Guia de Administración FW Palo Alto

Palo Alto Networks
Gua del administrador de PAN-OS

Versin 6.0
Informacin de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta gua

Esta gua ofrece los conceptos y soluciones que le ayudarn a sacar el mximo
partido de sus cortafuegos de prxima generacin de Palo Alto Networks.
Para obtener ms informacin, consulte las siguientes fuentes:
Para obtener instrucciones de principio a fin sobre cmo configurar un nuevo

cortafuegos, consulte la Palo Alto Networks Getting Started Guide (Gua de
inicio de Palo Alto Networks).
Para acceder al conjunto completo de documentacin tcnica, vaya a

http://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos y los foros de debate, vaya a

https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener

informacin sobre los programas de asistencia tcnica o gestionar su cuenta
o los dispositivos, vaya a https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de actualizaciones de
software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentacin, dirjase a:

documentation@paloaltonetworks.com
Palo Alto Networks, Inc.

www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto
Networks, Inc. Todas las dems marcas comerciales son propiedad de sus
respectivos propietarios.
7 de julio de 2014
Contenido
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integracin del cortafuegos en su red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Configuracin del acceso a la gestin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Activacin de servicios de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Descripcin general del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Implementaciones de cortafuegos bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la traduccin de direcciones de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Acerca de las polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuracin de polticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Habilitacin de funciones de prevencin de amenazas bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Habilitacin de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Prcticas recomendadas para completar la implementacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 48
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz de lnea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Gestin de administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

Cmo utilizan los dispositivos las claves y los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Cmo verifican los dispositivos el estado de revocacin de certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Lista de revocacin de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Protocolo de estado de certificado en lnea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Cmo obtienen los dispositivos los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Configuracin de la verificacin del estado de revocacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuracin de un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuracin de la verificacin del estado de revocacin de certificados utilizados
para la autenticacin de usuarios/dispositivos103
Configuracin de la verificacin del estado de revocacin de certificados utilizados

para el descifrado SSL/TLS103
Configuracin de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Obtencin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creacin de un certificado de CA raz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Generacin de un certificado en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Importacin de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Obtencin de un certificado de una CA externa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
107
107
108
109
110
Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Revocacin y renovacin de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Revocacin de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Renovacin de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Claves seguras con un mdulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cifrado de una clave maestra utilizando un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestin de la implementacin del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
117
117
123
124
126
Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
128
129
131
131
132
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de configuracin para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verificacin de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135
135
136
138
143
144
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Uso del centro de comando de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informe de resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualizacin de la informacin del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
153
154
154
156
157
158
159
160
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Supervisin del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Visualizacin de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
ii
Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Supervisin del cortafuegos mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Gestin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Visualizacin de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Deshabilitacin de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Generacin de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Generacin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Programacin de informes para entrega de correos electrnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Anlisis de la descripcin de campos en logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Logs de trfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Logs de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Logs de coincidencias HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Logs de configuracin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Logs de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Gravedad de Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Formato de logs/eventos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Secuencias de escape. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Descripcin general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 219
Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado
en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Configuracin de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 230
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 241
Configuracin de la asignacin de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 246
Envo de asignaciones de usuarios a User-ID mediante la API XML . . . . . . . . . . . . . . . . . . . . . . . . . 254
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios
con otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Verificacin de la configuracin de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Qu es App-ID? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Cmo puedo gestionar aplicaciones personalizadas o desconocidas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Prcticas recomendadas para utilizar App-ID en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Aplicaciones con compatibilidad implcita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Acerca de las puertas de enlace de nivel de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
iii
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 274
Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Concesin de licencias para la prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Acerca de las licencias de prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Obtencin e instalacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Acerca de los perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configuracin de polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades. . . . . . . . . . . . . . . . . .
Configuracin de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
282
282
284
288
Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

Cmo se activa una firma para un ataque de fuerza bruta? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta . . . . . . 293
Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 296
Infraestructura de Content Delivery Network para actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . 298
Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Descripcin general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Inspeccin de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Excepciones de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
302
303
304
305
306
307
308
Configuracin del proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Configuracin de la inspeccin de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Configuracin del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Configuracin de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exclusin de trfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exclusin de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Configuracin del reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Descripcin general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cmo funciona el filtrado de URL?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interaccin entre App-ID y categoras de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Control de URL basado en categora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cmo se utilizan las categoras de URL como criterios de coincidencia en las polticas?. . . . . . . . .
322
322
323
323
324
327
Componentes y flujo de trabajo de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Componentes de categorizacin de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Flujo de trabajo de categorizacin de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Configuracin de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Habilitacin del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
iv
Determinacin de los requisitos de la poltica de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Definicin de controles del sitio web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Ejemplos de casos de uso del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Caso de uso: control de acceso web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Caso de uso: uso de categoras de URL en la poltica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Solucin de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Problemas en la activacin de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Problemas de conectividad con la nube de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
URL clasificadas como no resueltas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Categorizacin incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

Descripcin general de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Implementacin de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Configuracin de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Configuracin de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
QoS para un nico usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
QoS para aplicaciones de voz y vdeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Configuracin de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Configuracin de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Definicin de perfiles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuracin de un tnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Configuracin de la supervisin de tnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Prueba de conectividad VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Interpretacin de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuraciones rpidas de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

Componentes de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Creacin de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Habilitacin de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Acerca de la implementacin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 427
Configuracin del portal para autenticar satlites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

Configuracin de puertas de enlace de GlobalProtect para LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuracin de la puerta de enlace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuracin del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de las configuraciones de satlites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
438
438
439
440
Preparacin del dispositivo satlite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Verificacin de la configuracin de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Configuraciones rpidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Configuracin bsica de LSVPN con rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Configuracin avanzada de LSVPN con enrutamiento dinmico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Implementaciones de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
456
456
459
460
461
Configuracin de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

Configuracin de rutas estticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Configuracin de RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Configuracin de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conceptos de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de OSPFv3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin del reinicio correcto de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Confirmacin del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
468
468
470
475
479
480
Configuracin de BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
vi
Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
prxima generacin de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar polticas de seguridad bsicas y funciones de prevencin de amenazas.
Despus de realizar los pasos de configuracin bsicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta gua como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial segn sea necesario para cubrir sus necesidades de seguridad de red.
Integracin del cortafuegos en su red de gestin
Creacin del permetro de seguridad
Habilitacin de funciones de prevencin de amenazas bsicas
Prcticas recomendadas para completar la implementacin del cortafuegos
Primeros pasos
Primeros pasos

Los siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar un
nuevo cortafuegos en la red de gestin e implementarlo con una configuracin de seguridad bsica.
Los siguientes temas describen cmo integrar un nico cortafuegos de prxima generacin de
Palo Alto Networks en su red. Si desea informacin detallada sobre cmo implementar un par de
cortafuegos en una configuracin de alta disponibilidad, lea la informacin de la documentacin
de HA antes de continuar.
Configuracin del acceso a la gestin del cortafuegos
Activacin de servicios de cortafuegos

Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usar
para llevar a cabo las funciones de administracin del cortafuegos. Al usar el puerto de gestin, est separando
las funciones de gestin del cortafuegos de las funciones de procesamiento de datos, de modo que protege el
acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de
configuracin inicial desde el puerto de gestin, incluso aunque pretenda usar un puerto interno para gestionar
su dispositivo ms adelante.
Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de las
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de
gestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o
plantearse cargar manualmente actualizaciones de forma regular.
Las siguientes secciones contienen instrucciones para establecer el acceso de gestin al cortafuegos:
Determinacin de la estrategia de gestin
Realizacin de la configuracin inicial
Establecimiento de acceso a la red para servicios externos
Determinacin de la estrategia de gestin

El cortafuegos Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de forma
central usando Panorama, el sistema de gestin de seguridad centralizado de Palo Alto Networks. Si tiene seis o
ms cortafuegos implementados en su red, use Panorama para obtener estas ventajas:
Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

de contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar
eficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticas
compartidas en todos los dispositivos o grupos de dispositivos.
Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el trfico de su red. El
Centro de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar
informes de todos los cortafuegos que le permiten realizar anlisis, investigaciones e informes de forma
central sobre el trfico de red, los incidentes de seguridad y las modificaciones administrativas.
Primeros pasos
Primeros pasos
Los procedimientos de este documento describen cmo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua, verifique que el cortafuegos puede establecer una conexin
con Panorama. Desde ese momento, podr utilizar Panorama para configurar su cortafuegos de forma central.
Realizacin de la configuracin inicial

De forma predeterminada, la direccin IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contrasea es
admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de
configuracin del cortafuegos. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin
(MGT), aunque no pretenda usar esta interfaz para la gestin de su cortafuegos, o usar una conexin de serie
directa al puerto de la consola del dispositivo.
Configuracin del acceso de red al cortafuegos
Paso 1
Obtenga la informacin necesaria de su

administrador de red.
Direccin IP para el puerto MGT

Mscara de red
Puerta de enlace predeterminada
Direccin de servidor DNS
Paso 2
Conecte su ordenador al cortafuegos.
Puede conectarse al cortafuegos de uno de estos modos:

Conecte un cable serie desde su ordenador al puerto de la consola y
conecte con el cortafuegos usando el software de emulacin de
terminal (9600-8-N-1). Espere unos minutos hasta que se complete
la secuencia de arranque; cuando el dispositivo est listo, el mensaje
cambiar al nombre del cortafuegos, por ejemplo PA-500
login.
Conecte un cable Ethernet RJ-45 desde su ordenador hasta el
puerto de gestin del cortafuegos. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba
cambiar la direccin IP de su ordenador a una direccin de la red
192.168.1.0, como 192.168.1.2, para acceder a esta URL.
Paso 3
Cuando se le indique, inicie sesin en el

cortafuegos.
Primeros pasos
Debe iniciar sesin usando el nombre de usuario y contrasea

predeterminados (admin/admin). El cortafuegos comenzar a
inicializarse.
Primeros pasos
Configuracin del acceso de red al cortafuegos (Continuacin)
Paso 4
Configure la interfaz de gestin.
1.
Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, haga clic en el icono Editar de la seccin
Configuracin de interfaz de gestin de la pantalla. Introduzca
la direccin IP, mscara de red y puerta de enlace
predeterminada.
2.
Fije la velocidad en negociacin automtica.
3.
Seleccione los servicios de gestin que permitir en la interfaz.

Prctica recomendada:
Asegrese de que ni Telnet ni HTTP estn seleccionados, ya que
estos servicios usan texto sin formato y no son tan seguros
como los otros servicios.
Paso 5
(Opcional) Configure los ajustes

generales del cortafuegos.
4.
Haga clic en ACEPTAR.
1.
Seleccione Dispositivo > Configuracin > Gestin y haga clic en

el icono Editar de la seccin Configuracin general de la
pantalla.
2.
Introduzca un nombre de host para el cortafuegos y el nombre

de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usar para unirse al dominio.
3.
Introduzca la Latitud y Longitud para permitir la colocacin

precisa del cortafuegos en el mapamundi.
4.
Paso 6
Configure los ajustes de DNS, hora y

fecha.
1.
Seleccione Dispositivo > Configuracin > Servicios y haga clic

en el icono Editar de la seccin Servicios de la pantalla.
Nota
Debe configurar manualmente al menos 2.

un servidor DNS en el cortafuegos o no
podr resolver los nombres de host; no 3.
usar configuraciones del servidor DNS
de otra fuente, como un ISP.
Introduzca la direccin IP de su Servidor DNS principal y, de

manera opcional, de su Servidor DNS secundario.
4.
Paso 7
Paso 8
Nota
Establezca una contrasea segura para la 1.

cuenta de administrador.
2.
Para usar el clster virtual de servidores horarios de Internet,

introduzca el nombre de host pool.ntp.org como servidor NTP
principal o aada la direccin IP de su servidor NTP principal y,
de manera opcional, su servidor NTP secundario.
Haga clic en Aceptar para guardar la configuracin.
Seleccione Dispositivo > Administradores.
Seleccione la funcin admin.
3.
Introduzca la contrasea predeterminada actual y la nueva

contrasea.
4.
Compile los cambios.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos
en guardar sus cambios.
Al guardar los cambios de configuracin,
perder la conexin con la interfaz web, ya
que la direccin IP habr cambiado.
Primeros pasos
Primeros pasos
Configuracin del acceso de red al cortafuegos (Continuacin)
Paso 9
Conecte el cortafuegos a su red.
1.
Desconecte el cortafuegos de su ordenador.
2.
Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de
que el puerto de conmutacin que conecta al cortafuegos
mediante un cable est configurado para negociacin
automtica.
Paso 10 Abra una sesin de gestin SSH en el

cortafuegos.
Usando un software de emulacin de terminal, como PuTTY, inicie

una sesin SSH en el cortafuegos usando la nueva direccin IP que
le ha asignado.
Paso 11 Verifique el acceso a la red para los

servicios externos requeridos para la
gestin del cortafuegos, como el servidor
de actualizaciones de Palo Alto Networks,
de uno de estos modos:
Si no desea permitir que una red
externa acceda a la interfaz de gestin,
tendr que configurar un puerto de
datos para recuperar las actualizaciones
de servicio requeridas. Vaya a
Establecimiento de acceso a la red para
servicios externos.
Si va a permitir que una red externa
acceda a la interfaz de gestin,
compruebe que tiene conexin y vaya a
Activacin de servicios de cortafuegos.
Si ha conectado el puerto de gestin con un cable para tener acceso

desde una red externa, compruebe que tiene acceso al cortafuegos y
desde el mismo usando la utilidad ping de la CLI. Asegrese de que
tiene conexin a la puerta de enlace predeterminada, servidor DNS
y el servidor de actualizacin de Palo Alto Networks como se
muestra en el siguiente ejemplo:
admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
Nota
Cuando haya comprobado la conectividad, pulse Ctrl+C

para detener los pings.
Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el cortafuegos usa la interfaz de gestin para acceder a servicios remotos, como
servidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de una
red externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios
externos requeridos.
Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de cortafuegos. Si
desea ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.
Establecimiento de un puerto de datos para acceder a servicios externos
Paso 1
La interfaz que use necesitar una direccin IP esttica.

Decida el puerto que desea usar para
acceder a servicios externos y conctelo
al puerto del conmutador o al puerto del
enrutador.
Primeros pasos
Primeros pasos
Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)
Paso 2
Inicie sesin en la interfaz web.
Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.
Paso 3
(Opcional) El cortafuegos viene

preconfigurado con una interfaz de cable
virtual predeterminada entre los puertos
Ethernet 1/1 y Ethernet 1/2 (y sus
correspondientes zonas y polticas de
seguridad predeterminadas). Si no
pretende usar esta configuracin de cable
virtual, debe eliminar manualmente la
configuracin para evitar que interfiera
con otras configuraciones de interfaz que
defina.
Debe eliminar la configuracin en el siguiente orden:

1. Para eliminar la poltica de seguridad predeterminada, seleccione
Polticas > Seguridad, seleccione la regla y haga clic en Eliminar.
Paso 4
Configure la interfaz.
2.
A continuacin, elimine el cable virtual predeterminado

seleccionando Red > Cables virtuales, seleccionando el
cable virtual y haciendo clic en Eliminar.
3.
Para eliminar las zonas fiables y no fiables predeterminadas,

seleccione Red > Zonas, seleccione cada zona y haga clic en
Eliminar.
4.
Por ltimo, elimine las configuraciones de interfaz seleccionando

Red > Interfaces y, a continuacin, seleccione cada interfaz
(ethernet1/1 y ethernet1/2) y haga clic en Eliminar.
5.
Confirme los cambios.
1.
Seleccione Red > Interfaces y seleccione la interfaz que

corresponde al puerto en el que conect el cable en el paso 1.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu depende

de la topologa de su red, este ejemplo muestra los pasos para
Capa 3.
3.
En la pestaa Configurar, ample el men desplegable Zona de

seguridad y seleccione Nueva zona.
4.
En el cuadro de dilogo Zona, defina un Nombre para una nueva

zona, por ejemplo L3-fiable, y haga clic en Aceptar.
5.
Seleccione la pestaa IPv4, seleccione el botn de opcin

Esttico, haga clic en Aadir en la seccin IP e introduzca la
direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24.
6.
Seleccione Avanzada > Otra informacin, ample el men

desplegable Perfil de gestin y seleccione Nuevo perfil de
gestin.
7.
Introduzca un Nombre para el perfil, como permitir_ping, y

seleccione a continuacin los servicios que desea permitir en la
interfaz. Estos servicios ofrecen acceso a la gestin del
dispositivo, as que seleccione solo los servicios que correspondan
a actividades de gestin que desee permitir en esta interfaz. Por
ejemplo, si desea utilizar la interfaz de gestin para las tareas de
configuracin del dispositivo a travs de la interfaz web o CLI, no
debera activar HTTP, HTTPS, SSH o Telnet para poder evitar el
acceso no autorizado a travs de esta interfaz. Para permitir el
acceso a los servicios externos, probablemente solo tenga que
activar Ping y despus hacer clic en Aceptar.
8.
Para guardar la configuracin de la interfaz, haga clic en Aceptar.
Primeros pasos
Primeros pasos
Paso 5
Dado que el cortafuegos usa la interfaz de 1. Seleccione Dispositivo > Configuracin > Servicios >
Configuracin de ruta de servicios.
gestin de manera predeterminada para
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el cortafuegos para enviar estas
solicitudes editando las rutas de servicios. Nota Para activar sus licencias y obtener el contenido y las
actualizaciones de software ms recientes, debe cambiar la
ruta de servicios de DNS, Actualizaciones de Palo Alto,
Actualizaciones de URL y WildFire.
2.
Haga clic en el botn de opcin Personalizar y seleccione una

de las siguientes opciones:
En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic
en el enlace del servicio para el que quiera modificar la
interfaz de origen y seleccione la interfaz que acaba de
configurar.
Si se configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.
Para crear una ruta de servicio para un destino personalizado,
seleccione Destino y haga clic en Aadir. Introduzca un
nombre de destino y seleccione una interfaz de origen. Si se
configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.
Primeros pasos
3.
Haga clic en ACEPTAR para guardar la configuracin.
4.
Repita los pasos del 2 al 3 indicados anteriormente para cada

ruta de servicio que quiera modificar.
5.
Compile sus cambios.
Primeros pasos
Paso 6
Configure una interfaz de orientacin externa y una zona asociada y, a continuacin, cree las reglas de poltica
NAT y de seguridad para permitir que el cortafuegos enve solicitudes de servicio de la zona interna a la externa:
1. Seleccione Red > Interfaces y, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa 3
como el Tipo de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6) y cree la Zona de seguridad asociada
(en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en esta interfaz.
2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones
de Palo Alto Networks y los servidores DNS externos, seleccione Polticas > Seguridad y haga clic en Aadir.
Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable a
l3-nofiable del siguiente modo:
3. Si usa una direccin IP

privada en la interfaz de
orientacin interna,
deber crear una regla
NAT de origen para traducir la direccin a una direccin enrutable pblicamente. Seleccione Polticas > NAT y,
a continuacin, haga clic en Aadir. Como mnimo deber definir un nombre para la regla (pestaa General),
especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaa Paquete original), y definir
la configuracin de traduccin de direccin de origen (pestaa Paquete traducido); a continuacin debe hacer
clic en Aceptar. Si desea ms informacin sobre NAT, consulte Configuracin de polticas de NAT.
4. Compile sus cambios.
Paso 7
Compruebe que tiene conectividad desde

el puerto de datos a los servicios externos,
incluida la puerta de enlace
predeterminada, el servidor DNS y el
servidor de actualizacin de Palo Alto
Networks.
Tras comprobar que tiene la conectividad
de red requerida, vaya a Activacin de
servicios de cortafuegos.
Inicie la CLI y use la utilidad ping para comprobar que tiene

conectividad. Tenga en cuenta que los pings predeterminados se envan
desde la interfaz MGT, por lo que en este caso deber especificar la
interfaz de origen para las solicitudes de ping del siguiente modo:
admin@PA-200> ping source 192.168.1.254 host
updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from
192.168.1.254 : 56(84) bytes de datos.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
^C
Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.
Activacin de servicios de cortafuegos

Antes de que pueda empezar a usar el cortafuegos para proteger su red, debe registrarlo y activar las licencias
de los servicios que ha adquirido. Adems, debe asegurarse de que est ejecutando la versin adecuada de
PAN-OS como se describe en las siguientes secciones:
Registro en Palo Alto Networks
Activacin de licencias
Gestin de la actualizacin de contenidos
Instalacin de actualizaciones de software
Primeros pasos
Primeros pasos
Registro en Palo Alto Networks

Registro del cortafuegos
Paso 1
Inicie sesin en la interfaz web.
Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.
Paso 2
Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.
Paso 3
Vaya al sitio de asistencia de Palo Alto

Networks.
Paso 4
Si es el primer dispositivo de Palo Alto Networks que registra y an

Registre el dispositivo. El modo de
no tiene un inicio de sesin, haga clic en Registrar en el lado
registrarse depender de que tenga o no
un inicio de sesin en el sitio de asistencia
derecho de la pgina. Para registrarse, debe proporcionar su
tcnica.
direccin de correo electrnico y el nmero de serie de su
cortafuegos (que puede pegar desde el portapapeles). Tambin se
le pedir que establezca un nombre de usuario y una contrasea
para acceder a la comunidad de asistencia tcnica de Palo Alto
Networks.
En una ventana o pestaa nueva del navegador, vaya a

https://support.paloaltonetworks.com.
Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y

haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
nmero de serie de su cortafuegos (que puede pegar desde el
portapapeles), su ciudad y su cdigo postal, y haga clic en
Registrar dispositivo.
Antes de que pueda empezar a usar su cortafuegos para proteger el trfico de su red, deber activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.
Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del trfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y anlisis.
Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Primeros pasos
Primeros pasos
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales
si desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el nmero bsico vara segn la plataforma).
Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la compatibilidad bsica con WildFire est incluida como parte de la licencia de
prevencin de amenazas, el servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas
organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la
firma de WildFire con una frecuencia inferior a una hora, el reenvo de tipos de archivos avanzados (APK,
PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. Tambin
se requiere una suscripcin a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500
WildFire privado.
GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar
licencias de puertas de enlace (suscripcin) para cada puerta de enlace.
Paso 1
Encuentre los cdigos de activacin de

las licencias que ha adquirido.
Al comprar las suscripciones debi recibir un mensaje de correo

electrnico del servicio de atencin al cliente de Palo Alto Networks
con los cdigos de activacin asociados a cada suscripcin. Si no
encuentra este mensaje, pngase en contacto con atencin al cliente
para recibir sus cdigos de activacin antes de continuar.
Paso 2
Inicie la interfaz web y vaya a la pgina de Seleccione Dispositivo > Licencias.

licencias.
Paso 3
Active todas las licencias que ha

adquirido.
Nota
2.
Si su cortafuegos no tiene acceso a
Internet desde el puerto de gestin, puede
descargar sus licencias de forma manual 3.
desde el sitio de asistencia tcnica y
cargarlas en el cortafuegos usando la
opcin Clave de licencia de carga
manual.
1.
Seleccione Activar caracterstica mediante cdigo de

autorizacin.
Cuando se le indique, introduzca el Cdigo de autorizacin y
haga clic en Aceptar.
Compruebe que la licencia se haya activado correctamente. Por
ejemplo, tras activar la licencia de WildFire, debera ver que la
licencia es vlida:
Gestin de la actualizacin de contenidos

Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una
infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar
actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los
recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De
10
Primeros pasos
Primeros pasos
forma predeterminada, los dispositivos utilizan el puerto de gestin para acceder a la infraestructura de CDN
para realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y bsquedas
en BrightCloud y en base de datos PAN-DB, as como acceso a la nube de WildFire de Palo Alto Networks. Para
garantizar una proteccin constante contra las amenazas ms recientes (incluidas aquellas que an no se han
descubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones ms recientes de
Palo Alto Networks.
Estn disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:
Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en
cualquier momento, es recomendable programar las actualizaciones para que se realicen
automticamente.
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requiere

suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas se
publican nuevas actualizaciones de aplicaciones.
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta

actualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugar
de la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y
evaluar los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect.
Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas
actualizaciones. Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect
funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su cortafuegos no tiene acceso a Internet desde el puerto de gestin, puede descargar
actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks
(https://support.paloaltonetworks.com) y, a continuacin, cargarlas en su cortafuegos.
Si su cortafuegos est implementado detrs de cortafuegos o servidores proxy existentes, el
acceso a estos recursos externos puede restringirse empleando listas de control de acceso que
permiten que el cortafuegos acceda nicamente a un nombre de host o una direccin IP. En
dichos casos, para permitir el acceso a la CDN, establezca la direccin del servidor de
actualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15.
Primeros pasos
11
Primeros pasos
Descarga de las bases de datos ms recientes
Paso 1
Verifique que el cortafuegos apunta a la

infraestructura de CDN.
Seleccione Dispositivo > Configuracin > Servicios.

Como prctica recomendada, establezca el Servidor de
actualizaciones para que acceda a
updates.paloaltonetworks.com. De esta forma el cortafuegos
podr recibir actualizaciones de contenidos desde el servidor que
est ms cercano en la infraestructura de CDN.
(Opcional) Si el cortafuegos tiene acceso restringido a Internet,
establezca la direccin del servidor de actualizaciones para que
utilice el nombre de host staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15. Para aadir seguridad, seleccione
Verificar identidad del servidor de actualizacin. El cortafuegos
verificar que el servidor desde el que se descarga el software o el
paquete de contenidos cuenta con un certificado SSL firmado por
una autoridad fiable.
Paso 2
Inicie la interfaz web y vaya a la pgina

Actualizaciones dinmicas.
Seleccione Dispositivo > Actualizaciones dinmicas.
Paso 3
Compruebe las actualizaciones ms recientes.

Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las
actualizaciones ms recientes. El enlace de la columna Accin indica si una actualizacin est disponible:
Descargar: Indica que hay disponible un nuevo archivo de actualizacin. Haga clic en el enlace para iniciar la
descarga directamente en el cortafuegos. Tras descargarlo correctamente, el enlace en la columna Accin
cambia de Descargar a Instalar.
Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones
y amenazas.
Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en el
enlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se inicia
en segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente.
Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace de
actualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.
Consejo: Para comprobar el estado de una accin, haga clic en Tareas (en la esquina inferior derecha de la ventana).
Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidir
revertir a la versin instalada anteriormente de la actualizacin.
12
Primeros pasos
Primeros pasos
Descarga de las bases de datos ms recientes (Continuacin)
Paso 4
Instale las actualizaciones.
Nota
La instalacin puede tardar hasta

20 minutos en un dispositivo PA-200,
PA-500 o PA-2000, y hasta dos minutos
en los cortafuegos de las series PA-3000,
PA-4000, PA-5000, PA-7050 o VM-Series.
Paso 5
Programe cada actualizacin.
Haga clic en el enlace Instalar de la columna Accin. Cuando se

complete la instalacin, aparecer una marca de verificacin en la
columna Instalado actualmente.
1.
Establezca la programacin de cada tipo de actualizacin

haciendo clic en el enlace Ninguna.
2.
Especifique la frecuencia de las actualizaciones seleccionando

un valor en el men desplegable Periodicidad. Los valores
disponibles varan en funcin del tipo de contenido (las
actualizaciones de WildFire estn disponibles cada 15 minutos,
cada 30 minutos o cada hora, mientras que para otros tipos de
contenidos pueden programarse actualizaciones diarias o
semanales).
3.
Especifique la hora (o los minutos que pasan de una hora en el caso

de WildFire) y, si est disponible en funcin de la Periodicidad
seleccionada, el da de la semana para realizar la actualizacin.
4.
Especifique si desea que el sistema descargue e instale la

actualizacin (prctica recomendada) o que nicamente la
descargue.
5.
En raras ocasiones puede haber errores en las actualizaciones de

contenido. Por este motivo, tal vez desee retrasar la instalacin
de nuevas actualizaciones hasta que lleven varias horas
publicadas. Puede especificar el tiempo de espera tras una
publicacin para realizar una actualizacin de contenido
introduciendo el nmero de horas de espera en el campo
Umbral (horas).
6.
Haga clic en Aceptar para guardar estos ajustes de

programacin.
7.
Haga clic en Confirmar para guardar estos ajustes en la

configuracin actual.
Repita este paso en cada actualizacin que

desee programar.
Escalone las programaciones de
actualizaciones, dado que el cortafuegos
no puede descargar ms de una
actualizacin a la vez. Si ha programado la
descarga de varias actualizaciones al
mismo tiempo, solo la primera se realizar
correctamente.
Instalacin de actualizaciones de software

Al instalar un nuevo cortafuegos, es recomendable usar la actualizacin ms reciente del software (o la versin
recomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovechar
las correcciones y mejoras de seguridad ms recientes. Tenga en cuenta que antes de actualizar el software debe
Primeros pasos
13
Primeros pasos
asegurarse de tener las actualizaciones de contenido ms recientes segn se indica en la seccin anterior (las
notas de la versin de una actualizacin de software especifican las versiones de actualizacin de contenido
mnimas que son compatibles con la versin).
Actualizacin de PAN-OS
Paso 1
Inicie la interfaz web y vaya a la pgina

Software.
Seleccione Dispositivo > Software.
Paso 2
Compruebe las actualizaciones de

software.
Haga clic en Comprobar ahora para comprobar las actualizaciones

ms recientes. Si el valor de la columna Accin es Descargar, indica
que hay una actualizacin disponible.
Paso 3
Busque la versin que quiere y haga clic en Descargar. Cuando se

complete la descarga, el valor en la columna Accin cambia a
Si su cortafuegos no tiene acceso a
Internet desde el puerto de gestin, puede Instalar.
descargar la actualizacin de software
desde el sitio de asistencia tcnica de Palo
Alto Networks
(https://support.paloaltonetworks.com).
Despus podr cargarla manualmente en
su cortafuegos.
Nota
Paso 4
Descargar la actualizacin.
Instale la actualizacin.
1.
Haga clic en Instalar.
2.
Reinicie el cortafuegos:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Dispositivo >

Configuracin > Operaciones y haga clic en Reiniciar
dispositivo en la seccin Operaciones de dispositivo de la
pantalla.
14
Primeros pasos
Primeros pasos

Los siguientes temas proporcionan pasos bsicos para configurar las interfaces del cortafuegos, definir zonas y
configurar una poltica de seguridad bsica:
Descripcin general del permetro de seguridad
Configuracin de polticas de NAT
Configuracin de polticas de seguridad bsicas
Descripcin general del permetro de seguridad

El trfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Fsicamente, el trfico
entra y sale del cortafuegos a travs de las interfaces. El cortafuegos decide cmo actuar sobre un paquete
basndose en si el paquete coincide con una poltica de seguridad. Al nivel ms bsico, la poltica de seguridad debe
identificar de dnde proviene el trfico y hacia dnde va. En un cortafuegos de prxima generacin de Palo Alto
Networks, se aplican polticas de seguridad entre zonas. Una zona es un grupo de interfaces (fsicas o virtuales)
que proporciona una abstraccin de un rea de confianza para el cumplimiento de una poltica simplificada.
Por ejemplo, en el siguiente diagrama de topologa, hay tres zonas: fiable, no fiable y DMZ. El trfico puede
circular libremente dentro de una zona, pero no podr hacerlo entre zonas hasta que no defina una poltica de
seguridad que lo permita.
Las siguientes secciones describen los componentes del permetro de seguridad e indican los pasos necesarios
para configurar las interfaces del cortafuegos, definir zonas y configurar una poltica de seguridad bsica que
permita el trfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una poltica bsica como
esta, podr analizar el trfico que circula por su red y utilizar esta informacin para definir polticas ms
especficas y as habilitar aplicaciones de forma segura y evitar amenazas.
Implementaciones de cortafuegos bsicas
Acerca de la traduccin de direcciones de red (NAT)
Acerca de las polticas de seguridad
Primeros pasos
15
Primeros pasos
Implementaciones de cortafuegos bsicas

Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de
implementacin.
Implementaciones de cable virtual
Implementaciones de capa 2
Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseo de redes con cortafuegos de Palo Alto Networks).

En una implementacin de cable virtual, el cortafuegos se instala de forma transparente en un segmento de red
uniendo dos puertos. Cuando utilice un cable virtual, podr instalar el cortafuegos en cualquier entorno de red
sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir
el trfico en funcin de los valores de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiples
subinterfaces y clasificar el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o una
combinacin de ambas.
De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 y
permite todo el trfico sin etiquetar. Seleccione esta implementacin para simplificar la instalacin y la
configuracin, y/o evitar cambios de configuracin en los dispositivos de red que se encuentran alrededor.
Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se necesita conmutacin
o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la
configuracin antes de continuar con la configuracin de la interfaz para evitar que interfiera con otras
configuraciones de interfaz que defina. Para obtener instrucciones sobre cmo eliminar el Virtual Wire
predeterminado, as como sus zonas y poltica de seguridad asociadas, consulte el Paso 3 en Establecimiento de
un puerto de datos para acceder a servicios externos.
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).
16
Primeros pasos
Primeros pasos
En una implementacin de capa 3, el cortafuegos enruta el trfico entre puertos. Se debe asignar una direccin
IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite
enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces
lgicas para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura
multiempresa.
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinmico (BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales,
cada uno de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el cortafuegos en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)
How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)
Acerca de la traduccin de direcciones de red (NAT)

Cuando utilice direcciones IP privadas en sus redes internas, deber utilizar la traduccin de direcciones de red
(NAT) para traducir las direcciones privadas en direcciones pblicas que puedan enrutarse a redes externas. En
PAN-OS, cree reglas de poltica NAT que indican al cortafuegos qu paquetes necesitan traduccin y cmo
realizar la traduccin. El cortafuegos admite tanto la traduccin de puerto y/o direccin de origen como la
traduccin de puerto y/o direccin de destino. Para obtener informacin ms detallada sobre los diferentes
tipos de reglas de NAT, consulte Understanding and Configuring NAT Tech Note (Nota tcnica sobre la comprensin
y configuracin de NAT).
Es importante comprender el modo en que el cortafuegos aplica las polticas NAT y de seguridad para
determinar qu polticas necesita basndose en las zonas que ha definido. Al entrar, el cortafuegos inspecciona
un paquete para comprobar si coincide con alguna de las reglas de NAT que se han definido, basndose en la
zona de origen y/o destino. A continuacin, evala y aplica las reglas de seguridad que coincidan con el paquete
basndose en las direcciones de origen y destino originales (anteriores a NAT). Por ltimo, traduce los nmeros
de puerto de origen y/o destino para las reglas de NAT coincidentes al salir. Esta distincin es importante, ya
que implica que el cortafuegos determina para qu zona est destinado un paquete basndose en la direccin
del paquete, no en la colocacin del dispositivo basndose en su direccin asignada de manera interna.
Primeros pasos
17
Primeros pasos
Acerca de las polticas de seguridad

Las polticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de
manera ptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. En
el cortafuegos de Palo Alto Networks, las polticas de seguridad determinan si una sesin se bloquear o se
permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP de
origen y destino, la aplicacin, el usuario y el servicio. De manera predeterminada, se permite el trfico intrazona
(es decir, el trfico dentro de la misma zona, por ejemplo, de fiable a fiable). El trfico entre diferentes zonas
(o trfico interzonas) est bloqueado hasta que cree una poltica de seguridad que permita el trfico.
Las polticas de seguridad se evalan de izquierda a derecha y de arriba abajo. Un paquete coincide con la primera
regla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no se evalan.
Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores criterios de
coincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en el log de
trfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla. Por ejemplo,
se pueden configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final de una
sesin.
Componentes de una poltica de seguridad
Prcticas recomendadas de polticas
Acerca de objetos de polticas
Acerca de los perfiles de seguridad
Componentes de una poltica de seguridad

La estructura de las polticas de seguridad permite una combinacin de los componentes obligatorios y
opcionales enumerados a continuacin.
Campos
obligatorios
Campos
opcionales
18
Campo
Descripcin
Nombre
Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
Zona de origen
Zona en la que se origina el trfico.
Zona de destino
Zona en la que termina el trfico. Si utiliza NAT, asegrese de hacer

referencia siempre a la zona posterior a NAT.
Aplicacin
La aplicacin que desea controlar. El cortafuegos utiliza la tecnologa de

clasificacin de trfico App-ID para identificar el trfico de su red.
App-ID permite controlar las aplicaciones y ofrece visibilidad al crear
polticas de seguridad que bloquean las aplicaciones desconocidas, al
tiempo que se habilitan, inspeccionan y moldean las que estn permitidas.
Accin
Especifica una accin de permiso o denegacin para el trfico basndose en

los criterios que defina en la regla.
Etiqueta
Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de
utilidad cuando ha definido muchas reglas y desea revisar las que estn
etiquetadas con una palabra clave especfica, por ejemplo Entrante en DMZ.
Primeros pasos
Primeros pasos
Campo
Descripcin (Continuacin)
Descripcin
Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
Direccin IP de origen
Define la direccin IP o FQDN de host, la subred, los grupos nombrados

o el cumplimiento basado en el pas. Si utiliza NAT, asegrese de hacer
siempre referencia a las direcciones IP originales del paquete (es decir, la
direccin IP anterior a NAT).
Direccin IP de destino
Ubicacin o destino del trfico. Si utiliza NAT, asegrese de hacer siempre

referencia a las direcciones IP originales del paquete (es decir, la direccin
IP anterior a NAT).
Usuario
Usuario o grupo de usuarios a los que se aplica la poltica. Debe tener

habilitado User-ID en la zona. Para habilitar User-ID, consulte
Descripcin general de User-ID.
Categora de URL
El uso de Categora de URL como criterios de coincidencia le permite

personalizar perfiles de seguridad (antivirus, antispyware,
vulnerabilidades, bloqueo de archivos, filtrado de datos y DoS) segn la
categora de URL. Por ejemplo, puede impedir la descarga/carga de
archivos .exe para las categoras de URL que representen un riesgo ms
alto, mientras que s lo permite para otras categoras. Esta funcionalidad
tambin le permite adjuntar programaciones a categoras de URL
especficas (permitir sitios web de redes sociales durante el almuerzo y
despus de las horas de trabajo), marcar determinadas categoras de URL
con QoS (financiera, mdica y empresarial) y seleccionar diferentes
perfiles de reenvo de logs segn la categora de URL.
Aunque puede configurar categoras de URL manualmente en su
dispositivo, para aprovechar las actualizaciones dinmicas de
categorizacin de URL disponibles en los cortafuegos de Palo Alto
Networks, deber adquirir una licencia de filtrado de URL.
Nota
Primeros pasos
Para bloquear o permitir el trfico basado en la categora de URL,

deber aplicar un perfil de filtrado de URL a las reglas de polticas
de seguridad. Defina la categora de URL como Cualquiera y
adjunte un perfil de filtrado de URL a la poltica de seguridad.
Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su
poltica de seguridad y consulte Control del acceso a contenido
web para obtener informacin ms detallada.
19
Primeros pasos
Campo
Descripcin (Continuacin)
Servicio
Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la

aplicacin. Puede seleccionar cualquiera, especificar un puerto o utilizar
Valor predeterminado de aplicacin para permitir el uso del puerto basado en
estndares de la aplicacin. Por ejemplo, en el caso de aplicaciones con
nmeros de puerto conocidos, como DNS, la opcin Valor predeterminado
de aplicacin coincidir con el trfico DNS nicamente en el puerto 53 de
TCP. Tambin puede aadir una aplicacin personalizada y definir los
puertos que puede utilizar la aplicacin.
Nota
Campos
opcionales
Para reglas de permiso entrante (por ejemplo, de no fiable a

fiable), el uso de Valor predeterminado de aplicacin impide que las
aplicaciones se ejecuten en puertos y protocolos inusuales. Valor
predeterminado de aplicacin es la opcin predeterminada; si
bien el dispositivo sigue comprobando todas las aplicaciones en
todos los puertos, con esta configuracin, las aplicaciones
solamente tienen permiso en sus puertos/protocolos estndar.
Perfiles de seguridad
Proporciona una proteccin adicional frente a amenazas, vulnerabilidades

y fugas de datos. Los perfiles de seguridad nicamente se evalan en el
caso de reglas que tengan una accin de permiso.
Perfil HIP (para
Le permite identificar a clientes con el perfil de informacin de host (Host

Information Profile, HIP) y, a continuacin, aplicar privilegios de acceso.
GlobalProtect)
Opciones
Le permite definir logs para la sesin, registrar ajustes de reenvo, cambiar

marcas de calidad de servicio (Quality of Service, QoS) de paquetes que
coincidan con la regla y planificar cundo (da y hora) debera ser efectiva
la regla de seguridad.
Prcticas recomendadas de polticas

La tarea de habilitar de forma segura el acceso a Internet y prevenir el uso indebido de los privilegios de acceso
web y la exposicin a vulnerabilidades y ataques es un proceso continuo. El principio bsico al definir una
poltica en el cortafuegos de Palo Alto Networks es utilizar un enfoque de cumplimiento positivo, el cual permite
de manera selectiva aquello que es necesario para las operaciones comerciales cotidianas. Lo contrario sera el
cumplimiento negativo, con el que bloqueara de manera selectiva todo lo que no est permitido. Tenga en
cuenta las siguientes sugerencias al crear una poltica:
20
Si tiene dos o ms zonas con requisitos de seguridad idnticos, combnelas en una regla de seguridad.
El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la poltica
se evala de arriba abajo, las polticas ms especficas deben preceder a las ms generales, de modo que las
reglas ms especficas no estn atenuadas. Esto quiere decir que una regla no se evala o se omite porque se
encuentra a un nivel ms bajo en la lista de polticas. Cuando la regla se sita ms abajo, no se evala
porque otra regla precedente cumple los criterios de coincidencia, impidiendo as la evaluacin de poltica
de la primera regla.
Para restringir y controlar el acceso a las aplicaciones entrantes, en la poltica de seguridad, defina
explcitamente el puerto al que escuchar el servicio/aplicacin.
Primeros pasos
Primeros pasos
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho trfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesin. Sin embargo,
puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al
inicio de la sesin. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio
de la sesin nicamente se recomienda cuando est solucionando un problema. Otra alternativa para
solucionar un problema sin habilitar el registro al inicio de la sesin es utilizar el explorador de sesin
(Supervisar > Explorador de sesin) para ver las sesiones en tiempo real.
Acerca de objetos de polticas

Un objeto de poltica es un objeto nico o una unidad colectiva que agrupa identidades discretas, como direcciones
IP, URL, aplicaciones o usuarios. Con objetos de polticas que sean unidades colectivas, podr hacer referencia
al objeto en la poltica de seguridad en lugar de seleccionar manualmente varios objetos de uno en uno. Por lo
general, al crear un objeto de poltica, se agrupan objetos que requieran permisos similares en la poltica. Por
ejemplo, si su organizacin utiliza un conjunto de direcciones IP de servidor para autenticar usuarios, podr
agrupar el conjunto de direcciones IP de servidor como objeto de poltica de grupo de direcciones y hacer referencia
al grupo de direcciones en la poltica de seguridad. Al agrupar objetos, podr reducir significativamente la carga
administrativa al crear polticas.
Puede crear los siguientes objetos de polticas en el cortafuegos:
Objeto de poltica
Descripcin
Direccin/Grupo de
direcciones, Regin
Le permite agrupar direcciones de origen o destino especficas que requieren el mismo

cumplimiento de poltica. El objeto de direccin puede incluir una direccin IPv4 o
IPv6 (direccin IP simple, intervalo, subred) o FQDN. Tambin puede definir una
regin por las coordenadas de latitud y longitud o seleccionar un pas y definir la
direccin IP o el intervalo de IP. A continuacin puede agrupar un conjunto de objetos
de direccin para crear un objeto de grupo de direcciones.
Tambin puede utilizar grupos de direcciones dinmicas para actualizar

dinmicamente direcciones IP en entornos donde las direcciones IP de host
cambian frecuentemente.
Usuario/grupo de usuarios
Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicacin le permite filtrar aplicaciones dinmicamente. Le permite filtrar y
de aplicacin
guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
de la aplicacin en el cortafuegos. Por ejemplo, puede filtrar segn uno o ms atributos

(categora, subcategora, tecnologa, riesgo y caractersticas) y guardar su filtro de
aplicacin. Con un filtro de aplicacin, cuando se produce una actualizacin de
contenido de PAN-OS, las nuevas aplicaciones que coincidan con sus criterios de filtro
se aadirn automticamente a su filtro de aplicacin guardado.
Un Grupo de aplicaciones le permite crear un grupo esttico de aplicaciones especficas
que desee agrupar para un grupo de usuarios o para un servicio en concreto.
Primeros pasos
21
Primeros pasos
Objeto de poltica
Descripcin
Servicio/Grupos de servicios
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar
un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y
servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443
de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en
cualquier puerto TCP/UDP de su eleccin para restringir el uso de la aplicacin a
puertos especficos de su red (dicho de otro modo, puede definir el puerto
predeterminado para la aplicacin).
Para ver los puertos estndar utilizados por una aplicacin, en Objetos >
Aplicaciones, busque la aplicacin y haga clic en el enlace. Aparecer una
descripcin concisa.
Algunos ejemplos de objetos de polticas de direccin y aplicacin se muestran en las polticas de seguridad incluidas
en Creacin de reglas de seguridad. Si desea informacin sobre los otros objetos de polticas, consulte
Habilitacin de funciones de prevencin de amenazas bsicas.

Mientras que con las polticas de seguridad puede permitir o denegar el trfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploracin, que explora las aplicaciones permitidas en busca de
amenazas. Cuando el trfico coincida con la regla de permiso definida en la poltica de seguridad, los perfiles de
seguridad vinculados a la regla se aplicarn para reglas de inspeccin de contenido adicionales, como
comprobaciones antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de trfico.
El perfil de seguridad se aplica para explorar el trfico despus de que la poltica de seguridad
permita la aplicacin o categora.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en
busca de amenazas para obtener ms informacin.
Configuracin de interfaces y zonas

Las siguientes secciones proporcionan informacin sobre la configuracin de interfaces y zonas:
Planificacin de la implementacin
22
Primeros pasos
Primeros pasos
Planificacin de la implementacin
Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitar
basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la informacin
de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu interfaces
pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones IP
obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin sobre
cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
Ilustracin: Ejemplo de topologa de capa 3
La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona
Tipos de implementacin
Interfaces
Ajustes de configuracin
No fiable
L3
Ethernet1/3
Direccin IP: 208.80.56.100/24

Enrutador virtual: Predeterminado
Ruta predeterminada: 0.0.0.0/0
Siguiente salto: 208.80.56.1
Fiable
L3
Ethernet1/4
Direccin IP: 192.168.1.4/24

DMZ
L3
Ethernet1/13
Direccin IP: 10.1.1.1/24


Despus de planificar sus zonas y las correspondientes interfaces, podr configurarlas en el dispositivo. El modo
en que configure cada interfaz depender de la topologa de su red.
El siguiente procedimiento muestra cmo configurar una implementacin de capa 3 como se muestra en la
Ilustracin: Ejemplo de topologa de capa 3.
Primeros pasos
23
Primeros pasos
El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los
puertos Ethernet 1/1 y Ethernet 1/2 (y una poltica de seguridad y un enrutador virtual
predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe
eliminar manualmente la configuracin y confirmar el cambio antes de continuar para evitar que
interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cmo eliminar
el Virtual Wire predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3
en Establecimiento de un puerto de datos para acceder a servicios externos.
Paso 1
Configure una ruta predeterminada hacia 1.

su enrutador de Internet.
Seleccione Red > Enrutador virtual y, a continuacin,

seleccione el enlace predeterminado para abrir el cuadro de
dilogo Enrutador virtual.
2.
Seleccione la pestaa Rutas estticas y haga clic en Aadir.

Introduzca un Nombre para la ruta e introduzca la ruta en el
campo Destino (por ejemplo, 0.0.0.0/0).
3.
Seleccione el botn de opcin Direccin IP en el campo

Siguiente salto y, a continuacin, introduzca la direccin IP y la
mscara de red para su puerta de enlace de Internet (por
ejemplo, 208.80.56.1).
Paso 2
Configure la interfaz externa (la interfaz

que se conecta a Internet).
4.
Haga clic en Aceptar dos veces para guardar la configuracin de

enrutador virtual.
1.
Seleccione Red > Interfaces y, a continuacin, seleccione la

interfaz que quiera configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu

depende de la topologa de su red, este ejemplo muestra los
pasos para Capa 3.
3.
En la pestaa Configuracin, seleccione Nueva zona en el men

desplegable Zona de seguridad. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable
y, a continuacin, haga clic en Aceptar.
4.
En el men desplegable Enrutador virtual, seleccione

predeterminado.
5.
Para asignar una direccin IP a la interfaz, seleccione la pestaa

IPv4, haga clic en Aadir en la seccin IP e introduzca la

ejemplo, 208.80.56.100/24.
6.
7.
Para que pueda hacer ping en la interfaz, seleccione Avanzada >

Otra informacin, ample el men desplegable Perfil de
gestin y seleccione Nuevo perfil de gestin. Introduzca un
Nombre para el perfil, seleccione Ping y, a continuacin, haga
clic en Aceptar.
Para guardar la configuracin de la interfaz, haga clic en
Aceptar.
24
Primeros pasos
Primeros pasos
Configuracin de interfaces y zonas (Continuacin)
Paso 3
Configure la interfaz que se conecta a su 1.

red interna.
Nota
En este ejemplo, la interfaz se conecta a

un segmento de red que utiliza
direcciones IP privadas. Dado que las
direcciones IP privadas no se pueden
enrutar externamente, deber configurar
NAT. Consulte Configuracin de
polticas de NAT.
Paso 4
Configure la interfaz que se conecta a

DMZ.
Seleccione Red > Interfaces y seleccione la interfaz que desee

configurar. En este ejemplo, estamos configurando Ethernet1/4
como la interfaz interna.
2.
Seleccione Capa 3 en el men desplegable Tipo de interfaz.
3.

seguridad y seleccione Nueva zona. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona, por ejemplo
Fiable y, a continuacin, haga clic en Aceptar.
4.
Seleccione el mismo enrutador virtual que utiliz en el Paso 2;

en este ejemplo, el predeterminado.
5.

ejemplo, 192.168.1.4/24.
6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de

gestin que cre en el Paso 2-6.
7.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa 3 en el men desplegable Tipo de interfaz. En

este ejemplo, estamos configurando Ethernet1/13 como la
interfaz de DMZ.
3.

DMZ y, a continuacin, haga clic en Aceptar.
4.
Seleccione el enrutador virtual que utiliz en el Paso 2; en este

ejemplo, el predeterminado.
5.


ejemplo, 10.1.1.1/24.
6.

7.

Aceptar.
Paso 5
Guarde la configuracin de la interfaz.
Haga clic en Confirmar.
Paso 6
Conecte los cables del cortafuegos.
Conecte cables directos desde las interfaces que ha configurado al

conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estn activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el

icono de la columna Estado de enlace es de color verde. Tambin
puede supervisar el estado de enlace desde el widget Interfaces en el
Panel.
Primeros pasos
25
Primeros pasos
Configuracin de polticas de NAT

Basndose en la topologa de ejemplo que utilizamos para crear las interfaces y las zonas, hay tres polticas NAT
que necesitamos crear de la manera siguiente:
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas debern traducirse a direcciones enrutables pblicamente. En este caso, configuraremos NAT de
origen, utilizando la direccin de interfaz de salida, 208.80.56.100, como la direccin de origen en todos los
paquetes que salgan del cortafuegos desde la zona interna. Consulte Traduccin de direcciones IP de clientes
internos a su direccin IP pblica para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web pblico en la zona DMZ,
necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la bsqueda de
tabla de enrutamiento original determinar que debe ir, basndose en la direccin de destino de 208.80.56.11
dentro del paquete, a la direccin real del servidor web de la red DMZ de 10.1.1.11. Para ello, deber crear
una regla NAT desde la zona fiable (donde se encuentra la direccin de origen del paquete) hasta la zona no
fiable (donde se encuentra la direccin de destino) para traducir la direccin de destino a una direccin de la
zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitacin de clientes
de la red interna para acceder a sus servidores pblicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una direccin IP privada en la red DMZ como una
direccin pblica para que accedan usuarios externos) enve y reciba solicitudes, el cortafuegos debe traducir
los paquetes entrantes desde la direccin IP pblica hacia la direccin IP privada y los paquetes salientes
desde la direccin IP privada hacia la direccin IP pblica. En el cortafuegos, puede conseguir esto con una
nica poltica NAT de origen esttico bidireccional. Consulte Habilitacin de la traduccin de direcciones
bidireccional para sus servidores pblicos.
26
Primeros pasos
Primeros pasos
Traduccin de direcciones IP de clientes internos a su direccin IP pblica

Cuando un cliente de su red interna enva una solicitud, la direccin de origen del paquete contiene la direccin
IP del cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del cliente no se
podrn enrutar en Internet a menos que traduzca la direccin IP de origen de los paquetes que salen de la red
a una direccin enrutable pblicamente. En el cortafuegos, puede realizar esta accin configurando una poltica
NAT de origen que traduzca la direccin de origen y opcionalmente el puerto a una direccin pblica. Un modo
de hacerlo es traducir la direccin de origen de todos los paquetes a la interfaz de salida de su cortafuegos, como
se muestra en el procedimiento siguiente.
Configuracin de NAT de origen
Paso 1
Cree un objeto de direccin para la

direccin IP externa que tenga la
intencin de utilizar.
1.
Desde la interfaz web, seleccione Objetos > Direcciones y, a

continuacin, haga clic en Aadir.
2.
Introduzca un Nombre y opcionalmente una Descripcin para

el objeto.
3.
Seleccione Mscara de red IP en el men desplegable Tipo y, a

continuacin, introduzca la mscara de red y la direccin IP de
la interfaz externa en el cortafuegos, 208.80.56.100/24 en este
ejemplo.
4.
Para guardar el objeto de direccin, haga clic en Aceptar.
Aunque no tiene que utilizar objetos de direccin en sus polticas, es
una prctica recomendada porque simplifica la administracin al
permitirle realizar actualizaciones en un lugar en vez de tener que
actualizar cada poltica donde se hace referencia a la direccin.
Primeros pasos
27
Primeros pasos
Configuracin de NAT de origen (Continuacin)
Paso 2
Cree la poltica NAT.

1. Seleccione Polticas > NAT y haga clic en
Aadir.
2. Introduzca un Nombre descriptivo para
la poltica.
3. En la pestaa Paquete original,
seleccione la zona que cre para su red
interna en la seccin Zona de origen
(haga clic en Aadir y, a continuacin,
seleccione la zona) y la zona que cre para
la red externa en el men desplegable
Zona de destino.
4. En la pestaa Paquete traducido, seleccione IP dinmica y puerto en el men desplegable Tipo de
traduccin en la seccin Traduccin de direccin de origen de la pantalla y, a continuacin, haga clic en
Aadir. Seleccione el objeto de direccin que cre en el Paso 1.
5. Haga clic en Aceptar para guardar la
poltica NAT.
Paso 3
Guarde la configuracin.
Habilitacin de clientes de la red interna para acceder a sus servidores pblicos

Cuando un usuario de la red interna enve una solicitud para acceder al servidor web corporativo en DMZ, el
servidor DNS se resolver en la direccin IP pblica. Al procesar la solicitud, el cortafuegos utilizar el destino
original del paquete (la direccin IP pblica) y enrutar el paquete a la interfaz de salida para la zona no fiable.
Para que el cortafuegos sepa que debe traducir la direccin IP pblica del servidor web a una direccin de la red
DMZ cuando reciba solicitudes de usuarios en la zona fiable, deber crear una regla NAT de destino que permita
al cortafuegos enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.
28
Primeros pasos
Primeros pasos
Configuracin de NAT de ida y vuelta
Paso 1
Paso 2
Cree un objeto de direccin para el

servidor web.
1.

2.

el objeto.
3.

continuacin, introduzca la mscara de red y la direccin IP
pblica del servidor web, 208.80.56.11/24 en este ejemplo.
4.

Aadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
3. En la pestaa Paquete original, seleccione
la zona que cre para su red interna en la
seccin Zona de origen (haga clic en
Aadir y, a continuacin, seleccione la
zona) y la zona que cre para la red externa
en el men desplegable Zona de destino.
4. En la seccin Direccin de destino, haga clic en Aadir y seleccione el objeto de direccin que cre para su
servidor web pblico.
5. En la pestaa Paquete traducido,
seleccione la casilla de verificacin
Traduccin de direccin de destino y, a
continuacin, introduzca la direccin IP

asignada a la interfaz del servidor web de la
red DMZ, 10.1.1.11 en este ejemplo.
6. Haga clic en Aceptar para guardar la
poltica NAT.
Paso 3
Habilitacin de la traduccin de direcciones bidireccional para sus servidores pblicos

Cuando sus servidores pblicos tengan direcciones IP privadas asignadas en el segmento de red en el que se
encuentran fsicamente, necesitar una regla NAT de origen para traducir la direccin de origen del servidor a
la direccin externa en el momento de la salida. Puede realizar esta accin creando una regla NAT esttica que
indique al cortafuegos que debe traducir la direccin de origen interna, 10.1.1.11, a la direccin del servidor web
externa, 208.80.56.11 en nuestro ejemplo. Sin embargo, en el caso de un servidor pblico, el servidor debe poder
enviar paquetes y recibirlos. En este caso, necesita una poltica recproca que traduzca la direccin pblica que
Primeros pasos
29
Primeros pasos
ser la direccin IP de destino en paquetes entrantes de usuarios de Internet a la direccin privada para permitir
que el cortafuegos enrute correctamente el paquete a su red DMZ. En el cortafuegos, puede realizar esta accin
creando una poltica NAT esttica bidireccional como se describe en el procedimiento siguiente.
Configuracin de NAT bidireccional
Paso 1
Cree un objeto de direccin para la

direccin IP interna del servidor web.
1.

2.

el objeto.
3.

continuacin, introduzca la mscara de red y la direccin IP del
servidor web en la red DMZ, 10.1.1.11/24 en este ejemplo.
4.
Nota
Paso 2
Si todava no ha creado un objeto de direccin para la

direccin pblica de su servidor web, tambin debera crear
ese objeto ahora.

Aadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
3. En la pestaa Paquete original, seleccione
la zona que cre para su DMZ en la seccin
Zona de origen (haga clic en Aadir y, a
continuacin, seleccione la zona) y la zona
que cre para la red externa en el men
desplegable Zona de destino.
4. En la seccin Direccin de origen, haga clic en Aadir y seleccione el objeto de direccin que cre para su
direccin de servidor web interno.
5. En la pestaa Paquete traducido,
seleccione IP esttica en el men
desplegable Tipo de traduccin de la
seccin Traduccin de direccin de
origen y, a continuacin, seleccione el
objeto de direccin que cre para su
direccin de servidor web externo en el
men desplegable Direccin traducida.
6. En el campo Bidireccional, seleccione S.
7. Haga clic en Aceptar para guardar la poltica NAT.
Paso 3
30
Primeros pasos
Primeros pasos
Configuracin de polticas de seguridad bsicas

Las polticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de poltica que puede
crear en el cortafuegos son: polticas de seguridad, NAT, calidad de servicio (QoS), reenvo basado en polticas
(PFB), descifrado, cancelacin de aplicaciones, portal cautivo, denegacin de servicio y proteccin de zonas.
Todas estas diferentes polticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones segn sea necesario para ayudar a
proteger su red. Esta seccin cubre las polticas de seguridad bsicas y los perfiles de seguridad predeterminados:
Creacin de reglas de seguridad
Comprobacin de sus polticas de seguridad
Supervisin del trfico de su red
Creacin de reglas de seguridad

Las polticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y
realizar un seguimiento del trfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implcita
para pasar trfico entre dos zonas diferentes es de denegacin, con lo que el trfico de dentro de una zona est
permitido. Para permitir el trfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el
flujo de trfico entre ellas.
Al configurar el marco bsico para proteger el permetro empresarial, es conveniente empezar con una poltica
de seguridad sencilla que permita el trfico entre las diferentes zonas sin ser demasiado restrictiva. Como se
muestra en la seccin siguiente, nuestro objetivo es reducir al mnimo la probabilidad de interrupcin de las
aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las
aplicaciones y las posibles amenazas para su red.
Al definir polticas, asegrese de que no crea una poltica que deniegue todo el trfico de
cualquier zona de origen a cualquier zona de destino, ya que esto interrumpir el trfico intrazona
que se permite de manera implcita. De manera predeterminada, se permite el trfico intrazona
porque las zonas de origen y de destino son las mismas y, por lo tanto, comparten el mismo nivel
de fiabilidad.
Primeros pasos
31
Primeros pasos
Definicin de reglas de seguridad bsicas
Paso 1
Permita el acceso a Internet a todos los

usuarios de la red empresarial.
Zona: De fiable a no fiable
Nota
Para habilitar de manera segura aplicaciones necesarias para

operaciones comerciales cotidianas, crearemos una regla sencilla que
permitir el acceso a Internet. Para proporcionar una proteccin
bsica contra amenazas, adjuntaremos los perfiles de seguridad
predeterminados disponibles en el cortafuegos.
1. Seleccione Polticas > Seguridad y haga clic en Aadir.
De manera predeterminada, el
cortafuegos incluye una regla de
seguridad denominada regla1 que permite
2.
todo el trfico desde la zona fiable a la
zona no fiable. Puede eliminar la regla o 3.
modificarla para reflejar su convencin de 4.
denominacin de zonas.
Asigne a la regla un nombre descriptivo en la pestaa General.

En la pestaa Origen, establezca Zona de origen como Fiable.
En la pestaa Destino, establezca Zona de destino como No
fiable.
Nota
5.
6.
Para inspeccionar las reglas de poltica e identificar

visualmente las zonas de cada regla, cree una etiqueta con
el mismo nombre que la zona. Por ejemplo, para codificar
por colores la zona fiable y asignarle el color verde,
seleccione Objetos > Etiquetas, haga clic en Aadir,
indique Fiable en el campo Nombre y seleccione el color
verde en el campo Color.
En la pestaa Categora de URL/servicio, seleccione

servicio-http y servicio-https.
En la pestaa Acciones, realice estas tareas:
a. Establezca Configuracin de accin como Permitir.
b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, en Ajuste de perfil.
7.
32
Verifique que los logs estn habilitados al final de una sesin

bajo Opciones. nicamente se registrar el trfico que coincida
con una regla de seguridad.
Primeros pasos
Primeros pasos
Definicin de reglas de seguridad bsicas (Continuacin)
Paso 2
Nota
Permita que los usuarios de la red interna 1.

accedan a los servidores en DMZ.
2.
Asigne a la regla un nombre descriptivo en la pestaa General.
Zona: De fiable a DMZ
En la pestaa Origen, establezca Zona de origen como Fiable.
3.
Si utiliza direcciones IP para configurar el 4.

acceso a los servidores en DMZ,
5.
asegrese siempre de hacer referencia a
las direcciones IP originales del paquete
(es decir, las direcciones anteriores a
6.
NAT) y la zona posterior a NAT.
7.
Paso 3
Restrinja el acceso desde Internet a los

servidores en DMZ nicamente a
direcciones IP de servidor especficas.
Por ejemplo, puede permitir que los
usuarios accedan a los servidores de
correo web nicamente desde fuera.
Zona: De no fiable a DMZ
Haga clic en Aadir en la seccin Polticas > Seguridad.
En la pestaa Destino, establezca Zona de destino como DMZ.

En la pestaa Categora de URL/servicio, asegrese de que
Servicio est establecido como Valor predeterminado de
aplicacin.
En la pestaa Acciones, establezca Configuracin de accin
como Permitir.
Deje el resto de opciones con los valores predeterminados.
Para restringir el acceso entrante a DMZ desde Internet, configure

una regla que nicamente permita el acceso a direcciones IP de
servidores especficos y en los puertos predeterminados que utilicen
las aplicaciones.
1. Haga clic en Aadir para aadir una nueva regla y asignarle un
nombre descriptivo.
2.
En la pestaa Origen, establezca Zona de origen como No

fiable.
3.
En la pestaa Destino, establezca Zona de destino como DMZ.
4.
Establezca Direccin de destino como el objeto de direccin

Servidor web pblico que cre anteriormente. El objeto de
direccin de servidor web pblico hace referencia a la direccin
IP pblica (208.80.56.11/24) del servidor web accesible en
DMZ.
5.
Seleccione la aplicacin de correo web en la pestaa Aplicacin.
Nota
6.
Primeros pasos
El Servicio est establecido como Valor predeterminado

de aplicacin de manera predeterminada.
Establezca Configuracin de accin como Permitir.
33
Primeros pasos
Paso 4
Permita el acceso desde DMZ a su red

interna (zona fiable). Para reducir al
mnimo los riesgos, nicamente debe
permitir el trfico entre servidores y
direcciones de destino especficos. Por
ejemplo, si tiene un servidor de aplicacin
en DMZ que necesita comunicarse con
un servidor de base de datos especfico de
su zona fiable, cree una regla para permitir
el trfico entre un origen y un destino
especficos.
1.
Haga clic en Aadir para aadir una nueva regla y asignarle un

nombre descriptivo.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como Fiable.
4.
Cree un objeto de direccin que especifique los servidores de su

zona fiable a los que se puede acceder desde DMZ.
5.
En la pestaa Destino de la regla de poltica de seguridad,

establezca Direccin de destino como el objeto Direccin que
cre anteriormente.
6.
En la pestaa Acciones, realice estas tareas:
Zona: De DMZ a fiable
a. Establezca Configuracin de accin como Permitir.

b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades bajo Ajuste
de perfil.
c. En la seccin Otros ajustes, seleccione la opcin
Deshabilitar inspeccin de respuesta de servidor. Este
ajuste deshabilita el anlisis antivirus y antispyware en las
respuestas del lado del servidor, con lo que reduce la carga del
cortafuegos.
34
Primeros pasos
Primeros pasos
Paso 5
Habilite los servidores de DMZ para

obtener actualizaciones y correcciones
urgentes de Internet. Por ejemplo,
digamos que desea permitir el servicio
Microsoft Update.
1.
Aada una nueva regla y asgnele una etiqueta descriptiva.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como No fiable.
4.
Cree un grupo de aplicaciones para especificar las aplicaciones

que desee permitir. En este ejemplo, permitimos actualizaciones
de Microsoft (ms-update) y dns.
Zona: De DMZ a no fiable
Nota
El Servicio est establecido como Valor predeterminado

de aplicacin de manera predeterminada. Esto har que el
cortafuegos permita las aplicaciones nicamente cuando
utilicen los puertos estndar asociados a estas aplicaciones.
Paso 6
Guarde sus polticas en la configuracin

que se est ejecutando en el dispositivo.
Primeros pasos
5.
Establezca Configuracin de accin como Permitir.
6.
Adjunte los perfiles predeterminados para la proteccin

antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.
35
Primeros pasos
Comprobacin de sus polticas de seguridad

Para verificar que ha configurado sus polticas bsicas de manera eficaz, compruebe si sus polticas de seguridad
se estn evaluando y determine qu regla de seguridad se aplica a un flujo de trfico.
Verificacin de coincidencia de poltica con un
flujo
Para verificar la regla de poltica que coincide con

un flujo, utilice el siguiente comando de la CLI:
test security-policy-match
source <IP_address> destination
<IP_address> destination port
<port_number> protocol
<protocol_number>
El resultado muestra la regla que coincide mejor
con la direccin IP de origen y destino especificada
en el comando de la CLI.
Por ejemplo, para verificar la regla de poltica que se aplicar a

un servidor en DMZ con la direccin IP 208.90.56.11 cuando
accede al servidor de actualizacin de Microsoft, deber
probar con el comando siguiente:
test security-policy-match source 208.80.56.11
destination 176.9.45.70 destination-port 80
protocol 6
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
Supervisin del trfico de su red

Ahora que tiene establecida una poltica de seguridad bsica, podr revisar las estadsticas y los datos en el
Centro de comando de aplicacin (ACC), logs de trfico y logs de amenazas para observar tendencias en su red
y as identificar dnde necesita crear polticas ms especficas.
A diferencia de los cortafuegos tradicionales que utilizan un puerto o protocolo para identificar aplicaciones, los
cortafuegos de Palo Alto Networks utilizan la firma de aplicaciones (la tecnologa App-ID) para supervisar
aplicaciones. La firma de aplicaciones se basa en propiedades de aplicaciones exclusivas y caractersticas de
transacciones relacionadas junto con el puerto o protocolo. Por lo tanto, aunque el trfico utilice el
puerto/protocolo correcto, el cortafuegos puede denegar el acceso al contenido porque la firma de aplicacin
no coincide. Esta funcin le permite habilitar aplicaciones de manera segura permitiendo partes de la aplicacin
al mismo tiempo que bloquea o controla funciones dentro de la misma aplicacin. Por ejemplo, si permite la
aplicacin de exploracin web, un usuario podr acceder a contenido de Internet. As, si un usuario entra en
Facebook y luego juega al Scrabble en Facebook, el cortafuegos identificar los cambios de aplicacin y
reconocer Facebook como una aplicacin y Scrabble como una aplicacin de Facebook. Por lo tanto, si crea una regla
especfica que bloquee las aplicaciones de Facebook, se denegar el acceso a Scrabble para el usuario aunque
todava podr acceder a Facebook.
36
Primeros pasos
Primeros pasos
Para supervisar el trfico de su red:
Uso del centro de comando de aplicacin: En el ACC, revise las aplicaciones ms utilizadas y las aplicaciones
de alto riesgo en su red. El ACC resume grficamente la informacin de logs para resaltar las aplicaciones
que cruzan la red, quin las est utilizando (con el User-ID habilitado) y el posible impacto en la seguridad
del contenido para ayudarle a identificar qu sucede en la red en tiempo real. A continuacin, podr utilizar
esta informacin para crear polticas de seguridad adecuadas que bloqueen las aplicaciones no deseadas y que
permitan y habiliten aplicaciones de manera segura.
Determine qu actualizaciones/modificaciones son necesarias para sus reglas de seguridad de red e

implemente los cambios. Por ejemplo:
Evale si desea permitir contenido basndose en la programacin, los usuarios o los grupos.
Permita o controle determinadas aplicaciones o funciones dentro de una aplicacin.
Descifre e inspeccione contenido.
Permita con exploracin en busca de amenazas y explotaciones.

Para obtener informacin sobre cmo ajustar sus polticas de seguridad y para adjuntar perfiles de
seguridad personalizados, consulte Habilitacin de funciones de prevencin de amenazas bsicas.
Visualizacin de los archivos log: De manera especfica, visualice los logs de trfico y amenaza (Supervisar >
Logs).
Los logs de trfico dependen del modo en que sus polticas de seguridad estn definidas y
configuradas para registrar el trfico. Sin embargo, la pestaa ACC registra aplicaciones y
estadsticas independientemente de la configuracin de las polticas; muestra todo el trfico que
se permite en su red, por lo que incluye el trfico entre zonas que permite la poltica y el trfico
de la misma zona que se permite implcitamente.
Interpretacin de los logs de filtrado de URL: Revise los logs de filtrado de URL para examinar alertas,
y categoras/URL denegadas. Los logs de URL se generan cuando un trfico coincide con una regla de
seguridad que tenga un perfil de filtrado de URL adjunto con una accin de alertar, continuar, sobrescribir
o bloquear.
Primeros pasos
37
Primeros pasos
Habilitacin de funciones de prevencin de amenazas

bsicas
El cortafuegos de prxima generacin de Palo Alto Networks tiene funciones exclusivas de prevencin de
amenazas que le permiten proteger su red de ataques frente a tcnicas de evasin, tunelizacin o elusin. Las
funciones de prevencin de amenazas del cortafuegos incluyen el servicio WildFire, los perfiles de seguridad
que admiten las funciones Antivirus, Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL,
Bloqueo de archivos y Filtrado de datos y las funciones Denegacin de servicio (DoS) y Proteccin de zona.
Antes de que pueda aplicar funciones de prevencin de amenazas, primero debe configurar
zonas (para identificar una o ms interfaces de origen o destino) y polticas de seguridad. Para
configurar interfaces, zonas y las polticas necesarias para aplicar funciones de prevencin de
amenazas, consulte Configuracin de interfaces y zonas y Configuracin de polticas de
seguridad bsicas.
Para empezar a proteger su red ante amenazas, comience por aqu:
Habilitacin de WildFire
Exploracin del trfico en busca de amenazas
Control del acceso a contenido web
El servicio WildFire se incluye como parte del producto bsico. El servicio WildFire permite que el cortafuegos
reenve archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier
actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan
automticamente firmas de software malintencionado que estarn disponibles en las descargas diarias del
antivirus en un plazo de 24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones
de firmas de antivirus que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
Capacidad para cargar archivos usando la API de WildFire
Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado

Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable
Executable (PE) a la nube de WildFire para su anlisis es gratuita, para reenviar archivos a un dispositivo
WildFire privado se requiere una suscripcin a WildFire.
38
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Confirme que su dispositivo est

registrado y que tiene una cuenta vlida
de asistencia tcnica, as como las
suscripciones que requiera.
Establezca las opciones de reenvo de

WildFire.
1.
Vaya al sitio de asistencia tcnica de Palo Alto Networks, inicie

sesin y seleccione Mis dispositivos.
2.
Verifique que el cortafuegos se incluye en la lista. Si no aparece,

consulte Register With Palo Alto Networks.
3.
(Opcional) Activacin de licencias.
1.
Seleccione Dispositivo > Configuracin > WildFire.
2.
Haga clic en el icono Editar de la seccin Configuracin general.
3.
(Opcional) Especifique el Servidor de WildFire al que reenviar

archivos. De forma predeterminada, el cortafuegos reenviar los
archivos a la nube pblica de WildFire alojada en EE. UU. Para
reenviar archivos a una nube de WildFire diferente, introduzca
un nuevo valor de la manera siguiente:
Para reenviar a una nube privada de WildFire, introduzca la
direccin IP o el nombre de dominio completo (FQDN) de
su dispositivo WF-500 WildFire.
Para reenviar archivos a la nube pblica de WildFire que se
ejecuta en Japn, introduzca
wildfire.paloaltonetworks.jp.
Nota
Paso 3
Paso 4
Si no tiene una suscripcin a WildFire,

nicamente podr reenviar archivos
ejecutables.
Configure un perfil de bloqueo de

archivos para reenviar archivos a
WildFire.
4.
(Opcional) Si desea cambiar el tamao de archivo mximo que

el cortafuegos puede reenviar para un tipo de archivo especfico,
modifique el valor en el campo correspondiente.
5.
Haga clic en ACEPTAR para guardar los cambios.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de

archivos y haga clic en Aadir.
2.
Introduzca un nombre y, opcionalmente, una descripcin para

el perfil.
3.
Haga clic en Aadir para crear una regla de reenvo e introduzca

un nombre.
4.
En la columna Accin, seleccione Reenviar.
5.
Deje los otros campos establecidos como Cualquiera para

reenviar cualquier tipo de archivo compatible desde cualquier
aplicacin.
6.
Haga clic en Aceptar para guardar el perfil.
Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder a Internet.
Primeros pasos
Seleccione Polticas > Seguridad y bien seleccione una poltica

existente o cree una nueva poltica segn se describe en
Creacin de reglas de seguridad.
2.
Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.
3.
En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que
cre para el reenvo de WildFire. (Si no ve ningn men
desplegable en el que seleccionar un perfil, seleccione Perfiles
en el men desplegable Tipo de perfil.
39
Primeros pasos
Habilitacin de WildFire (Continuacin)
Paso 5
Paso 6
Verifique que el cortafuegos est

reenviando archivos a WildFire.
1.
Seleccione Supervisar > Logs > Filtrado de datos.
2.
Compruebe en la columna Accin las siguientes acciones:

Reenviar: Indica que el perfil de bloqueo de archivos
adjuntado a la poltica de seguridad reenvi el archivo de
forma correcta.
Wildfire-upload-success: Indica que el archivo se ha
enviado a WildFire. Esto significa que el archivo no est
firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
Wildfire-upload-skip: Indica que el archivo se identific
como apto para enviarse a WildFire por un perfil de bloqueo
de archivos o una poltica de seguridad, pero que no fue
necesario que WildFire lo analizase porque ya se haba
analizado previamente. En este caso, la accin mostrar
reenviar aparecer en el registro de filtrado de datos porque
era una accin de reenvo vlida, pero que no se envi y
analiz en WildFire porque el archivo ya se envi a la nube de
WildFire desde otra sesin, posiblemente desde otro
cortafuegos.
3.
Consulte los registros de WildFire seleccionando Supervisar >

Logs > Envos de WildFire. Si aparecen nuevos logs de
WildFire, se debe a que el cortafuegos est reenviando
correctamente los archivos a WildFire y a que WildFire est
devolviendo los resultados del anlisis de archivos.
Exploracin del trfico en busca de amenazas

Los perfiles de seguridad proporcionan proteccin ante amenazas en polticas de seguridad. Por ejemplo, puede
aplicar un perfil de antivirus a una poltica de seguridad y todo el trfico que coincida con las polticas de
seguridad se analizar para buscar virus.
Las siguientes secciones indican los pasos necesarios para establecer una configuracin de prevencin de
amenazas bsica:
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades
Configuracin de bloqueo de archivos

Cada cortafuegos de prxima generacin de Palo Alto Networks incluye perfiles predeterminados de antivirus,
antispyware y proteccin contra vulnerabilidades que puede adjuntar a polticas de seguridad.
40
Primeros pasos
Primeros pasos
Como prctica recomendada, adjunte los perfiles predeterminados a sus polticas de acceso web
bsicas para garantizar que el trfico que entre en su red est libre de amenazas.
A medida que supervisa el trfico de su red y ampla su base de reglas de polticas, puede disear perfiles ms
detallados que cubran sus necesidades de seguridad especficas. Todas las firmas antispyware y de proteccin contra
vulnerabilidades tienen una accin predeterminada definida por Palo Alto Networks. Puede ver la accin
predeterminada navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad >
Proteccin contra vulnerabilidades y, a continuacin, seleccionando un perfil. Haga clic en la pestaa Excepciones y
despus en Mostrar todas las firmas; ver una lista de las firmas con la accin predeterminada en la columna Accin.
Para cambiar la accin predeterminada, debe crear un nuevo perfil y despus crear reglas con una accin no
predeterminada o aadir excepciones de firma individuales en la pestaa Excepciones del perfil.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de

prevencin de amenazas.
La licencia de prevencin de amenazas rene en una licencia las

funciones de antivirus, antispyware y proteccin contra
vulnerabilidades.
Seleccione Dispositivo > Licencias para comprobar que la licencia
de prevencin de amenazas est instalada y es vlida (compruebe
la fecha de vencimiento).
Paso 2
Paso 3
Descargue las firmas de amenazas de

antivirus ms recientes.
Programe actualizaciones de firmas.
1.
Seleccione Dispositivo > Actualizaciones dinmicas y haga clic

en Comprobar ahora en la parte inferior de la pgina para
recuperar las firmas ms recientes.
2.
En la columna Acciones, haga clic en Descargar para instalar

las firmas ms recientes de antivirus y de aplicaciones y
amenazas.
1.
Desde Dispositivo > Actualizaciones dinmicas, haga clic en el

texto que hay a la derecha de Programacin para recuperar
automticamente las actualizaciones de firmas de Antivirus y
Aplicaciones y amenazas.
2.
Especifique la frecuencia y sincronizacin de las actualizaciones

y si la actualizacin se descargar e instalar o nicamente se
descargar. Si selecciona nicamente descargar, tendr que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Accin para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar
una compilacin.
3.
(Opcional) Tambin puede introducir un nmero de horas en el

campo Umbral para indicar el tiempo mnimo que debe tener
una firma antes de realizar la descarga. Por ejemplo, si introduce
10, la firma debe tener al menos 10 horas de antigedad antes de
poder descargarla, independientemente de la programacin.
4.
En una configuracin de HA, tambin puede hacer clic en la

opcin Sincronizar en el peer para sincronizar la actualizacin
de contenido con el peer de HA tras la descarga/instalacin.
Esto no har que se apliquen los ajustes de programacin al
dispositivo del peer, sino que tendr que configurar la
programacin en cada dispositivo.
Prctica recomendada para actualizaciones:

Realice una descarga e instalacin diariamente
para recibir actualizaciones de antivirus y
semanalmente para recibir actualizaciones de
aplicaciones y amenazas.
Primeros pasos
41
Primeros pasos
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades (Continuacin)

Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Paso 4
Paso 5
Aada los perfiles de seguridad a una

poltica de seguridad.
1.
Seleccione Polticas > Seguridad, seleccione la poltica deseada

para modificarla y, a continuacin, haga clic en la pestaa
Acciones.
2.
En Ajuste de perfil, haga clic en el men desplegable junto a

cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos el valor predeterminado de Antivirus,
Proteccin contra vulnerabilidades y Antispyware.
(Si no ve mens desplegables para seleccionar perfiles,
seleccione Perfiles en el men desplegable Tipo de perfil).

