Los informes se pueden ejecutar a peticin o programar para su ejecucin cada
noche. Para ver informes definidos previamente, seleccione Informes en el men lateral.
Haga clic en Aadir para crear un nuevo informe personalizado. Para basar un informe en
una plantilla existente, haga clic en Cargar plantilla y seleccione la plantilla.
Especifique los siguientes ajustes para definir el informe.
Tabla 188. Configuracin de informes personalizados

Campo
Nombre
Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
guiones bajos.
Base de datos
Seleccione la base de datos para utilizar como el origen de datos para el

informe.
Perodo de tiempo
Seleccione un perodo de tiempo fijo o seleccione Personalizado y

especifique un intervalo de fecha y hora.
Ordenar por
cantidad de informacin para incluir en el informe. Las opciones
Seleccione opciones de orden para organizar el informe, incluyendo la

disponibles dependen de la eleccin de la base de datos.
Seleccione opciones de orden para organizar el informe, incluyendo la
Agrupar por
cantidad de informacin para incluir en el informe. Las opciones

disponibles dependen de la eleccin de la base de datos.
Programado
Seleccione la casilla de verificacin para ejecutar el informe cada noche.

Los informes luego estarn disponibles seleccionando Informes en el
men lateral.
Columnas
Seleccione columnas para incluir en el informe desde la lista Disponible

Columna y utilice las el icono para moverlas a la lista Seleccionadas
Columnas. Utilice las flechas hacia arriba y hacia abajo para volver a
ordenar las columnas seleccionadas y utilice el icono menos para
eliminar las columnas seleccionadas anteriormente.
Palo Alto Networks
Tabla 188. Configuracin de informes personalizados (Continuacin)

Campo
Descripcin
Generador de consultas
Para crear una consulta de informe, especifique lo siguiente y haga clic en

Aadir. Repita las veces que sean necesarias para crear la consulta completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que
est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta
como una negativa. En el ejemplo anterior, la opcin negar causa una
coincidencia en entradas que no se han producido en las ltimas 24
horas o que no son de la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles
dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo
(como =). Las opciones disponibles dependen de la eleccin de la base
de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de
trfico) muestra una consulta que coincide si se ha recibido la entrada de
log de trfico en las ltimas 24 horas de la zona no fiable.
Para obtener ms informacin, consulte Generacin de informes personalizados.

Supervisar > Captura de paquetes
Todos los cortafuegos de Palo Alto Networks tienen integrada una funcin de captura de
paquetes (pcap) que puede utilizar para capturar paquetes que atraviesen las interfaces de red
del cortafuegos. A continuacin, puede utilizar los datos capturados para solucionar
problemas o para crear firmas de aplicaciones personalizadas.
La funcin de captura de paquetes hace un uso intensivo de la CPU y puede reducir
el rendimiento del cortafuegos. Utilice esta funcin nicamente cuando sea
necesario y asegrese de desactivarla cuando haya recopilado los paquetes
necesarios.
Palo Alto Networks
Qu desea saber?
Consulte
Cules son los diferentes

mtodos que puede utilizar el
cortafuegos para capturar
paquetes?
Descripcin general de captura de paquetes
Cmo puedo generar una

captura de paquetes
personalizada?
Componentes de una captura de paquetes

personalizada
Cmo puedo generar capturas

de paquetes cuando el
cortafuegos detecte una
amenaza?
Habilitacin de captura de paquetes de amenazas
Dnde puedo descargar una

captura de paquetes?
Desea obtener ms
informacin?
Cmo puedo activar la captura de paquetes

extendida para perfiles de seguridad? Consulte
Definicin de la configuracin de ID de contenido.
Cmo puedo utilizar capturas de paquetes para
escribir firmas de aplicaciones personalizadas? Consulte
Doc-2015. Tenga en cuenta que este ejemplo utiliza una
aplicacin externa, pero puede utilizar el cortafuegos para
capturar los paquetes necesarios.
Cmo puedo impedir que un administrador de
cortafuegos visualice capturas de paquetes? Consulte la
definicin del acceso de administrador a la interfaz web.
Para obtener un ejemplo, consulte Realizacin de
capturas de paquetes.

Puede configurar un cortafuegos de Palo Alto Networks para que realice una captura de
paquetes personalizada o una captura de paquetes de amenazas.
Captura de paquetes personalizada: Capture paquetes para todo el trfico o el trfico

basado en los filtros que defina. Por ejemplo, puede configurar el cortafuegos para que
solamente capture paquetes hacia y desde una direccin IP o un puerto de origen y
destino especficos. Estas capturas de paquetes se utilizan para solucionar problemas
relacionados con el trfico de red o para recopilar atributos de aplicaciones con el fin de
escribir firmas de aplicaciones personalizadas. Puede configurar este tipo de captura de
paquetes en Supervisar > Captura de paquetes. Debe definir el nombre de archivo en
funcin de la etapa (Descartar, Cortafuegos, Recepcin transmisin) y, cuando la pcap
haya finalizado, descargar la pcap en la seccin Archivos capturados.
Palo Alto Networks
Captura de paquetes de amenazas: Capture paquetes cuando el cortafuegos detecte un

virus, spyware o una vulnerabilidad. Puede activar esta funcin en los perfiles de
seguridad Antivirus, Antispyware y Proteccin de vulnerabilidades. Estas capturas de
paquetes le ofrecen el contexto de una amenaza para ayudarle a determinar si un ataque
ha tenido xito o para obtener ms informacin sobre los mtodos utilizados por un
atacante. La accin para la amenaza debe establecerse como permitir o alertar; de lo
contrario, la amenaza se bloquear y no se podrn capturar los paquetes. Puede
configurar este tipo de captura de paquetes en Objetos > Perfiles de seguridad. Para
descargar las pcaps, seleccione Supervisar > Amenaza, y ver el icono de descarga de
pcap
en la segunda columna del log de amenazas.
Componentes de una captura de paquetes personalizada

La tabla siguiente describe los componentes de la pgina Supervisar > Captura de paquetes
que se utiliza para configurar capturas de paquetes, habilitar la captura de paquetes y
descargar archivos de captura de paquetes.
Palo Alto Networks
Tabla 189. Bloques de creacin de una captura de paquetes personalizada

Campo
Configurado en
Descripcin
Gestionar filtros
Configurar filtrado
Cuando habilite capturas de paquetes personalizadas,

debera definir filtros de modo que solamente se capturen los
paquetes que coincidan con los filtros. Esto facilitar la
localizacin de la informacin que necesita en las pcaps y
reducir la potencia de procesamiento que necesitar el
cortafuegos para realizar la captura de paquetes.
Haga clic en Aadir para aadir un nuevo filtro y configurar
los campos siguientes:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz de entrada en la
que quiera capturar el trfico.
Origen: Especifique la direccin IP de origen del trfico
que quiera capturar.
Destino: Especifique la direccin IP de destino del trfico
que quiera capturar.
Puerto de origen: Especifique el puerto de origen del
trfico que quiera capturar.
Puerto de destino: Especifique el puerto de destino del
trfico que quiera capturar.
Proto: Especifique el nmero de protocolo que desee filtrar
(1-255). Por ejemplo, ICMP es el nmero de protocolo 1.
No Ip: Seleccione cmo tratar el trfico no IP (excluir todo
el trfico IP, incluir todo el trfico IP, incluir solo trfico IP
o no incluir un filtro de IP). La difusin y AppleTalk son
ejemplos de trfico no IP.
IPv6: Seleccione la casilla de verificacin para incluir
paquetes de IPv6 en el filtro.
Filtrado
Configurar filtrado
Anterior a la
coincidencia
Configurar filtrado
Tras definir los filtros, establezca el Filtrado como

ACTIVADO. Si el filtrado est DESACTIVADO,
se capturar todo el trfico.
Esta opcin se utiliza para la resolucin de problemas
avanzada. Cuando un paquete se introduce en el puerto de
entrada, se llevan a cabo varios pasos de procesamiento antes
de analizarlo en busca de coincidencias frente a filtros
preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la
etapa de filtrado. Eso puede ocurrir, por ejemplo, si falla una
bsqueda de ruta.
Establezca el ajuste Anterior a la coincidencia como
ACTIVADO para emular una coincidencia positiva de cada
paquete que entre en el sistema. Eso permite que el
cortafuegos capture paquetes que no alcancen el proceso de
filtrado. Si un paquete puede alcanzar la etapa de filtrado, se
procesar de acuerdo con la configuracin del filtro y se
descartar si no consigue cumplir los criterios de filtrado.
Palo Alto Networks
Tabla 189. Bloques de creacin de una captura de paquetes personalizada

Campo
Configurado en
Descripcin
Captura de
paquetes
Configurar captura
Captura de paquetes: Haga clic en el conmutador de

alternancia para cambiar el estado de la captura de
paquetes de ACTIVADO a DESACTIVADO o viceversa.
Debe seleccionar al menos una etapa de captura. Haga clic
en Aadir y especifique la siguiente informacin:
Etapa: Indique el punto en el que capturar paquetes:
Descartar: Cuando el procesamiento de paquetes
encuentra un error y el paquete se descarta.
Cortafuegos: Cuando el paquete tiene una coincidencia de sesin o se crea un primer paquete con una
sesin correctamente.
Recibir: Cuando se recibe el paquete en el procesador
de plano de datos.
Transmitir: Cuando se transmite el paquete en el
procesador de plano de datos.
Archivo: Especifica el nombre del archivo de captura. El
nombre del archivo debe comenzar por una letra y puede
incluir letras, dgitos, puntos, guiones bajos o guiones.
Recuento de bytes: Especifica el nmero mximo de
bytes a partir del cual se detiene la captura.
Recuento de paquetes: Especifica el nmero mximo de
paquetes a partir del cual se detiene la captura.
Archivos
capturados
Archivos capturados
Contiene una lista de capturas de paquetes personalizadas

generadas previamente por el cortafuegos. Haga clic en un
archivo para descargarlo en su ordenador. Para eliminar
una captura de paquetes, haga clic en la casilla de
verificacin situada a la izquierda del archivo y, a
continuacin, haga clic en Eliminar en la parte inferior de la
ventana.
Nombre de archivo: Enumera los archivos de capturas de
paquetes. Los nombres de archivos se basan en el nombre
de archivo que especifique para la etapa de captura.
Fecha: Fecha en la que se gener el archivo.
Tamao (MB): Tamao del archivo de captura.
Despus de activar la captura de paquetes y desactivarla a
continuacin, debe hacer clic en el icono de
actualizacin
ubicado encima de la seccin Archivos
capturados para que puedan aparecer nuevos archivos de
pcap en esta lista.
Borrar toda la
configuracin
Configuracin
Haga clic en Borrar toda la configuracin para desactivar la

captura de paquetes y borrar todos los ajustes de capturas
de paquetes. Tenga en cuenta que esto no desactiva la
captura de paquetes establecida en un perfil de seguridad.
Para obtener informacin sobre cmo habilitar la captura de
paquetes en un perfil de seguridad, consulte Habilitacin
de captura de paquetes de amenazas.
Palo Alto Networks
Habilitacin de captura de paquetes de amenazas

Supervisar > Perfiles de seguridad
Para habilitar el cortafuegos para que capture paquetes cuando detecte una amenaza, habilite
la opcin de captura de paquetes en el perfil de seguridad.
En primer lugar, seleccione Supervisar > Perfiles de seguridad y, a continuacin, modifique
el perfil que desee como se describe en la tabla siguiente:
Perfil de
seguridad
Opcin de captura de paquetes
Antivirus
Seleccione un perfil de antivirus personalizado y, en la pestaa Antivirus,

seleccione la casilla de verificacin Captura de paquetes.
Antispyware
Seleccione un perfil antispyware personalizado, haga clic en la pestaa Firmas

DNS y, en la lista desplegable Captura de paquetes, seleccione Paquete nico o
Captura extendida.
Proteccin de
vulnerabilidades
Seleccione un perfil de proteccin de vulnerabilidades personalizado y, en la

pestaa Reglas, haga clic en Aadir para aadir una nueva regla o seleccionar
una regla existente. A continuacin, seleccione la lista desplegable Captura de
paquetes y seleccione Paquete nico o Captura extendida.
Nota: En los perfiles de antispyware y de proteccin de vulnerabilidades, tambin

puede habilitar la captura de paquetes en excepciones. Haga clic en la pestaa
Excepciones y en la columna Captura de paquetes de una firma, haga clic en la
lista desplegable y seleccione Paquete nico o Captura extendida.
(Opcional) Para definir la longitud de una captura de paquetes de amenazas en funcin del
nmero de paquetes capturados (lo cual se basa en un ajuste global), seleccione Dispositivo >
Configuracin > Content-ID y, en la seccin Configuracin de ID de contenidos, modifique la
Longitud de captura de paquetes extendida (campo paquetes) (el intervalo es 1-50, el valor
predeterminado es 5).
Tras habilitar la captura de paquetes en un perfil de seguridad, debe verificar que el perfil
forme parte de una regla de seguridad. Para obtener informacin sobre cmo aadir un perfil
de seguridad a una regla de seguridad, consulte Descripcin general de polticas de
seguridad.
Cada vez que el cortafuegos detecta una amenaza cuando la captura de paquetes est
habilitada en el perfil de seguridad, puede hacer clic en el icono de captura de paquetes (
ubicado en la segunda columna del log para ver o exportar la captura de paquetes.
Palo Alto Networks
Palo Alto Networks
Captulo 7
Configuracin del cortafuegos para el

usuario de usuarios
Configuracin del cortafuegos para la identificacin de usuarios
Pestaa Asignacin de usuario
Pestaa Agentes de ID de usuarios
Pestaa Agentes de servicios de terminal
Pestaa Asignacin de grupos
Pestaa Configuracin de portal cautivo

Dispositivo > Identificacin de usuarios
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin
de Palo Alto Networks que le permite crear polticas y realizar informes basndose en
usuarios y grupos en lugar de direcciones IP individuales. Si est configurando un
cortafuegos con varios sistemas virtuales, debe crear una configuracin de identificacin de
usuarios distinta para cada sistema virtual; la informacin de asignacin de usuarios no se
comparte entre los distintos sistemas virtuales. Seleccione el sistema virtual que quiere
configurar para identificacin de usuarios en el men desplegable Ubicacin de la parte
superior de la pgina Identificacin de usuarios.
Despus de seleccionar un sistema virtual (si corresponde), utilice los ajustes de esta pgina
para establecer la configuracin de la identificacin de usuario.

Palo Alto Networks

Utilice la pestaa Asignacin de usuario para configurar un cortafuegos que recupere los
datos de asignacin de direccin IP a nombre de usuario directamente de los servidores de
dominio. Esta funcin no requiere la instalacin de un agente de ID de usuarios en los
servidores de dominio. El cortafuegos tambin puede configurarse para redistribuir la
informacin de asignacin del usuario a otros cortafuegos.
Tabla 190. Configuracin de asignacin de usuarios

Campo
Descripcin
Configuracin de agente de ID de usuario de Palo Alto Networks

Esta seccin de la pantalla muestra los ajustes que utilizar el cortafuegos para realizar
la asignacin de direccin IP a usuario. Para configurar los ajustes, haga clic en el icono
Editar , que abre el cuadro de dilogo de configuracin, el cual contiene las
siguientes pestaas:
Pestaa Autenticacin de WMI
Pestaa Supervisor del servidor
Pestaa Sondeo de cliente
Pestaa Almacenamiento en cach
Pestaa NTLM
Pestaa Redistribucin
Pestaa Filtrados de Syslog
Pestaa
Autenticaci
n de WMI
Utilice esta pestaa secundaria para establecer las credenciales de dominio de la cuenta
que utilizar el cortafuegos para acceder a recursos de Windows. Esto es necesario
para supervisar servidores Exchange y controladores de dominio, as como para el
sondeo de WMI.
Nombre de usuario: Especifique la cuenta con permisos para realizar consultas de
WMI en equipos cliente y supervisin de servidor. Introduzca el nombre de usuario
mediante la sintaxis de dominio/nombre de usuario.
Contrasea/Confirmar contrasea: Especifique la contrasea de la cuenta.
Palo Alto Networks
Tabla 190. Configuracin de asignacin de usuarios (Continuacin)

Campo
Descripcin
Pestaa
Supervisor
del servidor
Habilitar log de seguridad: Seleccione la casilla de verificacin para habilitar la

supervisin de logs de seguridad en servidores Windows. Se consultarn los logs de
seguridad para ubicar la informacin de asignacin de direccin IP a nombre de
usuario en los servidores especificados en la lista Supervisin de servidor.
Frecuencia del supervisor de log del servidor (seg.): Especifique con qu frecuencia en
segundos consultar el cortafuegos los servidores de Windows para obtener
informacin de asignacin de direccin IP a nombre de usuario (valor predeterminado:
2 segundos, intervalo: 1-3600 segundos). Este es el intervalo entre cuando el
cortafuegos termina de procesar la ltima consulta y cuando comienza con la siguiente.
Habilitar sesin: Seleccione la casilla de verificacin para habilitar la supervisin de
sesiones de usuario en los servidores especificados en la lista Supervisin de servidor.
Cada vez que un usuario se conecta a un servidor, se crea una sesin y esta informacin
se puede utilizar tambin para identificar la direccin IP del usuario.
Frecuencia de lectura de sesin de servidor (seg.): Especifique con qu frecuencia en
segundos consultar las sesiones de usuario de servidor de Windows para obtener
informacin de asignacin de direccin IP a nombre de usuario (valor predeterminado:
10 segundos, intervalo: 1-3600 segundos). Este es el intervalo entre cuando el
cortafuegos termina de procesar la ltima consulta y cuando comienza con la siguiente.
Intervalo de consulta de Novell eDirectory (seg.): Especifique con qu frecuencia en
segundos consultar el cortafuegos los servidores de Novell eDirectory para la
direccin IP a la informacin de asignacin de nombre de usuario (valor
predeterminado: 30 segundos, intervalo: 1-3600 segundos). Este es el intervalo entre
cuando el cortafuegos termina de procesar la ltima consulta y cuando comienza con la
siguiente.
Perfil de servicio de Syslog: Seleccione un perfil de servicio SSL/TLS que especifica el
certificado y las versiones SSL/TLS permitidas para las comunicaciones entre el
cortafuegos y cualquier remitente de Syslog que supervisa el servicio de ID de usuario.
Para obtener ms informacin, consulte Gestin de perfiles de servicio SSL/TLS Si
selecciona ninguno, el dispositivo usa su certificado preconfigurado y autofirmado.
ADVERTENCIA: Si la carga de consultas es alta para los logs de servidor de

Windows, las sesiones de servidor de Windows o servidores eDirectory, el retardo
observado entre consultas puede superar considerablemente el intervalo o frecuencia
especificados
Palo Alto Networks

Campo
Descripcin
Pestaa
Sondeo de
cliente
Habilitar pruebas: Seleccione esta casilla de verificacin para habilitar el sondeo

WMI/NetBIOS para cada PC cliente identificado por el proceso de asignacin del
usuario. El sondeo ayudar a garantizar que el mismo usuario est an registrado en el
PC cliente con el fin de proporcionar informacin precisa de usuario a IP.
Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC cliente (valor
predeterminado 20 minutos, intervalo 1-1440 minutos). Este es el intervalo entre
cuando el cortafuegos termina de procesar la ltima solicitud y cuando comienza con
la siguiente.
En implementaciones de gran tamao, es importante establecer el intervalo de sondeo
correctamente para proporcionar tiempo para sondear cada cliente identificado.
Por ejemplo, si dispone de 6.000 usuarios y un intervalo de 10 minutos, puede necesitar
10 consultas WMI por segundo de cada cliente.
Note: Si la carga de solicitud de sonda es alta, el intervalo observado entre solicitudes puede
superar considerablemente el intervalo que especifique.
Note: Para que el sondeo de WMI funcione de forma eficaz, se debe configurar el perfil
Asignacin de usuario con una cuenta de administrador de dominio, y cada PC cliente
sondeado debe tener una excepcin de administracin remota configurada en el cortafuegos de
Windows. Para que el sondeo de NetBIOS funcione de forma efectiva, cada PC cliente sondeado
debe proporcionar un puerto 139 en el cortafuegos de Windows y debe tener los servicios de uso
compartido de archivos e impresoras activados.
Pestaa
Almacenamiento en
cach
Habilitar identificacin de usuario: Seleccione esta casilla de verificacin para activar

un valor de tiempo de espera para entradas de asignacin de direccin IP a nombre de
usuario. Cuando se alcanza el valor de tiempo de espera, se borrar la asignacin de
direccin IP a usuario y se recopilar una nueva asignacin. Eso garantizar que el
cortafuegos tiene la informacin ms actual sobre los desplazamientos de los usuarios
y permitir obtener nuevas direcciones IP.
Tiempo de espera de identificacin de usuario (min.): Establezca el valor del tiempo
de espera para las entradas de asignacin de direccin IP a nombre de usuario (valor
predeterminado: 45 minutos, intervalo: 1-1440).
Palo Alto Networks

Campo
Descripcin
Pestaa
NTLM
Habilitar procesamiento de autenticacin de NTLM: Seleccione esta casilla de

verificacin para habilitar el proceso de autenticacin de NT LAN Manager (NTLM).
Cuando las reglas de portal cautivo tienen una accin definida para el navegadordesafo (consulte Definicin de polticas de portal cautivo) para capturar
informacin de asignacin de usuarios, un reto NTLM autenticar de forma
transparente el cliente. Con esta opcin habilitada, el cortafuegos recopilar esta
informacin desde el dominio NTLM.
Cuando configura el cortafuegos para compartir su informacin de ID de usuario con
otros cortafuegos de PAN-OS (consulte Pestaa Redistribucin), puede entregar
consultas de NTLM procedentes de esos cortafuegos, realizando la funcin del agente
de ID de usuarios.
Note: Si usa el agente ID de usuarios basado en Windows, las respuestas NTLM van
directamente al controlador de dominio en el que ha instalado el agente.
Dominio de NTLM: Introduzca el nombre de dominio de NTLM.
Nombre de usuario del administrador: Introduzca la cuenta del administrador que
tiene acceso al dominio de NTLM.
ADVERTENCIA: No incluya el dominio en el campo Nombre de usuario

administrador. De lo contrario, el cortafuegos no podr unirse al dominio.
Contrasea/Confirmar contrasea: Introduzca la contrasea del administrador que
tiene acceso al dominio de NTLM.
Note: Solo puede habilitar el proceso de autenticacin de NTLM en un sistema virtual
(seleccione el sistema virtual en el men desplegable Ubicacin en la parte superior de la
pgina).
Pestaa
Redistribucin
Nombre del recopilador: Especifique el nombre del recopilador si desea que este
cortafuegos acte como punto de redistribucin para la asignacin de usuarios para
cada cortafuegos en su red.
El nombre del recopilador y la clave compartida previamente se utilizan cuando se
configuran los agentes del ID de usuario en los cortafuegos que arrastrarn la
informacin de asignacin del usuario.
Para permitir que el cortafuegos acte como un punto de redistribucin, tambin
deber habilitar el servicio ID de usuario en Red > Perfiles de red > Gestin de
interfaz.
Clave preconvertida/Confirmar clave precompartida: Introduzca la clave
precompartida utilizada por otros cortafuegos para establecer una conexin segura
para transferencias de asignacin de usuarios.
Palo Alto Networks

Campo
Descripcin
Pestaa
Filtrados
de Syslog
Utilice esta pestaa secundaria para especificar cmo debe analizar el cortafuegos los
mensajes de Syslog para extraer informacin de asignacin (direccin IP y nombre de
usuario) a partir de los mensajes de Syslog que recibe. Para aadir un filtro de Syslog,
haga clic en Aadir y, a continuacin, cumplimente los siguientes campos. Puede crear
filtros distintos de diferentes emisores de Syslogs. Debe especificar qu filtro se debe
utilizar cuando agregue al emisor a la lista de servidores supervisados. Adems, antes
de que los mensajes de Syslog sean aceptados en una interfaz, el servicio de escucha de
Syslog debe estar habilitado en el perfil de gestin asociado con la interfaz.
Perfil de anlisis de Syslog: Introduzca un nombre para el perfil de anlisis (hasta
63 caracteres alfanumricos). Palo Alto Networks proporciona varios filtros de Syslog
predefinidos, que se distribuyen como actualizaciones de contenido de aplicacin y,
por lo tanto, se actualizan dinmicamente como filtros nuevos. Los filtros predefinidos
son generales para el cortafuegos, mientras que los filtros manuales solo se aplican a
un sistema virtual.
Descripcin: Introduzca una descripcin para el perfil (hasta 255 caracteres
alfanumricos).
Tipo: Especifique el tipo de anlisis que se debe utilizar para filtrar la informacin de
asignacin de usuario. Se admiten dos tipos: Identificador Regex y Identificador de
campo. Para crear los filtros, debe conocer el formato de los mensajes de autenticacin
en los Syslogs. Las siguientes descripciones de campo muestran ejemplos de cmo
crear filtros para mensajes de Syslog que tengan el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success
User:domain\johndoe_4 Source:192.168.0.212
Identificador Regex: Con este tipo de anlisis puede especificar expresiones

regulares para describir patrones de bsqueda e identificar y extraer informacin de
asignacin de usuario de los mensajes de Syslog. Si selecciona esta opcin, debe
especificar el regex que se debe utilizar para hacer coincidir los eventos de
autenticacin del mensaje de Syslog y los campos de direccin IP y usuario en los
mensajes de coincidencia.
Regex de eventos: Utilice este campo para especificar el regex e identificar los
eventos de autenticacin correctos dentro de los mensajes de Syslog. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog de ejemplo anterior, el siguiente
regex indica que el cortafuegos debe coincidir con la primera {1} instancia de la
cadena authentication success. La barra invertida antes del espacio es un carcter
regex de escape estndar que indica al motor de regex que no trate el espacio como
carcter especial: (authentication\ success){1}
Palo Alto Networks

Campo
Pestaa
secundaria
Filtrados de
Syslog (continuacin)
Descripcin
Regex de nombre de usuario: Introduzca el regex para identificar el principio del
nombre de usuario en los mensajes de autenticaciones realizadas con xito. Por
ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe4 en el mensaje de ejemplo y extraera acme\johndoe1 como
User-ID. Utilice este campo para especificar el campo de direccin IP en los
mensajes de autenticaciones realizadas con xito.
Regex de direccin: Utilice este campo para especificar el campo de direccin IP en los
mensajes de autenticaciones realizadas con xito. Por ejemplo, la siguiente expresin
regular Source:([0-9]{1,3}\.[0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3})
coincidira con la cadena Source:192.168.0.212 en el mensaje de ejemplo y se
extraera y aadira 192.168.0.212 como la direccin IP en la asignacin de nombre que
ha creado.
Identificador de campo: Con este tipo de anlisis se especifica una cadena para que
coincida con el evento de autenticacin y cadenas de prefijo y sufijo para identificar
la informacin de asignacin de usuario en los Syslogs de la siguiente forma:
Cadena de eventos: Especifique la cadena que debe identificar el tipo de log de
evento desde el que extraer la informacin de asignacin de usuario. Por ejemplo,
usando el formato de syslog de ejemplo que aparece anteriormente, debe introducir la cadena authentication success para la coincidencia en los eventos de
autenticacin correctos del log.
Prefijo de nombre de usuario: Introduzca la cadena de coincidencia para identificar el principio del campo del nombre de usuario en el mensaje de Syslog de
autenticacin. Por ejemplo, usando el formato de Syslog del ejemplo anterior, debe
introducir la cadena User: para identificar el principio del nombre de usuario.
Delimitador de nombre de usuario: Introduzca el delimitador utilizado para
marcar el final del campo de nombre de usuario en un mensaje de log de autenticacin. Por ejemplo, en el formato del mensaje de log de ejemplo, al nombre de
usuario le sigue un espacio, por lo que debe introducir \s para indicar que el
campo de nombre de usuario est delimitado por un espacio.
Prefijo de direccin: Especifique una cadena para que coincida Especifique la
cadena que debe extraerse de la direccin IP del mensaje de log. Por ejemplo,
usando el formato de Syslog de ejemplo que aparece anteriormente, debe introducir la cadena Source: para identificar el campo de log del que extraer la
direccin.
Delimitador de direccin: Introduzca la cadena coincidente utilizada para marcar
el final del campo de direccin IP en el mensaje de autenticacin realizada con
xito. Por ejemplo, en el formato del mensaje de log de ejemplo, a la direccin le
sigue un salto de lnea, por lo que debe introducir \n para indicar que el campo de
direccin est delimitado por una nueva lnea.
Palo Alto Networks

Campo
Descripcin
Supervisin Utilice esta seccin de la pantalla para definir los servidores de Microsoft Exchange,
de servidor controladores de dominio, servidores Novell eDirectory o emisores de Syslog con el fin de
Note: Recuer
de que para
que los eventos
Active
Directory
(AD) se
registren en el
log de
seguridad, el
dominio AD
debe
configurarse
para registrar
eventos de
inicio de sesin
de cuenta
correctos.
supervisar eventos de inicio de sesin. Por ejemplo, en un entorno AD, el agente

supervisar los logs de seguridad en busca de renovaciones o concesiones de tickets de
Kerberos, acceso al servidor Exchange (si est configurado) y conexiones de servicio de
impresin y archivo (en el caso de servidores supervisados). Puede definir entradas para
hasta 50 emisores de Syslog por sistema virtual y hasta un total de 100 servidores
supervisados, incluidos emisores de Syslog, Microsoft Active Directory, Microsoft
Exchange o Novell eDirectory. Puede aadir otros tipos de dispositivos para el
descubrimiento de informacin de asignacin de usuario (como controladores
inalmbricos, dispositivos 802.1 o servicios Network Access Control, NAC) que el
cortafuegos no puede supervisar directamente configurndolos como emisores de Syslog.
Esto es til en entornos donde ya hay configurado otro dispositivos para autenticar
usuarios finales. Para que esto funcione, tambin debe configurar el cortafuegos para
escuchar Syslog (consulte Definiendo perfiles de gestiones de interfaz) y definir cmo
filtrar los mensajes de Syslog entrantes para extraer la informacin de asignacin de
usuario (consulte Pestaa Filtrados de Syslog). Para descubrir automticamente los
controladores de dominio de Microsoft Active Directory mediante DNS, haga clic en
Descubrir. El cortafuegos descubrir controladores de dominio basados en el nombre de
dominio introducido en la pgina Dispositivo > Configuracin > Gestin >
Configuracin general, campo Dominio. A continuacin, puede habilitar los servidores
que desea utilizar para obtener informacin de asignacin de usuarios.
Note: La funcin Descubrir funciona solo para controladores de dominio; no puede utilizarla para
descubrir automticamente servidores de Exchange o eDirectory.
Para definir nuevos servidores de supervisin manualmente o emisores de Syslog a los que
escuchar, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos:
Nombre: Introduzca un nombre para el servidor.
Descripcin: Introduzca una descripcin del servidor que se debe supervisar.
Habilitado: Seleccione la casilla de verificacin para habilitar la supervisin de log de
este servidor.
Tipo: Seleccione el tipo de servidor para supervisar. Segn el tipo, aparece uno o varios
de los siguientes campos:
Direccin de red: Introduzca la direccin IP o el nombre de dominio completo
(FQDN) del servidor de Exchange o Active Directory que se debe supervisar.
Perfil de servidor: Seleccione el perfil de servidor LDAP que se debe usar para
conectar al servidor Novell eDirectory.
Tipo de conexin: Especifica si el agente del cortafuegos escuchar los mensajes de
Syslog en el puerto UDP (514) o en el puerto SSL (6514). Si selecciona SSL, el Perfil
de servicio de Syslog que seleccione en los ajustes Configuracin de agente de Id de
usuario (consulte Pestaa Supervisor del servidor) determinar las versiones de
SSL/TLS que se permiten y el certificado que se usa para establecer una conexin
entre el remitente de Syslog y el cortafuegos.
Filtro: Seleccione el filtro de Syslog que se debe usar para extraer nombres de usuario
y direcciones IP a partir de los mensajes de Syslog recibidos desde este servidor.
Nombre de dominio predeterminado: (optativo) Especifique un nombre de dominio
que preceda al nombre de usuario si no hay ningn nombre de dominio presente en la
entrada de log.
Para terminar de aadir el servidor, haga clic en ACEPTAR. El cortafuegos tratar de
conectar al servidor. Cuando se conecte correctamente, el estado aparecer como
Conectado. Si el cortafuegos no puede conectarse, el estado mostrar un error, como
conexin rehusada o la conexin ha agotado el tiempo de espera.
Palo Alto Networks

Campo
Descripcin
Incluir/excluir redes
Por defecto, si no especifica subredes en esta lista, el agente ID de usuario realizar una
asignacin de direccin IP a nombre de usuario (descubrimiento) de todas las subredes
de los servidores de la lista Supervisin de servidor. Para limitar el descubrimiento a
subredes especficas, haga clic en Agregar y especifique un perfil que incluya un
Nombre, un intervalo de direcciones IP de subred (direccin de red), opcin de
Descubrimiento (Incluir o Excluir) y la opcin Habilitado (por el que activar o
desactivar el perfil). El agente de ID de usuario aplica una exclusin implcita de todas
las reglas a la lista. Por ejemplo, si agrega una subred10.0.0.0/8 con la opcin Incluir, el
agente ID de usuario excluye todas las dems subredes aunque no las aada a la lista.
Aada entradas con la opcin Excluir nicamente si desea que el agente de ID de
usuario excluya un subconjunto de las subredes que ha incluido explcitamente. Por
ejemplo, si aade 10.0.0.0/8 con la opcin Incluir y aade 10.2.50.0/22 a la opcin
Excluir, el agente de ID de usuario realizar el descubrimiento de todas las subredes de
10.0.0.0/8 excepto 10.2.50.0/22, y excluir todas las subredes fuera de 10.0.0.0/8.
Observe que si aade perfiles Excluir sin aadir ningn perfil Incluir, el agente de ID
de usuario excluye todas las subredes, no solo las que ha aadido.
Por defecto, el agente de ID de usuario evala los perfiles en el orden en el que los
aade, desde el de arriba el primero al ltimo de abajo. Para cambiar el orden de
evaluacin, haga clic en Secuencia de red de inclusin exclusin personalizada. En el
cuadro de dilogo que se abre, agregar, eliminar, mover hacia arriba o mover hacia
abajo los perfiles para crear un orden de evaluacin personalizado.
Si configura el cortafuegos para distribuir informacin de asignacin a otros
cortafuegos, los lmites de descubrimiento que especifique en la lista Incluir/excluir
redes se aplicarn a la informacin distribuida.
Para aplicar la informacin de asignacin de usuarios al trfico de cortafuegos de
modo que la informacin est disponible en logs, informes y polticas, debe Habilitar
identificacin de usuarios en cada zona de seguridad (consulte Definicin de zonas
de seguridad).

Utilice la pestaa Agentes de ID de usuarios para configurar el cortafuegos y que interacte
con los agentes de identificacin de usuarios (agentes de User-ID) instalados en los servidores
del directorio de la red o con los cortafuegos configurados para identificacin de usuarios que
no tengan agentes en el intercambio de informacin de asignacin de direccin IP a usuario.
El agente de identificacin de usuario (User-ID) recopila informacin de asignacin de
direccin IP a nombre de usuario en los recursos de red y la proporciona al cortafuegos para
su uso en logs y polticas de seguridad.
La asignacin de identificacin de usuario necesita que el cortafuegos obtenga la
direccin IP origen del usuario antes de que la direccin IP se traduzca con NAT.
Si varios servidores tienen la misma direccin origen, debido a NAT o por el uso de
un dispositivo proxy, no ser posible una identificacin de usuario precisa.
En entornos donde otros dispositivos de red ya estn autenticando usuarios, puede
configurar el servicio de autenticacin para que reenve logs de eventos al agente de
identificacin de usuario que utiliza Syslog. El agente podra entonces extraer los
eventos de autenticacin desde los Syslogs y aadirlos a las asignaciones de
direccin IP a nombre de usuario de identificacin de usuario.
Palo Alto Networks
Para aadir un nuevo agente de identificacin de usuario a la lista de agentes con los que se
comunica este cortafuegos, haga clic en Aadir y, a continuacin, complete los siguientes
campos.
Tabla 191. Configuracin del agente de ID de usuario (User-ID)

Campo
Descripcin
Nombre
Introduzca un nombre para identificar al agente de identificacin de

usuario (User-ID) (hasta 31 caracteres). El nombre hace distincin entre
Host
Introduzca la direccin IP del host de Windows en el que est instalado el

agente de identificacin de usuarios (User-ID).
Puerto
Introduzca el nmero de puerto en el que est configurado que el agente

de identificacin de usuarios escuche las solicitudes del cortafuegos.
El nmero predeterminado del puerto del servicio del agente de
identificacin de usuarios (User-ID) de Windows es 5007. Sin embargo,
puede utilizar cualquier puerto disponible siempre que el cortafuegos y el
servicio del agente de identificacin de usuarios utilicen el mismo valor.
Adems, puede utilizar distintos nmeros de puerto en diferentes agentes.
Note: Algunas versiones anteriores del agente de identificacin de usuarios
utilizan 2010 como el puerto predeterminado.
Nombre del recopilador
Si este cortafuegos est recibiendo informacin de asignacin de usuario

de otro cortafuegos configurado para redistribucin, especifique el
nombre del recopilador configurado en el cortafuegos que recopilar los
datos de asignacin del usuario (se muestra en la pestaa Dispositivo >
Identificacin de usuarios > Asignacin de usuario).
Clave precompartida del

recopilador/Confirmar
clave precompartida del
recopilador
Introduzca la clave precompartida que se utilizar para autorizar la

conectividad de SSL entre el agente de ID de usuarios y el cortafuegos
que acta como un punto de distribucin para la asignacin de usuarios.
Utilizar como
Proxy LDAP
Seleccione la casilla de verificacin para utilizar este agente de

identificacin de usuarios (User-ID) como proxy de LDAP para las
consultas al servidor LDAP (en lugar de que el cortafuegos se conecte
directamente al servicio de directorio). Esta opcin es til en entornos
donde se deseable el almacenamiento en cach o no es posible el acceso
directo del cortafuegos al servidor del directorio.
Utilizar para
autenticacin NTLM
Seleccione la casilla de verificacin para utilizar el agente de ID de

usuarios configurado para comprobar la autenticacin de cliente de
NTLM desde el portal cautivo con el dominio de Active Directory.
Habilitado
Seleccione la casilla de verificacin para permitir que el cortafuegos se

comunique con este agente de identificacin de usuarios.
Para terminar de aadir la entrada del agente de identificacin de usuarios
(User-ID), haga clic en ACEPTAR. El nuevo agente de identificacin de
usuarios aparece en la lista de agentes. Compruebe que el icono de la
columna Conectado es verde, lo que indica que el cortafuegos puede
comunicarse correctamente con el agente. Haga clic en Actualizar
conectados para intentar volver a conectar con los agentes configurados.
Si desea que el cortafuegos se comunique con agentes en orden concreto
(por ejemplo, basndose en su proximidad a ellos o en si son una copia de
seguridad o principal), haga clic en Secuencia de agente personalizada y,
a continuacin, ordene los agentes en el orden que desee.
Palo Alto Networks

Utilice la pestaa Agentes de servicios de terminal para configurar el cortafuegos y que
interacte con los agentes de servicios de terminal (agentes TS) instalados en el red. El agente
TS identifica los usuarios individuales que admite el mismo servidor de terminal y que, por lo
tanto, tienen la misma direccin IP. El agente TS de un servidor terminal identifica a usuarios
individuales asignando intervalos de un puerto especfico a cada uno de los usuarios. Cuando
se asigna un intervalo de puerto a un usuario particular, el Agente de servicios de terminal
notifica el intervalo de puerto asignado a cada cortafuegos por lo que esa poltica se puede
aplicar basndose en usuarios y grupos de usuarios.
Para aadir un agente TS a la configuracin de cortafuegos, haga clic en Aadir y, a
continuacin, cumplimente los siguientes campos.
Tabla 192. Configuracin de agentes de servicios de terminal

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el agente TS (de hasta

Host
Introduzca la direccin IP del servidor del terminal en el que est

instalado el agente TS.
Puerto
Introduzca el nmero de puerto en el que est configurado el servicio del

agente TS para comunicarse con el cortafuegos. El puerto predeterminado
es 5009.
Direcciones IP
alternativas
Si el servidor de terminal donde est instalado el agente TS tiene varias

direcciones IP que pueden aparecer como la direccin IP de origen para el
trfico saliente, haga clic en Aadir y, a continuacin, introduzca hasta
ocho direcciones IP adicionales.
Habilitado
Seleccione la casilla de verificacin para permitir que el cortafuegos se

comunique con este agente de identificacin de usuarios.
Para terminar de aadir la entrada del agente TS, haga clic en ACEPTAR.
El nuevo agente TS aparece en la lista de agentes. Compruebe que el
icono de la columna Conectado es verde, lo que indica que el cortafuegos
puede comunicarse correctamente con el agente. Haga clic en Actualizar
conectados para intentar volver a conectar con los agentes configurados.