Los perfiles de bloqueo de archivos le permiten identificar tipos de archivos especficos que desee bloquear o
supervisar. El siguiente flujo de trabajo muestra cmo configurar un perfil de bloqueo de archivos bsico que
impide que los usuarios descarguen archivos ejecutables de Internet.
42
Primeros pasos
Primeros pasos
Paso 1
Paso 2
Cree el perfil de bloqueo de archivos.
Configure las opciones de bloqueo de

archivos.
1.

2.
Introduzca un nombre para el perfil de bloqueo de archivos, por

ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripcin, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.
1.
Haga clic en Aadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como Bloquear_EXE.
3.
Establezca las aplicaciones a las que desee aplicar el bloqueo de

archivos o djelas establecidas como cualquiera.
4.
Establezca los tipos de archivos que se bloquearn. Por

ejemplo, para bloquear la descarga de archivos ejecutables,
debera seleccionar exe.
5.
Especifique la direccin en la que bloquear la descarga de

archivos, la carga de archivos o ambas.
6.
Establezca la accin como una de las siguientes:

Continuar: Los usuarios debern hacer clic en Continuar
para seguir con la descarga/carga. Debe habilitar pginas de
respuesta en las interfaces asociadas si tiene la intencin de
utilizar esta opcin.
Bloquear: Los archivos que coincidan con los criterios
seleccionados tendrn su descarga/carga bloqueada.
Alertar: Los archivos que coincidan con los criterios
seleccionados estarn permitidos, pero generarn una
entrada de log en el log de filtrado de datos.
7.
Paso 3
Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder al contenido.
Primeros pasos

Seleccione Polticas > Seguridad y seleccione una poltica
Creacin de reglas de seguridad.
2.
Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.
3.
En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que
cre. (Si no ve mens desplegables para seleccionar perfiles,
seleccione Perfiles en el men desplegable Tipo de perfil).
43
Primeros pasos
Configuracin de bloqueo de archivos (Continuacin)
Paso 4
Paso 5
Habilite pginas de respuesta en el perfil 1.

de gestin para cada interfaz en la que est
adjuntando un perfil de bloqueo de
archivos con una accin Continuar.
2.
Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.
Seleccione Pginas de respuesta, as como cualquier otro
servicio de gestin necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.
5.
En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuracin de la

interfaz.
Para comprobar la configuracin de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del
cortafuegos y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una
pgina de respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones,
como nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una
pgina que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de
Bloqueo de archivos:
Ejemplo: Pgina de respuesta de bloqueo de archivos predeterminada
Control del acceso a contenido web

El filtrado de URL proporciona visibilidad y control sobre el trfico web de su red. Con el filtrado de URL
habilitado, el cortafuegos puede categorizar el trfico web en una o ms categoras (de aproximadamente 60). A
continuacin, puede crear polticas que especifiquen si se permite, bloquea o crea un log (alerta) para el trfico
basndose en la categora a la que pertenece. El siguiente flujo de trabajo muestra cmo habilitar PAN-DB para
el filtrado de URL, crear perfiles de seguridad y adjuntarlos a polticas de seguridad para aplicar una poltica de
filtrado de URL bsica.
44
Primeros pasos
Primeros pasos
Configuracin de filtrado de URL
Paso 1
Paso 2
Confirme la informacin de la licencia

para el filtrado de URL.
Descargue la base de datos de envos y

active la licencia.
1.
Obtenga e instale una licencia de filtrado de URL. Consulte

Activacin de licencias para obtener informacin detallada.
2.
Seleccione Dispositivo > Licencias y compruebe que la licencia

de filtrado de URL es vlida.
1.
Para descargar la base de datos de envos, haga clic en

Descargar junto a Descargar estado en la seccin Filtrado de
URL de PAN-DB de la pgina Licencias.

2.
Seleccione una regin (Norteamrica, Europa, APAC, Japn) y,

a continuacin, haga clic en Aceptar para iniciar la descarga.
3.
Cuando finalice la descarga, haga clic en Activar.
Cree un perfil de filtrado de URL.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
Prctica recomendada para nuevos perfiles:
2.
Seleccione el perfil predeterminado y, a continuacin, haga clic

en Duplicar. El nuevo perfil se denominar predeterminado-1.
3.
Seleccione el nuevo perfil y cmbiele el nombre.
Paso 3
Dado que el perfil de filtrado de URL

predeterminado bloquea el contenido de riesgo y
propenso a las amenazas, duplique este perfil
cuando cree un nuevo perfil para conservar la
configuracin predeterminada.
Primeros pasos
45
Primeros pasos
Configuracin de filtrado de URL (Continuacin)
Paso 4
Defina cmo controlar el acceso al

contenido web.
1.
Si no est seguro de qu trfico desea

controlar, considere configurar las
categoras (excepto las bloqueadas de
forma predeterminada) en Alertar. A
continuacin puede utilizar las
herramientas de visibilidad en el
cortafuegos, como el Centro de comando
de aplicacin (ACC) y Appscope, para
determinar qu categoras web restringir a
grupos especficos o bloquear por
completo. A continuacin, puede volver y
modificar el perfil para bloquear y
permitir categoras del modo deseado.
En cada categora para la que quiera visibilidad o que quiera

controlar, seleccione un valor en la columna Accin de la
siguiente forma:
Si no se preocupa por el trfico a una categora concreta
(es decir, que no quiere bloquear ni registrar), seleccione
Permitir.
Para obtener visibilidad sobre el trfico a sitios de una
categora, seleccione Alertar.
Para evitar el acceso a trfico que coincida con la poltica
asociada, seleccione Bloquear (esto tambin genera una
entrada de log).
Tambin puede definir sitios web

especficos que deben permitirse siempre
o bloquearse siempre
independientemente de la categora y
habilitar la opcin de bsqueda segura
para filtrar los resultados de bsqueda al
definir el perfil de Filtrado de URL.
Paso 5
Adjunte el perfil de filtro de URL a una

2.
Haga clic en Aceptar para guardar el perfil de filtro de URL.
1.
Seleccione Polticas > Seguridad.
2.
Seleccione la poltica deseada para modificarla y despus haga

clic en la pestaa Acciones.
3.
Si es la primera vez que define un perfil de seguridad, seleccione

Perfiles en el men desplegable Tipo de perfil.
46
4.
En la lista de configuracin de perfiles, seleccione el perfil que

acaba de crear en el men desplegable Filtrado de URL. (Si no
ve mens desplegables para seleccionar perfiles, seleccione
Perfiles en el men desplegable Tipo de perfil).
5.
Haga clic en ACEPTAR para guardar el perfil.
6.
Compile la configuracin.
Primeros pasos
Primeros pasos
Configuracin de filtrado de URL (Continuacin)
Paso 6
Habilite pginas de respuesta en el perfil 1.

de gestin en cada interfaz en la que filtre
trfico web.

2.
Seleccione Pginas de respuesta, as como cualquier otro

servicio de gestin necesario en la interfaz.
3.

interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.
5.
En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuracin de la

interfaz.
Paso 7
Paso 8
Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la poltica de
seguridad y trate de acceder a un sitio de una categora bloqueada. Debe ver una pgina de respuesta de filtrado
de URL que indica que la pgina se ha bloqueado:
Cmo obtener ms informacin

Si desea informacin ms detallada sobre cmo proteger su empresa ante amenazas, consulte Prevencin de
amenazas. Si desea informacin detallada sobre cmo explorar el trfico cifrado (SSH o SSL) en busca de
amenazas, consulte Descifrado.
Si desea ms informacin sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto
Networks, visite los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
Primeros pasos
47
Prcticas recomendadas para completar la implementacin del cortafuegos
Primeros pasos
Prcticas recomendadas para completar la implementacin

del cortafuegos
Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad bsicas, puede
empezar a configurar funciones ms avanzadas. Estos son algunos aspectos que debera considerar a
continuacin:
Obtenga informacin sobre las diferentes Interfaces de gestin que estn a su disposicin y cmo acceder
a ellas y utilizarlas.
Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuracin en la que dos
cortafuegos se colocan en un grupo y su configuracin se sincroniza para prevenir el fallo de un nico
punto en su red. Una conexin de latido entre los peers del cortafuegos garantiza una conmutacin por
error sin problemas en el caso de que falle un peer. La configuracin de los cortafuegos en un clster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
Configuracin de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestin en el cortafuegos. La prctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.
Gestin de administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks viene
preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (tambin conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administracin o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuracin (o modificacin) no autorizada y registrar en logs las acciones de cada uno de los
administradores.
Habilite la identificacin de usuarios (User-ID): User-ID es una funcin de cortafuegos de prxima

generacin de Palo Alto Networks que le permite crear polticas y realizar informes basndose en usuarios
y grupos en lugar de direcciones IP individuales.
Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el trfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como trfico cifrado o de tnel.
48
Primeros pasos
Gestin de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks mediante
la interfaz web, la CLI y las interfaces de gestin de la API. El acceso administrativo basado en funciones a las
interfaces de gestin puede personalizarse para delegar tareas o permisos especficos a determinados
administradores. Consulte los siguientes temas para obtener informacin sobre opciones de gestin de
dispositivos, incluido cmo empezar a utilizar las interfaces de gestin y cmo personalizar las funciones de
administrador:
Interfaces de gestin
Gestin de administradores de cortafuegos
Referencia: acceso de administrador a la interfaz web
49
Los cortafuegos de PAN-OS y Panorama proporcionan tres interfaces de usuario: una interfaz web, una interfaz
de lnea de comandos (CLI) y una API REST de gestin. Consulte los siguientes temas para saber cmo acceder
a cada una de las interfaces de gestin de dispositivos y cmo empezar a utilizarlas:
Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz grfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.
Uso de la interfaz de lnea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarqua de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rpidos y ofrece eficacia administrativa.
Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.
Uso de la interfaz web

Los siguientes exploradores web son compatibles para acceder a la interfaz web de cortafuegos de PAN-OS y
Panorama:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Abra un explorador de Internet e introduzca la direccin IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesin en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contrasea.
Para ver informacin sobre cmo utilizar una pgina especfica y una explicacin de los campos y opciones de
la pgina, haga clic en el icono Ayuda
del rea superior derecha de la pgina para abrir el sistema de
ayuda en lnea. Adems de mostrar ayuda contextual de una pgina, al hacer clic en el icono Ayuda se muestra
un panel de navegacin de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en l.
Los siguientes temas describen cmo empezar a utilizar la interfaz web del cortafuegos:
Navegacin en la interfaz web
Compilacin de cambios
Uso de pginas de configuracin
Campos obligatorios
Bloqueo de transacciones
50
Navegacin en la interfaz web

Se aplican las siguientes convenciones cuando utilice la interfaz web.
Para mostrar los elementos del men para una categora de funciones general, haga clic en la pestaa, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.
Haga clic en un elemento en el men lateral para mostrar un panel.
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda de un elemento.
Para ocultar elementos del men secundario, haga clic en el icono
a la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en Eliminar. En la
mayora de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminacin
haciendo clic en Cancelar.
En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma informacin que el elemento seleccionado.
51
Para modificar un elemento, haga clic en su enlace subrayado.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la pgina.
La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas.
Si no se define una preferencia de idioma, el idioma de la interfaz web estar controlado por el idioma actual
del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que utiliza para gestionar el cortafuegos tiene
como idioma establecido el espaol, cuando inicia sesin en el cortafuegos, la interfaz web estar en espaol.
Para especificar un idioma que se utilizar siempre para una cuenta especfica independientemente de la
configuracin regional del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la pgina y
se abrir la ventana Preferencia de idioma. Haga clic en la lista desplegable para seleccionar el idioma que
desee y, a continuacin, haga clic en ACEPTAR para guardar los cambios.
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina Configuracin en la
pestaa Dispositivos), haga clic en el icono en la esquina superior derecha de una seccin para editar los
ajustes.
52
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, se actualiza la configuracin actual de candidato.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo Compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de dispositivo y red en la
operacin de compilacin.
Incluir configuracin de objeto compartido:
(solo cortafuegos de sistemas virtuales) Incluir los cambios

de configuracin de objetos compartidos en la operacin de compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuracin
de objetos y polticas en la operacin de compilacin.
Incluir configuracin del sistema virtual:

ms sistemas virtuales.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos paneles que muestra
Incluir todos los sistemas virtuales o elegir Seleccionar uno o
los cambios propuestos en la configuracin del candidato en comparacin con la configuracin

actualmente en ejecucin. Puede seleccionar el nmero de lneas de contexto para mostrar o mostrar
todas las lneas. Los cambios estn indicados con colores dependiendo de los elementos que se han
agregado, modificado o eliminado.
53
Uso de pginas de configuracin

Las tablas en las pginas de configuracin incluyen opciones para escoger columnas y orden. Haga clic en el
encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga clic
en la flecha a la derecha de cualquier columna y seleccione casillas de verificacin para elegir qu columnas
mostrar.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratn o hace clic en el rea de
entrada del campo, aparece un mensaje indicando que el campo es obligatorio.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuracin o compilacin de informacin
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin: Bloquea la realizacin de cambios en la configuracin por otros administradores.

Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse
por el administrador que lo configur o por un superusuario del sistema.
Bloqueo de compilacin:
Bloquea los cambios de compilacin por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores estn realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplic el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que estn
bloqueadas junto con una marca de tiempo para cada una.
54
Para bloquear una transaccin, haga clic en el icono desbloqueado

en la barra superior para abrir el cuadro
de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito del bloqueo en la lista desplegable y haga
clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en Cerrar para cerrar
el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el
nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado

en la barra superior para abrir la ventana
Bloqueos. Haga clic en el icono del bloqueo
que desea eliminar y haga clic en S para confirmar. Haga clic
en Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica seleccionando la casilla de
verificacin Adquirir bloqueo de compilacin automticamente en el rea de administracin de la pgina
Configuracin de dispositivo.
Uso de la interfaz de lnea de comandos (CLI)

La CLI de PAN-OS le permite acceder a cortafuegos y dispositivos de Panorama, ver informacin de estado y
configuracin y modificar configuraciones. El acceso a la CLI de PAN-OS se proporciona a travs de SSH,
Telnet o acceso directo a la consola.
Los siguientes temas describen cmo acceder a la CLI de PAN-OS y cmo empezar a utilizarla:
Acceso a la CLI de PAN-OS
Modos de operacin y configuracin
Para obtener ms informacin sobre la CLI, consulte la Gua de referencia de la interfaz de lnea de comandos de
PAN-OS.

Antes de empezar, verifique que el cortafuegos est instalado y que se ha establecido una conexin de SSH,
Telnet o directa con la consola.
Utilice la siguiente configuracin en la conexin directa de la consola:
Tasa de datos: 9600
Bits de datos: 8
Paridad: No
Bits de terminacin: 1
Control de flujo: Ninguna
55
Paso 1
Abra la conexin de la consola.
Paso 2
Introduzca el nombre de usuario administrativo. El valor predeterminado es admin.
Paso 3
Introduzca la contrasea administrativa. El valor predeterminado es admin.
Paso 4
La CLI de PAN-OS se abre en el modo de operacin y se muestra el siguiente mensaje de la CLI:

username@hostname>
Modos de operacin y configuracin

Cuando inicie sesin, la CLI de PAN-OS se abre en el modo de operacin. Puede alternar entre los modos de
operacin y navegacin en cualquier momento. Utilice el modo de operacin para ver el estado del sistema,
navegar por la CLI de PAN-OS y acceder al modo de configuracin. Utilice el modo de configuracin para ver
y modificar la jerarqua de configuracin.
Para entrar en el modo de configuracin desde el modo de operacin, utilice el comando configure :
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
Para salir del modo de configuracin y regresar al modo de operacin, utilice el comando quit o exit:
username@hostname# quit
Exiting configuration mode
username@hostname>
Para introducir un comando del modo de operacin mientras est en el modo de configuracin, utilice el
comando run; por ejemplo:
username@hostname# run ping host 1.1.1.2

PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#
56
Para dirigir un comando del modo de operacin a un VSYS en particular, especifique el VSYS de destino
con el siguiente comando:
username@hostname# set system setting target-vsys <vsys_name>
Uso de la API XML

La API XML de Palo Alto Networks utiliza solicitudes HTTP estndar para enviar y recibir datos, lo que permite
el acceso a varios tipos de datos en el dispositivo para que los datos puedan integrarse fcilmente con otros
sistemas y utilizarse en ellos. Utilice la API REST de gestin para ver la configuracin de un cortafuegos o
Panorama, extraer datos de informes en formato XML y ejecutar comandos de operacin. Las llamadas de la
API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o wget o usando
cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST. Al
utilizar la API con herramientas de lneas de comandos, se admiten tanto el mtodo GET como el mtodo
POST de HTTP.
Debe generar una clave de API para empezar a utilizar la API XML. La clave de API autentica al usuario para
el cortafuegos, la aplicacin o Panorama. Despus de haber generado una clave de API, puede utilizar la clave
para realizar la configuracin del dispositivo y tareas de operacin, recuperar informes y logs e importar y
exportar archivos. Consulte Generacin de una clave de API para conocer los pasos necesarios para generar una
clave de API.
La siguiente tabla muestra la estructura de URL para solicitudes de la API:
Estructura de URL de la API XML
Antes de PAN-OS 4.1.0
http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 y posterior
http(s)://hostname/api/?request-parameters-values
Definiciones de elementos de la estructura de URL:

hostname: Direccin IP o nombre de dominio del dispositivo.
request-parameters-values: Serie de varios pares de parmetro=valor separados por el carcter &. Estos
valores pueden ser palabras clave o valores de datos en formato estndar o XML (los datos de respuesta siempre
estn en formato XML).
Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener ms informacin sobre
cmo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Gua de uso de la API XML
de PAN-OS). Para acceder a la comunidad en lnea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.
Generacin de una clave de API

Para utilizar la API para gestionar un cortafuegos o una aplicacin, se necesita una clave de API para autenticar
todas las llamadas de la API. Se utilizan credenciales de cuenta de administrador para generar claves de API.
La prctica recomendada es crear una cuenta de administrador separada para la administracin
basada en XML.
57
Generacin de una clave de API
Paso 1
Paso 2
Cree una cuenta de administrador.
Solicite una clave de API.
1.
En la interfaz web, en la pestaa Dispositivo >

Administradores, haga clic en Aadir.
2.
Introduzca un Nombre de inicio de sesin para el administrado.
3.
Introduzca y confirme una Contrasea para el administrador.
4.
Haga clic en ACEPTAR y Confirmar.
Sustituya los parmetros hostname, username y password de la

siguiente URL por los valores adecuados de sus credenciales de
cuenta de administrador:
http(s)://hostname/api/?type=keygen&user=username&password
=password
La clave de API aparecer en un bloque XML. Por ejemplo:

<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Paso 3
1.
En la pestaa Dispositivo > Administradores, abra la cuenta de

administrador asociada a la clave de API.
2.
Para PAN-OS 4.1.0 y versiones
posteriores, cada vez que se genera una
clave de API con las mismas credenciales 3.
de cuenta de administrador, se devuelven
claves de API exclusivas; adems, todas
las claves son vlidas.
4.
Puede decidir revocar y, a continuacin,
cambiar una clave de API asociada a una
cuenta de administrador cambiando la
contrasea asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarn de ser vlidas.
Introduzca y confirme una nueva Contrasea para la cuenta de

administrador.
(Opcional) Revoque o cambie una clave

de API.

Las claves de API asociadas a la cuenta de administrador antes
del cambio de contrasea se revocarn al seleccionar Confirmar.
(Opcional) Utilice las credenciales de cuenta de administrador
actualizadas para generar una nueva clave de API. Consulte
Paso 2.
Ejemplo de flujo de trabajo utilizando una clave de API:

Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web:
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
Al introducir la URL, aparecer un bloque XML que contiene la clave de API:
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe:
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&rep
ortname=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM
6A=
58

Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa
predeterminada (admin), que proporciona un acceso completo de lectura-escritura (tambin conocido como
acceso de superusuario) al dispositivo.
Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite
acceder a las funciones de administracin o informes del cortafuegos. Esto le permite proteger
mejor el dispositivo de la configuracin (o modificacin) no autorizada y registrar en logs las
acciones de cada uno de los administradores.
Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:
Funciones administrativas
Autenticacin administrativa
Creacin de una cuenta administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
Funciones dinmicas: Funciones integradas que proporcionan acceso al cortafuegos en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer
un control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione
acceso a las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de funcin de administrador deber actualizar los perfiles
para asignar privilegios de forma explcita para nuevos componentes/caractersticas que se aadan al
producto.
59
Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el cortafuegos. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo.
Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticacin se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.
Cuenta y autenticacin de administrador externas: La administracin y la autenticacin de la cuenta las
gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de
proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para
obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Creacin de una cuenta administrativa

Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de
cortafuegos. Como es comn delegar tareas administrativas especficas a administradores determinados con
funciones variables, Palo Alto Networks le recomienda que cree perfiles de funcin de administrador que
permitan que los administradores accedan nicamente a las reas de la interfaz de gestin que sean necesarias
para realizar sus trabajos. Puede asignar las distintas funciones que cree a cuentas de administrador individuales
y especificar privilegios de acceso a cada interfaz de gestin: la interfaz web, la interfaz de lnea de comandos
(CLI) y la API REST de gestin. Mediante la creacin de funciones de administrador con privilegios de acceso
muy detallados, puede garantizar la proteccin de los datos confidenciales de la empresa y la privacidad de los
usuarios finales.
El siguiente procedimiento describe cmo crear una cuenta de administrador local con autenticacin local, lo
que incluye cmo configurar el acceso de administrador para cada interfaz de gestin.
60
Creacin de un administrador local
Paso 1
Cree los perfiles de funcin de

administrador que tenga la intencin de
asignar a sus administradores (esto no es
aplicable si tiene la intencin de utilizar
funciones dinmicas). Los perfiles de
funcin de administrador definen qu
tipo de acceso dar a las diferentes
secciones de la interfaz web, CLI y API
XML para cada administrador al que
asigne una funcin.
Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
2.
Introduzca un nombre y, opcionalmente, una descripcin para

la funcin.
3.
En las pestaas Interfaz web, Lnea de comandos y/o API

XML, especifique el acceso que debe permitirse a cada interfaz
de gestin:
En las fichas Interfaz web y/o API XML, establezca los
niveles de acceso para cada rea funcional de la interfaz
haciendo clic en el icono para cambiarlo al ajuste deseado:
Habilitar , Solo lectura
o Deshabilitar .
Puede utilizar este paso para establecer

privilegios de acceso especialmente
detallados para usuarios de la interfaz
web. Si desea informacin detallada sobre
qu habilita una opcin especfica en la
pestaa Interfaz web, consulte Privilegios
de acceso a la interfaz web.
En la ficha Lnea de comandos, especifique el tipo de acceso

que permitir a la CLI: superlector, deviceadmin o
devicereader (para funciones de dispositivo); vsysadmin o
vsysreader (para funciones de sistema virtual); o Ninguno
para deshabilitar completamente el acceso a la CLI.
4.
Por ejemplo, conceda a un administrador un acceso completo a un

dispositivo mediante la API XML, con la excepcin de la
importacin o la exportacin de archivos:
61
Creacin de un administrador local (Continuacin)
Paso 2
(Opcional) Establezca requisitos para

contraseas definidas por usuarios
locales.
Crear perfiles de contrasea: Defina la frecuencia con que los

administradores debern cambiar sus contraseas. Puede crear
varios perfiles de contrasea y aplicarlos a las cuentas de
administrador segn sea necesario para imponer la seguridad
deseada. Para crear un perfil de contrasea, seleccione Dispositivo >
Perfiles de la contrasea y, a continuacin, haga clic en Aadir.
Configurar ajustes de complejidad mnima de la contrasea:
Defina reglas que rijan la complejidad de la contrasea, lo que
obligar a los administradores a crear contraseas ms difciles de
adivinar, descifrar o evitar. A diferencia de los perfiles de
contrasea, que se pueden aplicar a cuentas individuales, estas
reglas son para todo el dispositivo y se aplican a todas las
contraseas. Para configurar los ajustes, seleccione Dispositivo >
Configuracin y, a continuacin, haga clic en el icono Editar
de la seccin Complejidad de contrasea mnima.
Paso 3
62
Cree una cuenta para cada administrador. 1.
Seleccione Dispositivo > Administradores y, a continuacin,

haga clic en Aadir.
2.
Introduzca un Nombre de usuario y una Contrasea para el

administrador, o cree un Perfil de autenticacin para utilizarlo
para validar las credenciales de un usuario administrativo en un
servidor de autenticacin externo. Consulte el Paso 4 para
obtener detalles sobre cmo configurar un perfil de
autenticacin.
3.
Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas o
un perfil basado en funcin personalizado si ha creado uno en
el Paso 1.
4.
(Opcional) Seleccione un perfil de contrasea.
5.
Haga clic en ACEPTAR para guardar la cuenta.
Creacin de un administrador local (Continuacin)
Paso 4
(Opcional) Configure la autenticacin en 1.

un servidor externo: LDAP, RADIUS o
Kerberos.
2.
El perfil de servidor especifica el modo en
el que el cortafuegos puede conectarse al 3.
servicio de autenticacin que tiene la
intencin de utilizar.
Seleccione Dispositivo > Perfil de autenticacin y, a

Introduzca un nombre de usuario para identificar un perfil de
autenticacin.
Defina las condiciones para bloquear al usuario administrativo.
a. Introduzca el tiempo de bloqueo. Este es el nmero de
minutos que se bloquea a un usuario cuando alcanza el
nmero mximo de intentos fallidos (0-60 minutos; de forma
predeterminada es 0). 0 significa que el bloqueo continuar
mientras que no se desbloquee manualmente.
b. Introduzca el valor en Intentos fallidos. Nmero de intentos
de inicio de sesin fallidos que se permiten antes de bloquear
la cuenta (1-10; de forma predeterminada es 0). De forma
predeterminada, el nmero de intentos fallidos es 0, por lo
que no se bloquea al usuario aunque la autenticacin falle
repetidamente.
4.
Especifique a los usuarios y grupos que tienen permiso explcito

para autenticar. Al aadir una Lista de permitidas a un perfil de
autenticacin, puede limitar el acceso a usuarios especficos de
un grupo/directorio de usuarios.
Seleccione la casilla de verificacin Todos para permitir a
todos los usuarios.
Haga clic en Aadir e introduzca los primeros caracteres de
un nombre en el campo para que aparezca una lista de todos
los usuarios y grupos de usuarios que empiezan por esos
caracteres. Repita el proceso para aadir tantos
usuarios/grupos de usuarios como sea necesario.
5.
En el men desplegable Autenticacin, seleccione el tipo de

autenticacin que tiene la intencin de utilizar en su red.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, deber crear la base de datos local. Seleccione
Dispositivo > Base de datos de usuario local y aada los
usuarios y grupos que se autenticarn.
Paso 5
6.
Para acceder a un servidor de autenticacin externo (que no sea

una base de datos local), seleccione el perfil de servidor
adecuado en el men desplegable Perfil de servidor. Para crear
un nuevo perfil de servidor, haga clic en el enlace junto a Nuevo
y contine con la configuracin del acceso al servidor LDAP,
RADIUS o Kerberos.
7.
1.
63

Consulte los temas siguientes para obtener informacin detallada sobre las opciones necesarias para establecer
privilegios de acceso especialmente detallados para administradores de la interfaz web de PAN-OS y Panorama.
Privilegios de acceso a la interfaz web
Acceso a la interfaz web de Panorama
Privilegios de acceso a la interfaz web

Si desea impedir que un administrador basado en funciones acceda a pestaas especficas de la interfaz web,
puede deshabilitar la pestaa y el administrador ni siquiera la ver cuando inicie sesin con la cuenta
administrativa basada en funciones asociada. Por ejemplo, podra crear un perfil de funcin de administrador
para su personal de operaciones que nicamente proporcione acceso a las pestaas Dispositivo y Red y un perfil
separado para los administradores de seguridad que proporcione acceso a las pestaas Objetos, Poltica y
Supervisar.
La siguiente tabla describe los privilegios de acceso a nivel de pestaa que puede asignar al perfil de funcin de
administrador. Tambin proporciona referencias cruzadas a tablas adicionales que indican los privilegios
detallados dentro de una pestaa. Para obtener informacin especfica sobre cmo establecer el perfil de funcin
de administrador para proteger la privacidad del usuario final, consulte Definicin de ajustes de privacidad de
usuario en el perfil de funcin de administrador.
Nivel de acceso
Descripcin
Panel
ACC
Habilitar
Solo
lectura
Deshabilitar
Controla el acceso a la pestaa Panel. Si

S
deshabilita este privilegio, el administrador no ver
la pestaa ni tendr acceso a ninguno de los
widgets del panel.
No
Controla el acceso al Centro de comando de

aplicacin (ACC). Si deshabilita este privilegio, la
pestaa ACC no aparecer en la interfaz web.
Recuerde que si quiere proteger la privacidad de
sus usuarios y a la vez seguir proporcionando
acceso al ACC, puede deshabilitar la opcin
No
Privacidad > Mostrar direcciones IP completas
y/o la opcin Mostrar nombres de usuario en

logs e informes.
64
Nivel de acceso
Descripcin
Supervisar
Solo
lectura
Deshabilitar
Controla el acceso a la pestaa Supervisar. Si

S
la pestaa Supervisar ni tendr acceso a ninguno
de los logs, capturas de paquetes, informacin de
sesin, informes o Appscope. Para obtener un
control ms detallado sobre qu informacin de
supervisin puede ver el administrador, deje la
opcin Supervisar habilitada y, a continuacin,
habilite o deshabilite nodos especficos en la
pestaa como se describe en Acceso detallado a la
pestaa Supervisar.
No
Polticas
Controla el acceso a la pestaa Polticas. Si

S
la pestaa Polticas ni tendr acceso a ninguna
informacin de poltica. Para obtener un control
ms detallado sobre qu informacin de polticas
puede ver el administrador, por ejemplo, para
habilitar el acceso a un tipo de poltica especfico
o para habilitar el acceso de solo lectura a
informacin de polticas, deje la opcin Polticas
habilitada y, a continuacin, habilite o deshabilite
nodos especficos en la pestaa como se describe
en Acceso detallado a la pestaa Poltica.
No
Objetos
Controla el acceso a la pestaa Objetos. Si

S
la pestaa Objetos ni tendr acceso a ninguno de
los objetos, perfiles de seguridad, perfiles de
reenvo de logs, perfiles de descifrado o
programaciones. Para obtener un control ms
detallado sobre qu objetos puede ver el
administrador, deje la opcin Objetos habilitada y,
a continuacin, habilite o deshabilite nodos
especficos en la pestaa como se describe en
Acceso detallado a la pestaa Objetos.
No
Red
Controla el acceso a la pestaa Red. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Red ni tendr acceso a ninguna informacin de
configuracin de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, tnel de IPSec, DHCP,
proxy DNS, GlobalProtect o QoS o a los perfiles
de red. Para obtener un control ms detallado
sobre qu objetos puede ver el administrador, deje
la opcin Red habilitada y, a continuacin, habilite
o deshabilite nodos especficos en la pestaa como
se describe en Acceso detallado a la pestaa Red.
No
Habilitar
65
Nivel de acceso
Descripcin
Dispositivo
Controla el acceso a la pestaa Dispositivo. Si

S
la pestaa Dispositivo ni tendr acceso a ninguna
informacin de configuracin de todo el
dispositivo, como informacin de configuracin
de User-ID, alta disponibilidad, perfil de servidor
o certificado. Para obtener un control ms
Acceso detallado a la pestaa Dispositivo.
Nota
Habilitar
Solo
lectura
Deshabilitar
No
No puede habilitar el acceso a los nodos

Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un
acceso completo a la pestaa
Dispositivo.
Acceso detallado a la pestaa Supervisar

En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las reas de la
pestaa Supervisar. Por ejemplo, puede que desee restringir el acceso de los administradores de operaciones
nicamente a los logs de configuracin y sistema debido a que no contienen datos de usuario confidenciales.
Aunque esta seccin de la definicin de funcin de administrador especifica qu reas de la pestaa Supervisar
puede ver el administrador, tambin puede emparejar los privilegios de esta seccin con privilegios de
privacidad, como deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, debe
recordar que todos los informes generados por el sistema seguirn mostrando nombres de usuario y direcciones
IP aunque deshabilite dicha funcionalidad en la funcin. Por este motivo, si no desea que el administrador vea
ninguna de la informacin de usuario privada, debera deshabilitar el acceso a informes especficos como se
indica en la tabla siguiente.
Nivel de acceso
Descripcin
Supervisar
Habilita o deshabilita el acceso a la pestaa

S
Supervisar. Si est deshabilitado, el administrador
no ver esta pestaa ni ninguno de los logs o
informes asociados.
66
Habilitar
Solo
lectura
Deshabilitar
No
Nivel de acceso
Descripcin
Logs
Solo
lectura
Deshabilitar
Habilita o deshabilita el acceso a todos los

S
archivos de log. Tambin puede dejar este
privilegio habilitado y, a continuacin, deshabilitar
logs especficos que no quiera que vea el
administrador. Recuerde que si quiere proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso a uno o ms de los logs,
puede deshabilitar la opcin Privacidad > Mostrar
direcciones IP completas y/o la opcin Mostrar
nombres de usuario en logs e informes.
No
Trfico
Especifica si el administrador puede ver los logs de S

trfico.
No
Amenaza

amenaza.
No
Filtrado de URL

filtrado de URL.
No
Envos de WildFire

WildFire. Estos logs solamente estn disponibles
si tiene una suscripcin a WildFire.
No
Filtrado de datos

filtrado de datos.
No
Coincidencias HIP

coincidencias HIP. Los logs de coincidencias HIP
solamente estn disponibles si tiene una
suscripcin a la puerta de enlace y una licencia de
portal de GlobalProtect.
No
Configuracin

configuracin.
No
Sistema

sistema.
No
Alarmas
Especifica si el administrador puede ver las

alarmas generadas por el sistema.
No
Captura de paquetes
Especifica si el administrador puede ver capturas S

de paquetes (pcaps) desde la pestaa Supervisar.
Recuerde que las capturas de paquetes son datos
de flujo sin procesar y, por lo tanto, pueden
contener direcciones IP de usuarios. Si deshabilita
los privilegios Mostrar direcciones IP completas,
no ocultar la direccin IP en la pcap y, por ello,
debera deshabilitar el privilegio Captura de
paquetes si le preocupa la privacidad del usuario.
Habilitar
67
Nivel de acceso
Descripcin
Appscope
Solo
lectura
Deshabilitar
Especifica si el administrador puede ver las

S
herramientas de anlisis y visibilidad de Appscope.
Al habilitar Appscope, permite el acceso a todos
los grficos de Appscope.
No
Explorador de sesin
Especifique si el administrador puede examinar y S

filtrar las sesiones que se estn ejecutando
actualmente en el cortafuegos. Recuerde que el
explorador de sesin muestra datos de flujo sin
procesar y, por lo tanto, puede contener
direcciones IP de usuarios. Si deshabilita los
privilegios Mostrar direcciones IP completas, no
ocultar la direccin IP en el explorador de sesin
y, por ello, debera deshabilitar el privilegio
Explorador de sesin si le preocupa la privacidad
del usuario.
No
Botnet
Especifica si el administrador puede generar y ver S

informes de anlisis de Botnet o ver informes de
Botnet en modo de solo lectura. Si deshabilita los
privilegios Mostrar direcciones IP completas, no
ocultar la direccin IP en informes de Botnet
programados y, por ello, debera deshabilitar el
privilegio Botnet si le preocupa la privacidad del
usuario.
Informes en PDF
Habilita o deshabilita el acceso a todos los informes S

en PDF. Tambin puede dejar este privilegio
habilitado y, a continuacin, deshabilitar informes
en PDF especficos que no quiera que vea el
administrador. Recuerde que si quiere proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso a uno o ms de los
informes, puede deshabilitar la opcin Privacidad >
Mostrar direcciones IP completas y/o la opcin
Mostrar nombres de usuario en logs e informes.
No
Gestionar resumen de
PDF
Especifica si el administrador puede ver, aadir o S

eliminar definiciones de informes de resumen en
PDF. Con el acceso de solo lectura, el
administrador puede ver definiciones de informes
de resumen en PDF, pero no puede aadirlas ni
eliminarlas. Si deshabilita esta opcin, el
administrador no podr ver las definiciones de
informes ni aadirlas o eliminarlas.
68
Habilitar
Nivel de acceso
Descripcin
Informes de resumen
en PDF
Solo
lectura
Deshabilitar
Especifica si el administrador puede ver los

S
informes de resumen en PDF generados en
Supervisar > Informes. Si deshabilita esta opcin,
la categora Informes de resumen en PDF no se
mostrar en el nodo Informes.
No
Informe de actividad del Especifica si el administrador puede ver, aadir o S

usuario
eliminar definiciones de informes de actividad del
usuario y descargar los informes. Con el acceso de
solo lectura, el administrador puede ver
definiciones de informes de actividad del usuario,
pero no puede aadirlas, eliminarlas ni
descargarlas. Si deshabilita esta opcin, el
administrador no podr ver esta categora de
informe en PDF.

eliminar definiciones de grupos de informes. Con
el acceso de solo lectura, el administrador puede
ver definiciones de grupos de informes, pero no
puede aadirlas ni eliminarlas. Si deshabilita esta
opcin, el administrador no podr ver esta
categora de informe en PDF.
Programador de correo Especifica si el administrador puede programar

S
electrnico
grupos de informes para correo electrnico. Dado
que los informes generados que se envan por
correo electrnico pueden contener datos de
usuario confidenciales que no se eliminan al
deshabilitar la opcin Privacidad > Mostrar
direcciones IP completas y/o la opcin Mostrar
nombres de usuario en logs e informes y dado
que tambin pueden mostrar datos de log a los que
el administrador no tenga acceso, debera
deshabilitar la opcin Programador de correo
electrnico si tiene requisitos de privacidad de
usuario.
Grupos de informes
Habilitar
69
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Gestionar informes
personalizados
Habilita o deshabilita el acceso a toda la

S
funcionalidad de informe personalizado. Tambin
puede dejar este privilegio habilitado y, a
continuacin, deshabilitar categoras de informes
personalizados especficas a los que no quiera que
el administrador pueda acceder. Recuerde que si
quiere proteger la privacidad de sus usuarios y a la
vez seguir proporcionando acceso a uno o ms de
los informes, puede deshabilitar la opcin
No
No
Log de filtrado de datos Especifica si el administrador puede crear un

informe personalizado que incluya datos del log
de filtrado de datos.
No
Especifica si el administrador puede crear un

de amenaza.
No
No

logs e informes.
Nota
Estadsticas de
aplicacin
Registro de amenaza
Los informes programados para

ejecutarse en lugar de ejecutarse a
peticin mostrarn la direccin IP e
informacin de usuario. En este caso,
asegrese de restringir el acceso a las
reas de informe correspondientes.
Adems, la funcin de informe
personalizado no restringe la capacidad
de generar informes que contengan
datos de log incluidos en logs que estn
excluidos de la funcin de administrador.

informe personalizado que incluya datos de la
base de datos de estadsticas de aplicacin.
Resumen de amenaza Especifica si el administrador puede crear un

base de datos de resumen de amenaza.
Registro de trfico

de trfico.
No
Resumen de trfico

base de datos de resumen de trfico.
No
Registro de URL

de filtrado de URL.
No
70
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Coincidencia HIP

de coincidencias HIP.
No
Ver informes
personalizados
programados
Especifica si el administrador puede ver un

informe personalizado que se haya programado
para su generacin.
No
Especifica si el administrador puede ver informes S

Ver informes de
aplicacin predefinidos de aplicacin. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
Supervisar > Informes y, por lo tanto, debera
deshabilitar el acceso a los informes si tiene
requisitos de privacidad de usuario.
No
Ver informes de
Especifica si el administrador puede ver informes S
amenazas predefinidos de amenazas. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
No
Ver informes de filtrado Especifica si el administrador puede ver informes S

de URL predefinidos
de filtrado de URL. Los privilegios de privacidad
no afectan a los informes disponibles en el nodo
No
Ver informes de trfico Especifica si el administrador puede ver informes S

predefinidos
de trfico. Los privilegios de privacidad no afectan
a los informes disponibles en el nodo Supervisar >
Informes y, por lo tanto, debera deshabilitar el
acceso a los informes si tiene requisitos de
privacidad de usuario.
No
Acceso detallado a la pestaa Poltica

Si habilita la opcin Poltica en el perfil de funcin de administrador, a continuacin podr habilitar, deshabilitar
o proporcionar acceso de solo lectura a nodos especficos dentro de la pestaa como sea necesario para la
funcin de administrador que est definiendo. Al habilitar el acceso a un tipo de poltica especfico, habilita la
capacidad de ver, aadir o eliminar reglas de poltica. Al habilitar un acceso de solo lectura a una poltica
especfica, habilita al administrador para que pueda ver la base de reglas de poltica correspondiente, pero no
aadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de poltica especfico, impide que el administrador
vea la base de reglas de poltica.
71
Dado que la poltica basada en usuarios especficos (por nombre de usuario o direccin IP) debe definirse
explcitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaa Poltica. Por lo tanto, solamente debera permitir el acceso a la
pestaa Poltica a administradores excluidos de restricciones de privacidad de usuario.
Nivel de acceso
Descripcin
Seguridad
Solo
lectura
Deshabilitar
Habilite este privilegio para permitir que el

S
administrador vea, aada y/o elimine reglas de
polticas de seguridad. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de reglas
de polticas de seguridad, deshabilite este
privilegio.
NAT

poltica NAT. Establezca el privilegio como de
solo lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
poltica NAT, deshabilite este privilegio.
QoS

S
poltica de QoS. Establezca el privilegio como de
solo lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
poltica de QoS, deshabilite este privilegio.
Reenvo basado en
polticas

poltica de reenvo basado en polticas (PBF).
Establezca el privilegio como de solo lectura si
desea que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas de poltica de
PBF, deshabilite este privilegio.
Descifrado

S
poltica de descifrado. Establezca el privilegio
de poltica de descifrado, deshabilite este
privilegio.
72
Habilitar
Nivel de acceso
Descripcin
Cancelacin de
aplicacin
Portal cautivo
Habilitar
Solo
lectura
Deshabilitar

S
poltica de cancelacin de aplicacin. Establezca el
privilegio como de solo lectura si desea que el
administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador
vea la base de reglas de poltica de cancelacin de
aplicacin, deshabilite este privilegio.

S
poltica de portal cautivo. Establezca el privilegio
de poltica de portal cautivo, deshabilite este
privilegio.

S
Proteccin contra
ataques por
denegacin de servicio poltica de proteccin contra ataques por
denegacin de servicio. Establezca el privilegio
de poltica de proteccin contra ataques por
denegacin de servicio, deshabilite este privilegio.
Acceso detallado a la pestaa Objetos

Un objeto es un contenedor que agrupa valores de filtros de polticas especficos (como direcciones IP, URL,
aplicaciones o servicios) para una definicin de reglas simplificada. Por ejemplo, un objeto de direccin puede
contener definiciones de direcciones IP especficas para servidores web y de aplicaciones en su zona DMZ.
Al decidir si desea permitir el acceso a la pestaa Objetos en su totalidad, determine si el administrador tendr
responsabilidades de definicin de polticas. Si no, probablemente el administrador no necesite acceder a la
pestaa. Sin embargo, si el administrador necesitar crear polticas, podr habilitar el acceso a la pestaa y, a
continuacin, otorgar privilegios de acceso detallados a nivel de nodo.
Al habilitar el acceso a un nodo especfico, otorga al administrador el privilegio de ver, aadir y eliminar el tipo
de objeto correspondiente. Al otorgar un acceso de solo lectura, permitir que el administrador vea los objetos
ya definidos, pero no podr crear o eliminar ninguno. Al deshabilitar un nodo, impide que el administrador vea
el nodo en la interfaz web.
73
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
Direcciones

eliminar objetos de direcciones para su uso en una
Grupos de direcciones

eliminar objetos de grupos de direcciones para su
uso en una poltica de seguridad.
Regiones

eliminar objetos de regiones para su uso en una
poltica de seguridad, de descifrado o DoS.
Aplicaciones

eliminar objetos de aplicaciones para su uso en
una poltica.
Grupos de aplicaciones Especifica si el administrador puede ver, aadir o S

eliminar objetos de grupos de aplicaciones para su
uso en una poltica.
Filtros de aplicacin

eliminar filtros de aplicacin para la simplificacin
de bsquedas repetidas.
Servicios

eliminar objetos de servicio para su uso en la
creacin de polticas que limiten los nmeros de
puertos que puede utilizar una aplicacin.
Grupos de servicios

eliminar objetos de grupos de servicios para su
uso en una poltica de seguridad.
Etiquetas (nicamente
en Panorama)

eliminar etiquetas que se hayan definido en el
dispositivo.
GlobalProtect

eliminar objetos y perfiles HIP. Puede restringir el
acceso a ambos tipos de objetos a nivel de
GlobalProtect, o bien proporcionar un control
ms detallado habilitando el privilegio
GlobalProtect y restringiendo el acceso a objetos
HIP o perfiles HIP.
No
Objetos HIP

eliminar objetos HIP, que se utilizan para definir
perfiles HIP. Los objetos HIP tambin generan
logs de coincidencias HIP.
74
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
Perfiles HIP

eliminar perfiles HIP para su uso en una poltica
de seguridad y/o para generar logs de
coincidencias HIP.
Listas de bloqueos
dinmicos

eliminar listas de bloqueos dinmicos para su uso
en una poltica de seguridad.
Objetos personalizados Especifica si el administrador puede ver las firmas S

personalizadas de spyware y vulnerabilidad. Puede
restringir el acceso para habilitar o deshabilitar el
acceso a todas las firmas personalizadas a este
nivel, o bien proporcionar un control ms
detallado habilitando el privilegio Objetos
personalizados y, a continuacin, restringiendo el
acceso a cada tipo de firma.
No
Patrones de datos

eliminar firmas de patrones de datos
personalizadas para su uso en la creacin de
perfiles de proteccin contra vulnerabilidades
personalizados.
Spyware

eliminar firmas de spyware personalizadas para su
uso en la creacin de perfiles de proteccin contra
vulnerabilidades personalizados.
Vulnerabilidades

eliminar firmas de vulnerabilidad personalizadas
para su uso en la creacin de perfiles de proteccin
contra vulnerabilidades personalizados.
Categora de URL

eliminar categoras de URL personalizadas para su
uso en una poltica.
Perfiles de seguridad
Especifica si el administrador puede ver perfiles de S

seguridad. Puede restringir el acceso para habilitar
o deshabilitar el acceso a todos los perfiles de
seguridad a este nivel, o bien proporcionar un
control ms detallado habilitando el privilegio
Perfiles de seguridad y, a continuacin,
restringiendo el acceso a cada tipo de perfil.
No
Antivirus

eliminar perfiles de antivirus.
Antispyware

eliminar perfiles de antispyware.
75
Nivel de acceso
Solo
lectura
Deshabilitar

eliminar perfiles de proteccin contra
vulnerabilidades.

eliminar perfiles de filtrado de URL.
Bloqueo de archivos Especifica si el administrador puede ver, aadir o S

eliminar perfiles de bloqueo de archivos.
Filtrado de datos

eliminar perfiles de filtrado de datos.
Proteccin contra
ataques por
denegacin de
servicio

eliminar perfiles de proteccin contra ataques por
denegacin de servicio.
Grupos de perfiles de
seguridad

eliminar grupos de perfiles de seguridad.
Reenvo de logs

eliminar perfiles de reenvo de logs.
Perfil de descifrado

eliminar perfiles de descifrado.
Programaciones

eliminar programaciones para limitar una poltica
de seguridad a una fecha y/o rango de tiempo
especfico.
Proteccin contra
vulnerabilidades
Filtrado de URL
Habilitar
Acceso detallado a la pestaa Red

Al decidir si desea permitir el acceso a la pestaa Red en su totalidad, determine si el administrador tendr
responsabilidades de administracin de red, incluida la administracin de GlobalProtect. Si no, probablemente
el administrador no necesite acceder a la pestaa.
Tambin puede definir el acceso a la pestaa Red a nivel de nodo. Al habilitar el acceso a un nodo especfico, otorga
al administrador el privilegio de ver, aadir y eliminar las configuraciones de red correspondientes. Al otorgar un
acceso de solo lectura, permitir que el administrador vea la configuracin ya definida, pero no podr crear o
eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web.
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
Interfaces

eliminar configuraciones de interfaces.
Zonas

eliminar zonas.
76
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
VLAN

eliminar VLAN.
Cables virtuales

eliminar cables virtuales.
Enrutadores virtuales
Especifica si el administrador puede ver, aadir,

modificar o eliminar enrutadores virtuales.
Tneles de IPSec
Especifica si el administrador puede ver, aadir, S

modificar o eliminar configuraciones de tneles de
IPSec.
DHCP
Especifica si el administrador puede ver, aadir, S

modificar o eliminar configuraciones de servidor
DHCP y retransmisin DHCP.
Proxy DNS

modificar o eliminar configuraciones de proxy
DNS.
GlobalProtect

modificar configuraciones de portal y puerta de
enlace de GlobalProtect. Puede deshabilitar el
acceso a las funciones de GlobalProtect por
completo, o bien puede habilitar el privilegio
GlobalProtect y, a continuacin, restringir la
funcin a las reas de configuracin del portal o de
la puerta de enlace.
No
Portales

modificar o eliminar configuraciones de portales
de GlobalProtect.
Puertas de enlace

modificar o eliminar configuraciones de puertas
de enlace de GlobalProtect.

modificar o eliminar configuraciones de
servidores MDM de GlobalProtect.
No
MDM
QoS
Perfiles de red
Establece el estado predeterminado para habilitar S

o deshabilitar para todos los ajustes de red
descritos a continuacin.
77
Nivel de acceso
Habilitar
Solo
lectura
Deshabilitar
S
Criptogrfico de IKE Controla el modo en que los dispositivos
intercambian informacin para garantizar una
comunicacin segura. Especifique los protocolos
y algoritmos para la identificacin, autenticacin y
cifrado en tneles de VPN basndose en la
negociacin de SA de IPSec (IKEv1 de fase 1).
Puertas de enlace
de IKE
Controla el acceso al nodo Perfiles de red >

Puertas de enlace de IKE. Si deshabilita este
privilegio, el administrador no ver el nodo
Puertas de enlace de IKE ni definir puertas de
enlace que incluyan la informacin de
configuracin necesaria para realizar la
negociacin del protocolo IKE con la puerta de
enlace del peer.
Si el estado del privilegio est establecido como de
solo lectura, podr ver las puertas de enlace de
IKE actualmente configuradas, pero no podr
aadir ni editar puertas de enlace.
Criptogrfico de
IPSec

Criptogrfico de IPSec. Si deshabilita este
privilegio, el administrador no ver el nodo
Perfiles de red > Criptogrfico de IPSec ni
especificar protocolos y algoritmos para la
identificacin, autenticacin y cifrado en tneles
de VPN basndose en la negociacin de SA de
IPSec.
solo lectura, podr ver la configuracin
criptogrfica de IPSec actualmente establecida,
pero no podr aadir ni editar una configuracin.
Supervisar

Supervisar. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de red >
Supervisar ni podr crear o editar un perfil de
supervisin que se utilice para supervisar tneles
de IPSec y supervisar un dispositivo de siguiente
salto para reglas de reenvo basado en polticas
(PBF).
solo lectura, podr ver la configuracin de perfil
de supervisin actualmente establecida, pero no
podr aadir ni editar una configuracin.
78
Nivel de acceso
Gestin de interfaz
Habilitar
S
Gestin de interfaz. Si deshabilita este privilegio,
el administrador no ver el nodo Perfiles de red
> Gestin de interfaz ni podr especificar los
protocolos que se utilizan para gestionar el
cortafuegos.
Solo
lectura
Deshabilitar

de gestin de interfaz actualmente establecida,
S
Proteccin de zonas Controla el acceso al nodo Perfiles de red >
Proteccin de zonas. Si deshabilita este privilegio,
el administrador no ver el nodo Perfiles de red
> Proteccin de zonas ni podr configurar un
perfil que determine cmo responde el
cortafuegos ante ataques desde zonas de seguridad
especificadas.
de proteccin de zonas actualmente establecida,
Perfil de QoS
Controla el acceso al nodo Perfiles de red > QoS. S

Si deshabilita este privilegio, el administrador no
ver el nodo Perfiles de red > QoS ni podr
configurar un perfil de QoS que determine cmo
se tratan las clases de trfico de QoS.
de QoS actualmente establecida, pero no podr
aadir ni editar una configuracin.
79
Acceso detallado a la pestaa Dispositivo

Nivel de acceso
Configuracin
Controla el acceso al nodo Configuracin.

ver el nodo Configuracin ni tendr acceso a
de gestin, operaciones, servicio, Content-ID,
Wildfire o sesin.
Habilitar
Solo
lectura
Deshabilitar
No

solo lectura, podr ver la configuracin actual,
pero no podr realizar ningn cambio.
Auditora de
configuraciones
Controla el acceso al nodo Auditora de

configuraciones. Si deshabilita este privilegio, el
administrador no ver el nodo Auditora de
configuraciones ni tendr acceso a ninguna
dispositivo.
Funciones de gestor
Controla el acceso al nodo Funciones de gestor. No

Esta funcin solamente puede permitirse para un
acceso de solo lectura.
ver el nodo Funciones de gestor ni tendr
acceso a ninguna informacin de todo el
dispositivo relativa a la configuracin de funciones
de gestor.
Si establece este privilegio como de solo lectura,
podr ver la informacin de configuracin de
todas las funciones de gestor configuradas en el
dispositivo.
Administradores
No
Controla el acceso al nodo Administradores.
Esta funcin solamente puede permitirse para un
acceso de solo lectura.
ver el nodo Administradores ni tendr acceso a
informacin sobre su propia cuenta de
administrador.
el administrador podr ver la informacin de
configuracin de su propia cuenta de
administrador. No ver informacin sobre las
cuentas de otros administradores configuradas en
el dispositivo.
80
Nivel de acceso
Sistemas virtuales
Habilitar
Solo
lectura
Deshabilitar
Controla el acceso al nodo Origen de informacin S

de VM que le permite configurar el agente de
User-ID de Windows/cortafuegos que recopilar
el inventario de VM automticamente.
ver el nodo Origen de informacin de VM.
Controla el acceso al nodo Sistemas virtuales.

ver ni podr configurar sistemas virtuales.
solo lectura, podr ver los sistemas virtuales
actualmente configurados, pero no podr aadir ni
editar una configuracin.
Puertas de enlace
compartidas
Controla el acceso al nodo Puertas de enlace

compartidas. Las puertas de enlace compartidas
permiten que los sistemas virtuales compartan una
interfaz comn para las comunicaciones externas.
ver ni podr configurar puertas de enlace
compartidas.
solo lectura, podr ver las puertas de enlace
compartidas actualmente configuradas, pero no
podr aadir ni editar una configuracin.
Identificacin de
usuarios
Controla el acceso al nodo Identificacin de

usuarios. Si deshabilita este privilegio, el
administrador no ver el nodo Identificacin de
usuarios ni tendr acceso a informacin de
configuracin de identificacin de usuarios de
todo el dispositivo, como asignacin de usuario,
agentes de User-ID, servicio, agentes de servicios
de terminal, configuracin de asignacin de grupo
o configuracin de portal cautivo.
el administrador podr ver informacin de
configuracin del dispositivo, pero no tendr
permiso para realizar ningn procedimiento de
configuracin.
Origen de informacin
de VM

el administrador podr ver los orgenes de
informacin de VM configurados, pero no podr
aadir, editar o eliminar ningn origen.
81
Nivel de acceso
Solo
lectura
Deshabilitar
No
Perfil del certificado Controla el acceso al nodo Perfil del certificado. S

ver el nodo Perfil del certificado ni podr crear
perfiles del certificado.
Alta disponibilidad
Habilitar
Controla el acceso al nodo Alta disponibilidad. S

ver el nodo Alta disponibilidad ni tendr acceso
a informacin de configuracin de alta
disponibilidad de todo el dispositivo, como
informacin de configuracin general o
supervisin de enlaces y rutas.
configuracin de alta disponibilidad del
dispositivo, pero no tendr permiso para realizar
ningn procedimiento de configuracin.
Gestin de certificados Establece el estado predeterminado para habilitar S

o deshabilitar para todos los ajustes de certificados
Certificados
Controla el acceso al nodo Certificados.

ver el nodo Certificados ni podr configurar o
acceder a informacin relativa a certificados de
dispositivos o entidades de certificacin de
confianza predeterminadas.
configuracin de certificados del dispositivo, pero
no tendr permiso para realizar ningn
procedimiento de configuracin.

el administrador podr ver perfiles del certificado
actualmente configurados para el dispositivo, pero
no tendr permiso para crear o editar un perfil del
certificado.
82
Nivel de acceso
OCSP responder
Habilitar
Solo
lectura
Deshabilitar

o deshabilitar para todos los ajustes de log
No
Controla el acceso al nodo Configuracin de log > S

Sistema. Si deshabilita este privilegio, el
administrador no ver el nodo Configuracin de
log > Sistema ni podr especificar los niveles de
S
Controla el acceso al nodo OCSP responder.
ver el nodo OCSP responder ni podr definir un
servidor que se utilizar para verificar el estado de
revocacin de los certificados emitidos por el
dispositivo PAN-OS.
Si establece este privilegio como de solo lectura, el
administrador podr ver la configuracin de OCSP
responder del dispositivo, pero no tendr
permiso para crear o editar una configuracin de
OCSP responder.
Pginas de respuesta
Controla el acceso al nodo Pginas de respuesta. S

ver el nodo Pginas de respuesta ni podr
definir un mensaje HTML personalizado que se
descarga y se visualiza en lugar de una pgina web
o archivo solicitado.
administrador podr ver la configuracin de
Pginas de respuesta del dispositivo, pero no
tendr permiso para crear o editar una
configuracin de pginas de respuesta.
Configuracin de log
Sistema
gravedad de las entradas de logs del sistema que se

registran de manera remota con Panorama y se
envan como traps SNMP, mensajes de Syslog y/o
notificaciones por correo electrnico.
Configuracin de log > Sistema del dispositivo,
pero no tendr permiso para crear o editar una
configuracin.
83
Nivel de acceso
Configurar
Habilitar

Configuracin. Si deshabilita este privilegio, el
log > Configuracin ni podr especificar las
Solo
lectura
Deshabilitar
entradas de logs de configuracin que se registran

de manera remota con Panorama y se envan como
mensajes de Syslog y/o notificaciones por correo
electrnico.
Configuracin de log > Configuracin del
dispositivo, pero no tendr permiso para crear o
Coincidencias HIP

Coincidencias HIP. Si deshabilita este privilegio, el
log > Coincidencias HIP ni podr especificar los
ajustes de log de coincidencias de perfil de
informacin de host (HIP) que se utilizan para
proporcionar informacin sobre polticas de
seguridad que se aplican a clientes de
GlobalProtect.
Configuracin de log > Coincidencias HIP del
dispositivo, pero no tendr permiso para crear o
Alarmas

Alarmas. Si deshabilita este privilegio, el
log > Alarmas ni podr configurar notificaciones
que se generan cuando una regla de seguridad (o un
grupo de reglas) se incumple repetidas veces en un
perodo de tiempo establecido.
Configuracin de log > Alarmas del dispositivo,
pero no tendr permiso para crear o editar una
configuracin.
84
Nivel de acceso
Gestionar logs
Habilitar

Gestionar logs. Si deshabilita este privilegio, el
log > Gestionar logs ni podr borrar los logs
Solo
lectura
Deshabilitar
indicados.
administrador podr ver la informacin de
Configuracin de log > Gestionar logs, pero no
podr borrar ninguno de los logs.
Perfiles de servidor

o deshabilitar para todos los ajustes de perfiles de
servidor descritos a continuacin.
No
Trap SNMP
Controla el acceso al nodo Perfiles de servidor > S

Trap SNMP. Si deshabilita este privilegio, el
administrador no ver el nodo Perfiles de
servidor > Trap SNMP ni podr especificar uno o
ms destinos de Trap SNMP que se utilizarn para
entradas de logs del sistema.

Perfiles de servidor > Logs de Trap SNMP, pero
no podr especificar destinos de Trap SNMP.
Syslog

Syslog. Si deshabilita este privilegio, el
servidor > Syslog ni podr especificar uno o ms
servidores Syslog.
Perfiles de servidor > Syslog, pero no podr
especificar servidores Syslog.
Correo electrnico

Correo electrnico. Si deshabilita este privilegio,
el administrador no ver el nodo Perfiles de
servidor > Correo electrnico ni podr
configurar un perfil de correo electrnico que
pueda utilizarse para habilitar notificaciones por
correo electrnico para entradas de logs del
sistema y de configuracin.
Perfiles de servidor > Correo electrnico, pero
no podr configurar un perfil de correo
electrnico.
85
Nivel de acceso
Flujo de red
Habilitar

Flujo de red. Si deshabilita este privilegio, el
servidor > Flujo de red ni podr definir un perfil
de servidor de flujo de red, que especifica la
frecuencia de la exportacin, junto con los
servidores de flujo de red que recibirn los datos
exportados.
Solo
lectura
Deshabilitar

Perfiles de servidor > Flujo de red, pero no
podr definir un perfil de flujo de red.
RADIUS

RADIUS. Si deshabilita este privilegio, el
servidor > RADIUS ni podr configurar ajustes
para los servidores RADIUS identificados en
perfiles de autenticacin.
Perfiles de servidor > RADIUS, pero no podr
configurar ajustes para los servidores RADIUS.
LDAP

LDAP. Si deshabilita este privilegio, el
servidor > LDAP ni podr configurar ajustes para
que los servidores LDAP los utilicen para la
autenticacin mediante perfiles de autenticacin.
Perfiles de servidor > LDAP, pero no podr
configurar ajustes para los servidores LDAP.
Kerberos

Kerberos. Si deshabilita este privilegio, el
servidor > Kerberos ni configurar un servidor
Kerberos que permita a los usuarios autenticar de
forma nativa en un controlador de dominio.
Perfiles de servidor > Kerberos, pero no podr
configurar ajustes para servidores Kerberos.
86
Nivel de acceso
Solo
lectura
Deshabilitar
No
S
Grupos de usuarios Controla el acceso al nodo Base de datos de
usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no ver el nodo Base
de datos de usuario local > Usuarios ni podr
aadir informacin de grupos de usuarios a la base
de datos local.
Base de datos de
usuario local
Usuarios
Habilitar

o deshabilitar para todos los ajustes de base de
datos de usuario local descritos a continuacin.
Controla el acceso al nodo Base de datos de
usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no ver el nodo Base
de datos de usuario local > Usuarios ni
configurar una base de datos local en el
cortafuegos para almacenar informacin de
autenticacin para usuarios con acceso remoto,
administradores de dispositivos y usuarios de
portal cautivo.
administrador podr ver la informacin de Base
de datos de usuario local > Usuarios, pero no
podr configurar una base de datos local en el
cortafuegos para almacenar informacin de
autenticacin.

administrador podr ver la informacin de Base
de datos de usuario local > Usuarios, pero no
podr aadir informacin de grupos de usuarios a
la base de datos local.
Perfil de autenticacin
Controla el acceso al nodo Perfil de

autenticacin. Si deshabilita este privilegio, el
administrador no ver el nodo Perfil de
autenticacin ni podr crear o editar perfiles de
autenticacin que especifiquen ajustes de base de

datos local, RADIUS, LDAP o Kerberos que se
pueden asignar a cuentas de administrador.
administrador podr ver la informacin de Perfil
de autenticacin, pero no podr crear o editar un
perfil de autenticacin.
87
Nivel de acceso
Secuencia de
autenticacin
Controla el acceso al nodo Secuencia de

administrador no ver el nodo Secuencia de
autenticacin ni podr crear o editar una
Habilitar
Solo
lectura
Deshabilitar
No
secuencia de autenticacin.
de autenticacin, pero no podr crear o editar una
Dominio de acceso
Controla el acceso al nodo Secuencia de

administrador no ver el nodo Secuencia de
autenticacin ni podr crear o editar una
de autenticacin, pero no podr crear o editar una
Programacin de la
exportacin de logs
Controla el acceso al nodo Programacin de la S

exportacin de logs. Si deshabilita este privilegio,
el administrador no ver el nodo Programacin
de la exportacin de logs ni podr programar
exportaciones de logs y guardarlas en un servidor
File Transfer Protocol (FTP) en formato CSV o
usar Secure Copy (SCP) para transferir datos de
forma segura entre el dispositivo y un host
remoto.
de programacin de la exportacin de logs, pero
no podr programar la exportacin de logs.
Software
S
Controla el acceso al nodo Software. Si
el nodo Software, no ver las versiones ms
recientes del software PAN-OS disponibles desde
Palo Alto Networks, no leer las notas de cada
versin ni seleccionar una versin para su
descarga e instalacin.
Software, pero no podr descargar ni instalar
software.
88
Nivel de acceso
Cliente de
GlobalProtect
Habilitar
Solo
lectura
Deshabilitar
S
Controla el acceso al nodo Licencias. Si
el nodo Licencias ni podr ver las licencias
instaladas o las licencias activas.
Controla el acceso al nodo Cliente de

GlobalProtect. Si deshabilita este privilegio, el
administrador no ver el nodo Cliente de
GlobalProtect, no ver las versiones de
GlobalProtect disponibles, no descargar el
cdigo ni activar el agente de GlobalProtect.
administrador podr ver las versiones de Cliente
de GlobalProtect disponibles, pero no podr
descargar ni instalar el software de agente.
Actualizaciones
dinmicas
Controla el acceso al nodo Actualizaciones

dinmicas. Si deshabilita este privilegio, el
administrador no ver el nodo Actualizaciones
dinmicas, no podr ver las actualizaciones ms
recientes, no podr leer las notas de versin de
cada actualizacin ni podr seleccionar una
actualizacin para su carga e instalacin.
administrador podr ver las versiones de
Actualizaciones dinmicas disponibles y leer las
notas de versin, pero no podr cargar ni instalar
el software.
Licencias

administrador podr ver las Licencias instaladas,
pero no podr realizar funciones de gestin de
licencias.
Asistencia tcnica
Controla el acceso al nodo Asistencia tcnica. Si S

el nodo Asistencia tcnica, no podr acceder a
alertas de productos y seguridad de Palo Alto
Networks ni generar archivos de asistencia tcnica
o de volcado de estadsticas.
administrador podr ver el nodo Asistencia
tcnica y acceder a alertas de productos y
seguridad, pero no podr generar archivos de
asistencia tcnica o de volcado de estadsticas.
89
Nivel de acceso
Clave maestra y
diagnstico
Habilitar
S
Controla el acceso al nodo Clave maestra y
diagnstico. Si deshabilita este privilegio, el
administrador no ver el nodo Clave maestra y
diagnstico ni podr especificar una clave maestra
Solo
lectura
Deshabilitar
para cifrar claves privadas en el cortafuegos.

administrador podr ver el nodo Clave maestra y
diagnstico y ver informacin sobre claves
maestras que se han especificado, pero no podr
aadir ni editar una nueva configuracin de clave
maestra.
Definicin de ajustes de privacidad de usuario en el perfil de funcin de administrador

.
Nivel de acceso
Descripcin
Privacidad
Solo
lectura
Deshabilitar
Establece el estado predeterminado para habilitar o S

deshabilitar para todos los ajustes de privacidad
N/D
S
Mostrar direcciones Cuando se establece como deshabilitado, las
IP completas
direcciones IP completas obtenidas a travs del
trfico que pasa por el cortafuegos de Palo Alto
Networks no se muestran en logs ni informes. En
lugar de las direcciones IP que suelen mostrarse,
aparecer la subred relevante.
N/D
Nota
90
Habilitar
Los informes programados que aparecen

en la interfaz a travs de Supervisar >
Informes y los informes que se envan a
travs de correos electrnicos
programados seguirn mostrando
direcciones IP completas. Debido a esta
excepcin, recomendamos deshabilitar
los siguientes ajustes en la pestaa
Supervisar : Informes personalizados,
Informes de aplicacin, Informes de
amenazas, Informes de filtrado de URL,
Informes de trfico y Programador de
correo electrnico.
Nivel de acceso
Descripcin
Habilitar
S
Mostrar nombres de Cuando se establece como deshabilitado, los
usuario en logs e
nombres de usuario obtenidos a travs del trfico
informes
que pasa por el cortafuegos de Palo Alto Networks
no se muestran en logs ni informes. Las columnas
donde normalmente apareceran los nombres de
usuario estn vacas.
Nota
Ver archivos de
captura de
paquetes
Solo
lectura
Deshabilitar
N/D
N/D
Los informes programados que aparecen

en la interfaz a travs de Supervisar >
Informes o los informes que se envan a
travs del programador de correo
electrnico seguirn mostrando nombres
de usuario. Debido a esta excepcin,
recomendamos deshabilitar los siguientes
ajustes en la pestaa Supervisar: Informes
personalizados, Informes de aplicacin,
Informes de amenazas, Informes de
filtrado de URL, Informes de trfico y
Programador de correo electrnico.
Cuando se establece como deshabilitado, los

archivos de captura de paquetes que suelen estar
disponibles en los logs de trfico, amenaza y
filtrado de datos no se muestran.
Restriccin del acceso de administrador a funciones de confirmacin

Restriccin del acceso de usuarios mediante el ajuste Confirmar
Nivel de acceso
Descripcin
Habilitar
Commit
Cuando se establece como deshabilitado, un

S
administrador no puede confirmar ningn cambio en
una configuracin.
Solo
lectura
Deshabilitar
N/D
Solo
lectura
Deshabilitar
N/D
Acceso detallado a ajustes globales

Restriccin del acceso de usuarios mediante ajustes globales
Nivel de acceso
Descripcin
Global
Establece el estado predeterminado para habilitar o S

deshabilitar para todos los ajustes globales descritos a
continuacin. En este momento, este ajuste
solamente es efectivo para Alarmas del sistema.
Habilitar
91
Nivel de acceso
Descripcin
Habilitar
Alarmas del sistema
Cuando se establece como deshabilitado, un

S
administrador no puede ver ni reconocer alarmas que
se generen.
Solo
lectura
Deshabilitar
N/D
Acceso a la interfaz web de Panorama

En Panorama, las funciones de gestor le permiten definir el acceso a las opciones de Panorama y la capacidad
de permitir el acceso nicamente a Grupo de dispositivos y Plantilla (pestaas Polticas, Objetos, Red y
Dispositivo).
Las funciones de gestor que puede crear son: Panorama y Grupo de dispositivos y Plantilla. La funcin de gestor
Grupo de dispositivos y Plantilla no proporciona privilegios de acceso a la CLI.
Si un administrador recibe privilegios de superusuario en la CLI, el administrador tendr un acceso completo a
todas las funciones, independientemente de los privilegios otorgados por la interfaz web.
Nivel de acceso
Descripcin
Habilitar
Solo
lectura
Deshabilitar
Panel
Controla el acceso a la pestaa Panel.

ver la pestaa ni tendr acceso a ninguno de los
widgets del panel.
No
ACC
Controla el acceso al Centro de comando de

aplicacin (ACC). Si deshabilita este privilegio,
la pestaa ACC no aparecer en la interfaz web.
Recuerde que si quiere proteger la privacidad de
sus usuarios y a la vez seguir proporcionando
acceso al ACC, puede deshabilitar la opcin
No
Controla el acceso a la pestaa Supervisar.

S
ver la pestaa Supervisar ni tendr acceso a
ninguno de los logs, capturas de paquetes,
informacin de sesin, informes o Appscope.
Para obtener un control ms detallado sobre qu
informacin de supervisin puede ver el
administrador, deje la opcin Supervisar habilitada
y, a continuacin, habilite o deshabilite nodos
Acceso detallado a la pestaa Supervisar.
No

logs e informes.
Supervisar
92
Nivel de acceso
Descripcin
Polticas
Solo
lectura
Deshabilitar
Controla el acceso a la pestaa Polticas.

S
ver la pestaa Polticas ni tendr acceso a
ninguna informacin de poltica. Para obtener un
control ms detallado sobre qu informacin de
polticas puede ver el administrador, por ejemplo,
para habilitar el acceso a un tipo de poltica
especfico o para habilitar el acceso de solo lectura
a informacin de polticas, deje la opcin Polticas
habilitada y, a continuacin, habilite o deshabilite
nodos especficos en la pestaa como se describe
en Acceso detallado a la pestaa Poltica.
No
Objetos
Controla el acceso a la pestaa Objetos.

S
ver la pestaa Objetos ni tendr acceso a ninguno
de los objetos, perfiles de seguridad, perfiles de
reenvo de logs, perfiles de descifrado o
programaciones. Para obtener un control ms
Acceso detallado a la pestaa Objetos.
No
Red
Controla el acceso a la pestaa Red. Si deshabilita S

este privilegio, el administrador no ver la pestaa
Red ni tendr acceso a ninguna informacin de
configuracin de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, tnel de IPSec, DHCP,
proxy DNS, GlobalProtect o QoS o a los perfiles
de red. Para obtener un control ms detallado
sobre qu objetos puede ver el administrador, deje
la opcin Red habilitada y, a continuacin, habilite
o deshabilite nodos especficos en la pestaa como
se describe en Acceso detallado a la pestaa Red.
No
Habilitar
93
Nivel de acceso
Descripcin
Dispositivo
Controla el acceso a la pestaa Dispositivo. Si

S
la pestaa Dispositivo ni tendr acceso a ninguna
de User-ID, alta disponibilidad, perfil de servidor
o certificado. Para obtener un control ms
Acceso detallado a la pestaa Dispositivo.
Nota
94
Habilitar
Solo
lectura
Deshabilitar
No
No puede habilitar el acceso a los nodos

Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un
acceso completo a la pestaa
Dispositivo.
Gestin de certificados
Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, as como el modo de obtenerlos y gestionarlos:
Cmo utilizan los dispositivos las claves y los certificados?
Cmo verifican los dispositivos el estado de revocacin de certificados?
Cmo obtienen los dispositivos los certificados?
Configuracin de la verificacin del estado de revocacin de certificados
Configuracin de la clave maestra
Obtencin de certificados
Configuracin de un perfil de certificado
Revocacin y renovacin de certificados
Claves seguras con un mdulo de seguridad de hardware
95

Para garantizar la confianza entre las partes de una sesin de comunicacin segura, los dispositivos de Palo Alto
Networks utilizan certificados digitales. Cada certificado contiene una clave criptogrfica para cifrar el texto sin
formato o descifrar el texto cifrado. Cada certificado tambin incluye una firma digital para autenticar la
identidad del emisor. Este debe estar incluido en la lista de entidades de certificacin (CA) de confianza de la
parte que realiza la autenticacin. De manera opcional, la parte que realiza la autenticacin verifica que el emisor
no haya revocado el certificado (consulte Cmo verifican los dispositivos el estado de revocacin de
certificados?).
Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
Autenticacin de usuarios para portal cautivo, GlobalProtect, gestor de seguridad mvil y acceso a la interfaz
web del cortafuegos/Panorama.
Autenticacin de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
Autenticacin de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).
Descifrado de trfico SSL entrante y saliente. Un cortafuegos descifra el trfico para aplicar polticas de
seguridad y reglas y, a continuacin, vuelve a cifrarlo antes de reenviar el trfico al destino definitivo. Para el
trfico saliente, el cortafuegos acta como servidor proxy de reenvo, estableciendo una conexin SSL/TLS
con el servidor de destino. Para proteger una conexin entre s mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
prctica recomendada es utilizar diferentes claves y certificados para cada uso.
Tabla: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/certificado
Descripcin
Acceso administrativo
Un acceso seguro a las interfaces de administracin de dispositivos (acceso HTTPS a la

interfaz web) requiere un certificado de servidor para la interfaz de gestin (o una interfaz
designada en el plano de datos si el dispositivo no utiliza una interfaz de gestin) y,
opcionalmente, un certificado para autenticar al administrador.
Portal cautivo
En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o adems de credenciales
de nombre de usuario/contrasea) para la identificacin de usuarios, designe tambin un
certificado de usuario. Si desea obtener ms informacin sobre el portal cautivo, consulte
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvo fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo confa
en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvo para generar una copia del certificado del servidor de destino y
enviarla al cliente. El cortafuegos utiliza la misma clave de descifrado para todos los
certificados fiables de reenvo. Para mayor seguridad, almacene la clave en un mdulo de
seguridad de hardware (si desea informacin detallada, consulte Claves seguras con un
mdulo de seguridad de hardware).
96
Descripcin
Reenvo no fiable
Para el trfico SSL/TLS saliente, si un cortafuegos que acta como proxy de reenvo no
confa en la CA que firm el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvo para generar una copia del certificado del servidor de
destino y enviarla al cliente.
Inspeccin de entrada SSL
Claves que descifran el trfico SSL/TLS entrante para su inspeccin y la aplicacin de la

poltica. Para esta aplicacin, importe en el cortafuegos una clave privada para cada servidor
que est sujeto a una inspeccin entrante SSL/TLS. Consulte Configuracin de la
inspeccin de entrada SSL.
Certificado SSL de exclusin Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debera descifrar el trfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configrelos como
certificados SSL de exclusin. Consulte Configuracin de excepciones de descifrado.
GlobalProtect
Toda la interaccin entre los componentes de GlobalProtect se realiza a travs de

conexiones SSL/TLS. Por lo tanto, como parte de la implementacin de GlobalProtect,
implemente certificados de servidor para todos los portales, puertas de enlace y gestores de
seguridad mvil de GlobalProtect. Opcionalmente, implemente certificados tambin para
los usuarios que realizan la autenticacin.
Observe que la funcin de VPN a gran escala (LSVPN) de GlobalProtect requiere que una
CA firme el certificado.
VPN de sitio a sitio (IKE)
En una implementacin de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre s. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte VPN de sitio a sitio.
Clave maestra
El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseas.
Si su red requiere una ubicacin segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un mdulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener ms informacin, consulte Cifrado de una clave maestra
utilizando un HSM.
Syslog seguro
Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor Syslog.

Consulte Configuracin del cortafuegos para autenticarlo con el servidor Syslog.
CA raz de confianza
Designacin de un certificado raz emitido por una CA en la que confa el cortafuegos. El

cortafuegos puede utilizar un certificado de CA raz autofirmado para emitir certificados
automticamente para otras aplicaciones (por ejemplo, Proxy SSL de reenvo).
Asimismo, si un cortafuegos debe establecer conexiones seguras con otros cortafuegos, la
CA raz que emite sus certificados debe estar incluida en la lista de CA raz de confianza del
cortafuegos.
97
Cmo verifican los dispositivos el estado de revocacin de

certificados?
Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes
de una sesin de comunicacin segura. La configuracin de un dispositivo para que compruebe el estado de
revocacin de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no
es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada
certificado de la cadena, excepto el certificado de CA raz, cuyo estado de revocacin no puede verificar el
dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin que emiti el certificado deber revocarlo.
Los dispositivos de Palo Alto Networks admiten los siguientes mtodos para verificar el estado de revocacin
de certificados. Si configura los dos, los dispositivos primero intentarn utilizar el mtodo OCSP; si el servidor
OCSP no est disponible, los dispositivos utilizarn el mtodo CRL.
Lista de revocacin de certificados (CRL)
Protocolo de estado de certificado en lnea (OCSP)

En PAN-OS, la verificacin del estado de revocacin de certificados es una funcin opcional. La
prctica recomendada es habilitarla para perfiles de certificados, que definen la autenticacin de
usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso
a la interfaz web del cortafuegos/Panorama.
Lista de revocacin de certificados (CRL)

Cada entidad de certificacin (CA) emite peridicamente una lista de revocacin de certificados (CRL) en un
repositorio pblico. La CRL identifica los certificados revocados por su nmero de serie. Despus de que la CA
revoque un certificado, la siguiente actualizacin de la CRL incluir el nmero de serie de ese certificado.
El cortafuegos de Palo Alto Networks descarga y guarda en cach la ltima emisin de la CRL de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en cach solamente se aplica a
certificados validados; si un cortafuegos nunca valid un certificado, el cortafuegos no almacenar la CRL para
la CA de emisin. Asimismo, la cach solamente almacena una CRL hasta que vence.
Para utilizar las CRL para verificar el estado de revocacin de certificados cuando el cortafuegos funcione como
proxy SSL de reenvo, consulte Configuracin de la verificacin del estado de revocacin de certificados
utilizados para el descifrado SSL/TLS.
Para utilizar las CRL para verificar el estado de revocacin de certificados que autentiquen usuarios y
dispositivos, configure un perfil de certificado y asgnelo a las interfaces especficas de la aplicacin: portal
cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la
interfaz web del cortafuegos/Panorama. Para obtener ms informacin, consulte Configuracin de la
verificacin del estado de revocacin de certificados utilizados para la autenticacin de usuarios/dispositivos.
98
Protocolo de estado de certificado en lnea (OCSP)

Al establecer una sesin SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en lnea
(OCSP) para comprobar el estado de revocacin del certificado de autenticacin. El cliente que realiza la
autenticacin enva una solicitud que contiene el nmero de serie del certificado al respondedor OCSP
(servidor). El respondedor busca en la base de datos de la entidad de certificacin (CA) que emiti el certificado
y devuelve una respuesta con el estado (Correcto, Revocado o Desconocido) al cliente. La ventaja del mtodo OCSP
es que puede verificar el estado en tiempo real, en lugar de depender de la frecuencia de emisin (cada hora,
diariamente o semanalmente) de las CRL.
El cortafuegos de Palo Alto Networks descarga y guarda en cach informacin de estado de OCSP de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en cach solamente se aplica a
certificados validados; si un cortafuegos nunca valid un certificado, la cach del cortafuegos no almacenar la
informacin de OCSP para la CA de emisin. Si su empresa tiene su propia infraestructura de clave pblica
(PKI), puede configurar el cortafuegos como un respondedor OCSP (consulte Configuracin de un
respondedor OCSP).
Para utilizar el OCSP para verificar el estado de revocacin de certificados cuando el cortafuegos funcione como
proxy SSL de reenvo, realice los pasos que se indican en Configuracin de la verificacin del estado de
revocacin de certificados utilizados para el descifrado SSL/TLS.
Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo,
GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec y acceso a la interfaz web
del cortafuegos/Panorama. Para utilizar OCSP para verificar el estado de revocacin de los certificados:
Configure un respondedor OCSP.

Habilite el servicio OCSP de HTTP en el cortafuegos.
Cree u obtenga un certificado para cada aplicacin.
Configure un perfil de certificado para cada aplicacin.
Asigne el perfil de certificado a la aplicacin relevante.
Para cubrir situaciones en las que el respondedor OCSP no est disponible, configure la CRL como mtodo de
retroceso. Para obtener ms informacin, consulte Configuracin de la verificacin del estado de revocacin de
certificados utilizados para la autenticacin de usuarios/dispositivos.
99

Los enfoques bsicos para implementar certificados para dispositivos de Palo Alto Networks son los siguientes:
Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una

entidad de certificacin (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales ya
confiarn en el certificado debido a que los exploradores comunes incluyen certificados de CA raz de CA
conocidas en sus almacenes de certificados raz de confianza. Por lo tanto, para aplicaciones que requieran
que los clientes finales establezcan conexiones seguras con un dispositivo de Palo Alto Networks, adquiera
un certificado de una CA en la que confen los clientes finales para no tener que implementar previamente
certificados de CA raz en los clientes finales. (Algunas de estas aplicaciones son un portal de GlobalProtect
o gestor de seguridad mvil de GlobalProtect.) Sin embargo, observe que la mayora de CA externas no
pueden emitir certificados de firma. Por lo tanto, este tipo de certificado no es adecuado para las aplicaciones
(por ejemplo, descifrado SSL/TLS y VPN a gran escala) que requieran que el cortafuegos emita certificados.
Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrn
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este mtodo es que la clave privada
no abandona el cortafuegos. Un CA de empresa tambin puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS).
Genere certificados autofirmados: Puede generar un certificado de CA raz autofirmado en el cortafuegos

y utilizarlo para emitir certificados automticamente para otras aplicaciones de cortafuegos. Observe que si
utiliza este mtodo para generar certificados para una aplicacin que requiera que un cliente final confe en
el certificado, los usuarios finales vern un error de certificado debido a que el certificado de CA raz no est
en su almacn de certificados raz de confianza. Para evitar esto, implemente el certificado de CA raz
autofirmado en todos los sistemas de usuario final. Puede implementar los certificados manualmente o
utilizar un mtodo de implementacin centralizado como un objeto de directiva de grupo (GPO) de Active
Directory.
100
Configuracin de la verificacin del estado de revocacin

de certificados
Para verificar el estado de revocacin de certificados, el cortafuegos utiliza el protocolo de estado de certificado
en lnea (OCSP) y/o listas de revocacin de certificados (CRL). Si desea informacin detallada de estos
mtodos, consulte Cmo verifican los dispositivos el estado de revocacin de certificados? Si configura ambos
mtodos, el cortafuegos primero intentar utilizar el OCSP y solamente retroceder al mtodo CRL si el
respondedor OCSP no est disponible. Si su empresa tiene su propia infraestructura de clave pblica (PKI),
puede configurar el cortafuegos para que funcione como el respondedor OCSP.
Los siguientes temas describen cmo configurar el cortafuegos para verificar el estado de revocacin de
certificados:
Configuracin de un respondedor OCSP
Configuracin de la verificacin del estado de revocacin de certificados utilizados para la autenticacin de

usuarios/dispositivos
Configuracin de la verificacin del estado de revocacin de certificados utilizados para el descifrado

SSL/TLS

Para utilizar el protocolo de estado de certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, debe configurar el cortafuegos para que acceda a un respondedor OCSP (servidor). La entidad que
gestiona el respondedor OCSP puede ser una entidad de certificacin (CA) externa o, si su empresa tiene su
propia infraestructura de clave pblica (PKI), el propio cortafuegos. Si desea informacin detallada sobre OCSP,
consulte Cmo verifican los dispositivos el estado de revocacin de certificados?
101
Paso 1
Defina un respondedor OCSP.
1.
En un cortafuegos, seleccione Dispositivo > Gestin de

certificados > OCSP responder y haga clic en Aadir.
En Panorama, seleccione Dispositivo > Gestin de
certificados > OCSP responder, seleccione una Plantilla y
haga clic en Aadir.
2.
Introduzca un Nombre para identificar al respondedor (hasta

31 caracteres). El nombre distingue entre maysculas y
minsculas. Debe ser exclusivo y utilizar nicamente letras,
nmeros, espacios, guiones y guiones bajos.
3.
Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el respondedor estar disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.
4.
En el campo Nombre de host, introduzca el nombre de host

(recomendado) o la direccin IP del respondedor OCSP. A
partir de este valor, PAN-OS deriva automticamente una URL
y la aade al certificado que se est verificando.
Si configura el propio cortafuegos como respondedor OCSP, el
nombre de host debe resolverse en una direccin IP de la
interfaz que utiliza el cortafuegos para servicios de OCSP
(especificado en el Paso 3).
5.
Paso 2
Habilite la comunicacin de OCSP en el

cortafuegos.
1.

En un cortafuegos, seleccione Dispositivo > Configuracin >
Gestin.
En Panorama, seleccione Dispositivo > Configuracin >

Gestin y seleccione una Plantilla.
2.
Paso 3
102
Opcionalmente, para configurar el propio 1.

cortafuegos como respondedor OCSP,
2.
aada un perfil de gestin de interfaz a la
interfaz utilizada para servicios OCSP.
3.
En la seccin Configuracin de interfaz de gestin, haga clic en

el icono Editar , seleccione la casilla de verificacin OCSP de
HTTP y, a continuacin, haga clic en ACEPTAR.
Seleccione Red > Perfiles de red > Gestin de interfaz.
Haga clic en Aadir para crear un nuevo perfil o haga clic en el
nombre de un perfil existente.
Seleccione la casilla de verificacin OCSP de HTTP y haga clic
en ACEPTAR.
4.
Seleccione Red > Interfaces y haga clic en el nombre de la

interfaz que utilizar el cortafuegos para servicios OCSP. El
Nombre de host de OCSP especificado en el Paso 1 deber
resolverse en una direccin IP de esta interfaz.
5.
Seleccione Avanzada > Otra informacin y seleccione el perfil

de gestin de interfaz que configur.
6.

utilizados para la autenticacin de usuarios/dispositivos
El cortafuegos utiliza certificados para autenticar usuarios y dispositivos para aplicaciones tales como portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para
mejorar la seguridad, la prctica recomendada es configurar el cortafuegos para que verifique el estado de
revocacin de certificados que utilice para la autenticacin de dispositivos/usuarios.
Configuracin de la verificacin del estado de revocacin de certificados utilizados para la autenticacin de
usuarios/dispositivos
Paso 1
Configuracin de un perfil de certificado Asigne uno o ms certificados CA raz al perfil y seleccione el modo
para cada aplicacin.
en que el cortafuegos verifica el estado de revocacin de certificados.
El nombre comn (FQDN o direccin IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea informacin detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte Cmo utilizan los dispositivos las
claves y los certificados?
Paso 2
Asigne los perfiles de certificados a las

aplicaciones relevantes.
Los pasos para asignar un perfil de certificado dependen de la

aplicacin que lo requiera.

utilizados para el descifrado SSL/TLS
El cortafuegos descifra el trfico SSL/TLS saliente para aplicar polticas de seguridad y reglas y, a continuacin,
vuelve a cifrar el trfico antes de reenviarlo. Durante este proceso, el cortafuegos acta como servidor proxy de
reenvo, manteniendo conexiones separadas con el cliente y el servidor de destino. Para la conexin con el
cliente, el cortafuegos utiliza un certificado de CA para generar automticamente un certificado de descifrado
que es una copia del certificado del servidor de destino. Puede configurar el cortafuegos para verificar el estado
de revocacin de certificados del servidor de destino de la manera siguiente.
Si habilita la verificacin del estado de revocacin de certificados de descifrado SSL/TLS,
aadir tiempo al proceso de establecimiento de la sesin. El primer intento de acceder a un sitio
puede fallar si la verificacin no termina antes de que se acabe el tiempo de espera de la sesin.
Por estos motivos, la verificacin est deshabilitada de manera predeterminada.

SSL/TLS
Paso 1
Acceda a la pgina Configuracin de

revocacin de certificado de descifrado.
En un cortafuegos, seleccione Dispositivo > Configuracin >

Sesin y, en la seccin Caractersticas de sesin, seleccione
Configuracin de revocacin de certificado de descifrado.
En Panorama, seleccione Dispositivo > Configuracin > Sesin,
seleccione una Plantilla y, en la seccin Caractersticas de sesin,
seleccione Configuracin de revocacin de certificado de
descifrado.
103

SSL/TLS (Continuacin)
Paso 2
Defina los intervalos de tiempo de espera Realice uno de los dos pasos siguientes o ambos, dependiendo de si
especficos de servicio para las solicitudes el cortafuegos utilizar el mtodo de protocolo de estado de
de estado de revocacin.
certificado en lnea (OCSP) o lista de revocacin de certificados
(CRL) para verificar el estado de revocacin de certificados. Si el
cortafuegos utiliza ambos, primero intentar utilizar OCSP; si el
respondedor OCSP no est disponible, entonces el cortafuegos
intenta utilizar el mtodo CRL.
1. En la seccin CRL, seleccione la casilla de verificacin
Habilitar e introduzca el Tiempo de espera de recepcin. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta del servicio CRL.
2.
En la seccin OCSP, seleccione la casilla de verificacin

Habilitar e introduzca el Tiempo de espera de recepcin. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de

esperar una respuesta del respondedor OCSP.
Dependiendo del valor de Tiempo de espera del estado del
certificado que especifique en el Paso 3, puede que el cortafuegos
registre un tiempo de espera antes de que pase cualquiera de los
intervalos de Tiempo de espera de recepcin o ambos.
Paso 3
Defina el intervalo de tiempo de espera

total para las solicitudes de estado de
revocacin.
Introduzca el Tiempo de espera del estado del certificado. Este es

el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta de cualquier servicio de estado de certificados
y aplica la lgica de bloqueo de sesin que defina opcionalmente en
el Paso 4. El Tiempo de espera del estado del certificado se
relaciona con el Tiempo de espera de recepcin de OCSP/CRL de
la manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor de
dos intervalos: el valor de Tiempo de espera del estado del
certificado o la suma de los dos valores de Tiempo de espera de
recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un tiempo
de espera de solicitud despus de que pase el menor de dos
intervalos: el valor de Tiempo de espera del estado del
certificado o el valor de Tiempo de espera de recepcin de
OCSP.
Si habilita nicamente CRL: El cortafuegos registra un tiempo de
espera de solicitud despus de que pase el menor de dos
intervalos: el valor de Tiempo de espera del estado del
certificado o el valor de Tiempo de espera de recepcin de
CRL.
104

SSL/TLS (Continuacin)
Paso 4
Defina el comportamiento de bloqueo

para el estado de certificado Desconocido o
un tiempo de espera de solicitud de estado
de revocacin.
Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el

servicio OCSP o CRL devuelva el estado de revocacin de
certificados Desconocido, seleccione la casilla de verificacin Bloquear
sesin con estado de certificado desconocido. De lo contrario, el
cortafuegos continuar con la sesin.
Si desea que el cortafuegos bloquee sesiones SSL/TLS despus de
que registre un tiempo de espera de solicitud, seleccione la casilla de
verificacin Bloquear sesin al agotar el tiempo de espera de
comprobacin de estado de certificado. De lo contrario, el
cortafuegos continuar con la sesin.
Paso 5
Guarde y aplique sus entradas.
105

Cada cortafuegos tiene una clave maestra predeterminada que cifra las claves privadas y otros secretos (como
contraseas y claves compartidas). La clave privada autentica a los usuarios cuando acceden a interfaces
administrativas del cortafuegos. La prctica recomendada para proteger las claves es configurar la clave maestra
en cada cortafuegos para que sea exclusiva y cambiarla peridicamente. Para mayor seguridad, utilice una clave
de ajuste almacenada en un mdulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener
ms informacin, consulte Cifrado de una clave maestra utilizando un HSM.
En una configuracin de alta disponibilidad (HA), asegrese de que ambos dispositivos del par
utilizan la misma clave maestra para cifrar claves privadas y certificados. Si las claves maestras
son diferentes, la sincronizacin de la configuracin de HA no funcionar correctamente.
Cuando exporta una configuracin de cortafuegos, la clave maestra cifra las contraseas de los
usuarios gestionados en servidores externos. Para los usuarios gestionados localmente, el
cortafuegos aade hash a las contraseas pero la clave maestra no las cifra.
Configuracin de una clave maestra
1.
En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic
en el icono Editar
.
En Panorama, seleccione Panorama > Clave maestra y diagnstico y, en la seccin Clave maestra, haga clic en el
icono Editar
.
2.
Introduzca la Clave maestra actual, si existe.
3.
Defina una Nueva clave principal y, a continuacin, seleccione la accin Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.
4.
(Opcional) Para especificar la Duracin de la clave maestra, introduzca el nmero de Das y/u Horas tras los cuales
vencer la clave. Si establece una duracin, cree una nueva clave maestra antes de que venza la clave anterior.
5.
(Opcional) Si establece la duracin de una clave, introduzca un Tiempo para el recordatorio que especifique el
nmero de Das y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviar un
recordatorio por correo electrnico.
6.
(Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener ms informacin, consulte
Cifrado de una clave maestra utilizando un HSM.
7.
106
Creacin de un certificado de CA raz autofirmado
Generacin de un certificado en el cortafuegos
Importacin de un certificado y una clave privada
Obtencin de un certificado de una CA externa
Creacin de un certificado de CA raz autofirmado

Un certificado de una entidad de certificacin (CA) raz autofirmado es el certificado de mayor nivel de una
cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados automticamente
para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS y para dispositivos
satlite de una VPN a gran escala de GlobalProtect.
Al establecer una conexin segura con el cortafuegos, el cliente remoto debe confiar en la CA raz que emiti el
certificado. De lo contrario, el explorador del cliente mostrar una advertencia indicando que el certificado no
es vlido y podra (dependiendo de la configuracin de seguridad) bloquear la conexin. Para evitar esto, despus
de generar el certificado de CA raz autofirmado, imprtelo en los sistemas cliente.
Generacin de un certificado de CA raz autofirmado
1.
En un cortafuegos, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione un
sistema virtual para el certificado. Para que el certificado est disponible para todos los sistemas virtuales, seleccione
la opcin compartida descrita en el Paso 6.
3.
Haga clic en Generar.
4.
Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre maysculas y minsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
En el campo Nombre comn, introduzca el FQDN (recomendado) o la direccin IP de la interfaz en la que

configurar el servicio que utilizar este certificado.
6.
Para que el certificado est disponible para todos los sistemas virtuales, seleccione la casilla de verificacin
Compartido. Esta casilla de verificacin solamente aparece si el dispositivo admite varios sistemas virtuales.
7.
Deje el campo Firmado por en blanco para designar el certificado como autofirmado.
8.
Seleccione la casilla de verificacin Autoridad del certificado.
9.
No seleccione un OCSP responder. La verificacin del estado de revocacin de certificados no se aplica a certificados
de CA raz.
10. Haga clic en Generar y Confirmar.
107

El cortafuegos utiliza certificados para autenticar clientes, servidores, usuarios y dispositivos en varias
aplicaciones, entre las que se incluyen descifrado SSL/TLS, portal cautivo, GlobalProtect, VPN de sitio a sitio
de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para cada uso. Si desea
informacin detallada sobre certificados especficos de aplicaciones, consulte Cmo utilizan los dispositivos las
claves y los certificados?
Para generar un certificado, primero debe crear o importar un certificado de CA raz para firmarlo. Si desea
informacin detallada, consulte Creacin de un certificado de CA raz autofirmado o Importacin de un
certificado y una clave privada.
Para utilizar el protocolo de estado de certificado en lnea (OCSP) para verificar el estado de revocacin de
certificados, realice la accin de Configuracin de un respondedor OCSP antes de generar el certificado. Si desea
informacin detallada sobre la verificacin del estado, consulte Cmo verifican los dispositivos el estado de
revocacin de certificados?
1.
2.
3.
4.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
5.
En el campo Nombre comn, introduzca el FQDN (recomendado) o la direccin IP de la interfaz en la que

6.
7.
En el campo Firmado por, seleccione el certificado de CA raz que emitir el certificado.
8.
Si es aplicable, seleccione un OCSP responder.
9.
(Opcional) Defina la Configuracin criptogrfica segn sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con l. El tamao de clave predeterminado y recomendado (Nmero de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.
10. (Opcional) Deber Aadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Nota
Si aade un atributo Nombre de host (nombre DNS), la prctica recomendada es que coincida con el Nombre
comn. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaa Certificados de dispositivos, haga clic en el Nombre del certificado.
108
Generacin de un certificado en el cortafuegos (Continuacin)
12. Seleccione las casillas de verificacin que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificacin Certificado de GUI web segura.
13. Haga clic en ACEPTAR y Confirmar.

Si su empresa tiene su propia infraestructura de clave pblica (PKI), puede importar un certificado y una clave
privada en el cortafuegos desde la entidad de certificacin (CA) de su empresa. Los certificados de CA de
empresa (a diferencia de la mayora de certificados adquiridos a una CA externa de confianza) pueden emitir
automticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran escala.
En lugar de importar un certificado de CA raz autofirmado en todos los sistemas cliente, la
prctica recomendada es importar un certificado desde la CA de la empresa, dado que los
clientes ya mantienen una relacin de confianza con la CA de la empresa, lo cual simplifica la
implementacin.
Si el certificado que va a importar forma parte de una cadena de certificados, la prctica
recomendada es importar toda la cadena.
1.
Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizar para la autenticacin.
Al exportar una clave privada, debe introducir una frase de contrasea para cifrar la clave para su transporte.
Asegrese de que el sistema de gestin puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contrasea para descifrarla.
2.
3.
4.
Haga clic en Importar.
5.
Introduzca un nombre de certificado. El nombre distingue entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras, nmeros, guiones y guiones bajos.
6.
7.
Introduzca la ruta y el nombre del Archivo de certificado que recibi de la CA o seleccione Examinar para buscar
el archivo.
109
Importacin de un certificado y una clave privada (Continuacin)
8.
Seleccione un Formato de archivo:

Clave privada cifrada y certificado (PKCS12): Este es el formato predeterminado y ms comn, en el que la clave
y el certificado estn en un nico contenedor (Archivo del certificado). Si un mdulo de seguridad de hardware
(HSM) va a almacenar la clave privada para este certificado, seleccione la casilla de verificacin La clave privada
reside en el mdulo de seguridad de hardware.
Certificado codificado en Base64 (PEM): Debe importar la clave independientemente del certificado. Si un
mdulo de seguridad de hardware (HSM) almacena la clave privada para este certificado, seleccione la casilla de
verificacin La clave privada reside en el mdulo de seguridad de hardware y omita el paso 9. De lo contrario,
seleccione la casilla de verificacin Importar clave privada, introduzca el Archivo de clave o seleccione Examinar
para buscarlo y, a continuacin, realice el paso 9.
9.
Introduzca y vuelva a introducir (confirme) la Frase de contrasea utilizada para cifrar la clave privada.
10. Haga clic en ACEPTAR. La pestaa Certificados de dispositivos muestra el certificado importado.

La ventaja de obtener un certificado de una entidad de certificacin (CA) externa es que la clave privada no
abandona el cortafuegos. Para obtener un certificado de una CA externa, genere una solicitud de firma de
certificado (CSR) y envela a la CA. Despus de que la CA emita un certificado con los atributos especiales,
imprtelo en el cortafuegos. La CA puede ser una CA pblica conocida o una CA de la empresa.
Para utilizar el protocolo de estado de certificacin en lnea (OCSP) para verificar el estado de revocacin del
certificado, realice la accin de Configuracin de un respondedor OCSP antes de generar la CSR.
110
Paso 1
Solicite el certificado de una CA externa. 1.

certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos y seleccione una
Plantilla.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa

muestra el men desplegable Ubicacin. Seleccione un sistema
virtual para el certificado. Para que el certificado est disponible
para todos los sistemas virtuales, seleccione la opcin
compartida descrita en el subpaso 6.
3.
4.
Introduzca un Nombre de certificado. El nombre distingue

entre maysculas y minsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar nicamente letras,
nmeros, guiones y guiones bajos.
5.
En el campo Nombre comn, introduzca el FQDN

(recomendado) o la direccin IP de la interfaz en la que
6.
Para que el certificado est disponible para todos los sistemas

virtuales, seleccione la casilla de verificacin Compartido. Esta
casilla de verificacin solamente aparece si el dispositivo admite
varios sistemas virtuales.
7.
En el campo Firmado por, seleccione Autoridad externa

(CSR).
8.
Si es aplicable, seleccione un OCSP responder.
9.
(Opcional) Deber Aadir los Atributos del certificado para

identificar de manera exclusiva el cortafuegos y el servicio que
vaya a utilizar el certificado.
Nota
Si aade un atributo Nombre de host, la prctica

recomendada es que coincida con el Nombre comn (esto
es obligatorio para GlobalProtect). El nombre de host
cumplimenta el campo Nombre alternativo del asunto
(SAN) del certificado.
10. Haga clic en Generar. La pestaa Certificados de dispositivos

muestra la CSR con el estado Pendiente.
Paso 2
Enve la CSR a la CA.
1.
Seleccione la CSR y haga clic en Exportar para guardar el

archivo .csr en un equipo local.
2.
Cargue el archivo .csr en la CA.
111
Obtencin de un certificado de una CA externa (Continuacin)
Paso 3
Paso 4
112
Importe el certificado.
Configure el certificado.
1.
Despus de que la CA enve un certificado firmado como

respuesta a la CSR, vuelva a la pestaa Certificados de
dispositivos y haga clic en Importar.
2.
Introduzca el Nombre de certificado utilizado para generar la

CSR en el Paso 1-4.
3.
Introduzca la ruta y el nombre del Archivo del certificado

PEM que envi la CA o seleccione Examinar para buscarlo.
4.
Haga clic en ACEPTAR. La pestaa Certificados de dispositivos

muestra el certificado con el estado Vlido.
1.
Haga clic en el Nombre del certificado.
2.
Seleccione las casillas de verificacin que se correspondan con

el uso que se pretende dar al certificado en el cortafuegos. Por
ejemplo, si el cortafuegos va a utilizar este certificado para
autenticar a los administradores que acceden a la interfaz web,
seleccione la casilla de verificacin Certificado de GUI web
segura.
3.

Los perfiles de certificados definen la autenticacin de usuarios y dispositivos para portal cautivo,
GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad mvil y acceso a la interfaz web del
cortafuegos/Panorama. Los perfiles especifican qu certificados deben utilizarse, cmo verificar el estado de
revocacin de certificados y cmo restringe el acceso dicho estado. Configure un perfil de certificado para cada
aplicacin.
La prctica recomendada es habilitar el protocolo de estado de certificado en lnea (OCSP) y/o
la verificacin del estado de la lista de revocacin de certificados (CRL) para perfiles de
certificados. Si desea informacin detallada sobre estos mtodos, consulte Cmo verifican los
dispositivos el estado de revocacin de certificados?
Paso 1
Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificacin (CA) que asignar.
CA que asignar al perfil. Debe asignar al menos uno.
Creacin de un certificado de CA raz autofirmado.
Exporte un certificado de la CA de su empresa y, a continuacin,
imprtelo en el cortafuegos (consulte Paso 3).
Paso 2
Identifique el perfil de certificado.
1.

certificados > Perfil del certificado y haga clic en Aadir.
En Panorama, seleccione Dispositivo > Gestin de certificados >
Perfil del certificado, seleccione una Plantilla y haga clic en
Aadir.
2.
Introduzca un Nombre para identificar el perfil. El nombre

distingue entre maysculas y minsculas. Debe ser exclusivo y
utilizar nicamente letras, nmeros, espacios, guiones y guiones
bajos. Puede tener hasta 31 caracteres.
3.
Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el perfil estar disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.
113
Configuracin de un perfil de certificado (Continuacin)
Paso 3
Asigne uno o ms certificados.
Realice los siguientes pasos para cada certificado:

1. En la tabla Certificados de CA, haga clic en Aadir.
2.
Seleccione un Certificado de CA del Paso 1 o haga clic en

Importar y realice los siguientes subpasos:
a. Introduzca un nombre de certificado.
b. Introduzca la ruta y el nombre del Archivo de certificado
que export desde la CA de su empresa o seleccione
Examinar para buscar el archivo.
c. Haga clic en ACEPTAR.
3.
Opcionalmente, si el cortafuegos utiliza OCSP para verificar el

estado de revocacin de certificados, configure los siguientes
campos para cancelar el comportamiento predeterminado. Para
la mayora de las implementaciones, estos campos no son
aplicables.
De manera predeterminada, el cortafuegos utiliza la URL del
respondedor OCSP que estableci en el procedimiento
Configuracin de un respondedor OCSP. Para cancelar ese
ajuste, introduzca una URL de OCSP predeterminada (que
comience por http:// o https://).
De manera predeterminada, el cortafuegos utiliza el
certificado seleccionado en el campo Certificado de CA para
validar las respuestas de OCSP. Para utilizar un certificado
diferente para la validacin, seleccinelo en el campo
Verificacin de certificado CA con OCSP.
4.
114
Haga clic en ACEPTAR. La tabla Certificados de CA muestra el

certificado asignado.
Configuracin de un perfil de certificado (Continuacin)
Paso 4
Defina los mtodos para verificar el

estado de revocacin de certificados y el
comportamiento de bloqueo asociado.
1.
Seleccione Utilizar CRL y/o Utilizar OCSP. Si selecciona ambos

mtodos, el cortafuegos primero intentar utilizar el OCSP y
solamente retroceder al mtodo CRL si el respondedor OCSP
no est disponible.
2.
Dependiendo del mtodo de verificacin, introduzca el Tiempo

de espera de recepcin de CRL y/o Tiempo de espera de
recepcin de OCSP. Estos son los intervalos (1-60 segundos)
tras los cuales el cortafuegos deja de esperar una respuesta del
servicio CRL/OCSP.
3.
Introduzca el Tiempo de espera del estado del certificado.

Este es el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lgica de bloqueo de sesin que defina.
El Tiempo de espera del estado del certificado se relaciona
con el Tiempo de espera de recepcin de OCSP/CRL de la
manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra
un tiempo de espera de solicitud despus de que pase el
menor de dos intervalos: el valor de Tiempo de espera del
estado del certificado o la suma de los dos valores de
Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un
tiempo de espera de solicitud despus de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepcin de CRL.
4.
Si desea que el cortafuegos bloquee sesiones cuando el servicio

OCSP o CRL devuelva el estado de revocacin de certificados
Desconocido, seleccione la casilla de verificacin Bloquear una
sesin si el estado del certificado es desconocido. De lo
contrario, el cortafuegos continuar con la sesin.
5.
Si desea que el cortafuegos bloquee sesiones despus de que

registre un tiempo de espera de solicitud de OCSP o CRL,
seleccione la casilla de verificacin Bloquear una sesin si no
se puede recuperar el estado del certificado dentro del
tiempo de espera. De lo contrario, el cortafuegos continuar
con la sesin.
Paso 5
Guarde y aplique sus entradas.
115

Los siguientes temas describen cmo revocar o renovar certificados:
Revocacin de un certificado
Renovacin de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociacin entre el sujeto y la entidad de certificacin (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelacin (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificacin (CA) que emiti el certificado deber revocarlo. La siguiente tarea
describe cmo revocar un certificado para el que el cortafuegos sea la CA.
1.
Seleccione Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
Seleccione el certificado que desea revocar.
4.
Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y aade el nmero
de serie a la cach del respondedor del protocolo de estado de certificado en lnea (OCSP) o la lista de revocacin
de certificados (CRL). No necesita realizar una confirmacin.
Si un certificado vence, o lo har pronto, puede restablecer el perodo de validez. Si una entidad de certificacin
(CA) externa firm el certificado y el cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos utilizar informacin del respondedor
OCSP para actualizar el estado del certificado (consulte Configuracin de un respondedor OCSP). Si el
cortafuegos es la CA que emiti el certificado, el cortafuegos lo sustituir por un nuevo certificado que tenga
un nmero de serie diferente pero los mismos atributos que el certificado anterior.
1.
2.
Si el dispositivo admite varios sistemas virtuales, la pestaa muestra el men desplegable Ubicacin. Seleccione el
sistema virtual al que pertenece el certificado.
3.
Seleccione el certificado que desea renovar y haga clic en Renovar.
4.
Introduzca un Nuevo intervalo de vencimiento (en das).
5.
116

Un mdulo de seguridad de hardware (HSM) es un dispositivo fsico que gestiona claves digitales. Un HSM
proporciona un almacenamiento seguro y la generacin de claves digitales. Ofrece tanto proteccin lgica como
fsica de estos materiales ante un uso no autorizado y posibles atacantes.
Los clientes HSM integrados con dispositivos de Palo Alto Networks habilitan una seguridad mejorada para las
claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvo como la inspeccin de
entrada SSL). Adems, puede utilizar el HSM para cifrar claves maestras de dispositivos.
Los siguientes temas describen cmo integrar un HSM con sus dispositivos de Palo Alto Networks:
Configuracin de la conectividad con un HSM
Cifrado de una clave maestra utilizando un HSM
Almacenamiento de claves privadas en un HSM
Gestin de la implementacin del HSM
Configuracin de la conectividad con un HSM

Los clientes HSM estn integrados con los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 y
VM-Series y en Panorama (dispositivo virtual y dispositivo M-100) para su uso con los siguientes HSM:
SafeNet Luna SA 5.2.1 o posterior
Thales Nshield Connect 11.62 o posterior

La versin del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la
documentacin del proveedor del HSM para conocer la matriz de compatibilidad de la versin de
servidor cliente.
Los siguientes temas describen cmo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:
Configuracin de la conectividad con un HSM SafeNet Luna SA
Configuracin de la conectividad con un HSM Thales Nshield Connect

Para configurar la conectividad entre el dispositivo de Palo Alto Networks y un HSM SafeNet Luna SA, debe
especificar la direccin del servidor HSM y la contrasea para conectarse a l en la configuracin del
cortafuegos. Adems, debe registrar el cortafuegos con el servidor HSM. Antes de comenzar la configuracin,
asegrese de que ha creado una particin para los dispositivos de Palo Alto Networks en el servidor HSM.
La configuracin del HSM no est sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deber configurar el HSM por separado en cada uno de los peers.
En implementaciones de HA activas-pasivas, deber realizar manualmente una conmutacin por
error para configurar y autenticar cada peer de HA individualmente en el HSM. Despus de
realizar esta conmutacin por error manual, la interaccin del usuario no ser necesaria para la
funcin de conmutacin por error.
117
Paso 1
Nota
Registre el cortafuegos (el cliente 1.

HSM) con el HSM y asgnelo a
2.
una particin en el HSM.
Si el HSM ya tiene un cortafuegos
con el mismo <cl-name>
registrado, deber eliminar el
registro duplicado utilizando el
3.
siguiente comando antes de que
el registro pueda realizarse
correctamente:
client delete -client
Inicie sesin en el HSM desde un sistema remoto.

Registre el cortafuegos utilizando el siguiente comando:
client register -c <cl-name> -ip <fw-ip-addr>
siendo <cl-name> un nombre que asigna al cortafuegos para su uso en

el HSM y <fw-ip-addr> la direccin IP del cortafuegos que se est
configurando como cliente HSM.
Asigne una particin al cortafuegos utilizando el siguiente comando:
client assignpartition -c <cl-name> -p <partition-name>
siendo <cl-name> el nombre asignado al cortafuegos en el comando

client register y <partition-name> el nombre de una particin
configurada anteriormente que desee asignar al cortafuegos.
<cl-name>
siendo <cl-name> el nombre del

registro de cliente (cortafuegos)
que desea eliminar.
Paso 2
Configure el cortafuegos para

que se comunique con el HSM
SafeNet Luna SA.
1.
Inicie sesin en la interfaz web del cortafuegos y seleccione Dispositivo >

Configuracin > HSM.
2.
Edite la seccin Proveedor de mdulo de seguridad de hardware y

seleccione Safenet Luna SA como el Proveedor configurado.
3.
Haga clic en Aadir e introduzca un Nombre de mdulo. Puede ser

cualquier cadena ASCII con una longitud de hasta 31 caracteres.
4.
Introduzca la direccin IPv4 del HSM como Direccin de servidor.

Si est realizando una configuracin de HSM de alta disponibilidad,
introduzca los nombres de mdulos y las direcciones IP de los
dispositivos del HSM adicionales.
5.
(Opcional) Si est realizando una configuracin de HSM de alta

disponibilidad, seleccione la casilla de verificacin Alta disponibilidad y
aada lo siguiente: un valor para Reintento de recuperacin
automtica y un Nombre de grupo de alta disponibilidad.
Si hay dos servidores HSM configurados, debera configurar la alta
disponibilidad. De lo contrario, el segundo servidor HSM no se utilizar.
6.
118
Configuracin de la conectividad con un HSM SafeNet Luna SA (Continuacin)
Paso 3
(Opcional) Configure una ruta de 1.

servicio para permitir que el
2.
cortafuegos se conecte al HSM.
De manera predeterminada, el
cortafuegos utiliza la interfaz de
gestin para comunicarse con el
HSM. Para utilizar una interfaz
diferente, debe configurar una
ruta de servicio.

Seleccione Configuracin de ruta de servicios en el rea Caractersticas
de servicios.
3.
Seleccione Personalizar en el rea Configuracin de ruta de servicios.
4.
Seleccione la pestaa IPv4.
5.
Seleccione HSM en la columna Servicio.
6.
Seleccione una interfaz para utilizarla para el HSM en el men

desplegable Interfaz de origen.
Nota
7.
Paso 4

autenticarlo para el HSM.
Si selecciona un puerto conectado al plano de datos para el HSM,

al emitir el comando de la CLI clear session all se borrarn
todas las sesiones del HSM existentes, lo que har que todos los
estados del HSM se desconecten y luego se conecten. Durante los
segundos que necesita el HSM para recuperarse, fallarn todas las
operaciones de SSL/TLS.
1.
Seleccione Dispositivo > Configuracin > HSM.
2.
Seleccione Configurar mdulo de seguridad de hardware en el rea

Operaciones de seguridad de hardware.
3.
Seleccione el Nombre de servidor del HSM en el men desplegable.
4.
Introduzca la Contrasea de administrador para autenticar el

cortafuegos para el HSM.
5.

El cortafuegos intenta realizar una autenticacin con el HSM y muestra
un mensaje de estado.
Paso 5
Paso 6

conectarlo a la particin del
HSM.
6.
1.
2.
Haga clic en el icono Actualizar.
3.
Seleccione Configurar particin HSM en el rea Operaciones de

seguridad de hardware.
4.
Introduzca la Contrasea de particin para autenticar el cortafuegos

para la particin del HSM.
5.
(Opcional) Configure un HSM

1.
adicional para alta disponibilidad
(HA).
2.
Siga del Paso 2 al Paso 5 para aadir un HSM adicional para alta
disponibilidad (HA).
Este proceso aade un nuevo HSM al grupo de HA existente.
Si elimina un HSM de su configuracin, repita el Paso 5.
Esto quitar el HSM eliminado del grupo de HA.
119
Configuracin de la conectividad con un HSM SafeNet Luna SA (Continuacin)
Paso 7
Verifique la conectividad con el

HSM.
1.
2.

Compruebe el Estado de la conexin del HSM:
Verde = El HSM est autenticado y conectado.
Rojo = El HSM no se ha autenticado o la conectividad de red del HSM
est inactiva.
3.
Consulte las columnas siguientes del rea Estado de mdulo de

seguridad de hardware para determinar el estado de autenticacin:
Nmero de serie: Nmero de serie de la particin del HSM si el HSM
se ha autenticado correctamente.
Particin: Nombre de la particin del HSM que se asign al
cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.

El siguiente flujo de trabajo describe cmo configurar el cortafuegos para comunicarse con un HSM Thales
Nshield Connect. Esta configuracin requiere que configure un sistema de archivos remoto (RFS) para utilizarlo
como concentrador y as sincronizar datos de claves de todos los cortafuegos de su organizacin que estn
utilizando el HSM.
La configuracin del HSM no est sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deber configurar el HSM por separado en cada uno de los peers.
Si la configuracin del cortafuegos de alta disponibilidad est en modo activo-pasivo, deber
realizar manualmente una conmutacin por error para configurar y autenticar cada peer de HA
individualmente en el HSM. Despus de realizar esta conmutacin por error manual, la
interaccin del usuario no ser necesaria para la funcin de conmutacin por error.
Paso 1
Configure el servidor
Thales Nshield Connect
como el proveedor de
HSM del cortafuegos.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuracin >
HSM y edite la seccin Proveedor de mdulo de seguridad de hardware.
2.
Seleccione Thales Nshield Connect como el Proveedor configurado.
3.
Haga clic en Aadir e introduzca un Nombre de mdulo. Puede ser cualquier

cadena ASCII con una longitud de hasta 31 caracteres.
4.
Introduzca la direccin IPv4 como la Direccin de servidor del HSM.

Si est realizando una configuracin de HSM de alta disponibilidad, introduzca
los nombres de mdulos y las direcciones IP de los dispositivos del HSM
adicionales.
120
5.
Introduzca la direccin IPv4 de la Direccin de sistema de archivos remoto.
6.
Configuracin de la conectividad con un HSM Thales Nshield Connect (Continuacin)
Paso 2
(Opcional) Configure una 1.

ruta de servicio para
2.
permitir que el
cortafuegos se conecte
3.
al HSM.
4.
De manera
5.
predeterminada, el
6.
cortafuegos utiliza la

Seleccione Configuracin de ruta de servicios en el rea Caractersticas de
servicios.
Seleccione Personalizar en el rea Configuracin de ruta de servicios.
Seleccione la pestaa IPv4.
Seleccione HSM en la columna Servicio.
Seleccione una interfaz para utilizarla para el HSM en el men desplegable
Interfaz de origen.
interfaz de gestin para
comunicarse con el HSM. Nota Si selecciona un puerto conectado al plano de datos para el HSM, al emitir
Para utilizar una interfaz
el comando de la CLI clear session all se borrarn todas las sesiones
diferente, debe configurar
del HSM existentes, lo que har que todos los estados del HSM se
una ruta de servicio.
desconecten y luego se conecten. Durante los segundos que necesita el
HSM para recuperarse, fallarn todas las operaciones de SSL/TLS.
Paso 3
Registre el cortafuegos
(el cliente HSM) con el
servidor HSM.
7.
1.
Inicie sesin en la pantalla del panel frontal de la unidad HSM Thales Nshield
Connect.
2.
En el panel frontal de la unidad, utilice el botn de navegacin de la derecha

para seleccionar Sistema > Configuracin del sistema > Configuracin de
cliente > Nuevo cliente.
Este paso describe

brevemente el
procedimiento para
utilizar la interfaz del panel
frontal del HSM Thales
Nshield Connect. Si desea
informacin ms
detallada, consulte la
documentacin de Thales. 3.
4.
Client configuration
Please enter your
client IP address
0.0.0.0
Cancel
Next
Introduzca la direccin IP del cortafuegos.

Seleccione Sistema > Configuracin del sistema > Configuracin de cliente >
Sistema de archivos remoto e introduzca la direccin IP del equipo cliente
donde configure el sistema de archivos remoto.
121
Paso 4
Configure el sistema de
archivos remoto para
aceptar conexiones del
cortafuegos.
1.
Inicie sesin en el sistema de archivos remoto (RFS) desde un cliente Linux.
2.
Obtenga el nmero de serie electrnico (ESN) y el hash de la clave KNETI. La

clave KNETI autentica el mdulo para clientes:
anonkneti <ip-address>
siendo <ip-address> la direccin IP del HSM.

A continuacin se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
En este ejemplo, B1E2-2D4C-E6A2 es el ESM y

5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI.
3.
Utilice el siguiente comando de una cuenta de superusuario para realizar la

configuracin del sistema de archivos remoto:
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
siendo <ip-address> la direccin IP del HSM,

<ESN>
el nmero de serie electrnico (ESN) y
<hash-Kneti-key>
el hash de la clave KNETI.
El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento:

rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4.
Utilice el siguiente comando para permitir un envo de cliente en el sistema de

archivos remoto:
rfs-setup --gang-client --write-noauth <FW-IPaddress>
siendo <FW-IPaddress> la direccin IP del cortafuegos.

Paso 5
Configure el cortafuegos
para autenticarlo para el
HSM.
1.
Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuracin >
HSM.
2.
Seleccione Configurar mdulo de seguridad de hardware en el rea

3.

El cortafuegos intenta realizar una autenticacin con el HSM y muestra un
mensaje de estado.
4.
Paso 6
122
Sincronice el cortafuegos 1.
con el sistema de archivos 2.
remoto.

Seleccione Sincronizar con sistema de archivos remoto en la seccin
Paso 7
Verifique que el
cortafuegos puede
conectarse al HSM.
1.
2.
Compruebe el indicador de estado para verificar que el cortafuegos est

conectado al HSM:
Verde = El HSM est autenticado y conectado.
Rojo = El HSM no se ha autenticado o la conectividad de red del HSM est
inactiva.
3.
Consulte las columnas siguientes de la seccin Estado de mdulo de seguridad

de hardware para determinar el estado de autenticacin:
Nombre: Nombre del HSM que trata de ser autenticado.
Direccin IP: Direccin IP del HSM que se asign en el cortafuegos.
Estado de mdulo: Estado de funcionamiento actual del HSM: Autenticado o
No autenticado.

En un cortafuegos de Palo Alto Networks hay configurada una clave maestra para cifrar todas las claves privadas
y contraseas. Si tiene requisitos de seguridad para almacenar sus claves privadas en una ubicacin segura, puede
cifrar la clave maestra utilizando una clave de cifrado que se almacene en un HSM. A continuacin, el
cortafuegos solicitar al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contrasea
o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicacin de alta seguridad
separada del cortafuegos para mayor seguridad.
El HSM cifra la clave maestra mediante una clave de ajuste. Para mantener la seguridad, esta clave de cifrado
debe cambiarse de vez en cuando. Por este motivo, se proporciona un comando en el cortafuegos para rotar la
clave de ajuste que cambia el cifrado de la clave maestra. La frecuencia de esta rotacin de la clave de ajuste
depende de su aplicacin.
El cifrado de clave maestra que utilice un HSM no se admite en cortafuegos configurados en el
modo FIPS o CC.
Los temas siguientes describen cmo descifrar la clave maestra inicialmente y cmo actualizar el cifrado de la
clave maestra.
Cifrado de la clave maestra
Actualizacin del cifrado de clave maestra
Cifrado de la clave maestra

Si no ha cifrado anteriormente la clave maestra de un dispositivo, utilice el siguiente procedimiento para cifrarla.
Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y desea
descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualizacin del cifrado
de clave maestra.
123
1.
Seleccione Dispositivo > Clave maestra y diagnstico.
Paso 8
Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseas del cortafuegos
en el campo Clave maestra.
Paso 9
Si est cambiando la clave maestra, introduzca la nueva clave maestra y confrmela.
Paso 10 Seleccione la casilla de verificacin HSM.

Duracin: Nmero de das y horas tras el cual vence la clave maestra (rango: 1-730 das).
Tiempo para el recordatorio: Nmero de das y horas antes del vencimiento en cuyo momento se notificar al
usuario del vencimiento inminente (rango: 1-365 das).

Paso 11 Haga clic en ACEPTAR.

La prctica recomendada es actualizar el cifrado de clave maestra con regularidad rotando la clave de ajuste de
clave maestra en el HSM Este comando es el mismo para los HSM SafeNet Luna SA y Thales Nshield Connect.
1.
Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM y
cifrar la clave maestra con la nueva clave de ajuste.
Si la clave maestra no est cifrada en el HSM, el comando de la CLI generar una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.

Para mayor seguridad, las claves privadas utilizadas para habilitar el descifrado SSL/TLS (tanto el proxy SSL de
reenvo como la inspeccin de entrada SSL) pueden protegerse con un HSM de la manera siguiente:
Proxy SSL de reenvo: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvo se puede almacenar en el HSM. A continuacin, el cortafuegos
enviar los certificados que genere durante las operaciones de proxy SSL/TLS de reenvo al HSM para su
envo antes de reenviarlos al cliente.
Inspeccin de entrada SSL: Las claves privadas de los servidores internos para los que est haciendo una
inspeccin de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cmo importar claves privadas en el HSM, consulte la documentacin de su
proveedor de HSM. Despus de que las claves necesarias se encuentren en el HSM, podr configurar el
cortafuegos para ubicar las claves de la manera siguiente:
124
Para obtener instrucciones sobre cmo importar claves privadas en el HSM,

consulte la documentacin de su proveedor de HSM.
Paso 1
Importe las claves privadas

utilizadas en sus
implementaciones de proxy SSL
de reenvo y/o inspeccin de
entrada SSL en el HSM.
Paso 2
1.
(nicamente Thales Nshield
Connect) Sincronice los datos de
claves del sistema de archivos
2.
remoto del HSM con el
cortafuegos.
Paso 3
Paso 4
1.
Importe los certificados que se
correspondan con las claves
privadas que est almacenando en 2.
el HSM en el cortafuegos.
3.
Seleccione Sincronizar con sistema de archivos remoto en la seccin

Desde la interfaz web del cortafuegos, seleccione Dispositivo > Gestin
de certificados > Certificados > Certificados de dispositivos.
Haga clic en Importar.
Introduzca el Nombre de certificado.
4.
Introduzca el nombre de archivo del Archivo del certificado que

import en el HSM.
5.
Seleccione el Formato de archivo adecuado en el men desplegable.
6.
Seleccione la casilla de verificacin La clave privada reside en el

mdulo de seguridad de hardware.
7.
(nicamente certificados fiables 1.

de reenvo) Habilite el certificado
para su uso en el proxy SSL/TLS 2.
de reenvo.
3.
4.
Paso 5
Desde la interfaz web del cortafuegos, seleccione Dispositivo >

Configuracin > HSM.
Verifique que el certificado se ha 1.

importado correctamente en el
cortafuegos.
2.
3.
Seleccione Dispositivo > Gestin de certificados > Certificados >

Certificados de dispositivos.
Localice el certificado que import en el Paso 3.
Seleccione la casilla de verificacin Reenviar certificado fiable.
Seleccione Dispositivo > Gestin de certificados > Certificados >
Localice el certificado que import en el Paso 3.
En la columna Clave, observe lo siguiente:
Si se muestra un icono de bloqueo, la clave privada del certificado puede
encontrarse en el HSM.
Si se muestra un icono de error, la clave privada no se ha importado en
el HSM o el HSM no est autenticado o conectado correctamente.
125
Gestin de la implementacin del HSM

Gestin del HSM
Visualice los ajustes de

configuracin del HSM.
Muestre la informacin detallada Seleccione Mostrar informacin detallada en la seccin Operaciones de seguridad
del HSM.
de hardware.
Aparecer informacin relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.
Exporte un archivo de asistencia. Seleccione Exportar archivo de asistencia en la seccin Operaciones de seguridad
de hardware.
Se crear un archivo de prueba para ayudar en la asistencia a los clientes cuando se
trate de solucionar un problema con una configuracin del HSM en el cortafuegos.
Restablezca la configuracin del Seleccione Restablecer configuracin de HSM en la seccin Operaciones de
HSM.
seguridad de hardware.
Seleccionar esta opcin elimina todas las conexiones del HSM. Todos los
procedimientos de autenticacin debern repetirse despus de utilizar esta opcin.
126
Alta disponibilidad
La alta disponibilidad (HA) es una configuracin en la que dos cortafuegos se colocan en un grupo y su
configuracin se sincroniza para prevenir el fallo de un nico punto en su red. Una conexin de latido entre los
peers del cortafuegos garantiza una conmutacin por error sin problemas en el caso de que falle un peer. La
configuracin de los cortafuegos en un clster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronizacin de sesin y configuracin. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, nicamente admiten HA lite sin capacidad de sincronizacin de sesin. Los siguientes
temas proporcionan ms informacin sobre la alta disponibilidad y sobre cmo configurarla en su entorno.
Descripcin general de la alta disponibilidad
Configuracin de la HA activa/pasiva
Si desea ms informacin, consulte los siguientes artculos:
Active/Active HA (en ingls)
High Availability Synchronization (en ingls)
High Availability Failover Optimization (en ingls)
Upgrading an HA pair (en ingls)
Examples: Deploying HA (en ingls)
Alta disponibilidad
127
Alta disponibilidad

En cortafuegos de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le
permite reducir al mnimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso
de que falle el dispositivo principal. Los dispositivos utilizan puertos de HA especficos o internos en el
cortafuegos para sincronizar datos (configuraciones de red, objeto y poltica) y mantener informacin de estado.
Los dispositivos no comparten informacin de la configuracin especfica de los dispositivos, como la direccin
IP del puerto de gestin o perfiles de administrador, la configuracin especfica de HA, datos de log y el Centro
de comando de aplicacin (ACC). Para obtener una vista consolidada de aplicaciones y logs a travs del par de
HA deber utilizar Panorama, el sistema de gestin centralizado de Palo Alto Networks.
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Las condiciones que activan una conmutacin por
error son las siguientes:
Falla una o ms de las interfaces supervisadas. (Supervisin de enlaces)
No se puede llegar a uno o ms de los destinos especificados en el dispositivo. (Supervisin de rutas)
El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat)
Modos de HA
Puede configurar los cortafuegos para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea informacin sobre cmo
ajustar sus dispositivos en una configuracin activa/pasiva, consulte Configuracin de la HA activa/pasiva.
Los cortafuegos PA-200 y VM-Series admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de
sesiones y, por lo tanto, HA Lite no ofrece una conmutacin por error con estado.
128
Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan
sincronizadamente para gestionar la configuracin y la pertenencia de la sesin. La implementacin
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y nicamente se recomienda
para redes con enrutamiento asimtrico. Si desea informacin sobre el establecimiento de una configuracin
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota tcnica sobre
alta disponibilidad activa/activa).
Alta disponibilidad
Alta disponibilidad
Enlaces de HA y enlaces de copia de seguridad

Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener informacin de
estado. Algunos modelos del cortafuegos tienen puertos de HA especficos, como enlace de control (HA1) y
enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
En dispositivos con puertos de HA especficos como los cortafuegos de las series PA-3000, PA-4000, PA-5000
y PA-7050 (consulte Puertos de HA en el cortafuegos PA-7050), utilice los puertos de HA especficos para
gestionar la comunicacin y la sincronizacin entre los dispositivos. Para dispositivos sin puertos de HA
especficos, como los cortafuegos de las series PA-200, PA-500 y PA-2000, la prctica recomendada es utilizar
el puerto de gestin para el enlace de HA1 para permitir una conexin directa entre los planos de gestin de los
dispositivos y un puerto interno para el enlace de HA2.
Los enlaces de HA1 y HA2 proporcionan sincronizacin para funciones que
residen en el plano de gestin. Utilizar las interfaces de HA especficas del plano
de gestin es ms eficaz que utilizar los puertos internos, ya que as se elimina la
necesidad de pasar los paquetes de sincronizacin a travs del plano de datos.
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto claro; puerto
28 para una comunicacin cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimtrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesin. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los
enlaces de HA principales.
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.
Alta disponibilidad
129
Alta disponibilidad
Puertos de HA en el cortafuegos PA-7050

Para la conectividad de HA en el PA-7050, consulte la siguiente tabla para obtener informacin detallada sobre
qu puertos de la tarjeta de gestin de conmutadores (SMC) son obligatorios y qu puertos de la tarjeta de
procesamiento de red (NPC) son adecuados. Para obtener una descripcin general de los mdulos y las tarjetas
de interfaz del cortafuegos PA-7050, consulte la Gua de referencia de hardware de PA-7050.
Los siguientes puertos de la SMC estn diseados para la conectividad de HA:
Enlaces de HA Puertos de la SMC
y enlaces de
copia de
seguridad
Descripcin
Enlace de
control
Se utiliza para el control y la sincronizacin de HA. Conecte este

puerto directamente desde el puerto HA1-A del primer dispositivo al
puerto HA1-A del segundo dispositivo del par, o bien conctelos
juntos a travs de un conmutador o enrutador.
HA1-A
Velocidad: Ethernet
10/100/1000
HA1 no se puede configurar en puertos de datos NPC o el puerto

MGT.
Copia de
seguridad de
enlace de
control
HA1-B
Velocidad: Puerto Ethernet
10/100/1000
Se utiliza para el control y la sincronizacin de HA como copia de

seguridad para HA1-A. Conecte este puerto directamente desde el
puerto HA1-B del primer dispositivo al puerto HA1-B del segundo
dispositivo del par, o bien conctelos juntos a travs de un
conmutador o enrutador.
La copia de seguridad de HA1 no se puede configurar en puertos de
datos de NPC o el puerto de gestin.
Enlace de
datos
Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
cortafuegos PA-7050 con una configuracin de HA. Cada puerto
(High Speed Chassis
consta de cuatro enlaces internos de 10 gigabits para alcanzar una
Interconnect, interconexin
velocidad
combinada de 40 gigabits y se usa para enlaces de datos
de bastidores de alta velocidad)
HA2 en la configuracin activa/pasiva. En el modo activo/activo, el
puerto tambin se usa para reenvo de paquetes HA3 en sesiones de
enrutamiento asimtrica que requieren inspeccin de capa 7 para
App-ID y Content-ID.
HSCI-A
En una instalacin tpica, el puerto HSCI-A del primer bastidor se

conecta directamente al HSCI-A del segundo y el HSCI-B del primer
bastidor se conecta al HSCI-B del segundo. As se alcanzan
velocidades de transferencia mximas de 80 gigabits. En software,
ambos puertos (HSCI-A y HSCI-B) se tratan como una nica interfaz
HA.
Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre s.
Palo Alto Networks recomienda utilizar los puertos HSCI especficos
para las conexiones de HA2 y HA3. Sin embargo, pueden configurarse
los enlaces de HA2 y HA3 en puertos de datos de NPC, si es necesario.
130
Alta disponibilidad
Alta disponibilidad
Enlaces de HA Puertos de la SMC

y enlaces de
copia de
seguridad
Copia de
seguridad de
enlace de
datos
HSCI-B
Descripcin
Las interfaces Quad Port SFP (QSFP) (consulte la descripcin

anterior) del puerto HSCI-B se utilizan para aumentar el ancho de
banda para HA2/HA3.
(High Speed Chassis

Interconnect, interconexin
de bastidores de alta velocidad) Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre s.
Palo Alto Networks recomienda utilizar los puertos HSCI-B

especficos para las conexiones de copia de seguridad de HA2 y HA3.
Puede configurarse un enlace de copia de seguridad de HA2/HA3 en
los puertos de datos de NPC, si es necesario.
Prioridad y preferencia de dispositivos

A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una
preferencia por el dispositivo que debera asumir el papel activo y gestionar el trfico. Si necesita utilizar un
dispositivo especfico del par de HA para proteger de manera activa el trfico, debe habilitar el comportamiento
de preferencia en ambos cortafuegos y asignar un valor de prioridad de dispositivo para cada dispositivo. El
dispositivo con el valor numrico ms bajo y, por lo tanto, mayor prioridad, se designar como activo y gestionar
todo el trfico de la red. El otro dispositivo estar en un estado pasivo y sincronizar informacin de
configuracin y estado con el dispositivo activo, de manera que est listo para pasar al estado activo en el caso
de producirse un fallo.
De manera predeterminada, la preferencia est deshabilitada en los cortafuegos y debe habilitarse en ambos
dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el cortafuegos con la mayor
prioridad (valor numrico ms bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una
preferencia, el evento se registra en los logs del sistema.
Activadores de conmutacin por error

Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Una conmutacin por error se activa cuando falla
una mtrica supervisada en el dispositivo activo. Las mtricas que se supervisan para detectar un fallo de
dispositivo son las siguientes:
Mensajes de saludo y sondeos de heartbeat: Los cortafuegos utilizan mensajes de saludo y heartbeats
para verificar que el dispositivo peer responde y est operativo. Los mensajes de saludo se envan desde un
peer al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping
ICMP para el peer de HA a travs del enlace de control y el peer responde al ping para establecer que los
dispositivos estn conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de
1.000 milisegundos. Si desea informacin detallada sobre los temporizadores de HA que activan una
conmutacin por error, consulte Temporizadores de HA.
Alta disponibilidad
131
Alta disponibilidad
Supervisin de enlaces: Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y
se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o ms
interfaces fsicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El
comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el
dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisin de rutas: Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia. Los
pings ICMP se utilizan para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para
pings es de 200 ms. Se considera que no se puede llegar a una direccin IP cuando fallan 10 pings
consecutivos (el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna
o todas las direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las
direcciones IP a las que no se pueda llegar har que el dispositivo cambie el estado de HA a no funcional
para indicar el fallo de un objeto supervisado.
Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutacin por error si
falla una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han aadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automticamente los valores ptimos del temporizador de HA para la plataforma de cortafuegos especfica con
el fin de habilitar una implementacin de HA ms rpida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutacin por error y el perfil
para ajustes ms rpidos del temporizador de conmutacin por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
Agresivo
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican nicamente como referencia y pueden cambiar en
versiones posteriores.
132
Alta disponibilidad
Alta disponibilidad
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Valores actuales de Recomendada/Agresivo por

plataforma
Tiempo de espera
Intervalo durante el cual el
ascendente tras fallo cortafuegos permanecer
de supervisor
activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutacin por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.
0/0
0/0
0/0
Tiempo de espera
para ser preferente
Tiempo que un dispositivo

pasivo o secundario activo
esperar antes de tomar el
control como dispositivo
activo o principal activo.
1/1
1/1
1/1
Intervalo de
heartbeat
Frecuencia con la que los peers 1000/1000

de HA intercambian mensajes
de heartbeat en forma de un
ping ICMP.
2000/1000
2000/1000
2000/500
2000/500
2000/500
Tiempo de espera de Tiempo que el dispositivo
promocin
pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperar antes
de tomar el control como
dispositivo activo o principal
activo despus de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
nicamente comenzar
despus de haber realizado una
declaracin de fallo de peer.
Alta disponibilidad
133
Temporizadores
Descripcin
Alta disponibilidad
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Valores actuales de Recomendada/Agresivo por

plataforma
500/500
Tiempo de espera
Este intervalo de tiempo se
ascendente principal aplica al mismo evento que
adicional
Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms). El
intervalo de tiempo adicional
nicamente se aplica al
dispositivo activo en el modo
activo/pasivo y al dispositivo
principal activo en el modo
activo/activo. Se recomienda
este temporizador para evitar
una conmutacin por error
cuando ambos dispositivos
experimentan el mismo fallo
de supervisor de enlace/ruta
simultneamente.
Intervalo de saludo
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos est operativo. El
rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
8000/8000
3/3
N. mximo de flaps Se cuenta un flap cuando el
cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo. Este
valor indica el nmero mximo
de flaps permitidos antes de
que se determine suspender el
cortafuegos y que el
cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).
134
500/500
7000/5000
8000/8000
8000/8000
3/3
No aplicable
Alta disponibilidad
Alta disponibilidad
Requisitos para la HA activa/pasiva
Directrices de configuracin para la HA activa/pasiva
Definicin de las condiciones de conmutacin por error
Verificacin de conmutacin por error
Requisitos para la HA activa/pasiva

Para configurar la alta disponibilidad en sus cortafuegos de Palo Alto Networks, necesitar un par de
cortafuegos que cumplan los siguientes requisitos:
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina
virtual.
La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).
El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.
Determine la direccin IP de la conexin de HA1 (control) entre el par de dispositivos. La direccin IP

de HA1 de ambos peers debe estar en la misma subred si estn conectados directamente o si estn
conectados al mismo conmutador.
En el caso de dispositivos sin puertos de HA especficos, puede utilizar el puerto de gestin para la
conexin de control. Al utilizar el puerto de gestin obtiene un enlace de comunicacin directa entre
los planos de gestin de ambos dispositivos. Sin embargo, dado que los puertos de gestin no tienen
cables directos entre los dispositivos, asegrese de que tiene una ruta que conecte estas dos interfaces
a travs de su red.
Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si los
dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un cortafuegos existente, desea aadir un nuevo cortafuegos para HA y el nuevo
cortafuegos tiene una configuracin existente, se recomienda que realice un restablecimiento de
fbrica en el nuevo cortafuegos. Esto garantizar que el nuevo cortafuegos tenga una
configuracin limpia. Despus de configurar la HA, deber sincronizar la configuracin del
dispositivo principal con el dispositivo recin introducido con la configuracin limpia.
Alta disponibilidad
135
Alta disponibilidad
Directrices de configuracin para la HA activa/pasiva

Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo. Estos
ajustes de HA no se sincronizan entre los dispositivos. Si desea informacin detallada sobre qu se sincroniza y
qu no, consulte HA Synchronization (en ingls).
Para ir a las instrucciones sobre cmo configurar los dispositivos en HA, consulte Configuracin de la HA
activa/pasiva.
La siguiente tabla enumera los ajustes que debe configurar de manera idntica en ambos dispositivos:
Ajustes de configuracin idnticos en PeerA y PeerB
La HA debe habilitarse en ambos dispositivos.

Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una
direccin MAC virtual para todas las interfaces configuradas. El formato de la direccin MAC virtual es 00-1B-17:00:
xx: yy, donde
00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz.
Cuando un nuevo dispositivo activo tome el control, se enviarn ARP gratuitos desde cada una de las interfaces
conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva
ubicacin de la direccin MAC virtual.
Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 debern establecerse con el tipo HA.
El modo de HA deber establecerse como Activo/pasivo.
Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo
no debe ser idntico.
Si es necesario, deber configurarse el cifrado del enlace de HA1 (para la comunicacin entre los peers de HA) en
ambos dispositivos.
Basndose en la combinacin de puertos de copia de seguridad de HA1 y HA2 que est utilizando, utilice las siguientes
recomendaciones para decidir si debera habilitar la copia de seguridad de heartbeat:
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto de gestin
Recomendacin: No habilitar copia de seguridad de heartbeat
HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de gestin
Recomendacin: No habilitar copia de seguridad de heartbeat
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
136
Alta disponibilidad
Alta disponibilidad
Ajustes de
configuracin
independientes
PeerA
PeerB
Enlace de control
Direccin IP del enlace de HA1 configurado en

este dispositivo (PeerA).
Direccin IP del enlace de HA1

configurado en este dispositivo (PeerB).
En el caso de dispositivos sin puertos de HA especficos, utilice la direccin IP del puerto de

gestin para el enlace de control.
Enlace de datos
De manera predeterminada, el enlace de HA2

utiliza Ethernet/capa 2.
La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
De manera predeterminada, el enlace de

HA2 utiliza Ethernet/capa 2.
Si utiliza una conexin de capa 3, configure
la direccin IP para el enlace de datos de
este dispositivo (PeerB).
Prioridad de
dispositivo
(obligatorio si se
habilita la preferencia)
El dispositivo que tiene la intencin de activar

debe tener un valor numrico ms bajo que su
peer. Por lo tanto, si PeerA va a funcionar como el
dispositivo activo, mantenga el valor
predeterminado de 100 y aumente el valor de
PeerB.
Si PeerB es pasivo, establezca el valor de

prioridad de dispositivo con un valor
mayor que el de PeerA. Por ejemplo,
establezca el valor como 110.
Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin de
fallo.
Seleccione las interfaces fsicas del cortafuegos que

deseara supervisar y defina la condicin de fallo
(todo o alguno) que activar una conmutacin por
error.
Seleccione un conjunto similar de

interfaces fsicas que deseara supervisar y
defina la condicin de fallo (todo o alguno)
que activar una conmutacin por error.
Supervisin de rutas:
Supervise una o ms
direcciones IP de
destino en las que el
cortafuegos pueda
utilizar pings ICMP
para verificar la
capacidad de respuesta.
Defina la condicin de fallo (todo o alguno), el

intervalo de ping y el recuento de pings. Esto es de
especial utilidad para supervisar la disponibilidad
de otros dispositivos de red interconectados. Por
ejemplo, supervise la disponibilidad de un
enrutador que se conecte a un servidor, la
conectividad del propio servidor o cualquier otro
dispositivo vital que se encuentre en el flujo del
trfico.
Seleccione un conjunto similar de

dispositivos o direcciones IP de destino
que se puedan supervisar para determinar
la activacin de una conmutacin por error
para PeerB. Defina la condicin de fallo
(todo o alguno), el intervalo de ping y el
recuento de pings.
Asegrese de que no sea probable que el

nodo/dispositivo que est supervisando no
responda, especialmente cuando tenga una carga
inferior, ya que esto podra provocar un fallo de
supervisin de rutas y activar una conmutacin por
error.
Alta disponibilidad
137
Alta disponibilidad
El siguiente procedimiento muestra cmo configurar un par de cortafuegos en una implementacin
activa/pasiva como se muestra en la topologa de ejemplo siguiente.
Conexin y configuracin de los dispositivos
Paso 1
Conecte los puertos de HA para

establecer una conexin fsica entre los
dispositivos.
En el caso de dispositivos con puertos de HA especficos, utilice

un cable Ethernet para conectar los puertos de HA1 y HA2
especficos del par de dispositivos. Utilice un cable cruzado si los
dispositivos estn conectados directamente entre s.
En el caso de dispositivos sin puertos de HA especficos,
seleccione dos interfaces de datos para el enlace de HA2 y el enlace
de HA1 de copia de seguridad. A continuacin, utilice un cable
Ethernet para conectar estas interfaces de HA internas entre
ambos dispositivos. Utilice el puerto de gestin para el enlace de
HA1 y asegrese de que los puertos de gestin pueden conectarse
entre s a travs de su red.
Seleccione un dispositivo del clster y realice estas tareas:
Paso 2
Paso 3
Habilite los pings en el puerto de gestin. 1.

La habilitacin de los pings permite que el
puerto de gestin intercambie informacin
de copia de seguridad de heartbeat.
2.
Si el dispositivo no tiene puertos de HA
especficos, configure los puertos de
datos para que funcionen como puertos
de HA.
En el caso de dispositivos con puertos de
HA especficos, vaya al Paso 4.
138
Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, haga clic en el icono Editar de la seccin
Configuracin de interfaz de gestin de la pantalla.
Seleccione Ping como servicio permitido en la interfaz.
1.
Seleccione Red > Interfaces.
2.
Confirme que el enlace est activado en los puertos que desee

utilizar.
3.
Seleccione la interfaz y establezca el tipo de interfaz como HA.
4.
Establezca los ajustes Velocidad de enlace y Dplex de enlace

segn sea adecuado.
Alta disponibilidad
Alta disponibilidad
Conexin y configuracin de los dispositivos (Continuacin)
Paso 4
Configure la conexin del enlace de

control.
1.
En Dispositivo > Alta disponibilidad > General, edite la seccin

Enlace de control (HA1).
Este ejemplo muestra un puerto interno

configurado con el tipo de interfaz HA.
2.
Seleccione la interfaz a la que ha conectado el cable para

utilizarla como el enlace de HA1 en el men desplegable Puerto.
Establezca la direccin IP y la mscara de red. Introduzca una
direccin IP de puerta de enlace nicamente si las interfaces de
HA1 estn en subredes separadas. No aada una puerta de
enlace si los dispositivos estn conectados directamente.
1.
Exporte la clave de HA desde un dispositivo e imprtela al

dispositivo peer.
En el caso de dispositivos que utilicen el

puerto de gestin como el enlace de
control, la informacin de direccin IP se
cumplimenta previamente de manera
automtica.
Paso 5
(Opcional) Habilite el cifrado para la

conexin del enlace de control.
a. Seleccione Dispositivo > Gestin de certificados >

Certificados.
Esto suele utilizarse para proteger el

enlace si los dos dispositivos no estn
conectados directamente, es decir, si los
puertos estn conectados a un
conmutador o un enrutador.
Paso 6
Configure la conexin del enlace de

control de copia de seguridad.
Alta disponibilidad
b. Seleccione Exportar clave de HA. Guarde la clave de HA en

una ubicacin de red a la que pueda acceder el dispositivo peer.
c. En el dispositivo peer, desplcese hasta Dispositivo > Gestin
de certificados > Certificados y seleccione Importar clave
de HA para desplazarse hasta la ubicacin donde guard la
clave e importarla en el dispositivo peer.
2.
Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Enlace de control (HA1).
3.
Seleccione Cifrado habilitado.
1.

Enlace de control (copia de seguridad de HA1).
2.
Seleccione la interfaz de copia de seguridad de HA1 y configure

la direccin IP y la mscara de red.
139
Alta disponibilidad
Paso 7
Configure la conexin del enlace de datos 1.

(HA2) y la conexin de HA2 de copia de
seguridad entre los dispositivos.
2.
3.

Enlace de datos (HA2).
Seleccione la interfaz para la conexin del enlace de datos.
Seleccione el mtodo Transporte. El valor predeterminado es
Ethernet y funcionar cuando el par de HA se conecte
directamente o a travs de un conmutador. Si necesita enrutar el
trfico del enlace de datos a travs de la red, seleccione IP o UDP
como modo de transporte.
4.
Si utiliza IP o UDP como mtodo de transporte, introduzca la

direccin IP y la mscara de red.
5.
Verifique que se ha seleccionado Habilitar sincronizacin de

sesin.
6.
Seleccione Conexin persistente de HA2 para habilitar la

supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido (el valor
predeterminado son 10.000 ms), se producir la accin definida.
En el caso de una configuracin activa/pasiva, se generar un
mensaje de log de sistema crtico cuando se produzca un fallo de
conexin persistente de HA2.
Nota
Paso 8
7.
Edite la seccin Enlace de datos (copia de seguridad de HA2),

seleccione la interfaz y aada la direccin IP y la mscara de red.
1.
Habilite la copia de seguridad de
heartbeat si su enlace de control utiliza un
puerto de HA especfico o un puerto
2.
interno.

Configuracin de eleccin.
No necesita habilitar la copia de seguridad

de heartbeat si est utilizando el puerto de
gestin para el enlace de control.
140
Puede configurar la opcin Conexin persistente de HA2

en ambos dispositivos o solamente un dispositivo del par de
HA. Si la opcin se habilita nicamente en un dispositivo,
solamente ese dispositivo enviar los mensajes de conexin
persistente. Si se produce un fallo, se notificar al otro
dispositivo.
Seleccione Copia de seguridad de heartbeat.

El enlace de copia de seguridad de heartbeat se utiliza para
transmitir mensajes de saludos y heartbeats redundantes. Para
permitir la transmisin de heartbeats entre los dispositivos,
deber verificar que el puerto de gestin entre ambos peers
puede enrutarse del uno al otro.
Alta disponibilidad
Alta disponibilidad
Paso 9
Establezca la prioridad de dispositivo y

habilite la preferencia.
1.

Este ajuste nicamente es necesario si

desea asegurarse de que un dispositivo
especfico es el dispositivo activo
preferido. Para obtener informacin,
consulte Prioridad y preferencia de
dispositivos.
2.
Establezca el valor numrico de Prioridad de dispositivo.

Asegrese de establecer un valor numrico ms bajo en el
dispositivo al que desee asignar una mayor prioridad.
Nota
3.
Si ambos cortafuegos tienen el mismo valor de prioridad de

dispositivo, el cortafuegos con la direccin MAC ms baja
en el enlace de control de HA1 ser el dispositivo activo.
Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Paso 10 (Opcional) Modifique los temporizadores 1.

de conmutacin por error.

De manera predeterminada, el perfil del 2. Seleccione el perfil Agresivo para activar la conmutacin por
error ms rpido; seleccione Avanzado para definir valores
temporizador de HA se establece como el
personalizados para activar la conmutacin por error en su
perfil Recomendada y es adecuado para
configuracin.
la mayora de implementaciones de HA.
Nota Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y haga
clic en Carga recomendada o Carga intensiva. Los valores
preestablecidos para su modelo de hardware aparecern en
la pantalla.
Paso 11 (Opcional, nicamente configurado en el
dispositivo pasivo) Modifique el estado de
enlace de los puertos de HA en el
dispositivo pasivo.
Establecer el estado de enlace como Auto permite reducir la cantidad

de tiempo que tarda el dispositivo pasivo en tomar el control cuando
se produce una conmutacin por error y le permite supervisar el
estado de enlace.
Nota
Para habilitar el estado de enlace del dispositivo pasivo para que

permanezca activado y refleje el estado de cableado de la interfaz
fsica:
1. En Dispositivo > Alta disponibilidad > General, edite la seccin
Configuracin Activa/Pasiva.
El estado de enlace pasivo es Apagar de

manera predeterminada. Cuando habilite
HA, el estado de enlace de los puertos de
HA del dispositivo activo ser de color
verde; los del dispositivo pasivo estarn
desactivados y se mostrarn de color rojo.
2.
Establezca Estado de los enlaces en el pasivo como Auto.

La opcin automtica reduce la cantidad de tiempo que tarda el
dispositivo pasivo en tomar el control cuando se produce una
conmutacin por error.
Nota
Aunque la interfaz se muestre de color verde (cableada y

activada), seguir descartando todo el trfico hasta que se
active una conmutacin por error.
Cuando modifique el estado de enlace pasivo, asegrese de
que los dispositivos adyacentes no reenvan el trfico al
cortafuegos pasivo basndose nicamente en el estado de
enlace del dispositivo.
Alta disponibilidad
141
Alta disponibilidad
Paso 12 Habilite la HA.
1.
2.
3.
4.
5.
6.
7.
Paso 13 Guarde los cambios de configuracin.
Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Configuracin.
Seleccione Habilitar HA.
Establezca un ID de grupo. Este ID identifica de manera exclusiva
cada par de HA de su red y es esencial si tiene varios pares de HA
que compartan el mismo dominio de difusin en su red.
Establezca el modo como Activo Pasivo.
Seleccione Habilitar sincronizacin de configuracin. Este
ajuste habilita la sincronizacin de los ajustes de configuracin
entre los dispositivos activo y pasivo.
Introduzca la direccin IP asignada al enlace de control del
dispositivo peer en Direccin IP de HA de peer.
En el caso de dispositivos sin puertos de HA especficos, si el

peer utiliza el puerto de gestin para el enlace de HA1,
introduzca la direccin IP del puerto de gestin del peer.
Introduzca Direccin IP de HA1 de copia de seguridad.
Paso 14 Realice del Paso 2 al Paso 13 en el otro

dispositivo del par de HA.
1.
Paso 15 Cuando termine de configurar ambos
dispositivos, verifique que los dispositivos
estn emparejados en la HA
2.
activa/pasiva.
3.
En el dispositivo pasivo: El estado del
dispositivo local debera mostrarse como
Pasivo y la configuracin se sincronizar.
142
Acceda al Panel de ambos dispositivos y visualice el widget Alta

disponibilidad.
En el dispositivo activo, haga clic en el enlace Sincronizar en el
peer.
Confirme que los dispositivos estn emparejados y
sincronizados, como se muestra a continuacin:
En el dispositivo activo: El estado del dispositivo local
debera mostrarse como Activo y la configuracin se
sincronizar.
Alta disponibilidad
Alta disponibilidad
Definicin de las condiciones de conmutacin por error

Configuracin de los activadores de conmutacin por error
Paso 1
Para configurar la supervisin de enlaces, 1.

defina las interfaces que desee supervisar.
Un cambio en el estado de enlace de estas 2.
interfaces activar una conmutacin por
3.
error.
Seleccione Dispositivo > Alta disponibilidad > Supervisin de

enlaces y rutas.
En la seccin Grupo de enlaces, haga clic en Aadir.
Asigne un nombre al Grupo de enlaces, aada las interfaces
para su supervisin y seleccione la Condicin de fallo para el
grupo. El grupo de enlaces que defina se aadir a la seccin
Grupo de enlaces.
Paso 2
(Opcional) Modifique la condicin de fallo 1.

de los grupos de enlaces que configur (en 2.
el paso anterior) en el dispositivo.
Seleccione la seccin Supervisin de enlaces.