Para definir las polticas de seguridad basndose en usuarios o grupos, el cortafuegos debe
recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de
directorio. Para habilitar esta funcin, debe crear un perfil de servidor LDAP (Configuracin
de ajustes de servidor LDAP) que indique al cortafuegos cmo conectarse al servidor de
directorios LDAP y autenticarse. El cortafuegos admite una variedad de servidores de
directorio LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun
ONE Directory Server. Despus de crear el perfil de servidor, utilice la pestaa Asignacin de
grupos para definir cmo buscar en el directorio la informacin de grupos y usuarios. Use la
pestaa Grupo personalizado para crear grupos personalizados basados en filtros LDAP.
Palo Alto Networks
Para aadir configuracin de asignacin de grupos, haga clic en Aadir y, a continuacin,

introduzca un nombre nico para identificar la configuracin. El nombre distingue entre
maysculas y minsculas y puede tener hasta 31 caracteres, incluidas letras, nmeros,
espacios, guiones y guiones bajos. A continuacin, debe completar los campos de las
siguientes pestaas secundarias:
Pestaa secundaria Perfil de servidor

Pestaa secundaria Lista de inclusin de grupos
Pestaa secundaria Grupo personalizado
Pestaa secundaria Perfil de servidor
Utilice la pestaa secundaria Perfil de servidor para seleccionar un perfil de servidor LDAP
que se utilizar para la asignacin de grupos y especifique cmo buscar en el directorio
objetos especficos que contengan informacin de grupo y usuario.
Tabla 193. Configuracin del perfil de servidor de asignacin de grupos

Campo
Descripcin
Perfil de servidor
Seleccione el perfil de servidor LDAP que se debe utilizar para la

asignacin de grupos en este cortafuegos.
Intervalo de
actualizacin
Especifique el intervalo (segundos) tras el cual el cortafuegos iniciar una

conexin con el servidor de directorios LDAP para obtener
actualizaciones realizadas en grupos que se utilizan en polticas de
cortafuegos (intervalo de 60 a 86.400 segundos).
Dominio de usuario
Por defecto, el campo Dominio de usuario est en blanco: el cortafuegos

detecta automticamente los nombres de dominios para servidores de
Active Directory. Si introduce un valor, este sobreescribir cualquier
nombre de dominio que el dispositivo recupera en el origen LDAP. Su
entrada debe ser el nombre NetBIOS.
Note: Este campo solo afecta a los nombres de usuarios y los nombres de grupo
recuperados desde el origen LDAP. Para la autenticacin del usuario, para
sobrescribir el dominio asociado con un nombre de usuario, configure los campos
Dominio de usuario y Modificador de nombre de usuario en el perfil de
autenticacin que asigne a ese usuario (consulte Configuracin de perfiles de
autenticacin).
Objetos de grupo
Filtro de bsqueda: Especifique una consulta LDAP que se puede utilizar para controlar qu grupos se recuperan y siguen.
Clase de objeto: Especifique la definicin de un grupo. Por ejemplo, el
valor predeterminado es objectClass=group, lo que significa que el
sistema recupera todos los objetos en el directorio que coinciden con el
filtro de grupo y cuentan con objectClass=group.
Nombre de grupo: Introduzca el atributo que especifica el nombre del
grupo. Por ejemplo, en Active Directory, este atributo es CN
(Nombre comn).
Miembro del grupo: Especifique el atributo que contiene los miembros
de este grupo. Por ejemplo, en Active Directory, este atributo es
miembro.
Palo Alto Networks
Tabla 193. Configuracin del perfil de servidor de asignacin de grupos (Continuacin)

Campo
Descripcin
Objetos de usuario
Filtro de bsqueda: Especifique una consulta LDAP que se puede

utilizar para controlar qu usuarios se recuperan y siguen.
Clase de objeto: Especifique la definicin de un objeto de usuario.
Por ejemplo, en Active Directory, el objectClass es usuario.
Nombre de usuario: Especifique el atributo para el nombre de usuario.
Por ejemplo, en Active Directory, el atributo de nombre de usuario
predeterminado es samAccountName.
Dominios de correo
Cuando el cortafuegos recibe un log de WildFire por un correo

electrnico malintencionado, la informacin del receptor del correo
electrnico se hace coincidir con la informacin de usuario recogida por
el agente de identificacin de usuario (User-ID). El log contendr un
enlace para el usuario y, cuando se haga clic en l, aparecer el ACC y el
usuario lo filtrar. Si el correo electrnico se enva a una lista de
distribucin, los usuarios que contiene la lista filtran el ACC.
El encabezado de correo electrnico y la informacin de asignacin de
usuario (User-ID) le ayudarn a realizar un seguimiento rpido y a evitar
las amenazas que lleguen por correo electrnico, facilitando la
identificacin de usuarios que han recibido el correo electrnico.
Atributos de correo electrnico: Este campo se rellena
automticamente segn el tipo de servidor de LDAP (Sun/RFC, Active
Directory y Novell).
Lista de dominios: Introduzca la lista de dominios de correo
electrnico de su organizacin usando una lista separada por comas de
Habilitado
Para habilitar este perfil de usuario para la asignacin de grupos,

asegrese de que esta casilla de verificacin est seleccionada.
Pestaa secundaria Lista de inclusin de grupos

Utilice la pestaa secundaria Lista de inclusin de grupos para limitar el nmero de grupos
que aparecen cuando se crea una poltica de seguridad. Busque en el rbol de LDAP los
grupos cuyo uso desea en la poltica.
Para incluir un grupo, seleccinelo en la lista Grupos disponibles y haga clic en el icono
Aadir. El nmero total de grupos que puede aadir a una configuracin de asignacin de
grupos (para las pestaas secundarias Lista de inclusin de grupos y Grupo personalizado
combinadas) es 640 por sistema virtual.
Para eliminar un grupo de la lista, seleccinelo en la lista Grupos incluidos y haga clic en el
icono
Eliminar.
Haga clic en Aceptar para guardar la lista de grupos incluidos.
Pestaa secundaria Grupo personalizado

Use a pestaa secundaria Grupo personalizado para crear los grupos personalizados basados
en los filtros LDAP de modo que puede basar las polticas de cortafuegos en atributos de
usuario que no coincide con los grupos de usuarios existentes en un servicio basado en LDAP
como Active Directory (AD). El servicio de ID de usuario asigna todos los usuarios de
directorio LDAP que aplica el filtro al grupo personalizado. Si crea un grupo personalizado
con el mismo nombre distinguido (DN) que un nombre de dominio de grupo AD existente,
el cortafuegos usa el grupo personalizado en todas las referencias a ese nombre (por ejemplo,
en polticas y logs).
Palo Alto Networks
El cortafuegos no valida filtros LDAP.

Tras crear o clonar un grupo personalizado, debe realizar una asignacin para
ponerla a disposicin para usarlas en polticas y objetos.
Para crear un grupo personalizado, haga clic en Aadir, introduzca un Nombre al grupo
(debe ser nico en la configuracin de asignacin del grupo para el cortafuegos actual o el
sistema virtual), especifique un Filtro LDAP de hasta 2.048 caracteres y despus haga clic en
ACEPTAR. El nmero total de grupos que puede aadir a una configuracin de asignacin de
grupo (tanto para la pestaa secundaria Grupo personalizado como Lista de inclusin de
grupos combinadas) es de 640 por sistema virtual.
Para agilizar las bsquedas LDAP y minimizar el impacto del rendimiento en el
servidor de directorio de LDAP, lo mejor es usar nicamente los atributos
indizados en el filtro.
Para eliminar un grupo personalizado, seleccinelo y haga clic en Eliminar.
Para realizar una copia de un grupo personalizado, seleccinelo, haga clic en Duplicar, edite
el Nombre y Filtro LDAP como desea, y despus haga clic en ACEPTAR.

Utilice la pestaa Configuracin de portal cautivo para configurar la autenticacin de portal
cautivo en el cortafuegos. Si el cortafuegos recibe una solicitud de una zona que tiene
habilitado el servicio de identificacin de usuario y la direccin IP de origen no tiene datos de
usuario asociados con la misma todava, comprobar su poltica de portal cautivo en busca de
una coincidencia para determinar si se realizar la autenticacin. Esto es de utilidad en
entornos donde tenga clientes que no hayan iniciado sesin en sus servidores de dominio,
como clientes Linux. Este mtodo de asignacin de usuarios nicamente se activa para el
trfico web (HTTP o HTTPS) que coincida con una poltica/regla de seguridad, pero que no se
haya asignado utilizando un mtodo diferente. Para el trfico que no se basa en web o el
trfico que no coincide con una poltica de portal cautivo, el cortafuegos utiliza sus polticas
de seguridad basadas en IP, en lugar de utilizar las basadas en usuarios.
Para establecer o editar la configuracin de portal cautivo, haga clic en el icono Editar
a continuacin, complete los siguientes campos:
y,
Tabla 194. Configuracin de portal cautivo

Campo
Descripcin
Habilitar portal
cautivo
Seleccione esta casilla de verificacin para habilitar el portal cautivo para la

identificacin de usuario.
Temporizador
de inactividad
(minutos)
Esta es la configuracin TTL (Tiempo de vida de usuario) para una sesin de

portal cautivo. Este temporizador se restaura cada vez que hay actividad de un
usuario del portal cautivo. Si el tiempo que un usuario permanece inactivo
supera el del temporizador de inactividad, la asignacin del usuario del portal
cautivo se eliminar y el usuario tendr que volver a iniciar sesin. (1-1440
minutos, valor predeterminado: 15 minutos).
Palo Alto Networks
Tabla 194. Configuracin de portal cautivo (Continuacin)

Campo
Descripcin
Temporizador
(min)
Duracin mxima del TTL, mxima cantidad de tiempo que una sesin del portal
cautivo puede permanecer asignada. Una vez transcurrido el tiempo de
vencimiento, la asignacin se eliminar y los usuario tendrn que volver a
autenticarse incluso aunque la sesin siga activa. Este temporizador se utiliza
para garantizar las asignaciones obsoletas y el valor establecido aqu anula el
tiempo de espera de inactividad. Por lo tanto, se recomienda que establezca el
vencimiento en un valor superior al del temporizador de inactividad (intervalo 1
- 1440 minutos; valor predeterminado: 60 minutos).
Perfil de servicio
SSL/TLS
Para especificar un certificado y los protocolos permitidos para asegurar las

solicitudes de redireccin, seleccione un perfil de servicio SSL/TLS. Para obtener
ms informacin, consulte Gestin de perfiles de servicio SSL/TLS Si
selecciona Ninguno, el cortafuegos utilizar el certificado local predeterminado
para las conexiones SSL/TLS.
Para redirigir a los usuarios de forma transparente sin mostrar los errores de
certificado, asigne un perfil asociado con un certificado que haga coincidir la
direccin IP en la interfaz a la que desea redirigir las solicitudes.
Perfil de
autenticacin
Seleccione el perfil de autenticacin para autenticar usuarios que se redirigen a

un formulario web para su autenticacin. Tenga en cuenta que incluso aunque
planee utilizar NTLM para la autenticacin, debe configurar un perfil de
autenticacin o un perfil de certificado para autenticar usuarios por si la
autenticacin de NTLM falla o no se puede utilizar porque el cliente o el
explorador no la admite.
Modo
Seleccione un modo para definir la forma en que se capturan las solicitudes web
para la autenticacin:
Transparente: El cortafuegos intercepta el trfico del explorador mediante la
regla de portal cautivo y representa la URL de destino original, emitiendo un
HTTP 401 para invocar la autenticacin. Sin embargo, como el cortafuegos no
tiene el certificado real para la URL de destino, el explorador mostrar un error
de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto,
nicamente debera utilizar este modo cuando sea absolutamente necesario,
como en implementaciones de capa 2 o cable virtual (Virtual Wire).
Redirigir: El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y
las redirige a una interfaz de capa 3 en el cortafuegos utilizando una redireccin
HTTP 302 para realizar la autenticacin. Este es el modo preferido porque
proporciona una mejor experiencia de usuario final (sin errores de certificado).
Sin embargo, requiere una configuracin de capa 3 adicional. Otra ventaja del
modo Redirigir es que permite el uso de cookies de sesin, que permiten que el
usuario siga explorando sitios autenticados sin tener que volver a asignar cada
vez que venza el tiempo de espera. Esto es de especial utilidad para los usuarios
que se desplazan de una direccin IP a otra (por ejemplo, de la LAN corporativa
a la red inalmbrica) porque no tendrn que volver a autenticar al cambiar de
direccin IP siempre que la sesin permanezca abierta. Adems, si tiene la
intencin de utilizar la autenticacin de NTLM, deber utilizar el modo Redirigir
porque el explorador nicamente proporcionar credenciales a sitios fiables.
Note: Para utilizar el portal cautivo en modo de redireccionamiento, debe habilitar pginas
de respuesta en el perfil de gestin de la interfaz asignado a la interfaz Capa 3 a la que est
redirigiendo el portal cautivo. Consulte Definiendo perfiles de gestiones de interfaz y
Configure la interfaz de capa 3.
Palo Alto Networks
Tabla 194. Configuracin de portal cautivo (Continuacin)

Campo
Descripcin
Cookie de sesin
(modo de
redireccionamie
nto solo)
Habilitar: Seleccione la casilla de verificacin para habilitar las cookies de sesin.

Tiempo de espera: Si las cookies de sesin estn habilitadas, este temporizador
especifica el nmero de minutos que la cookie de una sesin es vlida.
(intervalo: 60 - 10080 minutos; valor predeterminado: 1440 minutos).
Movilidad: Seleccione la casilla de verificacin para mantener la cookie si la
direccin IP cambia mientras la sesin est activa (por ejemplo, si el cliente
cambia de una red con cable a una red inalmbrica). El usuario solo tendr que
volver a autenticarse si la cookie agota el tiempo de espera o el usuario cierra el
explorador.
Host de
redireccionamie
nto (modo de
redireccionamie
nto solo)
Especifique el nombre de host de intranet que resuelve a la direccin IP de la

interfaz de capa3 a la que est redirigiendo solicitudes.
Autenticacin
del certificado
Seleccione el perfil del certificado que se debe utilizar para autenticar a los
usuarios del portal cautivo. Cuando utiliza este tipo de autenticacin, el portal
cautivo pedir al explorador que presente un certificado de cliente vlido para
autenticar al usuario. Para utilizar este mtodo debe proporcionar certificados de
cliente en cada sistema de usuario e instalar el certificado de CA de confianza
utilizado para emitir esos certificados en el cortafuegos. Este es el nico mtodo de
autenticacin que habilita una autenticacin transparente para clientes de Mac OS
y Linux.
Autenticacin de
NTLM
Cuando el portal cautivo se configura para la autenticacin NTLM,

el cortafuegos utiliza un mecanismo de respuesta por desafo cifrado para
obtener las credenciales de usuario del explorador. Si se configura correctamente,
el explorador proporcionar las credenciales al cortafuegos de manera
transparente sin preguntar al usuario, pero mostrar un mensaje solicitando las
credenciales si es necesario. Si el explorador no puede realizar la autenticacin
NTLM o esta falla, el cortafuegos retroceder a una autenticacin con formato
web o certificado de cliente, dependiendo de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows. Para configurar NTLM para su uso con agentes de
identificacin de usuarios (User-ID) basados en Windows, especifique lo siguiente:
Intentos: Especifique el nmero de intentos antes de que falle la autenticacin
de NTLM (intervalo: 1-60; valor predeterminado: 1).
Tiempo de espera: Especifique el nmero de segundos antes de que se agote el
tiempo de espera de la autenticacin de NTLM (intervalo: 1-60; valor
predeterminado: 2 segundos).
Tiempo de revisin: Especifique el tiempo despus del que el cortafuegos
vuelva a intentar ponerse en contacto con el primer agente en la lista de los
agentes de ID de usuarios cuando el agente deje de estar disponible
(intervalo: 60-3600 segundos; valor predeterminado: 300 segundos).
Note: Estas opciones solo se aplican a los agentes de identificacin de usuarios (User-ID)
instalados en los servidores de dominio. Al utilizar el agente de identificacin de usuarios
incluido en el dispositivo, el cortafuegos debe poder resolver correctamente el nombre de
DNS de su controlador de dominio para que el cortafuegos se una al dominio.
A continuacin, puede habilitar la autenticacin de NTLM en la pestaa Asignacin de
usuario y proporcionar las credenciales para que el cortafuegos se una al dominio.
Para obtener ms informacin detallada, consulte la Gua del administrador de PAN-OS.
Palo Alto Networks
Captulo 8
Configuracin de tneles de IPSec

Esta seccin describe la tecnologa de red privada virtual (VPN) bsica y proporciona
informacin detallada sobre la configuracin y gestin de VPN de seguridad de IP (IPSec) en
cortafuegos de Palo Alto Networks.
Consulte los siguientes temas:
Definicin de puertas de enlace de IKE

Definicin de perfiles criptogrficos de IKE
Definicin de perfiles criptogrficos de IPSec

Red > Perfiles de red > Puertas de enlace de IKE
Utilice esta pgina para gestionar o definir una puerta de enlace, lo que puede incluir la
informacin de configuracin necesaria para realizar la negociacin del protocolo de
intercambio de claves por red (IKE) con puertas de enlace del peer. Esta es la parte de fase 1 de
la configuracin de VPN de IKE/IPSec.
Para gestionar, configurar, reiniciar o actualizar una puerta de enlace de IKE, consulte lo
siguiente:
Gestin de puertas de enlace de IKE

Pestaa General de puerta de enlace de IKE
Pestaa Opciones avanzadas de puerta de enlace de IKE
Reinicie o actualice una puerta de enlace de IKE
Palo Alto Networks
Gestin de puertas de enlace de IKE

La siguiente tabla describe cmo gestionar sus puertas de enlace de IKE.
Tabla 195 Gestin de puertas de enlace de IKE

Campo
Descripcin
Aadir
Para crear una nueva puerta de enlace de IKE, haga clic en Aadir.
Consulte Pestaa General de puerta de enlace de IKE y Pestaa
Opciones avanzadas de puerta de enlace de IKE si desea instrucciones
sobre la configuracin de la nueva puerta de enlace.
Eliminar
Para eliminar una puerta de enlace, seleccinela y haga clic en Eliminar.
Habilitar
Para habilitar una puerta de enlace que se ha desactivado, seleccione la

puerta de enlace y haga clic en Habilitar, que es el ajuste predeterminado
para la puerta de enlace.
Deshabilitar
Para deshabilitar una puerta de enlace, seleccinela y haga clic en

Deshabilitar.
Pestaa General de puerta de enlace de IKE

La siguiente tabla describe los pasos iniciales sobre cmo configurar una puerta de enlace de
IKE. IKE es la fase 1 del proceso VPN de IKE/IPSec. Tras realizar estos pasos, consulte
Pestaa Opciones avanzadas de puerta de enlace de IKE.
Tabla 196. Configuracin general de la puerta de enlace

Campo
Descripcin
Nombre
Introduzca un Nombre para identificar la puerta de enlace (de hasta

Versin
Seleccione la versin de IKE que admite la puerta de enlace y debe

aceptar el uso de una puerta de enlace de peer: Modo exclusivo de
IKEv1, Modo exclusivo de IKEv2 o Modo preferido de IKEv2.
El Modo preferido de IKEv2 causa que la puerta de enlace negocie con
IKEv2, si el peer tambin admite IKEv2, que es lo que usarn. De lo
contrario, la puerta de enlace volver a ser IKEv1.
IPv4/IPv6
Seleccione el tipo de direccin IP que usa la puerta de enlace.
Interfaz
Especifique la interfaz de cortafuegos saliente hacia el tnel VPN.
Direccin IP local
Seleccione o introduzca la direccin IP para la interfaz local que es el

extremo del tnel.
Tipo de IP de peer
Seleccione Esttica o dinmica del peer del extremo ms alejado del tnel.
Direccin IP del peer
Si se selecciona la opcin Esttico para el Tipo de IP de peer,

especifique la direccin IP del peer del extremo ms alejado del tnel.
Palo Alto Networks
Tabla 196. Configuracin general de la puerta de enlace (Continuacin)

Campo
Descripcin
Autenticacin
Seleccione el tipo de Autenticacin, Clave precompartida o

Certificado, que se producir con la puerta de enlace del peer.
En funcin de la seleccin, consulte Campos de claves
precompartidas o Campos de certificados.
Campos de claves
precompartidas
Clave precompartida
Confirmar clave
precompartida
Si se selecciona Clave precompartida, introduzca una nica clave de

seguridad para usarla para la autenticacin simtrica en el tnel. El
valor Clave precompartida es una cadena que crea el administrador.
Identificacin local
Define el formato e identificacin de la puerta de enlace local, que se usa

con la clave precompartida para el establecimiento de IKEv1 fase 1 SA e
IKEv2 SA.
Seleccione entre los siguientes tipos e introduzca el valor: FQDN
(Nombre de host), direccin IP, KEYID (cadena de ID de formato
binario en HEX), FQDN de usuario (direccin de correo electrnico).
Si no se especifica ningn valor, la direccin IP local se utilizar como el
valor de identificacin local.
Identificacin del peer
Define el formato e identificacin de la puerta de enlace local, que se usa

con la clave precompartida durante el establecimiento de IKEv1 fase 1
SA e IKEv2 SA.
Seleccione entre los siguientes tipos e introduzca el valor: FQDN
(Nombre de host), direccin IP, KEYID (cadena de ID de formato
binario en HEX), FQDN de usuario (direccin de correo electrnico).
Si no se especifica ningn valor, la direccin IP del peer se utilizar
como el valor de identificacin del peer.
Palo Alto Networks

Campo
Descripcin
Campos de certificados
Certificado local
Si se selecciona Certificado como tipo de Autenticacin en la lista

desplegable, seleccione un certificado que ya est en el cortafuegos.
Adems, puede Importar un certificado o Generar uno nuevo, como se
indica a continuacin:
Importar:
Nombre del certificado: Introduzca un nombre para el certificado que
est importando.
Compartido: Haga clic si este certificado debe compartirse entre
mltiples sistemas virtuales.
Archivo del certificado: Haga clic en el botn Examinar para
desplazarse hasta la ubicacin en la que se encuentra el Archivo del
certificado. Haga clic en el archivo y seleccione Abrir, lo que
cumplimenta el campo Archivo del certificado.
Formato de archivo: Seleccione una de las opciones que se indican a
continuacin.
Certificado codificado en Base64 (PEM): Contiene el certificado,
pero no la clave. Texto claro.
Clave privada cifrada y certificado (PKCS12): Contiene tanto el
certificado como la clave.
La clave privada reside en el mdulo de seguridad de hardware:
Haga clic si el cortafuegos es un cliente de un servidor HSM en el que
reside la clave.
Importar clave privada: Haga clic si debe importarse una clave
privada porque est en un archivo distinto del archivo de certificados.
Archivo de clave: Examine y navegue hasta el archivo de la clave
que desea importar. Esta entrada aparece si selecciona PEM como
Formato de archivo.
Frase de contrasea y Confirmar frase de contrasea: Escriba para
acceder a la clave.
Generar:
Nombre del certificado: Escriba un nombre para el certificado que
est creando.
Nombre comn: Introduzca el nombre comn, que es la direccin IP o
FQDN que aparecer en el certificado.
Compartido: Haga clic si este certificado debe compartirse entre
mltiples sistemas virtuales.
Firmado por: Seleccione una Autoridad externa (CSR) o escriba la
direccin IP del cortafuegos. Esta entrada debe ser una CA.
Autoridad del certificado: Haga clic si el cortafuegos es la CA raz.
OCSP responder: Introduzca el OSCP que supervisa si el certificado
es vlido o se ha revocado.
Algoritmo: Seleccione RSA o Curva elptica DSA para generar la clave
para el certificado.
Nmero de bits: Seleccione 512, 1024, 2048 o 3072 como nmero de
bits en la clave.
Resumen: Seleccione md5, sha1, sha256, sha384 o sha512 como
mtodo para invertir la cadena desde el hash.
Vencimiento (das): Escriba el nmero de das durante los cuales es
vlido el certificado.
Atributos del certificado: Tipo: Tiene la opcin de seleccionar tipos
de atributo adicionales desde la lista desplegable para que estn en el
certificado.
Valor: Escriba un valor para el atributo.
Palo Alto Networks

Campo
Descripcin
Intercambio de certificado
HTTP
Haga clic en Intercambio de certificado HTTP y escriba la URL de

certificados para usar el mtodo Hash-and-URL para notificar al peer
dnde recuperar el certificado. La URL de certificado es la URL del
servidor remoto en el que ha almacenado el certificado.
Si el peer indica que tambin admite Hash y URL, los certificados se
intercambian a travs del hash SHA1 y el intercambio de URL.
Cuando el peer recibe la carga del certificado de IKE, ve la URL HTTP y
recupera el certificado de ese servidor. Usar el hash especificado en la
carga del certificado para comprobar los certificados descargados desde
el servidor http.
Identificacin local
Identifica cmo se identifica el peer local en el certificado. Seleccione

entre los siguientes tipos e introduzca el valor: Nombre distinguido
(Asunto), FQDN (nombre de host), Direccin IP y FQDN de usuario
(direccin de correo electrnico).
Identificacin del peer
Identifica cmo se identifica el peer remoto en el certificado. Seleccione

entre los siguientes tipos e introduzca el valor: Nombre distinguido
(Asunto), FQDN (nombre de host), Direccin IP y FQDN de usuario
(direccin de correo electrnico).
Comprobacin de ID de
peer
Seleccione Exacto o Comodn. Este ajuste se aplica a la Identificacin

del peer que se examina para validar el certificado. Suponga que la
identificacin del peer fuera un nombre igual a dominio.com. Si
selecciona Exacto y el certificado en la carga de ID de IKE indica que el
nombre es correo.dominio2.com, la negociacin de IKE fallar. Pero, si
se ha seleccionado Comodn, cualquier carcter en la cadena Nombre
que preceda al asterisco (*) debe coincidir, y cualquier carcter posterior
al * puede ser distinto.
Permitir identificacin de
peer y falta de
coincidencia de
identificacin de carga de
certificado
Seleccione esta opcin si desea la flexibilidad de tener un SA de IKE con

xito aunque la identificacin de peers no coincida con la carga de
certificados.
Seleccione un perfil o cree un nuevo perfil de certificados que

configure las opciones de certificado que se apliquen a la interfaz que la
puerta de enlace local enva a la puerta de enlace del peer. Consulte
Creacin de un perfil del certificado.
Habilitar validacin
estricta de uso de clave
extendida de peer
Seleccione esta opcin si desea controlar estrictamente la forma en que

puede usarse la clave.
Pestaa Opciones avanzadas de puerta de enlace de IKE

Use esta pestaa para configurar ms ajustes avanzados para una puerta de enlace de IKE.
Tabla 197. Opciones avanzadas de puerta de enlace de IKE

Campo
Descripcin
Habilitar modo pasivo
Haga clic para que el cortafuegos nicamente responda a las conexiones

de IKE y nunca las inicie.
Palo Alto Networks
Tabla 197. Opciones avanzadas de puerta de enlace de IKE (Continuacin)

Campo
Descripcin
Habilitar NAT
Transversal
Haga clic en esta opcin para utilizar la encapsulacin UDP en los

protocolos IKE y UDP, permitindoles pasar a travs de dispositivos de
NAT intermedios.
Seleccione Habilitar NAT Transversal si la traduccin de direccin de red
(NAT) est configurada en un dispositivo entre los puntos de terminacin
VPN de IPSec.
Pestaa secundaria
IKEv1
Modo de intercambio
Seleccione automtico, agresivo o principal. En el modo Automtico

(predeterminado), puede aceptar solicitudes de negociacin tanto del
modo principal como del modo agresivo; sin embargo, siempre que sea
posible, inicia la negociacin y permite intercambios en el modo
principal. Debe configurar el dispositivo peer con el mismo modo de
intercambio para permitir que acepte las solicitudes de negociacin desde
el primer dispositivo.
Perfil criptogrfico
de IKE
Seleccione un perfil existente, mantenga el predeterminado o cree uno

nuevo. Los perfiles seleccionados para IKEv1 e IKEv2 pueden diferir.
Para obtener informacin sobre los perfiles criptogrficos de IKE,
consulte Definicin de perfiles criptogrficos de IKE.
Habilitar fragmentacin
Haga clic para permitir la puerta de enlace local para recibir los paquetes
de IKE fragmentados. El tamao del paquete fragmentado mximo es de
576 bytes.
Deteccin de fallo del

peer
Haga clic para habilitar e introducir un intervalo (2-100 segundos) y un

retraso antes de volver a intentarlo (2-100 segundos). La deteccin de fallo
del peer identifica peers de IKE inactivos o no disponibles y puede
ayudar a restablecer recursos que se pierden cuando un peer no est
disponible.
Pestaa secundaria
IKEv2
Perfil criptogrfico de
IKE
Seleccione un perfil existente, mantenga el predeterminado o cree uno

nuevo. Los perfiles seleccionados para IKEv1 e IKEv2 pueden diferir.
Para obtener informacin sobre los perfiles criptogrficos de IKE,
consulte Definicin de perfiles criptogrficos de IKE.
Validacin estricta de
cookies
Haga clic para habilitar Validacin estricta de cookies en la puerta de

enlace de IKE.
Cuando se activa Validacin estricta de cookies, la validacin de
cookies IKEv2 siempre se establece; el iniciador debe enviar un
IKE_SA_INIT que contiene una cookie.
Cuando Validacin estricta de cookies que se desactiva (el ajuste
predeterminado), el sistema comprobar el nmero de SA medio
abiertos con el Umbral de activacin de cookies global, que es una
configuracin de sesin de VPN. Si el nmero de SA medio abiertas
supera el Umbral de activacin de cookies, el iniciador debe enviar un
IKE_SA_INIT que contienen una cookie.
Palo Alto Networks
Tabla 197. Opciones avanzadas de puerta de enlace de IKE (Continuacin)

Campo
Descripcin
Comprobacin de
actividad
La Comprobacin de actividad de IKEv2 siempre est activada; todos los

paquetes de IKEv2 sirven para una comprobacin de actividad. Haga clic
en esta casilla para que el sistema enve paquetes informativos vacos
cuando el peer haya estado inactivo para un nmero especificado de
segundos. Intervalo: 2-100. Valor predeterminado: 5.
Si es necesario, el lado que intenta enviar paquetes IKEv2 realiza la
prueba de comprobacin de actividad hasta 10 veces (todos los paquetes
IKEv2 cuentan en el ajuste de retransmisin). Si no recibe respuesta, el
remitente cierra y elimina el IKE_SA y CHILD_SA. El remitente comienza
enviando otro IKE_SA_INIT.
Reinicie o actualice una puerta de enlace de IKE

Red > Tneles de IPSec
Abra la pgina Tneles de IPSec, que indica el estado de los tneles. En la segunda columna
Estado hay un enlace a la Info de IKE. Haga clic en el enlace de la puerta de enlace que desea
reiniciar o actualizar. Se abre la pgina Info de IKE. Haga clic en una de las entradas de la lista
y haga clic en Reiniciar o Actualizar.
Tabla 198 Reiniciar o actualizar la puerta de enlace de IKE

Campo
Descripcin
Reiniciar
Reinicia la puerta de enlace seleccionada. Si reinicia, se interrumpir el trfico

que atraviesa el tnel. Los comportamientos de reinicio de IKEv1 e IKEv2 son
diferentes, como sigue:
IKEv1: Puede reiniciar (borrar) un SA de fase 1 o fase 2 independientemente
y solo si ese SA se ve afectado.
IKEv2: Provoca que todos los SA secundarios (tneles IPSec) se borren
cuando se reinicia el SA IKEv2.
Si reinicia el SA IKEv2, todos los tneles IPSec subyacentes se borrarn
tambin.
Si reinicia el tnel IPSec (SA secundario) asociado con un SA IKEv2, el
reinicio no afectar al SA IKEv2.
Actualizar
Muestra el estado actual de la SA de IKE.

Use la pgina Tneles de IPSec para establecer y gestionar los tneles VPN de IPSec entre
cortafuegos. Esta es la parte de fase 2 de la configuracin de VPN de IKE/IPSec.
Para gestionar los tneles VPN de IPSec, consulte lo siguiente:
Gestin de tneles VPN de IPSec

Para configurar un tnel IPSec, use las dos pestaas siguientes:
Pestaa General del tnel IPSec
Palo Alto Networks
Pestaa Identificadores proxy de Tnel de IPSec

Consulte lo siguiente cuando vea el estado del tnel IPSec:
Visualizacin del estado del tnel de IPSec en el cortafuegos

Para gestionar o actualizar un tnel IPSec, consulte lo siguiente:
Reinicie o actualice un tnel de IPSec
Gestin de tneles VPN de IPSec

La siguiente tabla describe cmo gestionar sus tneles VPN de IPSec.
Tabla 199 Gestin de tneles VPN de IPSec

Campo
Descripcin
Aadir
Para crear un nuevo tnel VPN de IPSec, haga clic en Aadir. Consulte
Pestaa General del tnel IPSec si desea instrucciones sobre la
configuracin del nuevo tnel.
Eliminar
Para eliminar un tnel, seleccinelo y haga clic en Eliminar.
Habilitar
Para habilitar un tnel que se ha desactivado, seleccione el tnel y haga

clic en Habilitar, que es el ajuste predeterminado para el tnel.
Deshabilitar
Para deshabilitar un tnel, seleccione el tnel y haga clic en Deshabilitar.
Pestaa General del tnel IPSec

Tabla 200. Configuracin de la pestaa General de Tnel IPSec
Campo
Descripcin
Nombre
Introduzca un Nombre para identificar el tnel (de hasta 63 caracteres).

guiones bajos.
El lmite de 63 caracteres de este campo incluye el nombre del tnel
adems del ID de proxy, que est separado por dos puntos.
Interfaz de tnel
Seleccione una interfaz de tnel existente o haga clic en Nueva interfaz

de tnel. Para obtener informacin acerca de la creacin de una interfaz
de tnel, consulte Configuracin de una interfaz de tnel.
IPv4 o IPv6
Seleccione IPv4 o IPv6 para configurar el tnel para tener extremos con
ese tipo de direccin IP.
Tipo
Seleccione si se utilizar una clave de seguridad generada

automticamente o introducida manualmente. Se recomienda seleccionar
Clave automtica.
Palo Alto Networks
Tabla 200. Configuracin de la pestaa General de Tnel IPSec (Continuacin)

Campo
Descripcin
Clave automtica
Si selecciona Clave automtica, especifique lo siguiente:

Puerta de enlace de IKE: Consulte Definicin de puertas de enlace de
IKE para obtener descripciones de los ajustes de puertas de enlace de
IKE.
Perfil criptogrfico de IPSec: Seleccione un perfil existente o mantenga
el perfil predeterminado. Para definir un nuevo perfil, haga clic en
Nuevo y siga las instrucciones de Definicin de perfiles criptogrficos
de IPSec.
Haga clic en Mostrar opciones avanzadas para acceder a los campos
restantes.
Habilitar proteccin de reproduccin: Seleccione esta opcin para
proteger la reproduccin ante ataques.
Copiar encabezado de TOS: Copie el campo TOS (Tipo de servicio)
desde el encabezado IP interno en el encabezado IP externo de los
paquetes encapsulados con el fin de conservar la informacin original
de TOS. Esta opcin tambin copia el campo Notificacin de congestin
explcita (ECN).
Monitor de tnel: Seleccione esta opcin para alertar al administrador
de dispositivo de los fallos del tnel y proporcionar una conmutacin
por error automtica a otra interfaz. Tenga en cuenta que deber
asignar una direccin IP a la interfaz de tnel para su supervisin.
IP de destino: Especifique una direccin IP en el otro lado del tnel
que el supervisor de tnel utilizar para determinar si el tnel
funciona correctamente.
Perfil: Seleccione un perfil existente que determine las acciones que
se realizarn si falla el tnel. Si la accin especificada en el perfil del
monitor es esperar recuperacin, el cortafuegos esperar a que el
tnel se haga funcional y NO buscar una ruta alternativa con la
tabla de ruta. Si se usa la accin de conmutacin por error, el
cortafuegos comprobar la tabla de rutas para ver si hay una ruta
alternativa que se podr usar para alcanzar el destino. Para obtener
ms informacin, consulte Definicin de perfiles de supervisin.
Clave manual
Si selecciona Clave manual, especifique lo siguiente:

SPI local: Especifique el ndice de parmetros de seguridad (SPI) local
para los paquetes transversales desde el cortafuegos local hasta el peer.
SPI es un ndice hexadecimal que se aade al encabezado para ayudar a
los tneles de IPSec a diferenciar entre flujos de trfico de IPSec.
Interfaz: Seleccione la interfaz que es el extremo del tnel.
Direccin local: Seleccione la direccin IP de la interfaz local que es el
extremo del tnel.
SPI remoto: Especifique el ndice de parmetros de seguridad (SPI)
remoto para los paquetes transversales desde el cortafuegos remoto
hasta el peer.
Protocolo: Seleccione el protocolo para el trfico a travs del tnel
(ESP o AH).
Autenticacin: Seleccione el tipo de autenticacin para el acceso al
tnel (SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna).
Clave/Confirmar clave: Introduzca y confirme una clave de
autenticacin.
Cifrado: Seleccione una opcin de cifrado para el trfico de tnel (3des,
aes-128-cbc, aes-192-cbc, aes-256-cbc o null [sin cifrado]).
Clave/Confirmar clave: Introduzca y confirme una clave de cifrado.
Palo Alto Networks
Tabla 200. Configuracin de la pestaa General de Tnel IPSec (Continuacin)

Campo
Descripcin
Satlite de GlobalProtect
Si selecciona Satlite de GlobalProtect, especifique lo siguiente:

Nombre: Introduzca un nombre para identificar el tnel (de hasta
Interfaz de tnel: Seleccione una interfaz de tnel existente o haga clic
en Nueva interfaz de tnel.
Direccin IP del portal: Introduzca la direccin IP del portal de
GlobalProtect.
Interfaz: Seleccione la interfaz en la lista desplegable que sea la interfaz
de salida (egress) para llegar al portal de GlobalProtect.
Direccin IP local: Introduzca la direccin IP de la interfaz de salida
(egress) que se conecta con el portal de GlobalProtect.
Opciones avanzadas
Publicar todas las rutas estticas y conectadas hacia la puerta de
enlace: Seleccione esta opcin para publicar todas las rutas desde el
dispositivo satlite hacia la puerta de enlace de GlobalProtect en la que
este satlite est conectado.
Subred: Haga clic en Aadir para aadir subredes locales
manualmente para la ubicacin del satlite. Si otros satlites estn
utilizando la misma informacin de subred, debe aplicar la NAT a todo
el trfico hacia la IP de interfaz de tnel. Asimismo, el satlite no debe
compartir rutas en este caso, as que todo el enrutamiento se realizar a
travs de la IP de tnel.
Entidad de certificacin externa: Seleccione esta opcin si va a utilizar
una CA externa para gestionar certificados. Una vez haya generado sus
certificados, deber importarlos al dispositivo y seleccionar el
Certificado local y el Perfil del certificado que se utilizarn.
Pestaa Identificadores proxy de Tnel de IPSec

La pestaa Identificadores proxy de Tnel de IPSec se separa en dos pestaas: IPv4 y IPv6.
Esta ayuda es similar para ambos tipos; las diferencias entre IPv4 y IPv6 se describen en los
campos Local y Remoto en la siguiente tabla.
La pestaa Identificadores proxy de Tnel de IPSec tambin se usa para especificar los
selectores de trfico para IKEv2.
Tabla 201. Configuracin de pestaa IPv4 y IPv6 de Identificadores proxy de Tnel de IPSec
Campo
Descripcin
Identificador
proxy
Haga clic en Aadir e introduzca un nombre para identificar el proxy.

Para un selector de trfico IKEv2, esta campo se usa como el Nombre.
Local
Para IPv4: Introduzca una subred o direccin IP con el formato x.x.x.x/mscara (por
ejemplo, 10.1.2.0/24).
Para IPv6: Introduzca una direccin IP o longitud de prefijo en el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/longitud-prefijo (o segn la convencin
de IPv6, por ejemplo, 2001:DB8:0::/48).
El direccionamiento IPv6 no requiere que se escriban todos los ceros; es posible
omitir los ceros iniciales y reemplazar los consecutivos con dos puntos y coma
yuxtapuestos (::).
Para un selector de trfico de IKEv2, este campo se convertir en Direccin IP de
origen.
Palo Alto Networks
Tabla 201. Configuracin de pestaa IPv4 y IPv6 de Identificadores proxy de Tnel de IPSec
Campo
Descripcin
Remoto
Si lo requiere el peer:
Para IPv4, introduzca una subred o direccin IP con el formato x.x.x.x/mscara (por
ejemplo, 10.1.1.0/24).
Para IPv6, introduzca una direccin IP o longitud de prefijo en el formato
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/longitud-prefijo (o segn la convencin
de IPv6, por ejemplo, 2001:DB8:55::/48).
Para un selector de trfico de IKEv2, este campo se convertir en Direccin IP de
destino.
Protocolo
Especifique los nmeros de protocolo y puerto para los puertos locales y remotos:
Nmero: Especifique el nmero de protocolo (utilizado para la interoperabilidad
con dispositivos de terceros).
Cualquiera: Permita el trfico de TCP y/o UDP.
TCP: Especifique los nmeros de puertos TCP locales y remotos.
UDP: Especifique los nmeros de puertos UDP locales y remotos.
Cada ID de proxy configurado se tendr en cuenta a la hora de calcular la capacidad
de tnel de VPN de IPSec del cortafuegos.
Este campo tambin se usa como selector de trfico de IKEv2.
Visualizacin del estado del tnel de IPSec en el cortafuegos

Para ver el estado de los tneles de VPN de IPSec definidos actualmente, abra la pgina
Tneles de IPSec. En la pgina se indica la siguiente informacin de estado:
Estado del tnel (primera columna de estado): El color verde indica un tnel de
asociacin de seguridad (SA) de fase 2 de IPSec. El color rojo indica que la SA de IPSec de
fase 2 no est disponible o ha vencido.
Estado de la puerta de enlace de IKE: El color verde indica una SA de fase 1 de IKE o SA
de IKE IKEv2 vlida. El color rojo indica que la SA de IKE de fase 1 no est disponible o
ha vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO y se puede conectar con la direccin IP de supervisin). El color rojo
indica que la interfaz de tnel est desactivada porque el supervisor de tnel est
habilitado y no se puede conectar con la direccin IP de supervisin del tnel remoto.
Reinicie o actualice un tnel de IPSec

Abra la pgina Tneles de IPSec, que indica el estado de los tneles. En la segunda columna
Estado hay un enlace a la Info de tnel. Haga clic en el enlace del tnel que desea reiniciar o
actualizar. Se abrir la pgina Informacin de tnel de ese tnel. Haga clic en una de las
entradas de la lista y haga clic en Reiniciar o Actualizar.
Palo Alto Networks
Tabla 202 Reiniciar o actualizar el tnel de IPSec

Campo
Descripcin
Reiniciar
Reinicia el tnel seleccionado. Si reinicia, se interrumpir el trfico que

atraviesa el tnel.
Actualizar
Muestra el estado actual de la SA de IPSec.