Establezca la Condicin de fallo como Todos.
El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo

activar una conmutacin por error
cuando falle cualquier enlace supervisado.
Paso 3
1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el cortafuegos debera hacer ping para
verificar la conectividad de red.
2.
En la seccin Grupo de rutas de la pestaa Dispositivo > Alta

disponibilidad > Supervisin de enlaces y rutas, seleccione la
opcin Aadir para su configuracin: Cable virtual, VLAN o
Enrutador virtual.
Seleccione el elemento adecuado de la lista desplegable para el
Nombre y haga clic en Aadir para aadir las direcciones IP
(origen y/o destino, segn se le pida) que desee supervisar. A

continuacin, seleccione la Condicin de fallo del grupo. El
grupo de rutas que defina se aadir a la seccin Grupo de rutas.
Paso 4
(Opcional) Modifique la condicin de

fallo para todos los grupos de rutas
configurados en el dispositivo.
Establezca la Condicin de fallo como Todos.

El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo

activar una conmutacin por error
cuando falle cualquier ruta supervisada.
Paso 5
Guarde sus cambios.
Alta disponibilidad
143
Alta disponibilidad
Si est utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea informacin sobre cmo configurar SNMP,
consulte Configuracin de los destinos de Trap SNMP.
Como EngineID se genera utilizando el nmero de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deber aplicar una licencia vlida para obtener un EngineID exclusivo para cada cortafuegos.

Para comprobar que su configuracin de HA funciona correctamente, active una conmutacin por error manual
y verifique que los dispositivos cambian de estado correctamente.
Paso 1
Suspenda el dispositivo activo.
Haga clic en el enlace Suspender dispositivo local en la pestaa

Dispositivo > Alta disponibilidad > Comandos de operacin.
Paso 2
Verifique que el dispositivo pasivo ha

tomado el control como activo.
En el Panel, verifique que el estado del dispositivo pasivo cambia a

Activo en el widget Alta disponibilidad.
144
Alta disponibilidad
Alta disponibilidad
Verificacin de conmutacin por error (Continuacin)
Paso 3
Restablezca el dispositivo suspendido a

un estado funcional. Espere un par de
minutos y, a continuacin, verifique que
se ha producido la preferencia, si se ha
habilitado.
Alta disponibilidad
1.
En el dispositivo que suspendi anteriormente, seleccione el

enlace Hacer que el dispositivo local sea funcional de la
pestaa Dispositivo > Alta disponibilidad > Comandos
operativos.
2.
En el widget Alta disponibilidad del Panel, confirme que el

dispositivo ha tomado el control como dispositivo activo y que
el peer ahora est en un estado pasivo.
145
Alta disponibilidad
146
Alta disponibilidad
Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la informacin para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red y generar un informe personalizado
sobre el patrn de trfico. Los siguientes temas describen cmo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:
Uso del panel
Uso del centro de comando de aplicacin
Uso de Appscope
Realizacin de capturas de paquetes
Supervisin del cortafuegos
Gestin de informes
Anlisis de la descripcin de campos en logs
Informes y logs
147
Uso del panel
Informes y logs
Uso del panel

Los widgets de la pestaa Panel muestran informacin general del dispositivo, como la versin de software, el
estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 de las entradas ms recientes en los logs
Sistema, Configuracin y Amenaza. Todos los widgets disponibles aparecen de forma predeterminada, pero
cada administrador puede eliminar y agregar widgets individuales segn sea necesario.
Haga clic en el icono
para actualizar el panel o un widget individual. Para cambiar el intervalo de
actualizacin automtica, seleccione un intervalo del men desplegable (1 min, 2 min, 5 min o Manual). Para
agregar un widget al panel, haga clic en el men desplegable Widget, seleccione una categora y luego el nombre
del widget. Para eliminar un widget, haga clic en
en la barra de ttulos.
La siguiente tabla describe los widgets del panel.
Grficos del panel
Descripciones
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque indica el nmero
relativo de sesiones (pase el ratn sobre el bloque para ver el nmero) y el color indica el
riesgo de seguridad, desde verde (ms bajo) a rojo (ms alto). Haga clic en una aplicacin
para ver su perfil de aplicacin.
Aplicaciones de alto riesgo

principales
Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
con la mayora de las sesiones.
Informacin general
Muestra el nombre del dispositivo, el modelo, la versin del software de PAN-OS, la

aplicacin, las amenazas, las versiones de definicin del filtro de URL, la fecha y hora
actuales y el perodo de tiempo transcurrido desde el ltimo reinicio.
Estado de la interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un estado desconocido
(gris).
Logs de amenaza
Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas entradas en el log

Amenazas. El ID de amenaza es una descripcin malintencionada de una URL que incumple
el perfil de filtro de URL.
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 ltimas entradas en el log Configuracin.
Logs Filtrado de datos
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de datos.
Logs Filtrado de URL
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el log Filtrado de URL.
Logs de sistema
Muestra la descripcin y la fecha y hora de las ltimos 10 entradas en el log Sistema.

Nota
Una entrada Configuracin instalada indica que se han llevado a cabo

cambios en la configuracin correctamente.
Recursos del sistema
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero de sesiones que
muestra el nmero de sesiones establecidas a travs del cortafuegos.
Administradores registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora de inicio de sesin
para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea ms
informacin sobre HA, consulte Alta disponibilidad.
Bloqueos
Muestra bloqueos de configuracin realizados por los administradores.
148
Informes y logs
Informes y logs

Se muestran 5 grficos en la pestaa Centro de comando de aplicacin (ACC):
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Coincidencias HIP
La pestaa ACC describe visualmente las tendencias e incluye una vista del historial de trfico de la red.
La pestaa ACC muestra el nivel de riesgo general para todo el trfico de red, los niveles de riesgo y el nmero
de amenazas detectadas para las aplicaciones ms activas y con mayor riesgo en su red, as como el nmero de
amenazas detectadas desde las categoras de aplicacin ms activas y desde todas las aplicaciones con cualquier
nivel de riesgo. Utilice el ACC para visualizar datos de aplicacin de la hora, el da, la semana o el mes anterior
o cualquier perodo de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=ms bajo a 5=ms alto) indican el riesgo de seguridad relativo de la aplicacin
dependiendo de criterios como si la aplicacin puede compartir archivos, es proclive al uso indebido o intenta
esquivar los cortafuegos.
Informes y logs
149
Informes y logs
La tabla siguiente describe los grficos que se muestran en la pestaa ACC:

Grficos de ACC
Descripciones
Aplicacin
Muestra informacin de aplicacin agrupada por los siguientes atributos:

Aplicaciones
Aplicaciones de alto riesgo
Categoras
Subcategoras
Tecnologa
Riesgo
Cada grfico puede incluir el nmero de sesiones, los bytes transmitidos y recibidos, el
nmero de amenazas, la categora de aplicacin, las subcategoras de aplicacin, la
tecnologa de aplicacin y el nivel de riesgo, si es necesario.
Filtrado de URL
Muestra informacin de URL/categora agrupada por los siguientes atributos:

Categoras de URL
URL
Categoras de URL bloqueadas
URL bloqueadas
Cada grfico puede incluir la URL, la categora de URL y el nmero de repeticiones
(nmero de intentos de acceso, si es necesario).
Muestra informacin de amenaza agrupada por los siguientes atributos:

Amenazas
Tipos
Spyware
Llamada a casa de spyware
Descargas de spyware
Vulnerabilidades
Virus
Cada grfico puede incluir el ID de la amenaza, el recuento (nmero de incidencias), el
nmero de sesiones y el subtipo (como vulnerabilidad), si es necesario.
Filtrado de datos
Muestra informacin sobre los datos filtrados por el cortafuegos agrupada por
los siguientes atributos:
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
Muestra la informacin de host recopilada por el cortafuegos agrupada por:

Objetos HIP
Perfiles HIP
150
Informes y logs
Informes y logs
Para ver informacin detallada adicional, haga clic en cualquiera de los enlaces de los grficos de ACC. Se abrir
una pgina de detalles para mostrar informacin acerca del elemento en la lista principal y las listas adicionales
de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploracin web en el grfico Aplicacin,
se abrir la pgina Informacin de aplicacin para la exploracin web:
El siguiente procedimiento describe cmo utilizar la pestaa ACC y cmo personalizar su vista:
Uso del ACC
Paso 1
En ACC , cambie uno o ms de los ajustes en la parte superior de la pgina.

Utilice los mens desplegables para seleccionar Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP para visualizarlos.
Seleccione un sistema virtual, si los sistemas virtuales estn definidos.
Seleccione un perodo de tiempo en el men desplegable Tiempo. El valor predeterminado es ltima hora.
Seleccione un mtodo de orden en el men desplegable Ordenar por. Puede ordenar los grficos en orden
descendente por nmero de sesiones, bytes o amenazas. El valor predeterminado es por nmero de sesiones.
Para el mtodo de orden seleccionado, seleccione el mayor nmero de aplicaciones y categoras de aplicacin
que aparecen en cada grfico en el men desplegable Principal.
Haga clic en el icono de envo
para aplicar los ajustes seleccionados.
Informes y logs
151
Informes y logs
Uso del ACC (Continuacin)
Paso 2
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de logs en la esquina inferior
derecha de la pgina, como se muestra a continuacin. El contexto de los logs coincide con la informacin que
aparece en la pgina.
Paso 3
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Despus de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.
152
Informes y logs
Informes y logs
Uso de Appscope
Uso de Appscope
Los informes de Appscope introducen herramientas de anlisis y visibilidad para ayudar a localizar
comportamientos problemticos, ayudndole a comprender los siguientes aspectos de su red:
Cambios en el uso de la aplicacin y la actividad del usuario
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope (Supervisar >Appscope), puede comprobar rpidamente si algn
comportamiento es inusual o inesperado. Cada informe proporciona una ventana dinmica y personalizable por
el usuario en la red; al pasar el ratn por encima y hacer clic en las lneas y barras de los grficos, se abre
informacin detallada acerca de la aplicacin especfica, categora de la aplicacin, usuario u origen del ACC.
Los siguientes informes de Appscope estn disponibles:
Informe de resumen
Informe del supervisor de cambios
Informe del supervisor de amenazas
Informe del supervisor de red
Informe del mapa de trfico
Informes y logs
153
Uso de Appscope
Informes y logs
Informe de resumen
El informe Resumen muestra grficos de los cinco principales ganadores, perdedores, aplicaciones de consumo
de ancho de banda, categoras de aplicacin, usuarios y orgenes.
Informe del supervisor de cambios

El informe del supervisor de cambios muestra cambios realizados en un perodo de tiempo especfico. Por
ejemplo, el siguiente grfico muestra las principales aplicaciones adquiridas en la ltima hora en comparacin
con el ltimo perodo de 24 horas. Las principales aplicaciones se determinan por el recuento de sesiones y se
ordenan por porcentajes.
154
Informes y logs
Informes y logs
Uso de Appscope
El informe del supervisor de cambios contiene los siguientes botones y opciones.

Elemento del informe del supervisor de
cambios
Descripcin del elemento
Barra superior
Determina el nmero de registros con la mayor medicin incluidos en

el grfico.
Determina el tipo de elemento indicado: Aplicacin, Categora de
aplicacin, Origen o Destino.
Muestra mediciones de elementos que han ascendido durante el
perodo de medicin.
Muestra mediciones de elementos que han descendido durante el
perodo de medicin.
Muestra mediciones de elementos que se han agregado durante el
perodo de medicin.
Muestra mediciones de elementos que se han suspendido durante el
perodo de medicin.
Informes y logs
155
Uso de Appscope
Elemento del informe del supervisor de

cambios
Informes y logs
Descripcin del elemento
Aplica un filtro para mostrar nicamente el elemento seleccionado.

Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si ordenar entradas por porcentajes o incremento bruto.
Barra inferior
Especifica el perodo durante el que se realizaron las mediciones de

cambio.
Informe del supervisor de amenazas

El informe del supervisor de amenazas muestra un recuento de las principales amenazas durante el perodo de
tiempo seleccionado. Por ejemplo, la siguiente ilustracin muestra los 10 principales tipos de amenaza en las
ltimas 6 horas.
156
Informes y logs
Informes y logs
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botn del informe del supervisor de
amenazas
Descripcin del botn
Barra superior

el grfico.
Determina el tipo de elemento medido: Amenaza, Categora de
amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de columna
apilado o un grfico de rea apilado.
Barra inferior
Especifica el perodo durante el que se realizaron las mediciones.
Informe del mapa de amenazas

El informe del mapa de amenazas muestra una vista geogrfica de amenazas, incluyendo la gravedad. Cada tipo
de amenaza est indicado con colores como se indica en la leyenda debajo del grfico.
Informes y logs
157
Uso de Appscope
Informes y logs
Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la esquina inferior derecha de la
pantalla para alejar. El informe del mapa de amenazas contiene los siguientes botones y opciones.
Botn del informe del mapa de amenazas
Descripcin del botn
Barra superior

el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Aplica un filtro para mostrar nicamente el tipo de elemento

seleccionado.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Informe del supervisor de red

El informe del supervisor de red muestra el ancho de banda dedicado a diferentes funciones de red durante el
perodo de tiempo especificado. Cada funcin de red est indicada con colores como se indica en la leyenda
debajo del grfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicacin en los 7 ltimos
das basndose en la informacin de sesin.
158
Informes y logs
Informes y logs
Uso de Appscope
El informe del supervisor de red contiene los siguientes botones y opciones.

Botn del informe del supervisor de red
Descripcin del botn
Barra superior

el grfico.
Determina el tipo de elemento indicado: Aplicacin, Categora de
aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento seleccionado.
Ninguno muestra todas las entradas.
Determina si la informacin se presenta en un grfico de columna
apilado o un grfico de rea apilado.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones de

cambio.
Informe del mapa de trfico

El informe del mapa de trfico muestra una vista geogrfica de los flujos de trfico segn las sesiones o los
flujos.
Informes y logs
159
Uso de Appscope
Informes y logs
Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico. El informe del
mapa de trfico contiene los siguientes botones y opciones.
Botones del informe del mapa de trfico
Descripcin del botn
Barra superior

el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones de

cambio.
Visualizacin de la informacin del sistema

Seleccione Supervisar > Explorador de sesin para examinar y filtrar las sesiones actuales del cortafuegos. Para
obtener informacin acerca de las opciones de filtrado en esta pgina, consulte Visualizacin de la informacin
del sistema.
160
Informes y logs
Informes y logs

PAN-OS admite capturas de paquetes para la resolucin de problemas o la deteccin de aplicaciones
desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las
capturas de paquetes se almacenan de forma local en el dispositivo y estn disponibles para su descarga en su
equipo local.
Captura de paquetes est destinado exclusivamente a la resolucin de problemas. Esta funcin
puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario.
Recuerde deshabilitar la funcin despus de finalizar la captura de paquetes.
La tabla siguiente describe la configuracin de la captura de paquetes en Supervisar > Captura de paquetes.
Campo Configuracin de Descripcin
captura de paquetes
Configurar filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo filtro y
especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP, incluir todo
el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6 en el filtro.
Filtrado
Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la coincidencia Haga clic para alternar la opcin activar o desactivar anterior a la coincidencia.
La opcin anterior a la coincidencia se agrega para fines de resolucin de problemas

avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a travs
de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros
preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede
ocurrir, por ejemplo, si falla una bsqueda de ruta.
Establezca la configuracin anterior a la coincidencia como Activada para emular una
coincidencia positiva de cada paquete entrando en el sistema. Eso permite al
cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un
paquete puede alcanzar la etapa de filtrado, se procesar de acuerdo con la
configuracin del filtro y se descartar si no consigue cumplir los criterios de filtrado.
Informes y logs
161
Informes y logs
Campo Configuracin de Descripcin

captura de paquetes
Configurar captura
Captura de paquetes
Haga clic para alternar activar o desactivar capturas de paquetes.

Para los perfiles de antispyware y proteccin contra vulnerabilidades, puede habilitar
capturas de paquetes extendidas para reglas y excepciones definidas en el perfil. Esta
funcionalidad permite al cortafuegos capturar de 1 a 50 paquetes y proporciona ms
contexto al analizar los logs de amenaza.
Para definir la longitud de captura de paquetes extendida:
1. Seleccione Dispositivo > Configuracin > Content-ID.
2.
Edite la seccin Configuracin de deteccin de amenaza para especificar la

Longitud de captura para el nmero de paquetes que debe capturarse.
3.
Visualice la captura de paquetes en Supervisar > Logs > Amenaza.

Localice la entrada de log de amenaza y haga clic en el icono de flecha verde
(Captura de paquetes) en la fila correspondiente para ver la captura.
Fase de captura de
paquetes
Haga clic en Aadir y especifique lo siguiente:

Etapa: Indique el punto en el que capturar el paquete:
Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete
no se puede desplegar.
Cortafuegos: Cuando el paquete tiene una coincidencia de sesin o se crea un
primer paquete con una sesin correctamente.
Recibir: Cuando se recibe el paquete en el procesador de plano de datos.
Transmitir: Cuando se transmite el paquete en el procesador de plano de datos.
Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe
comenzar por una letra y puede incluir letras, dgitos, puntos, guiones bajos o
guiones.
Recuento de paquetes: Especifica el nmero de paquetes despus del que se
detiene la captura.
Recuento de bytes: Especifica el nmero de bytes despus del que se detiene la
captura.
Archivos capturados
Archivos capturados
Seleccione Eliminar para quitar un archivo de captura de paquetes desde la lista donde
se muestran los archivos capturados.
Configuracin
Borrar toda la
configuracin
162
Seleccione Borrar toda la configuracin para borrar completamente la configuracin

de captura de paquetes.
Informes y logs
Informes y logs

Las siguientes secciones describen los mtodos que puede usar para supervisar el cortafuegos y ofrecer
instrucciones de configuracin bsicas.
Supervisin de aplicaciones y amenazas
Visualizacin de datos de logs locales
Reenvo de logs a servicios externos
Configuracin del cortafuegos para autenticarlo con el servidor Syslog

Tambin puede configurar el cortafuegos (excepto los cortafuegos de la serie PA-4000) para que
exporte los datos de flujo a un recopilador de flujo de red que elabore anlisis e informes. Para
configurar los ajustes de NetFlow, consulte PAN-OS-6.0 Web Interface Reference Guide (en
ingls).
Supervisin de aplicaciones y amenazas

Todos los cortafuegos de prxima generacin de Palo Alto Networks estn equipados con la tecnologa App-ID,
que identifica las aplicaciones que cruzan su red, independientemente del protocolo, cifrado o tctica de evasin.
Despus puede supervisar las aplicaciones desde el Centro de comando de aplicacin (ACC). ACC resume
grficamente la base de datos de logs para resaltar las aplicaciones que cruzan su red, quin las usa y su posible
impacto en la seguridad. ACC se actualiza de forma dinmica de acuerdo con la clasificacin de trfico continua
que App-ID realiza; si una aplicacin cambia de puerto o comportamiento, App-ID contina observando el
trfico, mostrando los resultados en ACC.
Puede investigar rpidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo
clic que muestra una descripcin de la aplicacin, sus caractersticas clave, sus caractersticas de comportamiento
y quin la usa. La visibilidad adicional de categoras de URL, amenazas y datos ofrece una perspectiva completa
de la actividad de la red. Con ACC, puede obtener informacin rpidamente acerca del trfico que cruza su red
y traducir la informacin a una poltica de seguridad con ms informacin.
Informes y logs
163
Informes y logs
Visualizacin de datos de logs locales

Todos los cortafuegos de prxima generacin de Palo Alto Networks pueden generar logs que ofrecen un
seguimiento auditado de las actividades y eventos del cortafuegos. Hay diversos logs para distintos tipos de
actividades y eventos. Por ejemplo, los logs de amenaza registran todo el trfico que genera una alarma de
seguridad en el cortafuegos, mientras que los registros de filtrado de URL registran todo el trfico que coincide
con un perfil de filtrado de URL asociado a una poltica de seguridad, y los logs de configuracin registran todos
los cambios en la configuracin del cortafuegos.
Hay varias formas de ver los datos de log en el cortafuegos local:
Visualizacin de los archivos log
Visualizacin de los datos de log en el panel
Visualizacin de informes
Visualizacin de los archivos log

El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de trfico,
amenazas, filtrado de URL, filtrado de datos y Perfil de informacin de host (HIP). Puede visualizar los logs
actuales en cualquier momento. Para ubicar entradas especficas, puede aplicar filtros a la mayora de los campos
de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos de
administracin basado en funcin. Cuando muestra logs, solo se incluye la informacin de cuyo
permiso dispone. Para obtener informacin acerca de los permisos de administrador, consulte
Funciones administrativas.
De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):
164
Informes y logs
Informes y logs
Para mostrar detalles adicionales, haga clic en el icono de catalejo
Informes y logs
de una entrada.
165
Informes y logs
La siguiente tabla incluye informacin sobre cada tipo de log:

Grficos de
descripciones del log
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Cada entrada incluye la fecha
y hora, las zonas de origen y destino, las direcciones, los puertos, el nombre de la
aplicacin, el nombre de la regla de seguridad aplicada al flujo, la accin de la regla
(permitir, denegar o desplegar), la interfaz de entrada (ingress) y salida (egress) y el
nmero de bytes.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la sesin,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el
valor Recuento ser superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesin o si se ha
denegado o descartado la sesin. Un descarte indica que la regla de seguridad que ha
bloqueado el trfico ha especificado una aplicacin cualquiera, mientras que
denegacin indica que la regla ha identificado una aplicacin especfica.
Si se descarta el trfico antes de identificar la aplicacin, como cuando una regla descarta
todo el trfico para un servicio especfico, la aplicacin aparece como no aplicable.
Amenaza
Muestra una entrada cuando el trfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Proteccin DoS) que se haya adjuntado a una poltica de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicacin y la accin de alarma (permitir
o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento ser superior a uno).
La columna Tipo indica el tipo de amenaza, como virus o spyware. La columna
Nombre es la descripcin de la amenaza o URL y la columna Categora es la categora
de la amenaza (como Registrador de pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realizacin de capturas de paquetes.
Filtrado de URL
Muestra logs para todo el trfico que coincide con un perfil de filtrado de URL
adjuntado a una poltica de seguridad. Por ejemplo, si la poltica bloquea el acceso a sitios
web y categoras de sitios web especficos o si la poltica est configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener informacin sobre cmo
definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envos de WildFire
Muestra logs de archivos que ha cargado y analizado la nube de WildFire; los datos de
logs se reenvan al dispositivo despus del anlisis junto con los resultados del anlisis.
166
Informes y logs
Informes y logs
Grficos de
descripciones del log
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que informaciones
confidenciales como nmeros de tarjetas de crdito o de la seguridad social abandonen
el rea protegida por el cortafuegos. Consulte Configuracin de filtrado de datos para
obtener informacin sobre cmo definir perfiles de filtrado de datos.
Este log tambin muestra informacin de perfiles de bloqueo de archivos. Por ejemplo,
si est bloqueando archivos .exe, el log le mostrar los archivos que estaban bloqueados.
Si reenva archivos a WildFire, podr ver los resultados de dicha accin. En este caso, si
reenva archivos PE a WildFire, por ejemplo, el log mostrar que el archivo fue
reenviado y tambin el estado para saber si se carg correctamente en WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la direccin IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuracin y los
valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripcin del evento.
Coincidencias HIP
Muestra los flujos de trfico que coinciden con un Objeto HIP o Perfil HIP que haya
configurado.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Informes y logs
167
Informes y logs
Utilice la rea de filtro de la siguiente forma:
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarn ambos elementos y la bsqueda encontrar entradas que coinciden con ambos
(bsqueda Y).
Para definir otros criterios de bsqueda, haga clic en Aadir filtro de log. Seleccione el tipo de bsqueda (y/o),
el atributo a incluir en la bsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Aadir para agregar el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha definido
en la ventana emergente Expresin. Cada uno se agrega como una entrada en la lnea Filtro de
la pgina de log. Si establece el filtro en Tiempo recibido como ltimos 60 segundos,
algunos enlaces de la pgina en el visor de logs podran no mostrar resultados ya que el nmero
de pginas puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificacin
si desea continuar utilizando la misma opcin. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportacin de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el lmite de filas mostradas en informes CSV, utilice el campo Mx. de filas
en exportacin CSV en la subficha Exportacin e informes de logs (seleccione Dispositivo > Configuracin >
Gestin > Configuracin de log e informes).
Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
30 segundos, 10 segundos o Manual).
Para cambiar el nmero de entradas de logs por pgina, seleccione el nmero de filas en el men desplegable
Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina en la parte inferior
de la pgina para navegar por la lista de logs. Seleccione la casilla de verificacin Resolver nombre de host para
iniciar la resolucin de direcciones IP externas en nombres de dominio.
168
Informes y logs
Informes y logs
Visualizacin de los datos de log en el panel

Tambin puede supervisar los datos de log locales directamente desde el panel aadiendo los widgets asociados:
El cortafuegos tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de grfico o tabla. Consulte Acerca de los informes para obtener informacin ms detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.
Informes y logs
169
Informes y logs
Reenvo de logs a servicios externos

Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante
eventos crticos que requieran su atencin, o puede que tenga polticas que requieran que archive los datos
durante ms tiempo del que pueden ser almacenados en el cortafuegos. En estos casos, desear enviar sus datos
de logs a un servicio externo para su archivo, notificacin o anlisis.
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
Configurar el cortafuegos para que acceda a los servicios remotos que recibirn los logs. Consulte
Definicin de destinos de logs remotos.
Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
Definicin de destinos de logs remotos

Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el cortafuegos debe
conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el cortafuegos, puede definir
esta informacin en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que
desee que interacte el cortafuegos. El tipo de destino de log que necesita configurar y qu logs se reenvan
depender de sus necesidades. Algunas situaciones frecuentes de reenvo de logs son:
Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin, puede
generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de correo
electrnico y/o Configuracin de los destinos de Trap SNMP.
Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de dispositivos,
puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog. Esto permite
la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o ArcSight.
Para aadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitacin del
reenvo de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.
170
Informes y logs
Informes y logs
Configuracin de alertas de correo electrnico

Configuracin de alertas de correo electrnico
Paso 1
Cree un perfil de servidor para su

servidor de correo electrnico.
1.
Seleccione Dispositivo > Perfiles de servidor > Correo

electrnico.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada de servidor

de correo electrnico e introduzca la informacin necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrnico (puede aadir hasta cuatro servidores de correo
electrnico al perfil):
Servidor: Nombre para identificar el servidor de correo
electrnico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
Mostrar nombre: El nombre que aparecer en el campo De
del correo electrnico.
De: La direccin de correo electrnico desde la que se
enviarn las notificaciones de correo electrnico.
Para: La direccin de correo electrnico a la que se enviarn
las notificaciones de correo electrnico.
Destinatario adicional: Si desea que las notificaciones se
enven a una segunda cuenta, introduzca la direccin
adicional aqu. Solo puede aadir un destinatario adicional.
Para aadir varios destinatarios, aada la direccin de correo
electrnico de una lista de distribucin.
Puerta de enlace: La direccin IP o el nombre de host de la
puerta de enlace SMTP que se usar para enviar los mensajes
de correo electrnico.
5.
Haga clic en Aceptar para guardar el perfil de servidor.
Paso 2
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el cortafuegos.
distintos tipos de log, consulte Common Event Format
Configuration Guide (Gua de configuracin de formato de eventos
comunes).
Paso 3
Guarde el perfil de servidor y confirme

los cambios.
Informes y logs
1.
2.
Haga clic en Confirmar para guardar los cambios en la

configuracin actual.
171
Informes y logs
Configuracin de los destinos de Trap SNMP

SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la supervisin de los
dispositivos de su red. Puede configurar su cortafuegos para enviar traps SNMP a su software de gestin de
SNMP para alertarle de amenazas o eventos crticos del sistema que requieran su atencin inmediata.
Tambin puede usar SNMP para supervisar el cortafuegos. En este caso, su gestor de SNMP
debe estar configurado para obtener estadsticas del cortafuegos en lugar de (o adems de)
hacer que el cortafuegos enve traps al gestor. Para obtener ms informacin, consulte
Configuracin del cortafuegos para autenticarlo con el servidor Syslog.
Configuracin de los destinos de Trap SNMP
Paso 1
Nota
Para conocer el ID de motor del cortafuegos, deber configurar el

cortafuegos para SNMP v3 y enviar un mensaje GET desde el gestor
En muchos casos, el explorador de MIB o de SNMP o el explorador de MIB de la manera siguiente:
1. Habilite la interfaz para permitir solicitudes SNMP entrantes:
el gestor de SNMP detectar
(nicamente SNMP v3) Obtenga el ID
de motor para el cortafuegos.
Si va a recibir mensajes SNMP GET en la interfaz de gestin,

seleccione Dispositivo > Configuracin > Gestin y haga clic
en el icono Editar que hay en la seccin Configuracin de
interfaz de gestin de la pantalla. En la seccin Servicios,
seleccione la casilla de verificacin SNMP y haga clic en
Aceptar.
automticamente el ID de motor tras una

conexin correcta al agente de SNMP del
cortafuegos. Normalmente encontrar
esta informacin en la seccin de
configuracin del agente de la interfaz.
Consulte la documentacin de su
producto especfico para obtener
instrucciones sobre cmo encontrar la
informacin del agente.
172
Si va a recibir mensajes SNMP GET en una interfaz distinta,

deber asociar un perfil de gestin a la interfaz y habilitar la
gestin de SNMP.
2.
Configure el cortafuegos para SNMP v3 como se describe en el

Paso 2 en Configuracin de la supervisin de SNMP. Si no
configura el cortafuegos para SNMP v3, su explorador de MIB
no le permitir obtener el ID de motor.
3.
Conecte su explorador de MIB o gestor de SNMP al

cortafuegos y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El
valor devuelto es el ID de motor exclusivo del cortafuegos.
Informes y logs
Informes y logs
Configuracin de los destinos de Trap SNMP (Continuacin)
Paso 2
Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c
o V3, como se explica a continuacin:
SNMP V2c
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del cortafuegos, segn se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para el
gestor de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no estar
cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado
(AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.
Paso 4
Haga clic en Confirmar. El dispositivo puede tardar hasta

90 segundos en guardar sus cambios.
Paso 5
Habilite el gestor de SNMP para que

interprete las traps que recibe del
cortafuegos.
Cargue los archivos MIB de PAN-OS en su software de gestin de

SNMP y complelos. Consulte las instrucciones especficas para
realizar este proceso en la documentacin de su gestor de SNMP.
Informes y logs
173
Informes y logs
Definicin de servidores Syslog

Syslog es un mecanismo de transporte de logs estndar que permite aadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, cortafuegos o impresoras, de diferentes proveedores a un
repositorio central para su archivo y anlisis, as como para elaborar informes.
El cortafuegos genera cinco tipos de logs que pueden reenviarse a un servidor Syslog externo: trfico, amenaza,
WildFire, coincidencia del perfil de informacin de host (HIP), configuracin y sistema. Si quiere reenviar todos
o algunos de estos logs a un servicio externo para un almacenamiento y un anlisis a largo plazo, puede utilizar
TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro.
Configuracin del reenvo de Syslog
Paso 1
Cree un perfil de servidor que contenga 1.

la informacin para conectarse a los
2.
servidores Syslog.
Seleccione Dispositivo > Perfiles de servidor > Syslog.

Haga clic en Aadir y, a continuacin, introduzca un Nombre para el
perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este perfil en el

men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada del servidor Syslog
e introduzca la informacin necesaria para conectar con el servidor
Syslog (puede aadir hasta cuatro servidores Syslog al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor: Direccin IP o nombre de dominio completo (FQDN)
del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes de
Syslog (el valor predeterminado es UDP en el puerto 514); debe
usar el mismo nmero de puerto en el cortafuegos y en el servidor
Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se debe
utilizar, BSD o IETF. Tradicionalmente, el formato BSD es a travs
de UDP y el formato IETF es a travs de TCP/SSL. Para
configurar el reenvo de Syslog seguro con la autenticacin de
cliente, consulte Configuracin del cortafuegos para autenticarlo
con el servidor Syslog.
Instalaciones: Seleccione uno de los valores de Syslog estndar,
que se usa para calcular el campo de prioridad (PRI) en la
implementacin de su servidor Syslog. Debe seleccionar el valor
que asigna cmo usa el campo PRI para gestionar sus mensajes de
Syslog.
174
5.
(Opcional) Para personalizar el formato de los mensajes de Syslog que

enva el cortafuegos, seleccione la pestaa Formato de log
personalizado. Si desea ms informacin sobre cmo crear formatos
personalizados para los distintos tipos de log, consulte Common
Event Format Configuration Guide (Gua de configuracin de
formato de eventos comunes).
6.
Informes y logs
Informes y logs
Configuracin del reenvo de Syslog (Continuacin)
Paso 2
1.
(Opcional) Configure el formato de
encabezado utilizado en los mensajes de
Syslog. La seleccin del formato de
2.
encabezado ofrece ms flexibilidad para
3.
filtrar y crear informes sobre los datos de
log para algunos SIEM.
Seleccione Dispositivo > Configuracin > Gestin y haga clic en el

icono Editar de la seccin Configuracin de log e informes.
Seleccione Exportacin e informes de logs.
Seleccione una de las siguientes opciones en el men desplegable
Enviar nombre de host en Syslog:
FQDN: (Valor predeterminado) Concatena el nombre de host y el
nombre de dominio definidos en el dispositivo de envo.
Nombre de host: Utiliza el nombre de host definido en el
dispositivo de envo.
Direccin IPv4: Utiliza la direccin IPv4 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada,

esta es la interfaz de gestin del dispositivo.
Direccin IPv6: Utiliza la direccin IPv6 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada,

esta es la interfaz de gestin del dispositivo.
Nota
Se trata de una configuracin global y se

aplica a todos los perfiles de servidores
Syslog configurados en el dispositivo.
Ninguno: Deja el campo Nombre de host sin configurar en el

dispositivo. No hay ningn identificador para el dispositivo que
enva los logs.
4.
Paso 3
Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en

guardar sus cambios.
Paso 4
Habilite el reenvo de logs.
Consulte Habilitacin del reenvo de logs.

Debe configurar cada tipo de log para el reenvo y especificar la gravedad
para la que se registrar el evento.
Nota
Paso 5
Revise los logs del servidor Syslog.
Los logs de WildFire son un tipo de log de amenaza, pero no se

registran y reenvan junto con los logs de amenaza. Si bien los logs
de WildFire utilizan el mismo formato de Syslog que los logs de
amenaza, el subtipo de amenaza est predefinido como WildFire.
Por lo tanto, debe habilitar el registro/reenvo para logs de
WildFire de manera distinta a la de los logs de amenaza.
Para analizar los logs, consulte Anlisis de la descripcin de campos en

logs.

Para habilitar la autenticacin de cliente para Syslog a travs de SSL, puede utilizar una CA de confianza o una
CA de firma automtica para generar certificados que puedan utilizarse para una comunicacin Syslog segura.
Compruebe lo siguiente al generar un certificado para una comunicacin Syslog segura:
La clave privada debe estar disponible en el dispositivo de envo; las claves no pueden almacenarse en un
mdulo de seguridad de hardware (HSM).
Informes y logs
175
Informes y logs
El sujeto y el emisor del certificado no deben ser idnticos.
El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicacin Syslog segura.
Paso 1
Para verificar que el dispositivo de envo est autorizado para

Si el servidor Syslog requiere
comunicarse con el servidor Syslog, debe habilitar lo siguiente:
autenticacin de cliente, genere el
certificado para la comunicacin
El servidor y el dispositivo de envo deben tener certificados
segura. Si desea informacin detallada
firmados por la CA de empresa; tambin puede generar un
sobre certificados, consulte Gestin
certificado autofirmado en el cortafuegos, exportar el certificado de
de certificados.
CA raz desde el cortafuegos e importarlo en el servidor Syslog.
Utilice la CA de empresa o el certificado autofirmado para generar
un certificado con la direccin IP del dispositivo de envo (como
Nombre comn) y habilitado para su uso en una comunicacin
Syslog segura. El servidor Syslog utiliza este certificado para verificar
que el cortafuegos est autorizado para comunicarse con el servidor
Syslog.
Realice los siguientes pasos para generar el certificado en el
cortafuegos o en Panorama:
1. Seleccione Dispositivo > Gestin de certificados > Certificados >
2.
Haga clic en Generar para crear un nuevo certificado que estar

firmado por una CA de confianza o la CA autofirmada.
3.
Introduzca un Nombre para el certificado.
4.
En Nombre comn, introduzca la direccin IP del dispositivo que

enviar logs al servidor Syslog.
5.
Seleccione Compartido si desea que el certificado sea de tipo

compartido en Panorama o en todos los sistemas virtuales en un
cortafuegos de sistema virtual mltiple.
6.
En Firmado por, seleccione la CA de confianza o la CA

autofirmada que sea de confianza para el servidor Syslog y el
dispositivo de envo.
7.
Haga clic en Generar. Se generarn el certificado y el par de claves.
8.
Haga clic en el enlace con el nombre del certificado y active la

opcin
para obtener acceso seguro al servidor
Syslog.
9.
10. Verifique los detalles del certificado y que est marcado para Uso
como Certificado para Syslog seguro.
176
Informes y logs
Informes y logs
Habilitacin del reenvo de logs

Una vez creados los perfiles de servidor que definen dnde se envan sus logs, debe habilitar el reenvo de logs.
Para cada tipo de log, puede especificar si se reenva a Syslog, correo electrnico, receptor de traps SNMP o
Panorama.
Antes de poder reenviar archivos log a un gestor de Panorama o a un recopilador de logs de
Panorama, el cortafuegos debe estar configurado como un dispositivo gestionado. Entonces
podr habilitar el reenvo de logs a Panorama para cada tipo de log. Para logs reenviados a
Panorama, tiene a su disposicin la compatibilidad con el reenvo centralizado de logs a un
servidor Syslog externo.
La forma de habilitar el reenvo depende del tipo de log:
Logs de trfico: Habilita el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado.
Logs de amenaza: Habilita el reenvo de logs de amenaza creando un perfil de reenvo de logs (Objetos >
Reenvo de logs) que especifique qu niveles de seguridad desea reenviar y, a continuacin, aadindolo a las
polticas de seguridad para las que desea activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). La siguiente tabla
resume los niveles de gravedad de las amenazas:
Gravedad
Descripcin
Crtico
Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software
ampliamente implementado, que comprometen profundamente los servidores y dejan el
cdigo de explotacin al alcance de los atacantes. El atacante no suele necesitar ningn tipo
de credenciales de autenticacin o conocimientos acerca de las vctimas y el objetivo no
necesita ser manipulado para que realice ninguna funcin especial.
Alto
Amenazas que tienen la habilidad de convertirse en crticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difciles de explotar, no conceder privilegios elevados o
no tener un gran grupo de vctimas.
Medio
Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante est en la misma
LAN que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u
ofrecen acceso muy limitado. Adems, las entradas de log de Presentaciones de WildFire con
un veredicto de software malintencionado se registran como amenazas de nivel medio.
Bajo
Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de la
organizacin. Suelen requerir acceso local o fsico al sistema y con frecuencia suelen
ocasionar problemas en la privacidad de las vctimas, problemas de DoS y fugas de
informacin. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo
Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podra haber problemas ms serios. Las entradas de logs de filtrado de URL y las
entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran como
informativas.
Informes y logs
177
Informes y logs
Logs de configuracin: Habilita el reenvo de logs de configuracin especificando un perfil de servidor en

la configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de configuracin).
Logs de sistema: Habilita el reenvo de logs de sistema especificando un perfil de servidor en la

configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de sistema). Debe seleccionar un
perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de
sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente
tabla resume los niveles de gravedad de los logs de sistema:
Gravedad
Descripcin
Crtico
Fallos de hardware, lo que incluye la conmutacin por error de HA y los

fallos de enlaces.
Alto
Problemas graves, incluidas las interrupciones en las conexiones con

dispositivos externos, como servidores Syslog y RADIUS.
Medio
Notificaciones de nivel medio, como actualizaciones de paquetes de

antivirus.
Bajo
Notificaciones de menor gravedad, como cambios de contrasea de

usuario.
Informativo
Inicios de sesin/cierres de sesin, cambio de nombre o contrasea de

administrador, cualquier cambio de configuracin y el resto de eventos no
cubiertos por los otros niveles de gravedad.
Supervisin del cortafuegos mediante SNMP

Todos los cortafuegos de Palo Alto Networks son compatibles con mdulos de base de informacin de gestin
(MIB) de SNMP de red estndar, as como con mdulos MIB empresariales privados. Puede configurar un
gestor de SNMP para recibir estadsticas del cortafuegos. Por ejemplo, puede configurar su gestor de SNMP
para que supervise las interfaces, sesiones activas, sesiones simultneas, porcentajes de uso de sesin,
temperatura o tiempo de actividad en el cortafuegos.
Los cortafuegos de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es
compatible con las solicitudes SNMP SET.
Configuracin de la supervisin de SNMP
Paso 1
Habilite la interfaz para permitir

solicitudes SNMP entrantes:
Si va a recibir mensajes SNMP GET en la interfaz de gestin,

seleccione Dispositivo > Configuracin > Gestin y haga clic en el
icono Editar que hay en la seccin Configuracin de interfaz de
gestin de la pantalla. En la seccin Servicios, seleccione la casilla
de verificacin SNMP y haga clic en Aceptar.
Si va a recibir mensajes SNMP GET en una interfaz distinta,
deber asociar un perfil de gestin a la interfaz y habilitar la gestin
de SNMP.
178
Informes y logs
Informes y logs
Configuracin de la supervisin de SNMP (Continuacin)
Paso 2
1.
Desde la interfaz web del cortafuegos,
configure los ajustes para permitir que el
agente de SNMP del cortafuegos
2.
responda a las solicitudes GET entrantes
del gestor de SNMP.
3.
Seleccione Dispositivo > Configuracin > Operaciones >

Configuracin de SNMP.
Especifique la ubicacin fsica del cortafuegos y el nombre o
direccin de correo electrnico de un contacto de gestin.
Seleccione la versin SNMP y, a continuacin, introduzca los
detalles de configuracin de la siguiente forma (segn la versin
SNMP que utilice) y, a continuacin, haga clic en ACEPTAR:
V2c: Introduzca la cadena de comunidad SNMP que
permitir que el gestor de SNMP acceda al agente de SNMP
del cortafuegos. El valor predeterminado es pblico. Como
se trata de una cadena de comunidad ampliamente conocida,
es recomendable usar un valor que no se adivine tan
fcilmente.
V3: Debe crear al menos una vista y un usuario para poder
utilizar SNMPv3. La vista especifica a qu informacin de
gestin tiene acceso el gestor. Si desea permitir el acceso a
toda la informacin de gestin, solamente tiene que
introducir el OID de nivel ms alto de .1.3.6.1 y especificar la
opcin como incluir (tambin puede crear vistas que
excluyan determinados objetos). Utilice 0xf0 como la
mscara. A continuacin, cuando cree un usuario, seleccione
la vista que acaba de crear y especifique la contrasea de
autenticacin y la contrasea privada.
La configuracin de autenticacin (la cadena de comunidad para
V2c o el nombre de usuario y las contraseas para V3)
establecida en el cortafuegos debe coincidir con el valor
configurado en el gestor de SNMP.
4.
5.
Haga clic en Confirmar para guardar estos ajustes de SNMP.
Paso 3
Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestin de
las estadsticas del cortafuegos.
SNMP y, si es necesario, complelos. Consulte las instrucciones
especficas para realizar este proceso en la documentacin de su
gestor de SNMP.
Paso 4
Identifique las estadsticas que desee

supervisar.
Paso 5
Configure el software de gestin de

Consulte las instrucciones especficas para realizar este proceso en la
SNMP para que supervise los OID que le documentacin de su gestor de SNMP.
interesan.
Informes y logs
Use un explorador de MIB para examinar los archivos MIB de

PAN-OS y localizar los identificadores de objeto (OID) que se
corresponden con las estadsticas que desea supervisar. Por ejemplo,
imagnese que desea supervisar el porcentaje de uso de sesin del
cortafuegos. Usando un explorador de MIB ver que estas
estadsticas se corresponden con los OID
1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.
179
Informes y logs
Configuracin de la supervisin de SNMP (Continuacin)
Paso 6
180
Cuando haya terminado la configuracin A continuacin, un ejemplo de la apariencia de un gestor de SNMP

al mostrar las estadsticas del porcentaje de uso de sesin en tiempo
del cortafuegos y el gestor de SNMP
real de un cortafuegos de la serie PA-500 supervisado:
podr empezar a supervisar el
cortafuegos desde su software de gestin
de SNMP.
Informes y logs
Informes y logs
Gestin de informes
Gestin de informes
Las funciones de generacin de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
polticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estn protegidos y
sean productivos.
Acerca de los informes
Deshabilitacin de informes predefinidos
Generacin de informes personalizados
Generacin de informes de Botnet
Gestin de informes de resumen en PDF
Generacin de informes de actividad del usuario/grupo
Gestin de grupos de informes
Programacin de informes para entrega de correos electrnicos
Acerca de los informes

El cortafuegos incluye informes predefinidos que puede utilizar tal cual; asimismo, puede crear informes
personalizados que cubran sus necesidades en cuanto a datos especficos y tareas tiles o combinar informes
predefinidos y personalizados para compilar la informacin que necesita. El cortafuegos proporciona los
siguientes tipos de informes:
Informes predefinidos: Le permiten ver un resumen rpido del trfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categoras: Aplicaciones, Trfico, Amenaza y Filtrado
de URL. Consulte Visualizacin de informes.
Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a peticin sobre
el uso de la aplicacin y la actividad de URL para un usuario especfico o para un grupo de usuarios; el
informe incluye las categoras de URL y un clculo del tiempo de exploracin estimado para usuarios
individuales. Consulte Generacin de informes de actividad del usuario/grupo.
Informes personalizados: Cree y programe informes personalizados que muestren exactamente la

informacin que desee ver, filtrando segn las condiciones y las columnas que deben incluirse. Tambin
puede incluir generadores de consultas para un desglose ms especfico de los datos de informe. Consulte
Generacin de informes personalizados.
Informes de resumen en PDF: Agregue hasta 18 informes/grficos predefinidos o personalizados desde

las categoras Amenaza, Aplicacin, Tendencia, Trfico y Filtrado de URL en un documento PDF. Consulte
Gestin de informes de resumen en PDF.
Informes de Botnet: Le permiten utilizar mecanismos basados en el comportamiento para identificar

posibles hosts infectados por Botnet en la red. Consulte Generacin de informes de Botnet.
Grupos de informes: Combine informes personalizados y predefinidos en grupos de informes y compile

un nico PDF que se enviar por correo electrnico a uno o ms destinatarios. Consulte Gestin de grupos
de informes.
Los informes se pueden generar segn se necesiten, con una planificacin recurrente, y se puede programar su
envo diario por correo electrnico.
Informes y logs
181
Gestin de informes
Informes y logs
El cortafuegos proporciona una variedad de ms de 40 informes predefinidos que se generan cada da; estos
informes pueden visualizarse directamente en el cortafuegos. Adems de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento; adems, los informes ms antiguos se purgan para
almacenar informes recientes. Por lo tanto, para una retencin a largo plazo de informes, puede exportar los
informes o programar los informes para una entrega por correo electrnico. Para deshabilitar informes
seleccionados y conservar recursos del sistema en el cortafuegos, consulte Deshabilitacin de informes
predefinidos.
Los informes de actividad de usuario/grupo deben generarse a peticin o programarse para una
entrega por correo electrnico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.
Paso 1
Seleccione Supervisar > Informes.

Los informes se dividen en secciones en el lado derecho de la ventana: Informes personalizados, Informes de
aplicacin, Informes de trfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen
en PDF.
Paso 2
Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del da anterior se mostrar
en la pantalla.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha disponible en el calendario de la parte
inferior de la pgina y seleccione un informe dentro de la misma seccin. Si cambia secciones, se restablecer la
seleccin del tiempo.
Paso 3
182
Para visualizar un informe fuera de lnea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la pgina. A continuacin,
imprima o guarde el archivo.
Informes y logs
Informes y logs
Gestin de informes
Deshabilitacin de informes predefinidos

El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automticamente cada da.
Si no utiliza algunos o todos estos informes predefinidos, podr deshabilitar los informes seleccionados y
conservar recursos del sistema en el cortafuegos.
Antes deshabilitar uno o ms informes predefinidos, asegrese de que el informe no se incluye en ningn
informe de grupos o informe PDF. Si el informe predefinido deshabilitado se incluye en un informe de grupos
o PDF, el informe de grupos/PDF se presentar sin datos.
Deshabilitar informes predefinidos
1.
Seleccione Dispositivo > Configuracin > Gestin en el cortafuegos.
2.
Haga clic en el icono Editar en la seccin Configuracin de log e informes y seleccione la pestaa Exportacin e
informes de logs.
3.
Para deshabilitar informes:

Cancele la seleccin de la casilla de verificacin correspondiente a cada informe que quiera deshabilitar.
Seleccione Anular seleccin para deshabilitar todos los informes predefinidos.
4.
Haga clic en ACEPTAR y seleccione Confirmar los cambios.
Informes y logs
183
Gestin de informes
Informes y logs

Para crear informes personalizados con un fin concreto, debe considerar los atributos o la informacin clave
que quiere recuperar y analizar. Esta consideracin le guiar a la hora de realizar las siguientes selecciones en un
informe personalizado:
Seleccin
Descripcin
Origen de datos
Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orgenes de datos: bases de datos de resumen y logs detallados.
Las bases de datos de resumen estn disponibles para estadsticas de trfico,
amenaza y aplicacin. El cortafuegos agrega los logs detallados en trfico, aplicacin
y amenaza en intervalos de 15 minutos. Los datos estn condensados; es decir, las
sesiones estn agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensacin permite un
tiempo de respuesta ms rpido al generar informes.
Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho ms en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.
Atributos
Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su seleccin en un informe. Desde la lista de Columnas
disponibles, puede aadir los criterios de seleccin para datos coincidentes y para
agregar la informacin detallada (Columnas seleccionadas).
Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenacin y agrupacin disponibles varan basndose en
el origen de datos seleccionado.
La opcin Ordenar por especifica el atributo que se utiliza para la agregacin. Si no
selecciona un atributo segn el cul ordenar, el informe devolver el primer nmero N
de resultados sin ninguna agregacin.
La opcin Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuacin, todos los datos del informe se presentarn en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, cuando seleccione Hora
como la seleccin de Agrupar por y quiere los 25 grupos principales en un perodo de
tiempo de 24 horas. Los resultados del informe se generarn cada hora en un perodo
de 24 horas. La primera columna del informe ser la hora y el siguiente conjunto de
columnas ser el resto de sus columnas de informe seleccionadas.
184
Informes y logs
Informes y logs
Seleccin
Gestin de informes
Descripcin
El siguiente ejemplo muestra el modo en que los criterios Columnas seleccionadas y

Ordenar por/Agrupar por trabajan en conjunto al generar informes:
Las columnas dentro de un crculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarn y se incrementar el recuento de repeticiones (o sesiones).
La columna dentro de un crculo azul indica el orden de clasificacin seleccionado.
Cuando se especifica el orden de clasificacin (Ordenar por), los datos se ordenan
(y agregan) segn el atributo seleccionado.
La columna dentro de un crculo verde indica la seleccin de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuacin, para cada uno de los
N grupos principales, el informe enumera los valores del resto de columnas
seleccionadas.
Informes y logs
185
Gestin de informes
Seleccin
Informes y logs
Descripcin
Por ejemplo, si un informe tiene las siguientes selecciones:

:
El resultado ser el siguiente:
El informe est anclado por Da y se ordena por Sesiones. Enumera los 5 das (5 grupos) con el mximo de trfico
en el perodo de tiempo de ltimos 7 das. Los datos se enumeran segn las 5 principales sesiones de cada da para
las columnas seleccionadas: Categora de aplicacin, Subcategora de aplicacin y Riesgo.
Perodo de tiempo
Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un perodo de tiempo que vaya desde los ltimos
15 minutos hasta los ltimos 30 das. Los informes se pueden ejecutar a peticin
o se pueden programar para su ejecucin cada da o cada semana.
Generador de consultas
El generador de consultas le permite definir consultas especficas para ajustar aun ms

los atributos seleccionados. Le permite ver solamente lo que desee en su informe
utilizando los operadores y y o y un criterio de coincidencia y, a continuacin, incluir o
excluir datos que coincidan o nieguen la consulta del informe. Las consultas le
permiten generar una intercalacin de informacin ms centrada en un informe.
186
Informes y logs
Informes y logs
Gestin de informes
1.
Seleccione Supervisar > Gestionar informes personalizados.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.
Nota
3.
Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla.
A continuacin, podr editar la plantilla y guardarla como un informe personalizado.
Seleccione la base de datos que debe utilizarse para el informe.
Nota
Cada vez que cree un informe personalizado, se crear un informe Vista de log automticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero aade la frase Log View al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
ms informacin, consulte Gestin de grupos de informes.
4.
Seleccione la casilla de verificacin Programado para ejecutar el informe cada noche. A continuacin, el informe
estar disponible para su visualizacin en la columna Informes del lateral.
5.
Defina los criterios de filtrado. Seleccione el Perodo de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.
6.
(Opcional) Seleccione los atributos Generador de consultas si desea ajustar aun ms los criterios de seleccin. Para
crear una consulta de informe, especifique lo siguiente y haga clic en Aadir. Repita las veces que sean necesarias para
crear la consulta completa.
Conector: Seleccione el conector (y/o) para preceder la expresin que est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta como una negativa. Si, por ejemplo, decide
hacer coincidir las entradas de las ltimas 24 horas y/o se originan en la zona no fiable, la opcin de negacin
produce una coincidencia en las entradas que no se hayan producido en las ltimas 24 horas y/o no pertenezcan
a la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la eleccin de la base de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de trfico) muestra una consulta que coincide
si se ha recibido la entrada de log de trfico en las ltimas 24 horas de la zona no fiable.
7.
Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes segn sea necesario para
cambiar la informacin que se muestra en el informe.
8.
Haga clic en ACEPTAR para guardar el informe personalizado.
Informes y logs
187
Gestin de informes
Informes y logs
Generacin de informes personalizados (Continuacin)
Ejemplos de informes personalizados
Si ahora configuramos un nico informe en el que utilizamos la base de datos de resumen de trfico de los
ltimos 30 das y ordenamos los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos
por da de la semana. Debera configurar el informe personalizado para que tuviera un aspecto parecido a este:
Y el resultado en PDF del informe debera tener un aspecto parecido a este:
188
Informes y logs
Informes y logs
Gestin de informes
Generacin de informes personalizados (Continuacin)
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debera configurar el informe
para que tuviera un aspecto parecido a este:
El informe debera mostrar a los principales usuarios del grupo de usuarios de gestin de productos ordenados
por bytes, de la manera siguiente:
Informes y logs
189
Gestin de informes
Informes y logs

La funcin Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Para evaluar las amenazas, el cortafuegos utiliza los logs de
amenaza, URL y filtrado de datos que tienen datos sobre la actividad de usuario/red y consulta la lista de URL
malintencionadas en PAN-DB, proveedores de DNS dinmico conocidos y dominios registrados recientemente.
Utilizando estos orgenes de datos, el cortafuegos correlaciona e identifica a los hosts que visitaron sitios
malintencionados y sitios de DNS dinmico, dominios registrados recientemente (en los ltimos 30 das),
aplicaciones desconocidas utilizadas y bsquedas de la presencia de trfico de Internet Relay Chat (IRC).
Para los host que coincidan con los criterios, se asigna un margen de confianza del 1 al 5 para indicar la
probabilidad de infeccin de Botnet (1 indica la probabilidad de infeccin ms baja y 5 la ms alta). Como los
mecanismos de deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de
hosts ordenada basndose en un nivel de confianza.
Configuracin de informes de Botnet

Utilice estos ajustes para especificar tipos de trfico sospechoso que pueda indicar actividad de Botnet.
1.
Seleccione Supervisar > Botnet y haga clic en el botn Configuracin del lado derecho de la pgina.
2.
Para el trfico HTTP, seleccione la casilla de verificacin Habilitar para los eventos que desea incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios que se estn comunicando con URL con
software malintencionado conocidas basndose en las categoras de filtrado de URL de software malintencionado
y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en dominios que se han registrado en los
ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.
3.
Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga.
Bytes mximos: Tamao mximo de carga.
4.
190
Seleccione la casilla de verificacin para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.
Informes y logs
Informes y logs
Gestin de informes

Despus de configurar el informe de Botnet, especifique consultas de informe para generar informes de anlisis
de Botnet. El generador de consultas le permite incluir o excluir atributos tales como direcciones IP de origen
o de destino, usuarios, zonas, interfaces, regiones o pases para filtrar los resultados del informe.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar informes a peticin
haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado se
muestra en Supervisar > Botnet.
Para gestionar informes de Botnet, haga clic en el botn Ajuste de informe en el lado derecho de la pantalla.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
1.
En Perodo de ejecucin del informe, seleccione el intervalo de tiempo para el informe (ltimas 24 horas o
ltimo da del calendario).
2.
Seleccione el N. de filas que desea incluir en el informe.
3.
Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.
4.
Cree la consulta de informe especificando lo siguiente y, a continuacin, haga clic en Aadir para agregar la
expresin configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o destino.
Operador: Especifique el operador para relacionar el atributo con un valor.
Valor: Especifique el valor para coincidir.
5.
Seleccione Negar para aplicar la negacin a la consulta especificada, lo que significa que el informe contendr
toda la informacin que no sea resultado de la consulta definida.
6.
Informes y logs
191
Gestin de informes
Informes y logs
Gestin de informes de resumen en PDF

Los informes de resumen en PDF contienen informacin recopilada de informes existentes, basndose en datos
de los 5 principales de cada categora (en vez de los 50 principales). Tambin pueden contener grficos de
tendencias que no estn disponibles en otros informes.
Generacin de informes de resumen en PDF
Paso 1
Configure un Informe de resumen en PDF:

1. Seleccione Supervisar > Informes en PDF > Gestionar resumen de PDF.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.
3. Utilice la lista desplegable para cada grupo de informes y seleccione uno o ms de los elementos para disear
el informe de resumen en PDF. Puede incluir un mximo de 18 elementos de informe.
Para eliminar un elemento del informe, haga clic en el icono x o cancele la seleccin del men desplegable
para el grupo de informes adecuado.
Para reorganizar los informes, arrastre y coloque los iconos en otra rea del informe.
4. Haga clic en ACEPTAR para guardar el informe.
5. Confirme los cambios.
192
Informes y logs
Informes y logs
Gestin de informes
Generacin de informes de resumen en PDF (Continuacin)
Paso 2
Para descargar y ver el informe de resumen en PDF, consulte Visualizacin de informes.

Los informes de actividad del usuario/grupo resumen la actividad web de usuarios individuales o grupos de
usuarios. Ambos informes incluyen la misma informacin con un par de excepciones: Resumen de navegacin
por categora de URL y Clculos de tiempo de exploracin se incluyen en Informes de actividad del usuario, pero
no se incluyen en Informes de actividad del grupo.
User-ID debe configurarse en el cortafuegos para acceder a la lista de usuarios/grupos de usuarios; para obtener
informacin detallada sobre cmo habilitar esta funcin, consulte User-ID.
Informes y logs
193
Gestin de informes
Informes y logs
1.
Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre para el informe.
3.
Cree el informe:
Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Direccin IP (IPv4 o IPv6) del usuario que ser el asunto del informe.
Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
informacin de grupos de usuarios en el informe.
4.
Seleccione el perodo de tiempo para el informe en el men desplegable.
Nota
5.
El nmero de logs analizados en un informe de actividad del usuario est determinado por el nmero de filas
definido en Mx. de filas en informe de actividad de usuario en la seccin Configuracin de log e informes en
Dispositivo > Configuracin > Gestin.
Seleccione Incluir exploracin detallada para incluir logs de URL detallados en el informe.
La informacin de navegacin detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6.
Para ejecutar el informe a peticin, haga clic en Ejecutar ahora.
7.
Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.
Gestin de grupos de informes

Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y enviar como
un informe agregado en PDF nico con una pgina de ttulo opcional y todos los informes constituyentes
incluidos.
194
Informes y logs
Informes y logs
Gestin de informes
Configuracin de grupos de informes
Paso 1
Configure grupos de informes.
1.
Nota
Debe configurar un Grupo de informes

para enviar informes por correo
electrnico.
Cree un perfil de servidor para su servidor de correo

electrnico.
2.
Defina el Grupo de informes. Un grupo de informes puede

compilar informes predefinidos, informes de resumen en PDF,
informes personalizados e informes Vista de log en un nico
PDF.
a. Seleccione Supervisar > Grupo de informes.
b. Haga clic en Aadir y, a continuacin, introduzca un Nombre
para el grupo de informes.
c. (Opcional) Seleccione Pgina de ttulo y aada un Ttulo
para el PDF creado.
d. Seleccione informes de la columna izquierda y haga clic en
Aadir para mover cada informe al grupo de informes en la
derecha.
El informe Vista de log es un tipo de informe que se crea
automticamente cada vez que crea un informe
personalizado y utiliza el mismo nombre que el informe
personalizado. Este informe mostrar los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de
informes, aada su informe personalizado a la lista Informes
personalizados y, a continuacin, aada el informe Vista de
log seleccionando el nombre del informe coincidente de la
lista Vista de log. El informe incluir los datos del informe
personalizado y los datos de log que se han utilizado para
crear el informe personalizado.
e. Haga clic en ACEPTAR para guardar la configuracin.
f. Para utilizar el grupo de informes, consulte Programacin de
informes para entrega de correos electrnicos.

Los informes se pueden programar para una entrega diaria o semanal en un da especificado. Los informes
programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrnico comienza despus de que
se hayan generado todos los informes programados.
Informes y logs
195
Gestin de informes
Informes y logs
1.
Seleccione Supervisar > Informes en PDF > Programador de

correo electrnico.
2.
Seleccione el Grupo de informes para la entrega de correos

electrnicos. Para configurar un grupo de informes, consulte Gestin
de grupos de informes.
3.
Seleccione la frecuencia con la que generar y enviar el informe en

Periodicidad.
4.
Seleccione el perfil del servidor de correo electrnico que debe

utilizarse para entregar los informes. Para configurar un perfil de
servidor de correo electrnico, consulte Cree un perfil de servidor para su servidor de correo electrnico.
5.
Cancelar correos electrnicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando aade destinatarios a Cancelar correos electrnicos del destinatario, el
informe no se enva a los destinatarios configurados en el perfil de servidor de correo electrnico. Utilice esta opcin
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrnico.
196
Informes y logs
Informes y logs

Esta es una lista de los campos estndar de cada uno de los cinco tipos de logs que se reenvan a un servidor
externo. Para facilitar el anlisis, la coma es el delimitador; cada campo es una cadena de valores separados por
comas (CSV). Los campos que actualmente no estn implementados/reservados para un uso futuro se etiquetan
como future_use.
Logs de trfico
Logs de amenaza
Logs de coincidencias HIP
Logs de sistema
Logs de trfico
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categora, FUTURE_USE, Nmero de
secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos.
Nombre de campo
Descripcin
Fecha de registro (receive_time)
Hora a la que se recibi el log en el plano de gestin.
Nmero de serie (serial)
Nmero de serie del dispositivo que gener el log.
Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin,

Sistema y Coincidencias HIP.
Subtipo (subtype)
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
Iniciar: sesin iniciada.
Finalizar: sesin finalizada.
Colocar: sesin colocada antes de identificar la aplicacin; no hay ninguna
regla que permita la sesin.
Denegar: sesin colocada despus de identificar la aplicacin; hay una regla
para bloquear o no hay ninguna regla que permita la sesin.
Tiempo generado (time_generated)
Hora a la que se gener el log en el plano de datos.
IP de origen (src)
Direccin IP de origen de la sesin original.
IP de destino (dst)
Direccin IP de destino de la sesin original.
NAT IP origen (natsrc)
Si se ejecuta un NAT de origen, es el NAT de direccin IP de origen posterior.
Informes y logs
197
Informes y logs
Nombre de campo
Descripcin
NAT IP destino (natdst)
Si se ejecuta un NAT de destino, es el NAT de direccin IP de destino posterior.
Nombre de regla (rule)
Nombre de la regla con la que ha coincidido la sesin.
Usuario de origen (srcuser)
Nombre del usuario que inici la sesin.
Usuario de destino (dstuser)
Nombre del usuario para el que iba destinada la sesin.
Aplicacin (app)
Aplicacin asociada a la sesin.
Sistema virtual (vsys)
Sistema virtual asociado a la sesin.
Zona de origen (from)
Zona de origen de la sesin.
Zona de destino (to)
Zona de destino de la sesin.
Interfaz de entrada (inbound_if)
Interfaz de origen de la sesin.
Interfaz de salida (outbound_if)
Interfaz de destino de la sesin.
Perfil de reenvo de logs (logset)
Perfil de reenvo de logs aplicado a la sesin.
ID de sesin (sessionid)
Identificador numrico interno aplicado a cada sesin.
Nmero de repeticiones (repeatcnt)
Nmero de sesiones con el mismo IP de origen, IP de destino, Aplicacin y

Subtipo observados en 5 segundos. Utilizado nicamente para ICMP.
Puerto de origen (sport)
Puerto de origen utilizado por la sesin.
Puerto de destino (dport)
Puerto de destino utilizado por la sesin.
NAT puerto origen (natsport)
NAT de puerto de origen posterior.
NAT puerto destino (natdport)
NAT de puerto de destino posterior.
198
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Marcas (flags)
Campo de 32 bits que proporciona informacin detallada sobre la sesin; este

campo puede descodificarse aadiendo los valores con Y y con el valor
registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante
el portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario
de origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy
HTTP (Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la
gestin de las dependencias de las aplicaciones implcitas. Disponible en
PAN-OS 5.0.0 y posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta
sesin.
Protocolo (proto)
Protocolo IP asociado a la sesin.
Accin (action)
Accin realizada para la sesin; los valores son Permitir o Denegar:

Permitir: la poltica permiti la sesin.
Denegar: la poltica deneg la sesin.
Bytes (bytes)
Nmero total de bytes (transmitidos y recibidos) de la sesin.
Bytes enviados (bytes_sent)
Nmero de bytes en la direccin cliente a servidor de la sesin.

Disponible en todos los modelos excepto la serie PA-4000.
Bytes recibidos (bytes_received)
Nmero de bytes en la direccin servidor a cliente de la sesin.

Paquetes (packets)
Nmero total de paquetes (transmitidos y recibidos) de la sesin.
Fecha de inicio (start)
Hora de inicio de sesin.
Tiempo transcurrido (elapsed)
Tiempo transcurrido en la sesin.
Categora (category)
Categora de URL asociada a la sesin (si es aplicable).
Nmero de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada

tipo de log tiene un espacio de nmero exclusivo.
Marcas de accin (actionflags)
Campo de bits que indica si el log se ha reenviado a Panorama.
Informes y logs
199
Informes y logs
Nombre de campo
Descripcin
Ubicacin de origen (srcloc)
Pas de origen o regin interna para direcciones privadas; la longitud mxima es

de 32 bytes.
Ubicacin de destino (dstloc)
Pas de destino o regin interna para direcciones privadas. La longitud mxima es

de 32 bytes.
Paquetes enviados (pkts_sent)
Nmero de paquetes de cliente a servidor de la sesin.

Paquetes recibidos (pkts_received)
Nmero de paquetes de servidor a cliente de la sesin.

Logs de amenaza
Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicacin, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvo de logs, FUTURE_USE, ID de sesin, Nmero de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Accin, Varios, ID de amenaza,
Categora, Gravedad, Direccin, Nmero de secuencia, Marcas de accin, Ubicacin de origen, Ubicacin de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes*, Resumen de archivo*, Nube*
Nombre de campo
Descripcin
Fecha de registro (receive_time) Hora a la que se recibi el log en el plano de gestin.

Tipo (type)
Especifica el tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y
Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundacin, Datos y WildFire:
URL: log de filtrado de datos
Virus: deteccin de virus
Spyware: deteccin de spyware
Vulnerabilidades: deteccin de exploits de vulnerabilidades
Archivo: log de tipo de archivo
Analizar: exploracin detectada mediante un perfil de proteccin de zona
Inundacin: inundacin detectada mediante un perfil de proteccin de zona
Datos: patrn de datos detectado desde un perfil de proteccin de zona
WildFire: log de WildFire
200
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Tiempo generado
(time_generated)
Hora a la que se gener el log en el plano de datos.
IP de origen (src)
Direccin IP de origen de la sesin original.
IP de destino (dst)
Direccin IP de destino de la sesin original.
NAT IP origen (natsrc)
Si se ejecuta un NAT de origen, es el NAT de direccin IP de origen posterior.
NAT IP destino (natdst)
Si se ejecuta un NAT de destino, es el NAT de direccin IP de destino posterior.
Nombre de regla (rule)
Nombre de la regla con la que ha coincidido la sesin.
Usuario de origen (srcuser)
Nombre del usuario que inici la sesin.
Usuario de destino (dstuser)
Nombre del usuario para el que iba destinada la sesin.
Aplicacin (app)
Aplicacin asociada a la sesin.
Sistema virtual asociado a la sesin.
Zona de origen (from)
Zona de origen de la sesin.
Zona de destino (to)
Zona de destino de la sesin.
Interfaz de entrada
Interfaz de origen de la sesin.
(inbound_if)
Interfaz de salida
Interfaz de destino de la sesin.
(outbound_if)
Perfil de reenvo de logs
Perfil de reenvo de logs aplicado a la sesin.
(logset)
ID de sesin (sessionid)
Identificador numrico interno aplicado a cada sesin.
Nmero de repeticiones
(repeatcnt)
Nmero de sesiones con el mismo IP de origen, IP de destino, Aplicacin y Subtipo

observados en 5 segundos. Utilizado nicamente para ICMP.
Puerto de origen (sport)
Puerto de origen utilizado por la sesin.
Puerto de destino (dport)
Puerto de destino utilizado por la sesin.
NAT puerto origen (natsport)
NAT de puerto de origen posterior.
NAT puerto destino (natdport)
NAT de puerto de destino posterior.
Informes y logs
201
Informes y logs
Nombre de campo
Descripcin
Marcas (flags)
Campo de 32 bits que proporciona informacin detallada sobre la sesin; este campo
puede descodificarse aadiendo los valores con Y y con el valor registrado:
0x80000000: la sesin tiene una captura de paquetes (PCAP)
0x02000000: sesin IPv6.
0x01000000: la sesin SSL se ha descifrado (proxy SSL).
0x00800000: la sesin se ha denegado a travs del filtrado de URL.
0x00400000: la sesin ha realizado una traduccin NAT (NAT).
0x00200000: la informacin de usuario de la sesin se ha capturado mediante el
portal cautivo (Portal cautivo).
0x00080000: el valor X-Forwarded-For de un proxy est en el campo Usuario de
origen.
0x00040000: el log corresponde a una transaccin en una sesin de proxy HTTP
(Transaccin proxy).
0x00008000: la sesin es un acceso a la pgina de contenedor (Pgina de
contenedor).
0x00002000: la sesin tiene una coincidencia temporal en una regla para la gestin
de las dependencias de las aplicaciones implcitas. Disponible en PAN-OS 5.0.0 y
posterior.
0x00000800: se utiliz el retorno simtrico para reenviar trfico para esta sesin.
Protocolo (proto)
Protocolo IP asociado a la sesin.
Accin (action)
Accin realizada para la sesin; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
Alerta: amenaza o URL detectada pero no bloqueada.
Permitir: alerta de deteccin de inundacin.
Denegar: mecanismo de deteccin de inundacin activado y denegacin de trfico
basndose en la configuracin.
Colocar: amenaza detectada y se descart la sesin asociada.
Colocar todos los paquetes: amenaza detectada y la sesin permanece, pero se
colocan todos los paquetes.
Restablecer cliente: amenaza detectada y se enva un TCP RST al cliente.
Restablecer servidor: amenaza detectada y se enva un TCP RST al servidor.
Restablecer ambos: amenaza detectada y se enva un TCP RST tanto al cliente como
al servidor.
Bloquear URL: la solicitud de URL se bloque porque coincida con una categora
de URL que se haba establecido como bloqueada.
202
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Varios (misc)
Campo de longitud variable con un mximo de 1.023 caracteres.

El URI real cuando el subtipo es URL.
Nombre de archivo o tipo de archivo cuando el subtipo es Archivo.
Nombre de archivo cuando el subtipo es Virus.
Nombre de archivo cuando el subtipo es WildFire.
ID de amenaza (threatid)
Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripcin

seguida de un identificador numrico de 64 bits entre parntesis para algunos subtipos:
8000 - 8099: deteccin de exploracin
8500 - 8599: deteccin de inundacin
9999: log de filtrado de URL
10000 - 19999: deteccin de llamada a casa de spyware
20000 - 29999: deteccin de descarga de spyware
30000 - 44999: deteccin de exploits de vulnerabilidades
52000 - 52999: deteccin de tipo de archivo
60000 - 69999: deteccin de filtrado de datos
100000 - 2999999: deteccin de virus
3000000 - 3999999: distribucin de firmas de WildFire
4000000 - 4999999: firmas de Botnet basadas en DNS
Categora (category)
Para el subtipo URL, es la categora de URL; para el subtipo WildFire, es el veredicto

del archivo y es Malo o Bueno; para otros subtipos, el valor es Cualquiera.
Gravedad (severity)
Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crtico.
Direccin (direction)
Indica la direccin del ataque: cliente a servidor o servidor a cliente.

0: la direccin de la amenaza es cliente a servidor.
1: la direccin de la amenaza es servidor a cliente.
Nmero de secuencia (seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de

log tiene un espacio de nmero exclusivo.
Marcas de accin (actionflags)
Ubicacin de origen (srcloc)
Pas de origen o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.
Ubicacin de destino (dstloc)
Pas de destino o regin interna para direcciones privadas. La longitud mxima es de

32 bytes.
Tipo de contenido (contenttype) nicamente es aplicable cuando el subtipo es URL.

Tipo de contenido de los datos de respuesta HTTP. La longitud mxima es de 32 bytes.
Informes y logs
203
Nombre de campo
Informes y logs
Descripcin
Novedad en v6.0: ID de captura ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un
de paquetes (pcap_id)
ID para correlacionar archivos de captura de paquetes de amenaza con capturas de
paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza
contendrn un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID
que haga referencia al archivo de captura de paquetes ampliado.
Novedad en v6.0: Resumen de
Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
archivo (filedigest)
La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por
el servicio WildFire.
Novedad en v6.0: Nube (cloud) Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de

WildFire (pblica) desde donde se carg el archivo para su anlisis.
Logs de coincidencias HIP

Formato: FUTURE_USE, Fecha de registro, Nmero de serie, Tipo, Subtipo, FUTURE_USE,
FUTURE_USE, Usuario de origen, Sistema virtual, Nombre de la mquina, SO*, Direccin de origen, HIP,
Nmero de repeticiones, Tipo HIP, FUTURE_USE, FUTURE_USE, Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.
Subtipo (subtype)
Subtipo del log de coincidencias HIP; no utilizado.
Usuario de origen (srcuser) Nombre del usuario que inici la sesin.