Red > Perfiles de red > Criptogrfico de IKE
Utilice la pgina Perfiles criptogrficos de IKE para especificar protocolos y algoritmos para
la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec (IKEv1 o IKEv2, Fase 1).
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione el elemento y,
a continuacin, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden
determina la primera opcin cuando se negocian los ajustes con un peer remoto. En primer
lugar se intenta el ajuste de la parte superior de la lista, continuando hacia abajo en la lista
hasta que un intento tiene xito.
Tabla 203. Configuracin de perfiles criptogrficos de IKE

Campo
Descripcin
Nombre
Introduzca un Nombre para el perfil.
Grupo DH
Especifique la prioridad de grupos Diffie-Hellman (DH). Haga clic en Aadir y

seleccione grupos: grupo1, grupo2, grupo5, grupo14, grupo19 o grupo20. Para
mayor seguridad, seleccione un elemento y, a continuacin, haga clic en el icono
Mover hacia arriba o Mover hacia abajo para mover los grupos con identificadores
numricos ms altos a la parte superior de la lista. Por ejemplo, mueva el grupo14
encima del grupo2.
Autenticacin
Especifique la prioridad de los algoritmos de hash. Haga clic en Aadir y seleccione

algoritmos. Para mayor seguridad, seleccione un elemento y, a continuacin, haga
clic en el icono Mover hacia arriba o Mover hacia abajo para cambiar el orden
(de arriba a abajo) por el siguiente: sha512, sha384, sha256, sha1, md5.
Cifrado
Seleccione las casillas de verificacin para las opciones de autenticacin de carga de

seguridad encapsulada (ESP) deseada. Haga clic en Aadir y seleccione algoritmos.
Para mayor seguridad, seleccione un elemento y, a continuacin, haga clic en el
icono Mover hacia arriba o Mover hacia abajo para cambiar el orden (de arriba a
abajo) por el siguiente: aesh256hcbc, aes-192-cbc, aes-128-cbc, 3des.
Duracin de la
clave
Seleccione unidades e introduzca la cantidad de tiempo que la clave IKE fase

1 negociada permanecer efectiva. Valor predeterminado: 8 horas.
IKEv2: Antes de que venza la clave, se deber volver a introducir la clave de
registro de SA, cuando llegue el vencimiento, la SA deber comenzar una nueva
negociacin de clave de fase 1.
IKEv1: No realizar activamente una clave de registro de fase 1 antes del
vencimiento. Solo cuando venza la SA de IPSec de IKEv1 se activar la clave de
registro del IKEv1 de fase 1.
Palo Alto Networks
Tabla 203. Configuracin de perfiles criptogrficos de IKE (Continuacin)

Campo
Descripcin
Autenticacin
IKEv2
mltiple
Especifique un valor (el intervalo es 0-50, el valor predeterminado es 0) que se

multiplique por la Duracin de la clave para determinar el recuento de
autenticaciones. El recuento de autenticaciones es el nmero de veces que la puerta
de enlace puede introducir la clave de codificacin de SA de IKE IKEv2 antes de que
la puerta de enlace deba volver a empezar con la reautenticacin de IKEv2. El valor
0 desactiva la funcin de reautenticacin.

Red > Perfiles de red > Criptogrfico de IPSec
Utilice la pgina Perfiles criptogrficos de IPSec para especificar protocolos y algoritmos
para la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la
negociacin de SA de IPSec (fase 2).
Si desea informacin sobre los tneles de VPN entre las puertas de enlace y clientes
de GlobalProtect, consulte Definicin de perfiles criptogrficos de IPSec.
Tabla 204. Configuracin de perfiles criptogrficos de IPSec

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El nombre

hace distincin entre maysculas y minsculas y debe ser exclusivo. Utilice
Protocolo de
IPSec
Seleccione un protocolo para asegurar los datos que atraviesan el tnel VPN:
ESP: el protocolo de carga de seguridad encapsulada (ESP) cifra los datos,
autentica el origen y verifica la integridad de los datos.
AH: el protocolo de encabezado de autenticacin (AH) autentica el origen y
verifica la integridad de los datos.
Cifrado
(protocolo ESP
nicamente)
Haga clic en Aadir y seleccione los algoritmos de cifrado deseados. Para mayor
seguridad, seleccione los botones Mover hacia arriba o Mover hacia abajo para
cambiar el orden (de arriba a abajo) por el siguiente: aes-256-gcm, aes-256-cbc,
aes-192-cbc, aes-128-gcm, aes-128-ccm (el cortafuegos de la VM-Series no admite
esta opcin), aes-128-cbc y 3des. Tambin puede seleccionar null (sin cifrado).
Autenticacin
Haga clic en Aadir y seleccione los algoritmos de autenticacin deseados. Para

mayor seguridad, seleccione los botones Mover hacia arriba o Mover hacia abajo
para cambiar el orden (de arriba a abajo) por el siguiente: sha512, sha384, sha256,
sha1, md5. Si el Protocolo de IPSec es ESP, tambin podr seleccionar ninguno
(sin autenticacin).
Grupo DH
Seleccione el grupo Diffie-Hellman (DH) de intercambio de claves de Internet

(IKE): grupo1, grupo2, grupo5, grupo14, grupo19 o grupo20. Para mayor
seguridad, seleccione el grupo con el nmero ms alto. Si no desea renovar la
clave que crea el cortafuegos durante la fase 1 de IKE, seleccione no-pfs (sin
secreto perfecto hacia delante): el cortafuegos reutiliza la clave actual para las
negociaciones de asociacin de seguridad (SA) de IPSec.
Duracin
Seleccione unidades e introduzca la cantidad de tiempo (el valor predeterminado es

de una hora) que la clave negociada permanecer efectiva.
Duracin
Seleccione unidades opcionales e introduzca la cantidad de datos que la clave

puede utilizar para el cifrado.
Palo Alto Networks

Red > Perfiles de red > Criptogrfico de IPSec de GlobalProtect
Use la pgina Perfiles criptogrficos de IPSec de GlobalProtect para especificar los
algoritmos de autenticacin y cifrado en los tneles de VPN entre una puerta de enlace y
clientes de GlobalProtect. El orden en el que aade algoritmos es el orden en el que el
dispositivo los aplica, y puede afectar al rendimiento y la seguridad del tnel. Para cambiar el
orden, use los botones Mover hacia arriba y Mover hacia abajo.
Si desea informacin sobre los tneles de VPN entre las puertas de enlace y
dispositivo satlite (cortafuegos) de GlobalProtect, consulte Definicin de perfiles
criptogrficos de IPSec.
Tabla 205. Configuracin de perfiles criptogrficos de IPSec de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil. El nombre distingue entre

maysculas y minsculas, debe ser nico y puede tener hasta 31 caracteres.
Cifrado
Haga clic en Aadir y seleccione los algoritmos de cifrado deseados.

Para garantizar una seguridad mxima, cambie el orden (de arriba a abajo) a:
aes-256-gcm, aes-128-gcm, aes-128-cbc.
Autenticacin
Haga clic en Aadir y seleccione el algoritmo de autenticacin. En estos momentos

la nica opcin es sha1.
Palo Alto Networks
Captulo 9
Configuracin de GlobalProtect
Configuracin del portal de GlobalProtect
Red > GlobalProtect > Portales
Utilice esta pgina para configurar y gestionar la configuracin de un portal de GlobalProtect.
El portal proporciona las funciones de gestin para la infraestructura de GlobalProtect. Todos
los sistemas cliente que participan en la red de GlobalProtect reciben informacin de
configuracin desde el portal, incluida informacin sobre las puertas de enlace disponibles,
as como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace.
Adems, el portal controla el comportamiento y la distribucin del software del agente de
GlobalProtect para los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin
GlobalProtect se distribuye a travs de la Apple App Store para los dispositivos iOS o
mediante Google Play para dispositivos Android.)
Para aadir una configuracin de portal, haga clic en Aadir para abrir el cuadro de dilogo
Portal de GlobalProtect. Para obtener informacin detallada sobre los campos de todas las
pestaas del cuadro de dilogo, consulte las siguientes secciones:
Pestaa Configuracin de portal

Pestaa Configuracin clientes
Pestaa Configuracin Satlite
Para obtener instrucciones detalladas sobre cmo configurar el portal, consulte la seccin para
configurar un portal de GlobalProtect en la gua del administrador de GlobalProtect.
Pestaa Configuracin de portal

Utilice la pestaa Configuracin de portal para definir la configuracin de red de forma que
permita a los agentes conectarse al portal y especificar cmo autenticar el portal a los clientes
finales.
Adems, puede utilizar esta pestaa para especificar, de forma optativa, el inicio de sesin
personalizado de portal de GlobalProtect y las pginas de ayuda. Para obtener informacin
sobre cmo crear e importar estas pginas personalizadas, consulte la seccin sobre
personalizacin de las pginas de inicio de sesin de portal, bienvenida y ayuda de portal en
la gua del administrador de GlobalProtect.
Palo Alto Networks
Tabla 206. Configuracin del portal de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para el portal (de hasta 31 caracteres). El nombre

hace distincin entre maysculas y minsculas y debe ser exclusivo.
Ubicacin
En el caso de un cortafuegos que est en modo de Sistema virtual

mltiple, la Ubicacin es el sistema virtual (vsys) en el que el portal de
GlobalProtect est disponible. En el caso de un cortafuegos que no est en
modo de Sistema virtual mltiple, el campo Ubicacin no aparecer en el
cuadro de dilogo Portal de GlobalProtect. Una vez guardado el portal,
no puede cambiar su Ubicacin.
Configuracin de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizar como entrada

(ingress) para clientes/cortafuegos remotos.
Direccin IP
Especifique la direccin IP en la que se ejecutar el servicio web del

portal de GlobalProtect.
Perfil de servicio
SSL/TLS
Para especificar un certificado y los protocolos permitidos para proteger

el portal de GlobalProtect, seleccione un perfil de servicio SSL/TLS. Para
obtener ms informacin, consulte Gestin de perfiles de servicio SSL/
TLS.
El campo Nombre comn (CN) y, si es aplicable, el campo Nombre
alternativo del asunto (SAN) del certificado asociado al perfil deben
coincidir exactamente con la direccin IP o con el nombre de dominio
completo (FQDN) de la Interfaz seleccionada.
En las configuraciones VPN de GlobalProtect, es recomendable utilizar
un perfil asociado a un certificado de una CA externa de confianza o un
certificado generado por su CA de empresa interna.
Autenticacin
Seleccione un perfil de autenticacin para autenticar a los clientes/

satlites que acceden al portal. Si est configurando LSVPN, no podr
guardar la configuracin a menos que seleccione un perfil de
autenticacin. Incluso si planea autenticar los satlites usando nmeros
de serie, el portal necesita un perfil de autenticacin al que retroceder si
no puede situar o validar el nmero de serie.
Consulte Configuracin de perfiles de autenticacin.
Mensaje de
autenticacin
Introduzca un mensaje que ayude a los usuarios finales a saber qu

credenciales deben utilizar para iniciar sesin en el portal o utilizar el
mensaje predeterminado. El mensaje puede tener hasta 50 caracteres de
longitud.
Certificado de cliente
(Optativo) Si planea utilizar una autenticacin de SSL mutua, seleccione

el certificado que el cliente presentar a las puertas de enlace. Este
certificado de cliente se distribuir a todos los agentes que se hayan
autenticado correctamente al portal, a no ser que la configuracin
correspondiente del cliente contenga un certificado de cliente diferente.
Si utiliza una CA interna para distribuir certificados a los clientes, deje
este campo en blanco.
Palo Alto Networks
Tabla 206. Configuracin del portal de GlobalProtect (Continuacin)

Campo
Descripcin
(Optativo) Seleccione el perfil del certificado que se debe utilizar para

autenticar a los usuarios en el portal. Utilice esta opcin solo si los
extremos ya tienen un certificado de cliente previamente implementado
usando una infraestructura de clave pblica interna (PKI).
Apariencia
Deshabilitar pgina de
inicio de sesin
Seleccione esta opcin para deshabilitar el acceso a la pgina de inicio de

sesin de portal de GlobalProtect desde un navegador web.
Pgina de inicio de
sesin personalizada
Seleccione una pgina de inicio de sesin personalizada opcional para el

acceso de usuario al portal.
Pgina de ayuda
personalizada
Seleccione una pgina de ayuda personalizada optativa para asistir al

usuario con GlobalProtect.

Utilice la pestaa Configuracin clientes para definir los ajustes de configuracin del cliente
de GlobalProtect que el portal implementar para el agente/aplicacin al conectar y
autenticar correctamente.
Esta pestaa tambin le permite implementar automticamente cualquier certificado de CA
raz de confianza y certificados intermedios que necesitar el cliente final para establecer
conexiones HTTPS con las puertas de enlace de GlobalProtect y/o el gestor de seguridad
mvil de GlobalProtect, si estos componentes utilizan certificados de servidor en los que no
confan los clientes finales. Cualquier certificado que aada aqu ser aplicado a los clientes
con configuracin cliente. Para aadir un certificado de CA raz de confianza, haga clic en
Aadir y, a continuacin, seleccione un certificado de la lista o haga clic en Importar para
buscar e importar el certificado en el cortafuegos.
Si tiene clases de usuarios distintas que necesitan distintas configuraciones, puede crear una
configuracin cliente distinta para cada uno. El portal utilizar entonces el nombre de
usuario/nombre de grupo o el sistema operativo del cliente para determinar qu
configuracin cliente implementar. Como con la evaluacin de reglas de seguridad, el portal
busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una
coincidencia, proporciona la configuracin correspondiente al agente/aplicacin. Por lo tanto,
si tiene varias configuraciones cliente, es importante ordenarlas, para que las ms especficas
(configuraciones para usuarios o sistemas operativos concretos) estn por encima de
configuraciones ms genricas. Utilice los botones Mover hacia arriba y Mover hacia abajo
para ordenar las configuraciones. Haga clic en Aadir para abrir el cuadro de dilogo
Configuraciones y cree una nueva configuracin cliente. Para obtener informacin detallada
sobre cmo configurar el portal y crear configuraciones cliente, consulte la seccin para
configurar el portal del GlobalProtect en la gua del administrador de GlobalProtect.
El cuadro de dilogo Configuracin contiene cinco pestaas, que se describen en la siguiente tabla:
Pestaa General
Pestaa Usuario/grupo de usuarios
Pestaa Puertas de enlace
Pestaa Agente
Pestaa Recopilacin de datos
Palo Alto Networks
Tabla 207. Ajustes de Configuracin clientes del portal de GlobalProtect

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar la configuracin de este cliente.
Utilizar registro nico
Seleccione la casilla de verificacin para que GlobalProtect utiliza las

credenciales de inicio de sesin de Windows de los usuarios para conectar
y autenticar de manera transparente a las puertas de enlace y al portal de
GlobalProtect. A los usuarios no se les pedir que introduzcan nombre de
usuario ni contrasea en la pestaa Configuracin del agente.
Intervalo de
actualizacin de
configuracin (horas)
Especifique el intervalo en horas para actualizar la configuracin del agente

GlobalProtect (de forma predeterminada, 24 horas; rango de 1-168 horas).
Modificador de
autenticacin
Ninguno: El portal siempre autentica al agente usando el perfil de autenticacin especificado y/o el perfil de certificado y enva las credenciales
de autenticacin a la puerta de enlace. Es el ajuste predeterminado.
Autenticacin de cookies para actualizacin de configuracin: Permite
la autenticacin basada en cookies del agente al portal para actualizar
una configuracin de cliente en cach.
Caducidad de cookies (das): Esta opcin solo aparece si selecciona la
opcin Autenticacin de cookies para actualizacin de configuracin en
el campo Modificador de autenticacin. Utilcela para especificar el
nmero de das que el agente puede utilizar la cookie para autenticarse
en el portal con el fin de actualizar la configuracin; un valor de 0 (predeterminado) indica que la cookie nunca caduca.
Contrasea diferente para puerta de enlace: indica que el portal y la
puerta de enlace utilizan credenciales de autenticacin diferentes y pide
al usuario la contrasea de la puerta de enlace despus de que la autenticacin de portal se realice correctamente. De forma predeterminada, el
portal enviar la misma contrasea que ha utilizado el agente para autenticarse en el portal o en la puerta de enlace.
Solo puerta de enlace manual: Esta opcin solo aparece si selecciona
Contrasea diferente para puerta de enlace en el campo Modificador de
autenticacin. Seleccione esta casilla de verificacin si desea utilizar
mecanismos de autenticacin diferentes en distintas puertas de enlace
configuradas como manuales. Por ejemplo, puede elegir las credenciales
de Active Directory para una conexin siempre activada a un conjunto
de puertas de enlace, y utilizar un mecanismo de autenticacin ms
estricto, como una autenticacin OTP de dos factores, en otro conjunto de
puertas de enlace que protejan recursos ms seguros.
Palo Alto Networks
Tabla 207. Ajustes de Configuracin clientes del portal de GlobalProtect (Continuacin)

Campo
Descripcin
Mtodo de conexin
a peticin: Seleccione esta opcin para permitir a los usuarios establecer

una conexin cuando lo deseen. Con esta opcin, el usuario debe iniciar
la conexin de forma explcita. Esta funcin se utiliza principalmente
para conexiones con acceso remoto.
Inicio de sesin de usuario: Con esta opcin configurada, el agente de
GlobalProtect establecer una conexin cuando los usuarios inicien
sesin en sus equipos. Si selecciona Utilizar registro nico, el nombre de
usuario y la contrasea utilizados para iniciar sesin en Windows se capturan por el agente de GlobalProtect y se utilizan para autenticar.
Anterior al inicio de sesin: Permite al agente autenticar y establecer el
tnel de VPN en la puerta de enlace de GlobalProtect utilizado un certificado de mquina instalado previamente antes de que el usuario inicie
sesin en la mquina. Cuando se utiliza el mtodo de conexin anterior al
inicio de sesin, puede crear configuraciones cliente de GlobalProtect y
polticas de seguridad que especifiquen el mtodo anterior al inicio de
sesin como usuario de origen y permitan el acceso solo a los servicios
bsicos como DHCP, DNS, Active Directory y servicios de actualizacin
del sistema operativo y antivirus, para aumentar an ms la velocidad
del proceso de inicio de sesin para los usuarios. Para utilizar esta funcin, debe usar su propia infraestructura de clave pblica (PKI) para
emitir y distribuir certificados a sus sistemas de usuario final. Entonces,
debe importar el certificado de CA raz utilizado para emitir los certificados de mquina al cortafuegos (tanto el portal como la puerta de
enlace) y, a continuacin, crear un perfil de certificado correspondiente.
Si planea quiere utilizar una autenticacin de SSL mutua, seleccione el

certificado que el cliente presentar a las puertas de enlace. Este certificado
cliente se distribuir a todos los agentes que coincidan con esta
configuracin cliente. Si tambin hay un certificado cliente especificado en
la pestaa Configuracin de portal, se utilizar este en su lugar. Si est
implementando certificados nicos a sus extremos usando una PKI interna,
deje este campo en blanco.
Gestor de seguridad
mvil
Si est utilizando el gestor de seguridad mvil de GlobalProtect para la

gestin del dispositivo mvil, introduzca la direccin IP o FQDN de la
interfaz de registro/inscripcin del dispositivo en el dispositivo GP-100.
Puerto de inscripcin
Nmero de puerto que debe utilizar el dispositivo mvil al conectar al

gestor de seguridad mvil de GlobalProtect para la inscripcin. De forma
predeterminada, el gestor de seguridad mvil escucha en el puerto 443. Se
recomienda respetar este valor para no se les solicite un certificado cliente
durante el proceso de inscripcin a los usuarios de dispositivos mviles.
(Valor predeterminado: 443; valores posibles: 443, 7443, 8443)
Palo Alto Networks

Campo
Descripcin
Deteccin de host
interno
Con esta opcin, GlobalProtect realiza una bsqueda de DNS inversa del
nombre de host especificado en la direccin IP especificada. Si no se
encuentra ninguna coincidencia, GlobalProtect supone que el extremo se
encuentra fuera de la red de la empresa y establece un tnel con cualquier
puerta de enlace externa configurada en la pestaa Puertas de enlace. Si
encuentra alguna coincidencia, el agente determina que el extremo est
dentro de la red y se conecta a una puerta de enlace interna (si est
configurada); en este caso, no crea ninguna conexin de VPN a puertas de
enlace externas.
Seleccione la casilla de verificacin para activar la deteccin de host interno
utilizando la bsqueda de DNS. Especifique lo siguiente:
Direccin IP: Introduzca una direccin IP interna para la deteccin de
host interno.
Nombre de host: Introduzca el nombre de host que lleva a la direccin IP
anterior en la red interna.
Pestaa Usuario/grupo de usuarios

Especifica el usuario o grupo de usuarios o el sistema operativo cliente al
que aplicar la configuracin cliente:
Usuario/grupo de usuarios: Haga clic en Aadir para seleccionar en la
lista el usuario o grupo de usuarios al que se aplicar esta configuracin
(para que aparezca la lista de usuarios y grupos debe estar configurada la
asignacin de grupos). Tambin puede crear configuraciones que se
implementarn en los agentes en modo anterior al inicio de sesin (es
decir, antes de que el usuario haya iniciado sesin en el sistema) o configuraciones que se aplicarn a cualquier usuario.
SO: Para implementar configuraciones basadas en el sistema operativo
especfico que se ejecuta en el sistema final, haga clic en Aadir en la
seccin de SO de la ventana y, a continuacin, seleccione los sistemas
operativos que correspondan (Android, iOS, Mac o Windows). O deje el
valor de esta seccin establecido en Cualquiera para que las configuraciones se implementen basndose solo en el usuario/grupo.
Pestaa Puertas de enlace

Tiempo de corte
Especifique la cantidad de tiempo (en segundos) que el agente esperar a

que respondan las puertas de enlace antes de determinar la mejor puerta de
enlace a la que conectarse. El agente solo intentar conectarse a las puertas
de enlace que hayan respondido en el tiempo de corte especificado. El valor
predeterminado es 5. El valor 0 indica que no hay tiempo de corte; el agente
esperar hasta que el TCP agote su tiempo de espera. (Rango 0 a 10)
Puertas de enlace
internas
Especifique las puertas de enlace internas que el agente autenticar y para

las que proporcionar informes HIP.
Palo Alto Networks

Campo
Descripcin
Puertas de enlace
externas
Especifique la lista de cortafuegos con los que el agente debera intentar

establecer un tnel cuando estos falten en la red corporativa. Haga clic en
Aadir y, a continuacin, introduzca la siguiente informacin para todas
las puertas de enlace externas:
Nombre: Etiqueta de hasta 31 caracteres para identificar la puerta de
enlace. El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Direccin: Direccin IP o FQDN de la interfaz del cortafuegos donde se
configura la puerta de enlace. El valor debe coincidir con el campo CN (y
SAN, si se especifica) en el certificado del servidor de la puerta de enlace
(por ejemplo, si ha utilizado un FQDN para generar el certificado,
tambin debe introducirlo aqu).
Prioridad: Seleccione un valor (Ms alta, Alta, Media, Baja, Ms baja o
Manual nicamente) para ayudar al agente a determinar la puerta de
enlace a la que conectarse. El agente se pondr en contacto con todas las
puertas de enlace (excepto las que tengan una prioridad Solo manual) y
establecer un tnel con el cortafuegos que proporcione la respuesta ms
rpida y el valor de prioridad ms alto.
Manual: Seleccione esta casilla de verificacin si desea permitir que los
usuarios se conecten manualmente (o cambien a) la puerta de enlace.
El agente de GlobalProtect tendr la opcin de conectarse a cualquier
puerta de enlace externa configurada con la seleccin Manual. Al
conectarse a la nueva puerta de enlace, se desconectar el tnel existente
y se establecer un nuevo tnel. A diferencia de la puerta de enlace
principal, las puertas de enlace manuales pueden tambin tener un
mecanismo de autenticacin diferente. Si se reinicia el sistema cliente o si
se realiza un redescubrimiento, el agente de GlobalProtect se conectar a
la puerta de enlace principal. Esta funcin es muy til si cuenta con un
grupo de usuarios que necesitan conectarse de forma temporal a una
puerta de enlace especfica para acceder a un segmento seguro de su red.
Pestaa Agente
La configuracin de esta pestaa especifica la forma en la que interactan

los usuarios finales con los agentes de GlobalProtect instalados en sus
sistemas. Puede definir configuraciones de agente diferentes para las
distintas configuraciones cliente de GlobalProtect que cree.
Cdigo de acceso/
Confirmar cdigo de
acceso
Introduzca el cdigo de acceso que los usuarios finales debern introducir

para cancelar el agente. Este campo solo es necesario si el campo
Cancelacin del agente por el usuario tiene establecido el uso de cdigo de
acceso.
Palo Alto Networks

Campo
Descripcin
Cancelacin del agente

por el usuario
Seleccione una opcin de cancelacin:

deshabilitado: Impide que los usuarios finales deshabiliten el agente de
GlobalProtect.
con comentario: Se pide al usuario final que introduzca un comentario
cuando desactive el agente de GlobalProtect.
con cdigo de acceso: La opcin permite al usuario introducir un cdigo
de acceso para cancelar el agente de GlobalProtect. Si selecciona esta
opcin, tambin debe introducir un valor en el campo Cdigo de acceso y
en Confirmar cdigo de acceso. Los usuarios tendrn que introducir este
valor para cancelar al agente.
con vale: Esta opcin activa un mecanismo de respuesta por desafo para
autorizar la desactivacin del agente de GlobalProtect por parte del
cliente. Con esta opcin seleccionada, se solicita un desafo al usuario al
desactivar GlobalProtect. El desafo es transmitido al administrador fuera
del cortafuegos y el administrador puede validar el desafo mediante la
interfaz de administracin del cortafuegos. El cortafuegos genera una respuesta que se presenta al usuario que podr luego desactivar GlobalProtect introduciendo dicha respuesta cuando el agente de GlobalProtect se
la solicite. Cuando utilice esta opcin, tambin debe introducir la clave
para descifrar el vale en los campos Clave de cancelacin del agente por
el usuario en el nivel superior de la pestaa Configuracin clientes.
Mx. nmero de
cancelaciones del
agente por el usuario
Especifique el nmero mximo de veces que un usuario puede desactivar

GlobalProtect antes de que sea obligatoria una conexin correcta con un
cortafuegos. El valor 0 (predeterminado) indica que las cancelaciones de
agente son ilimitadas.
Tiempo de espera a la
cancelacin del agente
por el usuario
Especifique el tiempo mximo (en minutos) que GlobalProtect estar

deshabilitado al cancelar; despus de que transcurra el tiempo
especificado, el agente volver a conectarse. El valor 0 (predeterminado)
indica que la duracin de la cancelacin es ilimitada.
Actualizacin de
agente
Seleccione una de las siguientes opciones para especificar cmo

se producirn las descargas/actualizaciones del software del agente de
GlobalProtect:
deshabilitado: Impide que los usuarios actualicen el agente.
manual: Permite a los usuarios comprobar e iniciar actualizaciones
manualmente seleccionando la opcin de comprobacin de versin del
agente.
mensaje: pide actualizar a los usuarios finales cuando se active una
nueva versin del agente en el cortafuegos. Es el ajuste predeterminado.
transparente: actualiza automticamente el software del agente cuando
hay una versin disponible en el portal.
Pgina de bienvenida
Seleccione la pgina de bienvenida que debe mostrarse a los usuarios

finales cuando la conexin a GlobalProtect sea correcta. Puede seleccionar
la pgina predeterminada de fbrica o importar una pgina personalizada.
De forma predeterminada, este campo se establece en Ninguno.
VPN externo
Haga clic en Aadir para aadir una lista de clientes VPN de acceso remoto
que podran estar presentes en los extremos. Si est configurado,
GlobalProtect ignorar esos clientes VPN, as como su configuracin de
ruta, para asegurarse de que ni les afecta ni entra en conflicto con ellos.
Palo Alto Networks

Campo
Descripcin
Habilitar vista
avanzada
Cancele la seleccin de la casilla de verificacin para restringir la interfaz

del usuario por parte del cliente en la vista mnima bsica. De forma
predeterminada, la configuracin de vista avanzada est activada.
Mostrar icono
GlobalProtect
Quite esta marca de verificacin para ocultar el icono de GlobalProtect en el

sistema cliente. Cuando est oculto, los usuarios no pueden realizar otras
tareas, como cambiar las contraseas, redescubrir la red, reenviar
informacin de host, ver informacin de solucin de problemas o realizar
una conexin a demanda. Sin embargo, los mensajes de notificacin HIP, los
mensajes de inicio de sesin y los cuadros de dilogo de certificados seguirn
mostrndose como necesarios para interactuar con el usuario final.
Permitir al usuario
cambiar la direccin
del portal
Quite la marca de esta casilla de verificacin para deshabilitar el campo

Portal en la pestaa Configuracin del agente de GlobalProtect. Como el
usuario no podr entonces especificar un portal al que conectarse, debe
proporcionar la direccin predeterminada del portal en el registro de
Windows:
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalPr
otect\PanSetup con portal clave) o la pclist de Mac (/Library/Preferences/
com. paloaltonetworks.GlobalProtect.pansetup.plist con portal clave).
Habilitar la marca de
verificacin No
volver a mostrar esta
pgina de bienvenida
Cancele la seleccin de esta casilla de verificacin para forzar la aparicin

de la Pgina de bienvenida cada vez que un usuario inicie una conexin.
Esto evita que el usuario desestime informacin importante, como las
condiciones que puedan ser obligatorias para mantener el cumplimiento
segn su organizacin.
Permitir que el usuario

guarde la contrasea
Quite la marca de verificacin de esta casilla para impedir que los usuarios
guarden sus contraseas en el agente (es decir, forzarlos a proporcionar la
contrasea, ya sea de forma transparente mediante el cliente o
introduciendo una manualmente, cada vez que se conecten).
Activar opcin para

volver a detectar la red
Quite la marca de verificacin de esta casilla para impedir que los usuarios
redescubran la red de forma manual.
Activar opcin para

volver a enviar perfil
de host
Quite la marca de verificacin de esta casilla de para impedir que los

usuarios activen manualmente el reenvo del ltimo HIP.
Permitir que el usuario

contine si el
certificado de servidor
del portal no es vlido
Quite la marca de verificacin de esta casilla para impedir al agente

establecer una conexin con el portal si el certificado de portal no es vlido.
Pestaa
Recopilacin de
datos
Utilice esta pestaa secundaria para definir qu datos recopilar el agente

del cliente en el informe HIP:
Mx. de tiempo de
espera
Especifique la duracin de la bsqueda de datos HIP por parte del agente

antes de enviar la informacin disponible (rango 10-60 segundos; de forma
predeterminada, 20 segundos).
Palo Alto Networks

Campo
Descripcin
Excluir categoras
Utilice esta pestaa secundaria para definir cualquier categora de

informacin de host para la que no desee recopilar los datos HIP.
Seleccione una categora que desee excluir de la recopilacin de HIP.
Despus de seleccionar una categora, de forma optativa, puede filtrar la
exclusin haciendo clic en Aadir y, a continuacin, seleccionando un
proveedor concreto. Haga clic en Aadir en la seccin Producto del cuadro
de dilogo y, a continuacin, seleccione los productos del proveedor. Haga
clic en ACEPTAR para guardar la configuracin.
Comprobaciones
personalizadas
Utilice esta pestaa secundaria para definir cualquier informacin de host

personalizada que desee que recopile el agente. Por ejemplo, si tiene
aplicaciones necesarias que no estn incluidas en la lista de productos o de
proveedores para crear objetos HIP, cree una comprobacin personalizada
que le permita determinar si se ha instalado esa aplicacin (tiene un
registro o clave plist que corresponde) o se est ejecutando (tiene un
proceso en ejecucin que corresponde):
Windows: Haga clic en Aadir para aadir una comprobacin de una
clave de registro determinada o un valor de clave.
Mac: Haga clic en Aadir para aadir una comprobacin de una clave
plist determinada o un valor de clave.
Lista de procesos: Haga clic en Aadir para especificar la lista de procesos
para comprobar en los sistemas de usuario final para ver si estn en ejecucin. Por ejemplo, para determinar si una aplicacin de software se est ejecutando, agregue el nombre del archivo ejecutable a la lista de procesos.
Puede aadir una lista de procesos a la pestaa Windows o Mac.

Un dispositivo satlite es un cortafuegos de Palo Alto Networks (tradicionalmente en una
sucursal) que acta como agente de GlobalProtect para habilitarlo y establecer la conectividad
de VPN en un cortafuegos de GlobalProtect. De la misma forma que un agente de GlobalProtect,
el satlite recibe su configuracin inicial del portal, incluidos certificados e informacin sobre la
ruta de configuracin de VPN. Esto que permite su conexin a todas las puertas de enlace
configuradas, lo que hace posible el establecimiento de la conectividad de VPN.
Palo Alto Networks
Antes de configurar los ajustes de satlite de GlobalProtect en el cortafuegos de la sucursal,

primero debe configurar una interfaz con conectividad de WAN y establecer una poltica y
una zona de seguridad para que la LAN de la sucursal pueda comunicarse con Internet.
Entonces podr configurar los ajustes del satlite de GlobalProtect en el portal, segn se
describe en la siguiente tabla:
Tabla 208. Ajustes de configuracin del satlite del portal de GlobalProtect

Campo
Descripcin
Pestaa secundaria
General
Haga clic en Aadir para mostrar las pestaas secundarias y especifique

la siguiente configuracin en la pestaa secundaria Satlite de
GlobalProtect > General:
Nombre: Introduzca un nombre para identificar el perfil del dispositivo
satlite de GlobalProtect.
Actualizar intervalo de configuracin (horas): Especifique la frecuencia con la que los dispositivos satlite deben comprobar el portal
para actualizaciones de la configuracin (valor predeterminado 24
horas, intervalo entre 1 y 48 horas).
Pestaa secundaria
Dispositivos
Haga clic en Aadir para agregar manualmente un dispositivo satlite

utilizando el nmero de serie del dispositivo. Si utiliza esta opcin,
cuando se conecta el dispositivo satlite por primera vez para recibir el
certificado de autenticacin y la configuracin inicial, no se requiere un
mensaje de inicio de sesin. Despus de autenticar el dispositivo satlite,
se agrega Nombre (nombre de host) al portal de forma automtica.
Pestaa secundaria
Inscripcin del usuario/
Grupo de usuario
El portal utiliza los ajustes Usuario de inscripcin/Grupo de usuarios

y/o los nmeros de serie de Dispositivos para hacer coincidir un satlite
con una configuracin.
Especifique los criterios de coincidencia para la configuracin de satlite
de la manera siguiente:
Para restringir esta configuracin a dispositivos satlite con nmeros de
serie especficos, seleccione la pestaa Dispositivos, haga clic en Aadir
e introduzca un nmero de serie (no necesita introducir el nombre de
host de satlite; se aadir automticamente cuando el satlite se
conecte). Repita este paso para cada satlite que quiera que reciba esta
configuracin.
Seleccione la pestaa Usuario de inscripcin/Grupo de usuarios, haga
clic en Aadir y, a continuacin, seleccione el usuario o grupo que quiera
que reciba esta configuracin. Los satlites que no coinciden en el nmero
de serie debern autenticarse como un usuario especificado aqu (bien
como un usuario individual, bien como un miembro de grupo).
Nota: Nota: Para restringir la configuracin a grupos especficos, debe activar la
asignacin de grupos.
Palo Alto Networks
Tabla 208. Ajustes de configuracin del satlite del portal de GlobalProtect (ContinuaCampo
Descripcin
Pestaa secundaria
Puertas de enlace
Haga clic en Aadir para introducir la direccin IP o nombre de host de

los satlites de las puertas de enlace con los que esta configuracin puede
establecer tneles de IPSec. Introduzca el FQDN o la direccin IP de la
interfaz donde est configurada la puerta de enlace en el campo Puertas
de enlace.
(Opcional) Si est aadiendo dos o ms puertas de enlace a la
configuracin, la Prioridad del enrutador ayuda al satlite a seleccionar
la puerta de enlace preferida. Introduzca un valor de entre 1 y 25;
cuanto menor sea el nmero, mayor ser la prioridad (es decir, la puerta
de enlace a la que se conectar el satlite si todas las puertas de enlace
estn disponibles). El satlite multiplicar la prioridad de enrutamiento
por 10 para determinar la medida de enrutamiento.
Nota: Las rutas publicadas por la puerta de enlace se instalan en el satlite como
rutas estticas. La medida para la ruta esttica es 10 veces la prioridad de
enrutamiento. Si tiene ms de una puerta de enlace, asegrese tambin de
establecer la prioridad de enrutamiento para garantizar que las rutas anunciadas
por puertas de enlace de reserva tienen medidas ms altas en comparacin con las
mismas rutas anunciadas por puertas de enlace principales. Por ejemplo, si
establece la prioridad de enrutamiento para la puerta de enlace principal y la
puerta de enlace de reserva como 1 y 10 respectivamente, el satlite utilizar 10
como medida para la puerta de enlace principal y 100 como medida para la puerta
de enlace de reserva.
El satlite tambin compartir su informacin de red y enrutamiento con
las puertas de enlace si est seleccionada la opcin Publicar todas las
rutas estticas y conectadas a puerta de enlace (configurada en el satlite
en la pestaa Red > Tneles de IPSec > Avanzado). Consulte Satlite de
GlobalProtectpara obtener ms informacin.
CA raz de confianza
Haga clic en Aadir y, a continuacin, seleccione el certificado de CA

utilizado para emitir los certificados de servidor de la puerta de enlace. Se
recomienda usar el mismo emisor para todas las puertas de enlace.
Nota: Si el certificado de CA raz utilizado para emitir sus certificados de
servidor de la puerta de enlace no est en el portal, haga clic en Importar para
importarlo ahora.
Emisor del certificado
Seleccione el certificado de CA raz que el portal utilizar para emitir

certificados para satlites tras autenticarlos correctamente.
Perodo de validez (das)
Especifique la duracin del certificado del dispositivo satlite de

GlobalProtect emitido (valor predeterminado 7 das, intervalo de 7 a
365 das).
Perodo de renovacin
del certificado (das)
Especifique el perodo de renovacin del certificado del dispositivo

satlite de GlobalProtect (valor predeterminado 3 das, intervalo de 3 a
30 das). Eso determinar la frecuencia de renovacin de los certificados.
OCSP responder
Seleccione el respondedor OCSP que deben usar los satlites para

verificar el estado de revocacin de los certificados presentados por el
portal y las puertas de enlace.
Palo Alto Networks
Configuracin de las puertas de enlace de GlobalProtect

Red > GlobalProtect > Puertas de enlace
Utilice esta pgina para configurar una puerta de enlace de GlobalProtect. La puerta de enlace
se puede utilizar para proporcionar conexiones de VPN para agentes/aplicaciones de
GlobalProtect o dispositivos satlite de GlobalProtect.
Para aadir una configuracin de puerta de enlace, haga clic en Aadir para abrir el cuadro de
dilogo Portal de GlobalProtect. Para obtener informacin detallada sobre los campos de
todas las pestaas del cuadro de dilogo, consulte las siguientes secciones:
Pestaa General
Para obtener instrucciones detalladas sobre cmo configurar una puerta de enlace, consulte la
seccin para configurar una puerta de enlace de GlobalProtect en la gua del administrador de
GlobalProtect.
Pestaa General
Utilice la pestaa General para definir la interfaz de la puerta de enlace a la que se conectarn
los agentes/aplicaciones y especificar cmo autenticar la puerta de enlace a los clientes
finales.
Tabla 209. Configuracin general de la puerta de enlace de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para la puerta de enlace (de hasta 31 caracteres).

guiones bajos.
Ubicacin

mltiple, la Ubicacin es el sistema virtual (vsys) en el que la puerta de
enlace de GlobalProtect est disponible. En el caso de un cortafuegos que
no est en modo de Sistema virtual mltiple, el campo Ubicacin no
aparecer en el cuadro de dilogo Puerta de enlace de GlobalProtect.
Una vez guardada la puerta de enlace, no puede cambiar su Ubicacin.
Configuracin de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizar como entrada

(ingress) para agentes/satlites remotos.
Direccin IP
Seleccione la direccin IP para el acceso a la puerta de enlace.
Perfil de servicio
SSL/TLS
Para especificar un certificado y los protocolos permitidos para proteger

la puerta de enlace de GlobalProtect, seleccione un perfil de servicio
SSL/TLS. Para obtener ms informacin, consulte Gestin de perfiles de
servicio SSL/TLS.
Autenticacin
Palo Alto Networks
Seleccione un perfil o una secuencia de autenticacin para autenticar el

acceso a la puerta de enlace. Consulte Configuracin de perfiles de
autenticacin.
Tabla 209. Configuracin general de la puerta de enlace de GlobalProtect (Continuacin)

Campo
Descripcin
Mensaje de
autenticacin
Introduzca un mensaje que ayude a los usuarios finales a saber qu

credenciales deben utilizar para iniciar sesin en esta puerta de enlace
o utilice el mensaje predeterminado. El mensaje puede tener hasta
50 caracteres de longitud.
Seleccione el perfil de certificado para la autenticacin de cliente.