Sistema virtual asociado al log de coincidencias HIP.
Nombre de la mquina
(machinename)
Nombre de la mquina del usuario.
Novedad en v6.0: SO
Sistema operativo instalado en la mquina o el dispositivo del usuario (o en el sistema

cliente).
Direccin de origen (src)
Direccin IP del usuario de origen.
HIP (matchname)
Nombre del perfil u objeto HIP.
Nmero de repeticiones
(repeatcnt)
Nmero de veces que ha coincidido el perfil HIP.
Tipo HIP (matchtype)
Especifica si el campo HIP representa un objeto HIP o un perfil HIP.
204
Informes y logs
Informes y logs
Nombre de campo
Descripcin
Nmero de secuencia
(seqno)
Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de

Marcas de accin
(actionflags)
FUTURE_USE, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuracin,
Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y Coincidencias
HIP.
Subtipo (subtype)
Subtipo del log de configuracin; no utilizado.
Host (host)
Nombre de host o direccin IP de la mquina cliente.
Sistema virtual asociado al log de configuracin.
Comando (cmd)
Comando ejecutado por el administrador; los valores son Aadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.
Administrador (admin)
Nombre de usuario del administrador que realiza la configuracin.
Cliente (client)
Cliente utilizado por el administrador; los valores son Web y CLI.
Resultado (result)
Resultado de la accin de configuracin; los valores son Enviada, Correctamente, Fallo

y No autorizado.
Ruta de configuracin
(path)
Ruta del comando de configuracin emitido; puede tener una longitud de hasta
512 bytes.
Nmero de secuencia
(seqno)

Marcas de accin
(actionflags)
Informes y logs
205
Informes y logs
Logs de sistema
FUTURE_USE, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Mdulo, Gravedad,
Descripcin, Nmero de secuencia, Marcas de accin
Nombre de campo
Descripcin
Fecha de registro
(receive_time)
Tipo (type)
Tipo de log; los valores son Trfico, Amenaza, Configuracin, Sistema y

Coincidencias HIP.
Subtipo (subtype)
Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptogrfico, DHCP, Proxy DNS, Denegacin de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, User-ID, Filtrado de URL y VPN.
Sistema virtual asociado al log de configuracin.
ID de evento (eventid)
Cadena que muestra el nombre del evento.
Objeto (object)
Nombre del objeto asociado al evento del sistema.
Mdulo (module)
Este campo nicamente es vlido cuando el valor del campo Subtipo es General.
Proporciona informacin adicional acerca del subsistema que genera el log; los valores
son General, Gestin, Autenticacin, HA, Actualizar y Bastidor.
Gravedad (severity)
Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crtico.
Descripcin (opaque)
Descripcin detallada del evento, hasta un mximo de 512 bytes.
Nmero de secuencia
(seqno)

Marcas de accin
(actionflags)
Gravedad de Syslog
La gravedad de Syslog se establece basndose en el tipo de log y el contenido.
Tipo/gravedad de log
Gravedad de Syslog
Trfico
Informacin
Configurar
Informacin
Amenaza/Sistema: Informativo
Informacin
206
Informes y logs
Informes y logs
Tipo/gravedad de log
Gravedad de Syslog
Amenaza/Sistema: Bajo
Aviso
Amenaza/Sistema: Medio
Advertencia
Amenaza/Sistema: Alto
Error
Amenaza/Sistema: Crtico
Crtico
Formato de logs/eventos personalizados

Para facilitar la integracin con sistemas de anlisis de logs externos, el cortafuegos le permite personalizar el
formato de logs; tambin le permite aadir pares de atributos personalizados Clave: Valor. El formato de los
mensajes personalizados puede configurarse bajo Dispositivo > Perfiles de servidor > Syslog > Perfil de servidor
Syslog > Formato de log personalizado.
Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte CEF
Configuration Guide (en ingls).
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecer entre comillas dobles. Adems, si aparecen
comillas dobles dentro de un campo, se definirn como carcter de escape anteponindoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecer entre comillas dobles.
Informes y logs
207
208
Informes y logs
Informes y logs
User-ID
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin de Palo Alto
Networks que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:
Descripcin general de User-ID
Asignacin de usuarios a grupos
Asignacin de direcciones IP a usuarios
Habilitacin de poltica basada en usuarios y grupos
Verificacin de la configuracin de User-ID
User-ID
209
User-ID

User-ID integra sin problemas los cortafuegos de Palo Alto Networks con una gama de ofertas de servicios de
directorio y terminal empresariales, lo que le permite vincular polticas de seguridad y actividad de aplicaciones
a usuarios y grupos y no solo direcciones IP. Adems, con User-ID habilitado, el centro de comando de
aplicacin (ACC), Appscope, los informes y los logs incluyen nombres de usuarios adems de direcciones IP de
usuarios.
El cortafuegos de prxima generacin de Palo Alto Networks admite la supervisin de los siguientes servicios
empresariales:
Microsoft Active Directory
LDAP
eDirectory Novell
Citrix Metaframe Presentation Server o XenApp
Microsoft Terminal Services
Para poder crear polticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de asignacin de grupos conectndose directamente a su servidor de
directorio LDAP. Consulte Acerca de la asignacin de grupos para obtener ms informacin.
Para poder aplicar las polticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesin y/o sondear clientes, as como escuchar mensajes de
Syslog de servicios de autenticacin. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesin de portal cautivo. Puede personalizar los mecanismos que utiliza para la asignacin
de usuarios para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.
Consulte Acerca de la asignacin de usuarios para obtener ms informacin.
Acerca de la asignacin de grupos

Para definir las polticas de seguridad basndose en usuarios o grupos, el cortafuegos debe recuperar la lista de
grupos y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta funcin, debe
crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse al servidor y autenticarlo, as
como el modo de buscar en el directorio la informacin de usuarios y grupos. Tras conectarse al servidor LDAP
y configurar la funcin de asignacin de grupos para la identificacin de usuarios, podr seleccionar usuarios o
grupos al definir sus polticas de seguridad. El cortafuegos admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.
210
User-ID
User-ID
A continuacin podr definir polticas basndose en los miembros de grupos en lugar de en usuarios
individuales para una administracin simplificada. Por ejemplo, la siguiente poltica de seguridad permite el
acceso a aplicaciones internas especficas basndose en los miembros de grupos:
Acerca de la asignacin de usuarios

Contar con los nombres de los usuarios y grupos es nicamente una pieza del puzzle. El cortafuegos tambin
necesita saber qu direcciones IP asignar a qu usuarios de modo que las polticas de seguridad puedan aplicarse
correctamente. La Ilustracin: Asignacin de usuario muestra los diferentes mtodos que se utilizan para
identificar usuarios y grupos en su red y presenta el modo en que la asignacin de usuarios y la asignacin de
grupos trabajan en conjunto para habilitar la visibilidad y la aplicacin de la seguridad basada en usuarios y
grupos.
Para obtener informacin detallada sobre cmo configurar los diferentes mecanismos para la asignacin de
usuarios, consulte Asignacin de direcciones IP a usuarios.
User-ID
211
User-ID
Ilustracin: Asignacin de usuario

Joe
Sondeo
de clientes
eDirectory
Portal
cautivo
GlobalProtect
Controlador
de dominios
Agente de
servicios Aerohive AP
de terminal
Blue Coat
AUTENTICACIN DE USUARIOS
Juniper UAC
RECEPTOR DE SYSLOG
EVENTO DE AUTENTICACIN
Directorios
Servicios Servicios de
de terminal autenticacin
Dispositivos de Joe
11.11.11.11
12.12.12.12
API XML
Directorios
Funciones/grupos de Joe
Active Directory
LDAP
Administradores de TI
Empleados de la sede
INFORMAR Y APLICAR POLTICA
Los temas siguientes describen los diferentes mtodos de asignacin de usuarios:
Supervisin de servidor
Sondeo de cliente
Asignacin de puertos
Syslog
Portal cautivo
GlobalProtect
API XML de User-ID
Supervisin de servidor
Con la supervisin de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si est configurado) y conexiones de servicio
de impresin y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
212
User-ID
User-ID
debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Adems, dado que los usuarios
pueden iniciar sesin en cualquiera de los servidores del dominio, debe configurar la supervisin de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesin de usuarios.
Dado que la supervisin de servidor requiere muy pocos gastos y dado que la mayora de los usuarios por lo
general puede asignarse con este mtodo, se recomienda como el mtodo de asignacin de usuarios bsico para
la mayora de implementaciones de User-ID. Consulte Configuracin de la asignacin de usuarios mediante el
agente de User-ID de Windows o Configuracin de la asignacin de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener informacin detallada.
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows tambin
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotacin de direcciones IP, debido a que los cambios se
reflejarn en el cortafuegos ms rpido, permitiendo una aplicacin ms precisa de las polticas basadas en
usuarios. Sin embargo, si la correlacin entre direcciones IP y usuarios es bastante esttica, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de trfico de red
(basndose en el nmero total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debera estar
situado lo ms cerca posible de los clientes finales.
Si el sondeo est habilitado, el agente sondear peridicamente cada direccin IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Adems, cuando el cortafuegos se encuentre una direccin IP para la que no tenga una asignacin de usuarios,
enviar la direccin al agente para un sondeo inmediato.
Consulte Configuracin de la asignacin de usuarios mediante el agente de User-ID de Windows o
Configuracin de la asignacin de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener
informacin detallada.
Asignacin de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar informacin de asignacin de usuarios de eventos de inicio de
sesin y cierre de sesin a User-ID. Consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal para obtener informacin detallada sobre la configuracin.
User-ID
213
User-ID
Syslog
En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalmbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticacin de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualizacin de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticacin generados por el servicio externo,
as como que aada la informacin a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuracin de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener informacin detallada sobre la configuracin.
Ilustracin: Integracin de User-ID con Syslog
214
User-ID
User-ID
Portal cautivo
Si el cortafuegos o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web
(HTTP o HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de
manera transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de
autenticacin RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Consulte Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
GlobalProtect
En el caso de usuarios mviles o con itinerancia, el cliente GlobalProtect proporciona la informacin de
asignacin de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicacin ejecutndose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesin
para un acceso mediante VPN al cortafuegos. A continuacin, esta informacin de inicio de sesin se aade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicacin de polticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder
acceder a la red, la asignacin de direcciones IP a nombres de usuarios se conoce de manera explcita. Esta es
la mejor solucin en entornos confidenciales en los que deba estar seguro de quin es un usuario para permitirle
el acceso a una aplicacin o un servicio. Para obtener ms informacin sobre cmo configurar GlobalProtect,
consulte la Gua del administrador de GlobalProtect.
API XML de User-ID

Para otros tipos de acceso de usuario que no se puedan asignar utilizando ninguno de los mtodos de asignacin
de usuarios estndar o el portal cautivo (por ejemplo, para aadir asignaciones de usuarios que se conecten desde
una solucin de VPN externa o usuarios que se conecten a una red inalmbrica con 802.1x), puede utilizar la
API XML de User-ID para capturar eventos de inicio de sesin y enviarlos al agente de User-ID o directamente
al cortafuegos. Consulte Envo de asignaciones de usuarios a User-ID mediante la API XML para obtener
User-ID
215
User-ID

Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el cortafuegos
recupere informacin de asignacin de usuario a grupo:
Prcticas recomendadas para la asignacin de grupos en un entorno de Active Directory:
Si tiene un nico dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede aadir controladores de dominio
adicionales para la tolerancia a errores.
Si tiene varios dominios y/o varios bosques, deber crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catlogo global.
Paso 1
216
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una nueva
entrada de servidor LDAP y, a continuacin,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el nmero de Direccin IP y Puerto que
debera utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo, si ha
personalizado su esquema, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del rbol de LDAP donde desee que el
cortafuegos comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(por ejemplo, administrator@acme.local ) o puede ser un nombre de LDAP completo
(por ejemplo, cn=administrator,cn=users,dc=acme,dc=local ).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a travs de una conexin segura, seleccione la
casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
10. Haga clic en Aceptar para guardar el perfil.
User-ID
User-ID
Asignacin de usuarios a grupos (Continuacin)
Paso 2
Aada el perfil de servidor LDAP a la configuracin de asignacin de grupos de User-ID.

1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de asignacin de
grupo y haga clic en Aadir.
2. Seleccione el Perfil de servidor que cre en el

Paso 1.
3. Asegrese de que la casilla de verificacin
Habilitado est seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la poltica de seguridad,
seleccione la pestaa Lista de inclusin de
grupos y, a continuacin, examine el rbol de
LDAP para localizar los grupos que desea
poder utilizar en la poltica. En el caso de cada
grupo que desee incluir, seleccinelo en la lista
Grupos disponibles y haga clic en el icono de
adicin para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus polticas.
5. Haga clic en ACEPTAR para guardar la configuracin.
Paso 3
User-ID
217
User-ID

Las tareas que necesita realizar para asignar direcciones IP a nombres de usuarios dependen del tipo y la
ubicacin de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar
la asignacin de sus sistemas cliente:
Para asignar usuarios a medida que inicien sesin en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o ms servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuracin de la asignacin de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que est integrado con PAN-OS (Configuracin de la asignacin de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientacin sobre qu configuracin de agente es
adecuada para su red y el nmero y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en ingls).
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin del agente de servidor de terminal de Palo Alto
Networks para la asignacin de usuarios para obtener instrucciones sobre cmo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se est ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperacin de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.
Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalmbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la funcin de asignacin de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticacin de esos servicios. Consulte Configuracin de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.
En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
XML de User-ID para aadir asignaciones de usuarios directamente al cortafuegos. Consulte Envo de
asignaciones de usuarios a User-ID mediante la API XML.
Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad
segn el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener ms informacin, consulte
Configuracin de un cortafuegos para compartir datos de asignacin de usuarios con otros cortafuegos.
218
User-ID
User-ID
Configuracin de la asignacin de usuarios mediante el agente de User-ID

de Windows
En la mayora de los casos, la gran parte de los usuarios de su red tendrn inicios de sesin en sus servicios de
dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los servidores
en busca de eventos de inicio de sesin y cierre de sesin y realiza la asignacin de direcciones IP a usuarios. El
modo en que configure el agente de User-ID depender del tamao de su entorno y la ubicacin de sus
servidores de dominio. La prctica recomendada es que ubique sus agentes de User-ID cerca de sus servidores
supervisados (es decir, los servidores supervisados y el agente de User-ID de Windows no deberan estar
separados por un enlace WAN). Esto se debe a que la mayor parte del trfico para la asignacin de usuarios se
produce entre el agente y el servidor supervisado, y nicamente una pequea cantidad del trfico (la diferencia
de asignaciones de direcciones IP desde la ltima actualizacin) se produce desde el agente al cortafuegos.
Los siguientes temas describen cmo instalar y configurar el agente de User-ID y cmo configurar el
cortafuegos para que recupere informacin de asignacin de usuarios del agente:
Instalacin del agente de User-ID
Configuracin del agente de User-ID para la asignacin de usuarios
Instalacin del agente de User-ID

El siguiente procedimiento muestra cmo instalar el agente de User-ID en un servidor miembro en el dominio
y configurar la cuenta de servicio con los permisos obligatorios. Si est actualizando, el instalador eliminar
automticamente la versin anterior; no obstante, es conveniente hacer una copia de seguridad del archivo
config.xml antes de ejecutar el instalador.
Para obtener informacin sobre los requisitos del sistema para instalar el agente de User-ID
basado en Windows y para obtener informacin sobre las versiones admitidas del sistema
operativo del servidor, consulte Operating System (OS) Compatibility User-ID Agent (en ingls)
en las notas de versin de agente de User-ID, que estn disponibles en la pgina Actualizaciones
de software de Palo Alto Networks.
User-ID
219
User-ID
Instalacin del agente de User-ID de Windows
Paso 1
Nota
Decida dnde instalar los agentes de

User-ID.
Debe instalar el agente de User-ID en un sistema que ejecute una

de las siguientes versiones del sistema operativo (se admiten las
versiones de 32 bits y de 64 bits):
El agente de User-ID consulta los logs del

Microsoft Windows XP/Vista/7
controlador de dominio y el servidor
Exchange mediante llamadas a
Microsoft Windows Server 2003/2008
procedimiento remoto de Microsoft
Asegrese de que el sistema en el que tiene la intencin de instalar
(MSRPC), que requieren una
el agente de User-ID sea miembro del dominio al que pertenecen
transferencia completa de todo el log en
los servidores que supervisar.
cada consulta. Por lo tanto, siempre
debera instalar uno o ms agentes de
La prctica recomendada es instalar el agente de User-ID cerca de
User-ID en cada ubicacin que tenga
los servidores que supervisar (hay ms trfico entre el agente de
servidores que tengan que supervisarse.
User-ID y los servidores supervisados que entre el agente de
User-ID y el cortafuegos, de modo que ubicar el agente cerca de
Para obtener informacin ms detallada
los servidores supervisados optimiza el uso del ancho de banda).
sobre dnde instalar agentes de User-ID,
consulte Architecting User Identification Para garantizar la asignacin de usuarios ms completa, debe
(User-ID) Deployments (en ingls).
supervisar todos los servidores que contengan informacin de
inicio de sesin de usuarios. Puede que necesite instalar varios
agentes de User-ID para supervisar eficazmente todos sus
recursos.
Paso 2
Descargue el instalador de agente de

User-ID.
1.
La prctica recomendada es instalar la

misma versin del agente de User-ID que 2.
la versin de PAN-OS que se est
ejecutando en los cortafuegos.
3.
4.
Paso 3
Ejecute el instalador como administrador. 1.
2.
Vaya a https://support.paloaltonetworks.com y haga clic en

Inicio de sesin para iniciar sesin en la asistencia tcnica de
Palo Alto Networks.
Seleccione Actualizaciones de software en la seccin
Gestionar dispositivos.
Desplcese hasta la seccin Agente de identificacin de usuarios
de la pantalla y haga clic en Descargar para descargar la versin
del agente de User-ID que quiera instalar.
Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas
donde tenga la intencin de instalar el agente.
Para iniciar una lnea de comandos como administrador, haga
clic en Iniciar, haga clic con el botn derecho en Lnea de
comandos y, a continuacin, seleccione Ejecutar como
administrador.
Desde la lnea de comandos, ejecute el archivo .msi que ha
descargado. Por ejemplo, si guard el archivo .msi en el
escritorio, debera introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
220
3.
Siga los mensajes de configuracin para instalar el agente con los

ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\User-ID Agent , pero puede hacer clic en Examinar
para seleccionar una ubicacin diferente.
4.
Cuando finalice la instalacin, haga clic en Cerrar para cerrar la

ventana de configuracin.
User-ID
User-ID
Instalacin del agente de User-ID de Windows (Continuacin)
Paso 4
Inicie la aplicacin del agente de User-ID. 1.
Paso 5
(Opcional) Cambie la cuenta de servicio

que utiliza el agente de User-ID para
iniciar sesin.
User-ID
Haga clic en Iniciar y seleccione Agente de User-ID.
De manera predeterminada, el agente utiliza la cuenta de

administrador utilizada para instalar el archivo .msi. Sin embargo,
puede que quiera cambiarla por una cuenta restringida de la manera
siguiente:
1. Seleccione Identificacin de usuarios > Configuracin y haga
clic en Editar.
2.
Seleccione la pestaa Autenticacin e introduzca el nombre de

cuenta de servicio que quiera que utilice el agente de User-ID en
el campo Nombre de usuario para Active Directory.
3.
Introduzca la Contrasea para la cuenta especificada.
221
User-ID
Instalacin del agente de User-ID de Windows (Continuacin)
Paso 6
(Opcional) Asigne permisos de cuenta a la 1.

carpeta de instalacin.
Otorgue permisos a la cuenta de servicio para la carpeta de

instalacin:
Solamente necesita realizar este paso si la

cuenta de servicio que configur para el
agente de User-ID no es miembro del
grupo de administradores para el dominio
o miembro de los grupos Operadores de
servidor y Lectores de log de evento.
a. Desde el Explorador de Windows, desplcese hasta

C:\Program Files\Palo Alto Networks, haga clic con el
botn derecho en la carpeta y seleccione Propiedades.
b. En la pestaa Seguridad, haga clic en Aadir para aadir la
cuenta de servicio del agente de User-ID y asignarle permisos
para Modificar, Leer y ejecutar, Enumerar contenido de
carpeta y Leer; a continuacin, haga clic en ACEPTAR para
guardar la configuracin de la cuenta.
2.
Otorgue permisos a la cuenta de servicio para el subrbol de

registro del agente de User-ID:
a. Ejecute regedit32 y desplcese hasta el subrbol de Palo
Alto Networks en una de las siguientes ubicaciones:
Sistemas de 32 bits: HKEY_LOCAL_MACHINE\Software\
Palo Alto Networks
Sistemas de 64 bits: HKEY_LOCAL_MACHINE\Software\

WOW6432Node\Palo Alto Networks
b. Haga clic con el botn derecho en el nodo de Palo Alto

Networks y seleccione Permisos.
c. Asigne a la cuenta de servicio de User-ID Control completo
y, a continuacin, haga clic en ACEPTAR para guardar el
ajuste.
3.
En el controlador de dominio, aada la cuenta de servicio a los

grupos integrados para habilitar privilegios para leer los eventos
de logs de seguridad (grupo Lectores de log de evento) y abrir
sesiones (grupo Operadores de servidor):
a. Ejecute MMC e inicie el complemento de usuarios y equipos
de Active Directory.
b. Desplcese hasta la carpeta Builtin del dominio y, a
continuacin, haga clic con el botn derecho en cada grupo
que necesite editar (Lectores de log de evento y Operadores
de servidor) y seleccione Aadir al grupo para abrir el cuadro
de dilogo de propiedades.
c. Haga clic en Aadir e introduzca el nombre de la cuenta de
servicio que configur para ser utilizada por el servicio de
User-ID y, a continuacin, haga clic en Comprobar nombres
para validar que tiene el nombre de objeto adecuado.
d. Haga clic en ACEPTAR dos veces para guardar la
configuracin.
222
User-ID
User-ID
Configuracin del agente de User-ID para la asignacin de usuarios

El agente de User-ID de Palo Alto Networks es un servicio de Windows que se conecta con servidores de su
red (por ejemplo, servidores Active Directory, Microsoft Exchange y Novell eDirectory) y supervisa los logs en
busca de eventos de inicio de sesin y cierre de sesin. El agente utiliza esta informacin para asignar direcciones
IP a nombres de usuarios. Los cortafuegos de Palo Alto Networks se conectan con el agente de User-ID para
recuperar esta informacin de asignacin de usuarios, habilitando la visibilidad de la actividad de los usuarios
por nombre de usuario en lugar de por direccin IP. Esto tambin habilita la aplicacin de la seguridad basada
en usuarios y grupos.
Para obtener informacin sobre las versiones del sistema operativo del servidor admitidas por el
agente de User-ID, consulte Operating System (OS) Compatibility User-ID Agent (en ingls) en
las notas de versin de agente de User-ID, que estn disponibles en la pgina Actualizaciones
de software de Palo Alto Networks.
Asignacin de direcciones IP a usuarios mediante el agente de User-ID
Paso 1
User-ID
223
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID (Continuacin)
Paso 2
Defina los servidores que debera

supervisar el agente de User-ID para
recopilar informacin de asignacin de
direcciones IP a usuarios.
1.
Seleccione Identificacin de usuarios > Descubrimiento.
2.
En la seccin Servidores de la pantalla, haga clic en Aadir.
3.
Introduzca un Nombre y una Direccin de servidor para el

servidor que vaya a supervisarse. La direccin de red puede ser
un FQDN o una direccin IP.
El agente de User-ID puede supervisar

hasta 100 servidores y escuchar mensajes 4.
de Syslog de hasta 100 emisores de Syslog.
Recuerde que para recopilar todas las
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para
supervisar los archivos de log de
seguridad en todos los servidores que
contengan eventos de inicio de sesin.
5.
(Opcional) Para permitir que el cortafuegos detecte

automticamente controladores de dominio en su red mediante
bsquedas de DNS, haga clic en Descubrir automticamente.
Nota
6.
224
Seleccione el Tipo de servidor (Microsoft Active Directory,

Microsoft Exchange, Novell eDirectory, o Emisor de syslog) y,
a continuacin, haga clic en ACEPTAR para guardar la entrada
del servidor. Repita este paso para este servidor que vaya a
supervisarse.
La deteccin automtica nicamente localiza los

controladores de dominio del dominio local; deber aadir
manualmente los servidores Exchange, los servidores
eDirectory y los emisores de Syslog.
(Opcional) Para ajustar la frecuencia con la que el cortafuegos

sondea los servidores configurados en busca de informacin de
asignacin, seleccione Identificacin de usuarios >
Configuracin y haga clic en Editar para editar la seccin
Configuracin. En la pestaa Supervisin de servidor,
modifique el valor del campo Frecuencia de supervisin de log
de servidor (segundos). La prctica recomendada es que
debera aumentar el valor de este campo a 5 segundos en
entornos con controladores de dominio de mayor antigedad o
enlaces de alta latencia. Haga clic en ACEPTAR para guardar los
cambios.
User-ID
User-ID
Paso 3
1.
(Opcional) Si ha configurado el agente
para que se conecte a un servidor Novell
eDirectory, debe especificar el modo en 2.
que el agente debera buscar el directorio.
Seleccione Identificacin de usuarios > Configuracin y haga

clic en Editar en la seccin Configuracin de la ventana.
Seleccione la pestaa eDirectory y, a continuacin,
cumplimente los campos siguientes:
Base de bsqueda: Punto de partida o contexto raz para las
consultas del agente, por ejemplo: dc=domain1,
dc=example, dc=com .
Enlazar nombre distintivo: Cuenta que debe utilizarse para
enlazarla con el directorio, por ejemplo: cn=admin, ou=IT,
dc=domain1, dc=example, dc=com .
Enlazar contrasea: Contrasea de la cuenta de enlace. El
agente guardar la contrasea cifrada en el archivo de
configuracin.
Filtro de bsqueda: Consulta de bsqueda para entradas de
usuarios (el valor predeterminado es objectClass=Person ).
Prefijo del dominio de servidor: Prefijo que identifica de
manera exclusiva al usuario. Esto solamente es obligatorio si
hay espacios de nombres solapados, como diferentes
usuarios con el mismo nombre de dos directorios diferentes.
Utilizar SSL: Seleccione la casilla de verificacin para utilizar
SSL para el enlace de eDirectory.
Comprobar certificado de servidor: Seleccione la casilla de
verificacin para comprobar el certificado de servidor de
eDirectory al utilizar SSL.
Paso 4
(Opcional) Habilite el sondeo de clientes. 1.
En la pestaa Sondeo de clientes, seleccione la casilla de

verificacin Habilitar sondeo de WMI y/o la casilla de
verificacin Habilitar sondeo de NetBIOS.
El sondeo de clientes es de utilidad en

entornos en los que las direcciones IP no
estn estrechamente ligadas a los usuarios, 2. Asegrese de que el cortafuegos de Windows permitir el
sondeo de clientes aadiendo una excepcin de administracin
porque garantiza que las direcciones
remota al cortafuegos de Windows para cada cliente sondeado.
asignadas anteriormente siguen siendo
vlidas. Sin embargo, a medida que
Nota Para que el sondeo de NetBIOS funcione de forma
aumenta el nmero total de direcciones IP
efectiva, cada PC cliente sondeado debe proporcionar un
obtenidas, tambin lo hace la cantidad de
puerto 139 en el cortafuegos de Windows y debe tener los
trfico generado. La prctica
servicios de uso compartido de archivos e impresoras
recomendada es habilitar el sondeo
activados. El sondeo de WMI siempre es preferible antes
nicamente en segmentos de red en los
que el sondeo de NetBIOS cuando sea posible.
que la rotacin de direcciones IP sea
elevada.
Para obtener informacin ms detallada
sobre la colocacin de agentes de User-ID
mediante el sondeo de clientes, consulte
Architecting User Identification
(User-ID) Deployments (en ingls).
User-ID
225
User-ID
Paso 5
Haga clic en ACEPTAR para guardar los ajustes de configuracin del

agente de User-ID y, a continuacin, haga clic en Confirmar para
reiniciar el agente de User-ID y cargar los nuevos ajustes.
Paso 6
(Opcional) Defina el conjunto de usuarios

para los que no necesite proporcionar
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.
Cree un archivo ignore_user_list.txt y gurdelo en la carpeta

User-ID Agent del servidor de dominio donde el agente est
instalado.
Nota
Enumere las cuentas de usuario que deben ignorarse; no hay ningn

lmite en el nmero de cuentas que puede aadir a la lista. Separe las
entradas con un espacio. Por ejemplo:
Tambin puede utilizar la lista

para identificar a usuarios SPAdmin SPInstall TFSReport
que desee obligar a autenticar mediante
un portal cautivo.
ignore-user
Paso 7
226
Configure los cortafuegos para

conectarlos al agente de User-ID.
Realice los siguientes pasos en cada cortafuegos que quiera conectar

al agente de User-ID para recibir asignaciones de usuarios:
1. Seleccione Dispositivo > Identificacin de usuarios > Agentes
de User-ID y haga clic en Aadir.
2.
Introduzca un Nombre para el agente de User-ID.
3.
Introduzca la direccin IP del Host de Windows en el que est

instalado el agente de User-ID.
4.
Introduzca el nmero de Puerto en el que el agente escuchar

solicitudes de asignacin de usuarios. Este valor debe coincidir
con el valor configurado en el agente de User-ID. De manera
predeterminada, el puerto se establece como 5007 en el
cortafuegos y en versiones ms recientes del agente de User-ID.
Sin embargo, algunas versiones anteriores del agente de User-ID
utilizan el puerto 2010 como valor predeterminado.
5.
Asegrese de que la configuracin est Habilitada y, a

continuacin, haga clic en ACEPTAR.
6.
7.
Verifique que el estado Conectado aparece como

conectado.
User-ID
User-ID
Paso 8
Verifique que el agente de User-ID est 1.

asignando correctamente direcciones IP a
nombres de usuarios y que los
2.
cortafuegos pueden conectarse con el
agente.
Inicie el agente de User-ID y seleccione Identificacin de

usuarios.
Verifique que el estado del agente muestra El agente se est
ejecutando. Si el agente no se est ejecutando, haga clic en
Iniciar.
3.
Para verificar que el agente de User-ID se puede conectar con

servidores supervisados, asegrese de que el estado de cada
servidor sea Conectado.
4.
Para verificar que los cortafuegos se pueden conectar con el

agente de User-ID, asegrese de que el estado de cada
dispositivo conectado sea Conectado.
5.
Para verificar que el agente de User-ID est asignando

direcciones IP a nombres de usuarios, seleccione Supervisando
y asegrese de que la tabla de asignaciones se cumplimenta.
Tambin puede seleccionar Bsqueda para buscar usuarios
especficos o Eliminar para borrar asignaciones de usuarios de
la lista.
Configuracin de la asignacin de usuarios mediante el agente de User-ID

integrado en PAN-OS
El siguiente procedimiento muestra cmo configurar el agente integrado en PAN-OS en el cortafuegos para la
asignacin de usuarios. El agente de User-ID integrado realiza las mismas tareas que el agente basado en
Windows a excepcin del sondeo de clientes de NetBIOS (se admite el sondeo de WMI).
User-ID
227
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado
Paso 1
Servidores de dominio Windows 2008 o posteriores: Aada la

Cree una cuenta de Active Directory
cuenta al grupo Lectores de log de evento. Si est utilizando el
(AD) para el agente del cortafuegos que
agente de User-ID incluido en el dispositivo, la cuenta tambin
tenga los niveles de privilegios necesarios
debe ser miembro del grupo Usuarios COM distribuidos.
para iniciar sesin en cada servicio o host
que tenga la intencin de supervisar para
Servidores de dominio Windows 2003: Asigne permisos
recopilar datos de asignacin de usuarios.
Gestionar logs de seguridad y auditora a travs de polticas de
grupo.
Sondeo de WMI: Asegrese de que la cuenta tiene los derechos
necesarios para leer el espacio de nombres CIMV2; de manera
predeterminada, las cuentas de administrador de dominio y
operador de servidor tienen este permiso.
Autenticacin de NTLM: Como el cortafuegos debe unirse al
dominio si est utilizando la autenticacin de NTLM con un agente
de User-ID incluido en el dispositivo, la cuenta de Windows que
cree para el acceso a NTLM deber tener privilegios
administrativos. Tenga en cuenta que, debido a las restricciones de
AD sobre los sistemas virtuales que se ejecutan en el mismo host,
si ha configurado varios sistemas virtuales, nicamente vsys1 podr
unirse al dominio.
228
User-ID
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuacin)
Paso 2
1.
Defina los servidores que debera
supervisar el cortafuegos para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
4.
Recuerde que para recopilar todas las
5.
asignaciones necesarias, deber
conectarse a todos los servidores en los
que sus usuarios inician sesin para que el 6.
cortafuegos pueda supervisar los archivos
de log de seguridad en todos los
servidores que contengan eventos de
inicio de sesin.
Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario.
En la seccin Supervisor del servidor de la pantalla, haga clic en
Aadir.
Introduzca un Nombre y una Direccin de red para el servidor.
La direccin de red puede ser un FQDN o una direccin IP.
Seleccione el Tipo de servidor.
Asegrese de que la casilla de verificacin Habilitado est
seleccionada y, a continuacin, haga clic en ACEPTAR.
(Opcional) Para permitir que el cortafuegos detecte
automticamente controladores de dominio en su red mediante
bsquedas de DNS, haga clic en Descubrir.
Nota
7.
Paso 3
User-ID
Establezca las credenciales de dominio de 1.

la cuenta que utilizar el cortafuegos para
acceder a recursos de Windows. Esto es 2.
necesario para supervisar servidores
Exchange y controladores de dominio, as
como para el sondeo de WMI.
La funcin de deteccin automtica es nicamente para

controladores de dominio; deber aadir manualmente los
servidores Exchange o eDirectory que desee supervisar.
(Opcional) Para ajustar la frecuencia con la que el cortafuegos

sondea servidores configurados para obtener informacin de
asignacin, en la seccin Configuracin del agente de User-ID
de Palo Alto Networks de la pantalla, haga clic en el icono
Editar
y, a continuacin, seleccione la pestaa Supervisor
del servidor. Modifique el valor del campo Frecuencia del
supervisor de log del servidor (seg.). La prctica
recomendada es que debera aumentar el valor de este campo a
5 segundos en entornos con DC de mayor antigedad o enlaces
de alta latencia. Haga clic en ACEPTAR para guardar los cambios.
Haga clic en el icono Editar
de la seccin Configuracin del

agente de User-ID de Palo Alto Networks de la pantalla.
En la pestaa Autenticacin de WMI, introduzca el Nombre de

usuario y la Contrasea de la cuenta que se utilizar para
sondear los clientes y supervisar los servidores. Introduzca el
nombre de usuario mediante la sintaxis de dominio/nombre de
usuario.
229
User-ID
Asignacin de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuacin)
Paso 4
(Opcional) Habilite el sondeo de WMI.
Nota
El agente incluido en el dispositivo no

admite el sondeo de NetBIOS;
nicamente se admite en el agente de
User-ID basado en Windows.
Paso 5
Paso 6
Nota
1.
En la pestaa Sondeo de clientes, seleccione la casilla de

verificacin Habilitar pruebas.
2.
(Opcional) Si es necesario, modifique el valor de Intervalo de

sondeo para garantizar que sea lo suficientemente largo para
que se sondeen todas las direcciones IP obtenidas.
3.
Asegrese de que el cortafuegos de Windows permitir el

sondeo de cliente aadiendo una excepcin de administracin
remota al cortafuegos de Windows para cada cliente sondeado.
1.
Haga clic en Aceptar para guardar los ajustes de configuracin

de agente de User-ID.
2.
Haga clic en Confirmar para guardar la configuracin.
(Opcional) Defina el conjunto de usuarios 1.

para los que no necesite proporcionar
2.
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.
set user-id-collector ignore-user <value>
Tambin puede utilizar la lista

ignore-user para identificar a usuarios
que desee obligar a autenticar mediante
un portal cautivo.
donde <value> es una lista de las cuentas de usuario que hay que
ignorar; no hay ningn lmite en el nmero de cuentas que puede
aadir a la lista. Separe las entradas con un espacio y no incluya
el nombre de dominio con el nombre de usuario. Por ejemplo:
Abra una sesin de CLI al cortafuegos.

Para aadir la lista de cuentas de usuario para las que no desea
que el cortafuegos realice la asignacin, ejecute el comando
siguiente:
setuser-id-collectorignore-userSPAdminSPInstall
TFSReport
3.
Paso 7
Verifique la configuracin.
1.
Desde la CLI, introduzca el siguiente comando:

show user server-monitor state all
2.
En la pestaa Dispositivo > Identificacin de usuarios >

Asignacin de usuario de la interfaz web, verifique que el
Estado de cada servidor que ha configurado para la supervisin
de servidor est Conectado.
Configuracin de User-ID para recibir asignaciones de usuarios desde un

emisor de Syslog
Los siguientes temas describen cmo configurar el agente de User-ID (ya sea el agente de Windows o el agente
integrado en el cortafuegos) como receptor de Syslog:
Configuracin del agente de User-ID integrado como receptor de Syslog
Configuracin del agente de User-ID de Windows como receptor de Syslog
230
User-ID
User-ID
Configuracin del agente de User-ID integrado como receptor de Syslog

El siguiente flujo de trabajo describe cmo configurar el agente de User-ID integrado en PAN-OS para recibir
mensajes de Syslog de servicios de autenticacin.
El agente de User-ID integrado en PAN-OS acepta Syslogs nicamente a travs de SSL y UDP.
Recopilacin de asignaciones de usuarios de emisores de Syslog
Paso 1
Nota
User-ID
Determine si hay un filtro de Syslog

predefinido para sus emisores de Syslog
en concreto.
1.
Verifique que su base de datos de aplicaciones o aplicaciones y

amenazas est actualizada:
a. Seleccione Dispositivo > Actualizaciones dinmicas.
Palo Alto Networks proporciona varios

filtros de Syslog predefinidos, que se
distribuyen como actualizaciones de
contenido de aplicacin y, por lo tanto, se
actualizan dinmicamente como filtros
nuevos. Los filtros predefinidos son
generales para el cortafuegos, mientras
2.
que los filtros manuales solo se aplican a
un sistema virtual.
b. Haga clic en Comprobar ahora (ubicado en la esquina

inferior izquierda de la ventana) para comprobar las
actualizaciones ms recientes.
Los filtros de Syslog nuevos de una

actualizacin de contenido en particular
se documentarn en la nota de versin
correspondiente junto con la regex
especfica utilizada para definir el filtro.
b. En la seccin Supervisor del servidor de la pantalla, haga clic

en Aadir.
c. Si hay una nueva actualizacin disponible, haga clic en

Descargar e Instalar para descargarla e instalarla.
Compruebe qu filtros predefinidos estn disponibles:
a. Seleccione Dispositivo > Identificacin de usuarios >
c. Seleccione Emisor de syslog como el Tipo de servidor.

d. Seleccione el men desplegable Filtro y compruebe si hay un
filtro para el fabricante y el producto desde los que tiene la
intencin de reenviar Syslogs. Si el filtro que necesita est
disponible, vaya al Paso 5 para obtener instrucciones sobre
cmo definir los servidores. Si el filtro que necesita no est
disponible, vaya al Paso 2.
231
User-ID
Recopilacin de asignaciones de usuarios de emisores de Syslog (Continuacin)
Paso 2
Defina manualmente los filtros de Syslog 1.

para extraer la informacin de asignacin
de direcciones IP a nombres de usuario de
User-ID desde mensajes de Syslog.
Revise los Syslogs generados por el servicio de autenticacin

para identificar la sintaxis de los eventos de inicio de sesin.
Esto le permite crear los patrones de coincidencias que
permitirn que el cortafuegos identifique y extraiga los eventos
de autenticacin de los Syslogs.
Para que el agente de User-ID los analice,

los mensajes de Syslog deben cumplir los Nota
siguientes criterios:
Cada mensaje de Syslog debe ser una
cadena de texto de una sola lnea. Los
saltos de lnea estn delimitados por un
retorno de carro y una nueva lnea
(\r\n ) o por una nueva lnea (\n ).
El tamao mximo permitido de un
mensaje de Syslog individual es de
2.048 bytes.
Los mensajes de Syslog enviados a
travs de UDP deben estar incluidos en
un nico paquete; los mensajes
enviados a travs de SSL pueden
repartirse entre varios paquetes.
Un nico paquete puede contener
varios mensajes de Syslog.
2.
Mientras revisa los Syslogs, determine tambin si el nombre

de dominio se incluye en las entradas de log. Si los logs de
autenticacin no contienen informacin de dominio,
considere la opcin de definir un nombre de dominio
personalizado cuando aada el emisor de Syslog a la lista de
servidores supervisados en el Paso 5.

Asignacin de usuario y edite la seccin Configuracin del
agente de User-ID de Palo Alto Networks.
3.
En la pestaa Filtrados de Syslog, haga clic en Aadir para

aadir un nuevo perfil de anlisis de Syslog.
4.
Introduzca un nombre para el Perfil de anlisis de Syslog.
5.
Especifique el Tipo de anlisis que debe utilizarse para filtrar y

descartar la informacin de asignacin de usuarios
seleccionando una de las opciones siguientes:
Identificador Regex: Con este tipo de anlisis puede
especificar expresiones regulares para describir patrones de
bsqueda e identificar y extraer informacin de asignacin de
usuario de los mensajes de Syslog. Vaya al Paso 3 para
obtener instrucciones sobre cmo crear los identificadores
regex.
Identificador de campo: Con este tipo de anlisis, se
especifica una cadena para que coincida con el evento de
autenticacin y cadenas de prefijo y sufijo para identificar la
informacin de asignacin de usuarios en los Syslogs. Vaya al
Paso 4 para obtener instrucciones sobre cmo crear los
identificadores de campo.
232
User-ID
User-ID
Paso 3
Si seleccion Identificador Regex como 1.

el Tipo de anlisis, cree los patrones de
coincidencias de regex para identificar los
eventos de autenticacin y extraer la
informacin de asignacin de usuarios.
El ejemplo siguiente muestra una
configuracin de regex para mensajes de
Syslog coincidentes con el siguiente
formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator

authentication success User:johndoe1
Source:192.168.3.212
2.
Especifique cmo hacer coincidir eventos de autenticacin

correctos en los Syslogs introduciendo un patrn de
coincidencias en el campo Regex de eventos. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
invertida antes del espacio es un carcter regex de "escape"
estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1} .
Introduzca la regex para identificar el principio del nombre de
usuario en los mensajes de autenticaciones realizadas con xito
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe1 en el mensaje de ejemplo y extraera
acme\johndoe1 como User-ID.
Nota
Nota
Si el Syslog contiene un espacio y/o una

tabulacin independiente como
3.
delimitador, debe utilizar \s (para un
espacio) y/o \t (para una tabulacin) con
el fin de que el agente analice el Syslog.
4.
User-ID
Si los Syslogs no contienen informacin de dominio y

requiere nombres de dominio en sus asignaciones de
usuarios, asegrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.
Introduzca la regex para identificar la parte de la direccin IP de

los mensajes de autenticacin correcta en el campo Regex de
direccin. Por ejemplo, la expresin regular Source:([0-9]
coincidira
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})
con una direccin IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
233
User-ID
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.

coincidencias en el campo Cadena de eventos. Por ejemplo,
cuando coincidan con el mensaje de Syslog de muestra, debera
introducir la cadena authentication success para identificar
eventos de autenticacin en el Syslog.
2.
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:
Introduzca la cadena de coincidencia para identificar el principio

del campo del nombre de usuario en el mensaje de Syslog de
autenticacin en el campo Prefijo de nombre de usuario. Por
ejemplo, la cadena User: identifica el principio del campo del
nombre de usuario en el Syslog de muestra.

Source:192.168.3.212
Nota
3.
Introduzca el Delimitador de nombre de usuario para marcar

el final del campo del nombre de usuario en un mensaje de
Syslog de autenticacin. Por ejemplo, si el nombre de usuario
est seguido de un espacio, debera introducir \s para indicar
que el campo del nombre de usuario est delimitado por un
espacio independiente en el log de muestra.
4.

del campo de la direccin IP en el log de eventos de
autenticacin en el campo Prefijo de direccin. Por ejemplo, la
cadena Source: identifica el principio del campo de la direccin
en el log de ejemplo.

5.
6.
Paso 5
Nota
234
Introduzca el Delimitador de direccin para marcar el final del

campo de la direccin IP en el mensaje de autenticacin correcta
en el campo. Por ejemplo, si la direccin est seguida de un salto
de lnea, debera introducir \n para indicar que el campo de la
direccin est delimitado por una nueva lnea.
Defina los servidores que enviarn

1.
mensajes de Syslog al cortafuegos para la
asignacin de usuarios.
2.

Puede definir hasta 50 emisores de Syslog

por sistema virtual y hasta un total de 100
servidores supervisados, incluidos
emisores de Syslog o servidores Microsoft
Active Directory, Microsoft Exchange o
Novell eDirectory. El cortafuegos
descartar los mensajes de Syslog
recibidos de servidores que no estn en
esta lista.
Aadir.
En la seccin Supervisor del servidor de la pantalla, haga clic en
3.
Introduzca un Nombre y una Direccin de red para el servidor.
4.
Seleccione Emisor de syslog como el Tipo de servidor.
5.
Asegrese de que la casilla de verificacin Habilitado est

seleccionada.
6.
(Opcional) Si los Syslogs que enva el dispositivo de

autenticacin no incluyen informacin de dominio en los logs
de eventos de inicio de sesin, introduzca el Nombre de
dominio predeterminado que deber adjuntarse a las
asignaciones de usuarios.
Un emisor de Syslog que utilice SSL para

conectarse solamente mostrar el Estado
7.
Conectado cuando haya una conexin
SSL activa. Los emisores de Syslog que
utilicen UDP no mostrarn ningn valor
para Estado.
User-ID
User-ID
Paso 6
Habilite servicios de receptor de Syslog

en el perfil de gestin asociado a la
interfaz utilizada para la asignacin de
usuarios.
1.

2.
Seleccione SSL de escucha de Syslog de User-ID y/o UDP de

escucha de Syslog de User-ID, dependiendo de los protocolos
que defini cuando configur sus emisores de Syslog en la lista
Supervisin de servidor.
Nota
3.

interfaz.
Nota
Paso 7
User-ID
En el agente de User-ID de Windows, el puerto de escucha

predeterminado para Syslog a travs de UDP o TCP es 514,
pero el valor del puerto puede configurarse. Para la funcin
Asignacin de usuario sin agente en el cortafuegos,
solamente se admiten Syslogs a travs de UDP y SSL y los
puertos de escucha (514 para UDP y 6514 para SSL) no
pueden configurarse; se habilitan nicamente a travs del
servicio de gestin.
Incluso despus de habilitar el servicio de receptor de

Syslog de User-ID en la interfaz, esta solamente aceptar
conexiones con Syslog desde servidores que tengan una
entrada correspondiente en la configuracin de los
servidores supervisados de User-ID. Las conexiones o los
mensajes de servidores que no estn en la lista se
descartarn.
235
User-ID
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Para ver cuntas asignaciones de usuarios se detectaron a travs de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick

2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
Configuracin del agente de User-ID de Windows como receptor de Syslog

El siguiente flujo de trabajo describe cmo configurar un agente de User-ID basado en Windows para escuchar
Syslogs de servicios de autenticacin.
El agente de User-ID de Windows acepta Syslogs nicamente a travs de TCP y UDP.
236
User-ID
User-ID
Configuracin del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog
Paso 1
Paso 2
Defina manualmente los filtros de Syslog 1.

para extraer la informacin de asignacin
de direcciones IP a nombres de usuario de
User-ID desde mensajes de Syslog.
Revise los Syslogs generados por el servicio de autenticacin

para identificar la sintaxis de los eventos de inicio de sesin.
Esto le permite crear los patrones de coincidencias que
permitirn que el cortafuegos identifique y extraiga los eventos
de autenticacin de los Syslogs.
Para que el agente de User-ID los analice,

los mensajes de Syslog deben cumplir los Nota
siguientes criterios:
Cada mensaje de Syslog debe ser una
cadena de texto de una sola lnea. Los
saltos de lnea estn delimitados por un
retorno de carro y una nueva lnea
(\r\n ) o por una nueva lnea (\n ).
El tamao mximo permitido de un
mensaje de Syslog individual es de
2.048 bytes.
Los mensajes de Syslog enviados a
travs de UDP deben estar incluidos en
un nico paquete; los mensajes
enviados a travs de SSL pueden
repartirse entre varios paquetes.
Un nico paquete puede contener
varios mensajes de Syslog.
Mientras revisa los Syslogs, determine tambin si el nombre

de dominio se incluye en las entradas de log. Si los logs de
autenticacin no contienen informacin de dominio,
considere la opcin de definir un nombre de dominio
personalizado cuando aada el emisor de Syslog a la lista de
servidores supervisados en el Paso 5.
2.
Seleccione Identificacin de usuarios > Configuracin y haga

clic en Editar en la seccin Configuracin del cuadro de dilogo.
3.
En la pestaa Syslog, haga clic en Aadir para aadir un nuevo

perfil de anlisis de Syslog.
4.
Introduzca un Nombre de perfil y una Descripcin.
5.
Especifique el Tipo de anlisis que debe utilizarse para filtrar y

descartar la informacin de asignacin de usuarios
seleccionando una de las opciones siguientes:
Regex: Con este tipo de anlisis puede especificar
expresiones regulares para describir patrones de bsqueda e
identificar y extraer informacin de asignacin de usuarios de
los mensajes de Syslog. Vaya al Paso 3 para obtener
instrucciones sobre cmo crear los identificadores regex.
Campo: Con este tipo de anlisis, se especifica una cadena
para que coincida con el evento de autenticacin y cadenas de
prefijo y sufijo para identificar la informacin de asignacin
de usuarios en los Syslogs. Vaya al Paso 4 para obtener
instrucciones sobre cmo crear los identificadores de campo.
User-ID
237
User-ID
Syslog (Continuacin)
Paso 3
1.
Si seleccion Regex como el Tipo de
anlisis, cree los patrones de coincidencias
de regex para identificar los eventos de
autenticacin y extraer la informacin de
asignacin de usuarios.
configuracin de Regex para mensajes de
Syslog coincidentes con el siguiente
formato:

Source:192.168.3.212
2.

coincidencias en el campo Regex de eventos. Por ejemplo,
cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
invertida antes del espacio es un carcter regex de "escape"
estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1} .
Introduzca la regex para identificar el principio del nombre de
usuario en los mensajes de autenticaciones realizadas con xito
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidira con la cadena
User:johndoe1 en el mensaje de ejemplo y extraera
acme\johndoe1 como User-ID.
Nota
Nota
238

Si los Syslogs no contienen informacin de dominio y

requiere nombres de dominio en sus asignaciones de
usuarios, asegrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.
3.
Introduzca la regex para identificar la parte de la direccin IP de

los mensajes de autenticacin correcta en el campo Regex de
direccin. Por ejemplo, la expresin regular Source:([0-9]
coincidira
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})
con una direccin IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
4.
User-ID
User-ID
Paso 4
1.
Si seleccion Identificador de campo
como el Tipo de anlisis, defina los
patrones de coincidencias de cadenas para
identificar los eventos de autenticacin y
extraer la informacin de asignacin de
usuarios.

coincidencias en el campo Cadena de eventos. Por ejemplo,
cuando coincidan con el mensaje de Syslog de muestra, debera
introducir la cadena authentication success para identificar
eventos de autenticacin en el Syslog.
2.
configuracin de identificador de campo
para mensajes de Syslog coincidentes con
el siguiente formato:

del campo del nombre de usuario en el mensaje de Syslog de
autenticacin en el campo Prefijo de nombre de usuario. Por
ejemplo, la cadena User: identifica el principio del campo del
nombre de usuario en el Syslog de muestra.

Source:192.168.3.212
Nota
Paso 5
3.
Introduzca el Delimitador de nombre de usuario para marcar

el final del campo del nombre de usuario en un mensaje de
Syslog de autenticacin. Por ejemplo, si el nombre de usuario
est seguido de un espacio, debera introducir \s para indicar
que el campo del nombre de usuario est delimitado por un
espacio independiente en el log de muestra.
4.

del campo de la direccin IP en el log de eventos de
autenticacin en el campo Prefijo de direccin. Por ejemplo, la
cadena Source: identifica el principio del campo de la direccin
en el log de ejemplo.
Si el Syslog contiene un espacio y/o una 5.

Introduzca el Delimitador de direccin para marcar el final del

campo de la direccin IP en el mensaje de autenticacin correcta
en el campo. Por ejemplo, si la direccin est seguida de un salto
de lnea, debera introducir \n para indicar que el campo de la
direccin est delimitado por una nueva lnea.
Habilite el servicio de escucha de Syslog

en el agente.
6.
1.
Seleccione la casilla de verificacin Habilitar servicio de Syslog.
2.
(Opcional) Modifique el nmero del Puerto del servicio de

Syslog para que coincida con el nmero del puerto utilizado por
3.
Para guardar la configuracin de Syslog de agente, haga clic en

ACEPTAR.
el emisor de Syslog (valor predeterminado = 514).
Paso 6
User-ID
1.
Defina los servidores que enviarn
mensajes de Syslog al agente de User-ID. 2.
Seleccione Identificacin de usuarios > Descubrimiento.
Puede definir hasta 100 emisores de

Syslog. El agente de User-ID descartar
los mensajes de Syslog recibidos de
servidores que no estn en esta lista.
3.
Introduzca un Nombre y una Direccin de servidor para el

servidor que vaya a enviar Syslogs al agente.
4.
Seleccione Emisor de syslog como el Tipo de servidor.
5.
Seleccione un Filtro que defini en el Paso 2.
6.
(Opcional) Si los Syslogs que enva el dispositivo de autenticacin no

incluyen informacin de dominio en los logs de eventos de inicio de
sesin, introduzca el Nombre de dominio predeterminado que
deber adjuntarse a las asignaciones de usuarios.
7.
En la seccin Servidores de la pantalla, haga clic en Aadir.
239
User-ID
Paso 7
Paso 8
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y, a continuacin, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Para ver cuntos mensajes de log entraron a travs de emisores de Syslog y cuntas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Para ver cuntas asignaciones de usuarios se detectaron a travs de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick

2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
vsys1
SYSLOG
acme\ccrisp
2476
vsys1
SYSLOG
acme\jjaso
2476
vsys1
SYSLOG
acme\jblevins
2480
vsys1
SYSLOG
acme\bmoss
2480
vsys1
SYSLOG
acme\esogard
2476
vsys1
SYSLOG
acme\acallaspo
2476
vsys1
SYSLOG
acme\jlowrie
2478
Total: 9 users
240
User-ID
User-ID
Asignacin de direcciones IP a nombres de usuario mediante un portal

cautivo
Si el cortafuegos recibe una solicitud de una zona que tiene habilitado identificacin de usuarios (User-ID) y la
direccin IP de origen no tiene datos de usuario asociados con la misma todava, comprobar su poltica de
portal cautivo en busca de una coincidencia para determinar si se realizar la autenticacin. Esto es de utilidad
en entornos donde tenga clientes que no hayan iniciado sesin en sus servidores de dominio, como clientes
Linux. Este mtodo de asignacin de usuarios nicamente se activa para el trfico web (HTTP o HTTPS) que
coincida con una poltica/regla de seguridad, pero que no se haya asignado utilizando un mtodo diferente.
Mtodos de autenticacin de portal cautivo

El portal cautivo utiliza los siguientes mtodos para obtener datos de usuario del cliente cuando una solicitud
coincide con una poltica de portal cautivo:
Mtodo de autenticacin
Descripcin
Autenticacin de NTLM
El cortafuegos utiliza un mecanismo de respuesta por desafo cifrado para obtener

las credenciales del usuario desde el explorador. Si se configura correctamente, el
explorador proporcionar las credenciales al cortafuegos de manera transparente
sin preguntar al usuario, pero mostrar un mensaje de solicitud de credenciales si es
necesario. Si el explorador no puede realizar la autenticacin NTLM o esta falla, el
cortafuegos retroceder a una autenticacin con formato web o certificado de
cliente, dependiendo de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows.
Formato web
Las solicitudes se redirigen a un formato web para su autenticacin. Puede

configurar un portal cautivo para que utilice una base de datos de usuario local,
RADIUS, LDAP o Kerberos para autenticar usuarios. Aunque siempre se
solicitarn las credenciales a los usuarios, este mtodo de autenticacin funciona
con todos los exploradores y sistemas operativos.
Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al
usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el cortafuegos. Este es el nico mtodo de autenticacin que
habilita una autenticacin transparente para clientes de Mac OS y Linux.
User-ID
241
User-ID
Modos de portal cautivo

El modo de portal cautivo define cmo se capturan las solicitudes para su autenticacin:
Modo
Descripcin
Transparente
El cortafuegos intercepta el trfico del explorador mediante la regla de portal

cautivo y representa la URL de destino original, emitiendo un HTTP 401 para
invocar la autenticacin. Sin embargo, como el cortafuegos no tiene el certificado
real para la URL de destino, el explorador mostrar un error de certificado a los
usuarios que intenten acceder a un sitio seguro. Por lo tanto, nicamente debera
utilizar este modo cuando sea absolutamente necesario, como en implementaciones
de capa 2 o cable virtual (Virtual Wire).
Redirigir
El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige

a una interfaz de capa 3 en el cortafuegos utilizando una redireccin HTTP 302
para realizar la autenticacin. Este es el modo preferido porque proporciona una
mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere
una configuracin de capa 3 adicional. Otra ventaja del modo Redirigir es que
permite el uso de cookies de sesin, que permiten que el usuario siga explorando
sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo. Esto
es de especial utilidad para los usuarios que se desplazan de una direccin IP a otra
(por ejemplo, de la LAN corporativa a la red inalmbrica) porque no tendrn que
volver a autenticar al cambiar de direccin IP siempre que la sesin permanezca
abierta. Adems, si tiene la intencin de utilizar la autenticacin de NTLM, deber
utilizar el modo Redirigir porque el explorador nicamente proporcionar
credenciales a sitios fiables.
Configuracin de portal cautivo

El siguiente procedimiento muestra cmo configurar un portal cautivo utilizando el agente de User-ID
integrado en PAN-OS para redirigir solicitudes que coincidan con una poltica de portal cautivo a una interfaz
de capa 3 en el cortafuegos.
Si tiene la intencin de utilizar un portal cautivo sin utilizar las otras funciones de User-ID
(asignacin de usuarios y grupos), no necesita configurar un agente.
Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS
En esta versin del producto, el cortafuegos debe ser capaz de

comunicarse con los servidores a travs de la interfaz de gestin, as
que debe asegurarse de que la red en la que se encuentran sus
servidores de directorio es accesible desde esta interfaz. Si esta
configuracin no funciona en su entorno, deber configurar el portal
cautivo utilizando el agente de User-ID basado en Windows.
Paso 1
Asegrese de que el cortafuegos tiene

una ruta hacia los servidores que
supervisar para recopilar datos de
usuario (por ejemplo, sus controladores
de dominio y sus servidores Exchange).
Paso 2
Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el FQDN
para resolver sus direcciones de
del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com
242
User-ID
User-ID
Configuracin de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuacin)
Paso 3
(nicamente en el modo Redirigir) Cree

una interfaz de capa 3 a la que redirigir
solicitudes de portal cautivo.
1.
Cree un perfil de gestin para habilitar la interfaz para que

muestre pginas de respuesta de portal cautivo:
a. Seleccione Red > Gestin de interfaz y haga clic en Aadir.
b. Introduzca un Nombre para el perfil, seleccione Pginas de
respuesta y, a continuacin, haga clic en Aceptar.
Paso 4
Nota
(nicamente en el modo Redirigir) Para

redirigir usuarios de forma transparente
sin mostrar errores de certificado, instale
un certificado que coincida con la
direccin IP de la interfaz a la que est
redirigiendo solicitudes. Puede generar un
certificado autofirmado o importar un
certificado firmado por una CA externa.
2.
Cree la interfaz de capa 3. Asegrese de adjuntar el perfil de

gestin que cre en el Paso 1 (en la pestaa Avanzada > Otra
informacin del cuadro de dilogo Interfaz Ethernet).
3.
Cree un registro DNS A que asigne la direccin IP que

configur en la interfaz de capa 3 a un nombre de host de
intranet (es decir, un nombre de host que no tiene ningn punto
en el nombre, como ntlmhost ).
Para utilizar un certificado autofirmado, primero deber crear un

certificado de CA raz y, a continuacin, utilizar esa CA para firmar
el certificado que utilizar para el portal cautivo de la manera
siguiente:
1. Para crear un certificado de CA raz, seleccione Dispositivo >
Al configurar un portal cautivo por

primera vez, puede que los certificados
importados no funcionen. Si tiene la
intencin de utilizar un certificado
importado, complete la configuracin
2.
inicial sin especificar un Certificado de
servidor. Despus de poner en
funcionamiento el portal cautivo, podr
volver y cambiar al certificado importado.
3.
User-ID
Gestin de certificados > Certificados > Certificados de

dispositivos y, a continuacin, haga clic en Generar. Introduzca
un Nombre de certificado, como RootCA. No seleccione
ningn valor en el campo Firmado por (esto es lo que indica que
est autofirmado). Asegrese de seleccionar la casilla de

verificacin Autoridad del certificado y, a continuacin, haga
clic en Generar para generar el certificado.
Para crear el certificado que se utilizar para el portal cautivo,
haga clic en Generar. Introduzca un Nombre de certificado e
introduzca el nombre de DNS del host de intranet para la
interfaz como el Nombre comn. En el campo Firmado por,
seleccione la CA que cre en el paso anterior. Aada un atributo
de direccin IP y especifique la direccin IP de la interfaz de
capa 3 a la que redirigir las solicitudes. Seleccione Generar el
certificado.
Para configurar clientes para que confen en el certificado,

seleccione el certificado de CA en la pestaa Certificados de
dispositivos y haga clic en Exportar. A continuacin deber
importar el certificado como una CA raz de confianza en todos
los exploradores de cliente, ya sea configurando manualmente el
explorador o aadiendo el certificado a las races de confianza
en un objeto de directiva de grupo (GPO) de Active Directory.
243
User-ID
Paso 5
1.
Configure un mecanismo de
autenticacin para utilizarlo cuando se
invoque el formato web. Tenga en cuenta
que aunque tenga la intencin de utilizar
NTLM, tambin deber configurar un
mecanismo de autenticacin secundario
que pueda utilizarse si falla la
autenticacin de NTLM o si el agente de
usuario no la admite.
Configure el cortafuegos para conectarse al servicio de

autenticacin que tiene intencin de utilizar para que pueda
acceder a las credenciales de autenticacin.
Prcticas recomendadas:
Si tiene la intencin de utilizar una autenticacin de base de

datos local, primero deber crear la base de datos local.
Seleccione Dispositivo > Base de datos de usuario local y
aada los usuarios y grupos que se autenticarn.
Si utiliza RADIUS para autenticar a

usuarios desde el formato web,
asegrese de introducir un dominio de
RADIUS. Esto se utilizar como el
2.
dominio predeterminado si los
usuarios no proporcionan uno al iniciar
sesin.
Si utiliza AD para autenticar a usuarios
desde el formato web, asegrese de
introducir sAMAccountName como
LogonAttribute.
244
Si tiene la intencin de autenticar mediante LDAP, Kerberos

o RADIUS, deber crear un perfil de servidor que indique al
cortafuegos cmo conectarse al servidor y acceder a las
credenciales de autenticacin de sus usuarios. Seleccione
Dispositivo > Perfiles de servidor y aada un nuevo perfil
para el servicio especfico al que acceder.
Cree un perfil de autenticacin que haga referencia al perfil de

servidor o base de datos de usuario local que acaba de crear.
Seleccione Dispositivo > Perfil de autenticacin y aada un
nuevo perfil para utilizarlo con el portal cautivo. Para obtener
informacin detallada sobre cmo crear un tipo especfico de
perfil de autenticacin, consulte la ayuda en lnea.
User-ID
User-ID
Paso 6
Nota
(Opcional) Configure la autenticacin de 1.

certificado de cliente. Tenga en cuenta
que no necesita configurar tanto un perfil 2.
de autenticacin como un perfil de
3.
certificado de cliente para habilitar el
portal cautivo. Si configura los dos, el
usuario deber autenticar utilizando los
dos mtodos.
Consulte la ayuda en lnea para obtener
detalles de otros campos de perfil de
certificado, como si debe usar CRL u
OCSP.
Genere certificados para cada usuario que vaya a autenticar

mediante el portal cautivo.
Descargue el certificado de CA en el formato Base64.
Importe el certificado de CA raz desde la CA que gener los
certificados de cliente al cortafuegos:
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
certificado que descarg de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
4.
Cree el perfil de certificado de cliente que utilizar cuando

configure el portal cautivo.
a. Seleccione Dispositivo > Certificados > Gestin de
certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
b. En el men desplegable Campo de nombre de usuario,
seleccione el campo de certificado que contenga la
informacin de la identidad del usuario.
c. En el campo Certificados de CA, haga clic en Aadir,
seleccione el certificado de CA raz de confianza que import
en el Paso 3 y, a continuacin, haga clic en ACEPTAR.
Paso 7
Habilite la autenticacin de NTLM.
Nota
Al utilizar el agente de identificacin de

usuarios incluido en el dispositivo, el
cortafuegos debe poder resolver
correctamente el nombre de DNS de su
controlador de dominio para que el
cortafuegos se una al dominio. Las
credenciales que proporcione aqu se
utilizarn para unir el cortafuegos al
dominio tras la correcta resolucin de
DNS.
User-ID
1.

Asignacin de usuario y haga clic en el icono Editar
de la
seccin Configuracin del agente de User-ID de Palo Alto
Networks de la pantalla.
2.
En la pestaa NTLM, seleccione la casilla de verificacin

Habilitar procesamiento de autenticacin de NTLM.
3.
Introduzca el dominio de NTLM con el que el agente de

User-ID del cortafuegos debera comprobar las credenciales de
NTLM.
4.
Introduzca el nombre de usuario y la contrasea de la cuenta de

Active Directory que cre en el Paso 1 de Asignacin de
direcciones IP a usuarios mediante el agente de User-ID
integrado para la autenticacin de NTLM.
245
User-ID
Paso 8
Configure los ajustes del portal cautivo.

1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de portal cautivo
y haga clic en el icono Editar

Portal cautivo de la pantalla.
de la seccin
2. Asegrese de que la casilla de verificacin

Habilitado est seleccionada.
3. Establezca el Modo. Este ejemplo muestra
cmo configurar el modo Redirigir.
4. (nicamente en el modo Redirigir)
Seleccione el Certificado de servidor que el
cortafuegos debera utilizar para redirigir
solicitudes a travs de SSL. Este es el
certificado que cre en el Paso 4.
5. (nicamente en el modo Redirigir) Especifique el valor de Redirigir host, que es el nombre de host de
intranet que resuelve a la direccin IP de la interfaz de capa 3 a la que est redirigiendo solicitudes, segn lo
especificado en el Paso 3.
6. Seleccione el mtodo de autenticacin que deber utilizarse si falla NTLM (o si no est utilizando NTLM):
Si est utilizando la autenticacin de LDAP, Kerberos, RADIUS o base de datos local, seleccione el Perfil
de autenticacin que cre en el Paso 5.
Si est utilizando la autenticacin de certificado de cliente, seleccione el Perfil de certificado que cre en
el Paso 6.
7. Haga clic en Aceptar para guardar la configuracin.
8. Haga clic en Confirmar para guardar la configuracin de portal cautivo.
Configuracin de la asignacin de usuarios para usuarios del servidor de

terminal
Los usuarios individuales del servidor de terminal parecen tener la misma direccin IP y, por lo tanto, una
asignacin de direcciones IP a nombres de usuarios no es suficiente para identificar a un usuario especfico. Para
habilitar la identificacin de usuarios especficos en servidores de terminal basados en Windows, el agente de
servicios de terminal (agente de TS) de Palo Alto Networks asignar un intervalo de puertos a cada usuario.
A continuacin, notificar a cada cortafuegos conectado sobre el intervalo de puertos asignado, lo que permitir
que el cortafuegos cree una tabla de asignaciones de direcciones IP, puertos y usuarios y habilite la aplicacin de
polticas de seguridad basadas en usuarios y grupos. Para los servidores de terminal que no sean de Windows,
puede configurar la API XML de User-ID para que extraiga informacin de asignacin de usuarios.
Las siguientes secciones describen cmo configurar la asignacin de usuarios para usuarios del servidor de
terminal:
Configuracin del agente de servidor de terminal de Palo Alto Networks para la asignacin de
usuarios
Recuperacin de asignaciones de usuarios de un servidor de terminal mediante la API XML de

User-ID
246
User-ID
User-ID
Configuracin del agente de servidor de terminal de Palo Alto Networks para la

asignacin de usuarios
Utilice el siguiente procedimiento para instalar el agente de TS en el servidor de terminal. Debe instalar el agente
de TS en todos los servidores de terminal en los que sus usuarios inicien sesin para asignar correctamente a
todos sus usuarios.
Para obtener informacin sobre los servidores de terminal admitidos por el agente de TS,
consulte Operating System (OS) Compatibility TS Agent (en ingls) en las notas de versin de
agente de servicios de terminal, que estn disponibles en la pgina Actualizaciones de software
de Palo Alto Networks.
Instalacin del agente de servidor de terminal de Windows
Paso 1
Descargue el instalador de agente de TS.
1.
Vaya a https://support.paloaltonetworks.com y haga clic en

Inicio de sesin para iniciar sesin en la asistencia tcnica de
Palo Alto Networks.
2.
Seleccione Actualizaciones de software en la seccin

Gestionar dispositivos.
3.
Desplcese hasta la seccin Terminal Services Agent y haga

clic en Descargar para descargar la versin del agente que
quiera instalar.
4.
Guarde el archivo TaInstall64.x64-x.x.x-xx.msi o

TaInstall-x.x.x-xx.msi (asegrese de seleccionar la versin
adecuada basndose en si el sistema Windows est ejecutando

un sistema operativo de 32 bits o de 64 bits) en los sistemas en
los que tenga la intencin de instalar el agente.
Paso 2
Ejecute el instalador como administrador. 1.
2.
Para iniciar una lnea de comandos como administrador, haga

clic en Iniciar, haga clic con el botn derecho en Lnea de
comandos y, a continuacin, seleccione Ejecutar como
administrador.
Desde la lnea de comandos, ejecute el archivo .msi que ha
descargado. Por ejemplo, si guard el archivo .msi en el
escritorio, debera introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-6.0.
0-1.msi
3.
Siga los mensajes de configuracin para instalar el agente con los

ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\Terminal Server Agent , pero puede hacer clic en
Examinar para seleccionar una ubicacin diferente.
4.
Cuando finalice la instalacin, haga clic en Cerrar para cerrar la

ventana de configuracin.
Nota
User-ID
Si est actualizando a una versin de agente de TS con un

controlador ms reciente que el de la instalacin existente,
el asistente de instalacin le solicitar reiniciar el sistema
despus de actualizar con el fin de utilizar el controlador
ms reciente.
247
User-ID
Instalacin del agente de servidor de terminal de Windows (Continuacin)
Paso 3
Inicie la aplicacin del agente de servidor Haga clic en Iniciar y seleccione Agente de servidor de terminal.
de terminal.
Paso 4
Defina el intervalo de puertos para el

agente de TS que debe asignarse a los
usuarios finales.
Nota
1.
Seleccione Configurar.
2.
Establezca el Intervalo de asignacin del puerto de origen

(valor predeterminado: 20000-39999). Este es el intervalo
completo de nmeros de puertos que el agente de TS adjudicar
para la asignacin de usuarios. El intervalo de puertos que
especifique no puede solaparse con el Intervalo de asignacin
del puerto de origen del sistema.
3.
(Opcional) Si hay puertos/intervalos de puertos en la asignacin

del puerto de origen que no desea que el agente de TS adjudique
a sesiones de usuario, especifquelos como Puertos de origen
reservados. Para incluir varios intervalos, utilice comas sin
espacios, por ejemplo: 2000-3000,3500,4000-5000 .
4.
Especifique el nmero de puertos que deben asignarse a cada

usuario individual tras su inicio de sesin en el servidor de
terminal en el campo Tamao de inicio de asignacin de
puertos por usuario (valor predeterminado: 200).
Los campos Intervalo de asignacin del

puerto de origen del sistema y Puertos 5.
de origen reservados del sistema
especifican el intervalo de puertos que se
asignar a las sesiones que no sean de
6.
usuarios. Asegrese de que los valores
especificados en estos campos no se
solapan con los puertos que design para
el trfico de usuarios. Estos valores
solamente pueden cambiarse editando los
correspondientes ajustes de registro de
Windows.
248
Especifique el Tamao mximo de asignacin de puertos por

usuario, que es el nmero mximo de puertos que el agente de
servidor de terminal puede asignar a un usuario individual.
Especifique si desea continuar procesando el trfico del usuario
si el usuario se queda sin puertos asignados. De manera
predeterminada, est seleccionada la opcin Fallo en el enlace
de puertos cuando se utilizan los puertos disponibles, que
indica que la aplicacin no enviar trfico cuando se hayan
utilizado todos los puertos. Para habilitar a los usuarios para que
sigan utilizando aplicaciones cuando se queden sin puertos,
cancele la seleccin de esta casilla de verificacin. Recuerde que
puede que este trfico no se identifique con User-ID.
User-ID
User-ID
Instalacin del agente de servidor de terminal de Windows (Continuacin)
Paso 5
Paso 6
User-ID
Configure los cortafuegos para

conectarlos al agente de servidor de
terminal.
Verifique que el agente de servidor de

terminal est asignando correctamente
direcciones IP a nombres de usuarios y
que los cortafuegos pueden conectarse
con el agente.
Realice los siguientes pasos en cada cortafuegos que quiera conectar

al agente de servidor de terminal para recibir asignaciones de
usuarios:
de servidor de terminal y haga clic en Aadir.
2.
Introduzca un Nombre para el agente de servidor de terminal.
3.
Introduzca la direccin IP del Host de Windows en el que est

instalado el agente de servidor de terminal.
4.
Introduzca el nmero de Puerto en el que el agente escuchar

solicitudes de asignacin de usuarios. Este valor debe coincidir
con el valor configurado en el agente de servidor de terminal.
De manera predeterminada, el puerto se establece como 5009
en el cortafuegos y en el agente. Si lo cambia aqu, tambin debe
cambiar el campo Puerto de escucha en la pantalla Configurar
del agente de servidor de terminal.
5.

6.
7.
Verifique que el estado Conectado aparece como

conectado.
1.
Inicie el agente de servidor de terminal y verifique que los

cortafuegos pueden conectarse asegurndose de que el Estado
de conexin de cada dispositivo de la lista de conexin es
Conectado.
2.
Para verificar que el agente de servidor de terminal est

asignando correctamente intervalos de puertos a nombres de
usuarios, seleccione Supervisando y asegrese de que la tabla de
asignaciones se cumplimenta.
249
User-ID
Recuperacin de asignaciones de usuarios de un servidor de terminal mediante la API

XML de User-ID
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estndar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o
usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de
la REST.
Para habilitar un servidor de terminal que no sea de Windows para que enve informacin de asignacin de
usuarios directamente al cortafuegos, cree secuencias de comandos que extraigan los eventos de inicio de sesin
y cierre de sesin de usuarios y utilcelas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuacin defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget y proporcionando la clave de API del cortafuegos para lograr comunicaciones seguras. La creacin de
asignaciones de usuarios desde sistemas multiusuario como servidores de terminal requiere el uso de los
siguientes mensajes de la API:
<multiusersystem>: Establece la configuracin para un sistema multiusuario de la API XML en el

cortafuegos. Este mensaje permite la definicin de la direccin IP de servidor de terminal (esta ser la
direccin de origen para todos los usuarios de ese servidor de terminal). Adems, el mensaje de
configuracin <multiusersystem> especifica el intervalo de nmeros de puertos de origen que debe
adjudicarse para la asignacin de usuarios y el nmero de puertos que debe adjudicarse a cada usuario
individual despus de iniciar sesin (lo que se denomina tamao de bloque). Si quiere utilizar el intervalo de
asignacin del puerto de origen predeterminado (1025-65534) y el tamao de bloque (200), no necesita
enviar un evento de configuracin <multiusersystem> al cortafuegos. En vez de eso, el cortafuegos generar
automticamente la configuracin del sistema multiusuario de la API XML con los ajustes predeterminados
tras recibir el primer mensaje de evento de inicio de sesin de usuario.
<blockstart>: Se utiliza con los mensajes <login> y <logout> para indicar el nmero de puerto de
origen de partida asignado al usuario. A continuacin, el cortafuegos utiliza el tamao de bloque para
determinar el intervalo de nmeros de puertos que debe asignarse a la direccin IP y al nombre de usuario
del mensaje de inicio de sesin. Por ejemplo, si el valor de <blockstart> es 13200 y el tamao de bloque
configurado para el sistema multiusuario es 300, el intervalo del puerto de origen asignado al usuario es del
13200 al 13499. Cada conexin iniciada por el usuario debera utilizar un nmero de puerto de origen
exclusivo dentro del intervalo asignado, permitiendo que el cortafuegos identifique al usuario basndose en
sus asignaciones de direcciones IP, puertos y usuarios para la aplicacin de reglas de polticas de seguridad
basadas en usuarios y grupos. Cuando un usuario agota todos los puertos asignados, el servidor de terminal
debe enviar un nuevo mensaje <login> que asigne un nuevo intervalo de puertos para el usuario con el fin
de que el cortafuegos pueda actualizar la asignacin de direcciones IP, puertos y usuarios. Adems, un nico
nombre de usuario puede tener varios bloques de puertos asignados simultneamente. Cuando un
cortafuegos recibe un mensaje <logout> que incluye un parmetro <blockstart> , elimina la correspondiente
asignacin de direccin IP, puerto y usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un
mensaje <logout> con un nombre de usuario y una direccin IP, pero sin <blockstart> , elimina al usuario
de su tabla. Y si el cortafuegos recibe un mensaje <logout> nicamente con una direccin IP, elimina el
sistema multiusuario y todas las asignaciones asociadas al mismo.
Los archivos XML que el servidor de terminal enva al cortafuegos pueden contener varios tipos
de mensajes y estos mensajes no tienen que estar en ningn orden especfico dentro del archivo.
Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes, el cortafuegos
los procesar en el siguiente orden: solicitudes multiusersystem en primer lugar, seguidas de
inicios de sesin y cierres de sesin.
250
User-ID
User-ID
El siguiente flujo de trabajo ofrece un ejemplo de cmo utilizar la API XML de User-ID para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean
de Windows
Paso 1
Genere la clave de API que se

utilizar para autenticar la
comunicacin de la API entre
el cortafuegos y el servidor de
terminal. Para generar la clave,
debe proporcionar
credenciales de inicio de
sesin para una cuenta
administrativa; la API est
disponible para todos los
administradores (incluidos los
administradores basados en
funciones con privilegios de la
API XML habilitados).
Desde un explorador, inicie sesin en el cortafuegos. A continuacin, para

generar la clave de API para el cortafuegos, abra una nueva ventana del
explorador e introduzca la siguiente URL:
https://<cortafuegos-IPaddress>/api/?type=keygen&user=<username>&
password=<password>
donde <cortafuegos-IPaddress> es la direccin IP o FQDN del cortafuegos

y <username> y <password> son las credenciales para la cuenta de usuario
administrativo del cortafuegos. Por ejemplo:
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
El cortafuegos responde con un mensaje que contiene la clave, por ejemplo:

<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
Nota
Todos los caracteres

especiales de la contrasea
deben estar codificados con
URL/porcentaje.
Paso 2
A continuacin puede ver un mensaje de configuracin de muestra:

(Opcional) Genere un
mensaje de configuracin que <uid-message>
el servidor de terminal enviar
<payload>
para especificar el intervalo de
<multiusersystem>
puertos y el tamao de bloque
<entry ip="10.1.1.23" startport="20000"
de los puertos por usuario que
endport="39999" blocksize="100">
utiliza su agente de servicios
</multiusersystem>
de terminal.
</payload>
<type>update</type>
Si el agente de servicios de
<version>1.0</version>
terminal no enva un mensaje
</uid-message>
de configuracin, el
cortafuegos automticamente donde entry ip especifica la direccin IP asignada a los usuarios del servidor
de terminal, startport y endport especifican el intervalo de puertos que debe
crear una configuracin de
utilizarse
al asignar puertos a usuarios individuales y blocksize especifica el
agente de servidor de terminal
nmero
de
puertos que debe asignarse a cada usuario. El tamao de bloque
mediante los siguientes ajustes
mximo
es
4000
y cada sistema multiusuario puede asignar un mximo de 1000
predeterminados tras recibir el
bloques.
primer mensaje de inicio de
sesin:
Si define un tamao de bloque y/o intervalo de puertos personalizado, recuerde
que debe configurar los valores de modo que se asignen todos los puertos del
Intervalo de puertos
predeterminado: De 1025 a intervalo y que no haya huecos ni puertos sin utilizar. Por ejemplo, si establece
el intervalo de puertos como 1000-1499, podra establecer el tamao de bloque
65534
como 100, pero no como 200. Esto se debe a que si lo estableciera como 200,
Tamao de bloque por
habra puertos sin utilizar al final del intervalo.
usuario: 200
</response>
Nmero mximo de
sistemas multiusuario: 1000
User-ID
251
User-ID
de Windows (Continuacin)
Paso 3
Cree una secuencia de

comandos que extraiga los
eventos de inicio de sesin y
cree el archivo de entrada
XML que debe enviarse al
cortafuegos.
Asegrese de que la secuencia
de comandos aplica la
asignacin de intervalos de
nmeros de puertos con
lmites fijos y sin que los
puertos se solapen. Por
ejemplo, si el intervalo de
puertos es 1000-1999 y el
tamao de bloque es 200, los
valores aceptables de
blockstart seran 1000, 1200,
1400, 1600 o 1800. Los
valores de blockstart 1001,
1300 o 1850 no seran
aceptables porque algunos de
los nmeros de puertos del
intervalo se quedaran sin
utilizar.
Nota
252
A continuacin se muestra el formato del archivo de entrada de un evento de

inicio de sesin XML de User-ID:
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
</uid-message>
El cortafuegos utiliza esta informacin para cumplimentar su tabla de

asignaciones de usuarios. Basndose en las asignaciones extradas del ejemplo
anterior, si el cortafuegos recibiera un paquete cuya direccin y cuyo puerto de
origen fueran 10.1.1.23:20101, asignara la solicitud al usuario jparker para la
aplicacin de polticas.
Nota
Cada sistema multiusuario puede asignar un mximo de 1.000 bloques

de puertos.
La carga de eventos de inicio

de sesin que el servidor de
terminal enva al cortafuegos
puede contener varios eventos
de inicio de sesin.
User-ID
User-ID
Paso 4
Cree una secuencia de

comandos que extraiga los
eventos de cierre de sesin y
cree el archivo de entrada
XML que debe enviarse al
cortafuegos.
A continuacin se muestra el formato del archivo de entrada de un evento de

cierre de sesin XML de User-ID:
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23"
blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
</uid-message>
Tras recibir un mensaje de

evento logout con un
parmetro blockstart , el
cortafuegos elimina la
correspondiente asignacin de Nota
direccin IP, puerto y usuario.
Si el mensaje logout contiene
un nombre de usuario y una
direccin IP, pero ningn
parmetro blockstart , el
cortafuegos eliminar todas
las asignaciones del usuario. Si
el mensaje logout solamente
contiene una direccin IP, el
cortafuegos eliminar el
sistema multiusuario y todas
las asignaciones asociadas.
Paso 5
User-ID
Asegrese de que las

secuencias de comandos que
cree incluyan un modo de
aplicar dinmicamente que el
intervalo de bloques de
puertos asignado mediante la
API XML coincida con el
puerto de origen asignado al
usuario en el servidor de
terminal y que la asignacin se
elimine cuando el usuario
cierre sesin o cuando cambie
la asignacin de puertos.
Tambin puede borrar del cortafuegos la entrada del sistema

multiusuario mediante el siguiente comando de la CLI: clear
xml-api multiusersystem
Una forma de hacerlo sera utilizar reglas de NAT netfilter para ocultar sesiones
de usuarios detrs de los intervalos de puertos especficos asignados a travs de
la API XML basndose en el UID. Por ejemplo, para garantizar que un usuario
cuyo User-ID sea jjaso se asigne a una traduccin de direcciones de red de
origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos
que cree debera incluir lo siguiente:
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
Del mismo modo, las secuencias de comandos que cree tambin deberan
garantizar que la configuracin de enrutamiento de la tabla de IP elimine
dinmicamente la asignacin de SNAT cuando el usuario cierre sesin o cuando
cambie la asignacin de puertos:
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
253
User-ID
Paso 6
Defina cmo empaquetar los

archivos de entrada XML que
contienen los eventos de
configuracin, inicio de sesin
y cierre de sesin en mensajes
wget o cURL para su
transmisin al cortafuegos.
Para aplicar los archivos al cortafuegos mediante wget:

> wget --post file <filename>
https://<cortafuegos-IPaddress>/api/?type=user-id&key=<key>&file-name=<
input_filename.xml>&client=wget&vsys=<VSYS_name>
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml

al cortafuegos en 10.2.5.11 utilizando la clave
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con wget
tendra el siguiente aspecto:
> wget --post file login.xml
https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZu
gWx7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1
Para aplicar el archivo al cortafuegos mediante cURL:

> curl --form file=@<filename>
https://<cortafuegos-IPaddress>/api/?type=user-id&key=<key>&vsys=<VSYS_n
ame>
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml

al cortafuegos en 10.2.5.11 utilizando la clave
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRgconcURLtendrael
siguiente aspecto:
> curl --form file@login.xml
https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%
2BgzEA9UOnlZRg&vsys=vsys1
Paso 7
Verifique que el cortafuegos

est recibiendo correctamente
eventos de inicio de sesin de
los servidores de terminal.
Verifique la configuracin abriendo una conexin de SSH con el cortafuegos y,

a continuacin, ejecutando los siguientes comandos de la CLI:
Para verificar si el servidor de terminal se est conectando con el cortafuegos a
travs de XML:
admin@PA-5050> show user xml-api multiusersystem
Host
Vsys
Users
Blocks
---------------------------------------10.5.204.43
vsys1
5
2
Para verificar que el cortafuegos est recibiendo asignaciones de un servidor de

terminal a travs de XML:
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43
Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1
Envo de asignaciones de usuarios a User-ID mediante la API XML

Aunque la funcin User-ID proporciona muchos de los mtodos listos para usar para obtener informacin de
asignacin de usuarios, puede que tenga algunas aplicaciones o algunos dispositivos que capturen informacin
de usuario que no se pueda integrar de forma nativa con User-ID. En este caso, puede utilizar la API XML de
User-ID para crear secuencias de comandos personalizadas que le permitan aprovechar datos de usuarios
existentes y enviarlos al agente de User-ID o directamente al cortafuegos.
254
User-ID
User-ID
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estndar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la lnea de comandos como cURL o
usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST. Para aprovechar datos de usuarios de un sistema existente (como una aplicacin personalizada
desarrollada internamente u otro dispositivo que no est admitido por uno de los mecanismos de asignacin de
usuarios existentes) puede crear secuencias de comandos personalizadas para extraer los datos y enviarlos al
cortafuegos o al agente de User-ID mediante la API XML.
Para habilitar un sistema externo para que enve informacin de asignacin de usuarios al agente de User-ID o
directamente al cortafuegos, puede crear secuencias de comandos que extraigan los eventos de inicio de sesin
y cierre de sesin de usuarios y utilizarlas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuacin defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget mediante la clave de API del cortafuegos para lograr comunicaciones seguras. Para obtener informacin
ms detallada, consulte PAN-OS XML API Usage Guide (en ingls).
Configuracin de un cortafuegos para compartir datos de asignacin de

usuarios con otros cortafuegos
Como la poltica es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las asignaciones
de direcciones IP a nombres de usuarios para aplicar de forma precisa la poltica de seguridad segn el grupo o
usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las asignaciones de usuarios y, a
continuacin, las redistribuya a los otros cortafuegos. El cortafuegos de redistribucin puede utilizar cualquier
mtodo para recopilar asignaciones de usuarios y asignaciones de grupos y, a continuacin, actuar como agente
de User-ID para compartir esa informacin con otros cortafuegos. Los cortafuegos receptores deben estar
configurados para extraer la informacin de asignacin directamente desde el cortafuegos de redistribucin y
no necesitan comunicarse directamente con ningn servidor de dominio.
El siguiente procedimiento describe cmo configurar la redistribucin de informacin de User-ID.
User-ID
255
User-ID
Configuracin de un cortafuegos para redistribuir asignaciones de usuarios
Paso 1
Configure el cortafuegos de
redistribucin.
Nota
Las configuraciones de User-ID

solamente se aplican a un nico sistema
virtual. Para redistribuir asignaciones de
User-ID de varios sistemas virtuales, debe
configurar los ajustes de asignacin de
usuarios en cada sistema virtual por
separado, utilizando una clave
precompartida exclusiva en cada
configuracin.
Paso 2
256
1.