Utilice la pestaa Configuracin clientes para configurar los ajustes de tnel y permitir a los
agentes/aplicaciones establecer tneles de VPN con la puerta de enlace. Adems, utilice esta
pestaa para definir los mensajes de notificacin HIP que se deben mostrar a los usuarios
finales al encontrar coincidencias (o no encontrarlas) con un perfil HIP adjunto a una poltica
de seguridad.
Esta pestaa contiene tres pestaas secundarias, que se describen en la siguiente tabla:
Pestaa secundaria Ajustes de tnel

Pestaa secundaria Configuracin de red
Pestaa secundaria Servicios de red
Pestaa secundaria Notificacin HIP
Utilice esta pestaa secundaria para configurar los parmetros del tnel y permitir su utilizacin.
Los parmetros del tnel son necesarios si configura una puerta de enlace externa. Las puertas
de enlace internas se configuran de forma optativa.
Palo Alto Networks
Tabla 210. Ajustes de configuracin de modo de tnel de cliente de puerta de enlace de

GlobalProtect
Campo
Descripcin
Modo de tnel
Seleccione la casilla de verificacin para activar el modo tnel y especifique los

siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel para acceder a la puerta de enlace.
Mx. de usuarios: Especifique el nmero mximo de usuarios que pueden
acceder a la puerta de enlace simultneamente para autenticacin, actualizaciones
HIP y actualizaciones de agente de GlobalProtect. Si se alcanza el nmero
mximo de usuarios, se negar el acceso a los usuarios siguientes con un mensaje
de error indicando que se ha alcanzado el nmero mximo de usuarios. De forma
predeterminada, no se establece ningn lmite (rango =1-1024 usuarios).
Habilitar IPSec: Seleccione la casilla de verificacin para activar el modo IPSec
para el trfico de cliente, convirtiendo IPSec en el mtodo principal y SSL-VPN en
el mtodo alternativo.
Criptogrfico de IPSec de GlobalProtect: Seleccione un perfil criptogrfico de
IPSec de GlobalProtect que especifique algoritmos de autenticacin y cifrado para
los tneles de VPN. El perfil predeterminado utiliza un cifrado aes-128-cbc y una
autenticacin sha1. Para obtener ms informacin, consulte Definicin de
perfiles criptogrficos de IPSec.
Habilitar compatibilidad con X-Auth: Seleccione la casilla de verificacin para
activar la compatibilidad con Extended Authentication (X-Auth) en la puerta de
enlace de GlobalProtect cuando se activa IPSec. Con la compatibilidad de X-Auth,
los clientes externos de VPN de IPSec compatibles con X-Auth (como el cliente
VPN de IPSec en dispositivos Apple iOS y Android y el cliente VPNC en Linux)
pueden establecer un tnel VPN con la puerta de enlace de GlobalProtect.
La opcin X-Auth proporciona acceso remoto desde el cliente VPN a una puerta
de enlace de GlobalProtect especfica. Como el acceso de X-Auth proporciona
funciones de GlobalProtect limitadas, considere el uso de la aplicacin de
GlobalProtect para un acceso simplificado a todo el conjunto de funciones de
seguridad que proporciona GlobalProtect en dispositivos iOS y Android.
Seleccionar la casilla de verificacin de compatibilidad con X-Auth activa

las opciones Nombre de grupo y Contrasea de grupo:
Si se especifica el nombre de grupo y la contrasea de grupo, la primera fase de
autenticacin requiere ambas informaciones para utilizar esta credencial para
autenticar. La segunda fase requiere una contrasea y un nombre de usuario
vlidos, que se comprobarn mediante el perfil de autenticacin configurado
en la seccin Autenticacin.
Si no se definen un nombre de grupo y una contrasea de grupo, la primera
fase de autenticacin se basa en un certificado vlido presentado por el cliente
de VPN externo. Este certificado se valida despus a travs del perfil de
certificado configurado en la seccin de autenticacin.
De forma predeterminada, no es necesario que el usuario vuelva a autenticarse
cuando caduque la clave utilizada para establecer el tnel de IPSec. Para
volver a solicitar la autenticacin, quite la marca de la casilla de verificacin
Saltar autenticacin de clave de registro de IKE.
Configuracin
de tiempo de
espera
Especifique los siguientes ajustes de tiempo de espera:

Duracin de inicio de sesin: Especifique el nmero de das, horas o minutos
permitido para una sesin de inicio de sesin de puerta de enlace nica.
Cierre de sesin por inactividad: Especifique el nmero de das, horas y minutos
tras el que se cierra una sesin inactiva automticamente.
Desconectar cuando est inactivo: Especifique el nmero de minutos a partir del
cual se cierra la sesin en GlobalProtect si la aplicacin GlobalProtect no ha
enviado trfico a travs del tnel VPN.
Palo Alto Networks

Las opciones de Configuracin de red solamente estn disponibles si ha habilitado el modo de
tnel y definido una interfaz de tnel en la pestaa Ajustes de tnel.
La configuracin de red definida aqu se asignar al adaptador de red virtual en el sistema
cliente cuando un agente establezca un tnel con la puerta de enlace.
Tabla 211. Ajustes de configuracin de red de cliente de puerta de enlace de

GlobalProtect
Campo
Descripcin
Pestaa secundaria
Usuario/grupo de
usuarios
Especifica el usuario o grupo de usuarios o el sistema operativo cliente al

que aplicar la configuracin cliente.
Usuario/grupo de
usuarios
Haga clic en Aadir para seleccionar en la lista el usuario especfico o el

grupo de usuarios al que se aplicar esta configuracin (para que
aparezca la lista de usuarios y grupos debe estar configurada la
asignacin de grupos). Tambin puede crear configuraciones que se
implementarn en los agentes en modo anterior al inicio de sesin
(es decir, antes de que el usuario haya iniciado sesin en el sistema)
o configuraciones que se aplicarn a cualquier usuario.
SO
Para implementar configuraciones basadas en el sistema operativo

especfico que se ejecuta en el sistema final, haga clic en Aadir en la
seccin de SO de la ventana y, a continuacin, seleccione los sistemas
operativos que correspondan (Android, iOS, Mac o Windows). O deje el
valor de esta seccin establecido en Cualquiera para que las
configuraciones se implementen basndose solo en el usuario/grupo.
Pestaa secundaria
Configuracin de red
Recuperar atributo de
direccin IP entramada
desde el servidor de
autenticacin
Seleccione la casilla de verificacin para permitir que la puerta de enlace

de GlobalProtect asigne direcciones IP fijas mediante un servidor de
autenticacin externo. Cuando est habilitada, la puerta de enlace de
GlobalProtect asigna la direccin IP a dispositivos que se estn
conectando mediante el atributo IP entramada del servidor de
autenticacin.
Grupo de IP de
servidores de
autenticacin
Esta seccin solamente est disponible si est habilitada la opcin

Recuperar atributo de direccin IP entramada desde el servidor de
autenticacin.
Haga clic en Aadir para especificar la configuracin del grupo de IP de
servidores de autenticacin.
Utilice esta seccin para crear una subred o un intervalo de direcciones IP
que se asignarn a los usuarios remotos. Cuando el tnel est establecido,
la puerta de enlace de GlobalProtect asignar la direccin IP de este
intervalo a dispositivos que se estn conectando mediante el atributo IP
entramada del servidor de autenticacin.
Nota: El grupo de IP de servidores de autenticacin debe ser lo suficientemente
grande para abarcar todas las conexiones actuales. La asignacin de direccin IP
es fija y se mantiene cuando se desconecta el usuario. La configuracin de varias
gamas de diferentes subredes permitir al sistema ofrecer a los clientes una
direccin IP que no entra en conflicto con otras interfaces en el cliente.
Los servidores/enrutadores en las redes debe dirigir el trfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un usuario remoto.
Palo Alto Networks
Tabla 211. Ajustes de configuracin de red de cliente de puerta de enlace de GlobalProtect (Continuacin)
Campo
Descripcin
Grupo de IP
Haga clic en Aadir para especificar la configuracin del grupo de IP.

Utilice esta seccin para crear una gama de direcciones IP para asignar a
los usuarios remotos. Cuando se establece el tnel, se crea una interfaz en
el equipo del usuario remoto con una direccin de esta gama.
Nota: Para evitar conflictos, el grupo de IP debe ser lo suficientemente grande
para abarcar todas las conexiones actuales. La puerta de enlace mantiene un
ndice de clientes y direcciones IP para que el cliente reciba automticamente la
misma direccin IP la prxima vez que se conecte. La configuracin de varias
gamas de diferentes subredes permitir al sistema ofrecer a los clientes una
direccin IP que no entra en conflicto con otras interfaces en el cliente.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un usuario remoto.
Sin acceso directo a red

local
Seleccione la casilla de verificacin para deshabilitar los tneles

divididos, incluido el acceso directo a redes locales en sistemas Windows
y Mac OS. Esto evita que los usuarios enven trfico a proxies o recursos
locales, como una impresora domstica. Cuando el tnel est establecido,
todo el trfico se enrutar a travs del tnel y estar sujeto a la aplicacin
de la poltica por parte del cortafuegos.
Acceder a ruta
Haga clic en Aadir para especificar las opciones de ruta de acceso.

Utilice esta seccin para agregar rutas que se introducirn en el equipo
del usuario remoto y por lo tanto determinarn lo que enviar el equipo
del usuario a travs de la conexin VPN.
Por ejemplo, puede establecer tneles divididos para permitir a los
usuarios remotos acceder a Internet sin pasar por el tnel de VPN.
Si no se agrega ninguna ruta, cada solicitud se dirigir a travs del tnel
(sin divisin de tnel). En este caso, cada solicitud de Internet pasa a
travs del cortafuegos y luego a la red. ste mtodo puede evitar la
posibilidad de acceso al equipo del usuario por parte de terceros y por lo
tanto la obtencin de acceso a la red interna (utilizando el equipo de
usuario como puente).
Pestaa secundaria Servicios de red

Las opciones de Servicios de red solamente estn disponibles si ha habilitado el modo de tnel
y definido una interfaz de tnel en la pestaa Ajustes de tnel.
Palo Alto Networks
En esta pestaa, puede configurar ajustes de DNS que se asignarn al adaptador de red virtual
en el sistema cliente cuando un agente establezca un tnel con la puerta de enlace.
Tabla 212. Ajustes de configuracin de servicios de red de cliente de puerta de enlace de

GlobalProtect
Campo
Descripcin
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras

configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en
la configuracin del agente de GlobalProtect. Con esta configuracin,
se heredan todas las configuraciones de red del cliente, como servidores
DNS y servidores WINS, de la configuracin de la interfaz seleccionada
en el Origen de herencia.
Comprobar estado de
origen de herencia
Haga clic en el enlace para ver la configuracin del servidor asignada

actualmente a las interfaces del cliente.
DNS principal
Introduzca las direcciones IP de los servidores principal y secundario que

proporcionan DNS a los clientes.
DNS secundario
WINS principal
WINS secundario

proporcionan Windows Internet Naming Service (WINS) a los clientes.
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separndolos con
comas.
Heredar sufijos DNS
Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Pestaa secundaria Notificacin HIP

Utilice esta pestaa secundaria para definir los mensajes de notificacin que vern los
usuarios finales cuando se aplique una regla de seguridad con un perfil de informacin de
host (HIP).
Este paso solo se aplica si ha creado perfiles de informacin de host y los ha aadido a sus
Palo Alto Networks
Tabla 213. Ajustes de configuracin de notificacin HIP de cliente de puerta de enlace de

GlobalProtect
Campo
Descripcin
Notificacin HIP
Haga clic en Aadir para especificar las opciones de notificacin.

Seleccione Habilitar para activar Coincidir mensaje o Mensaje no
coincidente.
Seleccione una opcin de notificacin en la seccin Mostrar notificacin
como y seleccione el botn de opcin para Icono en la barra de tareas o
Mensaje emergente y, a continuacin, especifique un mensaje con el que
debe coincidir o no coincidir. Utilice esta configuracin para notificar al
usuario final el estado de la mquina, por ejemplo, para proporcionar un
mensaje de advertencia que indica que el sistema host no tiene la
aplicacin necesaria instalada. Para el mensaje de coincidencia, tambin
puede habilitar la opcin que permite incluir la lista de aplicaciones con
coincidencia en el mensaje e indicar qu aplicaciones activan la
coincidencia HIP.
Nota: Los mensajes de notificacin HIP pueden tener el formato HTML
enriquecido, que puede incluir enlaces a recursos y sitios web externos. Utilice el
icono de enlace
en la barra de herramientas de configuracin de texto
enriquecido para agregar enlaces.

Un dispositivo satlite es un cortafuegos de Palo Alto Networks (tradicionalmente en una
sucursal) que acta como agente de GlobalProtect para habilitarlo y establecer la conectividad
de VPN en un cortafuegos de GlobalProtect. Utilice la pestaa Configuracin Satlite para
definir la configuracin del tnel de la puerta de enlace y de la red y permitir que los
dispositivos satlite establezcan conexiones VPN con l. Tambin puede utilizar esta pestaa
para controlar las rutas publicadas por los satlites.
Esta pestaa contiene tres pestaas secundarias, que se describen en la siguiente tabla:

Pestaa secundaria Filtro de ruta
Palo Alto Networks
Tabla 214. Ajustes de configuracin de satlite de puerta de enlace

de GlobalProtect
Campo
Descripcin
Pestaa secundaria
Ajustes de tnel
Configuracin de tnel
Seleccione la casilla de verificacin Configuracin de tnel y seleccione

la interfaz de tnel existente o haga clic en Nueva interfaz de tnel.
Consulte Configuracin de una interfaz de tnelpara obtener ms
informacin.
Reproducir deteccin de ataques:Proteger frente a reproduccin de
ataques.
Copiar TOS: Copie el encabezado de ToS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes
resumidos con el fin de preservar la informacin original de ToS.
Actualizar intervalo de configuracin (horas): Especifique la frecuencia
con la que los dispositivos satlite deben comprobar el portal para
actualizaciones de la configuracin (valor predeterminado 2 horas,
intervalo entre 1 y 48 horas).
Supervisin de tnel
Seleccione la casilla de verificacin Supervisin de tnel para habilitar

los dispositivos satlites para que supervisen su conexin de tnel de
puerta de enlace, lo que permite realizar una conmutacin por error a
una puerta de enlace de reserva si falla la conexin.
IP de destino: Especifique una direccin IP que utilizar el supervisor de
tnel para determinar si hay conectividad a la puerta de enlace
(por ejemplo, una direccin IP en la red protegida por la puerta de
enlace). De forma alternativa, si ha configurado una direccin IP para la
interfaz de tnel, puede dejar este campo en blanco y, en su lugar, el
monitor de tnel utilizar la interfaz de tnel para determinar si la
conexin est activa.
Perfil de monitor de tnel: El fallo en la conmutacin por error a otra
puerta de enlace es el nico tipo de perfil de supervisin de tnel
permitido con LSVPN.
Perfiles criptogrficos
Seleccione un Perfil criptogrfico de IPSec o cree un nuevo perfil.

Eso determinar los protocolos y algoritmos para la identificacin, la
autenticacin y el cifrado de los tneles de VPN. Dado que ambos
extremos del tnel de una LSVPN son cortafuegos fiables de su
organizacin, por lo general puede utilizar el perfil predeterminado, que
utiliza el protocolo ESP, el grupo DH 2, el cifrado AES 128 CVC y la
autenticacin SHA-1. Consulte Definicin de perfiles criptogrficos de
IPSecpara obtener ms detalles.
Pestaa secundaria
Configuracin de red
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras

configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en
la configuracin del satlite de GlobalProtect. Con esta configuracin,
se heredan todas las configuraciones de red, como servidores DNS, de la
configuracin de la interfaz seleccionada en el Origen de herencia.
DNS principal

proporcionan DNS a los satlites.
DNS secundario
Palo Alto Networks
Tabla 214. Ajustes de configuracin de satlite de puerta de enlace

de GlobalProtect (Continuacin)
Campo
Descripcin
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el satlite puede

utilizar de forma local cuando se introduce un nombre de host sin
restricciones que no puede resolver. Puede introducir varios sufijos
separndolos con comas.
Heredar sufijo DNS
Seleccione esta casilla de verificacin para enviar el sufijo de DNS a los

dispositivos de satlite para uso local cuando se introduce un nombre de
host sin restricciones que no puede resolver.
Grupo de IP
Haga clic en Aadir para especificar la configuracin del grupo de IP.

Utilice esta seccin para crear un rango de direcciones IP que se pueden
asignar a la interfaz del tnel en los dispositivos satlite al establecer el
tnel VPN.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el satlite. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los satlites una direccin IP que no entra
en conflicto con otras interfaces en el dispositivo.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la
direccin 192.168.0.10 a un satlite.
Si est utilizando el enrutamiento dinmico, asegrese de que el grupo
de direcciones IP que designe a los satlites no se solape con las
direcciones IP que asign manualmente a las interfaces de tnel de sus
puertas de enlace y satlites.
Acceder a ruta
haga clic en Aadir y, a continuacin, introduzca las rutas de la siguiente

forma:
Si desea enrutar todo el trfico desde los satlites a travs
del tnel, deje este campo en blanco.
Para enrutar nicamente parte del trfico a travs de la puerta de enlace
(lo que se denomina tneles
divididos), especifique las subredes de destino que debern tunelizarse.
En este caso, el satlite enrutar el trfico no destinado a una ruta de
acceso especificada mediante su propia tabla de rutas. Por ejemplo,
puede decidir tunelizar nicamente el trfico destinado a su red
corporativa y utilizar el satlite local para permitir el acceso a Internet de
forma segura.
Si desea habilitar el enrutamiento entre satlites, introduzca la ruta de
resumen para la red protegida por cada satlite.
Pestaa secundaria
Filtro de ruta
Seleccione la casilla de verificacin Aceptar rutas publicadas para

aceptar rutas publicadas por el satlite en la tabla de ruta de la puerta de
enlace. Si no selecciona esta opcin, la puerta de enlace no aceptar
ninguna ruta publicada por los satlites.
Si desea ser ms restrictivo al aceptar rutas publicadas por los satlites,
haga clic en Aadir en la seccin de subredes permitidas y defina las
subredes cuyas rutas debe aceptar la puerta de enlace; las subredes
publicadas por los satlites que no sean parte de la lista no pasarn el
filtro. Por ejemplo, si todos los satlites estn configurados con la subred
192.168.x.0/24 en la LAN, puede permitir la ruta 192.168.0.0/16 en la
puerta de enlace. De esta forma, la puerta de enlace solo aceptar las
rutas del satlite que estn en la subred 192.168.0.0/16.
Palo Alto Networks
Configuracin del acceso de la puerta de enlace a un gestor de seguridad mvil
Configuracin del acceso de la puerta de enlace a un gestor de

seguridad mvil
Red > GlobalProtect > MDM
Si utiliza un gestor de seguridad mvil para gestionar dispositivos mviles de usuario final y
adems aplica las polticas habilitadas para HIP, debe configurar la puerta de enlace para
comunicarse con el gestor de seguridad mvil si desea recuperar los informes HIP para los
dispositivos gestionados. Utilice esta pgina para habilitar la puerta de enlace y tener acceso al
gestor de seguridad mvil.
Para aadir informacin para un gestor de seguridad mvil, haga clic en Aadir. En la siguiente
tabla se proporciona informacin sobre qu introducir en los campos del cuadro de dilogo MDM
de GlobalProtect. Para obtener ms informacin sobre cmo configurar el servicio del gestor de
seguridad mvil de GlobalProtect, consulte la seccin sobre cmo configurar el gestor del
dispositivo mvil de GlobalProtect en la gua del administrador de GlobalProtect. Para obtener
instrucciones detalladas sobre cmo configurar la puerta de enlace para recuperar los informes
HIP en el gestor de seguridad mvil de GlobalProtect, consulte la seccin sobre cmo habilitar el
acceso de puerta de enlace al gestor de seguridad mvil de GlobalProtect.
Tabla 215. Configuracin de MDM de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para gestor de seguridad mvil (hasta

Ubicacin

mltiple, la Ubicacin es el sistema virtual (vsys) en el que el gestor de
seguridad mvil est disponible. En el caso de un cortafuegos que no est
en modo de Sistema virtual mltiple, el campo Ubicacin no aparecer en
el cuadro de dilogo MDM. Una vez guardado el gestor de seguridad
mvil, no puede cambiar su Ubicacin.
Configuracin de
conexin
Servidor
Introduzca la direccin IP o FQDN de la interfaz en el gestor de seguridad

mvil donde la puerta de enlace se conectar para recuperar informes
HIP. Asegrese de contar con una ruta de servicio a esta interfaz.
Puerto de conexin
Puerto en el que el gestor de seguridad mvil escuchar las solicitudes de

informes HIP. El puerto predeterminado es 5008, puerto en el que
escucha el gestor de seguridad mvil de GlobalProtect. Si utiliza un
gestor de seguridad mvil de terceros, introduzca el nmero de puerto en
el que escucha las solicitudes de informe HIP ese servidor.
Seleccione el certificado de cliente que debe presentar la puerta de enlace

al gestor de seguridad mvil al establecer una conexin HTTPS. Solo es
necesario si el gestor de seguridad mvil se configura para utilizar
autenticacin mutua.
CA raz de confianza
Haga clic en Aadir y seleccione el certificado CA raz que se utiliz al

emitir el certificado para la interfaz donde la puerta de enlace se
conectar para recuperar los informes HIP (podra ser un certificado de
servidor distinto al emitido para la interfaz de comprobacin del
dispositivo en el gestor de seguridad mvil). Debe importar el certificado
de CA raz y aadirlo a esta lista.
Palo Alto Networks
Creacin de objetos HIP

Objetos > GlobalProtect > Objetos HIP
Utilice esta pgina para definir los objetos del perfil de informacin de host (HIP). Los objetos
HIP proporcionan los criterios de coincidencia que filtran la informacin de host que est
interesado en utilizar para aplicar la poltica a partir de los datos sin formato de los que ha
informado el agente o aplicacin. Por ejemplo, aunque los datos de host sin formato pueden
incluir informacin sobre varios paquetes antivirus instalados en el cliente, puede que solo est
interesado en una aplicacin concreta que necesite en su organizacin. En este caso, creara un
objeto HIP que coincidiera con la aplicacin especfica que est interesado en aplicar.
La mejor forma de determinar qu objetos HIP necesita es determinar cmo utilizar la
informacin de host que recopila para aplicar la poltica. Tenga en cuenta que los objetos HIP
son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus polticas de
seguridad. Por lo tanto, puede que desee mantener la sencillez de sus objetos, de forma que
solo coincidan con un elemento, como la presencia de un tipo concreto de software necesario,
la pertenencia a un dominio especfico o la presencia de un SO cliente determinado.
Hacindolo, tendr la flexibilidad de crear una poltica aumentada HIP muy granular.
Para crear un objeto HIP, haga clic en Aadir para abrir el cuadro de dilogo Objeto HIP.
Para obtener una descripcin sobre qu introducir en un campo determinado, consulte las
siguientes tablas.
Pestaa General
Pestaa Dispositivo mvil
Pestaa Administracin de parches
Pestaa Cortafuegos
Pestaa Antivirus
Pestaa Antispyware
Pestaa Copia de seguridad de disco
Pestaa Cifrado de disco
Pestaa Prevencin de prdida de datos
Pestaa Comprobaciones personalizadas
Para obtener informacin ms detallada sobre cmo crear polticas de seguridad aumentadas
HIP, consulte la seccin sobre cmo configurar la aplicacin de polticas basadas en HIP en la
gua del administrador de GlobalProtect.
Pestaa General
Utilice la pestaa General para especificar un nombre para el nuevo objeto HIP y configurar el
objeto para que coincida con la informacin de host general, como el dominio, el sistema
operativo o el tipo de conectividad de red que tiene.
Palo Alto Networks
Tabla 216. Configuracin general de objeto HIP

Campo
Descripcin
Nombre
Introduzca un nombre para el objeto de HIP (de hasta 31 caracteres).

guiones bajos.
Compartido
Seleccione esta casilla de verificacin si quiere que el objeto HIP est

disponible para:
Todos los sistemas virtuales (vsys) del cortafuegos, si se ha registrado
en un cortafuegos que est en modo de Sistema virtual mltiple. Si
cancela la seleccin de la casilla de verificacin, el objeto nicamente
estar disponible para el vsys seleccionado en la pestaa Objetos, en la
lista desplegable Sistema virtual. En el caso de un cortafuegos que no
est en modo de Sistema virtual mltiple, la casilla de verificacin no
aparecer en el cuadro de dilogo Objeto HIP.
Todos los grupos de dispositivos en Panorama. Si cancela la seleccin
de la casilla de verificacin, el objeto nicamente estar disponible para
el grupo de dispositivos seleccionado en la pestaa Objetos, en la lista
desplegable Grupo de dispositivos.
Una vez guardado el objeto, no puede cambiar su ajuste Compartido.
La pgina Objetos > GlobalProtect > Objetos HIP muestra el ajuste
actual en el campo Ubicacin.
Esta casilla de verificacin solamente aparece en Panorama. Controla el

acceso de cancelacin al objeto HIP en grupos de dispositivos
descendientes del Grupo de dispositivos seleccionado en la pestaa
Objetos. Seleccione la casilla de verificacin si desea impedir que los
administradores creen copias locales del objeto en grupos de dispositivos
Descripcin
Informacin de host
Seleccione la casilla de verificacin para habilitar el filtrado en los

campos de informacin de host.
Dominio
Para coincidir con el nombre de un dominio, seleccione un operador en la

lista desplegable e introduzca una cadena para la coincidencia.
SO
Para buscar coincidencias con el SO de un host, seleccione Contiene en el

primer men desplegable, seleccione un proveedor en el segundo men
desplegable y, a continuacin, seleccione una versin de SO concreta en
el tercer men desplegable o seleccione Todo para que la coincidencia sea
con cualquier versin de SO del proveedor seleccionado.
Versiones de cliente
Para buscar la coincidencia con un nmero de versin concreto, seleccione

un operador en el men desplegable y, a continuacin, introduzca la
cadena que debe coincidir (o no coincidir) en el cuadro de texto.
Palo Alto Networks
Tabla 216. Configuracin general de objeto HIP (Continuacin)

Campo
Descripcin
Nombre de host
Para buscar la coincidencia con un nombre de host especfico o parte de

l, seleccione un operador en el men desplegable y, a continuacin,
introduzca la cadena que debe coincidir (o no coincidir, segn el
operador seleccionado) en el cuadro de texto.
Red
Utilice este campo para habilitar el filtrado en la configuracin de red de

un dispositivo mvil especfico. Estos criterios de coincidencia se aplican
nicamente a dispositivos mviles.
Seleccione un operador en el men desplegable y, a continuacin,
seleccione el tipo de conexin de red que se debe filtrar en el segundo
men desplegable: Wifi, Mvil, Ethernet (solo disponible para los filtros
No est) o Desconocido. Despus de seleccionar un tipo de red,
introduzca cadenas adicionales con las que buscar coincidencias, si estn
disponibles, como el operador mvil o SSID de Wifi.
Pestaa Dispositivo mvil

Utilice la pestaa Dispositivo mvil para habilitar la coincidencia de HIP con datos
recopilados de dispositivos mviles que ejecutan la aplicacin GlobalProtect.
Tabla 217. Configuracin del dispositivo mvil del objeto HIP

Campo
Descripcin
Dispositivo mvil
Seleccione la casilla de verificacin para permitir el filtrado de los datos

de host recopilados de dispositivos mviles que ejecutan la aplicacin
GlobalProtect. Al seleccionar esta casilla de verificacin, se habilitan las
pestaas secundarias Dispositivo, Configuracin yAplicaciones para su
edicin.
Pestaa secundaria
Dispositivo
Nmero de serie: Para buscar una coincidencia total o parcial del

nmero de serie de un dispositivo, seleccione un operador en el men
desplegable e introduzca la cadena cuya coincidencia se debe buscar.
Modelo: Para buscar la coincidencia con un modelo de dispositivo
determinado, seleccione un operador en la lista desplegable e introduzca una cadena.
Etiqueta: Para buscar la coincidencia con un valor de etiqueta definido
en el gestor de seguridad mvil de GlobalProtect, seleccione un operador en el primer men desplegable y, a continuacin, seleccione una
etiqueta en el segundo men desplegable.
Nmero de telfono: Para buscar una coincidencia total o parcial del
nmero de telfono de un dispositivo, seleccione un operador en el
men desplegable e introduzca la cadena cuya coincidencia se debe
buscar.
IMEI: Para buscar una coincidencia total o parcial del IMEI (Identidad
Internacional de Equipo Mvil) de un dispositivo, seleccione un operador en el men desplegable e introduzca la cadena cuya coincidencia
se debe buscar.
Palo Alto Networks
Tabla 217. Configuracin del dispositivo mvil del objeto HIP (Continuacin)
Campo
Descripcin
Pestaa secundaria
Configuracin
Cdigo de acceso: Filtro basado en la existencia de un cdigo de acceso

en el dispositivo. Para hacer coincidir dispositivos que tengan un
cdigo de acceso establecido, seleccione s. Para hacer coincidir
dispositivos que no tengan un cdigo de acceso establecido, seleccione
no.
Dispositivo gestionado: Filtro basado en el hecho de que al dispositivo
lo gestione un MDM. Para hacer coincidir dispositivos gestionados,
seleccione s. Para hacer coincidir dispositivos no gestionados,
seleccione no.
Modificado/Bloqueado: Filtro basado en la modificacin o bloqueo del
dispositivo. Para hacer coincidir dispositivos que se hayan modificado o
bloqueado, seleccione s. Para hacer coincidir dispositivos que no se
hayan modificado o bloqueado, seleccione no.
Cifrado de disco: Filtro basado en el cifrado del dispositivo. Para hacer
coincidir dispositivos que tengan habilitado el cifrado del disco,
seleccione s. Para hacer coincidir dispositivos que no tengan habilitado
el cifrado del disco, seleccione no.
Tiempo desde el ltimo registro: Filtro en el momento en que MDM
comprob el dispositivo por ltima vez. Seleccione un operador en el
men desplegable y, a continuacin, especifique el nmero de das para
la ventana de comprobacin. Por ejemplo, podra definir el objeto que
se debe hacer coincidir con los dispositivos que no se hayan
comprobado en los ltimos 5 das.
Pestaa secundaria
Aplicaciones
Aplicaciones: (solo dispositivos Android) Seleccione esta casilla de

verificacin para permitir el filtrado basado en las aplicaciones
instaladas en el dispositivo y en la presencia de alguna aplicacin
instalada infectada por software malintencionado en el dispositivo.
Pestaa secundaria Criterios
Contiene software malintencionado: Para hacer coincidir
dispositivos que tengan aplicaciones instaladas infectadas por
software malintencionado, seleccione S; para hacer coincidir
dispositivos que no tengan aplicaciones instaladas infectadas por
software malintencionado, seleccione No. Si no desea utilizar
Contiene software malintencionado como criterio de coincidencia,
seleccione Ninguno.
Pestaa secundaria Incluir
Paquete: Para hacer coincidir dispositivos que tengan instaladas
determinadas aplicaciones, haga clic en Aadir y, a continuacin,
introduzca el nombre de aplicacin nico (en formato DNS inverso;
por ejemplo, com.netflix.mediaclient) en el campo Paquete e
introduzca la aplicacin correspondiente Hash, que la aplicacin
GlobalProtect calcula y enva con el informe HIP del dispositivo.
Pestaa Administracin de parches

Utilice la pestaa Administracin de parches para habilitar la coincidencia HIP en el estado
de administracin de parches de los clientes de GlobalProtect.
Palo Alto Networks
Tabla 218. Configuracin de administracin de parches del objeto HIP

Campo
Descripcin
Administracin de
parches
Seleccione la casilla de verificacin para habilitar la coincidencia con el

estado de administracin de parches del host. Al seleccionar esta casilla
de verificacin, se habilitan las pestaas secundarias Criterios y
Proveedor para su edicin.
Pestaa secundaria
Criterios
Especifique los siguientes ajustes en esta pestaa secundaria:

Est habilitado: Busca coincidencias si el software de administracin de
parches est habilitado en el host. Si la casilla de verificacin Est
instalado no est marcada, este campo se establece automticamente
como ninguno y no se puede editar.
Est instalado: Busca coincidencias si el software de administracin de
parches est instalado en el host.
Gravedad: Busca coincidencias si al host le faltan parches del nivel de
gravedad especificado.
Comprobar: Busca coincidencias si faltan parches.
Parches: Busca coincidencias si el host cuenta con determinados
parches. Haga clic en Aadir e introduzca los nombres de archivo para
los nombres de parches especficos que se deben buscar.
Pestaa secundaria
Proveedor
Utilice esta pestaa secundaria para definir proveedores de software de

administracin de parches o productos concretos que se deben buscar en
el host para determinar una coincidencia. Haga clic en Aadir y, a
continuacin, seleccione un proveedor en el men desplegable. Tambin
tiene la posibilidad de hacer clic en Aadir para seleccionar un producto
especfico. Haga clic en ACEPTAR para guardar la configuracin.
Pestaa Cortafuegos
Utilice la pestaa Cortafuegos para habilitar la coincidencia HIP basada en el estado del
software del cortafuegos de los clientes de GlobalProtect.
Tabla 219. Configuracin del cortafuegos del objeto HIP

Campo
Descripcin
Cortafuegos
Seleccione la casilla de verificacin Cortafuegos para habilitar la

coincidencia en el estado del software del cortafuegos del host.
Est habilitado: Busca coincidencias si el software del cortafuegos est
habilitado en el host. Si la casilla de verificacin Est instalado no est
marcada, este campo se establece automticamente como ninguno y no
se puede editar.
Est instalado: Busca coincidencias si el software del cortafuegos est
instalado en el host.
Proveedor y Producto: Defina proveedores o productos concretos del
software del cortafuegos que se deben buscar en el host para determinar
una coincidencia. Haga clic en Aadir y, a continuacin, seleccione un
proveedor de la lista desplegable. Tambin tiene la posibilidad de hacer
clic en Aadir para seleccionar un producto especfico. Haga clic en
Excluir proveedor: Seleccione la casilla de verificacin para hacer coincidir hosts que no tengan software de un determinado proveedor.
Palo Alto Networks
Pestaa Antivirus
Utilice la pestaa Antivirus para habilitar la coincidencia HIP basada en la cobertura del
antivirus en los clientes de GlobalProtect.
Tabla 220. Configuracin del antivirus del objeto HIP

Campo
Descripcin
Antivirus
Seleccione la casilla de verificacin para habilitar la coincidencia en la

cobertura del antivirus en el host.
Proteccin en tiempo real: Busca coincidencia si la proteccin antivirus
en tiempo real est habilitada en el host. Si la casilla de verificacin Est
instalado no est marcada, este campo se establece automticamente
como ninguno y no se puede editar.
Est instalado: Busca coincidencias si el software antivirus est
Versin de definicin de virus: Especifica la bsqueda de
coincidencias basndose en la actualizacin de las definiciones de virus
dentro de un nmero especificado de das o versiones.
Versin del producto: Utilice esta opcin para buscar coincidencias de
una versin concreta del software antivirus. Para especificar la
bsqueda de una versin, seleccione un operador en el men
desplegable y, a continuacin, introduzca una cadena que represente la
versin del producto.
ltima hora de anlisis: Especifica si la bsqueda de coincidencias
debe basarse en el momento en el que se ejecut el ltimo anlisis del
antivirus. Seleccione un operador en el men desplegable y, a
continuacin, especifique el nmero de das u horas con los que buscar
coincidencias.
Proveedor y Producto: Defina proveedores o productos concretos del
software antivirus que se deben buscar en el host para determinar una
coincidencia. Haga clic en Aadir y, a continuacin, seleccione un
proveedor de la lista desplegable. Tambin tiene la posibilidad de hacer
Excluir proveedor: Seleccione la casilla de verificacin para hacer
coincidir hosts que no tengan software de un determinado proveedor.
Palo Alto Networks
Pestaa Antispyware
Utilice la pestaa Antispyware para habilitar la coincidencia HIP basada en la cobertura del
antispyware en los clientes de GlobalProtect.
Tabla 221. Configuracin del antispyware del objeto HIP

Campo
Descripcin
Antispyware
Seleccione la casilla de verificacin para habilitar la coincidencia con la

cobertura del antispyware en el host y, a continuacin, defina criterios de
coincidencia adicionales para la bsqueda de la siguiente forma:
Proteccin en tiempo real: Busca coincidencia si la
proteccin antispyware en tiempo real est habilitada en el host. Si la
casilla de verificacin Est instalado no est marcada, este campo se
establece automticamente como ninguno y no se puede editar.
Est instalado: Busca coincidencias si el software antispyware est
Versin de definicin de virus: Especifica la bsqueda de
coincidencias basndose en la actualizacin de las definiciones de virus
dentro de un nmero especificado de das o versiones.
Versin del producto: Utilice esta opcin para buscar coincidencias de
una versin concreta del software antispyware. Para especificar la
bsqueda de una versin, seleccione un operador en el men
desplegable y, a continuacin, introduzca una cadena que represente la
versin del producto.
debe basarse en el momento en el que se ejecut el ltimo anlisis del
antispyware. Seleccione un operador en el men desplegable y, a
coincidencias.
Proveedor y Producto: Define proveedores o productos de software
antispyware concretos que se deben buscar en el host para determinar
una coincidencia. Haga clic en Aadir y, a continuacin, seleccione un
proveedor en el men desplegable. Tambin tiene la posibilidad de
hacer clic en Aadir para seleccionar un producto especfico. Haga clic
en ACEPTAR para guardar la configuracin.
Pestaa Copia de seguridad de disco

Utilice la pestaa Copia de seguridad de disco para habilitar la coincidencia HIP basada en el
estado de la copia de seguridad del disco de los clientes de GlobalProtect.
Palo Alto Networks
Tabla 222. Configuracin de la copia de seguridad del disco del objeto HIP
Campo
Descripcin
Copia de seguridad
de disco

estado de la copia de seguridad del disco en el host y, a continuacin,
defina criterios de coincidencia adicionales para la bsqueda de la
siguiente forma:
Est instalado: Busca coincidencias si el software de copia de seguridad
del disco est instalado en el host.
debe basarse en el momento en el que se ejecut la ltima copia de
seguridad del disco. Seleccione un operador en el men desplegable y, a
coincidencias.
Proveedor y Producto: Define proveedores o productos de software de
copia de seguridad de disco concretos que se deben buscar en el host
para determinar una coincidencia. Haga clic en Aadir y, a
continuacin, seleccione un proveedor en el men desplegable.
Tambin tiene la posibilidad de hacer clic en Aadir para seleccionar un
producto especfico. Haga clic en ACEPTAR para guardar la
configuracin.
Pestaa Cifrado de disco

Utilice la pestaa Cifrado de disco para habilitar la coincidencia HIP basada en el estado del
cifrado de disco de los clientes de GlobalProtect.
Tabla 223. Configuracin del cifrado del disco del objeto HIP
Campo
Descripcin
Cifrado de disco

estado de cifrado del disco del host:
Palo Alto Networks
Tabla 223. Configuracin del cifrado del disco del objeto HIP (Continuacin)
Campo
Criterios
Descripcin
Especifique los siguientes ajustes en esta pestaa secundaria:
Est instalado: Busca coincidencias si el software de cifrado del disco
est instalado en el host.
Ubicaciones cifradas: Haga clic en Aadir para especificar la unidad o
la ruta que se debe comprobar para el cifrado del disco cuando se determine una coincidencia:
Ubicaciones cifradas: Introduzca las ubicaciones concretas que se
deben comprobar para el cifrado del host.
Estado: Especifique cmo hacer coincidir el estado de la ubicacin
cifrada seleccionando un operador en el men desplegable y, a continuacin, seleccionando un posible estado (completo, ninguno,
parcial, no disponible).
Haga clic en ACEPTAR para guardar la configuracin.
Proveedor
Utilice esta pestaa secundaria para definir proveedores o productos de

software de cifrado del disco concretos que se deban buscar en el host
para determinar una coincidencia. Haga clic en Aadir y, a continuacin,
seleccione un proveedor en el men desplegable. Tambin tiene la
posibilidad de hacer clic en Aadir para seleccionar un producto
especfico. Haga clic en ACEPTAR para guardar los ajustes y vuelva a la
pestaa Cifrado de disco.
Pestaa Prevencin de prdida de datos

Utilice la pestaa Prevencin de prdida de datos para habilitar la coincidencia HIP basada
en si los clientes de GlobalProtect estn ejecutando o no software de prevencin de prdida de
datos.
Tabla 224. Configuracin de prevencin de prdida de datos del objeto HIP

Campo
Descripcin
Prevencin de prdida
de datos
Seleccione la casilla de verificacin para habilitar la coincidencia con la

prevencin de prdida de datos (DLP) en el host (solo hosts de Windows)
y defina, a continuacin, criterios de coincidencia adicionales para la
bsqueda de la siguiente forma:
Est habilitado: Busca coincidencias si el software DPL est habilitado
en el host. Si la casilla de verificacin Est instalado no est marcada,
este campo se establece automticamente como ninguno y no se puede
editar.
Est instalado: Busca coincidencias si el software DPL est instalado en
el host.
Proveedor y Producto: Define proveedores o productos de software
DPL concretos que se deben buscar en el host para determinar una coincidencia. Haga clic en Aadir y, a continuacin, seleccione un proveedor en el men desplegable. Tambin tiene la posibilidad de hacer
Excluir proveedor: Seleccione la casilla de verificacin para hacer coincidir hosts que no tengan software de un determinado proveedor.
Palo Alto Networks
Configuracin de perfiles de HIP
Pestaa Comprobaciones personalizadas

Utilice la pestaa Comprobaciones personalizadas para habilitar las coincidencias HIP en
cualquier comprobacin personalizada que haya definido en el portal de GlobalProtect. Para
obtener informacin sobre cmo aadir comprobaciones personalizadas a la coleccin HIP,
consulte Configuracin del portal de GlobalProtect.
Tabla 225. Configuracin de comprobaciones personalizadas del objeto HIP

Campo
Descripcin
Comprobaciones
personalizadas
Seleccione la casilla de verificacin para habilitar la coincidencia con

cualquier comprobacin personalizada que haya definido en el portal de
GlobalProtect.
Lista de procesos
Para comprobar el sistema de host para un proceso especfico, haga clic en

Aadir y, a continuacin, introduzca el nombre del proceso. De forma
predeterminada, el agente busca los procesos en ejecucin; si quiere
comprobar que un proceso concreto est presente en el sistema, quite la
marca de la casilla de verificacin En ejecucin.
Clave de registro
Para buscar en los hosts de Windows una clave de registro determinada,

haga clic en Aadir e introduzca la clave de registro con la que buscar la
coincidencia. Para buscar coincidencias solamente en hosts que no tengan
la clave de registro especificada, seleccione la casilla de verificacin
La clave no existe o coincide con datos de valor especificados.
Para buscar coincidencias con valores concretos, haga clic en Aadir y, a
continuacin, introduzca el valor de registro y los datos de valor. Para
buscar coincidencias en hosts que explcitamente no tengan el valor o
datos de valor especificados, seleccione la casilla de verificacin Negar.
Plist
Para buscar en los hosts de Mac una lista de propiedades especfica

(plist), haga clic en Aadir e introduzca el nombre Plist. Para buscar
coincidencias solamente en hosts que no tengan la plist especificada,
seleccione la casilla de verificacin Plist no existe.
Para buscar coincidencias con un par clave-valor concreto dentro de la
plist, haga clic en Aadir y, a continuacin, introduzca la clave y el valor
correspondiente que se debe hacer coincidir. Para buscar coincidencias en
hosts que explcitamente no tengan el valor o la clave especificados,
seleccione la casilla de verificacin Negar.