Asignacin de usuario y edite la seccin Configuracin del
agente de User-ID de Palo Alto Networks.
2.
Seleccione Redistribucin.
3.
Introduzca un Nombre del recopilador.
4.
Introduzca y confirme la Clave precompartida que permitir

que otros cortafuegos se conecten con este cortafuegos para
recuperar informacin de asignacin de usuarios.
5.
Haga clic en ACEPTAR para guardar la configuracin de

redistribucin.
Cree un perfil de gestin de interfaz que 1.

habilite el servicio de User-ID y adjntelo
a la interfaz a la que se conectarn el resto 2.
de cortafuegos para recuperar
asignaciones de usuarios.
Seleccione Red > Perfiles de red > Gestin de interfaz y haga

clic en Aadir.
Introduzca un Nombre para el perfil y, a continuacin,
seleccione los servicios permitidos. Como mnimo, seleccione
Servicio de User-ID y HTTPS.
3.
4.
Seleccione Red > Interfaces > Ethernet y seleccione la interfaz

que tiene la intencin de utilizar para la redistribucin.
5.
En la pestaa Avanzada > Otra informacin, seleccione el

Perfil de gestin que acaba de crear.
6.
User-ID
User-ID
Configuracin de un cortafuegos para redistribuir asignaciones de usuarios (Continuacin)
Realice los siguientes pasos en cada cortafuegos que quiera que

pueda recuperar asignaciones de usuarios:
de User-ID.
Paso 3
Configure los otros cortafuegos para

recuperar asignaciones de usuarios del
cortafuegos de redistribucin.
Nota
Si el cortafuegos de redistribucin tiene

varios sistemas virtuales configurados
2.
para la redistribucin, asegrese de que
est utilizando la clave precompartida que 3.
corresponda al sistema virtual del que
quiera que este cortafuegos recupere
asignaciones de User-ID.
4.
Haga clic en Aadir e introduzca un Nombre de agente de

User-ID para el cortafuegos de redistribucin.
Introduzca el nombre de host o la direccin IP de la interfaz del
cortafuegos que configur para la redistribucin en el campo
Host.
Introduzca 5007 como nmero de Puerto en el que el
cortafuegos de redistribucin escuchar solicitudes de User-ID.
5.
Introduzca el Nombre del recopilador que especific en la

configuracin del cortafuegos de redistribucin (Paso 1-3).
6.
Introduzca y confirme la Recopilador anterior a la clave

compartida. El valor de clave que introduzca aqu debe
coincidir con el valor configurado en el cortafuegos de
redistribucin (Paso 1-4).
7.
(Opcional) Si est utilizando el cortafuegos de redistribucin

para recuperar asignaciones de grupos adems de asignaciones
de usuarios, seleccione la casilla de verificacin Utilizar como
Proxy LDAP.
8.
(Opcional) Si est utilizando el cortafuegos de redistribucin

para la autenticacin de portal cautivo, seleccione la casilla de
verificacin Utilizar para autenticacin NTLM.
9.

10. Confirme los cambios.

Paso 4
Verifique la configuracin.
En la pestaa Agentes de User-ID, verifique que la entrada del

cortafuegos de redistribucin que acaba de aadir muestra un icono
verde en la columna Conectado.
Si aparece un icono rojo, compruebe los logs de trfico (Supervisar >
Logs > Trfico) para identificar el problema. Tambin puede
comprobar si se han recibido datos de asignacin de usuarios
ejecutando los siguientes comandos de operacin de la CLI:
show user ip-user-mapping (para ver informacin de asignacin
de usuarios en el plano de datos)

show user ip-user-mapping-mp (para ver asignaciones en el plano
de gestin).
User-ID
257
User-ID

Para habilitar una poltica de seguridad basada en usuarios y/o grupos, debe habilitar User-ID para cada zona
que contenga usuarios que desee identificar. A continuacin, podr definir polticas que permitan o denieguen
el trfico basndose en el nombre de usuario o la pertenencia a un grupo. Adems, puede crear polticas de portal
cautivo para habilitar la identificacin de direcciones IP que todava no tienen datos de usuario asociados a las
mismas.
Paso 1
Habilite User-ID en las zonas de origen que contengan los usuarios que enviarn solicitudes que requieran
controles de acceso basados en usuarios.
1. Seleccione Red > Zonas.
2. Haga clic en el Nombre de la zona en
la que desee habilitar User-ID para abrir
el cuadro de dilogo Zona.
3. Seleccione la casilla de verificacin
Habilitacin de la identificacin de
usuarios y, a continuacin, haga clic en
Aceptar.
258
User-ID
User-ID
Habilitacin de poltica basada en usuarios y grupos (Continuacin)
Paso 2
Cree polticas de seguridad basadas en

usuarios y/o grupos.
Nota
La prctica recomendada es crear polticas

basadas en grupos en lugar de en usuarios
siempre que sea posible. Esto evita que
tenga que actualizar continuamente sus
polticas (lo que requiere una
confirmacin) cada vez que cambie su
base de usuarios.
1.
Despus de configurar User-ID, podr seleccionar un nombre

de usuario o grupo al definir el origen o el destino de una regla
de seguridad:
a. Seleccione Polticas > Seguridad y haga clic en Aadir para
crear una nueva poltica o haga clic en un nombre de regla de
poltica existente para abrir el cuadro de dilogo Regla de
b. Especifique qu usuarios y/o grupos deben coincidir en la
poltica de una de las siguientes formas:
Si desea especificar usuarios/grupos en concreto como
criterios de coincidencia, seleccione la pestaa Usuario y
haga clic en el botn Aadir en la seccin Usuario de
origen para mostrar una lista de usuarios y grupos
detectados por la funcin de asignacin de grupos del
cortafuegos. Seleccione los usuarios y/o grupos que deben
aadirse a la poltica.
Si desea que la poltica coincida con cualquier usuario que
se haya autenticado correctamente o no y no necesita
conocer el nombre especfico del usuario o grupo,
seleccione Usuario conocido o Desconocido en la lista
desplegable que se encuentra encima de la lista Usuario de
origen.
2.
User-ID
Configure el resto de la poltica segn sea adecuado y, a

continuacin, haga clic en Aceptar para guardarla. Para obtener
informacin detallada sobre otros campos de la poltica de
seguridad, consulte Configuracin de polticas de seguridad
bsicas.
259
User-ID
Habilitacin de poltica basada en usuarios y grupos (Continuacin)
Paso 3
Cree sus polticas de portal cautivo.

1. Seleccione Polticas > Portal cautivo.
2. Haga clic en Aadir e introduzca un Nombre para la poltica.
3. Defina los criterios de coincidencia para la regla cumplimentando las pestaas Origen, Destino y Categora
de URL/servicio segn sea adecuado para que coincidan con el trfico que desee autenticar. Los criterios de
coincidencia de estas pestaas son los mismos que los criterios que defini al crear una poltica de seguridad.
Consulte Configuracin de polticas de seguridad bsicas para obtener informacin detallada.
4. Defina la Accin que se debe realizar en el trfico que coincida con la regla. Puede elegir entre lo siguiente:
No hay ningn portal cautivo: Permite el paso del trfico sin abrir una pgina de portal cautivo para su
autenticacin.
Formato web: Abre una pgina de portal cautivo en la que el usuario debe introducir explcitamente las
credenciales de autenticacin o utilizar la autenticacin de certificado de cliente.
Reto de explorador: Abre una solicitud de autenticacin de NTLM en el explorador web del usuario. El
explorador web responder utilizando las credenciales de inicio de sesin actuales del usuario. Si las
credenciales de inicio de sesin no estn disponibles, se pedir al usuario que las proporcione.
5. Haga clic en ACEPTAR.
El ejemplo siguiente muestra una poltica de portal cautivo que indica al cortafuegos que debe abrir un
formato web para autenticar a usuarios desconocidos que enven solicitudes de HTTP desde la zona fiable a
la zona no fiable.
Paso 4
260
Guarde sus ajustes de poltica.
User-ID
User-ID

Despus de configurar la asignacin de grupos y la asignacin de usuarios y habilitar User-ID en sus polticas
de seguridad y polticas de portal cautivo, debera verificar que funciona correctamente.
Paso 1
Paso 2
Verifique que la asignacin de grupos

funciona.
Desde la CLI, introduzca el siguiente comando:

show user group-mapping statistics
Verifique que la asignacin de usuarios

funciona.
Si est utilizando el agente de User-ID incluido en el dispositivo,

podr verificarlo desde la CLI utilizando el siguiente comando:
show user ip-user-mapping-mp all
IP
(sec)
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1 vsys1 UIA

192.168.201.11vsys1UIA
192.168.201.50 vsys1 UIA
acme\george
acme\duane
acme\betsy
210
210
210
192.168.201.10vsys1UIA
acme\administrator
210
192.168.201.100vsys1AD
acme\administrator
748
Total: 5 users
*: WMI probe succeeded
Paso 3
Compruebe su poltica de seguridad.
Desde una mquina en la zona donde est habilitado User-ID,

intente acceder a sitios y aplicaciones para comprobar las reglas
que ha definido en su poltica y asegrese de que el trfico se
permite y deniega del modo esperado.
Tambin puede utilizar el comando test
security-policy-match para determinar si la poltica se ha
configurado correctamente. Por ejemplo, supongamos que tiene
una regla que bloquea al usuario duane y le impide jugar a World of
Warcraft. Podra comprobar la poltica del modo siguiente:
test security-policy-match application
worldofwarcraft source-user acme\duane source any
destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
User-ID
261
User-ID
Verificacin de la configuracin de User-ID (Continuacin)
Paso 4
Compruebe su configuracin de portal

cautivo.
1.
Desde la misma zona, vaya a una mquina que no sea miembro

de su directorio, como un sistema Mac OS, e intente hacer ping
a un sistema externo a la zona. El ping debera funcionar sin
requerir autenticacin.
2.
Desde la misma mquina, abra un explorador y desplcese hasta

un sitio web en una zona de destino que coincida con una
poltica de portal cautivo que haya definido. Debera ver el
formato web de portal cautivo.
3.
Inicie sesin utilizando las credenciales correctas y confirme que

se le ha redirigido a la pgina solicitada.
4.
Tambin puede comprobar su poltica de portal cautivo

utilizando el comando test cp-policy-match de la manera
siguiente:
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
Paso 5
262
Verifique que los nombres de usuario se muestran en los archivos de log (Supervisar > Logs).
User-ID
User-ID
Verificacin de la configuracin de User-ID (Continuacin)
Paso 6
User-ID
Verifique que los nombres de usuario se muestran en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debera ver una lista de los usuarios que intentaron acceder a las
aplicaciones como en el ejemplo siguiente.
263
264
User-ID
User-ID
App-ID
Para habilitar aplicaciones de forma segura en su red, los cortafuegos de prxima generacin de Palo Alto
Networks ofrecen proteccin tanto para aplicaciones como para Internet (App-ID y filtrado de URL) frente a
una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos.
App-ID le permite visualizar las aplicaciones de la red, para que as pueda saber cmo funcionan y comprender
las caractersticas de su comportamiento y su riesgo relativo. Los conocimientos de esta aplicacin le permiten
crear y aplicar polticas de seguridad para habilitar, inspeccionar y moldear las aplicaciones que desee y bloquear
las que no desee. Cuando defina polticas para empezar a permitir el trfico, App-ID empezar a clasificar el
trfico sin ninguna configuracin adicional.
Qu es App-ID?
Cmo puedo gestionar aplicaciones personalizadas o desconocidas?
Prcticas recomendadas para utilizar App-ID en polticas
Aplicaciones con compatibilidad implcita
Acerca de las puertas de enlace de nivel de aplicacin
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP
App-ID
265
Qu es App-ID?
App-ID
Qu es App-ID?
App-ID, un sistema de clasificacin de trfico patentado nicamente disponible en cortafuegos de Palo Alto
Networks, determina qu es la aplicacin, independientemente del puerto, el protocolo, el cifrado (SSH o SSL)
o cualquier otra tctica evasiva utilizada por la aplicacin. Aplica mltiples mecanismos de clasificacin (firmas
de aplicaciones, descodificacin de protocolos de aplicaciones y heurstica) al flujo de trfico de su red para
identificar aplicaciones de forma precisa.
App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
El trfico se compara con la poltica para comprobar si est permitido en la red.
A continuacin, se aplican firmas al trfico permitido para identificar la aplicacin en funcin de sus
propiedades y caractersticas de transacciones. La firma tambin determina si la aplicacin se est utilizando
en su puerto predeterminado o si est utilizando un puerto no estndar. Si la poltica permite el trfico, a
continuacin este se examina en busca de amenazas y se analiza en mayor profundidad para identificar la
aplicacin de manera ms granular.
Si App-ID determina que el cifrado (SSL o SSH) ya est en uso y se est aplicando una poltica de descifrado,
la sesin se descifra y las firmas de la aplicacin se aplican de nuevo sobre el flujo descifrado.
Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas
en contextos para detectar otras aplicaciones que podran estar pasando por dentro del protocolo (por
ejemplo, Yahoo! Instant Messenger a travs de HTTP). Los descifradores validan que el trfico cumple con
la especificacin del protocolo y ofrecen asistencia para la NAT transversal y la apertura de pinholes
dinmicos para aplicaciones como SIP y FTP.
Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas
y anlisis de protocolos, podrn utilizarse la heurstica o los anlisis de comportamiento para determinar la
identidad de la aplicacin.
Cuando se identifica la aplicacin, la comprobacin de la poltica determina cmo tratar la aplicacin: por
ejemplo, bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada
de archivos y patrones de datos o moldearla utilizando QoS.
266
App-ID
App-ID
Cmo puedo gestionar aplicaciones personalizadas o

desconocidas?
Palo Alto Networks proporciona actualizaciones semanales de App-ID para identificar nuevas aplicaciones. De
manera predeterminada, App-ID siempre est habilitado en el cortafuegos y no necesita habilitar una serie de
firmas para identificar aplicaciones conocidas. Normalmente, las nicas aplicaciones clasificadas como trfico
desconocido (tcp, udp o tcp no sincronizado) en el ACC y los logs de trfico son aplicaciones disponibles
comercialmente que todava no se han aadido a App-ID, aplicaciones internas o personalizadas de su red o
posibles amenazas.
En ocasiones, el cortafuegos puede determinar que una aplicacin es desconocida por los siguientes motivos:
Datos incompletos: Se establece un protocolo, pero no se ha enviado ningn paquete de datos antes del
tiempo de espera.
Datos insuficientes: Se establece un protocolo seguido por uno o ms paquetes de datos; sin embargo, no se
han intercambiado suficientes paquetes de datos para identificar la aplicacin.
Las siguientes opciones estn disponibles para gestionar aplicaciones desconocidas:
Cree polticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP
desconocido o por una combinacin de zona de origen, zona de destino y direcciones IP.
Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que atraviesan
su red, en el caso de cualquier trfico desconocido, puede registrar una captura de paquetes. Si la captura de
paquetes revela que la aplicacin es una aplicacin comercial, puede enviar esta captura de paquetes a Palo
Alto Networks para que App-ID lo desarrolle. Si es una aplicacin interna, puede crear una App-ID
personalizada y/o definir una poltica de cancelacin de aplicacin.
Cree una App-ID personalizada con una firma y adjntela a una poltica de seguridad, o bien cree una
App-ID personalizada y defina una poltica de cancelacin de aplicacin. Una App-ID personalizada le
permite personalizar la definicin de la aplicacin interna (sus caractersticas, categora y subcategora, riesgo,
puerto y tiempo de espera) y ejercer un control granular de las polticas para reducir al mnimo el rango de
trfico no identificado en su red. La creacin de una App-ID personalizada tambin le permite identificar
correctamente la aplicacin en el ACC y los logs de trfico y resulta de utilidad a la hora de realizar
auditoras/informes de las aplicaciones de su red. En el caso de una aplicacin personalizada, puede
especificar una firma y un patrn que identifiquen de manera exclusiva la aplicacin y la adjunten a una
poltica de seguridad que permita o niegue la aplicacin.
Para recopilar los datos correctos y as crear una firma de aplicacin personalizada, necesitar
comprender bien las capturas de paquetes y cmo se forman los datagramas. Si la firma se crea
de manera demasiado amplia, puede que incluya otro trfico similar de forma accidental; si se
define de manera demasiado reducida, el trfico evadir la deteccin si no coincide exactamente
con el patrn.
Las App-ID personalizadas se almacenan en una base de datos separada del cortafuegos y su
base de datos no se ve afectada por las actualizaciones semanales de App-ID.
Los descifradores de protocolos de aplicaciones admitidos que habilitan el cortafuegos para que
detecte las aplicaciones que puedan estar pasando a travs de un tnel por dentro del protocolo
incluyen los siguientes, segn la actualizacin de contenido 424: HTTP, HTTPS, DNS, FTP,
IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger,
GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin conocido como
CIFS). Adems, con la versin 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha
ampliado para incluir tambin TCP desconocido y UDP desconocido.
App-ID
267
App-ID
De forma alternativa, si desea que el cortafuegos procese la aplicacin personalizada utilizando el mtodo
rpido (la inspeccin de capa 4 en lugar de utilizar App-ID para la inspeccin de capa 7), puede hacer
referencia a la App-ID personalizada en una poltica de cancelacin de aplicacin. Una cancelacin de
aplicacin con una aplicacin personalizada evitar que el motor de App-ID procese la sesin, lo cual es una
inspeccin de capa 7. Por el contrario, obliga a que el cortafuegos gestione la sesin como un cortafuegos
de inspeccin de estado normal en la capa 4, con lo que ahorra tiempo de procesamiento de la aplicacin.
Por ejemplo, si crea una aplicacin personalizada que se activa en el encabezado de un host www.misitioweb.com,
los paquetes se identifican primero como exploracin web y, a continuacin, se identifican con su aplicacin
personalizada (cuya aplicacin principal es exploracin web). Dado que la aplicacin principal es exploracin
web, la aplicacin personalizada se inspecciona como capa 7 y se examina en busca de contenido y
vulnerabilidades.
Si define una cancelacin de aplicacin, el cortafuegos deja de procesar en la capa 4. El nombre de la
aplicacin personalizada se asigna a la sesin para ayudar a identificarla en los logs y no se examina el trfico
en busca de amenazas.
Si desea informacin ms detallada, consulte los siguientes artculos:
Handling Unknown Applications (en ingls)
Vdeo: Create a Custom App-ID (en ingls)
Custom Application Signatures (en ingls)
268
App-ID
App-ID

1.
Consulte el ACC para obtener la lista de aplicaciones de su red y determine qu aplicaciones permitir o bloquear.
Si est migrando desde un cortafuegos donde defini reglas basadas en puertos, para obtener una lista de las
aplicaciones que se ejecutan en un puerto determinado, busque el nmero de puerto en el explorador de aplicaciones
(Objetos > Aplicaciones) del cortafuegos de Palo Alto Networks o en Applipedia.
2.
Utilice predeterminado de aplicacin para el Servicio. El cortafuegos compara el puerto utilizado con la lista de
puertos predeterminados para esa aplicacin. Si el puerto utilizado no es un puerto predeterminado para la aplicacin,
el cortafuegos descarta la sesin y registra en el log el mensaje appid policy lookup deny.
Si tiene una aplicacin a la que se accede desde varios puertos y desea limitar los puertos en los que se utiliza la
aplicacin, especifquelo en los objetos Servicio/Grupo de servicios de las polticas.
3.
Utilice filtros de aplicacin para incluir dinmicamente nuevas aplicaciones en reglas de poltica existentes. Vea un
ejemplo.
App-ID
269
App-ID

Cuando cree una poltica para permitir aplicaciones especficas, tambin debe asegurarse de permitir cualquier
otra aplicacin de la que dependa la aplicacin en cuestin. En muchos casos, no tiene que permitir de manera
explcita el acceso a las aplicaciones dependientes para que el trfico fluya, ya que el cortafuegos es capaz de
determinar las dependencias y permitirlas de manera implcita. Esta compatibilidad implcita tambin se aplica
a las aplicaciones personalizadas que se basen en HTTP, SSL, MS-RPC o RTSP. Las aplicaciones para las que el
cortafuegos no pueda determinar las aplicaciones dependientes a tiempo requerirn que permita de manera
explcita las aplicaciones dependientes al definir sus polticas. Puede determinar las dependencias de las
aplicaciones en Applipedia.
La tabla siguiente enumera las aplicaciones para las que el cortafuegos tiene una compatibilidad implcita (segn
la actualizacin de contenido 436).
Tabla: Aplicaciones con compatibilidad implcita
Aplicacin
Admite implcitamente
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
facebook
http, ssl
facebook-chat
jabber
facebook-social-plugin
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
270
App-ID
App-ID
Aplicacin
good-for-enterprise
http, ssl
google-cloud-print
http, ssl, jabber
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ssl, http, rtmp
ifront
http
instagram
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
App-ID
271
App-ID
Aplicacin
panos-global-protect
http
panos-web-interface
http
pastebin
http
pastebin-posting
http
pinterest
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
twitter
http
whatsapp
http, ssl
xm-radio
rtsp
272
App-ID
App-ID

El cortafuegos de Palo Alto Networks no clasifica el trfico por puerto y protocolo; en lugar de eso, identifica
la aplicacin basndose en sus propiedades y caractersticas de transacciones exclusivas mediante la tecnologa
App-ID. Sin embargo, algunas aplicaciones requieren que el cortafuegos abra pinholes dinmicamente para
establecer la conexin, determinar los parmetros de la sesin y negociar los puertos que se utilizarn para la
transferencia de datos; estas aplicaciones utilizan la carga de la capa de aplicacin para comunicar los puertos
TCP o UDP dinmicos en los que la aplicacin abre conexiones de datos. Para dichas aplicaciones, el
cortafuegos sirve de puerta de enlace de nivel de aplicacin (ALG) y abre un pinhole durante un tiempo limitado
y para transferir exclusivamente datos o trfico de control. El cortafuegos tambin realiza una reescritura de la
NAT de la carga cuando es necesario.
El cortafuegos de Palo Alto Networks funciona como ALG para los siguientes protocolos: FTP, SIP, H.323,
RTSP, Oracle/SQLNet/TNS, MGCP, Unistim y SCCP.
Cuando el cortafuegos sirve de ALG para el protocolo de inicio de sesin (SIP), de manera
predeterminada realiza la NAT en la carga y abre pinholes dinmicos para los puertos de medios.
En algunos casos, dependiendo de las aplicaciones del SIP en uso en su entorno, los puntos de
finalizacin del SIP tienen inteligencia de NAT incorporada en sus clientes. En esos casos,
quizs deba deshabilitar la funcin de ALG del SIP para evitar que el cortafuegos modifique las
sesiones de sealizacin. Cuando la ALG del SIP est deshabilitada, si App-ID determina que
una sesin es de tipo SIP, no se traduce la carga y no se abren pinholes dinmicos. Consulte
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP.
App-ID
273
Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP
App-ID
Deshabilitacin de la puerta de enlace de nivel de

aplicacin (ALG) SIP
El cortafuegos de Palo Alto Networks utiliza la puerta de enlace de nivel de aplicacin (ALG) del protocolo de
inicio de sesin (SIP) para abrir pinholes dinmicos en el cortafuegos donde la NAT est habilitada. Sin
embargo, algunas aplicaciones (como las de VoIP) tienen inteligencia de NAT incorporada en la aplicacin
cliente. En estos casos, la ALG del SIP del cortafuegos puede interferir en las sesiones de sealizacin y
provocar que la aplicacin cliente deje de funcionar.
Una solucin a este problema es definir una poltica de cancelacin de aplicacin para el SIP, pero utilizar este
enfoque deshabilita la App-ID y la funcin de deteccin de amenazas. Un enfoque mejor es deshabilitar la ALG
del SIP, lo cual no deshabilita la App-ID ni la deteccin de amenazas.
El siguiente procedimiento describe cmo deshabilitar la ALG del SIP.
Deshabilitacin de la ALG del SIP
Paso 1
Seleccione Objetos > Aplicaciones.
Paso 2
Seleccione la aplicacin sip.

Puede escribir sip en el cuadro Bsqueda para ayudar a encontrar la aplicacin sip.
Paso 3
Seleccione Personalizar... para ALG en la seccin Opciones del cuadro de dilogo Aplicacin.
Paso 4
Seleccione la casilla de verificacin Deshabilitar ALG del cuadro de dilogo Aplicacin - sip y haga
clic en ACEPTAR.
Paso 5
Cierre el cuadro de dilogo Aplicacin y compile el cambio.
274
App-ID
El cortafuegos de prxima generacin de Palo Alto Networks protege y defiende su red ante amenazas de
productos y amenazas avanzadas persistentes (APT). Los mecanismos de deteccin con varios elementos del
cortafuegos incluyen un enfoque basado en firmas (IPS/comando y control/antivirus), un enfoque basado en
la heurstica (deteccin de bots), un enfoque basado en Sandbox (WildFire) y un enfoque basado en anlisis con
el protocolo de capa 7 (App-ID).
Las amenazas de productos son exploits que son menos sofisticados y que se detectan y previenen ms
fcilmente con una combinacin de las capacidades de antivirus, antispyware, proteccin contra
vulnerabilidades y filtrado de URL/identificacin de aplicaciones del cortafuegos.
Las amenazas avanzadas son cometidas por cibercriminales organizados o grupos malintencionados que utilizan
vectores de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad intelectual
y datos financieros. Estas amenazas son ms evasivas y requieren mecanismos de supervisin inteligentes para
realizar una investigacin detallada de host y de red en busca de software malintencionado. El cortafuegos de
prxima generacin de Palo Alto Networks, junto con WildFire y Panorama, proporciona una solucin
completa que intercepta y detiene la cadena de ataque y ofrece visibilidad para evitar un incumplimiento de la
seguridad en sus infraestructuras de red, incluidas las mviles y las virtualizadas.
Concesin de licencias para la prevencin de amenazas
Configuracin de polticas y perfiles de seguridad
Prevencin de ataques de fuerza bruta
Prcticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
Infraestructura de Content Delivery Network para actualizaciones dinmicas
Si desea ms informacin, consulte los siguientes artculos:
Creating Custom Threat Signatures (en ingls)
Threat Prevention Deployment (en ingls)
Understanding DoS Protection (en ingls)
Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden
identificar, utilice los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto
al nmero de ID para obtener ms informacin acerca de una amenaza.
275

En las siguientes secciones se describen las licencias disponibles requeridas para utilizar las funciones de
prevencin de amenazas y se describe el proceso de activacin:
Acerca de las licencias de prevencin de amenazas
Obtencin e instalacin de licencias
Acerca de las licencias de prevencin de amenazas

A continuacin se indica una lista de las licencias necesarias para habilitar todas las funciones de prevencin de
amenazas en el cortafuegos:
Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.
Filtrado de URL: Proporciona la capacidad de controlar el acceso a los sitios web basndose en la categora
de URL. Puede adquirir e instalar una suscripcin para PAN-DB (base de datos de Palo Alto Networks) o
las bases de datos de filtrado de URL de BrightCloud.
WildFire: La funcin WildFire se incluye como parte del producto bsico. Esto significa que cualquiera
puede configurar un perfil de bloqueo de archivos para reenviar archivos Portable Executable (PE) a
WildFire para su anlisis. Se requiere una suscripcin a la prevencin de amenazas para recibir las
actualizaciones de firmas de antivirus, lo que incluye las firmas descubiertas por WildFire.
El servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas organizaciones que necesitan
una seguridad inmediata, y permite actualizaciones de firmas de WildFire con una frecuencia inferior a una
hora, el reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java) y la capacidad
para cargar archivos usando la API de WildFire. Tambin se requiere una suscripcin a WildFire si sus
cortafuegos van a reenviar archivos a un dispositivo WF-500 WildFire privado.
Reflejo de puerto de descifrado: Permite crear una copia del trfico descifrado desde el cortafuegos y
enviarla a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin
formato (como NetWitness o Solera) para su archivado y anlisis. Actualmente esta licencia est disponible
de manera gratuita a travs del portal de asistencia tcnica de Palo Alto Networks; esta funcin es compatible
nicamente en las plataformas de las series PA-7050, PA-5000 y PA-3000. Para obtener ms informacin,
consulte Configuracin del reflejo del puerto de descifrado.
Obtencin e instalacin de licencias

Para adquirir licencias, pngase en contacto con el departamento de ventas de Palo Alto Networks. Despus de
obtener una licencia, desplcese hasta Dispositivo > Licencias.
Puede realizar las siguientes tareas en funcin de cmo vaya a obtener sus licencias:
276
Obtencin de claves de licencia del servidor de licencias: Use esta opcin si su licencia se ha activado
en el portal de asistencia tcnica.
Activacin de la funcin usando un cdigo de autorizacin: Use esta opcin para habilitar las
suscripciones adquiridas con un cdigo de autorizacin para licencias que no han sido previamente activadas
en el portal de asistencia tcnica.
Carga manual de la clave de licencia: Use esta opcin si su dispositivo no tiene conectividad con el sitio
de asistencia tcnica de Palo Alto Networks. En este caso, debe descargar un archivo de clave de licencia del
sitio de asistencia tcnica a travs de un ordenador conectado a Internet y despus cargarlo en el dispositivo.
Para obtener ms informacin sobre el registro y la activacin de licencias en su cortafuegos, consulte Activacin
de servicios de cortafuegos.

Los perfiles de seguridad proporcionan proteccin ante amenazas en polticas de seguridad. Por ejemplo, puede
aplicar un perfil de antivirus a una poltica de seguridad y todo el trfico que coincida con las polticas de
seguridad se analizar para buscar virus.
Para ver ejemplos bsicos de configuracin que le ayuden con los aspectos esenciales de estas funciones,
consulte Configuracin de polticas y perfiles de seguridad.
La siguiente tabla ofrece una descripcin general de los perfiles de seguridad que se pueden aplicar a las polticas
de seguridad y una descripcin bsica de los perfiles de proteccin de zonas y DoS:
Funcin de prevencin
de amenazas
Descripcin
Antivirus
Protege contra virus, gusanos, troyanos y descargas de spyware. Al usar un motor de

prevencin contra software malintencionado basado en secuencias, que analiza el trfico
nada ms recibir el primer paquete, la solucin antivirus Palo Alto Networks puede ofrecer
proteccin para clientes sin que esto tenga un impacto significativo en el rendimiento del
cortafuegos. Esta funcin analizar una gran variedad de software malintencionado en
archivos ejecutables, PDF, HTML y virus JavaScript, incluida la compatibilidad con el
anlisis dentro de archivos comprimidos y esquemas de codificacin de datos. Anlisis de
contenido sin cifrar que se puede realizar activando el descifrado del cortafuegos.
El perfil predeterminado inspecciona todos los descodificadores de protocolos enumerados
para virus y genera alertas para protocolos SMTP, IMAP y POP3 al tiempo que bloquea
protocolos FTP, HTTP y SMB. Los perfiles personalizados se pueden utilizar para
minimizar la exploracin antivirus para el trfico entre zonas de seguridad fiables y para
maximizar la inspeccin o el trfico recibido de zonas no fiables, como Internet, as como
el trfico enviado a destinos altamente sensibles, como granjas de servidores.
El sistema WildFire de Palo Alto Networks tambin ofrece firmas para amenazas
persistentes ms evasivas y que todava no han sido descubiertas por otras soluciones de
antivirus. A medida que WildFire detecta amenazas, se van creando las firmas rpidamente
y despus se integran en las firmas de antivirus estndar que los suscriptores de prevencin
de amenazas pueden descargar todos los das (o cada hora o menos en el caso de
suscriptores de WildFire).
277
Funcin de prevencin
de amenazas
Descripcin
Antispyware
Impide que el spyware en hosts comprometidos realice llamadas a casa o balizamiento a

servidores externos de comando y control (C2). Puede aplicar diversos niveles de proteccin
entre zonas. Por ejemplo, tal vez desee tener perfiles antispyware personalizados que
reduzcan al mnimo la inspeccin entre zonas fiables y amplan al mximo la inspeccin del
trfico procedente de una zona no fiable, como zonas de Internet.
Puede elegir entre dos perfiles predefinidos al aplicar antispyware a una poltica de
seguridad.
Predeterminado: El perfil predeterminado usar la accin predeterminada para cada
firma, tal como especifica Palo Alto Networks al crear la firma.
Estricto: El perfil estricto anular la accin de amenazas de gravedad crtica, alta y media
para bloquear la accin, independientemente de la accin definida en el archivo de firma.
La accin predeterminada se usa con firmas de gravedad media e informativa.
En PAN-OS 6.0, se ha aadido la funcin DNS sinkhole. La accin DNS sinkhole que
puede habilitarse en perfiles de antispyware permite que el cortafuegos genere una respuesta
errnea a una consulta DNS para un dominio malintencionado conocido, haciendo que el
nombre de dominio malintencionado se resuelva en una direccin IP que usted defina. Esta
funcin se puede utilizar para identificar hosts infectados en la red protegida mediante
trfico DNS en situaciones en las que el cortafuegos no pueda ver la consulta DNS del
cliente infectado (es decir, el cortafuegos no puede ver al originador de la consulta DNS).
En una implementacin tpica, donde el cortafuegos est antes del servidor DNS local, el
log de amenazas identificar la resolucin DNS local como el origen del trfico en lugar del
host infectado. Las consultas DNS de software malintencionado falsificadas resuelven este
problema de visibilidad generando respuestas errneas a las consultas de host de cliente
dirigidas a dominios malintencionados, de modo que los clientes que intenten conectarse a
dominios malintencionados (mediante comando y control, por ejemplo) intenten
conectarse en su lugar a una direccin IP sinkhole que usted defina. Los hosts infectados
pueden identificarse fcilmente en los logs de trfico y amenaza porque cualquier host que
intente conectarse a la direccin IP sinkhole est infectado casi con toda seguridad con
software malintencionado. Los perfiles de proteccin contra vulnerabilidades y antispyware
se configuran de forma similar. El principal objetivo del antispyware es detectar trfico
malintencionado que salga de la red desde clientes infectados, mientras que la proteccin
contra vulnerabilidades evita que las amenazas entren en la red.
Proteccin contra
vulnerabilidades
Detiene los intentos de explotacin de fallos del sistema y de acceso no autorizado a los
sistemas. Por ejemplo, esta funcin protege contra desbordamiento de bfer, ejecucin de
cdigo ilegal y otros intentos de explotar las vulnerabilidades del sistema. El perfil
predeterminado de proteccin contra vulnerabilidades protege a clientes y servidores de
todas las amenazas conocidas de gravedad crtica, alta y media. Tambin puede crear
excepciones, que le permiten cambiar la respuesta a una firma concreta.
Los perfiles de proteccin contra vulnerabilidades y antispyware se configuran de forma
similar. El principal objetivo de la proteccin contra vulnerabilidades es detectar el trfico
malintencionado que entra en la red desde clientes infectados, mientras que la proteccin
contra vulnerabilidades evita las amenazas que salen de la red.
278
Funcin de prevencin
de amenazas
Descripcin
Filtrado de URL
Permite controlar el trfico web de usuarios basndose en sitios web especficos y/o
categoras de sitios web tales como para adultos, compras, apuestas, etc. La base de datos de
URL PAN-DB de Palo Alto Networks y la base de datos de BrightCloud estn disponibles
para la categorizacin y la aplicacin de polticas de filtrado de URL en el cortafuegos.
Para configurar el filtrado de URL, consulte Filtrado de URL.
Bloqueo de archivo
Bloquea tipos de archivos especificados en aplicaciones especificadas y en la direccin de

flujo de sesin especificada (entrante/saliente/ambas). Puede establecer el perfil para emitir
alertas o realizar bloqueos en cargas y descargas y puede especificar qu aplicaciones
quedarn sujetas al perfil de bloqueo de archivos. Tambin puede configurar pginas de
bloqueo personalizadas que aparecern cuando un usuario intente descargar el tipo de
archivo especificado. Esto permite al usuario dedicar unos instantes a considerar si desea o
no descargar el archivo.
Se pueden establecer las siguientes acciones cuando se detecte el archivo especificado.
Alertar: Cuando se detecta el tipo de archivo especificado, se genera un log en el log de
filtrado de datos.
Bloquear: Cuando se detecta el tipo de archivo especificado, se bloquea el archivo y se
presenta al usuario una pgina de bloqueo personalizable. Tambin se genera un log en
el log de filtrado de datos.
Continuar: Cuando se detecta el tipo de archivo especificado, se presenta al usuario una
pgina de continuacin. El usuario puede hacer clic en la pgina para descargar el archivo.
Tambin se genera un log en el log de filtrado de datos.
Reenviar: Cuando se detecta el tipo de archivo especificado, se enva a WildFire para
analizarlo. Tambin se genera un log en el log de filtrado de datos.
Continuar y reenviar: Cuando se detecta el tipo de archivo especificado, se presenta al
usuario una pgina de continuacin personalizable. El usuario puede hacer clic en la
pgina para descargar el archivo. Si el usuario hace clic en la pgina de continuacin para
descargar el archivo, el archivo se enva a WildFire para analizarlo. Tambin se genera un
log en el log de filtrado de datos.
Filtrado de datos
Ayuda a evitar que la informacin confidencial, como los nmeros de tarjetas de crdito o
seguridad social, salga de la red protegida. Tambin puede filtrar por palabras clave, como
el nombre de un proyecto confidencial o la palabra confidencial. Es importante centrar su
perfil en el tipo de archivos deseado para reducir los falsos positivos. Por ejemplo, puede
que solo quiera buscar documentos de Word o Excel. O tal vez solo quiera analizar el trfico
de navegacin web o FTP.
Puede usar perfiles predeterminados o crear patrones de datos personalizados. Hay dos
perfiles predeterminados:
CC# (tarjeta de crdito): Identifica nmeros de tarjetas de crdito usando un algoritmo
de hash. El contenido debe coincidir con el algoritmo de hash para detectar los datos
como un nmero de tarjeta de crdito. Este mtodo reduce los falsos positivos.
SSN# (nmero de la seguridad social): Usa un algoritmo para detectar los nueve
dgitos, independientemente del formato. Hay dos campos: SSN# y SSN# (sin guin).
279
Funcin de prevencin
de amenazas
Descripcin
Filtrado de datos
(continuacin)
Valores de peso y umbral
Es importante comprender el modo en que se calcula el peso de un objeto (patrn de SSN,

CC#) con objeto de establecer el umbral adecuado para una condicin que est intentando
filtrar. Cada ocurrencia multiplicada por el valor de peso se aade para alcanzar un umbral
de accin (alerta o bloqueo).
Ejemplo 1
Para simplificar, si solamente quiere filtrar los archivos con nmeros de la seguridad social
(SSN) y define un peso de 3 para SSN#, usara la siguiente frmula: cada ejemplo de un SSN
x peso = incremento del umbral. En este caso, si un documento de Word tiene 10 nmeros
de la seguridad social, se multiplica esa cantidad por 3, de modo que 10 x 3 = 30. Para
realizar acciones con un archivo que contiene 10 nmeros de la seguridad social, debera
establecer el umbral en 30. Puede que desee establecer una alerta a los 30 y despus un
bloqueo a los 60. Puede que tambin quiera establecer un peso en el campo SSN# (sin
guin) para los nmeros de la seguridad social que no contengan guiones. Si se usan varios
ajustes, irn sumndose para alcanzar un umbral concreto.
Ejemplo 2
En este ejemplo, filtraremos archivos que contengan nmeros de la seguridad social y el

patrn personalizado confidencial. Dicho de otro modo, si un archivo tiene nmeros de la
seguridad social adems de la palabra confidencial y los ejemplos combinados de esos
elementos alcanzan el umbral, el archivo desencadenar una alerta o un bloqueo,
dependiendo del ajuste de accin.
Multiplicador de SSN# = 3
Multiplicador de confidencial del patrn personalizado = 20
Nota
El patrn personalizado distingue entre maysculas y minsculas.
Si el archivo contiene 20 nmeros de la seguridad social y se configura un multiplicador 3,

el clculo es 20 x 3 = 60. Si el archivo tambin contiene un ejemplo del trmino confidencial
y se configura un multiplicador 20, el clculo es 1 x 20 = 20, que hace un total de 80. Si el
umbral para el bloqueo se configura en 80, en este ejemplo se bloqueara el archivo. La
accin de alerta o bloqueo se dispara en cuanto se alcanza el umbral.
280
Funcin de prevencin
de amenazas
Descripcin
Proteccin contra ataques

por denegacin de servicio
Ofrece un control detallado de las polticas de proteccin contra ataques por denegacin de
servicio (DoS). Las polticas DoS permiten controlar el nmero de sesiones entre interfaces,
zonas, direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen o
destino. Hay dos mecanismos de proteccin DoS compatibles con los cortafuegos de Palo
Alto Networks.
Proteccin contra inundaciones: Detecta y evita los ataques en los que la red est
inundada con paquetes y esto provoca que haya muchas sesiones a medio abrir o servicios
que no pueden responder a cada solicitud. En este caso la direccin de origen del ataque
suele estar falsificada.
Proteccin de recursos: Detecta y previene los ataques de agotamiento por sesiones.
En este tipo de ataque, se usa un gran nmero de hosts (bots) para establecer el mayor
nmero posible de sesiones completas para consumir todos los recursos del sistema.
Estos dos mecanismos de proteccin pueden definirse en un nico perfil DoS.
El perfil DoS se usa para especificar el tipo de accin que se llevar a cabo y los detalles de
los criterios de coincidencia para la poltica DoS. El perfil DoS define ajustes para
inundaciones de ICMP, SYN y UDP, puede habilitar la proteccin de recursos y define el
nmero mximo de conexiones simultneas. Una vez configurado el perfil de proteccin
DoS, agrguelo a una poltica DoS.
Al configurar proteccin DoS, es importante analizar su entorno para establecer los
umbrales correctos y, debido a algunas de las complejidades para definir las polticas de
proteccin DoS, esta gua no ofrece ejemplos detallados. Para obtener ms informacin,
consulte Threat Prevention Tech Note (en ingls).
Proteccin de zonas
Ofrece proteccin adicional entre zonas de red especficas para protegerlas de los ataques.
El perfil debe aplicarse a toda la zona, as que es importante probar cuidadosamente los
perfiles para evitar que surjan problemas cuando el trfico normal cruce la zona. Si define
lmites de umbral de paquetes por segundo (pps) de perfiles de proteccin de zonas, el
umbral se basa en los paquetes por segundo que no coinciden con ninguna sesin
establecida previamente.
Para obtener ms informacin, consulte Threat Prevention Tech Note (en ingls).
281

Las siguientes secciones ofrecen ejemplos de configuracin de prevencin de amenazas bsica.
Configuracin de filtrado de datos
Para obtener informacin sobre cmo controlar el acceso web como parte de su estrategia de prevencin de
amenazas, consulte Configuracin de filtrado de URL.

A continuacin se describen los pasos necesarios para configurar los perfiles predeterminados de antivirus,
antispyware y proteccin contra vulnerabilidades. Estas funciones tienen objetivos muy similares, por lo que
estos pasos son solo de carcter general y sirven para habilitar los perfiles predeterminados.
Todas las firmas antispyware y de proteccin contra vulnerabilidades tienen una accin
predeterminada definida por Palo Alto Networks. Puede ver la accin predeterminada
navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de
seguridad > Proteccin contra vulnerabilidades y, a continuacin, seleccionando un perfil.
Haga clic en la pestaa Excepciones y despus en Mostrar todas las firmas; ver una lista
de las firmas con la accin predeterminada en la columna Accin. Para cambiar la accin
predeterminada, debe crear un nuevo perfil y, a continuacin, crear reglas con una accin no
predeterminada y/o aadir excepciones de firma individuales a Excepciones en el perfil.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de

prevencin de amenazas.
La licencia de prevencin de amenazas rene en una licencia las

funciones de antivirus, antispyware y proteccin contra
vulnerabilidades.
Seleccione Dispositivo > Licencias para verificar que la licencia de
Prevencin de amenazas est instalada y comprobar la fecha de
vencimiento.
Paso 2
Descargue las firmas de amenazas de

antivirus ms recientes.
1.
Seleccione Dispositivo > Actualizaciones dinmicas y haga clic

en Comprobar ahora en la parte inferior de la pgina para
recuperar las firmas ms recientes.
En la columna Acciones, haga clic en Descargar para instalar las

firmas ms recientes de antivirus y de aplicaciones y amenazas.
282
Paso 3
Programe actualizaciones de firmas.
1.
Desde Dispositivo > Actualizaciones dinmicas, haga clic en el

texto que hay a la derecha de Programacin para recuperar
automticamente las actualizaciones de firmas de Antivirus y
2.
Especifique la frecuencia y sincronizacin de las actualizaciones

y si la actualizacin se descargar e instalar o nicamente se
descargar. Si selecciona nicamente descargar, tendr que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Accin para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar
una compilacin.
3.
(Opcional) Tambin puede introducir un nmero de horas en el

campo Umbral para indicar el tiempo mnimo que debe tener
una firma antes de realizar la descarga. Por ejemplo, si introduce
10, la firma debe tener al menos 10 horas de antigedad antes de
poder descargarla, independientemente de la programacin.
4.
En una configuracin de HA, tambin puede hacer clic en la

opcin Sincronizar en el peer para sincronizar la actualizacin
de contenido con el peer de HA tras la descarga/instalacin.
Esto no har que se apliquen los ajustes de programacin al
dispositivo del peer, sino que tendr que configurar la
programacin en cada dispositivo.
Recomendaciones para las programaciones de antivirus
La recomendacin general para programar las actualizaciones de firmas de antivirus es realizar una descarga e instalacin
diariamente en el caso de los antivirus y semanalmente para las aplicaciones y vulnerabilidades.
Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
283
Paso 4
Aada los perfiles de seguridad a una

1.
Seleccione Polticas > Seguridad, seleccione la poltica deseada

para modificarla y, a continuacin, haga clic en la pestaa
Acciones.
2.
En Ajuste de perfil, haga clic en el men desplegable junto a

cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos Antivirus, Proteccin contra vulnerabilidades
y Antispyware.
Nota
Si no se haba definido ningn perfil de seguridad

anteriormente, seleccione Perfiles en el men desplegable
Tipo de perfil. Ver una lista de opciones para
seleccionar los perfiles de seguridad.
Paso 5
Configuracin de filtrado de datos

A continuacin se describen los pasos necesarios para configurar un perfil de filtrado de datos que detecte los
nmeros de la seguridad social y un patrn identificado en documentos .doc y .docx.
Ejemplo de configuracin de filtrado de datos
Paso 1
Cree un perfil de seguridad de filtrado de 1.

datos.
Seleccione Objetos > Perfiles de seguridad > Filtrado de datos

y haga clic en Aadir.
2.
Introduzca un Nombre y una Descripcin para el perfil. En este

ejemplo, el nombre es FD_Perfil1 y la descripcin es Deteccin de
nmeros de la seguridad social.
3.
(Opcional) Si quiere recopilar los datos bloqueados por el filtro,

marque la casilla de verificacin Captura de datos.
Nota
284
Debe establecer una contrasea como se describe en el

Paso 2 si est utilizando la funcin de captura de datos.
Ejemplo de configuracin de filtrado de datos (Continuacin)
Paso 2
Paso 3
(Opcional) Proteja el acceso a los logs de 1.

filtrado de datos para evitar que otros
2.
administradores vean datos
confidenciales.
3.
Cuando habilite esta opcin, se le pedir
la contrasea cuando visualice logs en
Supervisar > Logs > Filtrado de datos.
Seleccione Dispositivo > Configuracin > Content-ID.

Haga clic en Gestionar proteccin de datos en la seccin
Caractersticas de ID de contenido.
Establezca la contrasea obligatoria para ver los logs de filtrado
de datos.
Defina el patrn de datos que se usar en el perfil de filtrado de datos. En este ejemplo, usaremos la palabra
clave confidencial y estableceremos la opcin de buscar nmeros de la seguridad social con guiones
(p. ej.: 987-654-4320). Es recomendable establecer los umbrales apropiados y definir las palabras clave dentro
de los documentos para reducir los falsos positivos.
1. Desde la pgina Perfil de filtrado de datos, haga clic en Aadir y seleccione Nuevo en el men desplegable
Patrn de datos. Tambin puede configurar patrones de datos desde Objetos > Firmas personalizadas >
Patrones de datos.
2. Para este ejemplo, d a la firma de patrn de datos el nombre
Detectar nmeros de la seguridad social y aada la descripcin
Patrn de datos para detectar nmeros de la seguridad social.
3. En la seccin Ponderacin de SSN# introduzca 3. Consulte Valores
de peso y umbral para obtener ms informacin.
4. (Opcional) Tambin puede establecer patrones personalizados que
quedarn sujetos a este perfil. En este caso, especifique un patrn en el
campo Regex de los patrones personalizados y determine una
ponderacin. Puede aadir mltiples expresiones coincidentes al mismo
perfil del patrn de datos. En este ejemplo, crearemos un patrn
personalizado llamado SSN_Personalizado con un patrn
personalizado de confidencial (el patrn distingue entre maysculas y
minsculas) y usaremos una ponderacin de 20. Usamos el trmino
confidencial en este ejemplo porque sabemos que nuestros
documentos de Word de la seguridad social contienen esta palabra, as
que definimos esa concretamente.
285
Paso 4
Paso 5
286
Especifique qu aplicaciones se filtrarn y 1.

determine los tipos de archivo.
Establezca Aplicaciones como Cualquiera. Esto detectar las

aplicaciones compatibles tales como: exploracin web, FTP o
SMTP. Si quiere concretar ms la aplicacin, puede seleccionarla
de la lista. Para aplicaciones como Microsoft Outlook Web App
que usan SSL, tendr que habilitar el descifrado. Asegrese de
que comprende el nombre de cada aplicacin. Por ejemplo,
Outlook Web App, que es el nombre de Microsoft para esta
aplicacin, se identifica como la aplicacin outlook-web en la
lista de aplicaciones de PAN-OS. Puede comprobar los logs de
una aplicacin determinada para identificar el nombre definido
en PAN-OS.
2.
Establezca Tipos de archivos como doc y docx para analizar

nicamente archivos doc y docx.
Especifique la direccin del trfico que se 1.

filtrar y los valores de umbral.
Establezca la direccin como Ambos. Se analizarn tanto los

archivos que se cargan como los que se descargan.
2.
Establezca el Umbral de alerta como 35. En este caso, se

iniciar una alerta si hay 5 casos de nmeros de la seguridad
social y un caso del trmino confidencial. La frmula es 5 casos
de SSN con una ponderacin de 3 = 15, ms 1 caso del trmino
confidencial con una ponderacin de 20 = 35.
3.
Establezca el umbral de bloqueo en 50. El archivo se bloquear

si hay 50 casos de un SSN o existe el trmino confidencial en el
archivo. En este caso, si el archivo doc contena 1 caso de la
palabra confidencial con una ponderacin de 20 que equivale a
20 hacia el umbral, y el archivo doc tiene 15 nmeros de la
seguridad social con una ponderacin de 3, equivale a 45. Si
suma 20 y 45 obtendr 65, que supera el umbral de bloqueo
de 50.
Paso 6
Adjunte el perfil de filtrado de datos a la

regla de seguridad.
Paso 7
Paso 8
Compruebe la configuracin de filtrado

de datos.
1.
Seleccione Polticas > Seguridad y seleccione la regla de poltica

de seguridad a la que aplicar el perfil.
2.
Haga clic en la regla de la poltica de seguridad para modificarla

y despus haga clic en la pestaa Acciones. En el men
desplegable Filtrado de datos, seleccione el nuevo perfil de
filtrado de datos que ha creado y haga clic en Aceptar para
guardar. En este ejemplo, el nombre de la regla de filtrado de
datos es FD_Perfil1.
En la prueba debe usar nmeros de la seguridad social reales y cada

nmero debe ser exclusivo. Asimismo, al definir patrones
personalizados como hicimos en este ejemplo con la palabra
Si tiene problemas para conseguir que
confidencial, el patrn distingue entre maysculas y minsculas.
funcione el filtrado de datos, puede
Para que la prueba sea sencilla, tal vez prefiera hacerla usando
comprobar el log Filtrado de datos o el
primero solo un patrn de datos y despus probando los nmeros de
log Trfico para comprobar la aplicacin
la seguridad social.
que est probando y asegurarse de que el
1. Acceda a un PC cliente en la zona fiable del cortafuegos y enve
documento de prueba tiene el nmero
una solicitud de HTTP para cargar un archivo .doc o .docx que
adecuado de instancias de nmeros
contenga la informacin exacta que defini para el filtrado.
exclusivos de la seguridad social. Por
ejemplo, una aplicacin como Microsoft 2. Cree un documento de Microsoft Word con una instancia del
trmino confidencial y cinco nmeros de la seguridad social con
Outlook Web App puede que se
guiones.
identifique como exploracin web, pero si
observa los logs, ver que la aplicacin es 3. Cargue el archivo a un sitio web. Use un sitio HTTP a menos
outlook-web. Aumente tambin la
que tenga configurado el descifrado, en cuyo caso puede usar
cantidad de nmeros de la seguridad
HTTPS.
social o el patrn predeterminado para
4. Seleccione los logs Supervisar > Logs > Filtrado de datos.
asegurarse de que alcanza los umbrales.
5. Localice el log que se corresponda con el archivo que acaba de
cargar. Para ayudar a filtrar los logs, utilice el origen de su PC
cliente y el destino del servidor web. La columna Accin del log
mostrar Restablecer ambos. Ahora puede incrementar la
cantidad de nmeros de la seguridad social en el documento
para comprobar el umbral de bloqueo.
287

Este ejemplo describe los pasos bsicos necesarios para configurar el bloqueo y el reenvo de archivos. En esta
configuracin, ajustaremos las opciones necesarias para indicar a los usuarios que continen antes de descargar
archivos .exe de los sitios web. Al probar este ejemplo, tenga en cuenta que puede haber otros sistemas entre
usted y el origen que bloquean el contenido.
Paso 1
Paso 2
288
Cree el perfil de bloqueo de archivos.
Configure las opciones de bloqueo de

archivos.
1.

2.
Introduzca un nombre para el perfil de bloqueo de archivos, por

ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripcin, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.
1.
Haga clic en Aadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como Bloquear_EXE.
3.
Establezca las Aplicaciones para el filtrado, por ejemplo

exploracin web.
4.
En Tipos de archivos seleccione exe.
5.
En Direccin seleccione descarga.
6.
En Accin seleccione continuar. Al seleccionar la opcin de

continuar, se mostrar a los usuarios una pgina de respuesta
que les indica que hagan clic en continuar antes de que se
descargue el archivo.
7.
Configuracin de bloqueo de archivos (Continuacin)
Paso 3
Aada el perfil de bloqueo de archivos a

una poltica de seguridad.
1.
Seleccione Polticas > Seguridad y bien seleccione una poltica

Configuracin de polticas de seguridad bsicas.
2.
Haga clic en la pestaa Acciones dentro de la regla de poltica.
3.
En la seccin Ajuste de perfil, haga clic en el men desplegable

y seleccione el perfil de bloqueo de archivos que ha configurado.
En este caso, el nombre de perfil es Bloquear_EXE.
4.
Si no se ha definido ningn perfil de seguridad previamente,

seleccione el men desplegable Tipo de perfil y seleccione Perfiles.
Ver una lista de opciones para seleccionar los perfiles de seguridad.
Paso 4
Para comprobar su configuracin de bloqueo de archivos, acceda a un PC cliente en la zona fiable del cortafuegos
y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una pgina de
respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones, como
nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una pgina
que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de Bloqueo
de archivos:
Ejemplo: Pgina de respuesta de bloqueo de archivos predeterminada
Paso 5
(Opcional) Defina pginas de respuesta de bloqueo de archivos (Dispositivo > Pginas de respuesta). Esto le
permite ofrecer ms informacin a los usuarios cuando ven una pgina de respuesta. Puede incluir informacin
como la informacin de polticas de empresa e informacin de contacto de un departamento de soporte tcnico.
Nota
Cuando crea un perfil de bloqueo de archivos con la accin Continuar o Continuar y reenviar (utilizado para el
reenvo de WildFire), nicamente puede elegir la aplicacin de navegacin web. Si elige cualquier otra aplicacin,
el trfico que coincida con la poltica de seguridad no fluir hacia el cortafuegos debido al hecho de que los
usuarios no vern una pgina que les pregunte si desean continuar. Asimismo, si el sitio web utiliza HTTPS,
necesitar tener instaurada una poltica de descifrado.
Tal vez desee comprobar sus logs para confirmar qu aplicacin se est usando al probar esta caracterstica. Por ejemplo,
si est utilizando Microsoft Sharepoint para descargar archivos, aunque est utilizando un explorador web para acceder al
sitio, la aplicacin en realidad es sharepoint-base o sharepoint-document . Tal vez quiera establecer el tipo de
aplicacin como Cualquiera para probar.
289

Un ataque de fuerza bruta utiliza un gran volumen de solicitudes/respuestas de la misma direccin IP de origen
o destino para introducirse en un sistema. El atacante emplea un mtodo de ensayo y error para adivinar la
respuesta a un reto o una solicitud.
El perfil de proteccin contra vulnerabilidades del cortafuegos incluye firmas para protegerle de ataques de
fuerza bruta. Cada firma tiene un ID, Nombre de amenaza y Gravedad y se activa cuando se registra un patrn.
El patrn especifica las condiciones y el intervalo en los que el trfico se identifica como un ataque de fuerza
bruta; algunas firmas estn asociadas a otra firma secundaria de una gravedad menor que especifica el patrn
con el que debe coincidir. Cuando un patrn coincide con la firma o la firma secundaria, activa la accin
predeterminada de la firma.
Para aplicar la proteccin:
Aada el perfil de vulnerabilidad a una regla de seguridad. Consulte Configuracin de antivirus, antispyware
y proteccin contra vulnerabilidades.
Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas emergentes.
Consulte Gestin de la actualizacin de contenidos.
Cmo se activa una firma para un ataque de fuerza bruta?
Personalizacin de la accin y las condiciones de activacin para una firma de fuerza bruta
Cmo se activa una firma para un ataque de fuerza bruta?

La tabla siguiente enumera algunas firmas para ataques de fuerza bruta y las condiciones que las activan:
ID de firma
Nombre de amenaza
ID de firma secundaria Condiciones de activacin
40001
FTP: Intento de fuerza

bruta en el inicio de
sesin
40000
40003
40004
290
Frecuencia: 10 veces en 60 segundos

Patrn: La firma secundaria 40000 registra el
mensaje de respuesta de FTP con el cdigo de
error 430 para indicar que se envi un nombre
de usuario o una contrasea no vlido despus
del comando de aprobacin.
DNS: Intento de registro 40002

en cach con replicacin
SMB: Intento de fuerza 31696

bruta en la contrasea de
usuario
Patrn: La firma secundaria 40002 registra un

encabezado de respuesta de DNS con un
recuento de 1 para los campos de registro
Pregunta, Respuesta, Autoridad y Recurso
adicional.
Patrn: La firma secundaria 31696 registra el
cdigo de error de respuesta 0x50001 y el
cdigo de error 0xc000006d para cualquier
comando smb.
ID de firma
Nombre de amenaza
40005
LDAP: Intento de fuerza 31706

bruta en el inicio de
sesin de usuario
HTTP: Intento de fuerza 31708

bruta en autenticacin de
usuario
CORREO: Intento de
fuerza bruta en el inicio
de sesin de usuario
40006
40007
31709
Patrn: La firma secundaria 31706 busca el

cdigo de resultado 49 en un
bindResponse(27) de LDAP; el cdigo de
resultado 49 indica credenciales no vlidas.
cdigo de estado HTTP 401 con
WWW-Authenticate en el campo de encabezado
de respuesta; el cdigo de estado 401 indica un
fallo de autenticacin.
Patrn: La firma secundaria 31709 funciona en
aplicaciones smtp, pop3 e imap. La condicin
de activacin de cada aplicacin es la siguiente:
smtp: cdigo de respuesta 535
imap: fallo de inicio de sesin/registro
ausente/incorrecto
pop3: ERR en el comando PASS de pop3.
40008
40009
40010
40011
40012
40013
Intento de fuerza bruta

en autenticacin de
MySQL
31719

en autenticacin de
Telnet
31732

en autenticacin de
usuario de Microsoft
SQL Server
31753

cdigo de error 1045 en la etapa mysql clientauth.
Patrn: La firma secundaria 31732 busca inicio
de sesin incorrecto en el paquete de respuesta.
Intento de fuerza bruta 31754

en autenticacin de
usuario de base de datos
de Postgres
en autenticacin de
de Oracle
en autenticacin de
de Sybase

Patrn: La firma secundaria 31753 busca Fallo
de inicio de sesin del usuario en el paquete de
respuesta.
de autenticacin de contrasea del usuario en el
paquete de respuesta.
de autenticacin de contrasea del usuario en el
paquete de respuesta.
de inicio de sesin en el paquete de respuesta.
291
ID de firma
Nombre de amenaza
40014

en autenticacin de
de DB2

en autenticacin de
usuario de SSH
40015
40016
40017
40018
40019
40020
40021
40022
292
31914

punto de cdigo 0x1219 con cdigo de
gravedad 8 y cdigo de comprobacin de
seguridad 0xf.
Patrn: La firma secundaria 31914 recibe una
alerta por cada conexin al servidor SSH.
Intento de inundacin de 31993

solicitudes con el
mtodo INVITE de SIP
VPN: Intento de fuerza 32256

VPN SSL de caja de
PAN
HTTP: Intento de
denegacin de servicio
de Apache
32452
HTTP: Intento de
de IIS
32513
Intento de agotamiento
de nmero de llamadas
de Digium Asterisk
IAX2
32785
MS-RDP: Intento de
conexin a escritorio
remoto de MS
33020

mtodo INVITE en sesiones de SIP en las que
se haya invitado a un cliente para que participe
en una llamada.
Patrn: La firma secundaria 32256 busca
x-private-pan-sslvpn: auth-failed en el encabezado
de respuesta HTTP.
Patrn: La firma secundaria busca 32452 que
tenga longitud de contenido pero no incluya
\r\n\r\n en la solicitud.
Patrn: La firma secundaria 32513 busca %3f
en la ruta de uri http con .aspx.
campo de nmero de llamadas en un mensaje
de Asterisk.
HTTP: Intento de fuerza 33435

bruta con fuga de
informacin de
Microsoft ASP.Net

Patrn: La firma secundaria 33020 busca la
accin CONNECT en la solicitud de ms-rdp.
cdigo de respuesta 500 y el encabezado de
respuesta contiene \nX-Powered-By:
ASP\.NET
ID de firma
Nombre de amenaza
40023
SIP: Intento de solicitud 33592

de registro de SIP
SIP: Ataque de fuerza

bruta en mensaje SIP
Bye
40028
40030
40031
40032
40033
40034
34520

mtodo REGISTER de SIP que registra la
direccin indicada en el campo de encabezado
Para con un servidor SIP.
solicitud SIP BYE que se utiliza para finalizar
una llamada.
HTTP: Ataque de fuerza 34548

NTLM HTTP

bruta con HTTP
prohibido

bruta con herramienta
HOIC
DNS: Ataque de
de fuerza bruta en
consultas ANY
34842
SMB: Vulnerabilidad de 35364

falta de entropa en la
autenticacin NTLM en
SMB de de Microsoft
Windows

cdigo de estado HTTP 407 y un fallo de
autenticacin con un servidor proxy de NTLM.
respuesta HTTP 403 que indica que el servidor
est rechazando una solicitud de HTTP vlida.
solicitud de HTTP desde la herramienta de
denegacin distribuida de servicio High Orbit
Ion Cannon (HOIC).
Patrn: La firma secundaria 34842 busca
consultas de registro DNS ANY.
Patrn: La firma secundaria 35364 busca una
solicitud de negociacin de SMB (0x72). Varias
solicitudes en un breve perodo de tiempo
podran indicar un ataque para
CVE-2010-0231.
Personalizacin de la accin y las condiciones de activacin para una firma

de fuerza bruta
El cortafuegos incluye dos tipos de firmas de fuerza bruta predefinidas: firma principal y firma secundaria. Una
firma secundaria es una nica incidencia de un patrn de trfico que coincide con la firma. Una firma principal
est asociada a una firma secundaria y se activa cuando se producen varios eventos dentro de un intervalo de
tiempo y coinciden con el patrn de trfico definido en la firma secundaria.
293
Por lo general, una firma secundaria tiene de manera predeterminada la accin Permitir porque un nico evento
no es indicativo de un ataque. En la mayora de los casos, la accin de una firma secundaria est establecida como
Permitir para que el trfico legtimo no quede bloqueado y no se generen logs de amenaza para eventos que no
sean destacados. Por lo tanto, Palo Alto Networks nicamente le recomienda cambiar la accin predeterminada
despus de haberlo considerado detenidamente.
En la mayora de los casos, la firma de fuerza bruta es un evento destacado debido a su patrn recurrente. Si
desea personalizar la accin de una firma de fuerza bruta, puede realizar una de las siguientes acciones:
Cree una regla para modificar la accin predeterminada para todas las firmas de la categora de fuerza bruta.
Puede definir la accin para permitir, alertar, bloquear, restablecer o descartar el trfico.
Defina una excepcin para una firma especfica. Por ejemplo, puede buscar una CVE y definir una excepcin
para ella.
Para una firma principal, puede modificar tanto las condiciones de activacin como la accin; para una firma
secundaria, solamente puede modificarse la accin.
Para mitigar un ataque de manera eficaz, se recomienda la accin Bloquear
direccin IP antes que la accin Colocar o Restaurar para la mayora de firmas de
fuerza bruta.
Personalizacin del umbral y la accin para una firma
Paso 1
Cree un nuevo perfil de proteccin

contra vulnerabilidades.
1. Seleccione Objetos > Perfiles de seguridad > Proteccin de

vulnerabilidades.
2. Haga clic en Aadir e introduzca un Nombre para el perfil
de proteccin contra vulnerabilidades.
Paso 2
Cree una regla que defina la accin para

todas las firmas de una categora.
1. Seleccione Reglas, haga clic en Aadir e introduzca un

Nombre para la regla.
2.
Establezca la Accin. En este ejemplo, est establecida como

Bloquear.
294
3.
Establezca la Categora como Fuerza bruta.
4.
(Opcional) Si est bloqueando, especifique si desea bloquear el

servidor o el cliente; el valor predeterminado es cualquiera.
5.
Consulte el Paso 3 para personalizar la accin para una firma

especfica.
6.
Consulte el Paso 4 para personalizar el umbral de activacin

para una firma principal.
7.
Haga clic en Aceptar para guardar la regla y el perfil.
Personalizacin del umbral y la accin para una firma (Continuacin)
Paso 3
(Opcional) Personalice la accin para una 1.

firma especfica.
Seleccione Excepciones y haga clic en Mostrar todas las

firmas para buscar la firma que desee modificar.
Para ver todas las firmas de la categora Fuerza bruta, busque
(la categora contiene 'fuerza bruta').
2.
Para editar una firma especfica, haga clic en la accin

predeterminada predefinida en la columna Accin.
3.
Establezca la accin como Permitir, Alertar o Bloquear IP.
4.
Si selecciona Bloquear IP, realice estas tareas adicionales:

a. Especifique el Perodo de tiempo (en segundos) despus del
cual activar la accin.
b. En el campo Seguir por, defina si desea bloquear la direccin
IP por Origen de IP o por Origen y destino de IP.
Paso 4
5.
6.
Para cada firma modificada, seleccione la casilla de verificacin

de la columna Habilitar.
7.
Personalice las condiciones de activacin 1.

para una firma principal.
Haga clic en
para editar el atributo de tiempo y los
criterios de agregacin para la firma.
Una firma principal que pueda editarse se

marcar con este icono:
.
En este ejemplo, los criterios de bsqueda
fueron la categora Fuerza bruta y
CVE-2008-1447.
2.
Para modificar el umbral de activacin, especifique el Nmero

de resultados por x segundos.
3.
Especifique si desea agregar el nmero de resultados por

Origen, Destino u Origen y destino.
Paso 5
Aada este nuevo perfil a una regla de

seguridad.
Paso 6
Guarde sus cambios.
4.
1.
295
Prcticas recomendadas para proteger su red ante

evasiones de capa 4 y capa 7
Para supervisar y proteger su red de la mayora de ataques de capa 4 y capa 7, aqu tiene un par de
recomendaciones.
Para servidores web, cree una poltica de seguridad para que solo se permitan los protocolos que admite el
servidor. Por ejemplo, garantice que solo se permite el trfico HTTP a un servidor web. Si ha definido una
poltica de anulacin de aplicaciones para una aplicacin personalizada, asegrese de restringir el acceso a
una zona de origen especfica o un conjunto de direcciones IP.
Adjunte los siguientes perfiles de seguridad a sus polticas de seguridad para proporcionar una proteccin
basada en firmas.
Cree un perfil de proteccin contra vulnerabilidades para bloquear todas las vulnerabilidades con
gravedad baja y alta.
Cree un perfil de antispyware para bloquear todo el spyware.
Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
Cree un perfil de bloqueo de archivos que bloquee tipos de archivos Portable Executable (PE) para trfico
de SMB (bloqueo de mensajes del servidor) basado en Internet para que no pase de las zonas fiables a las
no fiables (aplicaciones ms-ds-smb).
Para lograr una proteccin adicional, cree una poltica antivirus para detectar y bloquear los archivos DLL
malintencionados conocidos.
Cree un perfil de proteccin de zona configurado para descartar segmentos de TCP no coincidentes y
superpuestos, para as proteger frente a los ataques basados en paquetes.
Al establecer deliberadamente conexiones con datos superpuestos pero diferentes en ellos, los atacantes
pueden intentar conseguir una interpretacin equivocada de la intencin de la conexin. Esto puede
utilizarse para inducir deliberadamente falsos positivos o falsos negativos. Un atacante puede utilizar la
replicacin de IP y la prediccin de nmeros de secuencia para interceptar la conexin de un usuario e
introducir sus propios datos en la conexin. PAN-OS utiliza este campo para descartar dichas tramas con
datos no coincidentes y superpuestos. Las situaciones en las que el segmento recibido se descartar son las
siguientes:
El segmento recibido est incluido dentro de otro segmento.
El segmento recibido est superpuesto a parte de otro segmento.
El segmento est incluido completamente dentro de otro segmento.
Verifique que est habilitada la compatibilidad con IPv6 si ha configurado direcciones IPv6 en sus hosts de
red. (Red > Interfaces > Ethernet > IPv6)
Esto permite acceder a hosts IPv6 y filtra los paquetes IPv6 que estn resumidos en paquetes IPv4. Al
habilitar la compatibilidad con IPv6 se evita que las direcciones de multidifusin IPv6 sobre IPv4 se
aprovechen para el reconocimiento de red.
296
Habilite la compatibilidad con trfico de multidifusin para que el cortafuegos pueda aplicar la poltica
sobre trfico de multidifusin. (Red > Enrutador virtual > Multidifusin)
Habilite el siguiente comando de la CLI para borrar la marca de bit URG en el encabezado TCP y
desautorice el procesamiento de paquetes fuera de banda.
El puntero de urgencia en el encabezado TCP se utiliza para promover un paquete para su procesamiento
inmediato retirndolo de la cola de procesamiento y envindolo a travs de la pila TCP/IP en el host. Este
proceso se denomina procesamiento fuera de banda. Debido a que la implementacin del puntero de
urgencia vara segn el host, para eliminar la ambigedad, utilice el siguiente comando de la CLI para
desautorizar el procesamiento fuera de banda; el byte fuera de banda en la carga se convierte en parte de la
carga y el paquete no se procesa con urgencia. Al hacer este cambio eliminar la ambigedad sobre el
procesamiento del paquete en el cortafuegos y en el host, y el cortafuegos ve exactamente el mismo flujo
en la pila de protocolos como el host al que va destinado el paquete.
set deviceconfig setting tcp urgent-data clear
Habilite el siguiente comando de la CLI para deshabilitar bypass-exceed-queue.

La derivacin de cola excedente es obligatoria para los paquetes que no funcionan. Esta situacin es ms
comn en un entorno asimtrico en el que el cortafuegos recibe paquetes que no funcionan. Para la
identificacin de determinadas aplicaciones (App-ID), el cortafuegos realiza un anlisis heurstico. Si los
paquetes se reciben sin que funcionen, los datos deben copiarse en una cola para realizar el anlisis para la
aplicacin.
set deviceconfig setting application bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para deshabilitar la inspeccin de paquetes cuando se alcance el
lmite de paquetes que no funcionan. El cortafuegos de Palo Alto Networks puede recopilar hasta 32
paquetes que no funcionan por sesin. Este contador identifica si los paquetes han superado el lmite de
32 paquetes. Cuando el ajuste de derivacin se establece como no, el dispositivo descarta los paquetes que
no funcionan que superan el lmite de 32 paquetes. Es necesario confirmar.
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd bypass-exceed-queue no
Habilite los siguientes comandos de la CLI para comprobar la marca de tiempo de TCP. La marca de
tiempo de TCP registra cundo se envi el segmento y permite que el cortafuegos verifique si la marca de
tiempo es vlida para esa sesin.
set deviceconfig setting tcp check-timestamp-option yes
297
Infraestructura de Content Delivery Network para

actualizaciones dinmicas
Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red de entrega de
contenidos) para entregar actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos
dispositivos acceden a los recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones
y de ID de contenidos. Para activar y programar las actualizaciones de contenidos, consulte Gestin de la
actualizacin de contenidos.
La siguiente tabla enumera los recursos de Internet a los que accede el cortafuegos para una funcin o
aplicacin:
Recurso
URL
Direcciones estticas (si se requiere un

servidor esttico)
Base de datos de
aplicaciones
updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15
Base de datos
amenazas/antivirus
updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com o la
direccin IP 199.167.52.15
downloads.paloaltonetworks.com:443
Como prctica recomendada, establezca
el servidor de actualizaciones para que
acceda a updates.paloaltonetworks.com.
De esta forma el dispositivo de Palo Alto
Networks podr recibir actualizaciones
de contenidos desde el servidor que est
ms cercano en la infraestructura de
CDN.
Filtrado de URL de
PAN-DB
*.urlcloud.paloaltonetworks.com
50.18.116.114
174.129.212.185
46.51.252.65
46.137.75.101
Filtrado de URL de
BrightCloud
298
database.brightcloud.com:443/80
service.brightcloud.com:80
Pngase en contacto con el Servicio de

atencin al cliente de BrightCloud.
Recurso
URL
WildFire
beta.wildfire.paloaltonetworks.com:443/80 mail.wildfire.paloaltonetworks.com:25
beta-s1.wildfire.paloaltonetworks.com:443
/80
Direcciones estticas (si se requiere un

servidor esttico)
o la direccin IP 54.241.16.83
Nota
wildfire.paloaltonetworks.com:443/80
Solo es posible acceder a los sitios

or 54.241.8.199
Beta por un cortafuegos que est
Las direcciones URL/IP especficas de regin
ejecutando una versin Beta.
son las siguientes:
mail.wildfire.paloaltonetworks.com:25
wildfire.paloaltonetworks.com:443/80
ca-s1.wildfire.paloaltonetworks.com:44
o 54.241.34.71
va-s1.wildfire.paloaltonetworks.com:443
o 174.129.24.252
eu-s1.wildfire.paloaltonetworks.com:443
o 54.246.95.247
sg-s1.wildfire.paloaltonetworks.com:443
o 54.251.33.241
jp-s1.wildfire.paloaltonetworks.com:443
o 54.238.53.161
portal3.wildfire.paloaltonetworks.com:4
43/80 o 54.241.8.199
ca-s3.wildfire.paloaltonetworks.com:443
o 54.241.34.71
va-s3.wildfire.paloaltonetworks.com:443
o 23.21.208.35
eu-s3.wildfire.paloaltonetworks.com:443
o 54.246.95.247
sg-s3.wildfire.paloaltonetworks.com:443
o 54.251.33.241
jp-s3.wildfire.paloaltonetworks.com:443
o 54.238.53.161
wildfire.paloaltonetworks.com.jp:443/8
0 o 180.37.183.53
wf1.wildfire.paloaltonetowrks.jp:443 o
180.37.180.37
wf2.wildfire.paloaltonetworks.jp:443 o
180.37.181.18
portal3.wildfire.paloaltonetworks.jp:443
/80 o 180.37.183.53
299
300
Descifrado
Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el trfico para ofrecer
gran visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo Alto Networks ofrece la
capacidad de aplicar polticas de seguridad al trfico cifrado, que de otra manera no podran bloquearse ni
moldearla de acuerdo con los ajustes de seguridad que ha configurado. Use el descifrado en un cortafuegos para
evitar que entre en su red contenido malicioso o que salga de ella contenido sensible, escondido como trfico
cifrado. La activacin del descifrado en un cortafuegos de Palo Alto Networks puede incluir la preparacin de
claves y certificados necesarios para el descifrado, la creacin de una poltica de descifrado y la configuracin de
un reflejo de puerto de descifrado. Consulte los siguientes temas para saber ms sobre el descifrado y
configurarlo:
Descripcin general del descifrado
Configuracin del proxy SSL de reenvo
Configuracin de la inspeccin de entrada SSL
Configuracin del Proxy SSH
Configuracin de excepciones de descifrado
Configuracin del reflejo del puerto de descifrado
Descifrado
301
Descifrado

Para saber ms sobre las claves y certificados para el descifrado, las polticas de descifrado y el reflejo de los
puertos de descifrado, consulte los siguientes temas:
Polticas de claves y certificados para el descifrado
Proxy SSL de reenvo
Proxy SSH
Excepciones de descifrado
Reflejo del puerto de descifrado
Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro) se usan
para asegurar el trfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH encapsulan el
trfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto el cliente y el servidor
que cuenten con las claves para descodificar los datos y los certificados, lo que garantiza la confianza entre los
dispositivos. El trfico que se ha cifrado con los protocolos SSL y SSH puede descifrarse para garantizar que
esos protocolos se estn usando nicamente para los fines deseados y no para ocultar una actividad no deseada
o contenido malicioso.
Los cortafuegos de Palo Alto Networks descifran el trfico cifrado mediante claves que transforman las cadenas
(contraseas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin cifrar a texto
cifrado (recifrado del trfico cuando abandone el dispositivo). Los certificados se usan para definir al
cortafuegos como un interlocutor de confianza y crear una conexin segura. El cifrado SSL (tanto en la
inspeccin entrante como el proxy de reenvo) requiere certificados para establecer la confianza entre dos
entidades para asegurar una conexin SSL/TLS. Los certificados tambin pueden usarse al excluir a los
servidores del descifrado SSL. Puede integrar un mdulo de seguridad de hardware (HSM) con un cortafuegos
para permitir una seguridad mejorada para las claves privadas usadas en el proxy de envo SSL como en el
descifrado de inspeccin entrante SSL. Si desea ms informacin sobre el almacenamiento y generacin de
claves mediante un HSM en su cortafuegos, consulte Claves seguras con un mdulo de seguridad de hardware.
El descifrado SSH no requiere certificados.
El descifrado del cortafuegos de Palo Alto Networks se basa en polticas y puede usarse para descifrar, examinar
y controlar las conexiones SSL y SSH entrantes y salientes. Las polticas de descifrado le permiten especificar el
trfico que se desea descifrar en funcin de la categora de URL, destino u origen para poder bloquear o
restringir el trfico especificado segn sus ajustes de seguridad. El cortafuegos usa certificados y claves para
descifrar el trfico especificado por la poltica en texto sin cifrar, y despus refuerza los ajustes de seguridad y
App-ID en el trfico de texto sin cifrar, incluidos los perfiles de descifrado, antivirus, vulnerabilidad, anti-spyware,
filtrado de URL y bloqueo de archivos. Cuando el trfico se haya descifrado y examinado en el cortafuegos, el trfico
de texto sin cifrar se volver a cifrar a medida que salga del cortafuegos para asegurar su privacidad y seguridad.
Use el descifrado basado en polticas en el cortafuegos para conseguir resultados como los siguientes:
Evite que el software malintencionado oculto como trfico cifrado se introduzca en una red de su empresa.
Evite que la informacin corporativa sensible salga de la red corporativa.
Asegrese de que las aplicaciones correctas se ejecuten en una red segura.
Descifre el trfico de forma selectiva; por ejemplo, puede excluir del descifrado el trfico de sitios financieros
o sanitarios mediante la configuracin de excepciones de descifrado.
302
Descifrado
Descifrado
Las tres polticas de descifrado que se ofrecen en el cortafuegos, Proxy SSL de reenvo, Inspeccin de entrada
SSL y Proxy SSH, proporcionan mtodos para detectar y examinar especficamente trfico saliente SSL, trfico
SSL entrante y trfico SSH, respectivamente. Las polticas de descifrado proporcionan los ajustes para que
especifique qu trfico descifrar y qu perfiles de descifrado se pueden seleccionar al crear una poltica con el
objetivo de aplicar ajustes de seguridad ms granulares al trfico descifrado, como por ejemplo para buscar
certificados del servidor, modos no admitidos y fallos. Este descifrado basado en polticas en el cortafuegos le
ofrece visibilidad y controla del trfico cifrado SSL y SSH de acuerdo con parmetros configurables.
Tambin puede optar por extender una configuracin de descifrado en el cortafuegos para incluir el Reflejo del
puerto de descifrado, lo que permite el reenvo de trfico descifrado como texto sin cifrar a una solucin externa
para su anlisis y archivo.
Polticas de claves y certificados para el descifrado

Las claves son cadenas de nmeros que suelen generarse mediante una operacin matemtica que incluye
nmeros aleatorios y nmeros primos altos. Las claves se usan para transformar otras cadenas (como
contraseas y secretos compartidos) de texto sin cifrar en texto cifrado (en un proceso llamado cifrado) y texto
cifrado en texto sin cifrar (en el proceso de descifrado). Las claves pueden ser simtricas (se usa la misma clave
para cifrar y descifrar) o asimtricas (se usa una clave para el cifrado y una clave relacionada matemticamente
para el descifrado). Cualquier sistema puede generar una clave.
Los certificados X.509 se usan para establecer la confianza entre un cliente y un servidor para establecer una
conexin SSL. Un cliente que intente autenticar un servidor (o un servidor que autentique un cliente) conoce la
estructura del certificado X.509 y por ello sabe cmo extraer la informacin de identificacin del servidor de
los campos del certificado, como su FQDN o direccin IP (llamados nombre comn o CN en el certificado) o el
nombre de la organizacin, departamento o usuario para el que se emiti el certificado. Todos los certificados
debe emitirlos una entidad de certificacin (CA). Cuando la CA verifica un cliente o servidor, la CA emite el
certificado y lo firma con su clave privada. Cuando se configura una poltica de descifrado, la sesin SSL/TLS
entre el cliente y el servidor solo se establece si el cortafuegos confa en la CA que firm el certificado del
servidor. Para establecer esa confianza, el cortafuegos debe tener el certificado de la CA raz del servidor en su
lista de certificados de confianza (CTL) y usa la clave pblica de ese certificado de CA raz para comprobar la
firma. A continuacin, el cortafuegos presenta una copia del certificado del servidor con la firma del certificado
de reenvo fiable al cliente para que lo autentique. Tambin puede configurar el cortafuegos para que utilice una
CA de empresa como certificado de reenvo fiable para el proxy SSL de reenvo. Si el cortafuegos no tiene el
certificado de CA raz del servidor en su CTL, el cortafuegos presentar una copia del certificado de servidor
firmado por el certificado no fiable de reenvo al cliente. El certificado no fiable de reenvo garantiza que a los
clientes les aparezca un mensaje con una advertencia de certificacin cuando intenten acceder a los sitios
alojados en un servidor con certificados que no sean de confianza.
Si desea informacin detallada sobre los certificados, consulte Gestin de certificados.
Para controlar las CA de confianza en las que confa su dispositivo, consulte Entidades
de certificacin de confianza predeterminadas.
La Tabla: Claves y certificados de dispositivos de Palo Alto Networks describe las distintas claves y certificados
que usan los dispositivos de Palo Alto Networks para el descifrado. Una prctica recomendada es utilizar
diferentes claves y certificados para cada uso.
Descifrado
303
Descifrado
Tabla: Claves y certificados de dispositivos de Palo Alto Networks

Descripcin
Reenvo fiable
Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el

sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en
la que confa el cortafuegos. Para configurar un certificado de reenvo fiable en el
cortafuegos, consulte el Paso 2 en la tarea Configuracin del proxy SSL de reenvo.
Para una mayor seguridad, el certificado de reenvo fiable puede almacenarse en un
mdulo de seguridad de hardware (HSM), consulte Almacenamiento de claves privadas
en un HSM.
Reenvo no fiable
Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el

sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en
la que el cortafuegos NO confa. Para configurar un certificado no fiable de reenvo en
el cortafuegos, consulte el Paso 3 en la tarea Configuracin del proxy SSL de reenvo.
Certificado SSL de exclusin Certificados de servidores que quiere excluir del descifrado SSL/TLS. Por ejemplo, si
ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el

descifrado SSL (por ejemplo, servicios web de sus sistemas de RR. HH.), importe los
correspondientes certificados en el cortafuegos y configrelos como certificados SSL
de exclusin. Consulte Exclusin de un servidor del descifrado.
Certificado que se usa para descifrar el trfico SSL/TLS entrante para su inspeccin y
la aplicacin de polticas. Para este uso, debe importar el certificado de servidor para
los servidores cuya inspeccin entrante SSL est realizando, o almacenarlos en un HSM
(consulte Almacenamiento de claves privadas en un HSM).
Proxy SSL de reenvo

Utilice una poltica de descifrado del proxy SSL de reenvo para descifrar y examinar el trfico SSL/TLS de
usuarios internos a Internet. El descifrado del proxy SSL de reenvo evita que el software malintencionado
oculto como trfico cifrado SSL se introduzca en la red de su empresa; por ejemplo, si un empleado est usando
su cuenta de Gmail desde la oficina y abre un archivo adjunto con un virus, el descifrado del proxy SSL de
reenvo evitar que el virus infecte el sistema del cliente y entre en la red de la empresa.
Con el descifrado del proxy SSL de reenvo, el cortafuegos se encuentra entre el cliente interno y el servidor
externo. El cortafuegos usa los certificados de reenvo fiable y de reenvo no fiable para establecerse como
tercero de confianza en la sesin entre el cliente y el servidor (si desea informacin detallada sobre los
certificados, consulte Polticas de claves y certificados para el descifrado). Cuando el cliente inicia una sesin
SSL con el servidor, el cortafuegos intercepta la solicitud SSL del servidor y reenva la solicitud SSL al servidor.
El servidor enva un certificado destinado al cliente, que el cortafuegos intercepta. Si el certificado del servidor
est firmado por una entidad CA en la que el cortafuegos confa, el cortafuegos crear una copia del certificado
del servidor firmado con el certificado de reenvo fiable, y enviar el certificado al cliente para que lo autentique.
Si el certificado del servidor est firmado por una CA en la que el cortafuegos no confa, el cortafuegos crear
una copia del certificado del servidor, lo firmar con el certificado no fiable de reenvo y lo enviar al cliente.
En este caso, el cliente ver una advertencia de pgina bloqueada indicando que el sitio con el que intenta
conectar no es fiable, y tendr la opcin de continuar o terminar la sesin. Cuando el cliente autentique el
certificado, la sesin SSL se establecer y el cortafuegos funcionar como proxy de reenvo fiable hacia el sitio
al que est accediendo el cliente.
304
Descifrado
Descifrado
A medida que el cortafuegos siga recibiendo trfico SSL del servidor que est destinado al cliente, lo descifrar
en un trfico de texto claro y aplicar polticas de seguridad al trfico. A continuacin el trfico se recifrar en
el cortafuegos, que enviar el trfico cifrado al cliente.
Ilustracin: Proxy SSL de reenvo muestra este proceso en detalle.
Ilustracin: Proxy SSL de reenvo
Consulte Configuracin del proxy SSL de reenvo si desea ms detalles sobre la configuracin del proxy SSL de
reenvo.

Use Inspeccin de entrada SSL para descifrar y examinar el trfico SSL entrante de un cliente a un servidor de
destino (cualquier servidor para el que tenga el certificado y pueda importar en el cortafuegos). Por ejemplo, si
un empleado se ha conectado remotamente a un servidor web alojado en la red de la compaa e intenta agregar
documentos internos restringidos a su carpeta de Dropbox (que usa SSL para la transmisin de datos), se puede
usar la inspeccin de entrada SSL para asegurar que los datos sensibles no salen fuera de la red segura de la
empresa mediante un bloqueo o restriccin de la sesin.
La configuracin de la inspeccin de entrada SSL incluye la importacin de un certificado y clave del servidor
de destino en el cortafuegos. Como el certificado y la clave del servidor de destino se importan al cortafuegos,
este puede acceder a la sesin SSL entre el servidor y el cliente y descifran y examinan el trfico de forma
transparente, en lugar de actuar como un proxy. El cortafuegos puede aplicar polticas de seguridad al trfico
descifrado, detectar contenido malicioso y controlar la ejecucin de aplicaciones en este canal seguro.
Descifrado
305
Descifrado
Ilustracin: Inspeccin de entrada SSL muestra este proceso en detalle.

Ilustracin: Inspeccin de entrada SSL
Consulte Configuracin de la inspeccin de entrada SSL si desea ms detalles sobre la configuracin del proxy
SSL de reenvo.
Proxy SSH
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo atraviesan
para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El descifrado SSH no
requiere ningn certificado, y la clave que se usa para el descifrado SSH se genera automticamente al iniciar el
cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya existe una clave. De lo contrario, se
genera una clave. Esta clave se usa para descifrar las sesiones SSH de todos los sistemas virtuales configurados
en el dispositivo. La misma clave se usa para descifrar todas las sesiones SSH v2.
En una configuracin Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el cliente
inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenva al servidor. A continuacin
el cortafuegos intercepta la respuesta del servidor y la reenva al cliente, estableciendo un tnel SSH entre el
cortafuegos y el cliente y un tnel SSH entre el cortafuegos y el servidor, por lo que el cortafuegos funciona
como proxy. A medida que el trfico fluye entre el cliente y el servidor, el cortafuegos puede distinguir si el
trfico SSH se enruta normalmente o si usa un tnel SSH (reenvo de puertos). Las inspecciones de contenido
y amenazas no se realizan en los tneles SSH, sin embargo, si el cortafuegos identifica tneles SSH, el trfico
con tnel SSH se bloquear y restringir de acuerdo con las polticas de seguridad configuradas.
Ilustracin: Descifrado del proxy SSH muestra este proceso en detalle.
306
Descifrado
Descifrado
Ilustracin: Descifrado del proxy SSH
Consulte Configuracin del Proxy SSH si desea ms detalles sobre la configuracin de una poltica de proxy
SSH.
Excepciones de descifrado
Hay trfico que puede excluirse del descifrado mediante criterios de comparacin (con una poltica de
descifrado) o mediante la especificacin del servidor de destino (mediante certificados); mientras que algunas
aplicaciones se excluyen del descifrado por defecto.
Las aplicaciones que no funcionen adecuadamente cuando las descifra el cortafuegos se excluirn
automticamente del descifrado SSL. Las aplicaciones que se excluyen por defecto del descifrado SSL son
aquellas que suelen fallar por el descifrado porque la aplicacin busca detalles especficos en el certificado que
pueden no estar presentes en el certificado generado por el proxy SSL de reenvo. Consulte el artculo de la base
de conocimientos (KB) List of Applications Excluded from SSL Decryption (Lista de aplicaciones excluidas del
cifrado SSL) si desea una lista actualizada de las aplicaciones excluidas por defecto del descifrado SSL en el
cortafuegos.
Puede configurar excepciones de descifrado para ciertas categoras o aplicaciones de URL que pueden no
funcionar adecuadamente cuando el descifrado est activado o por cualquier otro motivo, incluidos los fines
legales o de privacidad. Puede usar una poltica de descifrado para excluir el trfico del descifrado en funcin
del origen, el destino y la categora de URL. Por ejemplo, con el descifrado SSL activado, puede excluir el trfico
que se categoriza como financiero o sanitario del descifrado mediante la seleccin de categora URL. Para crear
una poltica de descifrado que excluya el trfico del descifrado:
Descifrado
307
Descifrado
Tambin puede excluir servidores del descifrado SSL segn el nombre comn (CN) del certificado del servidor.
Por ejemplo, si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL
(por ejemplo, servicios web de sus sistemas de RR. HH.), puede excluir esos servidores del descifrado
importando el certificado del servidor al cortafuegos y modificndolo para que sea un certificado SSL de
exclusin.
Para excluir el trfico del descifrado segn la aplicacin, origen, destino o categora de URL o para excluir el
trfico de un servidor especfico del descifrado, consulte Configuracin de excepciones de descifrado.
Reflejo del puerto de descifrado

El reflejo del puerto de descifrado permite crear una copia del trfico descifrado desde un cortafuegos y enviarlo
a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin formato, como
NetWitness o Solera, para su archivo y anlisis. Esta funcin es necesaria para aquellas organizaciones que
necesitan la captura integral de datos con fines forenses o histricos o para prevenir la fuga de datos (DLP). El
reflejo del puerto de descifrado solo est disponible en las plataformas de las series PA-7050, PA-5000 y
PA-3000 y necesita la instalacin de una licencia gratuita para su activacin.
Tenga en cuenta que el descifrado, almacenamiento, inspeccin y uso del trfico SSL est legislado en algunos
pases y puede que sea necesario tener el consentimiento del usuario para poder usar la funcin de reflejo del
puerto de cifrado. Adems, el uso de esta funcin podra hacer que usuarios maliciosos con accesos
administrativos al cortafuegos recopilaran nombres de usuario, contraseas, nmeros de la seguridad social,
nmeros de tarjetas de crdito u otra informacin sensible para enviarla a travs de un canal cifrado. Palo Alto
Networks le recomienda consultar a su asesor corporativo antes de activar y usar esta funcin en un entorno de
produccin.
La Ilustracin: Reflejo del puerto de descifrado muestra el proceso del reflejo del puerto de descifrado y la
seccin Configuracin del reflejo del puerto de descifrado describe como otorgar una licencia a esta funcin y
utilizarla.
Ilustracin: Reflejo del puerto de descifrado
308
Descifrado
Descifrado

La configuracin del descifrado del Proxy SSL de reenvo en el cortafuegos requiere configurar los certificados
necesarios para el descifrado del proxy SSL de reenvo y crear una poltica de descifrado del proxy SSL de
reenvo. El cortafuegos puede utilizar certificados autofirmados o certificados firmados por una CA de empresa
para realizar el descifrado del proxy SSL de reenvo.
Utilice la siguiente tarea para configurar el proxy SSL de reenvo, incluido cmo configurar los certificados y
crear una poltica de descifrado.
Paso 1
Asegrese de que las interfaces adecuadas

estn configuradas como interfaces de
Virtual Wire, capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaa Red > Interfaces >

Ethernet. La columna Tipo de interfaz muestra si una interfaz est
configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3.
Puede seleccionar una interfaz para modificar su configuracin, incluido
qu tipo de interfaz es.
Paso 2
Configure el certificado fiable de reenvo.

Para utilizar un certificado autofirmado:
Utilice un certificado autofirmado o un
1. Seleccione Dispositivo > Gestin de certificados > Certificados.
certificado firmado por una CA de empresa.
2. Haga clic en Generar en la parte inferior de la ventana.
Uso de certificados autofirmados
3.
Introduzca un nombre de certificado, como mi-reenvio-fiable.
4.
Introduzca un Nombre comn, como 192.168.2.1. Debera ser la

direccin IP o el FQDN que aparecer en el certificado. En este
caso estamos usando la IP de la interfaz fiable. Evite usar espacios
en este campo.
Cuando el certificado del servidor al que se

est conectando el cliente est firmado por
una CA incluida en la lista de CA de
confianza del cortafuegos, este firmar una
5.
copia del certificado del servidor con un
certificado fiable de reenvo autofirmado
6.
que deber presentarse al cliente para su
autenticacin. En este caso, el certificado
autofirmado debe importarse en cada
sistema cliente para que el cliente reconozca
el cortafuegos como una CA de confianza. 7.
Utilice certificados autofirmados para el
8.
descifrado del proxy SSL de reenvo si no
utiliza una CA de empresa o si solamente 9.
debe realizar el descifrado para un nmero
limitado de sistemas cliente (o si tiene la
intencin de utilizar una implementacin
centralizada).
Deje en blanco el campo Firmado por.

Haga clic en la casilla de verificacin Autoridad del certificado para
habilitar el cortafuegos para que emita el certificado. Al seleccionar
esta casilla de verificacin, se crea una entidad de certificacin (CA)
en el cortafuegos que se importar a los exploradores de los clientes,
de modo que los clientes confen en el cortafuegos como CA.
Haga clic en Generar para generar el certificado.
Haga clic en el nuevo certificado my-fwd-trust para modificarlo y
habilite la opcin Reenviar certificado fiable.
Exporte el certificado fiable de reenvo para importarlo en sistemas
cliente resaltando el certificado y haciendo clic en Exportar en la
parte inferior de la ventana. Elija el formato PEM y no seleccione
la opcin Exportar clave privada. Como el certificado est
autofirmado, imprtelo en la lista de CA raz de confianza del
explorador de los sistemas cliente para que los clientes confen en
l. Al importar en el explorador del cliente, asegrese de que el
certificado se aade al almacn de certificados de entidades de
certificacin raz de confianza. En sistemas Windows, la ubicacin
de importacin predeterminada es el almacn de certificados
personales. Tambin puede simplificar este proceso utilizando una
implementacin centralizada, como un objeto de directiva de grupo
(GPO) de Active Directory.
Nota Si el certificado fiable de reenvo no se importa en los
sistemas cliente, los usuarios vern advertencias de
certificacin en cada sitio SSL que visiten.
10. Haga clic en Aceptar para guardar.
Descifrado
309
Descifrado
Configuracin del proxy SSL de reenvo (Continuacin)

Uso de una CA de empresa
Para utilizar un certificado firmado por una CA de empresa:
1.
Una CA de empresa puede emitir un
certificado de firma que el cortafuegos
puede utilizar para, a continuacin, firmar
los certificados de los sitios que requieran un
descifrado SSL. Enve una solicitud de firma
de certificado (CSR) para que la CA de
empresa lo firme y lo valide. A continuacin,
el cortafuegos podr utilizar el certificado de
CA de empresa firmado para el descifrado
del proxy SSL de reenvo. Dado que los
sistemas cliente ya confan en la CA de
empresa, con esta opcin, no necesita
distribuir el certificado a los sistemas cliente
antes de configurar el descifrado.
2.
Genere una CSR:

a. Seleccione Dispositivo > Gestin de certificados > Certificados
y haga clic en Generar.
b. Introduzca un Nombre de certificado, como my-fwd-proxy.
c. En el men desplegable Firmado por, seleccione Autoridad
externa (CSR).
d. (Opcional) Si su CA de empresa lo requiere, aada Atributos del
certificado para identificar ms informacin detallada del
cortafuegos, como el pas o el departamento.
e. Haga clic en ACEPTAR para guardar la CSR. El certificado
pendiente ahora aparecer en la pestaa Certificados de
dispositivos:
Exporte la CSR:
a. Seleccione el certificado pendiente que aparece en la pestaa
b. Haga clic en Exportar para descargar y guardar el archivo del
certificado.
Nota Deje Exportar clave privada sin seleccionar para
garantizar que la clave privada permanezca protegida en
el cortafuegos.
c. Haga clic en ACEPTAR.
d. Proporcione el archivo del certificado a su CA de empresa.
Cuando reciba el certificado de CA de empresa firmado de su
CA de empresa, gurdelo para importarlo en el cortafuegos.
3.
Importe el certificado de CA de empresa firmado en el cortafuegos:

a. Seleccione Dispositivo > Gestin de certificados > Certificados
y haga clic en Importar.
b. Introduzca el Nombre de certificado pendiente de manera
exacta (en este caso, my-fwd-trust). El Nombre de certificado que
introduzca debe coincidir de manera exacta con el nombre del
certificado pendiente para que este se valide.
c. Seleccione el Archivo del certificado que recibi de su CA de
empresa.
d. Haga clic en ACEPTAR. El certificado se muestra como vlido
con las casillas de verificacin Clave y CA seleccionadas:
e. Seleccione el certificado validado, en este caso, my-fwd-proxy, para

habilitarlo como Reenviar certificado fiable y utilizarlo para el
descifrado del proxy SSL de reenvo.
f. Haga clic en ACEPTAR.
310
Descifrado
Descifrado
Paso 3
Configure el certificado no fiable de reenvo. 1.

Con el descifrado del proxy SSL de reenvo,
cuando el sitio al que se est conectando el
cliente utilice un certificado firmado por una
CA que no se encuentre en la lista de CA de
confianza del cortafuegos, este presentar
un certificado no fiable de reenvo al cliente.
El certificado no fiable de reenvo garantiza
que a los clientes les aparezca un mensaje
con una advertencia de certificacin cuando
intenten acceder a los sitios alojados en un
servidor con certificados que no sean de
confianza.
Paso 4
Haga clic en Generar en la parte inferior de la pgina de

certificados.
2.
Introduzca un nombre de certificado, como mi-reenvio-nofiable.
3.
Defina el nombre comn, por ejemplo 192.168.2.1. Deje Firmado

por en blanco.
4.
Haga clic en la casilla de verificacin Autoridad del certificado

para habilitar el cortafuegos para que emita el certificado.
5.
Haga clic en Generar para generar el certificado.
6.
Haga clic en Aceptar para guardar.
7.
Haga clic en el nuevo certificado my-ssl-fw-untrust para modificarlo y

habilite la opcin Reenviar certificado no fiable.
Nota
No exporte el certificado no fiable de reenvo para su

importacin en sistemas cliente. Si el certificado fiable de
reenvo se importa en sistemas cliente, los usuarios no vern
advertencias de certificacin en los sitios SSL con certificados
no fiables.
8.
1.
Seleccione Objetos > Perfiles de descifrado y haga clic en Aadir.
Los perfiles de descifrado se pueden asociar 2.

a una poltica de descifrado, habilitando el
cortafuegos para que bloquee y controle
diversos aspectos del trfico que se est
descifrando. Se puede utilizar un perfil de
descifrado del proxy SSL de reenvo para
3.
realizar comprobaciones de certificados de
servidor, modos no compatibles y fallos y
bloquear o restringir el trfico segn los
resultados. Para obtener una lista completa
de las comprobaciones que se pueden
realizar, desplcese hasta Objetos > Perfiles
de descifrado en el cortafuegos y haga clic
en el icono de ayuda.
Seleccione la pestaa Proxy SSL de reenvo para bloquear y

controlar aspectos especficos del trfico de tnel de SSL. Por
ejemplo, puede decidir finalizar sesiones si los recursos del sistema
no estn disponibles para procesar el descifrado seleccionando
Bloquear sesiones si no hay recursos disponibles.
(Opcional) Cree un perfil de descifrado.
Descifrado
311
Descifrado
Paso 5
Configure una poltica de descifrado.
1.
Seleccione Polticas > Descifrado y haga clic en Aadir.
2.
En la pestaa General, otorgue a la poltica un Nombre descriptivo.
3.
En las pestaas Origen y Destino, seleccione Cualquiera para la

Zona de origen y la Zona de destino para descifrar todo el trfico
SSL destinado a un servidor externo. Si desea especificar trfico con
determinados orgenes o destinos para el descifrado, haga clic en
Aadir.
4.
En la pestaa Categora de URL, deje Cualquiera para descifrar

todo el trfico. Si solamente desea aplicar este perfil a determinadas
categoras de sitios web, haga clic en Aadir.
Nota
Paso 6
312
La seleccin de una categora de URL resulta de utilidad

cuando se excluyen determinados sitios del descifrado.
Consulte Configuracin de excepciones de descifrado.
5.
En la pestaa Opciones, seleccione Descifrar y seleccione Proxy

SSL de reenvo como el Tipo de descifrado que debe realizarse.
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar ajustes

adicionales al trfico descifrado (consulte el Paso 4).
7.
Haga clic en ACEPTAR para guardar.
Con una poltica de descifrado del proxy SSL de reenvo habilitada, todo
el trfico identificado por la poltica se descifrar. El trfico descifrado se
bloquea y restringe de acuerdo con los perfiles configurados en el
cortafuegos (incluidos los perfiles de descifrado asociados a la poltica y
los perfiles Antivirus, Vulnerabilidad, Antispyware, Filtrado de URL y
Bloqueo de archivo). El trfico vuelve a cifrarse a medida que sale del
cortafuegos.
Descifrado
Descifrado

La configuracin de Inspeccin de entrada SSL incluye la instalacin del certificado del servidor de destino en
el cortafuegos y la creacin de una poltica de descifrado de inspeccin de entrada SSL.
Utilice la siguiente tarea para configurar la inspeccin de entrada SSL.
Paso 1
Asegrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaa Red > Interfaces >
Virtual Wire, capa 2 o capa 3.
Puede seleccionar una interfaz para modificar su configuracin,
incluido qu tipo de interfaz es.
Paso 2
Asegrese de que el certificado del

servidor de destino est instalado en el
cortafuegos.
En la interfaz web, seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos para ver los certificados
instalados en el cortafuegos.
Para importar el certificado del servidor de destino en el cortafuegos:
1. En la pestaa Certificados de dispositivos, seleccione
Importar.
Paso 3
2.
Introduzca un Nombre de certificado descriptivo.
3.
Busque y seleccione el Archivo del certificado del servidor de

destino.
4.
1.
Seleccione Objetos > Perfiles de descifrado y haga clic en

Aadir.
Los perfiles de descifrado se pueden

2.
asociar a una poltica de descifrado,
habilitando el cortafuegos para que
bloquee y controle diversos aspectos del
trfico que se est descifrando. Se puede
utilizar un perfil de descifrado de
inspeccin de entrada SSL para realizar
3.
comprobaciones de modos no
compatibles y fallos y bloquear o
restringir el trfico segn los resultados.
Para obtener una lista completa de las
comprobaciones que se pueden realizar,
seleccione Objetos > Perfiles de
descifrado y, a continuacin, haga clic en
el icono de ayuda.
Descifrado
Seleccione la pestaa Inspeccin de entrada SSL para bloquear

y controlar aspectos especficos del trfico SSL. Por ejemplo,
puede decidir finalizar sesiones si los recursos del sistema no
estn disponibles para procesar el descifrado seleccionando
Bloquear sesiones si no hay recursos disponibles.
313
Descifrado
Configuracin de la inspeccin de entrada SSL (Continuacin)
Paso 4
1.
2.
En la pestaa General, otorgue a la poltica un Nombre

descriptivo.
3.
En la pestaa Destino, haga clic en Aadir para aadir la

Direccin de destino del servidor de destino.
4.
En la pestaa Categora de URL, deje Cualquiera para descifrar

todo el trfico. Si solamente desea aplicar este perfil a
determinadas categoras de sitios web, haga clic en Aadir.
Nota
5.
La seleccin de una categora de URL resulta de utilidad

cuando se excluyen determinados sitios del descifrado.
Consulte Configuracin de excepciones de descifrado.
En la pestaa Opciones, seleccione Descifrar y seleccione

Inspeccin de entrada SSL como el Tipo de trfico que debe
descifrarse.
Seleccione el Certificado para el servidor interno que sea el
destino del trfico de entrada SSL.
Paso 5
314
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar

ajustes adicionales al trfico descifrado (consulte el Paso 4).
7.
Con una poltica de descifrado de inspeccin de entrada SSL

habilitada, todo el trfico SSL identificado por la poltica se descifrar
e inspeccionar. El trfico descifrado se bloquea y restringe de
acuerdo con los perfiles configurados en el cortafuegos (incluidos los
perfiles de descifrado asociados a la poltica y los perfiles Antivirus,
Vulnerabilidad, Antispyware, Filtrado de URL y Bloqueo de archivo).
El trfico vuelve a cifrarse a medida que sale del cortafuegos.
Descifrado
Descifrado

La configuracin de Proxy SSH no requiere certificados y la clave utilizada para descifrar sesiones SSH se genera
automticamente en el cortafuegos durante el inicio.
Utilice la siguiente tarea para configurar el descifrado del proxy SSL.
Configuracin del descifrado del proxy SSH
Paso 1
Paso 2
Asegrese de que las interfaces adecuadas

Virtual Wire o capa 3. El descifrado
solamente puede realizarse en interfaces
de Virtual Wire, capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaa Red > Interfaces >

1.
Puede seleccionar una interfaz para modificar su configuracin,

incluido qu tipo de interfaz es.
Los perfiles de descifrado se pueden

2.
asociar a una poltica de descifrado,
habilitando el cortafuegos para que
bloquee y controle diversos aspectos del
trfico que se est descifrando. El perfil de
descifrado se puede utilizar para realizar
comprobaciones de certificados de
3.
servidor, modos no compatibles y fallos y
bloquear o restringir el trfico segn los
resultados. Para obtener una lista
completa de las comprobaciones que se
pueden realizar, desplcese hasta Objetos
> Perfiles de descifrado en el
cortafuegos y, a continuacin, haga clic en
el icono de ayuda.
Paso 3
Paso 4
Descifrado
Seleccione Objetos > Perfiles de descifrado y haga clic en

Aadir.
Seleccione la pestaa SSH para bloquear y controlar aspectos
especficos del trfico de tnel de SSH. Por ejemplo, puede
decidir finalizar sesiones si los recursos del sistema no estn
disponibles para procesar el descifrado seleccionando Bloquear
sesiones si no hay recursos disponibles.
1.
2.
En la pestaa General, otorgue a la poltica un Nombre

descriptivo.
3.
En las pestaas Origen y Destino, seleccione Cualquiera para

descifrar todo el trfico SSH.
4.
En la pestaa Categora de URL, seleccione Cualquiera para

descifrar todo el trfico SSH.
5.
En la pestaa Opciones, seleccione Descifrar y seleccione

Proxy SSH como el Tipo de trfico que debe descifrarse.
6.
(Opcional) Seleccione un Perfil de descifrado para aplicar

ajustes adicionales al trfico descifrado (consulte el Paso 3).
7.
Haga clic en ACEPTAR para guardar.
Con una poltica de descifrado del proxy SSH habilitada, todo el

trfico SSH identificado por la poltica se descifrar e identificar
como trfico SSH regular o como trfico de tnel de SSH. El trfico
de tnel de SSH se bloquea y restringe de acuerdo con los perfiles
configurados en el cortafuegos. El trfico vuelve a cifrarse a medida
que sale del cortafuegos.
315
Descifrado

Puede excluir a propsito trfico del descifrado basndose en criterios de coincidencia, como la aplicacin, el
origen o destino del trfico o la categora de URL. Tambin puede excluir del descifrado el trfico de un servidor
especfico. Consulte los siguientes temas para configurar Excepciones de descifrado:
Exclusin de trfico del descifrado
Exclusin de un servidor del descifrado
Exclusin de trfico del descifrado

Para excluir a propsito aplicaciones o un determinado trfico de otras polticas de descifrado SSL o SSH
existentes, puede crear una nueva poltica de descifrado que defina el trfico que debe excluirse del descifrado y
con la accin No hay ningn descifrado seleccionada en la poltica. Puede definir el trfico para una exclusin
basada en polticas de acuerdo con criterios de coincidencia, como la aplicacin, el origen, el destino o las
categoras de URL. Asegrese de que la poltica de descifrado que excluye el trfico del descifrado aparece en el
primer lugar de su lista de polticas de descifrado. Para ello, arrastre y suelte la poltica por encima del resto de
polticas de descifrado.
Consulte el siguiente procedimiento para configurar una poltica de descifrado que excluya el trfico del
descifrado SSL o SSH.
Exclusin de trfico de una poltica de descifrado
Paso 1
316
Cree una poltica de descifrado.
1.
Vaya a Polticas > Descifrado y haga clic en Aadir.
Utilice una poltica de descifrado para

excluir trfico del descifrado de acuerdo
con las zonas o direcciones de origen y
destino y las categoras de URL del
trfico. Este ejemplo muestra cmo
excluir el trfico categorizado como
financiero o sanitario del descifrado del
proxy SSL de reenvo.
2.
Otorgue a la poltica un Nombre descriptivo, como

No-Decrypt-Finance-Health.
3.
En las pestaas Origen y Destino, seleccione Cualquiera para la

Zona de origen y la Zona de destino para aplicar la regla
No-Decrypt-Finance-Health en todo el trfico SSL destinado a
un servidor externo.
4.
En la pestaa Categora de URL, haga clic en Aadir para aadir

las categoras de URL servicios financieros y salud y medicina a
la poltica, especificando que el trfico que coincida con estas
categoras no se descifrar.
5.
En la pestaa Opciones, seleccione No hay ningn descifrado y

seleccione el Tipo de poltica de descifrado de la que est
excluyendo el trfico. Por ejemplo, para excluir el trfico
categorizado como financiero o sanitario de una poltica de
descifrado del proxy SSL de reenvo configurada por separado,
seleccione Proxy SSL de reenvo como el Tipo.
6.
Haga clic en ACEPTAR para guardar la poltica de descifrado

No-Decrypt-Finance-Health.
Descifrado
Descifrado
Exclusin de trfico de una poltica de descifrado (Continuacin)
Paso 2
Mueva la poltica de descifrado a la parte En la pgina Descifrado > Polticas, seleccione la poltica
superior de la lista de polticas de
No-Decrypt-Finance-Health y haga clic en Mover hacia arriba hasta que
descifrado.
aparezca en la parte superior de la lista (o puede arrastrarla y soltarla).
El orden en que aparecen las polticas de descifrado es el mismo
orden en que se aplican al trfico de red. Si mueve la poltica con la
accin No hay ningn descifrado aplicada a la parte superior de la
lista, garantizar que el trfico especificado no se descifre de acuerdo
con otra poltica configurada.
Paso 3
Una poltica de descifrado con la opcin No hay ningn descifrado

habilitada garantiza que el trfico especificado permanezca cifrado a
medida que pasa por el cortafuegos y que el trfico no se descifre de
acuerdo con otras polticas de descifrado configuradas y enumeradas
en la pgina Polticas > Descifrado.

Puede excluir el trfico de un servidor de destino del descifrado SSL segn el nombre comn (CN) del
certificado del servidor. Por ejemplo, si tiene el descifrado SSL habilitado, puede configurar una excepcin de
descifrado para el servidor de su red corporativa que aloje los servicios web para sus sistemas de RR. HH.
Consulte el siguiente procedimiento para configurar o modificar el certificado de un servidor de modo que el
trfico del servidor de destino se excluya del descifrado:
Paso 1
Importe el certificado del servidor de destino en el cortafuegos:

1. En la pestaa Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivo, seleccione
Importar.
2. Introduzca un Nombre de certificado descriptivo.
3. Busque y seleccione el Archivo del certificado del servidor de destino.
4. Haga clic en ACEPTAR.
Paso 2
Seleccione el certificado del servidor de destino en la pestaa Certificados de dispositivo y habiltelo como un
Certificado SSL de exclusin.
Con el certificado del servidor de destino importado en el cortafuegos y designado como Certificado SSL de
exclusin, el trfico del servidor no se descifrar cuando pase a travs del cortafuegos.
Descifrado
317
Descifrado

Antes de que pueda habilitar el reflejo del puerto de descifrado, debe obtener e instalar una licencia de reflejo
del puerto de descifrado. La licencia es gratuita y puede activarse a travs del portal de asistencia tcnica como
se describe en el siguiente procedimiento. Despus de instalar la licencia de reflejo del puerto de descifrado y
reiniciar el cortafuegos, puede habilitar el reflejo del puerto de descifrado. La habilitacin del reflejo del puerto
de descifrado incluye la habilitacin del reenvo de trfico descifrado y la configuracin de una interfaz de reflejo
de descifrado. A continuacin puede crear un perfil de descifrado que especifique la interfaz y la adjunte a una
poltica de descifrado. Para obtener ms informacin sobre cmo implementar el reflejo del puerto de
descifrado, consulte Reflejo del puerto de descifrado.
Utilice el siguiente procedimiento para obtener e instalar una licencia de reflejo del puerto de descifrado y
configurar el reflejo del puerto de descifrado.
Paso 1
318
Solicite una licencia para cada dispositivo 1.

en el que quiera habilitar el reflejo del
puerto de descifrado.
Inicie sesin en el portal de asistencia tcnica a travs del sitio

web de asistencia tcnica de Palo Alto Networks
(https://support.paloaltonetworks.com) y desplcese hasta la
pestaa Activos.
2.
Seleccione la entrada del dispositivo para el que quiera obtener

una licencia y seleccione Acciones.
3.
Seleccione Reflejo de puerto de descifrado. Aparecer un aviso

legal.
4.
Si est de acuerdo con los requisitos y las posibles implicaciones

legales, haga clic en Comprendo las condiciones y deseo
continuar.
5.
Haga clic en Activar.
Descifrado
Descifrado
Configuracin del reflejo del puerto de descifrado (Continuacin)
Paso 2
Paso 3
Instale la licencia de reflejo del puerto de 1.

descifrado en el cortafuegos.
Desde la interfaz web del cortafuegos, seleccione Dispositivo >

Licencias.
2.
Haga clic en Recuperar claves de licencia del servidor de

licencias.
3.
Verifique que la licencia se ha activado en el cortafuegos.
4.
Reinicie el cortafuegos (Dispositivo > Configuracin >

Operaciones). Esta funcin no estar disponible para su
configuracin hasta que no vuelva a cargarse PAN-OS.
Habilite la capacidad de reflejar el trfico En un cortafuegos con un nico sistema virtual:

descifrado. Se necesitan permisos de
1. Seleccione Dispositivo > Configuracin > Content-ID.
superusuario para realizar este paso.
2. Seleccione la casilla de verificacin Permitir reenvo de
contenido descifrado.
3.
En un cortafuegos con varios sistemas virtuales:

1. Seleccione Dispositivo > Sistema virtual.
Paso 4
Configure una interfaz de reflejo de

descifrado.
2.
Seleccione un sistema virtual para su edicin o cree un nuevo

sistema virtual seleccionando Aadir.
3.
Seleccione la casilla de verificacin Permitir reenvo de

contenido descifrado.
4.
1.
Seleccione Red > Interfaces > Ethernet.
2.
Seleccione la interfaz Ethernet que quiera configurar para el

reflejo del puerto de descifrado.
3.
Seleccione Reflejo de descifrado como el Tipo de interfaz.

Este tipo de interfaz solamente aparecer si la licencia de reflejo
del puerto de descifrado est instalada.
4.
Descifrado
319
Descifrado
Configuracin del reflejo del puerto de descifrado (Continuacin)
Paso 5
Configure un perfil de descifrado para

habilitar el reflejo del puerto de
descifrado.
1.
2.
Seleccione Objetos > Perfiles de descifrado.

Seleccione la Interfaz que debe utilizarse para Reflejo de
descifrado.
El men desplegable Interfaz contiene todas las interfaces

Ethernet que se han definido como el tipo: Reflejo de
descifrado.
3.
Especifique si desea reflejar el trfico descifrado antes o despus

de aplicar las polticas.
De manera predeterminada, el cortafuegos reflejar todo el
trfico descifrado en la interfaz antes de la bsqueda de polticas
de seguridad, lo que le permitir reproducir eventos y analizar el
trfico que genere una amenaza o active una accin de descarte.
Si solamente desea reflejar el trfico descifrado despus de
aplicar las polticas de seguridad, seleccione la casilla de
verificacin Reenviado solo. Con esta opcin, solamente se
reflejar el trfico reenviado a travs del cortafuegos. Esta
opcin es de utilidad si est reenviando el trfico descifrado a
otros dispositivos de deteccin de amenazas, como un
dispositivo de DLP u otro sistema de prevencin de
intrusiones (IPS).
4.
Paso 6
Paso 7
320
Establezca una poltica de descifrado para 1.

el reflejo del puerto de descifrado.
2.
Haga clic en ACEPTAR para guardar el perfil de descifrado.

Seleccione Polticas > Descifrado.
Haga clic en Aadir para configurar una poltica de descifrado o
seleccione una poltica de descifrado existente para editarla.
3.
En la pestaa Opciones, seleccione Descifrar y el Perfil de

descifrado creado en el Paso 4.
4.
Haga clic en ACEPTAR para guardar la poltica.
Descifrado
Filtrado de URL
La solucin de filtrado de URL de Palo Alto Networks es una potente funcin de PAN-OS que se utiliza para
supervisar y controlar el modo en que los usuarios acceden a Internet a travs de HTTP y HTTPS. Los
siguientes temas ofrecen una descripcin general del filtrado de URL, informacin de configuracin y solucin
de problemas y las prcticas recomendadas para sacar el mximo partido de esta funcin:
Descripcin general del filtrado de URL
Componentes y flujo de trabajo de filtrado de URL
Ejemplos de casos de uso del filtrado de URL
Solucin de problemas del filtrado de URL
Filtrado de URL
321
Filtrado de URL

La funcin de filtrado de URL de Palo Alto Networks complementa la funcin App-ID permitindole
configurar su cortafuegos para identificar y controlar el acceso al trfico web (HTTP y HTTPS). Al implementar
perfiles de filtrado de URL en polticas de seguridad y al utilizar categoras de URL como criterios de
coincidencia en polticas (portal cautivo, descifrado, seguridad y QoS), obtendr una visibilidad y un control
completos del trfico que atraviesa su cortafuegos y podr habilitar y controlar de forma segura el modo en que
sus usuarios acceden a Internet.
Los siguientes temas describen los componentes del filtrado de URL y cmo se utilizan en un cortafuegos de
Palo Alto Networks:
Cmo funciona el filtrado de URL?
Interaccin entre App-ID y categoras de URL
Control de URL basado en categora
Perfiles de filtrado de URL
Cmo se utilizan las categoras de URL como criterios de coincidencia en las polticas?
Cmo funciona el filtrado de URL?

La solucin de filtrado de URL de Palo Alto Networks utiliza una base de datos de filtrado de URL que contiene
millones de sitios web y en la que cada sitio web se ubica en una de aproximadamente 60 categoras diferentes.
A continuacin, se aplica un perfil de filtrado de URL que contiene la lista de categoras a una poltica de
seguridad que permite el trfico web (HTTP/HTTPS) de los usuarios internos a Internet. Despus de aplicar
el perfil de filtrado de URL y establecer la categora de la accin de alerta o bloqueo, obtendr una completa
visibilidad de los sitios web a los que acceden los usuarios y, a continuacin, podr decidir qu sitios web o
categoras de sitios web deberan permitirse, bloquearse o registrarse en logs. Tambin puede definir una lista
de URL en el perfil de filtrado de URL que siempre se bloquear o permitir; asimismo, puede crear categoras
de URL personalizadas que contengan una lista de URL que puedan utilizarse del mismo modo que la lista de
categoras predeterminadas. Estas mismas categoras de URL tambin se pueden utilizar como criterio de
coincidencia en otras polticas, como portal cautivo, descifrado y QoS.
Los cortafuegos de Palo Alto Networks admiten dos proveedores para el filtrado de URL:
PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks, que est estrechamente
integrada en PAN-OS mediante el uso de almacenamiento en cach local de alto rendimiento para lograr el
mximo rendimiento en lnea de las bsquedas de URL, mientras que una arquitectura de nube distribuida
proporciona cobertura para los sitios web ms recientes.
BrightCloud: Base de datos de URL externa, propiedad de Webroot, Inc., que est integrada en los
cortafuegos de PAN-OS. Para obtener informacin sobre la base de datos de URL de BrightCloud, visite
http://brightcloud.com.
322
Filtrado de URL
Filtrado de URL
Interaccin entre App-ID y categoras de URL

La funcin de filtrado de URL de Palo Alto Networks, junto con la funcin de identificacin de aplicaciones
(App-ID), proporciona una proteccin sin precedentes ante una amplia gama de riesgos legales, normativos, de
productividad y de uso de recursos. Mientras que App-ID le permite controlar a qu aplicaciones pueden
acceder los usuarios, el filtrado de URL ofrece control sobre la actividad web relacionada. Cuando se combinan
con User-ID, tambin puede aplicar estos controles basndose en usuarios y grupos.
Con el panorama actual de aplicaciones y el modo en que muchas aplicaciones utilizan HTTP y HTTPS, deber
determinar cundo utilizar App-ID y cundo utilizar el filtrado de URL para definir polticas de acceso web
completas. En la mayora de los casos, si existe una firma de App-ID, sera conveniente que utilizara App-ID
para controlar el contenido a nivel de aplicacin. Por ejemplo, aunque puede controlar el acceso a Facebook y/o
LinkedIn mediante el filtrado de URL, esto no bloqueara el uso de todas las aplicaciones relacionadas, como el
correo electrnico, el chat y cualquier aplicacin nueva que se introduzca despus de que implemente su poltica.
En algunos casos, le interesar utilizar tanto el filtrado de URL como App-ID, pero para garantizar que no haya
conflictos en sus polticas, es importante comprender cul es el comportamiento de estas funciones cuando se
utilizan en conjunto. Palo Alto Networks genera firmas para muchas aplicaciones y dichas firmas pueden ser
muy detalladas con respecto a diversas funciones dentro de las aplicaciones basadas en Internet, mientras que
el filtrado de URL solamente aplicara acciones basndose en un sitio web o una categora de URL en concreto.
Por ejemplo, puede que desee bloquear los sitios de redes sociales en general, pero quiera permitir que varios
sitios de dicha categora sean accesibles para departamentos especficos y, a continuacin, controlar qu
funciones del sitio web estarn disponibles para los usuarios con permiso. Para obtener ms informacin,
consulte Ejemplos de casos de uso del filtrado de URL.
Control de URL basado en categora

Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una de las aproximadamente 60
categoras diferentes. Posteriormente, estas categoras pueden utilizarse en un perfil de filtrado de URL para
bloquear o permitir el acceso basndose en la categora, o bien puede configurar el cortafuegos para que utilice
una categora como criterio de coincidencia en la poltica. Por ejemplo, para bloquear todos los sitios web de
juegos, en el perfil de filtrado de URL debera establecer la accin de bloqueo para la categora de URL juegos.
Como ejemplo de uso de una categora de URL como criterio de coincidencia en una poltica, podra utilizar la
categora de URL aplicaciones de transmisin multimedia en una poltica de QoS para aplicar controles de ancho de
banda a todos los sitios web categorizados como aplicaciones de transmisin multimedia.
Al agrupar sitios web en categoras, resulta ms fcil definir acciones basndose en determinados tipos de sitios
web. Adems de las categoras de URL estndar, hay tres categoras adicionales:
No resuelto: Indica que el sitio web no se ha encontrado en la base de datos de filtrado de URL local y que
el cortafuegos no ha podido conectarse con la base de datos de la nube para comprobar la categora. Cuando
se realiza una bsqueda de categora de URL, en primer lugar, el cortafuegos comprueba la cach del plano
de datos en busca de la URL; si no se encuentra ninguna coincidencia, a continuacin comprueba la cach
del plano de gestin; y si no se encuentra ninguna coincidencia all, consulta la base de datos de URL en la
nube.
Al decidir qu accin realizar para el trfico categorizado como No resuelto, tenga en cuenta que si establece
una accin de bloqueo, puede perjudicar mucho a los usuarios.
Filtrado de URL
323
Filtrado de URL
Para obtener ms informacin sobre la solucin de problemas de bsqueda, consulte Solucin de problemas
del filtrado de URL.
Direcciones IP privadas: Indica que el sitio web es un nico dominio (no tiene subdominios), la direccin
IP est en el intervalo de IP privadas o el dominio raz de la URL es desconocido para la nube.
Desconocido: El sitio web todava no se ha categorizado, as que no existe en la base de filtrado de URL
del cortafuegos o en la base de datos de la nube de URL.
Al decidir qu accin realizar para el trfico categorizado como Desconocido, tenga en cuenta que si establece
una accin de bloqueo, puede perjudicar mucho a los usuarios, ya que podra haber muchos sitios vlidos
que todava no estn en la base de datos de URL. Si desea tener una poltica muy estricta, podra bloquear
esta categora, de modo que no se pueda acceder a los sitios web que no existan en la base de datos de URL.
Perfiles de filtrado de URL

Un perfil de filtrado de URL es un conjunto de controles de filtrado de URL que se aplican a polticas de
seguridad individuales para aplicar su poltica de acceso web. El cortafuegos incluye un perfil predeterminado
que est configurado para bloquear sitios web tales como sitios conocidos de software malintencionado, de
phishing y con contenido para adultos. Puede utilizar el perfil predeterminado en una poltica de seguridad,
duplicarlo para utilizarlo como punto de partida para nuevos perfiles de filtrado de URL o aadir un nuevo perfil
de URL que tenga todas las categoras establecidas como permitidas para lograr visibilidad del trfico de su red.
A continuacin, podr personalizar los perfiles de URL recin aadidos y aadir listas de sitios web especficos
que siempre deberan bloquearse o permitirse, lo que proporciona un control ms detallado de las categoras de
URL. Por ejemplo, puede que desee bloquear los sitios de redes sociales, pero permitir algunos sitios web que
formen parte de la categora de redes sociales.
La seccin describe cmo se aplican los perfiles de filtrado de URL y la diversas opciones que pueden definirse:
Acciones de filtrado de URL
Cmo utilizar las listas de bloqueadas y de permitidas
Forzaje de bsquedas seguras
Acerca de la pgina de contenedor de log
Acciones de filtrado de URL

Cada categora de filtrado de URL puede establecerse para realizar las siguientes acciones:
Accin
Descripcin
Alerta
El sitio web est permitido y se genera una entrada de log en el log de filtrado de URL.
Permitir
El sitio web est permitido y no se genera ninguna entrada de log.
Bloquear
El sitio web est bloqueado y el usuario ver una pgina de respuesta y no podr ir al
sitio web. Se generar una entrada de log en el log de filtrado de URL.
324
Filtrado de URL
Filtrado de URL
Accin
Descripcin
Continuar
El usuario recibir una pgina de respuesta indicando que el sitio se ha bloqueado

debido a la poltica de la empresa, pero se le dar la opcin de ir al sitio web. La accin
Continuar suele utilizarse para categoras que se consideran buenas y se utiliza para
mejorar la experiencia del usuario dndole la opcin de continuar si considera que el
sitio se ha categorizado incorrectamente. El mensaje de la pgina de respuesta se puede
personalizar para incluir informacin detallada especfica de su empresa. Se generar
una entrada de log en el log de filtrado de URL.
Nota
Cancelar
La pgina Continuar no se mostrar correctamente en mquinas cliente

configuradas para utilizar un servidor proxy.
El usuario ver una pgina de respuesta que indica que se requiere una contrasea para
permitir el acceso a los sitios web de la categora en cuestin. Con esta opcin, el
administrador de seguridad o el miembro del departamento de soporte tcnico
proporcionara una contrasea que concedera un acceso temporal a todos los sitios web
de la categora en cuestin. Se generar una entrada de log en el log de filtrado de URL.
Nota
La pgina Cancelar no se mostrar correctamente en mquinas cliente

configuradas para utilizar un servidor proxy.
Cmo utilizar las listas de bloqueadas y de permitidas

Las listas de bloqueadas y de permitidas le permiten definir URL o direcciones IP especficas en el perfil de filtrado
de URL que siempre se permitirn o siempre se bloquearn, independientemente de la accin definida para la
categora de URL. Al introducir las URL en la Lista de bloqueadas o Lista de permitidas, introduzca cada URL o
direccin IP en una nueva fila separada por una nueva lnea. Cuando utilice comodines en las URL, siga estas reglas:
No incluya HTTP y HTTPS al definir las URL. Por ejemplo, introduzca www.paloaltonetworks.com o
paloaltonetworks.com en lugar de https://www.paloaltonetworks.com.
Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre maysculas y
minsculas.
Por ejemplo: Si desea impedir que un usuario acceda a cualquier sitio web que est dentro del dominio
paloaltonetworks.com, tambin debera aadir *.paloaltonetworks.com para que se realice la accin
especificada, independientemente del prefijo de dominio que se aada a la direccin (http://, www o un
prefijo de subdominio, como mail.paloaltonetworks.com). Lo mismo ocurre con el sufijo de subdominio; si
desea bloquear paloaltonetworks.com/en/US, debe aadir tambin paloaltonetworks.com/*.
Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se
consideran separadores:
.
/
?
&
=
;
+
Filtrado de URL
325
Filtrado de URL
Toda cadena separada por el carcter anterior se considera un testigo. Un testigo puede ser cualquier nmero
de caracteres ASCII que no contenga un carcter separador o *. Por ejemplo, los siguientes patrones son
vlidos:
*.yahoo.com (los testigos son: "*", "yahoo" y "com")
www.*.com (los testigos son: "www", "*" and "com")
www.yahoo.com/search=* (los testigos son: "www", "yahoo", "com", "search", "*")
Los siguientes patrones no son vlidos porque el carcter * no es el nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Forzaje de bsquedas seguras

Forzaje de bsquedas seguras es una opcin que puede habilitarse en un perfil de filtrado de URL y que se utiliza
para impedir que los usuarios que buscan en Internet utilicen uno de los tres principales proveedores de
bsquedas (Google, Bing o Yahoo!) para ver los resultados de la bsqueda, a menos que la opcin de bsqueda
segura estricta del proveedor de bsquedas est establecida en los exploradores o en la cuenta de usuario. El
ajuste de bsqueda segura estricta se utiliza en los proveedores de bsquedas para evitar que aparezca contenido
sexual explcito en los resultados de la bsqueda. Este ajuste es la mejor opcin, si bien los proveedores de
bsquedas no garantizan que funcione con todos los sitios web.
Si Forzaje de bsquedas seguras est habilitado en el cortafuegos y la opcin de bsqueda segura estricta no est
establecida en el explorador o la cuenta del proveedor de bsquedas, cuando el usuario realice una bsqueda, el
usuario ver una pgina de bloqueo que indica que el ajuste de bsqueda estricta es obligatorio. Tambin se
proporcionar un enlace en la pgina de bloqueo que llevar al usuario a la pgina de configuracin de bsquedas
seguras del explorador. Despus de establecer la opcin de bsqueda segura estricta, el usuario podr ver de
nuevo los resultados de la bsqueda.
El ajuste de bsqueda segura puede establecerse de una de las siguientes maneras o de ambas:
Ajuste de cuenta: Si inicia sesin en un proveedor de bsquedas y establece el ajuste de bsqueda estricta,
puede utilizar cualquier equipo o cualquier explorador y, mientras est registrado en el sitio del proveedor de
bsquedas, el ajuste estricto le acompaar. Por ejemplo, si inicia sesin en bing.com y establece la bsqueda
segura estricta, puede utilizar cualquier equipo o explorador e iniciar sesin en bing.com, y el ajuste estricto
se configurar.
Ajuste de explorador: Si no inicia sesin en el sitio del proveedor de bsquedas, deber establecer el ajuste
de bsqueda estricta para cada explorador que utilice para conectarse con el proveedor de bsquedas.
Si un usuario inicia sesin en el sitio de un proveedor de bsquedas, la conexin se realizar a travs de SSL, de
modo que el descifrado debe estar habilitado en el cortafuegos para que Forzaje de bsquedas seguras funcione.
Asimismo, ahora algunos proveedores de bsquedas solamente muestran los resultados de la bsqueda a travs
de SSL, as que aunque el usuario no se haya registrado, el descifrado debe configurarse en el cortafuegos.
Si est realizando una bsqueda en Yahoo! Japan (yahoo.co.jp) mientras est registrado en su
cuenta de Yahoo!, la opcin de bloqueo para el ajuste de bsqueda tambin debe estar
habilitada.
326
Filtrado de URL
Filtrado de URL
La habilidad del cortafuegos para detectar el ajuste de bsqueda segura dentro de estos tres proveedores se
actualizar con la firma Aplicaciones y amenazas. Si un proveedor de bsquedas cambia el mtodo de ajuste de
bsqueda segura que utiliza Palo Alto Networks para detectar los ajustes o si se aade la compatibilidad con un
nuevo proveedor de bsquedas, se realizar una actualizacin a esta firma. Cada proveedor de bsquedas es el
que valora si un sitio es seguro o no, y no Palo Alto Networks. El valor predeterminado de la opcin Forzaje de
bsquedas seguras es estar deshabilitada; adems, no se requiere una licencia de filtrado de URL para usarla.
Acerca de la pgina de contenedor de log

Una pgina de contenedor es la pgina principal a la que accede un usuario al visitar un sitio web, pero se pueden
cargar sitios web adicionales dentro de la pgina principal. Si se habilita la opcin Pgina de contenedor de log
nicamente en el perfil de filtrado de URL, solamente se registrar la pgina de contenedor principal y no las
pginas posteriores que puedan cargarse dentro de la pgina de contenedor. Dado que el filtrado de URL
potencialmente puede generar muchas entradas de log, puede que quiera activar esta opcin; de este modo, las
entradas de log solamente incluirn esos URI cuando el nombre de archivo de la pgina solicitada coincida con
los tipos MIME especficos. El conjunto predeterminado incluye los siguientes tipos MIME:
application/pdf
application/soap+xml
application/xhtml+xml
text/html
text/plain
text/xml
Si ha habilitado la opcin Pgina de contenedor de log nicamente, puede que no siempre
haya una entrada de log de URL correlacionada para amenazas detectadas por antivirus o
proteccin contra vulnerabilidades.
Cmo se utilizan las categoras de URL como criterios de coincidencia en

las polticas?
Las categoras de URL pueden utilizarse como criterios de coincidencia en una poltica para que esta sea ms
detallada. Por ejemplo, puede que tenga definida una poltica de descifrado, pero le gustara que determinados
sitios web eludieran el descifrado. Para ello, debe configurar una poltica de descifrado con la accin No descifrar
y debe definir una categora de URL como criterio de coincidencia para la regla de poltica, de modo que la
poltica solamente coincida con los flujos de trfico hacia los sitios web que formen parte de la categora
especificada.
Filtrado de URL
327
Filtrado de URL
La siguiente tabla describe los tipos de polticas que pueden utilizar categoras de URL:
Tipo de poltica
Descripcin
Portal cautivo
Para garantizar que los usuarios estn autenticados antes de permitirles el acceso a una
categora especfica, puede adjuntar una categora de URL como criterio de
coincidencia para la poltica de portal cautivo.
Descifrado
Las polticas de descifrado pueden utilizar categoras de URL como criterios de

coincidencia para determinar si determinados sitios web deberan descifrarse o no. Por
ejemplo, si tiene una poltica de descifrado con la accin Descifrar para todo el trfico
entre dos zonas, puede haber categoras de sitios web especficas, como servicios
financieros y/o salud y medicina, que no deberan descifrarse. En este caso, debe crear una
nueva poltica de descifrado con la accin No descifrar que precede a la poltica de
descifrado y, a continuacin, define una lista de categoras de URL como criterios de
coincidencia para la poltica. Al hacer esto, no se descifrar ninguna categora de URL
que forme parte de la poltica de no descifrado. Tambin podra configurar una
categora de URL personalizada para definir su propia lista de URL que, a
continuacin, podr utilizarse en la poltica de no descifrado.
QoS
Una poltica de QoS puede utilizar categoras de URL para determinar los niveles de
rendimiento de categoras especficas de sitios web. Por ejemplo, puede que quiera
permitir la categora aplicaciones de transmisin multimedia y al mismo tiempo limitar
el rendimiento aadiendo la categora de URL como criterio de coincidencia a la
poltica de QoS.
Seguridad
Las categoras de URL se pueden definir directamente en las polticas de seguridad para
utilizarlas como criterios de coincidencia en la pestaa Categora de URL/servicio y los
perfiles de filtrado de URL se pueden configurar en la pestaa Acciones.
Por ejemplo, puede que el grupo de seguridad de una empresa necesite acceder a la
categora hacking, pero debera evitarse que el resto de usuarios accediera a estos sitios.
Para ello, deber crear una regla de seguridad que permita el acceso entre las zonas
utilizadas para el acceso web, la pestaa Categora de URL/servicios contendr la
categora hacking y el grupo de seguridad se definir a continuacin en la pestaa
Usuarios de la poltica. A continuacin, la regla de seguridad principal que permite un
acceso web general a todos los usuarios tendr un perfil de filtrado de URL que
bloquear todos los sitios de hacking. La poltica que permite el acceso al hacking
deber indicarse antes de la poltica que bloquea el hacking. De este modo, cuando un
usuario que forme parte del grupo de seguridad intente acceder a un sitio de hacking,
la poltica permitir el acceso y se detendr el procesamiento de reglas.
Es importante comprender que al crear polticas de seguridad, las reglas de bloqueo no
son terminales y las reglas de permiso son terminales. Esto significa que si establece
una regla de bloqueo y hay una coincidencia de trfico para esa regla, se comprobar si
las otras reglas que vienen despus de la regla de bloqueo coinciden. Con una regla de
permiso, que es terminal, cuando el trfico coincide con la regla, el trfico se permite
y las reglas posteriores no se comprueban. Por ejemplo, puede que tenga configurada
una regla de bloqueo que bloquee la categora compras para todos los usuarios, pero
luego tenga una regla de permiso que permita las compras para un grupo de usuarios
especfico. En este ejemplo, un usuario del grupo permitido probablemente tambin
forma parte del grupo general que incluye a todo el mundo. Debido a esto, lo mejor es
indicar una regla de permiso especfica antes de la regla de bloqueo, para que se detenga
el procesamiento de reglas despus de que el trfico coincida y se realice la accin
Permitir.
328
Filtrado de URL
Filtrado de URL

Esta seccin describe los componentes de PAN-DB y el flujo de trabajo de resolucin de categorizacin de URL
que se produce a medida que los usuarios acceden a diferentes URL a travs del cortafuegos.
Componentes de categorizacin de URL de PAN-DB
Flujo de trabajo de categorizacin de URL de PAN-DB
Componentes de categorizacin de URL de PAN-DB

La tabla siguiente describe los componentes de PAN-DB de manera detallada. El sistema BrightCloud funciona
de manera similar, pero no utiliza una base de datos de envos iniciales.
Componente
Descripcin
Base de datos de envos de

filtrado de URL
La base de datos de envos iniciales descargada en el cortafuegos es un pequeo

subconjunto de la base de datos que se mantiene en los servidores de la nube de URL
de Palo Alto Networks. El motivo de esto es que la base de datos completa contiene
millones de URL y puede que sus usuarios nunca accedan a muchas de estas URL. Al
descargar la base de datos de envos iniciales, se selecciona una regin (Norteamrica,
Europa, APAC o Japn) y cada regin contiene un subconjunto de las URL a las que
ms se accede en dicha regin. Al hacer esto, el cortafuegos almacenar una base de
datos de URL mucho ms pequea, lo que mejora enormemente el rendimiento de
bsqueda. Si un usuario accede a un sitio web que no est en la base de datos de URL
local, se consultar la base de datos completa de la nube y, a continuacin, el
cortafuegos aadir la nueva URL a la base de datos local. Dicho de otro modo, la base
de datos local del cortafuegos se cumplimentar/personalizar continuamente
basndose en la actividad de los usuarios. Tenga en cuenta que la base de datos de URL
personalizada local se borrar si la base de datos de envos de PAN-DB se vuelve a
descargar o si cambia el proveedor de la base de datos de URL de PAN-DB a
BrightCloud.
Servicio de la nube
El servicio de la nube de PAN-DB se implementa mediante Amazon Web Services

(AWS). AWS proporciona un alto rendimiento distribuido y un entorno estable para
descargas de la base de datos de envos y bsquedas de URL para cortafuegos de Palo
Alto Networks; asimismo, la comunicacin se realiza a travs de SSL. Los sistemas de
la nube de AWS incluyen la totalidad de PAN-DB, que se actualiza cuando se
identifican nuevas URL. El servicio de la nube de PAN-DB admite un mecanismo
automatizado para actualizar la base de datos de URL local del cortafuegos si la versin
no coincide. Cada vez que el cortafuegos consulta a los servidores de la nube con
bsquedas de URL, tambin comprueba si hay actualizaciones clave. Si no se han
producido consultas en los servidores de la nube en ms de 30 minutos, el cortafuegos
comprueba si hay actualizaciones en los sistemas de la nube.
El sistema de la nube tambin proporciona un mecanismo para enviar solicitudes de
cambio de categora de URL. Esto se realiza a travs del servicio de comprobacin de
sitios web, que est disponible directamente desde el dispositivo (configuracin de
perfil de filtrado de URL) y desde el sitio web Test A Site (en ingls) de Palo Alto
Networks. Tambin puede enviar una solicitud de cambio de categorizacin de URL
directamente desde el log de filtrado de URL del cortafuegos en la seccin Detalles de
log.
Filtrado de URL
329
Filtrado de URL
Componente
Descripcin
Cach de URL del plano de

gestin (MP)
Cuando se activa PAN-DB en el cortafuegos, se descarga una base de datos de envos

desde uno de los servidores de la nube de PAN-DB para cumplimentar inicialmente la
cach local; esto se hace para mejorar el rendimiento de bsqueda. Cada base de datos
de envos regional contiene las principales URL de la regin. Asimismo, el tamao de
la base de datos de envos (nmero de entradas de URL) tambin depende de la
plataforma del dispositivo. La cach de URL del plano de gestin se escribe
automticamente en la unidad local del cortafuegos cada ocho horas, antes de que se
reinicie el cortafuegos o cuando la nube actualiza la versin de la base de datos de URL
en el cortafuegos. Despus de reiniciar el cortafuegos, el archivo que se guard en la
unidad local se cargar en la cach del plano de gestin. Tambin se implementa el
mecanismo de usados menos recientemente (LRU) en la cach de URL del plano de
gestin en el caso de que la cach est llena. Si la cach se llena, las URL a las que se ha
accedido menos se sustituirn por las URL ms recientes.
Cach de URL del plano de

datos (DP)
Se trata de un subconjunto de la cach del plano de gestin. Es una base de datos de

URL dinmica personalizada que se almacena en el plano de datos (DP) y se utiliza para
mejorar el rendimiento de bsqueda de URL. La cach de URL del plano de datos se
borra tras cada reinicio del cortafuegos. El nmero de URL que se almacenan en la
cach de URL del plano de datos vara segn la plataforma de hardware y las URL
almacenadas actualmente en el TRIE (estructura de datos). Se implementa el
mecanismo de usados menos recientemente (LRU) en la cach del plano de datos en
el caso de que la cach est llena. Si la cach se llena, las URL a las que se ha accedido
menos se sustituirn por las URL ms recientes. Las entradas de la cach de URL del
plano de datos vencen tras un perodo de tiempo especificado. Adems, el
administrador no puede cambiar el perodo de vencimiento.
Flujo de trabajo de categorizacin de URL de PAN-DB

Cuando un usuario intenta acceder a una URL y hay que determinar la categora de URL, el cortafuegos
comparar la URL con los siguientes componentes (por orden) hasta que se encuentre una coincidencia:
330
Filtrado de URL
Filtrado de URL
Si una consulta de URL coincide con una entrada caducada de la cach de URL del plano de datos, la cach
responder con la categora caducada, pero tambin enviar una consulta de categorizacin de URL al plano de
gestin. Se hace esto para evitar retrasos innecesarios en el plano de datos, suponiendo que la frecuencia de
cambio de categoras sea baja. Del mismo modo, en la cach de URL del plano de gestin, si una consulta de
URL del plano de datos coincide con una entrada caducada del plano de gestin, el plano de gestin responder
al plano de datos con la categora caducada y tambin enviar una solicitud de categorizacin de URL al servicio
de la nube. Al obtener la respuesta de la nube, el cortafuegos reenviar la respuesta actualizada al plano de datos.
A medida que se definan nuevas URL y categoras o si se necesitan actualizaciones clave, la base de datos de la
nube se actualizar. Cada vez que el cortafuegos consulte a la nube con una bsqueda de URL o si no se
producen bsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararn y, si no coinciden, se realizar una actualizacin progresiva.
Filtrado de URL
331
Filtrado de URL

Esta seccin describe los pasos necesarios para empezar a utilizar la funcin de filtrado de URL. Despus de
configurar el filtrado de URL, podr supervisar la actividad web y, a continuacin, determinar qu acciones
realizar en sitios web y categoras de sitios web especficos. Para controlar el trfico HTTPS, el cortafuegos debe
contar con una poltica de descifrado entre las zonas que permiten el trfico web.
Habilitacin del filtrado de URL
Determinacin de los requisitos de la poltica de filtrado de URL
Definicin de controles del sitio web

Para asignar una licencia y habilitar el filtrado de URL en un cortafuegos de Palo Alto Networks:
Paso 1
Obtenga e instale una licencia de filtrado 1.

de URL y confirme que se haya instalado.
Desde Dispositivo > Licencias de la seccin Gestin de

licencias, seleccione el mtodo de instalacin de licencia
Nota
El modo de funcionamiento de PAN-DB

y BrightCloud despus del vencimiento
de la licencia de filtrado de URL es
diferente. BrightCloud tiene una opcin
en el perfil de URL para permitir todas las 2.
categoras o bloquear todas las categoras
si la licencia vence. Con PAN-DB, si la
licencia vence, el filtrado de URL seguir
funcionando basndose en la informacin
de categoras de URL que existe en las
cachs del plano de datos y del plano de
gestin, pero las bsquedas en la nube de
URL y otras actualizaciones basadas en la
nube no funcionarn hasta que no se
instale una licencia vlida.
basndose en el tipo de clave de licencia que haya recibido.

Puede ser una clave que recuperar del servidor de licencias, un
cdigo de autorizacin o un archivo de licencia cargado
manualmente.
(Solamente PAN-DB) Descargue la base 1.

de datos de envos iniciales y active
PAN-DB URL Filtering.
2.
Haga clic en Descargar junto a Descargar estado en la seccin

PAN-DB URL Filtering.
Paso 2
3.
Cuando la licencia se haya instalado, confirme que aparece una

fecha vlida en el campo Fecha de caducidad de la base de datos
correspondiente.
Seleccione una regin (Norteamrica, Europa, APAC, Japn) y,

a continuacin, haga clic en Aceptar para iniciar la descarga.
Cuando finalice la descarga, haga clic en Activar.
Nota
332
Si PAN-DB ya es el proveedor de filtrado de URL activo y

hace clic en Volver a descargar, volver a activar PAN-DB
al eliminar las cachs del plano de datos y del plano de
gestin y sustituirlas por el contenido de la nueva base de
datos de envos. Debera evitar hacer esto a menos que sea
necesario, ya que perder su cach, que est personalizada
segn el trfico web que ha pasado anteriormente por el
cortafuegos basndose en la actividad de los usuarios.
Filtrado de URL
Filtrado de URL
Habilitacin del filtrado de URL (Continuacin)
Paso 3
(Solo BrightCloud) Active bsquedas en 1.

la nube para categorizar dinmicamente 2.
una URL si la categora no est disponible
en la base de datos local.
Acceda a la CLI en el cortafuegos.

Introduzca los siguientes comandos para activar el Filtrado de
URL dinmica.
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
Paso 4
Configure Actualizaciones dinmicas para 1.

Aplicaciones y amenazas y, si est
2.
utilizando BrightCloud, configure las
actualizaciones de filtrado de URL.
3.
Las actualizaciones de Aplicaciones y
amenazas pueden contener
actualizaciones para el filtrado de URL
relacionado con la opcin Forzaje de
bsquedas seguras disponible en el perfil
de filtrado de URL. Por ejemplo, si Palo
Alto Networks aade compatibilidad con
un nuevo proveedor de bsquedas o si
cambia el mtodo utilizado para detectar
el ajuste de bsqueda segura de un
proveedor existente, la actualizacin se
incluir en las actualizaciones de
Seleccione Dispositivo > Actualizaciones dinmicas.

En la seccin Aplicaciones y amenazas, configure una
programacin para recibir actualizaciones peridicamente.
(Solamente BrightCloud) En la seccin Filtrado de URL,
configure una programacin para recibir actualizaciones
peridicamente.
Las actualizaciones de BrightCloud

incluyen una base de datos de
aproximadamente 20 millones de sitios
web que se almacenan en la unidad del
cortafuegos, de modo que la actualizacin
de filtrado de URL debe programarse
para recibir estas actualizaciones.
Nota
Se requiere una licencia de prevencin de

amenazas para recibir actualizaciones de
contenido, la cual cubre Antivirus y
Determinacin de los requisitos de la poltica de filtrado de URL

La prctica recomendada para implementar el filtrado de URL en su organizacin es empezar con un perfil de
filtrado de URL pasivo que enviar alertas sobre la mayora de las categoras. Tras establecer la accin de alerta,
puede supervisar la actividad web de los usuarios durante varios das para determinar los sitios web a los que se
est accediendo. Despus de hacerlo, podr tomar decisiones sobre los sitios web y las categoras de sitios web
que deberan controlarse.
Configuracin y aplicacin de un perfil de filtrado de URL pasivo
Supervisin de las actividades web
Filtrado de URL
333
Filtrado de URL

Dado que el perfil de filtrado de URL predeterminado bloquea el contenido de riesgo y propenso a las
amenazas, la prctica recomendada es duplicar este perfil cuando cree un nuevo perfil para conservar esta
configuracin predeterminada.
En el procedimiento siguiente, los sitios web propensos a las amenazas se establecern como bloqueados y las
otras categoras se establecern como alerta, lo que har que se registre el trfico de todos los sitios web. Esto
podra crear una gran cantidad de archivos de log, as que lo mejor es realizar esta accin para una supervisin
inicial con el fin de determinar los tipos de sitios web a los que estn accediendo sus usuarios. Tras determinar
las categoras que su empresa aprueba, dichas categoras deberan establecerse como permitidas, lo cual no
generar logs. Tambin puede reducir los logs de filtrado de URL habilitando la opcin Pgina de contenedor de log
nicamente en el perfil de URL, para que solamente se registre la pgina principal que coincida con la categora y
no las pginas/categoras posteriores que puedan cargarse dentro de la pgina de contenedor.
Paso 1
334
Duplique el perfil de filtrado de URL

predeterminado.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
2.
Seleccione el perfil predeterminado y, a continuacin, haga clic

en Duplicar. El nuevo perfil se denominar predeterminado-1.
3.
Seleccione el nuevo perfil y cmbiele el nombre. Por ejemplo,

cmbiele el nombre por Supervisin-URL.
Filtrado de URL
Filtrado de URL
Configuracin y aplicacin de un perfil de filtrado de URL pasivo (Continuacin)
Paso 2
1.
Configure la accin para todas las
categoras como Alertar, excepto para las
categoras propensas a las amenazas, que
deberan permanecer bloqueadas.
En la seccin que enumera todas las categoras de URL,

seleccione todas las categoras y, a continuacin, cancele la
seleccin de las siguientes categoras:
Consejo: Para seleccionar todos los

elementos de la lista de categoras de un
sistema Windows, haga clic en la primera
categora y, a continuacin, mantenga
pulsada la tecla Mays y haga clic en la
ltima categora; esto seleccionar todas
las categoras. Mantenga pulsada la tecla
Ctrl y haga clic en los elementos cuya
seleccin debera cancelarse. En un Mac,
haga lo mismo utilizando las teclas
Maysculas y Comando. Tambin podra 2.
establecer todas las categoras como
Alertar y cambiar manualmente las
categoras recomendadas de nuevo a
Bloquear.
contenido para adultos
3.
Paso 3
Aplique el perfil de URL a la poltica de 1.

seguridad que permite el trfico web para
los usuarios.
2.
3.
Paso 4
Filtrado de URL
consumo de drogas
juegos
hacking
software malintencionado
phishing
contenido cuestionable
armas
A la derecha del encabezado de la columna Accin, pase el ratn
por encima, seleccione la flecha hacia abajo, a continuacin,
seleccione Establecer acciones seleccionadas y seleccione
Alertar.