Objetos > GlobalProtect > Perfiles HIP
Utilice esta pgina para crear los perfiles HIP que utilizar para configurar las polticas de
seguridad habilitadas para HIP. Una coleccin de objetos HIP que deben evaluarse en
conjunto, para supervisin o para la aplicacin de polticas de seguridad. Cuando crea sus
perfiles HIP, puede combinar objetos HIP que haya creado previamente (as como otros
perfiles HIP) usando lgica booleana como la que se usa cuando un flujo de trfico se evala
con respecto al perfil HIP resultante con el que tendr, o no, coincidencia. Si coincide, la regla
de poltica correspondiente se aplicar; si no coincide, el flujo se evaluar con respecto a la
siguiente regla, como con cualquier otro criterio de coincidencia de poltica.
Palo Alto Networks
Para crear un perfil HIP, haga clic en Aadir. En la siguiente tabla se proporciona informacin
sobre qu introducir en los campos del cuadro de dilogo Perfil HIP. Para obtener
informacin ms detallada sobre cmo configurar GlobalProtect y el flujo de trabajo para
crear polticas de seguridad aumentadas HIP, consulte la seccin sobre cmo configurar la
aplicacin de polticas basadas en HIP en la gua del administrador de GlobalProtect.
Tabla 226. Configuracin de perfil de HIP

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil (de hasta 31 caracteres). El nombre

hace distincin entre maysculas y minsculas y debe ser exclusivo.
Descripcin
Compartido
Seleccione esta casilla de verificacin si quiere que el perfil HIP est

disponible para:
Todos los sistemas virtuales (vsys) del cortafuegos, si se ha registrado
en un cortafuegos que est en modo de Sistema virtual mltiple. Si
cancela la seleccin de la casilla de verificacin, el perfil nicamente
estar disponible para el vsys seleccionado en la pestaa Objetos, en la
lista desplegable Sistema virtual. En el caso de un cortafuegos que no
est en modo de Sistema virtual mltiple, la casilla de verificacin no
aparecer en el cuadro de dilogo Perfil HIP.
Todos los grupos de dispositivos en Panorama. Si cancela la seleccin
de la casilla de verificacin, el perfil nicamente estar disponible para
el grupo de dispositivos seleccionado en la pestaa Objetos, en la lista
desplegable Grupo de dispositivos.
Una vez guardado el perfil, no puede cambiar su ajuste Compartido.
La pgina Objetos > GlobalProtect > Perfiles HIP muestra el ajuste
actual en el campo Ubicacin.
Palo Alto Networks
Configuracin y activacin del agente de GlobalProtect
Tabla 226. Configuracin de perfil de HIP (Continuacin)

Campo
Descripcin
Esta casilla de verificacin solamente aparece en Panorama. Controla el

acceso de cancelacin al perfil HIP en grupos de dispositivos
descendientes del Grupo de dispositivos seleccionado en la pestaa
Objetos. Seleccione la casilla de verificacin si desea impedir que los
Coincidencia
Haga clic en Aadir criterios de coincidencia para abrir el generador de

objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como criterio de
coincidencia y, a continuacin, haga clic en Aadir
para trasladarlo al
cuadro de texto Coincidencia en el cuadro de dilogo Perfil HIP. Tenga
en cuenta que, si desea que el perfil HIP evale el objeto como una
coincidencia solo cuando el criterio del objeto no sea verdadero para un
flujo, seleccione la casilla de verificacin NO antes de aadir el objeto.
Contine aadiendo criterios de coincidencia como corresponda para el
perfil que est creando, seleccionando el botn de opcin del operador
booleano apropiado (Y u O) cada vez que aada un elemento (y, de
nuevo, use la casilla de verificacin NO cuando corresponda).
Si est creando una expresin booleana compleja, debe aadir
manualmente el parntesis en los lugares adecuados del cuadro de texto
Coincidencia para asegurarse de que el perfil HIP se evala usando la
lgica que desea. Por ejemplo, la siguiente expresin indica que el perfil
HIP buscar coincidencias con el trfico desde un host que tenga cifrado
de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en sistemas
Windows), que pertenezca al dominio requerido y que tambin tenga
instalado un cliente antivirus de Symantec:
((MacOS y FileVault) o (Windows y TrueCrypt))
y Dominio y SymantecAV
Cuando haya terminado de aadir objetos/perfiles al nuevo perfil HIP,
haga clic en ACEPTAR.

Dispositivo > Cliente de GlobalProtect
Utilice esta pgina para descargar el software del agente de GlobalProtect al cortafuegos que
alberga el portal y activarlo, de forma que los clientes que se conecten al portal puedan
descargarlo. Usted define cmo y cundo se producen las descargas de software (si las
actualizaciones se realizan automticamente cuando el conecta el agente, si se les pide a los
usuarios finales que actualicen o si se permite actualizar a un conjunto determinado de
usuarios) en las configuraciones clientes que defina en el portal. Vea la descripcin del campo
Actualizacin de agente en la seccin que describe el portal Pestaa Configuracin clientes
para obtener ms detalles. Para obtener informacin sobre las distintas opciones que existen
para distribuir el software del agente de GlobalProtect y para ver instrucciones detalladas
sobre cmo implementarlo, consulte la seccin sobre cmo implementar el software del cliente
de GlobalProtect en la gua del administrador de GlobalProtect.
Palo Alto Networks
Para la instalacin y descarga inicial del agente de GlobalProtect, el usuario del

sistema cliente debe iniciar sesin con derechos de administrador. Para las
actualizaciones siguientes, no se requieren los derechos de administrador.
En la siguiente tabla se proporciona ayuda para utilizar esta pantalla. Para obtener ms
informacin sobre cmo implementar el software del agente, consulte la gua del administrador
de GlobalProtect.
Tabla 227. Configuracin del cliente de GlobalProtect

Campo
Descripcin
Versin
Nmero de versin del software del agente de GlobalProtect disponible

en el servidor de actualizaciones de Palo Alto Networks. Para comprobar
si hay disponible alguna nueva versin de software del agente en
Palo Alto Networks, haga clic en Comprobar ahora. El cortafuegos
utilizar su ruta de servicios para conectar al servidor de actualizaciones
y buscar nuevas versiones. Si hay actualizaciones disponibles, las muestra
al principio de la lista.
Tamao
Tamao del paquete de software del agente.
Fecha de versin
Fecha y hora en la que Palo Alto Networks public la versin.
Descargado

versin correspondiente del paquete de software en el cortafuegos.
Activado actualmente
Una marca de verificacin en esta columna indica que se ha activado la

versin correspondiente del software del agente en el cortafuegos y que
los agentes que se conecten pueden descargarla. Solo se puede activar
una versin del software.
Accin
Indica la accin actual que puede realizar para el paquete de software del
agente de la siguiente forma:
Descargar: la versin de software correspondiente est disponible en el
servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio Actualizar software para buscar y descargar las nuevas versiones de software
del agente en su ordenador local. A continuacin, haga clic en el botn
Cargar en la pantalla Cliente de GlobalProtect para cargar manualmente el software del agente en el cortafuegos.
Activar: Se ha descargado la versin de software del agente correspondiente, pero los agentes no la pueden descargar todava. Haga clic en el
enlace para activar el software y habilitar la actualizacin del agente.
Para activar una actualizacin de software que haya cargado manualmente en el cortafuegos mediante el botn Cargar, debe hacer clic en el
botn Activar desde archivo y seleccionar la versin que desea activar
en el men desplegable (puede que necesite actualizar la pantalla para
que aparezca como Activado actualmente).
Reactivar: Se ha activado el software de agente correspondiente y est
listo para que lo descarguen los clientes. Como solo puede estar activa
una versin del software del agente de GlobalProtect en el cortafuegos,
si los usuarios finales necesitan acceder a una versin distinta a la
actual, tendr que activar la otra versin para que se convierta en la
versin activada actualmente.
Palo Alto Networks
Configuracin del agente de GlobalProtect
Tabla 227. Configuracin del cliente de GlobalProtect (Continuacin)

Campo
Descripcin
Notas de versin
Proporciona un enlace a las notas de la versin de GlobalProtect de la

versin del agente correspondiente.
Elimine la imagen de software del agente descargada anteriormente del
cortafuegos.

El agente de GlobalProtect(PanGP Agent) es una aplicacin instalada en el sistema cliente
(normalmente un ordenador porttil) para permitir conexiones de GlobalProtect con portales
y puertas de enlace y compatible con el servicio de GlobalProtect (PanGP Service).
Asegrese de seleccionar la opcin de instalacin correcta para sus sistema
operativo de host (32 bits o 64 bits). Si se realiza la instalacin en un host de 64
bits, utilice un combo explorador/Java para la instalacin inicial.
Para instalar el agente, abra el archivo de instalador y siga las instrucciones que aparecen en
pantalla.
Para configurar el agente:
1.
Seleccione Inicio > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
La interfaz de cliente se abre para mostrar la pestaa Configuracin.
2.
Especifique el nombre de usuario y la contrasea a utilizar para la autenticacin de

GlobalProtect y seleccione opcionalmente la casilla de verificacin Recordarme.
3.
Introduzca la direccin IP del cortafuegos que acta como el portal de GlobalProtect.
4.
Haga clic en Aplicar.
Uso del agente de GlobalProtect

Las pestaas en el agente de GlobalProtect contienen informacin til acerca del estado y la
configuracin, y proporcionan informacin para ayudar a solucionar problemas de conexin.
Pestaa Estado: Muestra el estado actual de la conexin e indica cualquier advertencia o

error.
Pestaa Detalles: Muestra informacin acerca de la conexin actual, incluyendo

direcciones IP y protocolo y presenta estadsticas de paquete y bytes acerca de la conexin
de red.
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Palo Alto Networks
Pestaa Solucin de problemas: Muestra informacin para ayudar a solucionar

problemas.
Configuraciones de red: Muestra la configuracin actual del sistema cliente.
Tabla de enrutamiento: Muestra informacin acerca del enrutamiento actual de la
conexin de GlobalProtect.
Sockets: Muestra informacin de socket de las conexiones actualmente activas.
Logs: le permite mostrar logs del agente y el servicio de GlobalProtect (PanGP Agent),
(PanGP Service). Seleccione el tipo de log y el nivel de depuracin. Haga clic en Iniciar
para comenzar los logs y Detener para finalizar los logs.
Palo Alto Networks
Palo Alto Networks
Captulo 10
Configuracin de la calidad de servicio

Esta seccin describe cmo configurar la calidad de servicio (QoS) en el cortafuegos. Consulte
cada uno de los temas de la tabla siguiente para obtener informacin detallada sobre cmo
configurar los componentes que permiten una implementacin de QoS completa. Tras
configurar la QoS, tambin puede supervisar el trfico que reciba un tratamiento de QoS.
Qu est buscando?
Consulte
Definir el trfico para recibir un

tratamiento de QoS y asignarle
una clase de servicio de QoS.
Definicin de una poltica de QoS
Definir clases de servicio de QoS,

estableciendo las limitaciones de
ancho de banda y la prioridad de
cada clase.
Definicin de un perfil de QoS
Habilitar la QoS en una interfaz.
Habilitacin de QoS para interfaces de cortafuegos
Supervisar el trfico que recibe

un tratamiento de QoS.
Supervisin de una interfaz de QoS
Consulte Calidad de servicio.
Palo Alto Networks

Red > Perfiles de red > Perfiles de QoS
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases de
trfico de QoS. Puede establecer lmites generales en el ancho de banda independientemente
de la clase y tambin establecer lmites para clases individuales. Tambin puede asignar
prioridades a diferentes clases. Las prioridades determinan cmo se trata el trfico en
presencia de conflictos.
Haga clic en Aadir y rellene los campos descritos para definir un perfil QoS.
Consulte Habilitacin de QoS para interfaces de cortafuegos para obtener
informacin acerca de la configuracin de interfaces de cortafuegos para QoS y
consulte Estadsticas de QoS para configurar las polticas que activarn las
restricciones de QoS.
Tabla 228. Configuraciones de perfil de QoS

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El

nombre hace distincin entre maysculas y minsculas y debe ser
guiones bajos.
Mximo de salida
Introduzca el ancho de banda mximo permitido para este perfil (Mbps).

El valor Mximo de salida para un perfil de QoS debe ser menor o igual
que el valor Mximo de salida definido para la interfaz fsica para la que
QoS est activado. Consulte Habilitacin de QoS para interfaces de
cortafuegos .
Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el valor
Mximo de salida para un perfil de QoS.
Salida garantizada
Introduzca el ancho de banda garantizado para este perfil (Mbps).
Palo Alto Networks
Tabla 228. Configuraciones de perfil de QoS (Continuacin)

Campo
Descripcin
Clases
Haga clic en Aadir para especificar cmo se tratarn las clases de QoS
individuales. Puede seleccionar una o ms clases para configurar:
Clase: Si no configura una clase, puede incluirla en una poltica de QoS.
En este caso, el trfico est sujeto a los lmites generales de QoS.
El trfico que no coincide con una poltica de QoS se asignar a clase 4.
Prioridad: Haga clic y seleccione una prioridad para asignarla a una
clase:
tiempo real
alta
media
baja
Mximo de salida: Haga clic e introduzca el lmite de ancho de banda
(Mbps) para esta clase.
El valor Mximo de salida para una clase de QoS debe ser menor o
igual que el valor Mximo de salida definido para el perfil de QoS.
Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el
valor Mximo de salida para un perfil de QoS.
Salida garantizada: Haga clic e introduzca el ancho de banda garantizado
(Mbps) para esta clase. Cuando se produzca un conflicto, se descartar el
trfico que tenga asignada la menor prioridad. La prioridad en tiempo
real utiliza su propia cola separada.
Palo Alto Networks

Polticas > QoS
Las polticas de QoS determinan la forma en la que se clasifica el trfico para su tratamiento
cuando pasa por una interfaz con la QoS activada. Para cada regla, especifique una de las ocho
clases. Tambin puede asignar un programa para especificar qu regla est activa. El trfico
sin clasificar se asigna automticamente a clase 4.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Haga clic en Aadir para abrir el cuadro de dilogo Regla de poltica de QoS. El cuadro
Regla de poltica de QoS contiene seis pestaas secundarias, que se describen en la Tabla 229:
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Aplicacin
Pestaa Categora de URL/Servicio
Pestaa DSCP/TOS
Pestaa Otra configuracin
Consulte Habilitacin de QoS para interfaces de cortafuegos para obtener
informacin acerca de la configuracin de interfaces del cortafuegos para QoS y
consulte Estadsticas de QoS para obtener informacin acerca de la
configuracin de clases de servicio.
Use la pgina de polticas de QoS para realizar varias acciones, por ejemplo:
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de
la lista desplegable Sistema virtual y haga clic en Ir.
Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro.

Para ver nicamente las reglas para zonas especficas, seleccione una zona de las listas
desplegables Zona de origen y/o Zona de destino y haga clic en Filtrar por zona.
Las polticas compartidas introducidas desde Panorama aparecen en verde y no se
pueden modificar a nivel del dispositivo.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina y configure la regla. Se aadir
una nueva regla a la parte inferior de la lista.
Seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco
de la misma, y seleccione Duplicar en la parte inferior de la pgina (una regla
seleccionada tiene el fondo de color amarillo). La regla copiada se inserta debajo de la
regla seleccionada.
Palo Alto Networks
Tabla 229. Configuracin de regla QoS

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).

guiones bajos.
Descripcin
Etiqueta

Por ejemplo, tal vez quiera etiquetar determinadas polticas de
seguridad con Entrante en DMZ, polticas de descifrado con las palabras
descifrado y sin descifrado, o usar el nombre de un centro de datos
especfico para polticas asociadas con esa ubicacin.
Pestaa Origen
Zona de origen
Seleccione una o ms zonas de origen (el valor predeterminado es

cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de
cable virtual, Virtual Wire).
Direccin de origen
Especifique una combinacin de direcciones IPv4 o IPv6 de origen para

las que se puede sobrescribir la aplicacin identificada. Para seleccionar
direcciones especficas, elija seleccionar en la lista desplegable y realice
cualquiera de las siguientes acciones:
Seleccione la casilla de verificacin junto a las direcciones
apropiadas
y/o grupos de direcciones
en la columna
Disponible y haga clic en Aadir para agregar sus selecciones a la
columna Seleccionadas.
Introduzca los primeros caracteres de un nombre en el campo
Bsqueda para mostrar todas las direcciones y todos los grupos de
direcciones que comienzan con esos caracteres. La seleccin de un
elemento en la lista marcar la casilla de verificacin en la columna
Disponible. Repita este proceso tantas veces como sean necesarias y
luego haga clic en Aadir.
Introduzca una o ms direcciones IP (una por lnea), con o sin mscara
de red. El formato general es:
<direccin_ip>/<mscara>
Para eliminar direcciones, seleccione las casillas de verificacin
apropiadas en la columna Seleccionadas y haga clic en Eliminar o
seleccione cualquiera para borrar todas las direcciones y los grupos de
direcciones.
Para aadir nuevas direcciones que se puedan utilizar en esta u otras
polticas, haga clic en Nueva direccin. Para definir nuevos grupos de
direcciones, consulte Definicin de grupos de direcciones .
Palo Alto Networks
Tabla 229. Configuracin de regla QoS (Continuacin)

Campo
Descripcin
Usuario de origen
Especifique los grupos y usuarios de origen a los que se aplicar la

poltica de QoS.
Negar
Si la informacin especificada en esta pestaa NO coincide, seleccione la

casilla de verificacin para obtener la aplicacin de la poltica.
Pestaa Destino
Zona de destino
Seleccione una o ms zonas de destino (el valor predeterminado es

cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de
cable virtual, Virtual Wire).
Direccin de destino
Especifique una combinacin de direcciones IPv4 o IPv6 de origen para

las que se puede sobrescribir la aplicacin identificada. Para seleccionar
direcciones especficas, elija seleccionar en la lista desplegable y realice
cualquiera de las siguientes acciones:
Seleccione la casilla de verificacin junto a las direcciones
apropiadas
y/o grupos de direcciones
en la columna
Disponible y haga clic en Aadir para agregar sus selecciones a la
columna Seleccionadas.
Introduzca los primeros caracteres de un nombre en el campo
Bsqueda para mostrar todas las direcciones y todos los grupos de
direcciones que comienzan con esos caracteres. La seleccin de un
elemento en la lista marcar la casilla de verificacin en la columna
Disponible. Repita este proceso tantas veces como sean necesarias y
luego haga clic en Aadir.
Introduzca una o ms direcciones IP (una por lnea), con o sin mscara
de red. El formato general es:
<direccin_ip>/<mscara>
Para eliminar direcciones, seleccione las casillas de verificacin
apropiadas en la columna Seleccionadas y haga clic en Eliminar o
seleccione cualquiera para borrar todas las direcciones y los grupos de
direcciones.
Para agregar nuevas direcciones que se puedan utilizar en esta u otras
polticas, haga clic en Nueva direccin (consulte Definicin de
aplicaciones ). Para definir nuevos grupos de direcciones, consulte
Definicin de grupos de direcciones .
Negar
Si la informacin especificada en esta pestaa NO coincide, seleccione la

casilla de verificacin para obtener la aplicacin de la poltica.
Palo Alto Networks

Campo
Descripcin
Pestaa Aplicacin
Aplicacin
Seleccione aplicaciones especficas para la regla de QoS. Para definir

nuevas aplicaciones, consulte Definicin de aplicaciones . Para definir
grupos de aplicaciones, consulte Definicin de grupos de aplicaciones .
Si una aplicacin tiene mltiples funciones, puede seleccionar una
aplicacin general o aplicaciones individuales. Si selecciona una
aplicacin general se incluirn todas las funciones y la definicin de la
aplicacin se actualizar automticamente a medida que se aadan
futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
QoS, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia
abajo y seleccionando Valor. De esta forma podr ver fcilmente
miembros de la aplicacin directamente desde la poltica, sin tener que ir
hasta las pestaas de objetos.
Pestaa
Categora de URL/
Servicio
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: Las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas
se permiten o deniegan nicamente segn sus puertos
predeterminados por Palo Alto Networks. Esta opcin es la
recomendada para polticas de permiso.
Seleccin: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios .
Categora de URL
Seleccione las categoras URL de la regla de QoS.

Seleccione cualquiera para garantizar que una sesin puede coincidir
con esta regla de QoS independientemente de la categora de URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Listas de
bloqueos dinmicos para obtener ms informacin sobre cmo
definir categoras personalizadas.
Palo Alto Networks

Campo
Descripcin
Pestaa DSCP/TOS
Haga coincidir la regla de QoS con el trfico con cualquier marcado/

clasificacin de DSCP, o seleccione un punto de cdigo especfico que
coincida con el trfico.
Cualquiera
Seleccione la opcin Cualquiera (el ajuste predeterminado) para que la

poltica coincida con el trfico independientemente del valor del punto
de cdigo de servicios diferenciados (DSCP) o la precedencia de IP/el
tipo de servicio (ToS) definido para el trfico.
Puntos de cdigo
Seleccione Puntos de cdigo para permitir que el trfico reciba un

tratamiento de QoS basndose en el valor de DSCP o ToS definido en el
encabezado IP de un paquete. Los valores de DSCP y ToS se utilizan
para indicar el nivel de servicio solicitado para el trfico, como la
prioridad alta o la entrega de la mejor opcin. El uso de puntos de
cdigo como criterios de coincidencia en una poltica de QoS permite
que una sesin reciba un tratamiento de QoS basndose en el punto de
cdigo detectado al inicio de la sesin.
A continuacin, seleccione Aadir para aadir puntos de cdigo con el
fin de que el trfico coincida con la poltica de QoS:
Otorgue a las entradas de puntos de cdigo un Nombre descriptivo.
Seleccione el Tipo de punto de cdigo que desee utilizar como criterio
de coincidencia para la poltica de QoS y, a continuacin, seleccione un
valor de Punto de cdigo especfico. Tambin puede crear un Punto
de cdigo personalizado introduciendo un Nombre de punto de
cdigo y un Valor binario.
Pestaa Otra
configuracin
Clase
Seleccione la clase de QoS para asignar a la regla y haga clic en

ACEPTAR. Las caractersticas de clase se definen en el perfil de QoS.
Consulte Estadsticas de QoS para obtener informacin acerca de la
configuracin de ajustes para clases de QoS.
Programacin
Seleccione el icono de calendario para establecer un programa de la

poltica de QoS para aplicar.
Palo Alto Networks

Red > QoS
Utilice la pgina QoS para establecer los lmites de ancho de banda de una interfaz y habilitar
la interfaz para que aplique calidad de servicio (QoS) al trfico de salida. Habilitar una
interfaz de QoS incluye adjuntar un perfil de QoS a la interfaz.
Qu est buscando?
Consulte
Busco informacin sobre la QoS

en un cortafuegos de prxima
generacin de
Palo Alto Networks.
Descripcin general de QoS
Qu debo hacer antes de poder

habilitar una QoS en una
interfaz?
Defina el trfico que recibir una clase de servicio de QoS

basndose en la fuente del trfico, su destino, la aplicacin y/o
un valor de DSCP:

Defina clases de servicio de QoS, incluido el establecimiento del
ancho de banda y la prioridad mximos y/o garantizados
(tiempo real, alto, medio o bajo) para cada clase de servicio:

Qu campos estn disponibles
para habilitar la QoS en una
interfaz?
Habilitacin de la QoS en una interfaz
Tras configurar una interfaz de

QoS, cmo puedo seguir
supervisando el trfico que
recibe un tratamiento de QoS?
Consulte Calidad de servicio.
Descripcin general de QoS

La calidad de servicio (QoS) le permite garantizar el ancho de banda y la prioridad para flujos
especficos en el trfico de red. Una implementacin de QoS en un cortafuegos de prxima
generacin de Palo Alto Networks requiere tres componentes:
Regla de poltica de QoS: Defina una regla de poltica de QoS para que coincida con el
trfico basndose en la fuente del trfico, su destino, la aplicacin y/o el punto de cdigo
de servicios diferenciados (DSCP). Al trfico que coincide con la regla de poltica de QoS
se le asigna una clase de servicio de QoS que debe recibir (Polticas > QoS).
Perfil de QoS: Cree un perfil de QoS para definir el ancho de banda y la prioridad de
cada clase de servicio de QoS (Red > Perfiles de red > Perfil de QoS). Puede definir un
ancho de banda garantizado o mximo para cada clase de servicio, as como definir el
grado de prioridad que recibir la clase: en tiempo real, alto, medio o bajo.
Interfaz de QoS: Habilite la QoS en una interfaz para permitir que el trfico se moldee y
priorice a medida que salga de esa interfaz (Red > QoS). Tambin puede habilitar la QoS
en una interfaz para limitar o garantizar el ancho de banda de esa interfaz.
Palo Alto Networks
Habilitacin de la QoS en una interfaz

Red > QoS
Aadir o modificar una interfaz de QoS. La QoS es compatible con interfaces fsicas y,
dependiendo de la plataforma del cortafuegos, la QoS tambin es compatible con
subinterfaces e interfaces Ethernet de agregacin (AE). Consulte la herramienta de
comparacin de productos de Palo Alto Networks para ver la compatibilidad de la funcin de
QoS para su plataforma de cortafuegos.
Tabla 230. Configuracin de la interfaz de QoS

Campo
Configurado en
Descripcin
Nombre de
interfaz
Interfaz de QoS >

Interfaz fsica
Seleccione la interfaz fsica en la que habilitar la QoS.
Mximo de
salida (Mbps)
Introduzca el lmite en el trfico del cortafuegos en esta interfaz.
Activar la
funcin QoS en
esta interfaz
Seleccione la casilla de verificacin para habilitar la QoS en la interfaz

seleccionada.
Trfico en claro
Interfaz de
tnel
Interfaz de
tnel
Salida
garantizada
(Mbps)
Mximo de
salida (Mbps)
Nota: Aunque no es un campo obligatorio, se recomienda definir siempre el

valor Mximo de salida para una interfaz de QoS.
Interfaz de QoS >

Interfaz fsica >
Perfil
predeterminado
Seleccione los perfiles predeterminados de QoS para el trfico en claro y

de tnel. Debe especificar un perfil predeterminado para cada uno.
Para el trfico en claro, el perfil predeterminado se aplica a todo el
trfico en claro como un conjunto. Para el trfico de tnel, el perfil
predeterminado se aplica de forma individual a cada tnel que no
cuenta con una asignacin de perfil especfico en la seccin de
configuracin detallada. Para obtener instrucciones sobre cmo definir
perfiles de QoS, consulte Estadsticas de QoS.
Interfaz de QoS >

Trfico de texto
claro/Trfico de
tnel
Introduzca el ancho de banda garantizado para el trfico de texto claro

o de tnel desde esta interfaz.
Introduzca el lmite en el trfico de texto claro o de tnel que salga del
cortafuegos a travs de esta interfaz.
Palo Alto Networks
Tabla 230. Configuracin de la interfaz de QoS (Continuacin)

Campo
Aadir
Configurado en
Descripcin
Haga clic en Aadir en la pestaa Trfico en claro para definir granularidad adicional para el tratamiento del trfico en claro. Haga clic en
las entradas individuales para configurar los siguientes ajustes:
Nombre: Introduzca un nombre para identificar estos ajustes.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la subred y
la interfaz especificadas. Para obtener instrucciones sobre cmo
definir perfiles de QoS, consulte Estadsticas de QoS .
Interfaz de origen: Seleccione la interfaz del cortafuegos.
Subred de origen: Seleccione una subred para restringir los ajustes
al trfico procedente de ese origen o mantenga el valor predeterminado cualquiera para aplicar los ajustes a cualquier trfico de la
interfaz especificada.
Haga clic en Aadir en la pestaa Trfico de tnel para cancelar la
asignacin de perfil predeterminada para tneles especficos y configurar los siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel en el cortafuegos.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la interfaz
de tnel especificadas.
Por ejemplo, asuma una configuracin con dos sitios, uno de los cuales
cuenta con una conexin de 45 Mbps y el otro con una conexin T1 con
el cortafuegos. Puede aplicar una configuracin de QoS restrictiva al
sitio T1 por lo que la conexin no se sobrecarga a la vez que se
proporciona una configuracin ms flexible para el sitio con la conexin
de 45 Mbps.
Para eliminar una entrada de trfico en claro o de tnel, seleccione la
casilla de verificacin de la entrada y haga clic en Eliminar.
Si se dejan en blanco las secciones de trfico en claro o de tnel, los
valores especificados en la seccin Perfil predeterminado de la pestaa
Interfaz fsica.
Palo Alto Networks

Red > QoS
Seleccione el enlace Estadsticas para ver informacin de ancho de banda, sesin y aplicacin
de las interfaces de QoS configuradas. El panel izquierdo muestra la tabla de rbol de QoS y el
panel derecho muestra datos en las siguientes pestaas:
Tabla 231. Estadsticas de QoS
Campo
Descripcin
Ancho de banda
Muestra los grficos de ancho de banda en tiempo real para el nodo y las clases
seleccionados. Esta informacin se actualiza cada dos segundos.
Nota: Las limitaciones de salida (egress) garantizada y mximo de salida de QoS
configuradas para las clases QoS pueden mostrarse con un valor ligeramente distinto en
la pantalla Estadsticas de QoS. Este es el comportamiento esperado y se debe a que el
motor de hardware resume los lmites de ancho de banda y recuentos. Esto no supone
problema alguno para el funcionamiento, puesto que los grficos de uso de ancho de banda
muestran los valores y cantidades en tiempo real.
Aplicaciones
Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Usuarios de
origen
Enumera todos los usuarios de origen activos para el nodo y/o clase de QoS
seleccionados.
Usuarios de
destino
Enumera todos los usuarios de destino activos para el nodo y/o clase de QoS
seleccionados.
Reglas de
seguridad
Enumera las reglas de seguridad coincidentes y que aplican el nodo y/o clase de
QoS seleccionados.
Reglas de QoS
Enumera las reglas de QoS coincidentes y que aplican el nodo y/o clase de QoS
seleccionados.
Palo Alto Networks
Captulo 11
Gestin centralizada del dispositivo

mediante Panorama
Panorama, que est disponible como plataforma de hardware especfica y como dispositivo
virtual de VMware, es el sistema de gestin centralizado para la familia de cortafuegos de
prxima generacin de Palo Alto Networks. Comparte el mismo aspecto basado en Internet
que la interfaz de los cortafuegos individuales, y le permite pasar sin problemas a gestionar
los cortafuegos de manera centralizada y reducir los esfuerzos administrativos para gestionar
varios cortafuegos.
Esta seccin sirve como referencia de campo para saber cmo utilizar la interfaz web de
Panorama para gestionar los cortafuegos de su red. Si desea informacin sobre cmo
configurar Panorama y los conceptos y flujos de trabajo de Panorama, consulte la gua del
administrador de Panorama.
Pestaa Panorama
Cambio de contexto de dispositivo
Configuracin de particiones de almacenamiento
Configuracin de alta disponibilidad (HA)
Copia de seguridad de las configuraciones del cortafuegos
Definicin de grupos de dispositivos
Definicin de funciones de administrador de Panorama
Creacin de cuentas administrativas de Panorama
Especificacin de dominios de acceso de Panorama para administradores
Compilacin de los cambios en Panorama
Gestin de plantillas y pilas de plantillas
Logs e informes
Habilitacin del reenvo de logs
Palo Alto Networks
Gestin de recopiladores de logs

Definicin de grupos de recopiladores de logs
Generacin de informes de actividad de usuario
Gestin de actualizaciones de dispositivos y licencias
Programacin de actualizaciones dinmicas
Programacin de exportaciones de configuracin
Actualizacin del software de Panorama
Registro del cortafuegos VM-Series como servicio en el administrador NSX
Palo Alto Networks
Pestaa Panorama
Pestaa Panorama
Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al servidor Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Tabla 232. Resumen de pginas de Panorama

Pgina
Descripcin
Configuracin
Permite especificar el nombre de host de Panorama, la configuracin de red de

la interfaz gestionada y las direcciones de los servidores de red (DNS y NTP).
Consulte Definicin de la configuracin de gestin.
Plantillas
Permite crear plantillas y pilas de plantillas para gestionar las opciones de

configuracin en funcin de las pestaas Dispositivo y Red. Gestin de
plantillas y pilas de plantillas le permiten reducir la carga de trabajo
administrativo que supone implementar varios cortafuegos con una
configuracin similar.
Auditora de
configuraciones
Permite visualizar y comparar archivos de configuracin. Consulte

Definicin de la configuracin de operaciones y Cambio de contexto de
dispositivo.
Dispositivos
gestionados
Permite aadir cortafuegos para que los gestione Panorama, enviar la

configuracin compartida en los cortafuegos gestionados y ejecutar controles
completos de configuracin en cortafuegos o en grupos de dispositivos.
Consulte Gestin de dispositivos.
Grupos de
dispositivos
Le permite agrupar cortafuegos basndose en la funcin, segmentacin de la

red o ubicacin geogrfica. Un grupo de dispositivos puede incluir
cortafuegos fsicos, virtuales y sistemas virtuales.
Tradicionalmente, los cortafuegos de un grupo de dispositivos necesitan
configuraciones de poltica parecidas. Cuando use las pestaas Polticas y
Objetos de Panorama, los grupos de dispositivos le permitirn implementar
un mtodo de capa para gestionar polticas en una red de cortafuegos
gestionados. Puede anidar grupos de dispositivos en una jerarqua de rbol de
hasta cuatro niveles. Los grupos sucesores heredan automticamente las
polticas y objetos de los grupos antecesores y de la ubicacin compartida.
Consulte Definicin de grupos de dispositivos.
Palo Alto Networks
Pestaa Panorama
Tabla 232. Resumen de pginas de Panorama (Continuacin)

Pgina
Descripcin
Recopiladores
gestionados
Le permite configurar y gestionar recopiladores de logs. Un recopilador de

logs puede ser local para un dispositivo M-Series en modo Panorama
(recopilador de logs predeterminado) o puede ser un dispositivo M-Seriesen
el modo de recopilacin de logs (recopilador de logs dedicado).
Un dispositivo M-Series en modo Panorama o un dispositivo virtual
Panorama puede gestionar un recopilador de logs. Dado que usa Panorama
para configurar recopiladores de logs, tambin reciben el nombre de
recopiladores gestionados. Los recopiladores de logs gestionados que ejecutan
PAN-OS 5.0 y versiones posteriores pueden enviar logs a los recopiladores
gestionados.
Tambin puede usar esta pestaa para actualizar el software de sus
recopiladores de logs: primero tiene que descargar el software ms actual de
Panorama y luego enviarlo a sus recopiladores de logs haciendo clic en
Instalar en la pgina de recopiladores gestionados.
Nota: Un dispositivo M-Series puede ser un servidor de gestin Panorama, un
recopilador de logs o ambos. El comando operativo para cambiar de modo de un
dispositivo M-Series es request system system-mode [panorama |
logger]. Para ver el modo actual, ejecute show system info | match
logger_mode.
Si un dispositivo M-Series est en modo de recopilador de logs, nicamente CLI est
disponible para gestin.
Para obtener ms informacin, consulte Gestin de recopiladores de logs.
Grupos de
recopiladores
Le permite agrupar de forma lgica hasta ocho recopiladores de logs para

poder aplicar los mismos ajustes de configuracin a todos los recopiladores de
logs de un grupo de recopiladores y despus asignar cortafuegos a los
recopiladores de logs. Panorama distribuye uniformemente los logs entre
todos los discos de un recopilador de logs y entre todos los miembros del
grupo de recopiladores. Cada Panorama puede tener hasta 16 grupos de
recopiladores. Para obtener ms informacin, consulte Definicin de grupos
de recopiladores de logs.
Funciones de
administrador
Permite especificar los privilegios y responsabilidades que se asignan a los

usuarios que requieren acceso a Panorama. Consulte Definicin de funciones
de administrador de Panorama.
Perfiles de la
contrasea
Permite definir perfiles de contrasea que posteriormente se pueden aplicar a

los administradores de Panorama. Puede configurar las siguientes opciones
de perfil:
Perodo necesario para el cambio de contrasea (das)
Perodo de advertencia de vencimiento (das)
Recuento de inicio de sesin de administrador posterior al vencimiento
Perodo de gracia posterior al vencimiento (das)
Administradores
Permite definir las cuentas de los usuarios que necesitan acceder a Panorama.
Consulte Creacin de cuentas administrativas de Panorama.
Nota: Si se bloquea la cuenta de un usuario, la pgina Administradores muestra el
icono de un candado en la columna Usuario bloqueado. Puede hacer clic en el icono
para desbloquear la cuenta.
Alta disponibilidad
Permite configurar un par de dispositivos de Panorama para que sean

compatibles con alta disponibilidad (HA). Consulte Configuracin de alta
disponibilidad (HA).
Gestin de
certificados
Permite configurar y gestionar certificados, perfiles de certificados y claves.

Consulte Gestin de certificados de dispositivos.
Palo Alto Networks
Pestaa Panorama
Tabla 232. Resumen de pginas de Panorama (Continuacin)

Pgina
Descripcin
Configuracin
de log
Permite definir receptores de traps (trap sinks) de SNMP (Simple Network

Management Protocol), servidores Syslog y direcciones de correo electrnico
para distribuir mensajes de log.
Perfiles de servidor
Permite especificar perfiles de servidores que proporcionan servicios a

Panorama.
Consulte las siguientes secciones:
Configuracin de ajustes del servidor Kerberos.
Perfil de
autenticacin
Le permite especificar un perfil de acceso de autenticacin a Panorama.

Consulte Configuracin de perfiles de autenticacin.
Secuencia de
autenticacin
Permite especificar una serie de perfiles de autenticacin que se usan para

permitir el acceso a Panorama. Consulte Configuracin de una secuencia de
autenticacin.
Dominio de acceso
Los dominios de acceso le permiten controlar el acceso de los administradores

a los grupos de dispositivos, plantillas, pilas de plantillas y la interfaz web de
los dispositivos (Cambio de contexto de dispositivo). Consulte
Especificacin de dominios de acceso de Panorama para administradores.
Exportacin de
configuracin
programada
Permite recopilar configuraciones en ejecucin de Panorama y cortafuegos

gestionados y enviarlos diariamente a un servidor FTP (File Transfer Protocol)
o mediante SCP (Secure Copy) para garantizar la transferencia de los datos
entre el servidor de Panorama y un host remoto. Consulte Programacin de
exportaciones de configuracin.
Software
Permite visualizar las versiones de software de Panorama disponibles y

descargar e instalar una versin de software de su eleccin. Consulte
Actualizacin del software de Panorama.
Actualizaciones
dinmicas
Permite visualizar las definiciones de la aplicacin y la informacin sobre

amenazas de seguridad como firmas antivirus ms actualizadas (se requiere
licencia de prevencin de amenazas), as como actualizar Panorama con
nuevas definiciones. Consulte Actualizacin de definiciones de aplicaciones
y amenazas.
Asistencia tcnica
Permite acceder a alertas sobre el producto y seguridad de Palo Alto Networks.

Consulte Visualizacin de informacin de asistencia tcnica.
Implementacin de
dispositivo
Permite visualizar informacin actual de la licencia sobre los cortafuegos

gestionados e instalar software, clientes y contenido dinmico en los
cortafuegos y recopiladores gestionados. Consulte Gestin de
actualizaciones de dispositivos y licencias.
Para automatizar el proceso de descarga e instalacin de actualizaciones
dinmicas, consulte Programacin de actualizaciones dinmicas.
Clave maestra y
diagnstico
Palo Alto Networks
Permite especificar una clave maestra para cifrar claves privadas en el

cortafuegos. Las claves privadas se almacenan con un formato cifrado de
manera predeterminada aunque no se especifique una nueva clave maestra.
Consulte Cifrado de claves privadas y contraseas del cortafuegos.

El cambio de contexto de dispositivo le permite iniciar la interfaz web de un cortafuegos
gestionado desde la interfaz web de Panorama para que pueda acceder y gestionar
directamente configuraciones especficas del cortafuegos (como polticas especficas de
cortafuegos, configuraciones de red y configuraciones de dispositivos).
Utilice el men desplegable Contexto sobre el men lateral para elegir un cortafuegos
individual o la vista completa de Panorama. Cuando seleccione un cortafuegos, la interfaz
web se actualizar para mostrar todas las pestaas y opciones de dispositivo para el
cortafuegos seleccionado. El men desplegable muestra solo los cortafuegos en los que tiene
acceso como administrador (consulte Creacin de cuentas administrativas de Panorama) y
que estn conectados a Panorama. Use los filtros para refinar sus criterios de bsqueda.
Los iconos de los cortafuegos en modo de alta disponibilidad (HA) tienen el fondo de color
para indicar que estn en modo HA:
Verde: Activo.
Amarillo: Pasivo o inicindose (el estado de inicio puede durar hasta 60 segundos desde
el arranque).
Rojo: El cortafuegos no est operativo (estado de error), est suspendido (deshabilitado

por un administrador) o provisional (para un evento de supervisin de enlace o ruta en
una configuracin HA activa/activa).
Ilustracin 15. Seleccin del contexto
Configuracin de particiones de almacenamiento

Panorama > Configuracin > Operaciones > Configuracin de particin de
almacenamiento
De manera predeterminada, Panorama mantiene un almacenamiento interno para archivos de
log y datos estadsticos. La instalacin de Panorama predeterminada se establece con una
nica particin de disco para todos los datos; en la particin, se asignan 10 GB de espacio para
el almacenamiento de logs.
Palo Alto Networks
Si la mquina virtual Panorama se instala en una particin mayor, no permitir ms de 10 GB

de espacio para los logs. Para entornos en los que es necesario mayor espacio de
almacenamiento, puede crear un disco virtual personalizado de hasta 2 TB para ESX o ESXi o
bien configurar un almacn de datos NFS externo.
Para configurar un almacenamiento de datos NFS externo, seleccione Panorama >
Configuracin > Operaciones y, en la seccin Varios, haga clic en Configuracin de particin
de almacenamiento.
Tabla 233.
Configuracin de particin de almacenamiento
Campo
Descripcin
Interno
Mantiene el espacio de almacenamiento para archivos de log y datos

estadsticos del dispositivo de Panorama.
NFS V3
Especifica un punto de montaje de servidor NFS externo. Configure los

siguientes ajustes:
Servidor: Especifique el nombre de dominio completo (FQDN) o la
direccin IP del servidor NFS.
Directorio de log: Especifique el nombre de ruta completo del
directorio en el que se almacenarn los logs.
Protocolo: Especifique el protocolo para la comunicacin con el
servidor NFS (UDP o TCP).
Puerto: Especifique el puerto para la comunicacin con el servidor NFS.
Tamao de lectura: Especifique el tamao mximo (bytes) para las
operaciones de lectura de NFS (rango: 256-32.768).
Tamao de escritura: Especifique el tamao mximo (bytes) para las
operaciones de escritura de NFS (rango: 256-32.768).
Copiar al configurar: Seleccione la casilla de verificacin para montar la
particin NFS y copiar los logs existentes en el directorio de destino del
servidor cuando se reinicie el dispositivo de Panorama.
Particin de logs de prueba: Haga clic para realizar una prueba que
monte la particin NFS y muestre un mensaje de accin correcta o fallo.
Debe reiniciar el servidor de Panorama despus de configurar los ajustes de

particin de almacenamiento.

Panorama > Alta disponibilidad
La alta disponibilidad (HA) permite la redundancia en caso de fallo. Para garantizar la HA,
puede implementar un par de dispositivos de Panorama basados en hardware o un par de
dispositivos virtuales de Panorama en una configuracin de peer de HA que proporcionen
conexiones sincronizadas con los cortafuegos gestionados. Entre los peers de la configuracin
de HA, un dispositivo se debe designar como principal y otro como secundario; el principal
asumir el estado activo y el secundario el estado pasivo, hasta que falle el valor supervisado.
Los peers mantienen un latido o un ping ICMP peridico para verificar el estado operativo. Si
el servidor de Panorama activo deja de estar disponible, el servidor pasivo toma el control
temporalmente. Si Preferencia est habilitado, lo cual es el ajuste predeterminado, cuando el
servidor Panorama activo vuelva a estar activo, el servidor pasivo dejar el control y volver
al estado pasivo.
Palo Alto Networks
Para configurar un par de HA de dispositivos virtuales de Panorama, debe tener

dos licencias de Panorama con nmeros de serie exclusivos para cada instancia
virtual.
Para habilitar HA en Panorama, configure los siguientes ajustes:
Tabla 234. Configuracin de HA de Panorama

Campo
Descripcin
Configuracin
Habilitar HA
Seleccione la casilla de verificacin para habilitar la HA.
Direccin IP de HA
del peer
Introduzca la direccin IP de la interfaz de gestin del peer.
Habilitar cifrado
Habilite el cifrado despus de exportar la clave de HA desde el peer de HA e

importarla a este dispositivo. La clave de HA de este dispositivo tambin
debe exportarse desde este dispositivo e importarse al peer de HA. Cuando
est habilitada, la interfaz de gestin cifra la comunicacin entre los peers de
HA.
La importacin/exportacin de claves se realiza en la pgina Certificados.
Consulte Gestin de certificados de dispositivos.
Nota: La conectividad de HA utiliza el puerto TCP 28 con el cifrado habilitado y
28769 cuando el cifrado no est habilitado.
Tiempo de espera
para supervisin
(ms)
Introduzca la cantidad de tiempo (ms) que el sistema esperar antes de

reaccionar ante un fallo de un enlace de control (1.000-60.000 ms; valor
predeterminado: 3.000 ms).
Palo Alto Networks
Tabla 234. Configuracin de HA de Panorama (Continuacin)

Campo
Descripcin
Configuracin de
eleccin
Prioridad
Asigne un dispositivo como Primario y otro como Secundario de cada par.
(Solo necesario en
Panorama virtual)
Esta configuracin principal o secundaria determina qu peer est designado

como el destinatario principal de los logs enviados por los cortafuegos
gestionados. Puede configurar Panorama para que utilice las mismas
instalaciones de almacenamiento de logs externo para los dispositivos
principal y secundario asignados (opcin NFS o sistema de archivos de red) o
configurar los logs de manera interna. Si utiliza la opcin NFS, nicamente el
destinatario principal recibir los logs enviados desde los cortafuegos
gestionados. Sin embargo, si se habilitan los logs locales, los logs se enviarn
de manera predeterminada al destinatario principal y secundario.
Preferente
Seleccione la casilla de verificacin para habilitar el dispositivo de Panorama

principal para reanudar el funcionamiento activo tras recuperarse de un
fallo. Si este ajuste est desactivado, el dispositivo secundario permanecer
activo incluso despus de que el dispositivo de mayor prioridad se recupere
de un fallo.
Tiempo de espera
para ser preferente
(min.)
Introduzca el tiempo que esperar un dispositivo pasivo antes de tomar el

control como dispositivo activo (rango: 1-60 min.; valor predeterminado: 1).
Tiempo de espera de
promocin (ms)
Introduzca el tiempo que esperar el dispositivo secundario antes de tomar

el control (rango: 0-60.000 ms; valor predeterminado: 2.000).
Intervalo de saludo
(ms)
Introduzca el nmero de milisegundos entre los paquetes de saludo

enviados para verificar que el otro dispositivo est operativo
(rango: 8.000-60.000 ms; valor predeterminado: 8.000).
Intervalo de
heartbeat (ms)
Especifique la frecuencia con la que Panorama enva pings ICMP al peer de

HA (rango: 1.000-60.000 ms; valor predeterminado: 1.000).
Tiempo de espera
ascendente tras fallo
de supervisor (ms)
Especifique el intervalo que Panorama esperar tras un fallo de supervisor

de ruta antes de intentar volver a introducir el estado pasivo (valor
predeterminado: 0 ms). Durante este perodo, el dispositivo no est
disponible para tomar el control como dispositivo activo en el caso de fallo.
Tiempo de espera
ascendente principal
adicional (ms)
Especifique el intervalo durante el cual el dispositivo preferente permanece

en el estado pasivo antes de tomar el control como dispositivo activo
(valor predeterminado: 7.000 ms).
Palo Alto Networks
Tabla 234. Configuracin de HA de Panorama (Continuacin)

Campo
Descripcin
Supervisin de rutas
Habilitado
Seleccione la casilla de verificacin para habilitar la supervisin de rutas.

La supervisin de rutas permite que Panorama supervise direcciones IP de
destino especificadas enviando mensajes de ping ICMP para asegurarse de
que responden.
Condicin de fallo
Seleccione si se produce una conmutacin por error cuando alguno o todos

los grupos de rutas supervisados presentan fallos al responder.
Grupos de rutas
Defina uno o ms grupos de rutas para supervisar direcciones de destino

especficas. Para aadir un grupo de rutas, especifique los siguientes ajustes
y haga clic en Aadir:
Nombre: Especifique un nombre para el grupo de rutas.
Habilitado: Seleccione la casilla de verificacin para habilitar el grupo de
rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
Intervalo de ping: Especifique un perodo de tiempo entre los mensajes de
eco de ICMP para verificar que la ruta est activa (rango: 1.000-60.000 ms;
valor predeterminado: 5.000).
IP de destino: Introduzca una o ms direcciones de destino que se
supervisarn (si hay varias direcciones, deben estar separadas por comas).
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 1000-60000 milisegundos; valor
predeterminado: 5000 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 3 pings).
Para eliminar un grupo de rutas, seleccione el grupo y haga clic en Eliminar.
Panorama > Dispositivos gestionados
Un cortafuegos de Palo Alto Networks que gestiona Panorama se denomina cortafuegos
gestionado. La pgina Dispositivos gestionados le permite realizar tareas administrativas en
los cortafuegos y ver su informacin de estado.
Panorama puede gestionar cortafuegos PAN-OS con la misma versin principal o en
versiones anteriores compatibles, pero no en cortafuegos con una versin posterior.
Por ejemplo, Panorama 5.0 puede gestionar cortafuegos ejecutando PAN-OS 5.0 o
versiones anteriores compatibles, pero no puede gestionar cortafuegos ejecutando
cortafuegos PAN-OS 5.1.
Use la pgina Dispositivos gestionados para realizar las siguientes tareas:
Aadir un cortafuegos: Haga clic en Aadir e introduzca el nmero de serie de uno o

varios cortafuegos. Introduzca solo un nmero de serie por fila. Tras aadir los
cortafuegos como dispositivos gestionados, para permitir que Panorama se conecte a ellos
y los gestione, debe aadir el nmero de serie del cortafuegos en el servidor de gestin de
Panorama u aadir la direccin IP del servidor de gestin de Panorama en el cortafuegos
(consulte Definicin de la configuracin de gestin).
Palo Alto Networks
Eliminar los dispositivos gestionados: Seleccione la casilla de verificacin de uno o

varios cortafuegos y haga clic en Eliminar para quitar el cortafuegos de la lista de
cortafuegos gestionados por Panorama.
Etiquetar dispositivos: Seleccione la casilla de verificacin de uno o ms cortafuegos,

haga clic en Etiqueta e introduzca una cadena de texto de hasta 31 caracteres o seleccione
una etiqueta existente. No utilice espacios en blanco. En las ubicaciones donde la interfaz
web muestra una lista extensa de cortafuegos (por ejemplo, en el cuadro de dilogo de
instalacin de software), las etiquetas permiten filtrar la lista. Por ejemplo, si aade una
etiqueta denominada sucursal, podr filtrar todos los cortafuegos de sucursal de su red.
HA del peer de grupo: Seleccione la casilla de verificacin HA del peer de grupo si quiere
que la pgina Dispositivos gestionados agrupe los cortafuegos que son peers en una
configuracin de alta disponibilidad (HA). Cada par de HA tendr entonces una nica
casilla de verificacin. Para una configuracin HA activa/pasiva, tiene la opcin de
aadir ambos peers de cortafuegos o sistemas virtuales de los peers (si est en modo de
varios sistemas virtuales) al mismo grupo de dispositivos. Esto le permite enviar la
configuracin a ambos cortafuegos de peer de HA simultneamente.
Instalar actualizaciones de software o contenido: Haga clic en Instalar y seleccione las

siguientes opciones:
Tabla 235 Actualizacin de software/contenido en un dispositivo gestionado

Campo
Descripcin
Tipo
Seleccione el tipo de actualizacin que desea instalar: Software

PAN-OS, software del cliente de GlobalProtect, firmas de
aplicaciones y amenazas, firmas de antivirus, WildFire o
Filtrado de URL.
Archivo
Seleccione la imagen de actualizacin. El men desplegable enumera

las imgenes que ha descargado o cargado en Panorama mediante las
pginas Panorama > Implementacin de dispositivos.
Dispositivos
Utilice los filtros para seleccionar los cortafuegos en los que desea
instalar la imagen.
Cargar nicamente en el
dispositivo (no instalar)
Seleccione esta opcin si quiere cargar la imagen en el cortafuegos,

pero no quiere reiniciar ahora el cortafuegos.
Hasta iniciar un reinicio, PAN-OS no instala la imagen.
Reiniciar dispositivo tras

instalar
Seleccione esta opcin si quiere cargar e instalar la imagen de

software. PAN-OS reinicia el cortafuegos.
HA del peer de grupo
Seleccione esta opcin si quiere que la lista Dispositivos agrupe los

cortafuegos que son peers en una configuracin de HA.
Filtro seleccionado
Si quiere que la lista Dispositivos muestre solo cortafuegos

especficos, seleccione las correspondientes casillas de verificacin
Nombre del dispositivo y seleccione la casilla de verificacin Filtro
seleccionado.
Palo Alto Networks
La pgina Dispositivos gestionados muestra la siguiente informacin para cada cortafuegos

gestionado:
Tabla 236. Estado los dispositivos gestionados

Campo
Descripcin
Grupo de dispositivos
Muestra el nombre del grupo de dispositivos del que es miembro el

cortafuegos. De manera predeterminada, esta columna est oculta,
aunque puede mostrarla seleccionando el men desplegable en
cualquier encabezado de columna y despus eligiendo Columnas >
Grupo de dispositivos.
Independientemente de que la columna se muestre o no, la pgina
muestra los dispositivos ordenados segn su grupo de dispositivos.
Cada grupo tiene una fila de encabezado que muestra el nombre del
grupo de dispositivos, el nmero total de dispositivos asignados, el
nmero de dispositivos conectados y la ruta del grupo de
dispositivos en la jerarqua. Por ejemplo, Centro de datos
(2/4 dispositivos conectados): Compartido > Europa > Centro de
datos indicara que un grupo de dispositivos llamado Centro de
datos tiene cuatro cortafuegos (dos de ellos conectados) y pertenece
a su vez a un grupo de dispositivos llamado Europa. Puede contraer
o expandir cualquier grupo de dispositivos para ocultar o mostrar
sus cortafuegos.
Nombre del dispositivo
Muestra el nombre de host del cortafuegos o su nmero de serie.
Sistema virtual
Muestra los sistemas virtuales disponibles en un cortafuegos en

modo para sistemas virtuales mltiples.
Etiquetas
Muestra las etiquetas definidas para cada sistema virtual/

cortafuegos.
Nmero de serie
Muestra el nmero de serie del cortafuegos.
Direccin IP
Muestra la direccin IP del sistema virtual o cortafuegos.
Plantilla
Muestra la plantilla o pila de plantillas a la que pertenece el

cortafuegos.
Palo Alto Networks
Tabla 236. Estado los dispositivos gestionados

Campo
Descripcin
Estado
Estado del dispositivo: Indica el estado de conexin (conectado o

desconectado) entre Panorama y el cortafuegos.
Un cortafuegos VM-Series puede tener dos estados adicionales:
Deshabilitado: Indica que ha deshabilitado una mquina virtual
directamente en el cortafuegos o usando el enlace Deshabilitar
VM en la pgina Panorama > Implementacin de dispositivos >
Licencias y que ha eliminado todas las licencias/derechos en el
cortafuegos. Un cortafuegos deshabilitado ya no est conectado a
Panorama porque el proceso de deshabilitacin elimina el nmero
de serie en el cortafuegos VM-Series.
Parcialmente deshabilitado: Indica que ha iniciado un proceso de
deshabilitacin de licencia desde Panorama que no se ha completado porque el cortafuegos no est conectado y Panorama no se
puede comunicar con l.
Estado de HA: Indica si el cortafuegos est activo (estado de
funcionamiento de control de trfico normal), pasivo (estado de
reserva normal), iniciando (el dispositivo puede estar hasta
60 segundos en este estado desde el inicio), no operativo (estado de
error), suspendido (un administrador ha deshabilitado el
cortafuegos) o provisional (para un evento de supervisin de enlace
o ruta en una configuracin activa/activa).
Poltica compartida: Indica si las configuraciones de poltica y
objeto en el cortafuegos estn sincronizadas con Panorama.
Plantilla: Indica si las configuraciones de red y dispositivo en el
cortafuegos estn sincronizadas con Panorama.
ltimo estado de compilacin: Indica si la ltima compilacin del
cortafuegos tuvo xito o no.
Versin de software |
Aplicaciones y amenaza |
Antivirus | Filtrado URL |
Cliente de GlobalProtect |
WildFire
Muestra las versiones de software y contenido instaladas

actualmente en el cortafuegos.
Copias de seguridad
En cada compilacin, PAN-OS enva automticamente una copia de

seguridad de la configuracin del cortafuegos gestionado a Panorama.
Puede usar el enlace Gestionar... para ver las copias de seguridad de
configuracin disponibles. Para cargar una versin de la lista de
archivos de configuraciones guardadas, haga clic en Cargar.

Panorama > Dispositivos gestionados
Panorama guarda automticamente todos los cambios de configuracin que se compilan en
los cortafuegos gestionados. Para configurar el nmero de versiones que se guardan en el
dispositivo Panorama, seleccione Panorama > Configuracin > Gestin, modifique
Configuracin de log e informes, seleccione la pestaa Exportacin e informes de logs e
introduzca un valor (predeterminado: 100) en el campo Nmero de versiones para
Configurar copias de seguridad.
Palo Alto Networks
Para gestionar las copias de seguridad de Panorama, seleccione Panorama > Dispositivos
gestionados y en la columna Copias de seguridad de un dispositivo haga clic en Gestionar.
Se abrir una ventana mostrando las configuraciones guardada y compilada del dispositivo.
Haga clic en un enlace Cargar para restaurar la copia de seguridad a la configuracin
candidata y realice los cambios que desee. Haga clic en Compilar para restaurar la
configuracin cargada en el dispositivo. Para eliminar una configuracin guardada, haga clic
en el icono
.

Panorama > Grupos de dispositivos
Los grupos de dispositivos estn formados por cortafuegos o sistemas virtuales que desea
gestionar como grupo, como los cortafuegos que gestionan un grupo de sucursales o
departamentos individuales de una empresa. Panorama trata cada grupo como una sola
unidad al aplicar polticas. Un cortafuegos solo puede pertenecer a un grupo de dispositivos.
Como los sistemas virtuales se consideran entidades independientes en Panorama, puede
asignar sistemas virtuales en un cortafuegos a diferentes grupos de dispositivos.
Puede anidar grupos en una jerarqua de rbol de hasta cuatro niveles para implementar un
mtodo de capas para la gestin de polticas en toda la red o cortafuegos. En el nivel inferior,
un grupo de dispositivos puede tener grupos de dispositivos primarios, primarios principales
y primarios principales superiores en niveles sucesivamente mayores (lo que en conjunto se
denomina antecesores), de los cuales hereda polticas y objetos. En el nivel superior, un grupo
de dispositivos puede tener grupos de dispositivos secundarios, secundarios de segundo
nivel y secundarios de tercer nivel (lo que en conjunto se denomina descendientes). La columna
Nombre de la pgina Grupos de dispositivos refleja la jerarqua.
Use la pgina Grupos de dispositivos para aadir (hasta 256), modificar, eliminar o ver
grupos de dispositivos. Cuando haya aadido, modificado o eliminado un grupo de
dispositivos, deber compilar los cambios en Panorama y en los grupos de dispositivos:
Panorama enva los cambios de configuracin a los cortafuegos asignados al grupo de
dispositivos. Para obtener ms informacin, consulte Compilacin de los cambios en
Panorama.
Para modificar un grupo de dispositivos, haga clic en su nombre y modifique los campos
descritos en la siguiente tabla.
Para aadir un grupo de dispositivos, haga clic en Aadir y rellene los campos descritos en la
siguiente tabla.
Para eliminar un grupo de dispositivos, seleccione la casilla de verificacin junto a su nombre
y haga clic en Eliminar.
Tabla 237. Configuracin de grupos de dispositivos

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el grupo (de hasta

31 caracteres). El nombre distingue entre maysculas y minsculas
y debe ser exclusivo en toda la jerarqua de grupos de dispositivos.
Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos.
Descripcin
Introduzca una descripcin para el grupo de dispositivos.
Palo Alto Networks
Tabla 237. Configuracin de grupos de dispositivos (Continuacin)

Campo
Descripcin
Dispositivos
Seleccione la casilla de verificacin para cada cortafuegos que desee

aadir al grupo de dispositivos. Si la lista de cortafuegos es larga,
puede filtrar por Estado de dispositivo, Plataformas, Plantillas o
Etiquetas. La seccin Filtros muestra (entre parntesis) el nmero
de dispositivos gestionados para cada una de estas categoras.
Si el objetivo de un grupo de dispositivos es puramente
organizativo (es decir, contener otros grupos de dispositivos), no es
necesario que le asigne dispositivos.
primario
En relacin con el grupo de dispositivos que est definiendo,

seleccione el grupo de dispositivos (o la ubicacin compartida) en el
nivel inmediatamente superior de la jerarqua. Puede consultar las
reglas que determinan las asignaciones de grupos de dispositivos
en la Gua del administrador de Panorama.
Dispositivo principal
Seleccione el cortafuegos en el grupo de dispositivos desde el que

Panorama recopilar informacin de User-ID para usarla en las
polticas. La informacin asignada de usuario y grupo recopilados
es especfica del grupo de dispositivos.
HA del peer de grupo
Seleccione la casilla de verificacin para agrupar cortafuegos que

son peers en una configuracin de alta disponibilidad (HA).
A continuacin, la lista muestra primero el cortafuegos activo
(o activo-primario en una configuracin activo/activo) y luego el
cortafuegos pasivo (o activo-secundario en configuracin activo/
activo) entre parntesis. Esto le permite identificar fcilmente los
cortafuegos en el modo HA. Al enviar polticas compartidas, puede
implementar el par agrupado, en lugar de peers individuales.
Para peers HA en configuracin activo/pasivo, puede aadir
ambos cortafuegos o sus sistemas virtuales al mismo grupo de
dispositivos. Esto le permite enviar la configuracin a ambos peers
al mismo tiempo.
Filtro seleccionado
Si quiere que la lista Dispositivos muestre solo cortafuegos

especficos, seleccione las correspondientes casillas de verificacin
Nombre del cortafuegos y seleccione la casilla de verificacin
Filtro seleccionado.
Objetos y polticas compartidos

Los grupos de dispositivos heredan automticamente las polticas y objetos de la ubicacin
compartida y de los grupos de dispositivos antecesores.
Para crear una poltica compartida, seleccione la pestaa Polticas, seleccione

Compartido en el men desplegable Grupo de dispositivos en la parte superior de la
pestaa, seleccione el tipo de poltica (por ejemplo, Seguridad > Reglas anteriores)
y haga clic en Aadir. Para crear una poltica especfica de un grupo de dispositivos
concreto y sus grupos de dispositivos sucesores, seleccione el Grupo de dispositivos
apropiado del men desplegable antes de hacer clic en Aadir.
Para crear un objeto compartido, en la pestaa Objetos haga clic en Aadir y seleccione la
casilla de verificacin Compartido. Para crear un objeto especfico de un grupo de
dispositivos concreto y sus grupos de dispositivos sucesores, seleccione el Grupo de
dispositivos apropiado del men desplegable antes de hacer clic en Aadir (no seleccione
Palo Alto Networks
Compartido). La cancelacin de configuraciones antecesoras est habilitada para nuevos

objetos de manera predeterminada. Para deshabilitar la cancelacin para el objeto,
seleccione la casilla de verificacin Deshabilitar anulacin.
Si tiene objetos del mismo tipo y con el mismo nombre, de los cuales uno es
heredado y el otro es especfico de un grupo de dispositivos, todas las
configuraciones de ese grupo de dispositivos usarn los valores del objeto especfico
del grupo de dispositivos de manera predeterminada. Si en este caso quiere que las
configuraciones usen los valores del objeto heredado, seleccione Panorama >
Configuracin > Gestin, edite Ajustes de Panorama y seleccione la casilla de
verificacin Los objetos antecesores tienen prioridad.
Si quiere que la configuracin de un objeto heredado de un grupo de dispositivos
antecesor sea diferente en el grupo de dispositivos sucesor, puede cancelar la
configuracin del antecesor (consulte Cancelacin o reversin de un objeto). Sin
embargo, no puede cancelar objetos compartidos o predeterminados (predefinidos).
Aplicacin de polticas a dispositivos especficos de un grupo de dispositivos

Las reglas de polticas se aplican de manera predeterminada a todos los cortafuegos de un
grupo de dispositivos al que est asignada la regla. Si quiere que una regla se aplique solo a
cortafuegos concretos del grupo de dispositivos, seleccione el tipo de poltica en la pestaa
Polticas, haga clic en la entrada de la regla deseada en la columna Destino, anule la seleccin
de la casilla de verificacin Cualquiera (todos los dispositivos) y seleccione las casillas de
verificacin de los cortafuegos de destino. Para aplicar la regla a todos los cortafuegos en un
grupo de dispositivos excepto a los cortafuegos elegidos, seleccione la casilla de verificacin
Instalar en todos los dispositivos menos los especificados. Si la lista de cortafuegos es larga,
puede filtrar por Estado de dispositivo, Plataformas, Grupos de dispositivos, Plantillas,
Etiquetas y Estado de HA. Para cortafuegos con configuracin de alta disponibilidad (HA),
tambin puede Agrupar peers de HA. Para mostrar solo los cortafuegos seleccionados,
seleccione la casilla de verificacin Filtro seleccionado.

Panorama > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para cada funcin, puede configurar accesos especficos de cada funcin. El conjunto de
funciones disponibles para la configuracin depende del mbito de la funcin: el conjunto de
las funciones personalizadas de Panorama es mayor (por ejemplo, acceso a la CLI) que el de
Grupo de dispositivo y plantilla. Para administradores de plantillas y grupos de dispositivos,
puede asociar cada funcin con un dominio de acceso. Para obtener ms informacin sobre la
asignacin de funciones y dominios de acceso, consulte Creacin de cuentas administrativas
de Panorama. Para obtener ms informacin sobre los dominios de acceso, consulte
Especificacin de dominios de acceso de Panorama para administradores.
Palo Alto Networks
Si usa un servidor RADIUS para autenticar administradores, asigne las funciones

de administrador y dominios de acceso a Atributos especficos de proveedor (VSA)
de RADIUS.
Tabla 238. Configuracin de funciones de administrador de Panorama

Campo
Descripcin
Nombre
Introduzca un nombre para identificar esta funcin de administrador

(de hasta 31 caracteres). El nombre hace distincin entre maysculas y
Descripcin
Introduzca una descripcin opcional de la funcin.
Funcin
Seleccione el mbito de responsabilidad administrativa: Panorama o

Grupo de dispositivos y Plantilla. La Gua del administrador de PAN-OS
enumera los privilegios de acceso disponibles para cada funcin.
Interfaz web
Haga clic en los iconos de las pginas de la interfaz web para especificar
el tipo de acceso permitido en el contexto de Panorama (lista IU web) y
contexto del dispositivo (lista IU de conmutador de contexto):
Lectura/Escritura (Habilitar)
Solo lectura
Sin acceso (Deshabilitar)
API XML
Seleccione el tipo de acceso para la API XML:
(Funcin exclusiva de
Panorama)
Informe: Accede a los informes del cortafuegos.

Log: Accede a los logs del cortafuegos.
Configuracin: Concede permisos para recuperar o modificar la
configuracin del cortafuegos.
Solicitudes de operacin: Concede permisos para ejecutar comando de
operacin.
Compilar: Concede permisos para compilar la configuracin.
Agente de ID de usuarios: Accede al identificador del usuario
(User-ID) del agente.
Exportar: Concede permisos para exportar archivos del cortafuegos,
incluyendo la configuracin, pginas de bloque o respuesta,
certificados, claves, etc.
Importar: Concede permisos para importar archivos al cortafuegos,
incluyendo software, contenido, licencia, configuracin, certificados,
pginas de bloque, logs personalizados, etc.
Lnea de comandos
Seleccione el tipo de funcin para el acceso a la CLI:
(Funcin exclusiva de
Panorama)
Ninguno: El acceso a la CLI del cortafuegos no est permitido.

Superusuario: El acceso completo al cortafuegos actual.
Superlector: El acceso al cortafuegos actual es de solo lectura.
Administrador de panorama: El acceso a un dispositivo seleccionado
es completo, excepto al definir nuevas cuentas o sistemas virtuales.

Panorama > Administradores
Las cuentas de administrador definen parmetros de funciones y autenticacin. Estos
parmetros controlan el acceso a Panorama y (a travs de cambio de contexto) a los
cortafuegos gestionados. La cuenta admin predefinida tiene acceso completo a Panorama y a
Palo Alto Networks
los cortafuegos gestionados. Si desea informacin detallada sobre funciones, consulte

Definicin de funciones de administrador de Panorama.
Panorama es compatible con las siguientes opciones de autenticacin:
Autenticacin con contrasea: El administrador introduce un nombre de usuario y una

contrasea para iniciar sesin. No se necesitan certificados. Puede utilizar este mtodo
junto con los perfiles de autenticacin (consulte Configuracin de perfiles de
autenticacin), secuencias de autenticacin (consulte Configuracin de una secuencia
de autenticacin) o para la autenticacin de base de datos local.
Autenticacin con certificado de cliente (web): Esta autenticacin no necesita nombre de

usuario o contrasea; el certificado ser suficiente para autenticar el acceso a Panorama.
Consulte Uso de certificados.
Autenticacin con clave pblica (SSH): El administrador genera un par de claves pblica
y privada en la mquina que requiere acceso a Panorama y, a continuacin, carga la clave
pblica en Panorama para permitir un acceso seguro sin exigir que el administrador
introduzca un nombre de usuario y una contrasea.
Tabla 239. Configuracin de cuentas de administrador

Campo
Descripcin
Nombre
Introduzca un nombre de usuario de sesin para el administrador

(de hasta 15 caracteres). El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente
letras, nmeros, guiones y guiones bajos.
Seleccione una secuencia o perfil de autenticacin para autenticar este

administrador. Este ajuste se puede utilizar para RADIUS,
TACACS+, LDAP, Kerberos o la autenticacin de base de datos local.
Utilizar nicamente el
certificado de autenticacin de
cliente (web)

certificado de cliente para el acceso web. Si selecciona esta casilla de
verificacin, no se necesitarn un nombre de usuario (Nombre) y
una contrasea; el certificado ser suficiente para autenticar el
acceso a Panorama.
Contrasea/Confirmar
contrasea
Introduzca y confirme una contrasea que haga distincin entre

maysculas y minsculas para el administrador (de hasta
15 caracteres). Se recomienda cambiar peridicamente las
contraseas administrativas utilizando una combinacin de
minsculas, maysculas y nmeros para garantizar la seguridad.
Tambin puede configurar parmetros de vencimiento de
contraseas seleccionando un Perfil de la contrasea o
configurando los parmetros Complejidad de contrasea mnima
(consulte Definicin de la configuracin de gestin).
Los administradores de Panorama con determinados perfiles de
funciones no pueden acceder a la pgina Panorama >
Administradores. Para cambiar su contrasea local, estos
administradores pueden hacer clic en su nombre de usuario junto al
enlace Cierre de sesin en la parte inferior de la interfaz web.
Palo Alto Networks
Tabla 239. Configuracin de cuentas de administrador (Continuacin)

Campo
Descripcin
Utilizar autenticacin de clave

pblica (SSH)

clave pblica SSH. Haga clic en Importar clave y Explorar para
seleccionar el archivo de clave pblica. El cuadro de dilogo
Administrador muestra la clave actualizada en el rea de texto de
solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y
RSA (768-4096 bits).
Nota: Si falla la autenticacin de clave pblica, Panorama muestra un
mensaje de nombre de usuario y contrasea.
Tipo de administrador
El tipo de seleccin determina las opciones de funciones de

administrador:
Dinmicas: Proporcionan acceso a Panorama y a los dispositivos
gestionados. Al aadir nuevas funciones, Panorama actualiza
automticamente las definiciones de funciones dinmicas; no
necesitar actualizarlas manualmente en ningn momento.
Administrador de Panorama personalizado: Funciones
configurables con acceso de lectura y escritura, acceso de solo
lectura o sin acceso a funciones de Panorama.
Grupo de dispositivo y administrador de plantillas: Funciones
configurables con acceso de lectura y escritura, acceso de solo
lectura o sin acceso a funciones para los grupos de dispositivos y
plantillas asignados a los dominios de acceso que seleccione para
este administrador.
Funcin de administrador
Seleccione una funcin preconfigurada:
(Tipo de administrador
dinmico)
Superusuario: Acceso de lectura y escritura completo a Panorama

y a todos los grupos de dispositivos, plantillas y cortafuegos
gestionados.
Superusuario (solo lectura): Acceso de solo lectura a Panorama y
a todos los grupos de dispositivos, plantillas y cortafuegos
gestionados.
Administrador de Panorama: Acceso completo a Panorama a
excepcin de las siguientes acciones:
Crear, modificar o eliminar los administradores y funciones de
Panorama o el dispositivo.
Exportar, validar, invertir, guardar, cargar o importar
configuraciones de la pgina Dispositivo > Configuracin >
Operaciones.
Configurar la funcionalidad Exportacin de configuracin
programada en la pestaa Panorama.
Perfil
Administrador de Panorama
personalizado)
Palo Alto Networks
Seleccione una funcin de Panorama personalizada (consulte

Definicin de funciones de administrador de Panorama).
Tabla 239. Configuracin de cuentas de administrador (Continuacin)

Campo
Descripcin
Dominio de acceso a rol de

administrador
Para cada dominio de acceso que quiera asignar al administrador

(con un mximo de 25), haga clic en Aadir, seleccione un Dominio
de acceso del men desplegable (consulte Especificacin de
dominios de acceso de Panorama para administradores) y, a
continuacin, haga clic en la celda adyacente Funcin de
administrador y seleccione un administrador personalizado de
Grupo de dispositivo y plantilla desde el men desplegable
(consulte Definicin de funciones de administrador de
Panorama). Cuando los administradores inician sesin en
Panorama, aparece un men desplegable Dominio de acceso en el
pie de pgina de la interfaz web. Los administradores pueden
seleccionar cualquier Dominio de acceso asignado para filtrar los
datos de supervisin y configuracin que muestra Panorama.
Grupo de dispositivo y
administrador de plantillas)
Nota: Si usa un servidor RADIUS para autenticar administradores, debe

asignar las funciones de administrador y dominios de acceso a Atributos
especficos de proveedor (VSA) de RADIUS. Debido a que las cadenas
VSA admiten un nmero limitado de caracteres, si configura para un
administrador el nmero mximo (25) de pares de dominio de acceso/
funcin, los valores de Nombre de cada dominio de acceso y funcin no
deben superar los 9 caracteres de media.
Perfil de la contrasea
Seleccione el perfil de contrasea (consulte Definicin de perfiles

de contrasea) si procede.
Si hay alguna cuenta de usuario bloqueada, aparecer un icono de candado en la

columna Usuario bloqueado de la pgina Administradores. El superusuario y
el administrador de Panorama pueden hacer clic en el icono para desbloquear la
cuenta.

Panorama > Dominio de acceso
Use la pgina Dominio de acceso para proporcionar a los administradores de Grupo de
dispositivos y plantilla acceso a:
Grupos de dispositivos: Los administradores pueden gestionar las polticas y objetos, as

como supervisar los informes y logs, de los cortafuegos en los grupos de dispositivos que
aada al dominio de acceso.
Plantillas: Los administradores pueden gestionar la configuracin de dispositivo y red de

los cortafuegos asignados a las plantillas que aada al dominio de acceso.
Interfaces web del cortafuegos: Los administradores pueden cambiar al contexto del
dispositivo de los cortafuegos que aada al dominio de acceso.
Palo Alto Networks
Un administrador con varios dominios de acceso puede filtrar los datos de configuracin y
supervisin que muestra la interfaz web seleccionando un Dominio de acceso del men
desplegable en la parte inferior de la interfaz. Puede definir hasta 4000 dominios de acceso y
gestionarlos localmente o usar atributos especficos del proveedor (VSA) de RADIUS.
Si usa un servidor RADIUS para autenticar administradores, debe asignar las
funciones de administrador y dominios de acceso a Atributos especficos de
proveedor (VSA) de RADIUS.
Tabla 240.
Configuracin de dominio de acceso
Campo
Descripcin
Nombre
Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres).

exclusivo. Utilice nicamente letras, nmeros, guiones y guiones bajos.
Objetos compartidos
Seleccione uno de los siguientes privilegios de acceso para los objetos que
los grupos de dispositivos en este dominio de acceso heredan de la
ubicacin compartida. Independientemente de los privilegios, los
administradores no pueden cancelar los objetos compartidos o
predeterminados (predefinidos).
lectura: Los administradores pueden mostrar y duplicar objetos compartidos pero no pueden realizar otras operaciones con ellos. Al aadir objetos
no compartidos o duplicar objetos compartidos, el destino debe ser un
grupo de dispositivos dentro del dominio de acceso, no Compartido.
escritura: Los administradores pueden realizar todas las operaciones
con objetos compartidos. Es el valor predeterminado.
solo compartidos: Los administradores pueden aadir objetos solo a
Compartido. Los administradores tambin pueden mostrar, editar y
eliminar objetos compartidos pero no pueden moverlos o duplicarlos. Si
elige esta opcin, los administradores no podrn realizar operaciones
con objetos no compartidos excepto mostrarlos.
Grupos de dispositivos
Haga clic en los iconos para habilitar el acceso de lectura y escritura a

grupos de dispositivos en el dominio de acceso. Tambin puede hacer clic
en Habilitar todo o Deshabilitar todo. Al habilitar el acceso de lectura y
escritura para un grupo de dispositivos, se habilita automticamente el
mismo acceso para sus sucesores. Si deshabilita manualmente un sucesor,
el acceso a su antecesor mximo cambia automticamente a solo lectura.
El acceso est deshabilitado para todos los grupos de dispositivos de
manera predeterminada.
Nota: Si define el acceso para Objetos compartidos como solo compartidos,
Panorama aplica acceso de solo lectura a cualquier grupo de dispositivos para el
que especifique acceso de lectura y escritura.
Plantillas
Para cada plantilla o pila de plantillas que quiera asignar, haga clic en
Aadir y seleccinela del men desplegable.
Contexto de dispositivo
Seleccione las casillas de verificacin de los cortafuegos en los que el

administrador puede cambiar el contexto para realizar modificaciones de
la configuracin local. Si la lista es larga, puede filtrar por Estado de
dispositivo, Plataformas, Grupos de dispositivos, Plantillas, Etiquetas y
Estado de HA.
Palo Alto Networks
Compilacin de los cambios en Panorama

Para compilar los cambios de configuracin en Panorama, haga clic en el icono/enlace
Compilar para abrir el cuadro de dilogo de compilacin. Este cuadro de dilogo permite
compilar reas concretas del entorno de Panorama.
Cuando se compilan cambios, antes de hacerlo en los cortafuegos gestionados o
recopiladores de logs gestionados debe hacerlo primero en Panorama.
Ilustracin 16. Cuadro de dilogo de compilacin de Panorama
El cuadro de dilogo de compilacin tiene las siguientes opciones:
Tipo de compilacin:
Panorama: Compila la configuracin candidata actual de Panorama.
Plantilla: Compila los cambios de plantilla de los cortafuegos seleccionados de
Panorama. Cuando compila plantillas, puede seleccionar un subconjunto de
dispositivos si lo desea.
Grupo de dispositivos: Compila cambios de configuracin de los cortafuegos de
Panorama a los sistemas virtuales/cortafuegos seleccionados.
Grupo de recopiladores: Compila nicamente los cambios a los grupos recopiladores
de logs de Panorama. Se compilarn los cambios realizados en la pgina Panorama >
Grupos de recopiladores y se aplicarn dichos cambios al dispositivo recopilador
de logs.
Filtros: Si el Tipo de compilacin es Grupo de dispositivos o Plantilla, puede filtrar la

lista de cortafuegos.
Palo Alto Networks
Nombre y estado del cortafuegos: Si el Tipo de compilacin es Grupo de dispositivos o

Plantilla, puede ordenar la lista por grupo de dispositivos o nombre de plantilla, ltimo
estado de compilacin o Estado de HA (para peers del cortafuegos con configuracin de
alta disponibilidad) haciendo clic en los encabezados de esas columnas. Si el Tipo de
compilacin es Grupo de dispositivos, la columna Nombre muestra la jerarqua de rbol
de grupos de dispositivos completa de, incluidos los nombres del cortafuegos y el sistema
virtual (vsys).
Vista previa de cambios: Si el Tipo de compilacin es Grupo de dispositivos, Plantilla o

Panorama, puede mostrar una ventana de auditora de configuracin que indica los
cambios propuestos en la configuracin candidata en comparacin con la configuracin
que se ejecuta actualmente. Puede seleccionar el nmero de lneas de contexto que se
mostrarn o mostrar todas las lneas en funcin de los elementos que se han aadido,
modificado o eliminado. La funcin Dispositivo > Auditora de configuraciones realiza
la misma funcin (consulte Comparacin de archivos de configuracin).
Agrupar peers de HA: Si el Tipo de compilacin es Grupo de dispositivos o Plantilla,

puede seleccionar esta casilla de verificacin para ver cada par de peers HA del
cortafuegos como una nica entrada.
Filtrar seleccionados: Si el Tipo de compilacin es Grupo de dispositivos o Plantilla,

puede filtrar la lista para ver solamente cortafuegos especficos seleccionndolos y luego
marcando la casilla de verificacin Filtrar seleccionados.
Combinar con configuracin de candidato: Esta opcin est disponible si el tipo de

compilacin es Grupo de dispositivos o Plantilla. Si selecciona esta casilla de
verificacin, el cortafuegos incluye su configuracin candidata local cuando se solicita la
compilacin desde Panorama. Si esta casilla de verificacin est seleccionada, el
cortafuegos excluye su candidato local de la configuracin. Es importante no seleccionar
esta casilla de verificacin si los administradores locales estn realizando cambios en un
cortafuegos y desea excluir estos cambios al enviar una configuracin desde Panorama.
Incluir plantillas de dispositivo y red: Esta opcin est disponible si el Tipo de

compilacin es Grupo de dispositivos. La compilacin incluir la configuracin de
dispositivo y red en la plantilla o pila de plantillas a la que se asignarn los cortafuegos
seleccionados (consulte Gestin de plantillas y pilas de plantillas). Tambin puede
seleccionar Plantilla como el Tipo de compilacin para compilar plantillas en
cortafuegos.
Forzar valores de plantilla: Si el Tipo de compilacin es Grupo de dispositivos o

Plantilla, puede seleccionar esta casilla de verificacin para eliminar objetos para los que
un administrador cancel la plantilla en la configuracin local de los cortafuegos o
sistemas virtuales (consulte Cancelacin de ajustes de plantilla). Si el Tipo de
compilacin es Grupo de dispositivos, debe seleccionar la casilla de verificacin Incluir
plantillas dispositivo y red para habilitar la casilla de verificacin Forzar valores de
plantilla.
Una vez completada la compilacin, ver el mensaje Compilacin correcta. Si Panorama
gener alertas durante la compilacin, ver Compilacin correcta con advertencias. Para ver
informacin detallada de los mensajes correctos o con advertencias, en la pgina Panorama >
Dispositivos gestionados, haga clic en el texto de la columna ltimo estado de compilacin.
Palo Alto Networks
Definicin de plantillas
Gestin de plantillas y pilas de plantillas

Panorama > Plantillas
En los siguientes temas se describe cmo gestionar plantillas y pilas de plantillas:
Definicin de pilas de plantillas
Cancelacin de ajustes de plantilla
Duplicacin de plantillas y pilas de plantillas
Eliminacin o deshabilitacin de plantillas o pilas de plantillas
A travs de las pestaas Dispositivo y Red, las plantillas le permiten implementar una
configuracin bsica comn en mltiples cortafuegos que requieren configuraciones
similares. Al gestionar configuraciones de cortafuegos con Panorama, se usa una combinacin
de grupos de dispositivos (para gestionar polticas y objetos compartidos) y plantillas (para
gestionar configuraciones de red y dispositivos compartidos). Panorama separa la gestin de
estas funciones porque los cortafuegos que comparten configuraciones de polticas y objetos
no tienen por qu compartir tambin la misma configuracin de red y dispositivos.
Panorama admite hasta 128 plantillas. Puede combinar la configuracin de varias plantillas
mediante la Definicin de pilas de plantillas.
Para crear una plantilla de Panorama, haga clic en Aadir y rellene los campos descritos en la
siguiente tabla. Despus de aadir la primera plantilla, las pestaas Dispositivo y Red
mostrarn un men desplegable Plantilla. Entonces podr modificar la configuracin de
dispositivo y red para la plantilla seleccionada en la configuracin.
Tabla 241 Configuracin de plantilla (Panorama)

Campo
Descripcin
Nombre
Introduzca un nombre de plantilla (de hasta 31 caracteres). Utilice nicamente

letras, nmeros, espacios, puntos, guiones y guiones bajos. El nombre hace
distincin entre maysculas y minsculas y debe ser exclusivo.
En las pestaas Dispositivo y Red, este nombre aparecer en el men
desplegable Plantilla. Las configuraciones que modifique en estas plantillas se
aplicarn solamente a la Plantilla seleccionada.
VSYS
predeterminado
Seleccione un sistema virtual (vsys) si quiere que Panorama enve

configuraciones especficas de ese vsys (por ejemplo, interfaces) a cortafuegos
que no tienen mltiples sistemas virtuales.
Descripcin
Introduzca una descripcin para la plantilla.
Palo Alto Networks
Tabla 241 Configuracin de plantilla (Panorama)

Campo
Descripcin
Dispositivos
Seleccione la casilla de verificacin para cada cortafuegos que desee aadir a la

plantilla. Si quiere usar la plantilla solo dentro de una pila, no asigne
cortafuegos a la plantilla, solamente la pila (consulte Definicin de pilas de
plantillas).
Si la lista de cortafuegos es larga, puede filtrar por Plataformas, Grupos de
dispositivos, Etiquetas y Estado de HA. Para cada una de estas categoras, el
cuadro de dilogo muestra el nmero de cortafuegos gestionados.
Nota: Puede asignar cortafuegos con modos no coincidentes (modo VPN, modo de
vsys mltiples o modo de operacin) a la misma plantilla. Panorama enva la
configuracin especfica del modo solo a los cortafuegos compatibles con el modo.
Por ejemplo, Panorama enva tneles de IPSec solo a cortafuegos que tienen el modo
VPN habilitado.
HA del peer
de grupo
Seleccione la casilla de verificacin para agrupar cortafuegos que tienen peers

de alta disponibilidad (HA). A continuacin, la lista muestra primero el
cortafuegos activo (o activo-primario en una configuracin activo/activo) y
luego el cortafuegos pasivo (o activo-secundario en configuracin activo/
activo) entre parntesis. Esta opcin le permite identificar fcilmente
cortafuegos que tienen una configuracin de HA. Al enviar configuraciones de
plantillas, puede enviar el par agrupado, en lugar de cada cortafuegos
individualmente.
Filtro seleccionado
Para mostrar solo cortafuegos especficos, seleccione las correspondientes

casillas de verificacin del cortafuegos y seleccione la casilla de verificacin
Filtro seleccionado.
Despus de configurar una plantilla, debe realizar una compilacin de Panorama y de

plantilla para enviar los cambios de configuracin a los cortafuegos asignados a la plantilla.
Para obtener ms informacin, consulte Compilacin de los cambios en Panorama.

Una pila de plantillas es una combinacin de plantillas. Al asignar cortafuegos a una plantilla,
puede enviarles todas las configuraciones necesarias sin tener que aadir cada configuracin a
cada plantilla de una en una. Panorama admite hasta 128 pilas.
Palo Alto Networks
Panorama no valida combinaciones de plantillas, por lo que debe evitar solicitar plantillas de
modo que creen relaciones no vlidas. Por ejemplo, si la interfaz ethernet1/1 es de capa 3 en
Plantilla_A pero es de capa 2 con una VLAN en Plantilla_B, y Plantilla_A tiene prioridad,
Panorama enviar ethernet1/1 como un tipo de capa 3 pero asignada a una VLAN.
Una configuracin de plantilla no puede hacer referencia a una configuracin en otra
plantilla, incluso aunque ambas plantillas estn en la misma pila. Por ejemplo, una
configuracin de zona en la Plantilla_A no puede hacer referencia a un perfil de proteccin
de zona definido en la Plantilla_B incluso aunque la Plantilla_A y la Plantilla_B estn en
la misma pila.
Para crear una pila, en la pgina Panorama > Plantillas haga clic en Aadir pila y rellene los
campos descritos en la siguiente tabla.
Tabla 242 Configuracin de pila (Panorama)

Campo
Descripcin
Nombre
Introduzca un nombre para la pila (de hasta 31 caracteres). Utilice nicamente

letras, nmeros y guiones bajos. El primer carcter debe ser una letra. El
En las pestaas Dispositivo y Red, el men desplegable Plantilla mostrar el
nombre de la pila y las plantillas que tiene asignadas.
Descripcin
Introduzca una descripcin para la pila.
Plantillas
Para cada plantilla que quiera incluir en la pila, (hasta 16), haga clic en Aadir
y seleccione la plantilla.
Si las plantillas tienen configuraciones duplicadas, Panorama enva solo las
configuraciones de la plantilla de mayor nivel en la lista a los cortafuegos
asignados. Por ejemplo, si Plantilla_A est antes que Plantilla_B en la lista y
ambas plantillas definen la interfaz ethernet1/1, Panorama enva la definicin
de ethernet1/1 desde Plantilla_A y no desde Plantilla_B. Para cambiar el
orden, seleccione una plantilla y haga clic en Mover hacia arriba o Mover
hacia abajo.
Dispositivos
Seleccione la casilla de verificacin para cada cortafuegos que desee aadir a la

pila.
Si la lista de cortafuegos es larga, puede filtrar por Plataformas, Grupos de
dispositivos, Etiquetas y Estado de HA.
Nota: Puede asignar cortafuegos con modos no coincidentes (modo VPN, modo de vsys
mltiples o modo de operacin) a la misma pila. Panorama enva la configuracin
especfica del modo solo a los cortafuegos compatibles con el modo. Por ejemplo,
Panorama enva tneles de IPSec solo a cortafuegos que tienen el modo VPN habilitado.
HA del peer de
grupo
Seleccione la casilla de verificacin para agrupar cortafuegos que tienen peers

de alta disponibilidad (HA). Esta opcin le permite identificar fcilmente
cortafuegos que tienen una configuracin de HA. Al enviar configuraciones,
puede enviar el par agrupado, en lugar de cada cortafuegos individualmente.
Filtro seleccionado
Para mostrar solo cortafuegos especficos, seleccione las casillas de verificacin

del cortafuegos y seleccione la casilla de verificacin Filtro seleccionado.
Palo Alto Networks

Al aplicar una plantilla o pila de plantillas para controlar la configuracin del dispositivo y la
red en un cortafuegos, puede cancelar algunas configuraciones para usar la configuracin
local del cortafuegos. Por ejemplo, puede implementar una configuracin bsica a un grupo
global de cortafuegos pero usar una cancelacin para configurar zonas horarias especficas
directamente en los cortafuegos.
Para identificar configuraciones que tienen plantillas aplicadas, la interfaz web muestra
iconos, como se puede ver en la Ilustracin 17:
Ilustracin 17. Indicadores de plantilla
El icono verde indica que Panorama ha aplicado una plantilla y que la configuracin no
tiene cancelaciones. El icono naranja sobre verde indica que Panorama ha aplicado una
plantilla y que algunas configuraciones tienen cancelaciones.
Para cancelar una configuracin de dispositivo o red que Panorama enva desde una plantilla:
1.
Cambie el Contexto al cortafuegos, o bien acceda a la interfaz web del cortafuegos

directamente.
2.
Navegue hasta la configuracin.
3.
Si la pgina muestra la configuracin en una tabla, seleccione la fila de ese ajuste y haga
clic en el botn Cancelar. En caso contrario, modifique la seccin que muestra ese ajuste
(como se ve en la Ilustracin 17) y haga clic en el icono verde para la configuracin.
4.
Introduzca los valores de cancelacin y haga clic en ACEPTAR.
El cortafuegos copia el ajuste en su configuracin local y la plantilla dejar de controlarlo.

Para revertir el cambio, haga clic en el botn Restablecer: el cortafuegos reanudar la herencia
del ajuste desde la plantilla. Si realiza una compilacin desde Panorama a un cortafuegos
gestionado que contiene cancelaciones, puede seleccionar la casilla de verificacin Forzar
valores de plantilla para que las plantillas de Panorama asuman el control de los objetos
cancelados.
Si cancela la configuracin de Dispositivo > Alta disponibilidad, la cancelacin se aplica
nicamente a los valores individuales y a los parmetros de los rboles de configuracin:
el cortafuegos no aplica cancelaciones a la configuracin completa del rbol. Se incluyen
elementos como servidores DNS, IP de gestin o configuracin de servidor NTP. En el caso de
elementos como interfaces y perfiles de servidor de RADIUS, las cancelaciones se aplican al
rbol completo, no a valores internos.
Palo Alto Networks

Para duplicar una plantilla o pila de plantillas, seleccinela en la pgina Panorama >
Plantillas y haga clic en Duplicar.

Para eliminar una plantilla o pila de plantillas, seleccinela en la pgina Panorama >
Plantillas y haga clic en Eliminar. Al eliminar una plantilla o pila de plantillas, o eliminar un
cortafuegos de una de ellas, no se eliminan los valores que Panorama ha enviado al
cortafuegos. Al eliminar un cortafuegos de una plantilla o pila de plantillas, Panorama deja de
enviar actualizaciones al cortafuegos.
Para deshabilitar una plantilla o pila de plantillas para un cortafuegos, acceda a la interfaz
web del cortafuegos, seleccione Dispositivo > Configuracin > Gestin, modifique Ajustes
de Panorama y haga clic en el botn Desactivar dispositivo y plantilla de red.
Logs e informes
Panorama realiza dos funciones: configuracin (de cortafuegos y del propio Panorama) y
recopilacin de logs.
Para facilitar la adaptacin a implementaciones de mayores dimensiones, puede utilizar un
dispositivo M-Series para separar las funciones de gestin y recopilacin de logs de
Panorama. Un dispositivo M-Series proporciona una completa solucin de recopilacin de
logs para los cortafuegos de Palo Alto Networks. Esto ayuda a reducir el proceso de
recopilacin de logs con trfico intenso de su servidor de gestin de Panorama y, una vez
implementado, podr configurar cada cortafuegos para enviar logs a un M-Series configurado
como recopilador de logs. Si desea ms informacin sobre la implementacin de una
arquitectura de recopilacin de logs distribuida y la configuracin y gestin de recopiladores
de logs mediante el servidor Panorama, consulte la gua del administrador de Panorama.
Los logs e informes de Panorama (ACC, Appscope, Informes en PDF y Visor de logs)
proporcionan informacin sobre la actividad del usuario en la red gestionada. Para ver una
actividad de usuario/red en Panorama no tendr que configurar el reenvo explcito de logs.
El reenvo de logs es necesario para el almacenamiento de logs a largo plazo y para generar
informes de los logs guardados localmente en Panorama. Si el reenvo de logs est habilitado,
los logs se almacenan en el bfer del cortafuegos de forma predeterminada y se envan a
Panorama con un intervalo predefinido.
La pestaa ACC de Panorama muestra de forma predeterminada informacin almacenada de
forma local en Panorama. Sin embargo, puede cambiar el origen de datos de modo que
Panorama acceda a la informacin desde los cortafuegos conectados; todas las tablas enviarn
informacin dinmicamente y mostrarn una vista agregada del trfico de la red.
Puede generar y programar informes personalizados en Panorama. En el caso de los informes
personalizados y predefinidos programados, se aaden estadsticas de informes cada 15
minutos, que se envan a Panorama cada hora.
Palo Alto Networks
Habilitacin del reenvo de logs

Panorama > Configuracin de log
Utilice esta pgina para habilitar el reenvo de logs desde Panorama. Panorama puede agregar
logs de cortafuegos y recopiladores gestionados y reenviarlos a los destinos configurados en forma
de traps SNMP, mensajes de Syslog y notificaciones de correo electrnico. Si no ha configurado
perfiles de servidor para definir los destinos, consulte Configuracin de destinos de traps
SNMP, Configuracin de servidores Syslog y Configuracin de ajustes de notificaciones por
correo electrnico.
En un dispositivo virtual Panorama, use la pgina Panorama > Configuracin de log para
habilitar el reenvo de logs del cortafuegos, logs de recopiladores gestionados y logs de Panorama.
En un dispositivo M-Series en modo Panorama, use la pgina Panorama > Configuracin de log
para habilitar el reenvo de logs de recopiladores gestionados y logs de Panorama locales, pero
configure los grupos de recopiladores para habilitar el reenvo de logs de cortafuegos (consulte
Definicin de grupos de recopiladores de logs).
La siguiente tabla describe las opciones de logs y reenvos en la pgina Panorama >
Configuracin de log.
Los logs Correlacin, Coincidencias HIP, Trfico, Amenaza y WildFire se aplican solo a
cortafuegos y, por lo tanto, no aparecern en esta pgina si usa un dispositivo M-Series en
modo Panorama. El dispositivo virtual Panorama muestra todos los tipos de logs.
Tabla 243.
Configuracin de log
Seccin
Descripcin
Sistema
Para habilitar el reenvo de logs para un nivel de gravedad concreto, haga clic
en el enlace correspondiente de la columna Gravedad y seleccione los servidores deseados. El botn Eliminar todo le permite restablecer sus opciones a
los valores predeterminados. La gravedad indica la urgencia y el impacto del
evento del sistema:
Crtico: Indica un fallo y seala la necesidad de atencin inmediata (por
ejemplo, fallos de hardware, incluido el error de HA y los fallos de los
enlaces).
Alto: Indica un fallo o situacin inminente que puede afectar a la eficacia
operativa o seguridad del cortafuegos (por ejemplo, la interrupcin de
conexiones con servidores externos, como servidores LDAP y RADIUS).
Medio: Indica una situacin que puede derivar en un problema ms grave,
como no completar una actualizacin de paquetes antivirus.
Bajo: Indica una situacin que podra convertirse en un problema o que es
probable que derive en un problema, como los cambios de contrasea de
un usuario.
Informativo: No es necesario hacer nada. Estos logs proporcionan informacin til durante el funcionamiento normal del sistema. Este nivel cubre los
cambios de configuracin y el resto de eventos que otros niveles de gravedad no cubren.
Palo Alto Networks
Tabla 243.
Configuracin de log (Continuacin)
Seccin
Descripcin
Correlacin
Los logs de correlacin se crean cuando la definicin de un objeto de correlacin coincide con los patrones de trfico de su red. Para obtener ms informacin sobre los objetos de correlacin, consulte Uso del motor de correlacin
automatizada.
Panorama usa los objetos de correlacin para consultar coincidencias y logs
de los eventos de correlacin en los logs agregados (reenviados desde los
recopiladores de logs y cortafuegos gestionados). Estos eventos de correlacin pueden enviarse como mensajes de syslog, notificaciones de correo electrnico o traps SNMP. Para habilitar el reenvo de logs para un nivel de
gravedad concreto, haga clic en el enlace correspondiente de la columna Gravedad y seleccione los servidores deseados.
La gravedad indica la urgencia y el impacto de la coincidencia; evala
ampliamente el alcance de los daos o el patrn de ampliacin observado y la
frecuencia de aparicin. Dado que los objetos de correlacin se centran en la
deteccin de amenazas, los eventos correlacionados suelen relacionarse con
la identificacin de hosts en riesgo en la red y el nivel de gravedad tiene las
siguientes implicaciones:
Crtico: Confirma que se ha comprometido la seguridad de un host basndose en eventos correlacionados que indican un patrn en aumento. Por
ejemplo, se registra un evento crtico cuando un host que ha recibido un
archivo considerado malintencionado por WildFire muestra la misma actividad de comando y control observada en ese archivo malintencionado
dentro del espacio aislado de WildFire.
Alto: Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad basndose en una correlacin entre varios eventos
de amenaza, como el software malicioso detectado en cualquier punto de la
red que coincida con la actividad de comando y control generada por un
host concreto.
Medio: Indica que hay una probabilidad alta de que un host vea comprometida su seguridad basndose en la deteccin de uno o varios eventos sospechosos, como las visitas repetidas a URL consideradas malintencionadas
que sugiere la existencia de una actividad de comando y control generada
por una secuencia de comandos.
Bajo: Indica la posibilidad de que un host vea comprometida su seguridad
basndose en la deteccin de uno o varios eventos sospechosos, como una
visitas a una URL considerada malintencionada o un dominio DNS dinmico.
Informativo: Detecta un evento que podra resultar til en conjunto para
identificar una actividad sospechosa; un evento por separado no tiene por
qu ser significativo en s.
Configurar
Los logs de configuracin registran todos los cambios en la configuracin del

dispositivo. Para habilitar el reenvo, haga clic en el icono de modificacin y
seleccione los perfiles de servidor deseados.
Coincidencias HIP
El log de coincidencias HIP incluye las solicitudes de coincidencia con el

perfil de informacin del host (HIP) para GlobalProtect. Para habilitar el
reenvo, haga clic en el icono de modificacin y seleccione los perfiles de servidor deseados.
Trfico
Los logs de trfico solo capturan detalles (por ejemplo, origen y destino) del
trfico que coincide con una poltica. Para habilitar el reenvo, haga clic en el
icono de modificacin y seleccione los perfiles de servidor deseados.
Palo Alto Networks
Tabla 243.
Configuracin de log (Continuacin)
Seccin
Descripcin
Amenaza
Para habilitar el reenvo de logs para un nivel de gravedad concreto, haga clic
en el enlace correspondiente de la columna Gravedad y seleccione los servidores deseados. La gravedad indica la urgencia y el impacto de la amenaza:
Crtico: Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software ampliamente implementado, que comprometen
profundamente los servidores y dejan el cdigo de explotacin al alcance
de los atacantes. El atacante no suele necesitar ningn tipo de credenciales
de autenticacin o conocimientos acerca de las vctimas y el objetivo no
necesita ser manipulado para que realice ninguna funcin especial.
Alto: Amenazas que tienen la habilidad de convertirse en crticas pero que
tienen factores atenuantes; por ejemplo, pueden ser difciles de explotar, no
conceder privilegios elevados o no tener un gran grupo de vctimas.
Medio: Amenazas menores en las que se minimiza el impacto, como
ataques DoS que no comprometen al objetivo o explotaciones que requieren
que el atacante est en la misma LAN que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u ofrecen acceso muy limitado.
Adems, las entradas de log de WildFire con un veredicto de malware se
registran como amenazas de nivel medio.
Bajo: Amenazas con nivel de advertencia que tienen muy poco impacto en
la infraestructura de la organizacin. Suelen requerir acceso local o fsico al
sistema y con frecuencia pueden ocasionar problemas en la privacidad de
las vctimas, problemas de DoS y fugas de informacin. Las coincidencias
de perfiles de filtrado de datos se registran como bajas.
Informativo: Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para indicar que podra haber problemas ms
serios. Algunos ejemplos de logs informativos: Entradas de logs de filtrado
de URL, entradas de logs de WildFire con un veredicto benigno o logs de
filtrado de datos.
WildFire
WildFire analiza los archivos y les asigna un veredicto. Para habilitar el

reenvo de logs para un veredicto concreto, haga clic en el enlace correspondiente de la columna Veredicto y seleccione los servidores deseados. Los
veredictos son:
Bueno: Indica que el archivo es seguro.
Grayware: Indica que los archivos tienen caractersticas o comportamientos
sospechosos pero no son malintencionados.
Malintencionado: Indica que el archivo contiene cdigo malintencionado.
Gestin de recopiladores de logs

Panorama > Recopiladores gestionados
Utilice la pgina Recopiladores gestionados para configurar, gestionar y actualizar
dispositivos recopiladores de logs.
Para aadir un recopilador de logs, consulte Cmo aadir un recopilador de logs

Para instalar una actualizacin de software, consulte Instalacin de una actualizacin de
software en un recopilador de logs
Palo Alto Networks
Cmo aadir un recopilador de logs

Para aadir un recopilador de logs, haga clic en Aadir y complete los siguientes campos.
Tabla 244. Pgina Recopiladores gestionados

Campo
Descripcin
Pestaa General
N. serie recopiladores
Introduzca el nmero de serie del dispositivo recopilador de logs.
Nombre del recopilador
Introduzca un nombre para identificar al recopilador de logs (de hasta

Este nombre aparece como el nombre de host del recopilador de logs.
Recopilacin de logs del

dispositivo
Seleccione la interfaz que debe utilizarse para la recopilacin de logs

del cortafuegos. De forma predeterminada, la interfaz de gestin
(MGT) realiza esta funcin. Para seleccionar Eth1 o Eth2, primero debe
activar y configurar estas interfaces (Panorama > Configuracin,
Ajustes de la interfaz Eth1/Eth2).
Comunicacin del grupo

del recolector
Seleccione la interfaz que debe utilizarse para la comunicacin dentro

de los recopiladores de logs. De forma predeterminada, la interfaz de
gestin (MGT) realiza esta funcin. Para seleccionar Eth1 o Eth2,
primero debe activar y configurar estas interfaces (Panorama >
Configuracin, Ajustes de la interfaz Eth1/Eth2).
Certificado de Syslog
seguro
Seleccione un certificado para el reenvo seguro de syslogs en un

servidor de syslog externo. El certificado debe tener la opcin
Certificado de Syslog seguro seleccionada (consulte Gestin de
certificados de dispositivos). Al asignar un perfil de servidor Syslog
al grupo de recopiladores que incluye este recopilador de logs, el
protocolo Transporte del perfil de servidor debe ser SSL (consulte
Configuracin de servidores Syslog).
IP del servidor de
Panorama
Especifique la direccin IP del servidor de Panorama que se utiliza

para gestionar este recopilador.
IP del servidor 2 de
Panorama
Especifique la direccin IP del dispositivo secundario si el servidor de

gestin de Panorama est en modo de HA.
Dominio
Introduzca el nombre de dominio del recopilador de logs.
Servidor DNS principal
Introduzca la direccin IP del servidor DNS primario. El recopilador

de logs usa este servidor para consultas de DNS (por ejemplo, para
encontrar el servidor de Panorama).
Servidor de DNS
secundario
Introduzca la direccin IP o el servidor DNS secundario que deber

utilizarse si el servidor principal no est disponible (opcional).
Servidor NTP principal
Introduzca la direccin IP o el nombre de host del servidor NTP

principal, si lo hubiera. Si no utiliza servidores NTP, puede establecer
la hora del recopilador de logs manualmente.
Servidor NTP secundario
Introduzca la direccin IP o el nombre de host de los servidores NTP

secundarios que debern utilizarse si el servidor principal no est
disponible (opcional).
Zona horaria
Seleccione la zona horaria del recopilador de logs.
Latitud
Introduzca la latitud (-90,0 a 90,0) del recopilador de logs que se utiliza

en las asignaciones de trfico y amenazas de Appscope.
Palo Alto Networks
Tabla 244. Pgina Recopiladores gestionados (Continuacin)

Campo
Descripcin
Longitud
Introduzca la longitud (-180,0 a 180,0) del recopilador de logs que se

utiliza en las asignaciones de trfico y amenazas de Appscope.
Pestaa Autenticacin
Usuarios
Este campo siempre mostrar admin y se utiliza para el nombre de

inicio de sesin en CLI local del recopilador de logs.
Modo
Seleccione Contrasea para introducir y confirmar manualmente una

contrasea que se utilizar para la autenticacin o bien seleccione
Hash de la contrasea para introducir un valor de hash.
Para crear un hash de contrasea desde la CLI del servidor de gestin
de Panorama, ejecute el siguiente comando:
request password-hash password password123
Devolver un valor de hash para la contrasea password123 (Por
ejemplo, $1$urlishri$aLP2by.u2A1IQ/Njh5TFy9).
Copie el valor del hash de la CLI y cpielo en el campo Hash de la
contrasea. Cuando guarde los cambios, el nuevo hash se configurar
en el recopilador de logs y la nueva contrasea de inicio de sesin del
administrador local ser password123.
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos (1-10) que

se permiten para la interfaz web y la CLI antes de bloquear la cuenta.
El valor predeterminado 0 significa que no hay ningn lmite.
Tiempo de bloqueo (min.)
Especifique el nmero de minutos que se bloquea a un usuario

(0-60 minutos) si se alcanza el nmero de intentos fallidos. El valor
predeterminado 0 significa que no hay ningn lmite en el nmero de
intentos.
Pestaa Gestin
Esta pestaa solo se aplica al dispositivo M-Series, no al dispositivo virtual Panorama. De manera
predeterminada, el dispositivo M-Seriesutiliza el puerto de gestin (MGT) para configuracin,
recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo, si configura Eth1 o
Eth2 para la recopilacin de logs o comunicacin de grupos del recopilador, se recomienda definir
una subred distinta para la interfaz MGT que sea ms privada que las subredes Eth1 o Eth2. Defina la
subred del campo Mscara de red (para IPv4) o Direccin IPv6 (defina un prefijo).
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara de
red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo M-Series a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos
que compile una configuracin completa.
Velocidad y dplex
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) y el modo

de transmisin de interfaz dplex completo (Completo), dplex medio
(Medio) o automtico (Auto).
Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 (de forma

predeterminada, 192.168.1.1) al puerto de gestin del recopilador de logs.
Mscara de red
Si ha asignado una direccin IPv4 al puerto de gestin, introduzca una

mscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 al puerto de gestin, asigne una

direccin IPv4 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestin).
Palo Alto Networks

Campo
Descripcin
Direccin IPv6
Si su red utiliza IPv6, asigne una direccin IPv6 al puerto de gestin

del recopilador de logs. Para indicar la mscara de red, introduzca una
longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64).

predeterminada
Si ha asignado una direccin IPv6 al puerto de gestin, asigne una

direccin IPv6 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestin).
MTU

Servicios de interfaz de
gestin
Seleccione los servicios que quiere que se activen en la interfaz

gestionada del dispositivo recopilador de logs:
SSH
Ping
SNMP (Protocolo de gestin de red simple)
Direcciones IP permitidas
Haga clic en Aadir para introducir la lista de direcciones IP desde las

que se permite la gestin para esta interfaz.
Pestaa Eth1
Esta pestaa solo se aplica al dispositivo M-Series, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth1 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth1).
Eth1
Seleccione la casilla de verificacin para habilitar esta interfaz.
Velocidad y dplex

Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 a Eth1.
Mscara de red
Si ha asignado una direccin IPv4 a Eth1, introduzca una mscara de

red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 a Eth1, asigne una direccin IPv4 al

enrutador predeterminado (debe estar en la misma subred que Eth1).
Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth1. Para indicar la
mscara de red, introduzca una longitud de prefijo para IPv6 (por
ejemplo 2001:400:f00::1/64).

predeterminada

MTU

Ping
Seleccione la casilla de verificacin si desea activar el ping en la

interfaz Eth1.

Palo Alto Networks

Campo
Descripcin
Pestaa Eth2
Esta pestaa solo se aplica al dispositivo M-Series, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth2 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth2).
Eth2
Seleccione la casilla de verificacin para habilitar esta interfaz.
Velocidad y dplex

Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 a Eth2.
Mscara de red
Si ha asignado una direccin IPv4 a Eth2, introduzca una mscara de

red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada

Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth2. Para indicar la
mscara de red, introduzca una longitud de prefijo para IPv6 (por
ejemplo 2001:400:f00::1/64).

predeterminada

MTU

Ping
Seleccione la casilla de verificacin si desea activar el ping en la

interfaz Eth2.

Pestaa Discos
Haga clic en Aadir para seleccionar el par de discos de RAID 1 que utilizar el recopilador para
almacenar los logs. Puede aadir los pares de discos adicionales que necesite para ampliar la
capacidad de almacenamiento. Para que un par de discos est disponible para el recopilador de logs,
seleccione la casilla de verificacin. Para que estn disponibles todos los pares de discos, seleccione la
casilla de verificacin Habilitar par de discos.
Por defecto, M-Series est equipado con el primer par de RAID 1 activado e instalado en las bahas
A1/A2. Para aumentar la capacidad de almacenamiento, puede aadir hasta tres pares de RAID 1
ms en las bahas B1/B2, C1/C2 y D1/D2. En el software, el par RAID 1 de las bahas A1/A2 se
denomina Par de discos A.
Tras habilitar los nuevos pares de discos, el recopilador de logs redistribuye los logs existentes por
todos los discos, lo que puede tardar varias horas por cada terabyte de logs. Durante el proceso de
redistribucin, se reduce la tasa mxima de logs. En la pgina Panorama > Recopiladores
gestionados, la columna Estado de redistribucin indica el estado del proceso.
Palo Alto Networks
Instalacin de una actualizacin de software en un recopilador de logs
Despus de aadir recopiladores de logs, puede hacer clic en el enlace Estadsticas para que se
abra la ventana Estadsticas del recopilador en cada recopilador, que muestra la informacin
del disco, cifras de rendimiento de la CPU y velocidad media de logs (logs/segundo). Para
entender mejor el intervalo de logs que est revisando, tambin puede ver informacin en el
log ms antiguo que ha recibido el recopilador.
Instalacin de una actualizacin de software en un recopilador

de logs
Para instalar una imagen de software en el recopilador de logs (un dispositivo M-Series en el
modo recopilador de logs), descargue o cargue la imagen en Panorama (consulte Gestin de
actualizaciones de dispositivos y licencias), haga clic en Instalar en la pgina Panorama >
Recopiladores gestionados y rellene la siguiente informacin:
Tabla 245 Actualizacin de software en un recopilador de logs

Campo
Descripcin
Archivo
Seleccione un archivo de imagen de software. Debe haber descargado

o cargado el archivo mediante la pgina Panorama >
Implementacin de dispositivo > Software.
Dispositivos
Seleccione los recopiladores de logs a los que quiere aplicar la imagen.
Cargar nicamente en el
dispositivo (no instalar)
Seleccione esta opcin si quiere actualizar la imagen en el recopilador

de logs, pero no quiere reiniciar en estos momentos.
No se instalar la imagen de software hasta que no se reinicie.
Reiniciar dispositivo tras

instalar
Seleccione esta opcin si quiere cargar e instalar la imagen de

software. El proceso de instalacin provoca un reinicio.
Definicin de grupos de recopiladores de logs

Panorama > Grupos de recopiladores
En los grupos de recopiladores, puede asignar cortafuegos gestionados a los recopiladores de
logs. Despus de establecer los recopiladores de logs y configurar los cortafuegos, PAN-OS
enva los logs de cortafuegos a los recopiladores de logs. En ese momento, Panorama consulta
a los recopiladores de logs para obtener una visualizacin o investigacin agregada.
Para configurar grupos de recopiladores de logs, haga clic en Aadir y especifique los
siguientes parmetros:
Tabla 246. Configuracin de Grupos de recopiladores

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar este recopilador de logs

(de hasta 31 caracteres). El nombre hace distincin entre maysculas
y minsculas y debe ser exclusivo. Utilice nicamente letras,
Palo Alto Networks
Tabla 246. Configuracin de Grupos de recopiladores (Continuacin)

Campo
Descripcin
Indica la cuota de almacenamiento actual para recopiladores de logs

que recibe el grupo de recopiladores.
Al hacer clic en el texto de capacidad, se abre el cuadro de dilogo
Configuracin de almacenamiento de log, donde puede definir la
cuota y el periodo de vencimiento (Das mx.) para cada tipo de log,
tipo de resumen de log y capturas de paquetes de amenazas
extendidas. Para obtener informacin sobre cuotas y periodos de
vencimiento, consulte Configuracin de log e informes en
Definicin de la configuracin de gestin.
Tambin puede hacer clic en Restablecer valores predeterminados
para utilizar la configuracin predefinida.
Mn. de perodo de retencin

(das)
Especifique el periodo de retencin de logs mnimo (1-2000 das) que

Panorama mantiene en todos los recopiladores de logs antes de
generar una alerta. Panorama genera una infraccin de alerta en
forma de log de sistema si la fecha actual menos la fecha del log ms
antiguo es inferior al periodo mnimo definido de retencin.
Habilitar recopiladores en
todas las redundancias de
logs
Si selecciona esta casilla de verificacin, habr dos copias de cada log

en el grupo de recopiladores y cada copia residir en un recopilador
de logs distinto. Esta redundancia garantiza que si cualquiera de los
recopiladores de logs deja de estar disponible, no se pierden los logs:
puede ver todos los logs reenviados al grupo de recopiladores y
ejecutar informes para todos los datos de logs. La redundancia de
logs est disponible solo si el grupo de recopiladores tiene varios
recopiladores de logs y cada recopilador de logs tiene el mismo
nmero de discos.
Tras habilitar la redundancia, Panorama redistribuye los logs
existentes por todos los recopiladores de logs, lo que puede tardar
varias horas por cada terabyte de logs. Durante el proceso de
redistribucin, se reduce la tasa mxima de logs. En la pgina
Panorama > Grupos de recopiladores, la columna Estado de
redistribucin indica el estado del proceso. Todos los recopiladores
de logs de cualquier grupo de recopiladores particular deben estar en
la misma plataforma (todos los dispositivos M-100o todos los
dispositivos M-500).
Nota: Al habilitar la redundancia se crean ms logs, por lo que esta
configuracin requiere ms capacidad de almacenamiento. Si un grupo de
recopiladores se queda sin espacio, elimina logs antiguos. Al habilitar la
redundancia se dobla el trfico de procesamiento de logs en un grupo de
recopiladores, que reduce su tasa de logs mxima a la mitad, ya que cada
recopilador de logs debe distribuir una copia de cada log que reciba.
Palo Alto Networks

Campo
Descripcin
Indica la cuota de almacenamiento actual para recopiladores de logs

que recibe el grupo de recopiladores.
Al hacer clic en el texto de capacidad, se abre el cuadro de dilogo
Configuracin de almacenamiento de log, donde puede definir la
cuota y el periodo de vencimiento (Das mx.) para cada tipo de log,
tipo de resumen de log y capturas de paquetes de amenazas
extendidas. Para obtener informacin sobre cuotas y periodos de
vencimiento, consulte Configuracin de log e informes en
Definicin de la configuracin de gestin.
Tambin puede hacer clic en Restablecer valores predeterminados
para utilizar la configuracin predefinida.
Mn. de perodo de retencin

(das)
Especifique el periodo de retencin de logs mnimo (1-2000 das) que

Panorama mantiene en todos los recopiladores de logs antes de
generar una alerta. Panorama genera una infraccin de alerta en
forma de log de sistema si la fecha actual menos la fecha del log ms
antiguo es inferior al periodo mnimo definido de retencin.
Habilitar recopiladores en
todas las redundancias de
logs
Si selecciona esta casilla de verificacin, habr dos copias de cada log

en el grupo de recopiladores y cada copia residir en un recopilador
de logs distinto. Esta redundancia garantiza que si cualquiera de los
recopiladores de logs deja de estar disponible, no se pierden los logs:
puede ver todos los logs reenviados al grupo de recopiladores y
ejecutar informes para todos los datos de logs. La redundancia de
logs est disponible solo si el grupo de recopiladores tiene varios
recopiladores de logs y cada recopilador de logs tiene el mismo
nmero de discos.
Tras habilitar la redundancia, Panorama redistribuye los logs
existentes por todos los recopiladores de logs, lo que puede tardar
varias horas por cada terabyte de logs. Durante el proceso de
redistribucin, se reduce la tasa mxima de logs. En la pgina
Panorama > Grupos de recopiladores, la columna Estado de
redistribucin indica el estado del proceso. Todos los recopiladores
de logs de cualquier grupo de recopiladores particular deben estar en
la misma plataforma (todos los dispositivos M-100o todos los
dispositivos M-500).
Nota: Al habilitar la redundancia se crean ms logs, por lo que esta
configuracin requiere ms capacidad de almacenamiento. Si un grupo de
recopiladores se queda sin espacio, elimina logs antiguos. Al habilitar la
redundancia se dobla el trfico de procesamiento de logs en un grupo de
recopiladores, que reduce su tasa de logs mxima a la mitad, ya que cada
recopilador de logs debe distribuir una copia de cada log que reciba.
Palo Alto Networks

Campo
Descripcin
Pestaa Supervisin
SNMP
La opcin SNMP le permite recopilar informacin sobre los

recopiladores de logs, incluido: estado de conexin, estadsticas sobre
unidades de disco, versin de software, valores medios de CPU,
media logs/segundo y duracin de almacenamiento por tipo de base
de datos (p. ej. minutos, horas, das y semanas). La informacin de
SNMP est disponible en cada grupo de recopiladores.
Especifique los ajustes SNMP:
Ubicacin: Especifique la ubicacin del dispositivo recopilador de
logs.
Contacto: Especifique un contacto de correo electrnico para este
recopilador.
Acceder a ajuste: Especifique la versin de SNMP que se utilizar para
comunicarse con el servidor de gestin de Panorama (V2c o V3).
Si selecciona V3, debe especificar los siguientes ajustes:
Vistas: Haga clic en Aadir y configure los siguientes ajustes:
Ver: Especifique un nombre para una vista.
OID: Especifique el identificador de objeto (OID).
Opcin: (incluir o excluir) Seleccione si el OID debe

incluirse en la vista o excluirse de ella.
Mscara: Especifique un valor de mscara para un filtro

del OID en formato hexadecimal (por ejemplo, 0xf0).
Usuarios: Haga clic en Aadir y configure los siguientes ajustes:
Usuarios: Especifique un nombre de usuario que se

utilizar como autenticacin entre el recopilador de logs y
el servidor de gestin SNMP.
Ver: Especifique el grupo de vistas del usuario.
Authpwd: Especifique la contrasea de autenticacin del

usuario (8 caracteres como mnimo). nicamente se
admite el algoritmo de hash seguro (SHA).
Privpwd: Especifique la contrasea de cifrado del usuario

(8 caracteres como mnimo). nicamente se admite el
estndar de cifrado avanzado (AES).
Comunidad SNMP: Especifique la cadena de comunidad SNMP

que utilizar su entorno de gestin SNMP. SNMPv2c nicamente
(la opcin predefinida es pblica).
Palo Alto Networks

Campo
Descripcin
Pestaa Reenvo de logs del

dispositivo
Miembros de grupo de
recopiladores
Haga clic en Aadir y, en el men desplegable, seleccione el

recopilador de logs (hasta un mximo de ocho) que formar parte de
este grupo. La lista desplegable mostrar todos los recopiladores
disponibles en la pgina Panorama > Recopiladores gestionados.
Tras aadir recopiladores de logs a un grupo de recopiladores
existente, Panorama redistribuye los logs existentes por todos los
recopiladores de logs, lo que puede tardar varias horas por cada
terabyte de logs. Durante el proceso de redistribucin, se reduce la
tasa mxima de logs. En la pgina Panorama > Grupos de
recopiladores, la columna Estado de redistribucin indica el estado
del proceso. Todos los recopiladores de logs de cualquier grupo de
recopiladores particular deben estar en la misma plataforma (todos
los dispositivos M-100o todos los dispositivos M-500).
Dispositivos
Debe aadir miembros al grupo de recopiladores antes de aadir

cortafuegos al grupo de recopiladores.
Para aadir cortafuegos, haga clic en Aadir, haga clic en Modificar
en la lista Dispositivos, seleccione los cortafuegos gestionados y haga
clic en ACEPTAR. Para asignar cortafuegos a recopiladores de logs
para reenvo de logs, haga clic en Aadir en la lista Recopiladores y
seleccione los recopiladores de logs. El primer recopilador de logs
que especifique ser el recopilador de logs principal de los
cortafuegos. Si el recopilador principal falla, los cortafuegos enviarn
los logs al recopilador secundario. Si el secundario falla, los
cortafuegos enviarn los logs al recopilador terciario, y as
sucesivamente. Para cambiar el orden, seleccione un recopilador de
logs y haga clic en Mover hacia arriba o Mover hacia abajo. Una vez
asignados todos los recopiladores de logs en el orden deseado, haga
clic en ACEPTAR.
Pestaa Reenvo de logs del recopilador

Sistema
Configurar
Coincidencias HIP
Trfico
Amenaza
WildFire
En todos los cortafuegos que envan logs a este grupo de

recopiladores, seleccione los logs y eventos que desea agregar segn
gravedad y envelos a los servidores de trap SNMP, correo
electrnico y Syslog.
Si no ha configurado an perfiles de servidor para los destinos,
consulte Configuracin de destinos de traps SNMP,
Configuracin de servidores Syslog y Configuracin de ajustes de
Correlacin
Palo Alto Networks
Generacin de informes de actividad de usuario

Supervisar > Informes en PDF > Informe de actividad del usuario
El informe de actividad de usuario de Panorama resume la actividad del usuario en todos los
cortafuegos gestionados. Se basa en los datos del cortafuegos que se han enviado a Panorama.
Consulte Gestin de informes de actividad del usuario/grupo para obtener informacin
general sobre cmo crear informes de actividad de usuario.
Gestin de actualizaciones de dispositivos y licencias

Panorama > Implementacin de dispositivo
Las pginas Implementacin de dispositivo muestran la informacin de implementacin
actual para los cortafuegos gestionados. Tambin le permite gestionar las actualizaciones de
contenido y software, gestionar licencias y programar actualizaciones en los cortafuegos
gestionados y recopiladores de logs.
Tabla 247. Pestaas de Implementacin de dispositivo de Panorama

Pgina
Descripcin
Implementacin de
dispositivo > Software
Muestra las actualizaciones de software disponibles para la instalacin en

cortafuegos y recopiladores de logs gestionados.
Implementacin de
dispositivo > Cliente
VPN SSL
Muestra las actualizaciones del software del cliente VPN SSL disponibles
para la instalacin en los cortafuegos gestionados.
Implementacin de
dispositivo > Cliente de
GlobalProtect
Muestra las actualizaciones del software del cliente GlobalProtect

disponibles para la instalacin en los cortafuegos gestionados.
Implementacin de
dispositivo >
Actualizaciones
dinmicas
Muestra las actualizaciones de contenido dinmico disponibles para la

implementacin en cortafuegos y recopiladores de logs gestionados.
Palo Alto Networks publica peridicamente actualizaciones con
definiciones de amenazas y aplicaciones nuevas o revisadas, firmas de
antivirus, categoras de filtrado de URL, datos de GlobalProtect y firmas
de WildFire. Para recibir las actualizaciones, se necesitan las
suscripciones correspondientes.
Para automatizar el proceso de descarga e instalacin de actualizaciones
dinmicas, consulte Programacin de actualizaciones dinmicas.
Palo Alto Networks
Tabla 247. Pestaas de Implementacin de dispositivo de Panorama (Continuacin)

Pgina
Descripcin
Muestra el estado de cada cortafuegos gestionado y el de su licencia
actual. Cada entrada indica si la licencia est activa (icono
)o
inactiva (icono
), junto con la fecha de vencimiento de las licencias
activas.
Realice cualquiera de las siguientes acciones en esta pgina:
Implementacin de
dispositivo > Licencias
Haga clic en Actualizar para actualizar la lista manualmente. Panorama

realiza un registro diario en el servidor de licencias y los cambios de
licencias obtenidos (renovaciones o deshabilitaciones) y los enva a los
cortafuegos y recopiladores de logs gestionados.
Haga clic en Activar para activar una licencia. Seleccione los
cortafuegos gestionados para su activacin e introduzca el cdigo de
autenticacin que Palo Alto Networks proporcion para ellos.
Haga clic en Deshabilitar VM para deshabilitar todas las licencias y
suscripcin/derechos instalados en un cortafuegos VM-Series.
Seleccione los cortafuegos VM-Series desde los que se desactivarn
licencias; los cortafuegos que ejecuten versiones anteriores a PAN-OS
7.0 no se muestran.
Haga clic en Continuar para deshabilitar las licencias y registrar
automticamente los cambios con el servidor de licencias. Las
licencias se devuelven a su cuenta y estn disponibles para volver a
utilizarlas.
Haga clic en Completar manualmente para generar un archivo de
token. Use esta opcin si Panorama no tiene acceso directo a Internet.
Para completar el proceso de deshabilitacin, debe iniciar sesin en el
portal de asistencia y cargar el archivo de token que se ha generado.
Al completar el proceso de deshabilitacin, las licencias se devuelven
a su cuenta y estn disponibles para volver a utilizarlas.
Realice cualquiera de las siguientes acciones en las pginas Software, SSL VPN, Cliente de
GlobalProtect o Actualizaciones dinmicas:
Haga clic en Comprobar ahora para ver la informacin ms reciente sobre las
actualizaciones de Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios de una versin (no
disponible para software cargado).
Haga clic en Descargar para descargar una nueva versin desde el servidor de
actualizaciones de Palo Alto Networks. Cuando se complete la descarga, la columna
Disponible mostrar Descargado. Los pasos para instalar o activar la actualizacin
dependen del tipo:
Software PAN-OS: Haga clic en Instalar en la columna Accin y seleccione los
cortafuegos. Si selecciona la casilla de verificacin Reiniciar dispositivo tras instalar,
los cortafuegos se reiniciarn durante la instalacin. La instalacin no puede finalizar
hasta que se reinicien los cortafuegos.
Software Cliente SSL VPN o Cliente de GlobalProtect: Haga clic en Activar en la
columna Accin y seleccione los cortafuegos.
Actualizaciones dinmicas: Haga clic en Instalar en la columna Accin y seleccione los
cortafuegos.
Palo Alto Networks
Haga clic en Cargar para cargar una actualizacin en Panorama desde otro ordenador.
Debe haber descargado ya la actualizacin en dicho ordenador desde el sitio de
actualizacin de software. Cuando se complete la carga, la columna Disponible mostrar
Cargado. Los pasos para instalar o activar la actualizacin dependen del tipo:
Software PAN-OS: Haga clic en Instalar en la columna Accin y seleccione los
cortafuegos. Si selecciona la casilla de verificacin Reiniciar dispositivo tras instalar,
el cortafuegos se reiniciarn durante la instalacin. La instalacin no puede finalizar
hasta que se reinicie el dispositivo.
Software Cliente SSL VPN o Cliente de GlobalProtect: Haga clic en Activar desde
archivo, seleccione el Nombre de archivo que acaba de cargar y seleccione los
cortafuegos.
Actualizaciones dinmicas: Haga clic en Instalar desde archivo, seleccione el Tipo de
contenido, seleccione el Nombre de archivo que acaba de cargar y seleccione los
cortafuegos.
Haga clic en el icono Eliminar
para eliminar una versin antigua que haya descargado
o cargado.

Panorama > Implementacin de dispositivo > Actualizaciones dinmicas
Haga clic en el enlace Programaciones para programar actualizaciones automticas para los
cortafuegos y recopiladores de logs gestionados. Especifique la frecuencia y la hora de las
actualizaciones y si desea descargar e instalar la actualizacin o solo descargar las
actualizaciones.
Palo Alto Networks
Para crear una programacin, haga clic en Aadir y especifique la siguiente informacin:
Tabla 248.
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el trabajo programado (de

hasta 31 caracteres). El nombre hace distincin entre maysculas y
nmeros, guiones y guiones bajos.
Disabled (Deshabilitada)
Seleccione la casilla de verificacin para desactivar el trabajo

programado.
Tipo
Seleccione el tipo de actualizacin dinmica que desea programar

(aplicacin y amenaza, antivirus, WildFire, base de datos de URL).
Accin
nicamente descargar: La actualizacin programada se ha

descargado en los recopiladores de logs/cortafuegos seleccionados.
Despus, cuando lo desee, puede instalar la actualizacin
descargada haciendo clic en el enlace Instalar en la columna Accin
de la pgina Actualizaciones dinmicas.
Descargar e instalar: La actualizacin programada se descarga e
instala; comienza el reinicio en cada recopilador de logs/
cortafuegos para completar la instalacin.
Periodicidad
Seleccione el intervalo en el que Panorama comprueba el servidor

de actualizaciones. Las opciones de periodicidad varan segn el
tipo de actualizacin.
Hora
Para realizar una actualizacin diaria, seleccione la hora en el reloj

de 24 horas.
Para realizar una actualizacin semanal, seleccione el da de la
semana y la hora del reloj de 24 horas.
Dispositivos vlidos
Utilice los filtros para seleccionar los recopiladores de logs/cortafuegos

en los que desea programar las actualizaciones dinmicas.
Programacin de exportaciones de configuracin

Panorama > Exportacin de configuracin programada
Panorama guarda una copia de seguridad de las configuraciones que se ejecutan de todos los
cortafuegos gestionados, adems de su propia configuracin. Utilice la pgina Exportacin de
configuracin programada para recopilar las configuraciones ejecutadas desde Panorama y
todos los cortafuegos gestionados, organcelas en un archivo gzip y programe el paquete para
su envo diario a un servidor FTP o SCP (Secure Copy) para transferir los datos de forma
segura a un host remoto. Los archivos tienen formato XML y los nombres de archivo se basan
en los nmeros de serie de los cortafuegos.
Si Panorama tiene una configuracin de alta disponibilidad (HA), debe programar estas
exportaciones de configuracin en cada peer para asegurarse de que las exportaciones
continan tras una conmutacin por error. Panorama no sincroniza exportaciones de
configuracin programadas entre peers de HA.
Palo Alto Networks
Tabla 249.
Programacin de configuracin de exportacin de lotes
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el trabajo de configuracin

de exportacin de lote (de hasta 31 caracteres). El nombre hace
distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, guiones y guiones bajos.
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el trabajo de

exportacin.
Tipo de log
Seleccione el tipo de log que desea exportar (trfico, amenaza, URL,

datos, coincidencia HIP).
Hora de inicio de exportacin

programada (a diario)
Especifique la hora del da a la que se iniciar la exportacin (reloj

de 24 horas, formato HH:MM).
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde

el cortafuegos a un host remoto. Puede utilizar SCP para exportar
logs de manera segura o puede utilizar FTP, que no es un protocolo
seguro.
Nombre de host
Introduzca la direccin IP o el nombre de host del servidor FTP.
Puerto
Introduzca el nmero de puerto en el servidor de destino.
Ruta
Especifique la ruta a la carpeta o directorio del servidor FTP o SCP

en el que se guardar la informacin exportada.
Si el paquete de configuracin se almacena en una carpeta llamada
exported_config de mximo nivel en Panorama:
La sintaxis para la ruta del servidor SCP es: /Panorama/
exported_config
La sintaxis para la ruta del servidor FTP es: //Panorama/
exported_config
Habilitar modo pasivo de FTP
Seleccione la casilla de verificacin para utilizar el modo pasivo de

FTP.
Nombre de usuario
Especifique el nombre de usuario en el sistema de destino.
Contrasea
Especifique la contrasea de usuario en el sistema de destino.
Confirmar contrasea
Conexin de servidor SCP de
prueba
Haga clic en este botn para probar la comunicacin entre

Panorama y el host/servidor SCP.
Para activar la transferencia segura de los datos, debe verificar y
aceptar la clave de host del servidor SCP. La conexin no se
establece hasta que acepte la clave de host. Si Panorama tiene una
configuracin de HA, debe realizar esta verificacin en cada peer de
HA para que cada uno acepte la clave de host del servidor SCP.
Palo Alto Networks
Actualizacin del software de Panorama

Panorama > Software
Al actualizar a una nueva versin de software de Panorama, puede usar la pgina
Panorama > Software para ver las versiones ms recientes disponibles desde
Palo Alto Networks, leer las notas de la versin asociadas y seleccionar una versin para
descargarla e instalarla (se requiere una licencia de asistencia). Si Panorama no tiene acceso a
la red externa, puede cargar la imagen de la versin desde otro ordenador.
Si actualiza el dispositivo virtual de Panorama a una versin de 64 bits de Panorama (5.1 o
posterior), consulte en las notas de la versin las recomendaciones sobre los requisitos
mnimos del sistema y las instrucciones sobre la modificacin de configuracin de mquinas
virtuales tras la actualizacin.
De manera predeterminada, el servidor de gestin de Panorama guarda hasta cinco
versiones del software. Para dejar espacio libre para las versiones nuevas, el
servidor elimina automticamente la versin ms antigua. Puede cambiar el
nmero de imgenes de software que Panorama guarda y eliminar imgenes
manualmente para liberar espacio.
Para actualizar a una nueva versin:
1.
Realice uno de estos pasos para ver las versiones ms recientes del software disponibles
en Palo Alto Networks:
Si Panorama tiene acceso a la red externa: en la pgina Panorama > Software haga clic
en Comprobar ahora.
Si Panorama no tiene acceso a la red externa: en un ordenador que tenga acceso a la
red externa, use un navegador para visitar la pgina de actualizacin de software.
2.
Realice uno de los siguientes pasos para acceder a las notas de la versin para la versin
de software deseada y revise los cambios de la versin, correcciones, problemas
conocidos, problemas de compatibilidad y cambios en el comportamiento
predeterminado:
Si Panorama tiene acceso a la red externa: En la pgina Panorama > Software, haga
clic en el enlace Notas de versin de la versin.
Si Panorama no tiene acceso a la red externa: en el sitio de actualizacin de software,
haga clic en el enlace de la columna Notas de la versin de la versin deseada.
3.
Realice uno de los siguientes pasos para importar la imagen de software en Panorama:
Si Panorama tiene acceso a la red externa: en la pgina Panorama > Software, haga clic
en Descargar en la columna Accin de la versin deseada. Cuando se complete la
descarga, la columna Disponible mostrar Descargado.
Si Panorama no tiene acceso a la red externa:
i. En el sitio de actualizacin de software, haga clic en el enlace de la columna

Descargar para la versin deseada; a continuacin, descargue la imagen de
software en el ordenador al que tiene acceso Panorama.
ii. En la pgina Panorama > Software, haga clic en el botn Cargar, busque la imagen
de software y haga clic en ACEPTAR. Cuando se complete la carga, la columna
Disponible mostrar Cargado.
Palo Alto Networks
4.
En la pgina Panorama > Software, haga clic en Instalar en la columna Accin para la
versin que acaba de descargar o cargar. Cuando se haya completado la instalacin, su
sesin se cerrar mientras se reinicia el sistema Panorama.
Panorama ejecuta peridicamente una comprobacin de integridad del sistema de
archivos (FSCK) para evitar daos en el sistema de archivos de Panorama. Esta
comprobacin se realiza cada ocho reinicios o tras un reinicio 90 das despus de la
ltima vez que Panorama ejecut la comprobacin de integridad del sistema de
archivos (FSCK). Si Panorama ejecuta una comprobacin FSCK, ver una
advertencia en la interfaz web y pantallas de inicio de sesin de SSH que indica que
se est ejecutando una comprobacin FSCK y no podr iniciar sesin hasta que se
complete. El tiempo necesario para completar el proceso depende del tamao del
sistema de almacenamiento; dependiendo del tamao, puede tardar varias horas en
poder iniciar sesin en Panorama. Para ver el progreso, configure el acceso de
consola a Panorama.
Para eliminar la imagen de software de una versin antigua de Panorama, haga clic en
versin en la pgina Panorama > Software.
esa
Registro del cortafuegos VM-Series como servicio en el

administrador NSX
Panorama > Administrador de servicios VMware
Para automatizar el abastecimiento del cortafuegos VM-Series, utilice la configuracin de esta
seccin, que le permite habilitar la comunicacin entre el administrador NSX y Panorama.
Cuando Panorama registre el cortafuegos VM-Series como servicio en el administrador NSX,
el administrador NSX pasar a tener la configuracin necesaria para abastecer a los nuevos
cortafuegos VM-Series en todos los hosts ESX(i) del clster.
Si utiliza grupos de direcciones dinmicas, esta funcin le permite asegurar la red virtual con
una carga administrativa mnima. Conforme se abastecen las nuevas mquinas virtuales o se
modifican las mquinas existentes, los cambios en la red virtual se aplican automticamente
en forma de actualizaciones en Panorama y, a continuacin, se propagan desde Panorama a
los cortafuegos gestionados. Todas las reglas de polticas que hacen referencia a estos objetos
(mediante grupos de direcciones dinmicas) se actualizan para reflejar los cambios en el
entorno virtual, algo que garantiza que todas las polticas de seguridad se aplican
uniformemente a todos los recursos de la red.
Palo Alto Networks
Tabla 250.
Configuracin del administrador de servicios VMware
Campo
Descripcin
Nombre de administrador de
servicios
Introduzca un nombre para identificar el cortafuegos VM-Series

como servicio. Este nombre se muestra en el administrador NSX y se
utiliza para implementar el cortafuegos VM-Series segn demanda.
Admite hasta 63 caracteres; utilice solo letras, nmeros, guiones y
guiones bajos.
Descripcin
(optativo) Introduzca una etiqueta para describir el objetivo o

funcin de este servicio.
URL de administrador NSX
Especifique la URL que puede utilizar Panorama para establecer

una conexin con el administrador NSX.
Inicio de sesin de
administrador NSX
Introduzca las credenciales de autenticacin (nombre de usuario y

contrasea) configuradas en el administrador NSX. Panorama
utiliza estas credenciales para autenticarse y establecer la
comunicacin con el administrador NSX.
Contrasea de administrador
NSX
Confirmar contrasea de
administrador NSX
URL de OVF de VM-Series
Introduzca la URL (direccin IP o nombre de host y ruta) donde el

administrador NSX puede acceder al archivo (.ovf) para abastecer a
los nuevos cortafuegos VM-Series.
Cdigo de autorizacin
Al adquirir el cortafuegos VM-Series, recibi un correo electrnico

de ejecucin de pedido. Introduzca el cdigo de autorizacin
proporcionado en el correo electrnico de ejecucin de pedido.
Plantilla
(Optativo) Seleccione la plantilla o pila de plantillas a la que se

asignarn estos cortafuegos de la VM-Series. Para obtener ms
informacin, consulte Gestin de plantillas y pilas de plantillas.
Seleccione el grupo de dispositivos al que se asignarn estos

cortafuegos VM-Series. Para obtener ms informacin, consulte
Definicin de grupos de dispositivos.
Notificar grupos de
dispositivos
Seleccione los grupos de dispositivos a los que se debe notificar si se

producen adiciones o modificaciones en las mquinas virtuales
implementadas en la red. Cuando se configura, Panorama
cumplimenta y actualiza los cambios en las direcciones IP registradas
en los cortafuegos de los grupos de dispositivos especificados.
Este proceso de notificacin crea visibilidad de contexto y mantiene
la seguridad de la aplicacin en la red. Si, por ejemplo, tiene un
grupo de cortafuegos de permetro basados en hardware que
necesitan ser notificados cuando se implementa una nueva
aplicacin o servidor web, este proceso inicia una actualizacin
automtica de los grupos de direcciones dinmicas para el grupo de
dispositivos especificado. Y todas las reglas de polticas que hacen
referencia al objeto de direccin dinmica ahora incluyen
automticamente cualquier aplicacin o servidores web
recientemente modificados o implementados y se puede habilitar
con seguridad basndose en sus criterios.
Palo Alto Networks
Tabla 250.
Configuracin del administrador de servicios VMware (Continuacin)
Campo
Descripcin
Estado
Muestra el estado de conexin entre Panorama y el administrador

NSX. Cuando la conexin es correcta, el estado se muestra como:
Registrado: Panorama y el administrador NSX estn sincronizados y el cortafuegos VM-Series est registrado como servicio en
el administrador NSX.
Los mensajes de estados de error son:
No conectado: No se ha podido alcanzar/establecer una conexin
de red con el administrador NSX.
No autorizado: Las credenciales de acceso (nombre de usuario y/
o contrasea) son incorrectas.
No registrado: El servicio, administrador del servicio o perfil del
servicio no est disponible o se ha eliminado en el administrador
NSX.
Sin sincronizacin: Los ajustes de configuracin definidos en
panorama son distintos a lo que se ha definido en el administrador NSX.
Sin servicio/Sin perfil de servicio: Indica una configuracin
incompleta en el administrador NSX.
ltima actualizacin
dinmica
Muestra la fecha y la hora en las que Panorama recuper la

informacin de grupo de direccin dinmica del administrador NSX.
Actualizacin de informacin del administrador de servicios VMware

Las siguientes acciones se pueden realizar en Panorama:
Sincronizar objetos dinmicos: inicia una actualizacin de la informacin de objeto

dinmico desde el administrador NSX. La sincronizacin de objetos dinmicos le permite
mantener el contexto en los cambios del entorno virtualizado y activar aplicaciones de
forma segura, ya que actualiza de forma automtica las referencias al objeto en la poltica.
Nota: En Panorama, solo puede ver las direcciones IP que estn registradas dinmicamente desde el administrador
NSX. Panorama no muestra las direcciones IP dinmicas registradas directamente en los cortafuegos. Si est
usando la funcin de monitorizacin de mquinas virtuales o usando la API XML para registrar las direcciones IP
dinmicamente en los cortafuegos, debe registrarse en cada cortafuegos para ver la lista completa de direcciones
dinmicas que se envan desde Panorama y que se registran localmente en el cortafuegos.
Eliminar Administrador de servicios VMware: elimina la configuracin de acceso al

gestor NSX y de establecimiento de la comunicacin entre Panorama y el gestor NSX.
Palo Alto Networks
Palo Alto Networks
Apndice A
COMPATIBILIDAD CON LOS ESTNDARES
FEDERALES DE PROCESAMIENTO DE LA
INFORMACIN/CRITERIOS COMUNES
Puede configurar el cortafuegos para que admita los criterios comunes y los estndares
federales de procesamiento de la informacin 140-2 (FIPS 140-2), ambos certificados de
seguridad que garantizan un conjunto estndar de garantas y funciones de seguridad. Estos
certificados suelen solicitarlos las agencias civiles del gobierno de EE. UU. y contratistas
gubernamentales.
Activacin del modo CC/FIPS

Utilice el siguiente procedimiento para activar el modo CC/FIPS en una versin de software
que admita CC/FIPS. Tenga en cuenta que, cuando activa CC/FIPS, el dispositivo
restablecer la configuracin predeterminada de fbrica; se eliminar toda la configuracin.
1.
Inicie el cortafuegos en modo de mantenimiento de la siguiente forma:
a. Establezca una conexin de serie con el puerto de la consola del cortafuegos.

b. Introduzca el siguiente comando de la CLI:
debug system maintenance-mode
Nota: Tambin puede reiniciar el cortafuegos y escribir maint en el mensaje del modo
de mantenimiento.
c. El cortafuegos se reiniciar en el modo de mantenimiento. Pulse Intro para continuar.

2.
Seleccione Set CCEAL4 Mode en el men para establecer el modo CCEAL4.
3.
Seleccione Enable CCEAL4 Mode en el men para activar el modo CCEAL4.
4.
Cuando se le solicite, seleccione Reboot para reiniciar.

Despus de que se realice el cambio al modo CC/FIPS correctamente, aparece el siguiente
estado: CCEAL4 mode enabled successfully. (El modo CCEAL4 se ha
activado correctamente.) Adems, CC aparecer siempre en la barra de estado de
la parte inferior de la interfaz web. Adems, el puerto de la consola solo estar ahora
disponible como puerto de salida de estado. Adems, las credenciales predeterminadas
de inicio de sesin del administrador cambiarn a admin/paloalto.
Palo Alto Networks
Funciones de seguridad de CC/FIPS
Funciones de seguridad de CC/FIPS

Cuando CC/FIPS est habilitado, se aplica lo siguiente:
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Las cuentas se bloquean despus del nmero de intentos fallidos configurado en la
pgina Dispositivo > Configuracin > Administracin. Si el cortafuegos no est en
modo CC/FIPS, se puede configurar de forma que no se bloquee nunca; incluso en
modo CC/FIPS y aunque se requiera un tiempo de bloqueo.
El cortafuegos determina automticamente el nivel adecuado de prueba automtica y

aplica el nivel de potencia apropiado en algoritmos de cifrado y conjuntos de cifrado.
Los algoritmos aprobados sin CC/FIPS no se descifran y se ignoran durante el descifrado.

Al configurar IPSec, un subconjunto de los conjuntos de cifrado disponibles
habitualmente est disponible.
Los certificados generados automticamente e importados deben contener claves pblicas

de 2048 bits o ms.
El puerto de serie est desactivado.

Las conexiones de gestin de Telnet, TFTP y HTTP no estn disponibles.
No se admite el modo Surf.
Se requiere un cifrado de alta disponibilidad.
La autenticacin de PAP est desactivada.
Palo Alto Networks
ndice
A
actualizacin
definiciones de aplicaciones y amenazas 63
programaciones 511
software Panorama 514
software PAN-OS 62, 72, 486
actualizaciones dinmicas
acerca de 63
programacin 511
administrador
bloqueo de pgina 470, 486
funciones, definicin 67
opciones de autenticacin 67
agente
configuracin de GlobalProtect 453
Id de usuario 395
uso de GlobalProtect 453
Agente de identificacin de usuarios (User-ID)
configuracin de portal cautivo 400
Agente de User-ID
configuracin de cortafuegos 387
alarmas
configuracin de log 89
icono de alarma 89
no reconocidas 89
reconocidas 89
umbrales 220
visualizacin 89
visualizacin del icono 89
almacenamiento de candidata 28, 37
alta disponibilidad
acerca de 105
activa/activa 105
activa/pasiva 105
configuracin 105
configuracin en Panorama 473
Panorama 473
reglas de funcionamiento y conmutacin por
error 105
alta disponibilidad activa/activa 105
alta disponibilidad activa/pasiva 105
alta disponibilidad pasiva/activa 105
amenazas
actualizacin de definiciones 63, 509
API XML 3
aplicacin de grupos, definicin 317

aplicacin de polticas de excepcin 334
aplicaciones
actualizacin de definiciones
de amenazas 63, 509
bsqueda 309
caractersticas 314
categoras 314
definicin 314
definicin de filtros 317
definicin de grupos 317
detalles 310
excepciones 280
filtros 309
personalizacin con cancelacin de
aplicacin 269
subcategora 314
auditora de configuraciones 56
autenticacin
base de datos local 67
LDAP 67
opciones para el administrador 67
RADIUS 67
remota 16, 56
secuencia 83
autenticacin remota 16, 56
B
base de conocimientos 119
base de datos de usuario, VPN SSL 77
BGP
enrutadores virtuales 167, 168, 170, 171, 172,
175, 176
bloqueo de archivo
configuracin 293
definicin de perfiles 293
bloqueo de archivos
perfiles, definicin 334
bloqueo de cuenta de usuario 486
bloqueo en la pgina del administrador 470, 486
bloqueo, perfiles de archivo 293
botnets
acerca de 371
informes 371
Bsquedas seguras 292
Palo Alto Networks
ndice
C
cable virtual
definicin 122
campos obligatorios 7
captura de paquetes 365
acceso 365
captura de archivos 380, 381, 382
configuracin de ajustes de captura 380, 381,
382
configuracin de perfiles 280, 288
realizacin de capturas 380, 381, 382
caractersticas y ventajas 2
centro de comando de aplicacin (ACC), uso 346
certificados
exportacin 100
importar 100
cifrado de claves privadas y contraseas 104
clave maestra y pgina de diagnstico 104
clave privada, cifrado 104
clientes
descarga y activacin de GlobalProtect 451
infectados de botnet 371
clientes infectados de botnet 371
comodn
categoras de URL personalizadas 333
patrones para listas de permitidas y
bloqueadas 290
comparacin de configuraciones 56
compilacin
cambios 9
opciones 9
Panorama 488
configuracin activa, actualizacin 28, 37
configuracin candidata
acerca de 28, 37
almacenamiento y restablecimiento 28, 37
configuracin de dplex 126, 143, 145, 146, 148,
151, 152
configuracin de ID de contenidos 43
configuracin de notificacin de correo electrnico
definicin 94, 95
en perfiles de logs 336
configuracin de red 16, 56
configuracin del sistema 117
configuraciones, auditora 56
conmutacin por error 219
contrasea
cifrado 104
complejidad de contrasea mnima 27
perfiles 69
proteccin de datos 45
copia de seguridad de las configuraciones del
cortafuegos 479
correo electrnico
programacin de entrega de informes 378
cortafuegos
Agente de ID de usuario 387
caractersticas y ventajas 2
introduccin 1
latitud y longitud 18
cuentas
requisitos de nombre de usuario y
contrasea 70
D
definicin de las plantillas de configuracin 514
denegacin de servicio (Dos), perfiles 274
descartar aleatorio temprano 220
descodificadores y acciones 280
destinos de log
correo electrnico 94, 95
destinos de logs
syslog 93
traps SNMP 91
destinos de traps SNMP
definicin 91
direcciones
definicin de grupos 304
definicin de grupos de direcciones 304
direcciones IPv6 304
dispositivo principal 481
dispositivos
cmo aadir 476
principal 481
dominios de acceso
cortafuegos 67, 72
DoS
perfiles 274
perfiles de proteccin 274
Duplicar deteccin de direccin (DAD) 140
duplicar deteccin de direccin (DAD) 134, 156
E
edicin de ajustes en una pgina 7
enrutadores virtuales
configuracin 162, 163, 185
siguiente salto 163
estado de enlace
configuracin 126, 143, 145, 146, 148, 151, 152
visualizacin 344
etiquetas
en cables virtuales (Virtual Wire) 122
excepciones de aplicacin 280
explorador de sesin 368
exploradores compatibles 14
exploradores, compatibles 14
exportaciones
certificados 97
lote de configuracin 512
programacin de logs 84
exportaciones de logs 84
exportaciones de lote de configuracin 512
expresiones regulares, patrones de datos 325
Palo Alto Networks
ndice
filtrado de datos
configuracin de patrones 299
configuracin de perfil 298, 299, 301
logs de visualizacin 366
patrones de datos 328
perfiles 298
perfiles y patrones 299
filtrado de URL
bsquedas seguras 292
categorizacin dinmica 292
configuracin de cancelacin 44
configuracin de perfil 289
log de visualizacin 365
pgina de respuesta de continuacin y
cancelacin 118
pginas de respuesta 118
filtros
aplicacin 309, 317
subcategora 309
FIPS 519
firmas
personalizadas 329
spyware 329
vulnerabilidad 329
firmas personalizadas
acerca de 329
spyware 329
vulnerabilidad 329
funciones
administrador que define 67
hora
ajuste 16, 56
G
gestin de configuracin 28, 37
gestin de configuraciones 28, 37
GlobalProtect
configuracin de agentes 453
configuracin de puertas de enlace 429
descarga y activacin de clientes 451
pgina de respuesta 117
uso del agente 453
grupo Diffie-Hellman (DH) 414
grupos
definicin de servicios 319
dispositivo 480
grupos de direcciones, definicin 304
grupos de dispositivos
cmo aadir 480
grupos de enlaces, HA 111
grupos de perfil de seguridad, definicin 334
grupos de perfiles, definicin 334
grupos de rutas, HA 476
grupos de servicios
definicin 319
grupos de servicios, definicin 319
Palo Alto Networks
I
identificacin del peer 405
identificacin local 405
IKE
configuracin de perfiles criptogrficos 414
definicin de perfiles criptogrficos 414
modo de intercambio 408
proteccin ante fallo del peer 408
implementacin, visualizacin de la
informacin 509
informacin confidencial, proteccin 45
informacin de asistencia tcnica 119
informacin de asistencia tcnica,
visualizacin 119
informes
50 principales 378
actividad del usuario 376, 508
creacin de grupos personalizados 377
personalizados 379
programacin de entrega de correo
electrnico 378
resumen en PDF 373
visualizacin 378
informes de Appscope
informe de resumen 356
informe del mapa de amenazas 360, 363
informe del supervisor de cambios 357
informe del supervisor de red 361
visualizacin 355
informes de grupos personalizados 377
informes de resumen en PDF
creacin 375, 378
diseo 375
visualizacin 373, 375
informes personalizados 379
informes y logs
informes personalizados 379
uso del Centro de control de aplicaciones 346
uso del panel 344
visualizacin de informes 378, 379
visualizacin de informes de Appscope 355
visualizacin de resmenes en PDF 373
interfaces
visualizacin de estado 344
interfaces de tnel 410
interfaces L3
puertas de enlace compartidas 116
interfaz de gestin
CLI 3
configuracin 16, 56
opciones 3
Panorama 3
web 3
interfaz web
ndice
campos obligatorios 7
compilacin de cambios 9
exploradores compatibles 14
uso de tablas 8
intervalo de saludo, HA 475
Inundacin de ICMP 221
Inundacin de UDP 221
Inundacin SYN 220
inundaciones, configuracin de proteccin de
zonas 219, 220, 222, 223, 225, 226, 456
IPSec
configuracin de perfiles criptogrficos 415
configuracin de tneles 409
definicin de perfiles criptogrficos 415
IPv6 218
K
Kerberos
configuracin de ajustes de servidor 82
L
latitud y longitud 18
LDAP
autenticacin 67
configuracin de ajustes de servidor 80
licencias
instalacin 56
lista de bloqueadas
patrones de comodines 290
perfil de filtrado de URL 290
lista de permitidas
patrones de comodines 290
perfil de filtrado de URL 291
Listas de bloqueos dinmicos 326
log amenaza 336
log de amenazas
definicin de logs remotos 334
visualizacin 365
log de configuracin
definicin de logs remotos 85, 89, 90
visualizacin 366
log de sistema
visualizacin 366
log de trfico 336
definicin de logs remotos 334
visualizacin 365
logs 365
alarmas 89
almacenamiento en un servidor FTP 84
borrado 90
coincidencias HIP 366
configuracin de coincidencias HIP 89
configuracin de configuracin 86
definicin de logs remotos
para la configuracin 85, 89, 90
para logs de amenazas y trfico 334
gestin 90
programacin de exportaciones 84
resolucin de nombre de host 367

visualizacin 364
visualizacin del filtro de URL 365
M
MD5 170
MIB 36
modificacin de ajustes en una pgina 7
modo de intercambio 408
multicast de origen especfico (SSM) 188
N
NAT
definicin de polticas 256
ejemplos de poltica 251
NAT64 252
polticas 248
tipos 249, 255
NFS 472
almacenamiento de logs externo 472
alta disponibilidad de Panorama 475
particiones de almacenamiento 472
no fragmentar (DF) 225
nombre de dominio 17
nombre de host, definicin 16, 56
NSSA (not so stub area) 168, 173
NT LAN Manager (NTLM) 274
O
objetos
descripcin general 302
opciones de descarte, perfiles DOS 223
P
pginas de respuesta
antivirus 117
Ayuda de portal de GlobalProtect 117
bloque de aplicacin 117
bloqueo de aplicacin 117
continuacin y cancelacin de filtrado de
URL 118
definicin 117
exclusin de descifrado de SSL 118
Inicio de sesin de portal de GlobalProtect 117
opcin continua de bloqueo de archivo 117
pgina de notificacin de errores de certificado
SSL 117
portal cautivo 117
tipos 101, 117
panel
cortafuegos 344
Panorama
actualizacin de software 514
alta disponibilidad 473
bloqueo de cuenta de usuario 470, 486
cmo aadir dispositivos 476
compilacin 488
Palo Alto Networks
ndice
configuracin de direccin de IP 19
creacin de cuentas administrativas 483
funciones de administrador 482
habilitacin de acceso 19
pestaa 469
plantillas 491
plantillas, configurar 491
PAN-OS
actualizacin de software 62, 72, 486
particiones de almacenamiento 472
Panorama 472
patrones de datos
aadir nuevos 325
definicin 328
perfiles de filtrado de datos 299
reglas 325
Perfil de informacin de host (HIP)
configuracin 449
configuracin de logs de coincidencias HIP 89
configuracin de objetos 440
log de coincidencias 366
perfiles
antivirus 279
antivirus, descodificadores y acciones 280
antivirus, excepciones de aplicaciones 280
bloqueo de archivo 293, 334
configuracin de perfiles criptogrficos de
IKE 414
configuracin de perfiles criptogrficos de
IPSec 415
criptogrfico de IKE 414
criptogrfico de IPSec 415
definicin de reenvo de logs 335
filtrado de datos 298
filtrado de URL 289
gestin de interfaz 217
grupos de seguridad 334
logs 334
proteccin de vulnerabilidades 285, 289
proteccin de zona 58, 219
sobre supervisin 218
supervisor del tnel 218
Perfiles criptogrficos 414
perfiles criptogrficos 415
perfiles de antivirus
definicin 279
perfiles de autenticacin
configuracin 73
configuracin de Kerberos 82
configuracin de LDAP 80
configuracin de RADIUS 78
perfiles de gestin de interfaz 217
perfiles de proteccin de vulnerabilidades 285, 289
perfiles de seguridad
definicin 334
perfiles de supervisin 218
poltica de descifrado 336
polticas
Palo Alto Networks
acerca de 229
acerca de NAT 248
acerca del reenvo basado en polticas 260, 261
definicin de descifrado 265
definicin de NAT 256
definicin de portal cautivo 271
especificacin de usuarios y aplicaciones 233
otros objetos de las polticas 302
patrones de datos 328
QoS 458
sistemas virtuales 114
tipos 229
polticas de cancelacin de aplicacin
acerca de 269
polticas de seguridad
definicin 235
portal cautivo
configuracin del cortafuegos para 400
definicin de polticas 271
pgina de confort 117
prioridad de dispositivo, HA 475
programaciones
definicin 334, 341
proteccin ante fallo del peer 408
proteccin de datos
cambio de contrasea 45
cmo aadir 45
protocolos de enrutamiento
BGP 167, 168, 170, 171, 172, 175, 176
proxy DNS
configuracin 211
puerta de enlace
configuracin de GlobalProtect 429
puertas de enlace compartidas
configuracin 116
interfaces L3 116
puertas de enlace de IKE
configuracin 403, 404, 407
puertos HA1 y HA2 105
punto de encuentro 186
Q
QoS
clases 457, 458
configuracin 244
configuracin de prioridad 457
configuracin de salida (egress) 457
marca 244
polticas 458
R
RADIUS
autenticacin 67
definicin de la configuracin de servidor 78
reconocimiento de alarmas 89
reenvo basado en polticas (PBF)
acerca de 260, 261
ndice
definicin 260, 261

perfiles de supervisin 218
reenvo de logs
configuracin de perfil 335
regiones
acerca de 307
polticas 307
reglas
aplicacin de poltica de excepcin 334
poltica de seguridad 235
reinicio del dispositivo 16, 32, 56
reloj, ajuste 16, 56
requisitos de nombre de usuario y contrasea 70
resolucin de nombre de host 367
restablecimiento de candidata 28, 37
S
seguridad
definicin de grupos de perfiles 334
grupos de perfiles 334
servicio BrightCloud 292
servicios, definicin 318
servidor FTP, almacenamiento de logs en 84
servidores
definicin de Kerberos 82
definicin de LDAP 80
definicin de RADIUS 78
definicin de syslog 93
servidores syslog
definicin 93
siguiente salto 163
sistemas virtuales
acerca de 114
definicin 114, 115, 116
definicin de varios 115
habilitacin 18
habilitacin de varios 18
polticas 114
varios 115
zonas de seguridad 114
SNMP
cadena de comunidad 36, 91
configuracin de MIB 36
software
actualizacin 62, 72, 486, 514
actualizacin de Panorama 514
versin 344
software PAN-OS
versin 344
solicitud de asistencia tcnica 119
SPT (Shortest Path Tree) 188
SSL
definicin de polticas de descifrado 265
polticas de descifrado 334
referencias de notas tcnicas 265
subcategora
aplicacin 314
filtrado 309
supervisor de tnel
conmutacin por error 219
esperar recuperacin 219
perfiles 218
T
tablas, uso en la interfaz web 8
tiempo de espera 475
tiempo de espera de URL dinmica 43
tiempo de espera pasivo, HA 475
transferencia de estado representacional (REST) 3
Transport Layer Security (TLS) 81
tneles
configuracin 409
divisin para VPN SSL 433
tneles VPN
configuracin 409
U
umbrales de respuesta 221
umbrales, alarma 220
utilizacin de CPU 345
utilizacin de la memoria 345
utilizacin del disco 345
V
varios sistemas virtuales 18, 115
velocidad de enlace y dplex 126, 143, 145, 146,
148, 151, 152
velocidad, enlace 126, 143, 145, 146, 148, 151, 152
versin, software 344
visualizacin
explorador de sesin 368
informacin de sesin 368
logs 364
VPN
SSL, acerca de 455
VPN SSL
acerca de 455
base de datos de usuarios local 77
pgina de confort 117
tneles divididos 433
Z
zona
horaria 17
zonas
en polticas NAT 257
perfiles de proteccin 58, 219
zonas de seguridad
definicin 189
en polticas NAT 257
Palo Alto Networks

PAN OS WebInterfaceRef 70 Spanish

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

PAN OS WebInterfaceRef 70 Spanish

Загружено:

Авторское право:

Доступные форматы

Gua de referencia de interfaz web

Acerca de esta gua

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.

julio 1, 2015 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Uso de la interfaz web del cortafuegos de Palo Alto Networks . . . . . . . . . . 6

Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . . . . . . 16

Palo Alto Networks

Gua de referencia de interfaz web, versin 7.0 iii

Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Definicin de cables virtuales (Virtual Wires) . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

iv Gua de referencia de interfaz web, versin 7.0

Palo Alto Networks

Componentes comunes de interfaces de cortafuegos de la serie PA-7000 . . . .

Palo Alto Networks

Gua de referencia de interfaz web, versin 7.0 v

Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Definicin de polticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

vi Gua de referencia de interfaz web, versin 7.0

Palo Alto Networks

Acciones en perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

Palo Alto Networks

Gua de referencia de interfaz web, versin 7.0 vii

Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Visualizacin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Configuracin del cortafuegos para la identificacin de usuarios . . . . . . . . . . .

Definicin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definicin de perfiles criptogrficos de IKE . . . . . . . . . . . . . . . . . . . . . . . .

viii Gua de referencia de interfaz web, versin 7.0

Palo Alto Networks

Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

Definicin de un perfil de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Pestaa Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

Palo Alto Networks

Gua de referencia de interfaz web, versin 7.0 ix

Definicin de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 482

Registro del cortafuegos VM-Series como servicio en

Activacin del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519

x Gua de referencia de interfaz web, versin 7.0

Palo Alto Networks

Descripcin general del cortafuegos

Descripcin general del cortafuegos

Palo Alto Networks

Gua de referencia de interfaz web, versin 7.0 1

Cumplimiento de polticas basadas en aplicaciones (App-ID): El control de acceso

Identificacin de usuarios (User-ID): La identificacin de usuarios (User-ID) permite

Prevencin de amenazas: Los servicios de prevencin de amenazas que protegen la red

Visibilidad del trfico: Los extensos informes, registros y mecanismos de notificacin

Versatilidad de red y velocidad: El cortafuegos de Palo Alto Networks puede aadirse o

GlobalProtect: El software GlobalProtect protege los sistemas cliente, como

Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad (HA) ofrece una

2 Gua de referencia de interfaz web, versin 7.0

Palo Alto Networks

Elaboracin de anlisis e informes sobre software malintencionado: El servicio de

Cortafuegos de la VM-Series: Un cortafuegos de VM-Series proporciona una instancia

Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS

CLI: La configuracin y la supervisin basadas en texto se realizan a travs de Telnet,

API XML: Proporciona una interfaz basada en la transferencia de estado representacional

Palo Alto Networks

Gua de referencia de interfaz web, versin 7.0 3