Seleccione Polticas > Seguridad y seleccione la poltica de
seguridad adecuada para modificarla.
Seleccione la pestaa Acciones y, en la seccin Ajuste de perfil,
haga clic en el men desplegable Filtrado de URL y seleccione
el nuevo perfil.
335
Filtrado de URL
Configuracin y aplicacin de un perfil de filtrado de URL pasivo (Continuacin)
Paso 5
Visualice los logs de filtrado de URL para

determinar todas las categoras de sitios
web a las que estn accediendo sus
usuarios. En este ejemplo, algunas
categoras se establecen como
bloqueadas, de modo que dichas
categoras tambin aparecern en los logs.
Seleccione Supervisar > Logs > Filtrado de URL. Se crear una

entrada de log para cualquier sitio web que exista en la base de datos
de filtrado de URL que est en una categora establecida con una
accin distinta de Permitir.
Para obtener informacin sobre cmo

visualizar los logs y generar informes,
consulte Supervisin de las actividades
web.
Supervisin de las actividades web

Los informes y logs de filtrado de URL muestran toda la actividad web de los usuarios para las categoras de
URL establecidas como Alertar, Bloquear, Continuar o Cancelar. Al supervisar los logs, puede obtener una
mayor comprensin de la actividad web de su base de usuarios para determinar una poltica de acceso web.
Esta seccin da por hecho que se ha configurado un perfil de URL del modo descrito en Configuracin y
aplicacin de un perfil de filtrado de URL pasivo.
Los siguientes temas describen cmo supervisar la actividad web:
Interpretacin de los logs de filtrado de URL
Uso del ACC para supervisar la actividad web
Visualizacin de informes de filtrado de URL
Configuracin de informes de filtrado de URL personalizados
Interpretacin de los logs de filtrado de URL

Los siguientes puntos muestran ejemplos de los logs de filtrado de URL (Supervisar > Logs > Filtrado de URL).
Log Alertar: En este log, la categora es compras y la accin es Alertar.
Log Bloquear: En este log, la categora alcohol y tabaco se estableci como Bloquear, por lo que la accin
es Bloquear URL y el usuario ver una pgina de respuesta que indica que el sitio web se ha bloqueado.
336
Filtrado de URL
Filtrado de URL
Log Alertar en sitio web cifrado: En este ejemplo, la categora es redes sociales y la aplicacin es base de
facebook, que es obligatoria para acceder al sitio web de Facebook y otras aplicaciones de Facebook. Dado
que facebook.com siempre est cifrado con SSL, el cortafuegos descifr el trfico, lo que permite reconocer
y controlar el sitio web si es necesario.
Tambin puede aadir otras columnas a su vista de log de filtrado de URL, como las zonas de origen y destino,
el tipo de contenido y si se realiz o no una captura de paquetes. Para modificar qu columnas mostrar, haga
clic en la flecha hacia abajo en cualquier columna y seleccione el atributo que debe mostrarse.
Para ver la informacin detallada completa del log y/o solicitar un cambio de categora para la URL especfica
a la que se accedi, haga clic en el icono de informacin detallada del log en la primera columna del log.
Uso del ACC para supervisar la actividad web

Para obtener una vista rpida de las categoras ms comunes a las que se est accediendo en su entorno,
solamente tiene que seleccionar la pestaa ACC y desplcese hacia abajo a la seccin Filtrado de URL. En la parte
superior de esta ventana, tambin puede establecer el rango de tiempo, ordenar por opcin y definir cuntos
resultados aparecern. Aqu ver las categoras ms populares a las que acceden sus usuarios ordenadas de mayor
Filtrado de URL
337
Filtrado de URL
a menor popularidad en la lista. En este ejemplo, informacin de equipo e internet es la categora a la que ms se ha
accedido, seguida de direcciones ip privadas (servidores internos) y motores de bsqueda. En el men desplegable de
la esquina superior derecha de las estadsticas, tambin puede decidir enumerar por Categoras de URL,
Categoras de URL bloqueadas y URL bloqueadas.
Visualizacin de informes de filtrado de URL

Para visualizar los informes de filtrado de URL predeterminados, seleccione Supervisar > Informes y, bajo la
seccin Informes de filtrado de URL, seleccione uno de los informes. Puede generar informes sobre Categoras
de URL, Usuarios de URL, Sitios web a los que se ha accedido, Categoras bloqueadas, etc. Los informes se
basan en un perodo de 24 horas y el da se elige seleccionando un da en la seccin de calendario. Tambin puede
exportar el informe a PDF, CSV o XML.
338
Filtrado de URL
Filtrado de URL
Visualizacin del informe de actividad del usuario

Este informe proporciona un mtodo rpido para visualizar la actividad de un usuario o grupo y tambin ofrece
la opcin de visualizar la actividad de tiempo de exploracin.
Generacin de un informe de actividad del usuario
Paso 1
Configure un informe de actividad del

usuario.
1.
Seleccione Supervisar > Informes en PDF > Informe de

actividad del usuario.
2.
Introduzca un Nombre de informe y seleccione el tipo de

informe. Seleccione Usuario para generar un informe para una
persona o seleccione Grupo para un grupo de usuarios.
Nota
Paso 2
Ejecute el informe de actividad del

usuario y, a continuacin, descargue el
informe.
Filtrado de URL
User-ID debe estar configurado para seleccionar nombres

de usuarios o de grupos. Si User-ID no est configurado,
puede seleccionar el tipo Usuario e introducir una
direccin IP del equipo del usuario. Para obtener ms
informacin, consulte User-ID.
3.
Introduzca el nombre de usuario/direccin IP de un informe de

usuario o introduzca el nombre de grupo de un informe de
grupo de usuarios.
4.
Seleccione el perodo de tiempo. Puede seleccionar un perodo

de tiempo existente o seleccionar Personalizado.
5.
Seleccione la casilla de verificacin Incluir exploracin

detallada para que se incluya informacin de exploracin en el
informe.
1.
Haga clic en Ejecutar ahora.
2.
Despus de generar el informe, haga clic en el enlace Descargar

informe de actividad de usuario.
3.
Despus de descargar el informe, haga clic en Cancelar y, a

continuacin, haga clic en ACEPTAR para guardar el informe.
339
Filtrado de URL
Generacin de un informe de actividad del usuario (Continuacin)
Paso 3
Visualice el informe de actividad del usuario abriendo el archivo PDF que se descarg. La parte superior del
informe incluir un ndice parecido al siguiente:
Paso 4
Haga clic en un elemento del ndice para ver informacin detallada. Por ejemplo, haga clic en Resumen de trfico
por categora de URL para ver estadsticas para el usuario o grupo seleccionado.
Configuracin de informes de filtrado de URL personalizados

Para generar un informe detallado que tambin pueda programarse, puede configurar un informe personalizado
y seleccionar elementos en una lista de todos los campos de log de filtrado de URL disponibles.
Configuracin de un informe de filtrado de URL personalizado
Paso 1
Aada un nuevo informe personalizado.
1.
Seleccione Supervisar > Gestionar informes personalizados y

haga clic en Aadir.
2.
Introduzca un nombre de informe en el campo Nombre. Por

ejemplo, Mi-informe-personalizado-de-URL.
3.
Desde el men desplegable Base de datos, seleccione Registro

de URL.
340
Filtrado de URL
Filtrado de URL
Configuracin de un informe de filtrado de URL personalizado (Continuacin)
Paso 2
Configure opciones de informe.
1.
Seleccione el men desplegable Perodo de tiempo y seleccione

un rango.
2.
(Opcional) Para personalizar el modo en que el informe se

ordena y agrupa, seleccione Ordenar por y seleccione el nmero
de elementos que deben mostrarse (por ejemplo, los 25
principales) y, a continuacin, seleccione Agrupar por y
seleccione una opcin como Categora y luego seleccione
cuntos grupos se definirn.
3.
En la lista Columnas disponibles, seleccione los campos que

deben incluirse en el informe. Las siguientes columnas suelen
utilizarse para un informe de URL:
Accin
Categora
Pas de destino
Usuario de origen
URL
Paso 3
Paso 4
Ejecute el informe para comprobar los

resultados. Si los resultados son
satisfactorios, establezca una
programacin para ejecutar el informe
automticamente.
1.
Haga clic en el icono Ejecutar ahora para generar

inmediatamente el informe que aparecer en una nueva pestaa.
2.
(Opcional) Haga clic en la casilla de verificacin Programacin

para ejecutar el informe una vez al da. Esto generar un informe
diario con informacin detallada de la actividad web las ltimas
24 horas. Para acceder al informe, seleccione Supervisar >
Informe y, a continuacin, ample Informes personalizados en
la columna derecha y seleccione el informe.
Filtrado de URL
341
Filtrado de URL
Definicin de controles del sitio web

Despus de seguir los procedimientos del tema Determinacin de los requisitos de la poltica de filtrado de
URL, debera tener unos conocimientos bsicos sobre los tipos de sitios web y categoras de sitios web a los que
estn accediendo sus usuarios. Con esta informacin, ya est listo para personalizar sus polticas de filtrado de
URL para controlar el modo en que sus usuarios acceden a Internet. Los procedimientos siguientes describen
cmo cambiar las acciones de los perfiles de URL, utilizar la opcin Forzaje de bsquedas seguras y utilizar otras
funciones relacionadas con el control del contenido.
Configuracin de controles del sitio web
Paso 1
Paso 2
Personalice su perfil de URL para

1.
controlar los sitios web y las categoras de
sitios web.
2.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL

y modifique su perfil de URL.
1.
En el perfil de filtrado de URL, introduzca las URL o

direcciones IP en Lista de bloqueadas y seleccione una accin:
Configure los sitios web que siempre

deberan bloquearse o permitirse.
Por ejemplo, para reducir los logs de
filtrado de URL, puede que quiera
introducir todos sus sitios web
corporativos en la lista de permitidos,
para que no se genere ningn log para
esos sitios. Si hay un sitio web que se
utiliza demasiado y que no est
relacionado con el trabajo de ningn
modo, puede aadirlo a la lista de
bloqueados.
Los elementos de la lista de bloqueados
siempre se bloquearn
independientemente de la accin de la
categora en cuestin, del mismo modo
que las URL de la lista de permitidos
siempre se permitirn.
Para obtener ms informacin sobre el
formato correcto y los comodines que se
pueden utilizar en las listas de permitidos
y bloqueados, consulte Cmo utilizar las
listas de bloqueadas y de permitidas.
342
En la lista Categora, seleccione la accin adecuada para cada

categora de URL que desee controlar. Por ejemplo, puede que
quiera bloquear categoras como subastas, juegos y citas, pero
permitir redes sociales.
Bloquear: Bloquea la URL.

Continuar: Los usuarios vern una pgina de respuesta al
visitar un sitio que coincida con la categora de URL definida.
Si el usuario hace clic en Continuar, la pgina web se abrir.
Cancelar: Se solicitar al usuario una contrasea para ir al
sitio web.
Alertar: Permite al usuario acceder al sitio web y aade una
entrada de log de alerta en el log de URL.
2.
Para Lista de permitidas, introduzca las direcciones IP o URL

que deberan permitirse siempre. Cada fila debe estar separada
por una nueva lnea.
La siguiente captura de pantalla muestra un perfil de filtrado de URL

tpico. En este ejemplo, la categora redes sociales est bloqueada,
pero Facebook est permitido. El sitio web corporativo
paloaltonetworks.com tambin est permitido, as que no se
registrar ningn log. La lista de bloqueadas contiene una direccin
IP de servidor que siempre se bloquear.
Filtrado de URL
Filtrado de URL
Configuracin de controles del sitio web (Continuacin)
Paso 3
Seleccione la casilla de verificacin Forzaje de bsquedas seguras.

Habilite Forzaje de bsquedas seguras
para impedir que los usuarios que buscan
en Internet utilicen uno de los tres
principales proveedores de bsquedas
(Google, Bing o Yahoo!) para ver los
resultados de la bsqueda, a menos que la
opcin de bsqueda segura estricta est
establecida en sus exploradores y/o en la
cuenta del proveedor de bsquedas.
Para obtener ms informacin sobre esta
opcin, consulte Forzaje de bsquedas
seguras.
Paso 4
Habilite la opcin Pgina de contenedor. Seleccione la casilla de verificacin Pgina de contenedor de log
nicamente.
Para obtener ms informacin, consulte
Acerca de la pgina de contenedor de log.
Paso 5
Guarde el perfil de filtrado de URL.
Paso 6
(Opcional) Si la accin Continuar est

configurada para cualquier categora de
URL, debe habilitar la opcin de pgina
de respuesta en la interfaz de entrada (la
interfaz que recibe el trfico de sus
usuarios en primer lugar).
1. Seleccione Red > Perfiles de red > Gestin de interfaz y

aada un nuevo perfil o edite un perfil existente.
Filtrado de URL
2.
Haga clic en la casilla de verificacin Pginas de respuesta para

habilitarla.
3.
4.
Seleccione Red > Interfaces y, a continuacin, edite la interfaz

de capa 3 o la interfaz de VLAN que sea su interfaz de entrada.
5.
Haga clic en la pestaa Avanzado y seleccione el perfil Gestin

de interfaz que tenga la opcin de pgina de respuesta habilitada
y seleccinelo en el men desplegable.
6.
Haga clic en ACEPTAR para guardar la configuracin de interfaz.
343
Filtrado de URL
Paso 7
(Opcional) Personalice las pginas de

respuesta de filtrado de URL.
1.
Seleccione Dispositivo > Pginas de respuesta.
2.
Hay tres pginas de respuesta diferentes

para el filtrado de URL:
Haga clic en la pgina de respuesta de filtrado de URL que desee

modificar.
3.
Seleccione la pgina de respuesta (predefinida o compartida) y,

a continuacin, haga clic en el enlace Exportar y guarde el
archivo en su escritorio.
Pgina de bloqueo de URL: Acceso

bloqueado por un perfil de filtrado de
URL o porque la categora de URL est
bloqueada por una poltica de
seguridad.
Pgina de continuacin y
cancelacin de filtrado de URL:
Pgina con poltica de bloqueo inicial
que permite que los usuarios eludan el
bloqueo. Con la pgina de cancelacin,
el usuario necesita una contrasea para
cancelar la poltica que bloquea la URL.
Pgina de bloque de bsqueda
segura de filtrado de URL: Acceso
bloqueado por una poltica de
seguridad con un perfil de filtrado de
URL que tiene habilitada la opcin
Forzaje de bsquedas seguras. El
usuario ver esta pgina si se realiza
una bsqueda con Google, Bing o
Yahoo y la configuracin de cuenta de
su explorador o motor de bsqueda no
est establecida como estricta.
344
Nota
La pgina de respuesta predeterminada es una pgina

predefinida y una pgina compartida es una pgina de
respuesta personalizada creada por un administrador.
4.
Modifique la pgina de respuesta mediante un editor de texto y,

a continuacin, guarde el archivo.
5.
Desde el cuadro de dilogo de la pgina de respuesta, haga clic

en Importar, seleccione la pgina de respuesta recin
modificada y, a continuacin, haga clic en ACEPTAR para
importar el archivo.
6.
La pgina de respuesta recin importada se convertir en la

pgina de respuesta activa.
Filtrado de URL
Filtrado de URL
Paso 8
Configure una cancelacin de filtrado de 1.

URL para crear una contrasea temporal 2.
que puedan utilizar usuarios especficos
para acceder a sitios que estn
3.
bloqueados.
4.
Seleccione Dispositivo > Configuracin > Content-ID.

En la seccin Cancelacin de administracin de URL, haga
clic en Aadir para configurar una contrasea.
(Opcional) Establezca un perodo de cancelacin personalizado

introduciendo un nuevo valor en el campo Tiempo de espera
de cancelacin de administrador de URL. De manera
predeterminada, los usuarios pueden acceder a categoras de
URL bloqueadas durante 15 minutos.
Al establecer la contrasea, puede elegir entre Transparente o
Redirigir.
Transparente: El cortafuegos intercepta el trfico del

explorador y representa la URL de destino original,
emitiendo un HTTP 401 para invocar la autenticacin. Sin
embargo, como el cortafuegos no tiene el certificado real
para la URL de destino, el explorador mostrar un error de
certificado a los usuarios que intenten acceder a un sitio
seguro. Por lo tanto, nicamente debera utilizar este modo
cuando sea absolutamente necesario, como en
implementaciones de capa 2 o cable virtual (Virtual Wire).
Redirigir: El cortafuegos intercepta sesiones de HTTP o
HTTPS desconocidas y las redirige a una interfaz de capa 3
en el cortafuegos utilizando una redireccin HTTP 302 para
realizar la autenticacin. Este es el modo preferido porque
proporciona una mejor experiencia de usuario final (sin
errores de certificado). Sin embargo, requiere una
configuracin de capa 3 adicional. Otra ventaja del modo
Redirigir es que permite el uso de cookies de sesin, que
permiten que el usuario siga explorando sitios autenticados
sin tener que volver a asignar cada vez que venza el tiempo de
espera.
Paso 9
Nota
Para comprobar la configuracin de

filtrado de URL, solamente tiene que
acceder a un sitio web de una categora
establecida como Bloquear o Continuar
para comprobar si se realiza la accin
adecuada.
Filtrado de URL
345
Filtrado de URL

Configuracin de filtrado de URL ha demostrado cmo configurar un perfil bsico de filtrado de URL para
controlar el acceso a sitios web basndose en categoras de URL. Los siguientes casos de uso muestran cmo
utilizar App-ID para controlar un conjunto especfico de aplicaciones basadas en Internet y cmo utilizar
categoras de URL como criterios de coincidencia en una poltica. Al trabajar con App-ID, es importante
comprender que cada firma de App-ID puede tener dependencias que sean obligatorias para controlar una
aplicacin por completo. Por ejemplo, en el caso de aplicaciones de Facebook, la base de facebook de App-ID
es obligatoria para acceder al sitio web de Facebook y controlar otras aplicaciones de Facebook. Por ejemplo,
para configurar el cortafuegos con el fin de que controle el correo electrnico de Facebook, tendra que permitir
la base de facebook y el correo de facebook de App-ID. Como otro ejemplo, si busca en Applipedia (la base de
datos de App-ID) LinkedIn, ver que para controlar el correo de LinkedIn, deber aplicar la misma accin a
ambos App-ID: base de linkedin y correo de linkedin. Para determinar las dependencias de las aplicaciones para
firmas de App-ID, visite Applipedia, busque la aplicacin en cuestin y, a continuacin, haga clic en la aplicacin
para obtener informacin detallada.
La funcin User-ID es obligatoria para implementar polticas basadas en usuarios y grupos y una
poltica de descifrado es obligatoria para identificar y controlar sitios web que se hayan cifrado
con SSL.
Esta seccin incluye dos casos de uso:
Caso de uso: control de acceso web
Caso de uso: uso de categoras de URL en la poltica
Caso de uso: control de acceso web

Al utilizar el filtrado de URL para controlar el acceso a sitios web de usuarios, puede que haya instancias en las
que un control detallado sea obligatorio para un sitio web especfico. En este caso de uso, se aplica una poltica
de filtrado de URL a la poltica de seguridad que permite el acceso web para sus usuarios y la categora de URL
redes sociales se establece como Bloquear, pero la lista de permitidas del perfil de URL se configura para permitir
el sitio web de redes sociales de Facebook. Para tener un control adicional sobre Facebook, la poltica de la
empresa tambin determina que solamente el departamento de marketing tiene un acceso completo a Facebook
y que el resto de usuarios de la empresa solamente pueden leer publicaciones de Facebook y no pueden utilizar
ninguna otra aplicacin de Facebook, como el correo electrnico, las publicaciones, el chat y el intercambio de
archivos. Para lograr este requisito, debe utilizarse App-ID para proporcionar un control detallado sobre
Facebook.
346
Filtrado de URL
Filtrado de URL
La primera regla de seguridad permitir que el departamento de marketing acceda al sitio web de Facebook, as
como a todas las aplicaciones de Facebook. Como esta regla de permiso tambin permitir el acceso a Internet,
se aplican perfiles de prevencin de amenazas a la regla, para que el trfico que coincida con la poltica se
examine en busca de amenazas. Esto es importante porque la regla de permiso es terminal y no continuar para
comprobar otras reglas si hay una coincidencia de trfico.
Control de acceso web
Paso 1
Paso 2
Confirme que el filtrado de URL tiene

licencia.
1.
Seleccione Dispositivo > Licencias y confirme que aparece una

fecha vlida para la base de datos de filtrado de URL que se
utilizar. Ser PAN-DB o BrightCloud.
2.
Si no hay ninguna licencia vlida instalada, consulte Habilitacin

del filtrado de URL.
Confirme que User-ID funciona. User-ID 1.

es obligatorio para crear polticas basadas
en usuarios y grupos.
2.
Para comprobar la asignacin de grupos, desde la CLI,

introduzca el siguiente comando:
show user group-mapping statistics
Para comprobar la asignacin de usuarios, desde la CLI,
introduzca el siguiente comando:
show user ip-user-mapping-mp all
Paso 3
Paso 4
Configure un perfil de filtrado de URL

duplicando el perfil predeterminado.
Configure el perfil de filtrado de URL

para que bloquee redes sociales y permita
Facebook.
Filtrado de URL
3.
Si no aparecen estadsticas y/o no se muestra informacin de

asignacin de IP a usuario, consulte User-ID.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL

y seleccione el perfil predeterminado.
2.
Haga clic en el icono Duplicar. Debera aparecer un nuevo perfil

denominado predeterminado-1.
3.
Seleccione el nuevo perfil y cmbiele el nombre.
1.
Modifique el nuevo perfil de filtrado de URL y, en la lista

Categora, desplcese hasta redes sociales y, en la columna Accin,
haga clic en Permitir y cambie la accin a Bloquear.

2.
En el cuadro Lista de permitidas, escriba facebook.com, pulse

Intro para iniciar una nueva lnea y, a continuacin, escriba
*.facebook.com. Ambos formatos son obligatorios, as que se
identificarn todas las variantes de URL que un usuario pueda
utilizar, como facebook.com, www.facebook.com y
https://facebook.com.
3.
347
Filtrado de URL
Control de acceso web (Continuacin)
Paso 5
Aplique el nuevo perfil de filtrado de URL 1.

al perfil de seguridad que permita el
acceso web desde la red de usuario a
2.
Internet.
3.
Paso 6
Seleccione Polticas > Seguridad y haga clic en la poltica que

permite el acceso web de usuario.
En la pestaa Acciones, seleccione el perfil de URL que acaba
de crear en el men desplegable Filtrado de URL.
Cree la poltica de seguridad que permitir al departamento de marketing acceder al sitio web de Facebook y a
todas las aplicaciones de Facebook.
Esta regla debe preceder a otras reglas porque es ms especfica que las otras polticas y porque es una regla de
permiso, que finalizar cuando se produzca una coincidencia de trfico.
1. Seleccione Polticas > Seguridad y haga clic en Aadir.
2. Introduzca un Nombre y, opcionalmente, una Descripcin y Etiqueta.
3. En la pestaa Origen, aada la zona donde los usuarios estn conectados.
4. En la pestaa Usuario de la seccin Usuario de origen, haga clic en Aadir.
5. Seleccione el grupo de directorios que incluya a sus usuarios de marketing.
6. En la pestaa Destino, seleccione la zona conectada a Internet.
7. En la pestaa Aplicaciones, haga clic en Aadir y aada la firma de App-ID facebook.
8. En la pestaa Acciones, aada los perfiles predeterminados para Antivirus, Proteccin contra
vulnerabilidades y Antispyware.
9.
Haga clic en ACEPTAR para guardar el perfil de seguridad.
La firma de App-ID facebook utilizada en esta poltica engloba todas las aplicaciones de Facebook, como base de facebook,
chat de facebook y correo de facebook, por lo que esta es la nica firma de App-ID obligatoria en esta regla.
Cuando esta poltica est establecida, si un empleado de marketing intenta acceder al sitio web de Facebook o cualquier
aplicacin de Facebook, la regla coincide basndose en el hecho de que el usuario forma parte del grupo de marketing.
Para el trfico de cualquier usuario que no pertenezca al departamento de marketing, la regla se omitir porque no habr
ninguna coincidencia de trfico y el procesamiento de reglas continuar.
348
Filtrado de URL
Filtrado de URL
Control de acceso web (Continuacin)
Paso 7
Configure la poltica de seguridad para bloquear al resto de usuarios y que no puedan utilizar ninguna aplicacin
de Facebook que no sea una exploracin web bsica. La forma ms sencilla de hacer esto es duplicar la poltica
de permiso de marketing y, a continuacin, modificarla.
1. Desde Polticas > Seguridad, haga clic en la poltica de permiso de Facebook de marketing que cre
anteriormente para resaltarla y, a continuacin, haga clic en el icono Duplicar.
2. Introduzca un Nombre y, opcionalmente, introduzca una Descripcin y Etiqueta.
3. En la pestaa Usuario, resalte el grupo de marketing y elimnelo; en el men desplegable, seleccione
cualquiera.
4. En la pestaa Aplicaciones, haga clic en la firma de App-ID facebook y elimnela.
5. Haga clic en Aadir y aada las siguientes firmas de App-ID:
aplicaciones de facebook
chat de facebook
intercambio de archivos de facebook
correo de facebook
publicaciones de facebook
complemento social de facebook
6. En la pestaa Acciones, en la seccin Configuracin de accin, seleccione Denegar. La configuracin del
perfil ya debera ser correcta porque esta regla se duplic.
7. Haga clic en ACEPTAR para guardar el perfil de seguridad.

8. Asegrese de que esta nueva regla de denegacin se enumera despus de la regla de permiso de marketing para
garantizar que el procesamiento de reglas se realiza en el orden correcto con el fin de permitir a los usuarios
de marketing y, a continuacin, denegar/limitar al resto de usuarios.
9. Haga clic en Confirmar para guardar la configuracin.
Con estas polticas establecidas, cualquier usuario que forme parte del grupo de marketing tendr un acceso
completo a todas las aplicaciones de Facebook y cualquier usuario que no forme parte del grupo de marketing
solamente tendr acceso de solo lectura al sitio web de Facebook y no podr utilizar determinadas funciones de
Facebook, como la publicacin, el chat, el correo electrnico y el intercambio de archivos.
Filtrado de URL
349
Filtrado de URL
Caso de uso: uso de categoras de URL en la poltica

Las categoras de URL tambin se pueden utilizar como criterios de coincidencia en los siguientes tipos de
polticas: portal cautivo, descifrado, seguridad y QoS. En este caso de uso, las categoras de URL se utilizarn en
polticas de descifrado para controlar qu categoras web deben descifrarse o no. La primera regla es una regla
de no descifrado que no descifrar el trfico de usuario si la categora del sitio web es servicios financieros o salud y
medicina y la segunda regla descifrar el resto del trfico. El tipo de poltica de descifrado es proxy ssl de reenvo, que
se utiliza para controlar el descifrado para todas las conexiones salientes realizadas por los usuarios.
Configuracin de una poltica de descifrado basndose en la categora de URL
Paso 1
Cree la regla de no descifrado que se incluir primero en la lista de polticas de descifrado. Esto impedir el
descifrado de cualquier sitio web que tenga las categoras de URL servicios financieros o salud y medicina.
1. Seleccione Polticas > Descifrado y haga clic en Aadir.
3. En la pestaa Origen, aada la zona donde los usuarios estn conectados.
4. En la pestaa Destino, introduzca la zona conectada a Internet.
5. En la pestaa Categora de URL, haga clic en Aadir y seleccione las categoras de URL servicios financieros y
salud y medicina.
6. En la pestaa Opciones, establezca la accin como No hay ningn descifrado y el Tipo como Proxy SSL de
reenvo.
7.
350
Haga clic en ACEPTAR para guardar la poltica.
Filtrado de URL
Filtrado de URL
Configuracin de una poltica de descifrado basndose en la categora de URL (Continuacin)
Paso 2
Cree la poltica de descifrado que descifrar el resto del trfico. Esta poltica se enumerar despus de la poltica
de no descifrado.
1. Seleccione la poltica de no descifrado que cre anteriormente y, a continuacin, haga clic en Duplicar.
3. En la pestaa Categora de URL, seleccione servicios financieros y salud y medicina y, a continuacin, haga clic en
el icono Eliminar.
4. En la pestaa Opciones, establezca la accin como Descifrar y el Tipo como Proxy SSL de reenvo.
5. Asegrese de que esta nueva regla de descifrado se enumera despus de la regla de no descifrado como se
muestra en la captura de pantalla anterior. Esto garantizar que el procesamiento de reglas se produzca en el
orden correcto, de modo que los sitios web de las categoras servicios financieros y salud y medicina no se descifren
6. Haga clic en ACEPTAR para guardar la poltica.
Paso 3
(Solo BrightCloud) Active bsquedas en

la nube para categorizar dinmicamente
una URL cuando la categora no est
disponible en la base de datos local del
cortafuegos.
1.
2.
Introduzca los siguientes comandos para activar el Filtrado de

URL dinmica.
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
Paso 4
Con estas dos polticas de descifrado establecidas, cualquier trfico destinado a las categoras de URL servicios
financieros o salud y medicina no se descifrar. El resto del trfico s se descifrar.
Tambin puede definir un control ms detallado sobre las polticas de descifrado definiendo polticas de descifrado,
que se utilizan para realizar comprobaciones como verificaciones de certificados de servidor o para bloquear
sesiones con certificados vencidos. A continuacin, el perfil se aade a la pestaa Opciones de la poltica de
descifrado. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione Objetos >
Perfiles de descifrado en el cortafuegos y, a continuacin, haga clic en el icono de ayuda.
Ahora que tiene unos conocimientos bsicos de las potentes funciones del filtrado de URL, App-ID y User-ID,
puede aplicar polticas similares a su cortafuegos para controlar cualquier aplicacin de la base de datos de firmas
de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base de datos de filtrado de
URL.
Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solucin de problemas del filtrado
de URL.
Filtrado de URL
351
Filtrado de URL

Los siguientes temas proporcionan directrices de solucin de problemas para diagnosticar y resolver problemas
comunes del filtrado de URL.
Problemas en la activacin de PAN-DB
Problemas de conectividad con la nube de PAN-DB
URL clasificadas como no resueltas
Categorizacin incorrecta
Base de datos de URL vencida
Problemas en la activacin de PAN-DB

Esta seccin describe los procedimientos que pueden realizarse para resolver problemas en la activacin de
PAN-DB.
1.
2.
Verifique si la PAN-DB se ha activado ejecutando el comando show system setting url-database. Si la

respuesta es paloaltonetworks, PAN-DB es el proveedor activo.
3.
Compruebe que el cortafuegos tenga una licencia de PAN-DB ejecutando el comando request license info.
Debera de ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no est instalada, deber
obtener e instalar una licencia. Consulte Configuracin de filtrado de URL.
4.
Despus de que la licencia est instalada, descargue una nueva base de datos de envos de PAN-DB ejecutando el
comando request url-filtering download paloaltonetworks region <region> .
5.
Compruebe el estado de descarga ejecutando el comando request url-filtering download status vendor
paloaltonetworks.
a. Si el mensaje es diferente de PAN-DB download: Finished successfully, detngase aqu; puede que
haya un problema al conectarse a la nube. Intente solucionar el problema de conectividad realizando una solucin
de problemas de red bsica entre el cortafuegos e Internet. Para obtener ms informacin, consulte Problemas de
conectividad con la nube de PAN-DB.
b. Si el mensaje es PAN-DB download: Finished successfully, el cortafuegos habr descargado correctamente
la base de datos de envos de URL. Trate de volver a habilitar PAN-DB ejecutando el comando set system
setting url-database paloaltonetworks.
6.
Si el problema persiste, pngase en contacto con el equipo de asistencia tcnica de Palo Alto Networks.
Problemas de conectividad con la nube de PAN-DB

Para comprobar la conectividad de la nube, ejecute show url-cloud status. Si la nube est operativa,
la respuesta esperada debera ser similar a la siguiente:
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
Current cloud server :
Cloud connection :
352
vlido
s0000.urlcloud.paloaltonetworks.com
connected
Filtrado de URL
Filtrado de URL
URL database version URL database version 2013/11/19

13:20:51 )
URL database status :
URL protocol version URL protocol version Protocol compatibility
device :
cloud :
2013.11.18.000
2013.11.18.000
device :
cloud :
status :
good
pan/0.0.2
pan/0.0.2
compatible
( last update time
Si la conexin de la nube no est operativa, la respuesta esperada ser similar a la siguiente:

admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
vlido
Cloud connection :
not connected
URL database version - device :
2013.11.18.000
URL database version - cloud :
2013.11.18.000
2013/11/19
13:20:51 )
URL database status :
good
URL protocol version - device :
pan/0.0.2
URL protocol version - cloud :
pan/0.0.2
Protocol compatibility status :
compatible
( last update time
Para solucionar problemas de conectividad de la nube, realice los pasos siguientes:

1.
Si la licencia de PAN-DB muestra invalid , obtenga e instale una licencia de PAN-DB vlida.
2.
El estado de la base de datos de URL es out-of-date . Descargue una nueva base de datos de envos ejecutando
el comando request url-filtering download paloaltonetworks region <region> .
3.
La versin del protocolo de URL muestra not compatible. Actualice la versin del software PAN-OS a la versin
ms reciente.
4.
Si el cortafuegos tiene una configuracin de HA, verifique que el estado de HA de los dispositivos admita la
conectividad con los sistemas de la nube. Puede determinar el estado de HA ejecutando el comando show
high-availability state . La conexin con la nube se bloquear si el cortafuegos no tiene uno de los siguientes
estados:
activa
activa-principal
activa-secundaria
5.
Intente hacer ping en la nube desde su equipo de gestin para verificar que responde y, a continuacin, intente hacer
ping desde una interfaz del cortafuegos que pueda acceder a Internet. Por ejemplo:
ping host s0000.urlcloud.paloaltonetworks.com . Para hacer ping desde una IP de interfaz diferente,
introduzca el origen. Por ejemplo: p ing source IP-Address host
s0000.urlcloud.paloaltonetworks.com .
6.
Filtrado de URL
353
Filtrado de URL
URL clasificadas como no resueltas

Si la mayora de las URL se clasifican como No resuelto en el log de filtrado de URL, siga estos pasos:
1.
Compruebe la conexin de la nube de PAN-DB ejecutando el comando show url-cloud status. Si la nube
no est operativa, todas las entradas que no existan en la cach de URL del plano de gestin se categorizarn como
No resuelto. Solucione los problemas de conexin de la nube consultando la seccin Problemas de conectividad con la
nube de PAN-DB.
2.
Si la nube est operativa, compruebe el uso actual del cortafuegos. Si el rendimiento del cortafuegos tiene picos, puede
que las solicitudes de URL se descarten (puede que no lleguen al plano de gestin) y se categoricen como No resuelto.
3.
Categorizacin incorrecta
Los siguientes pasos describen los procedimientos que pueden utilizarse si una categora de URL es incorrecta.
Por ejemplo, si la URL paloaltonetworks.com se categoriza como alcohol y tabaco, la categorizacin no ser correcta;
la categora debera ser informacin de equipo e internet.
1.
Verifique si la categora est en el plano de datos (DP) ejecutando el comando show running url <URL>.
Por ejemplo, show running url paloaltonetworks.com. Si la URL almacenada en la cach del plano
de datos tiene la categora correcta (informacin de equipo e internet en este ejemplo), entonces la categorizacin ser
correcta y no ser necesario realizar ninguna otra accin. Si la categora no es correcta, vaya al paso siguiente.
2.
Verifique si la categora est en el plano de gestin (MP) ejecutando el comando test url-info-host
<URL>. Por ejemplo, test url-info-host paloaltonetworks.com. Si la URL almacenada en la
cach del plano de gestin tiene la categora correcta, elimine la URL de la cach de URL del plano de datos ejecutando
el comando clear url-cache url <URL>. La prxima vez que el dispositivo solicite la categora de esta
URL, la solicitud se reenviar al plano de gestin. Esto solucionar el problema y no ser necesario realizar ninguna
otra accin. Si esto no soluciona el problema, vaya al paso siguiente para comprobar la categora de URL en los
sistemas de la nube.
3.
Verifique si la categora est en la nube ejecutando el comando test url-info-cloud <URL>. Si la URL
almacenada en la nube tiene la categora correcta, elimine la URL de la cach de URL del plano de datos/plano de
gestin utilizando los siguientes comandos de la CLI:
Ejecute el siguiente comando para eliminar una URL de la cach del plano de datos:
clear url-cache url <URL>
Ejecute el siguiente comando para eliminar una URL de la cach del plano de gestin:
delete url-database url <URL>
La prxima vez que el dispositivo solicite la categora de esta URL, la solicitud se reenviar al plano de gestin y, a
continuacin, a la nube. Esto debera solucionar el problema de bsqueda de categora. Si el problema persiste,
consulte el paso siguiente para enviar una solicitud de cambio de categorizacin.
4.
354
Si la nube muestra una categora incorrecta, enve una solicitud de cambio desde la interfaz web; para ello, vaya al log
de URL y seleccione la entrada de log con la URL que desee cambiar. Haga clic en el enlace Solicitar cambio de
categorizacin y siga las instrucciones proporcionadas. Tambin puede solicitar un cambio de categora en el sitio
web Test A Site (en ingls) de Palo Alto Networks buscando la URL y, a continuacin, haciendo clic en el icono
Solicitar cambio.
Filtrado de URL
Filtrado de URL
Base de datos de URL vencida

Si ha observado a travs de Syslog o la CLI que su base de datos est desactualizada, esto significa que la
conexin del cortafuegos a la nube de URL est bloqueada. Esto suele suceder cuando la base de datos de URL
del cortafuegos es demasiado antigua (la diferencia de la versin es de ms de tres meses) y la nube no puede
actualizar el cortafuegos automticamente. Para solucionar este problema, deber volver a descargar una base
de datos de envos iniciales desde la nube (esta operacin no est bloqueada). El resultado ser una reactivacin
automtica de PAN-DB.
Para actualizar la base de datos manualmente, realice uno de los pasos siguientes:
CLI: request url-filtering download paloaltonetworks region
<region_name> Interfaz web: Seleccione Dispositivo > Licencias y, en la seccin PAN-DB URL Filtering, haga
clic en el enlace Volver a descargar.
Cuando se realice una nueva descarga de la base de datos de envos, el contenido de las cachs
del plano de gestin y del plano de datos se purgarn. A continuacin, la cach del plano de
gestin volver a cumplimentarse con la base de datos de envos recin descargada.
Filtrado de URL
355
356
Filtrado de URL
Filtrado de URL
Calidad de servicio
La calidad de servicio (QoS) es un conjunto de tecnologas que funciona en una red para garantizar su capacidad
de ejecutar de manera fiable aplicaciones de alta prioridad y trfico bajo una capacidad de red limitada. Las
tecnologas de QoS lo consiguen ofreciendo una gestin diferenciada y una asignacin de capacidad a flujos
especficos del trfico de red. Esto permite que el administrador de red asigne el orden el en que se gestiona el
trfico y la cantidad de ancho de banda permitida para el trfico.
La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece una QoS bsica aplicada a redes y la
ampla para proporcionar QoS a aplicaciones y usuarios.
Utilice los siguientes temas para obtener informacin sobre la QoS de aplicaciones de Palo Alto Networks y
configurarla:
Descripcin general de QoS
Configuracin de QoS
Configuracin de QoS para un sistema virtual
Ejemplos de casos de uso de QoS
Calidad de servicio
357
Calidad de servicio

Utilice la QoS para establecer la prioridad y ajustar los aspectos de calidad del trfico de red. Puede asignar el
orden en el que se gestionan los paquetes y adjudicar el ancho de banda, garantizando que el tratamiento
preferido y los niveles ptimos de rendimiento se permiten para el trfico, las aplicaciones y los usuarios
seleccionados.
Las medidas de calidad de servicio sujetas a una implementacin de QoS son el ancho de banda (tasa de
transferencia mxima), el rendimiento (tasa de transferencia real), la latencia (retraso) y la vibracin (varianza en
latencia). La capacidad de moldear o controlar estas medidas de calidad de servicio hace que QoS sea de especial
importancia para el ancho de banda alto, el trfico en tiempo real como la voz sobre IP (VoIP), las
videoconferencias y el vdeo a peticin con una alta sensibilidad a la latencia y la vibracin. Asimismo, utilice
QoS para lograr resultados como los siguientes:
Establezca la prioridad del trfico de red y aplicaciones, garantizando una alta prioridad para el trfico
importante o limitando el trfico no esencial.
Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al trfico de carga
como al de descarga o solamente al trfico de carga o al de descarga.
Garantice una baja latencia para el trfico generador de ingresos y de clientes en un entorno empresarial.
Realice la generacin de perfiles de trfico de aplicaciones para garantizar el uso del ancho de banda.
Cada modelo de cortafuegos admite un nmero mximo de puertos que se puede configurar con QoS. Consulte
la hoja de especificaciones de su modelo de cortafuegos.
Para obtener ms informacin sobre la QoS en un cortafuegos de Palo Alto Networks, consulte los siguientes
temas:
Implementacin de QoS
Conceptos de QoS
Implementacin de QoS
La implementacin de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuracin principales que admiten una solucin completa de QoS:
Perfil de QoS
Poltica de QoS
QoS en la interfaz fsica
Cada una de estas opciones de la tarea de configuracin de QoS facilita un proceso ms amplio que optimiza y
establece la prioridad del flujo de trfico y asigna y garantiza el ancho de banda de acuerdo con los parmetros
configurables.
La Ilustracin: flujo de trfico de QoS muestra el trfico a medida que se desplaza desde el origen, es moldeado
por el cortafuegos con la QoS habilitada y, por ltimo, recibe su prioridad y se entrega en su destino.
358
Calidad de servicio
Calidad de servicio
Ilustracin: flujo de trfico de QoS
Las opciones de configuracin de QoS le permiten controlar el flujo de trfico y definirlo en puntos diferentes
del flujo. La Ilustracin: flujo de trfico de QoS indica en qu lugar las opciones configurables definen el flujo
de trfico. Utilice el perfil de QoS para definir clases de QoS y utilice la poltica de QoS para asociar clases de
QoS al trfico seleccionado. Habilite el perfil de QoS en una interfaz fsica para moldear el trfico de acuerdo
con la configuracin de QoS a medida que se desplaza por la red.
Puede configurar un perfil de QoS y una poltica de QoS individualmente o en cualquier orden, de acuerdo con
sus preferencias. Cada una de las opciones de configuracin de QoS tiene componentes que influyen en la
definicin de las otras opciones. Adems, las opciones de configuracin de QoS se pueden utilizar para crear
una poltica de QoS completa y detallada o se pueden utilizar con moderacin con un mnimo de acciones del
administrador.
Conceptos de QoS
Utilice los siguientes temas para obtener informacin sobre los diferentes componentes y mecanismos de una
configuracin de QoS en un cortafuegos de Palo Alto Networks:
QoS para aplicaciones y usuarios
Perfil de QoS
Clases de QoS
Poltica de QoS
Interfaz de salida de QoS
Trfico de texto claro y de tnel de QoS
QoS para aplicaciones y usuarios

Un cortafuegos de Palo Alto Networks proporciona una QoS bsica, que controla el trfico que sale del
cortafuegos de acuerdo con la red o la subred y ampla la capacidad de la QoS para tambin clasificar y moldear
el trfico de acuerdo con la aplicacin y el usuario. El cortafuegos de Palo Alto Networks ofrece esta capacidad
Calidad de servicio
359
Calidad de servicio
integrando las funciones App-ID y User-ID con la configuracin de QoS. Las entradas de App-ID y User-ID
que existen para identificar aplicaciones y usuarios especficos de su red estn disponibles en la configuracin
de QoS para que pueda especificar fcilmente aplicaciones y usuarios a los que aplicar la QoS.
Puede utilizar una poltica de QoS en la interfaz web (Polticas > QoS) para aplicar la QoS especficamente al
trfico de una aplicacin:
O al trfico de un usuario:
Consulte App-ID y User-ID para obtener ms informacin sobre estas funciones.
360
Calidad de servicio
Calidad de servicio
Perfil de QoS
Utilice un perfil de QoS para definir los valores de hasta ocho clases de QoS incluidas en ese perfil individual
(Red > Perfiles de red > Perfil de QoS):
QoS se habilita aplicando un perfil de QoS a la interfaz de salida para el trfico de red, aplicacin o usuario
(o, especficamente, para el trfico de texto claro o de tnel). Una interfaz configurada con QoS moldea el trfico
de acuerdo con las definiciones de clases del perfil de QoS y el trfico asociado a dichas clases en la poltica de
QoS.
Hay un perfil de QoS predeterminado disponible en el cortafuegos. El perfil predeterminado y las clases
definidas en el perfil no tienen lmites de ancho de banda garantizado o mximo predefinidos.
Puede establecer lmites de ancho de banda para un perfil de QoS y/o establecer lmites para clases de QoS
individuales dentro del perfil de QoS. Los lmites de ancho de banda garantizados totales de las ocho clases de
QoS de un perfil de QoS no pueden superar el ancho de banda total asignado a dicho perfil de QoS. La
habilitacin de QoS en una interfaz fsica incluye el establecimiento del ancho de banda mximo para el trfico
que sale del cortafuegos a travs de esta interfaz. El ancho de banda garantizado de un perfil de QoS (el campo
Salida garantizada) no debera superar el ancho de banda asignado a la interfaz fsica en el que est habilitada la
QoS.
Si desea informacin detallada, consulte Cree un perfil de QoS.
Calidad de servicio
361
Calidad de servicio
Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del trfico al que est asignada. En la interfaz web,
utilice el perfil de QoS para definir clases de QoS (Red > Perfiles de red > Perfil de QoS):
La definicin de una clase de QoS incluye el establecimiento de la prioridad de la clase, el ancho de banda
mximo (Mximo de salida) y el ancho de banda garantizado (Salida garantizada).
La prioridad en tiempo real suele utilizarse para aplicaciones que son especialmente sensibles a
la latencia, como las aplicaciones de voz y vdeo.
Utilice la poltica de QoS para asignar una clase de QoS al trfico especificado (Polticas > QoS):
Hay hasta ocho clases de QoS definibles en un nico perfil de QoS. A menos que est configurado de otra
forma, al trfico que no coincida con una clase de QoS se le asignar la clase 4.
362
Calidad de servicio
Calidad de servicio
El establecimiento de colas de prioridad y la gestin del ancho de banda de QoS, los mecanismos fundamentales
de una configuracin de QoS, se configuran dentro de la definicin de la clase de QoS (consulte el Paso 3). El
establecimiento de colas de prioridad se determina por la prioridad establecida para una clase de QoS. La gestin
del ancho de banda se determina segn los anchos de banda mximo y garantizado establecidos para una clase
de QoS.
Los mecanismos de establecimiento de colas y gestin del ancho de banda determinan el orden del trfico y el
modo en que se gestiona el trfico al entrar o salir de una red:
Prioridad de QoS: Se puede definir una de las cuatro prioridades de QoS siguientes en una clase de QoS:
en tiempo real, alta, media y baja. Cuando una clase de QoS se asocia a un trfico especfico, la prioridad
definida en esa clase de QoS se asigna al trfico. A continuacin, los paquetes del flujo de trfico se ponen
en cola segn su prioridad hasta que la red est lista para procesarlos. Este mtodo de establecimiento de
colas de prioridad proporciona la capacidad de garantizar que el trfico, las aplicaciones o los usuarios
importantes tengan prioridad.
Gestin del ancho de banda de clase de QoS: La gestin del ancho de banda de clase de QoS proporciona
la capacidad de controlar los flujos de trfico de una red para que el trfico no supere la capacidad de la red,
lo que provocara la congestin de la red, o asignar lmites de ancho de banda especficos para el trfico,
aplicaciones o usuarios. Puede establecer lmites generales en el ancho de banda utilizando el perfil de QoS
o establecer lmites para clases de QoS individuales. Un perfil de QoS y las clases de QoS del perfil tienen
lmites de ancho de banda garantizado y mximo. El lmite de ancho de banda garantizado (Salida
garantizada) asegura que se procesar cualquier cantidad de trfico hasta ese lmite de ancho de banda
establecido. El lmite de ancho de banda mximo (Mximo de salida) establece el lmite total del ancho de
banda asignado al perfil de QoS o a la clase de QoS. El trfico que supere el lmite de ancho de banda mximo
se descartar. Los lmites de ancho de banda total y lmites de ancho de banda garantizado de las clases de
QoS de un perfil de QoS no pueden superar el lmite de ancho de banda del perfil de QoS.
Calidad de servicio
363
Calidad de servicio
Poltica de QoS
En una configuracin de QoS, la poltica de QoS identifica el trfico que requiere un tratamiento de QoS (ya sea
un tratamiento preferente o una limitacin del ancho de banda) mediante un parmetro definido o varios
parmetros y le asigna una clase.
Utilice la poltica de QoS, parecida a una poltica de seguridad, para establecer los criterios que identifican el
trfico:
Aplicaciones y grupos de aplicaciones.
Zonas de origen, direcciones de origen y usuarios de origen.
Zonas de destino y direcciones de destino.
Servicios y grupos de servicios limitados a nmeros de puertos TCP y/o UDP concretos.
Categoras de URL, incluidas categoras de URL personalizadas.
La poltica de QoS de la interfaz web (Polticas > QoS) le permite asociar los criterios utilizados para especificar
el trfico con una clase de QoS.
Interfaz de salida de QoS

La habilitacin de un perfil de QoS en la interfaz de salida del trfico identificado para el tratamiento de QoS
finaliza una configuracin de QoS. La interfaz de entrada del trfico de QoS es la interfaz por la que el trfico
entra en el cortafuegos. La interfaz de salida del trfico de QoS es la interfaz por la que el trfico sale del
cortafuegos. La QoS siempre est habilitada e implementada en la interfaz de salida de un flujo de trfico. La
interfaz de salida de una configuracin de QoS puede ser la interfaz de orientacin externa o de orientacin
interna del cortafuegos, dependiendo del flujo de trfico que reciba el tratamiento de QoS.
Por ejemplo, en una red empresarial, si est limitando el trfico de descarga de los empleados en un sitio web
especfico, la interfaz de salida de la configuracin de QoS es la interfaz interna del cortafuegos, dado que el
flujo de trfico proviene de Internet, pasa por el cortafuegos y se dirige a su red empresarial. De manera
alternativa, al limitar el trfico de carga de los empleados en el mismo sitio web, la interfaz de salida de la
configuracin de QoS es la interfaz externa del cortafuegos, dado que el trfico que est limitando se desplaza
desde su red empresarial, pasando por el cortafuegos, hasta Internet.
364
Calidad de servicio
Calidad de servicio
Consulte el Paso 3 para saber cmo Identifique la interfaz de salida para las aplicaciones que identifique que
necesitan un tratamiento de QoS.
Trfico de texto claro y de tnel de QoS

Dentro de la configuracin de la interfaz fsica de QoS, puede proporcionar ajustes de QoS ms detallados para
el trfico de texto claro y el trfico de tnel que sale a travs de la interfaz. A las interfaces de tnel individuales
se les puede asignar diferentes perfiles de QoS. Al trfico de texto claro se les pueden asignar diferentes perfiles
de QoS segn la interfaz de origen y la subred de origen del trfico. En este caso, se pueden asociar una interfaz
de origen y una subred de origen a un perfil de QoS. Si decide no seleccionar trfico de texto claro o de tnel
para el tratamiento de QoS exclusivo, la habilitacin de QoS en una interfaz requiere la seleccin de un perfil de
QoS predeterminado para determinar cmo moldear el trfico para interfaces de tnel especficas o, en el caso
de trfico de texto claro, interfaces de origen y subredes de origen.
En los cortafuegos de Palo Alto Networks, el trmino trfico de tnel hace referencia al trfico
de interfaz de tnel, especficamente el trfico de IPSec en el modo de tnel.
Calidad de servicio
365
Configuracin de QoS
Calidad de servicio
Configuracin de QoS
Utilice la siguiente tarea para configurar la calidad de servicio (QoS), incluido cmo crear un perfil de QoS, crear
una poltica de QoS y habilitar QoS en una interfaz.
Configuracin de QoS
Paso 1
Seleccione ACC para ver la pgina Centro de control de aplicaciones.

Utilice los ajustes y los grficos de la pgina ACC para ver tendencias y el
Este ejemplo muestra cmo utilizar la QoS
trfico relacionado con aplicaciones, filtrado de URL, prevencin de
para limitar la exploracin web.
amenazas, filtrado de datos y coincidencias HIP.
Identifique el trfico al que aplicar la QoS.
Haga clic en cualquier nombre de aplicacin para mostrar informacin

de aplicacin detallada.
Paso 2
Identifique la interfaz de salida para las

aplicaciones que identifique que necesitan
un tratamiento de QoS.
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico del
dispositivo.
Para filtrar y mostrar nicamente los logs de una aplicacin especfica:
Consejo: La interfaz de salida del trfico
Si se muestra una entrada para la aplicacin, haga clic en el enlace

depende del flujo de trfico. Si est
subrayado de la columna Aplicacin y, a continuacin, haga clic en el
moldeando el trfico entrante, la interfaz de
icono de envo
.
salida es la interfaz de orientacin interna. Si
Si una entrada no se muestra para la aplicacin, haga clic en el icono
est moldeando el trfico saliente, la interfaz
Aadir log y busque la aplicacin
.
de salida es la interfaz de orientacin
La Interfaz de salida de los logs de trfico muestra la interfaz de salida
externa.
de cada aplicacin. Para mostrar la columna Interfaz de salida si no
aparece de manera predeterminada:
Haga clic en cualquier encabezado de columna para aadir una
columna al log:
Haga clic en el icono de catalejo a la izquierda de cualquier entrada

para mostrar un log detallado que incluye la interfaz de salida de la
aplicacin indicada en la seccin Destino:
En este ejemplo, la interfaz de salida para el trfico de exploracin web

es Ethernet 1/1.
366
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Configuracin de QoS (Continuacin)
Paso 3
Cree un perfil de QoS.
1.
Puede editar cualquier perfil de QoS

existente, incluido el valor predeterminado, 2.
haciendo clic en el nombre del perfil
3.
de QoS.
4.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Aadir para abrir el cuadro de dilogo Perfil de QoS.
Introduzca un Nombre de perfil descriptivo.
Introduzca un Mximo de salida para establecer la asignacin del
ancho de banda total para el perfil de QoS.
Introduzca una Salida garantizada para establecer el ancho de
banda garantizado para el perfil de QoS.
Nota Todo el trfico que supere el lmite garantizado de salida
del perfil de QoS ser la mejor opcin pero no estar
garantizado.
5.
En la seccin Clases, especifique cmo tratar hasta ocho clases de

QoS individuales:
a. Haga clic en Aadir para aadir una clase al perfil de QoS.
b. Seleccione la Prioridad de la clase.
c. Introduzca un Mximo de salida para la clase para establecer el
lmite de ancho de banda total para esa clase individual.
d. Introduzca una Salida garantizada para la clase para establecer
el ancho de banda garantizado para esa clase individual.
6.
Haga clic en ACEPTAR para guardar el perfil de QoS.
En el siguiente ejemplo, el perfil de QoS denominado Limit Web

Browsing limita el trfico identificado como trfico de clase 2 a un ancho
de banda mximo de 50 Mbps y un ancho de banda garantizado de
2 Mbps. Cualquier trfico asociado a la clase 2 en la poltica de QoS
(Paso 4) estar sujeto a estos lmites.
Calidad de servicio
367
Configuracin de QoS
Calidad de servicio
Paso 4
Cree una poltica de QoS.
1.
Seleccione Polticas > QoS y haga clic en Aadir para abrir el

cuadro de dilogo Regla de poltica de QoS.
2.
En la pestaa General, otorgue a la regla de poltica de QoS un

Nombre descriptivo.
3.
Especifique el trfico al que se aplicar la regla de poltica de QoS.

Utilice las pestaas Origen, Destino, Aplicacin y Categora de
URL/servicio para definir los parmetros de coincidencia para
identificar el trfico.
Por ejemplo, seleccione la pestaa Aplicacin, haga clic en Aadir
y seleccione la exploracin web para aplicar la regla de poltica de
QoS a esa aplicacin:
(Opcional) Defina parmetros adicionales. Por ejemplo, en la

pestaa Origen, haga clic en Aadir para limitar la exploracin web
de un usuario especfico, en este caso, user1:
368
4.
En la pestaa Otros ajustes, seleccione una clase de QoS que

asignar a la regla de poltica de QoS. Por ejemplo, asigne la clase 2 al
trfico de exploracin web de user1:
5.
Haga clic en ACEPTAR para guardar la regla de poltica de QoS.
Calidad de servicio
Calidad de servicio
Configuracin de QoS
Paso 5
Habilite el perfil de QoS en una interfaz

fsica.
1.
2.
Puede configurar los ajustes para
seleccionar trfico de texto claro y de tnel
para el tratamiento de QoS exclusivo,
adems de la configuracin de QoS en la
interfaz fsica:
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro de
dilogo Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de interfaz
de la interfaz a la que se aplicar el perfil de QoS.
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el trfico
de exploracin web (consulte el Paso 2).
Para configurar ajustes especficos para el

b. Seleccione Activar la funcin QoS en esta interfaz.
trfico de texto claro mediante la interfaz
de origen y la subred de origen del trfico 3. En la pestaa Interfaz fsica, seleccione un perfil de QoS que debe
como criterios para la identificacin y el
aplicarse de manera predeterminada a todo el trfico de tipo Trfico
tratamiento de QoS, realice el paso 5 - 4.
en claro.
Para aplicar un perfil de QoS a una
(Opcional) Utilice el campo Interfaz de tnel para aplicar un perfil
interfaz de tnel especfica, realice el
de QoS de manera predeterminada a todo el trfico de tnel.
paso 5 - 5
Por ejemplo, habilite QoS en Ethernet 1/1 y aplique el perfil de QoS
denominado Limit Web Browsing como el perfil de QoS
Para obtener ms informacin, consulte
Trfico de texto claro y de tnel de QoS. predeterminado para el trfico de texto claro.
Nota La prctica recomendada es definir
siempre el valor de Mximo de
salida para una interfaz de QoS.
4.
(Opcional) En la pestaa Trfico en claro, configure ajustes de QoS

ms detallados para el trfico de texto claro:
Establezca los anchos de banda de Salida garantizada y
Mximo de salida para el trfico de texto claro.
Haga clic en Aadir para aplicar un perfil de QoS al trfico de texto
claro seleccionado, seleccionando el trfico para el tratamiento
de QoS de acuerdo con la interfaz de origen y la subred de origen
(creando un nodo de QoS).
5.
(Opcional) En la pestaa Trfico de tnel, configure ajustes de

QoS ms detallados para interfaces de tnel:
Mximo de salida para el trfico de tnel.
Haga clic en Aadir para asociar una interfaz de tnel seleccionada a
un perfil de QoS.
Calidad de servicio
6.
7.
Confirme los cambios para habilitar el perfil de QoS en la interfaz.
369
Configuracin de QoS
Calidad de servicio
Paso 6
Verifique la configuracin de QoS.
Seleccione Red > QoS para ver la pgina Polticas de QoS y haga clic en
el enlace Estadsticas para ver el ancho de banda de QoS, las sesiones
activas de un nodo o una clase de QoS que haya seleccionado y las
aplicaciones activas del nodo o la clase de QoS que haya seleccionado.
Por ejemplo, vea las estadsticas de Ethernet 1/1 con la QoS habilitada:
Trfico de clase 2 limitado a 2 Mbps de ancho de banda garantizado y un

ancho de banda mximo de 50 Mbps.
Siga haciendo clic en las pestaas para mostrar ms informacin relativa
a las aplicaciones, los usuarios de origen, los usuarios de destino, las
reglas de seguridad y las reglas de QoS.
Nota
Los lmites de ancho de banda que se muestran en la ventana

Estadsticas de QoS incluyen un factor de ajuste de hardware.
370
Calidad de servicio
Calidad de servicio

La QoS se puede configurar para uno o varios sistemas virtuales en un cortafuegos de Palo Alto Networks.
Como un sistema virtual es un cortafuegos independiente, la QoS debe configurarse independientemente para
que un nico sistema virtual aplique una configuracin de QoS solamente a ese sistema virtual.
La configuracin de QoS para un sistema virtual es similar a configurar QoS en un cortafuegos fsico, a
excepcin de que configurar QoS para un sistema virtual requiere la especificacin de las zonas de origen y
destino y las interfaces de origen y destino del flujo de trfico. Dado que un sistema virtual existe sin lmites
fsicos establecidos (como una interfaz fsica) a travs de los cuales pase el trfico, la especificacin de zonas e
interfaces de origen y destino de un flujo de trfico le permite controlar y moldear el trfico de ese sistema virtual
especficamente, dado que un flujo de trfico abarca ms de un sistema virtual en un entorno virtual.
El ejemplo siguiente muestra dos sistemas virtuales configurados en un cortafuegos. VSYS 1 (prpura) y
VSYS 2 (rojo) han configurado QoS para establecer la prioridad o limitar dos flujos de trfico distintos,
indicados por sus correspondientes lneas prpura (VSYS 1) y roja (VSYS 2). Los nodos de QoS indican los
puntos en los que el trfico de QoS se identifica y, a continuacin, se moldea en cada sistema virtual.
Consulte Virtual Systems (VSYS) tech note (en ingls) para obtener informacin sobre los sistemas virtuales y
sobre cmo configurarlos.
Calidad de servicio
371
Calidad de servicio
Configuracin de QoS en un entorno de sistema virtual
Paso 1
Paso 2
Confirme que las interfaces, los

enrutadores virtuales y las zonas de
seguridad adecuados estn asociados a
cada sistema virtual.
Para ver interfaces configuradas, seleccione Red > Interfaz.

Para ver zonas configuradas, seleccione Red > Zonas.
Para ver informacin sobre enrutadores virtuales definidos,
seleccione Red > Enrutadores virtuales.
Identifique el trfico al que aplicar la QoS. Seleccione ACC para ver la pgina Centro de control de
aplicaciones. Utilice los ajustes y los grficos de la pgina ACC para
ver tendencias y el trfico relacionado con aplicaciones, filtrado de
URL, prevencin de amenazas, filtrado de datos y coincidencias HIP.
Para ver informacin de un sistema virtual especfico, seleccione el
sistema virtual en el men desplegable Sistema virtual:
Haga clic en cualquier nombre de aplicacin para mostrar

informacin de aplicacin detallada.
372
Calidad de servicio
Calidad de servicio
Configuracin de QoS en un entorno de sistema virtual (Continuacin)
Paso 3
Seleccione Supervisar > Logs > Trfico para ver los logs de trfico
Identifique la interfaz de salida para las
aplicaciones que identifique que necesitan del dispositivo. Cada entrada tiene la opcin de mostrar columnas
un tratamiento de QoS.
con informacin necesaria para configurar QoS en un entorno de
sistema virtual:
En un entorno de sistema virtual, la QoS
se aplica al trfico del punto de salida del sistema virtual
trfico en el sistema virtual. Dependiendo
de la configuracin del sistema virtual y la
poltica de QoS, el punto de salida del
trfico de QoS podra asociarse a una
interfaz fsica o podra ser una zona
configurada.
Este ejemplo muestra cmo limitar el
trfico de exploracin web en VSYS 1.
interfaz de salida
interfaz de entrada
zona de origen
zona de destino
Para mostrar una columna si no aparece de manera predeterminada:
Haga clic en cualquier encabezado de columna para aadir una
columna al log:
Haga clic en el icono de catalejo a la izquierda de cualquier entrada

para mostrar un log detallado que incluye la interfaz de salida de
la aplicacin, as como zonas de origen y destino, en las secciones
Origen y Destino:
Por ejemplo, para el trfico de exploracin web desde VSYS 1, la interfaz

de entrada es Ethernet 1/2, la interfaz de salida es Ethernet1/1, la zona
de origen es fiable y la zona de destino es no fiable.
Calidad de servicio
373
Calidad de servicio
Paso 4
Cree un perfil de QoS.

Puede editar cualquier perfil de QoS
existente, incluido el valor
predeterminado, haciendo clic en el
nombre del perfil.
1.
Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Aadir para abrir el cuadro de dilogo Perfil de QoS.
2.
Introduzca un Nombre de perfil descriptivo.
3.
Introduzca un Mximo de salida para establecer la asignacin

del ancho de banda total para el perfil de QoS.
4.
Introduzca una Salida garantizada para establecer el ancho de

banda garantizado para el perfil de QoS.
Nota Todo el trfico que supere el lmite garantizado de
salida del perfil de QoS ser la mejor opcin pero no
estar garantizado.
5.
En la seccin Clases del Perfil de QoS, especifique cmo tratar

hasta ocho clases de QoS individuales:
a. Haga clic en Aadir para aadir una clase al perfil de QoS.
b. Seleccione la Prioridad de la clase.
c. Introduzca un Mximo de salida para la clase para establecer
el lmite de ancho de banda total para esa clase individual.
d. Introduzca una Salida garantizada para la clase para
establecer el ancho de banda garantizado para esa clase
individual.
6.
374
Calidad de servicio
Calidad de servicio
Paso 5
Cree una poltica de QoS.
1.
En un entorno de VSYS mltiple, el

trfico puede abarcar ms de un sistema 2.
virtual antes del punto de entrada del
sistema virtual para el que est
3.
configurando QoS. La especificacin de
zonas de origen y destino para el trfico
de QoS garantiza que el trfico se
identifique correctamente a medida que
pase por el sistema virtual especfico (en
este ejemplo, VSYS 1) y que la QoS se
aplique solamente al trfico de ese sistema
virtual designado (y no se aplique al
trfico de otros sistemas virtuales
configurados).
Calidad de servicio
Seleccione Polticas > QoS y haga clic en Aadir para abrir el

cuadro de dilogo Regla de poltica de QoS.
En la pestaa General, otorgue a la regla de poltica de QoS un
Nombre descriptivo.
Especifique el trfico al que se aplicar la regla de poltica de
QoS. Utilice las pestaas Origen, Destino, Aplicacin y
Categora de URL/servicio para definir los parmetros de
coincidencia para identificar el trfico.
Por ejemplo, seleccione la pestaa Aplicacin, haga clic en
Aadir y seleccione la exploracin web para aplicar la regla de
poltica de QoS a esa aplicacin:
4.
En la pestaa Origen, haga clic en Aadir para seleccionar la

zona de origen del trfico de exploracin web de VSYS 1.
5.
En la pestaa Destino, haga clic en Aadir para seleccionar la

zona de destino del trfico de exploracin web de VSYS 1.
6.
En la pestaa Otros ajustes, seleccione una Clase de QoS que

asignar a la regla de poltica de QoS. Por ejemplo, asigne la clase
2 al trfico de exploracin web de VSYS 1:
7.
Haga clic en ACEPTAR para guardar la regla de poltica de QoS.
375
Calidad de servicio
Paso 6
Habilite el perfil de QoS en una interfaz

fsica.
1.
Nota La prctica recomendada es definir 2.

siempre el valor de Mximo de
salida para una interfaz de QoS.
Seleccione Red > QoS y haga clic en Aadir para abrir el cuadro
de dilogo Interfaz de QoS.
Habilite QoS en la interfaz fsica:
a. En la pestaa Interfaz fsica, seleccione el Nombre de
interfaz de la interfaz a la que se aplicar el perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el
trfico de exploracin web de VSYS 1 (consulte el Paso 2).
b. Seleccione Activar la funcin QoS en esta interfaz.

3.
En la pestaa Interfaz fsica, seleccione el perfil de QoS

predeterminado que debe aplicarse a todo el trfico de tipo
Trfico en claro.
(Opcional) Utilice el campo Interfaz de tnel para aplicar un
perfil de QoS predeterminado a todo el trfico de tnel.
4.
(Opcional) En la pestaa Trfico en claro, configure ajustes de

QoS adicionales para el trfico de texto claro:
Mximo de salida para el trfico de texto claro.
Haga clic en Aadir para aplicar un perfil de QoS al trfico de
texto claro seleccionado, seleccionando el trfico para el
tratamiento de QoS de acuerdo con la interfaz de origen y la
subred de origen (creando un nodo de QoS).
5.
(Opcional) En la pestaa Trfico de tnel, configure ajustes de

QoS adicionales para interfaces de tnel:
Mximo de salida para el trfico de tnel.
Haga clic en Aadir para asociar una interfaz de tnel
seleccionada a un perfil de QoS.
376
6.
Haga clic en ACEPTAR para guardar los cambios.
7.
Calidad de servicio
Calidad de servicio
Paso 7
Verifique la configuracin de QoS.
Seleccione Red > QoS para ver la pgina Polticas de QoS. La pgina
Polticas de QoS verifica que QoS est habilitada e incluye el enlace
Estadsticas. Haga clic en el enlace Estadsticas para ver el ancho
de banda de QoS, las sesiones activas de un nodo o una clase de
QoS que haya seleccionado y las aplicaciones activas del nodo o la
clase de QoS que haya seleccionado.
En un entorno de VSYS mltiple, las sesiones no pueden abarcar
varios sistemas. Se crean varias sesiones para un flujo de trfico si
el trfico pasa por ms de un sistema virtual. Para examinar las
sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS
y las clases de QoS aplicadas, seleccione Supervisar > Explorador
de sesin.
Calidad de servicio
377
Calidad de servicio

Los siguientes casos de uso demuestran cmo utilizar QoS en situaciones frecuentes:
QoS para un nico usuario
QoS para aplicaciones de voz y vdeo
QoS para un nico usuario

Una directora ejecutiva observa que durante los perodos en los que la red se utiliza mucho, no puede acceder a
aplicaciones empresariales ni responder de manera eficaz a comunicaciones empresariales clave. El
administrador de TI quiere asegurarse de que todo el trfico hacia y desde la directora ejecutiva recibe un
tratamiento preferente frente al trfico de otros empleados, de manera que tenga garantizado, no solamente el
acceso, sino un alto rendimiento de los recursos de red clave.
Aplicacin de QoS para un nico usuario
Paso 1
El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el trfico originado en la
directora ejecutiva se tratar y moldear a medida que salga de la red empresarial:
El administrador asigna un ancho de banda garantizado (Salida garantizada) de 50 Mbps para garantizar que la
directora ejecutiva disponga de esa cantidad de ancho de banda garantizado en todo momento (ms de lo que
necesitara utilizar), independientemente de la congestin de la red.
El administrador sigue designando el trfico de clase 1 como alta prioridad y establece el uso del ancho de banda
mximo del perfil (Mximo de salida) como 1000 Mbps, el mismo ancho de banda mximo para la interfaz en
el que el administrador habilitar QoS. El administrador ha decidido no restringir el uso del ancho de banda de
la directora ejecutiva de ningn modo.
Nota La prctica recomendada es cumplimentar el campo Mximo de salida para un perfil de QoS, aunque el
ancho de banda mximo del perfil coincida con el ancho de banda mximo de la interfaz. El ancho de
banda mximo del perfil de QoS nunca debera superar el ancho de banda mximo de la interfaz en la que
tenga la intencin de habilitar QoS.
378
Calidad de servicio
Calidad de servicio
Aplicacin de QoS para un nico usuario (Continuacin)
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de la directora ejecutiva (Polticas > QoS) y
asignarle la clase que defini en el perfil de QoS (consulte el Paso 1). Como se ha configurado User-ID, el
administrador utiliza la pestaa Origen de la poltica de QoS para identificar de manera exclusiva el trfico de la
directora ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podra Aadirla direccin IP de la directora ejecutiva bajo Direccin de origen. Consulte
User-ID.):
El administrador asocia el trfico de la directora ejecutiva a la clase 1 (pestaa Otros ajustes) y, a continuacin,
sigue cumplimentando los campos obligatorios restantes de la poltica; el administrador otorga a la poltica un
Nombre descriptivo (pestaa General) y selecciona Cualquiera para la Zona de origen (pestaa Origen) y Zona
de destino (pestaa Destino):
Paso 3
Ahora que la clase 1 est asociada al trfico de la directora ejecutiva, el administrador habilita QoS seleccionando
Activar la funcin QoS en esta interfaz y seleccionando la interfaz de salida del flujo de trfico. La interfaz de
salida del flujo de trfico de la directora ejecutiva es la interfaz de orientacin externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el trfico originado en la directora ejecutiva est
garantizado por el perfil de QoS y la poltica de QoS asociada que cre, selecciona CEO_traffic para aplicarlo al
trfico de tipo Trfico en claro que se desplaza desde Ethernet 1/2.
Calidad de servicio
379
Calidad de servicio
Aplicacin de QoS para un nico usuario (Continuacin)
Paso 4
Despus de confirmar la configuracin de QoS, el administrador se desplaza a la pgina Red > QoS para
confirmar que CEO_traffic del perfil de QoS est habilitado en la interfaz de orientacin externa, Ethernet 1/2:
Hace clic en Estadsticas para ver cmo se est moldeando el trfico originado en la directora ejecutiva (clase 1)
a medida que se desplaza desde Ethernet 1/2:
Nota
380
Este caso demuestra cmo aplicar QoS a trfico originado en un nico usuario de origen. Sin embargo, si
tambin quisiera garantizar o moldear el trfico para un usuario de destino, podra realizar una configuracin de
QoS similar. En lugar o adems de este flujo de trabajo, cree una poltica de QoS que especifique la direccin IP
del usuario como la Direccin de destino en la pgina Polticas > QoS (en lugar de especificar la informacin de
origen del usuario, como se muestra en el Paso 2) y, a continuacin, habilite QoS en la interfaz de orientacin
interna de la red en la pgina Red > QoS (en lugar de la interfaz de orientacin externa, como se muestra en el
Paso 3).
Calidad de servicio
Calidad de servicio
QoS para aplicaciones de voz y vdeo

El trfico de voz y vdeo es especialmente sensible a las mediciones que la funcin QoS moldea y controla,
especialmente la latencia y la vibracin. Para que las transmisiones de voz y vdeo sean audibles y claras, los
paquetes de voz y vdeo no se pueden descartar, retrasar ni entregar de manera incoherente. La prctica
recomendada para aplicaciones de voz y vdeo, adems de garantizar el ancho de banda, es garantizar la prioridad
del trfico de voz y vdeo. En este ejemplo, los empleados de una sucursal de la empresa estn teniendo
dificultades y experimentan una falta de fiabilidad al utilizar tecnologas de videoconferencia y voz sobre IP
(VoIP) para realizar comunicaciones empresariales con otras sucursales, socios y clientes. Un administrador de
TI tiene la intencin de implementar QoS para solucionar estos problemas y garantizar una comunicacin
empresarial eficaz y fiable para los empleados de la sucursal. Como el administrador quiere garantizar QoS tanto
para el trfico de red entrante como saliente, habilitar QoS tanto en la interfaz de orientacin interna como en
el de orientacin externa del cortafuegos.
Garanta de calidad para aplicaciones de voz y vdeo
Paso 1
El administrador crea un perfil de QoS, definiendo la clase 2 para que todo el trfico asociado a la clase 2 reciba
una prioridad en tiempo real y, en una interfaz con un ancho de banda mximo de 1000 Mbps, se garantice un
ancho de banda de 250 Mbps en todo momento, incluidos los perodos en los que ms se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de especial
utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vdeo.
En la pgina Red > Perfiles de red > Perfil de QoS, el administrador hace clic en Aadir, introduce el Nombre
de perfil ensure voip-video traffic y define el trfico de clase 2.
Calidad de servicio
381
Calidad de servicio
Garanta de calidad para aplicaciones de voz y vdeo (Continuacin)
Paso 2
El administrador crea una poltica de QoS para identificar el trfico de voz y vdeo. Como la empresa no tiene
una aplicacin de voz y vdeo estndar, el administrador quiere asegurarse de que la QoS se aplica en un par de
aplicaciones utilizadas ampliamente y con frecuencia por los empleados para comunicarse con otras oficinas,
socios y clientes. En la pestaa Polticas > QoS > Regla de poltica de QoS > Aplicaciones, el administrador hace
clic en Aadir y abre la ventana Filtro de aplicacin. El administrador sigue seleccionando criterios para filtrar
las aplicaciones en las que quiere aplicar la QoS, seleccionando la Subcategora voip-video y restringindola al
especificar nicamente aplicaciones de VoIP y vdeo que tengan un riesgo bajo y que se utilicen ampliamente.
El filtro de aplicacin es una herramienta dinmica que, cuando se utiliza para filtrar aplicaciones en la poltica
de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vdeo, riesgo bajo y
ampliamente utilizado en cualquier momento.
El administrador asigna al Filtro de aplicacin el nombre voip-video-low-risk y lo incluye en la poltica de QoS:
El administrador asigna a la poltica de QoS el nombre Voice-Video y asocia el filtro de aplicacin voip-video-low-risk
al trfico de clase 2 (como lo defini en el Paso 1). Va a utilizar la poltica de QoS Voice-Video tanto para el trfico
de QoS entrante como el saliente, as que establece la informacin de Origen y Destino como Cualquiera:
382
Calidad de servicio
Calidad de servicio
Garanta de calidad para aplicaciones de voz y vdeo (Continuacin)
Paso 3
Como el administrador quiere garantizar la QoS tanto para comunicaciones de voz y vdeo entrantes como
salientes, habilita QoS en la interfaz de orientacin externa de la red (para aplicar QoS a comunicaciones
salientes) y en la interfaz de orientacin interna (para aplicar QoS a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que cre en el Paso 1, ensure voice-video traffic (la clase 1 de
este perfil est asociada a la poltica creada en el Paso 2, Voice-Video) en la interfaz de orientacin externa, en este
caso, Ethernet 1/2.
A continuacin, habilita el mismo perfil de QoS, ensure voip-video traffic, en la interfaz de orientacin interna, en
este caso,
Ethernet 1/1.
Paso 4
El administrador confirma que la QoS se ha habilitado tanto para el trfico de voz y vdeo entrante como para
el saliente:
El administrador ha habilitado la QoS correctamente tanto en la interfaz de orientacin interna de la red como en la
externa. Ahora se garantiza la prioridad en tiempo real para el trfico de aplicaciones de voz y vdeo a medida que se
desplaza hacia adentro y hacia afuera de la red, garantizando que estas comunicaciones, que son especialmente sensibles
a la latencia y la vibracin, puedan utilizarse de manera fiable y eficaz para realizar comunicaciones empresariales tanto
internas como externas.
Calidad de servicio
383
384
Calidad de servicio
Calidad de servicio
VPN
Las redes privadas virtuales (VPN) crean tneles que permiten que los usuarios o sistemas se conecten de
manera segura a travs de una red pblica como si se estuvieran conectando a travs de una red de rea local
(LAN). Para configurar un tnel VPN, hacen falta dos dispositivos que puedan autenticarse mutuamente y cifrar
el flujo de informacin entre ellos. Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto
Networks, o bien un cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad
para VPN.
Implementaciones de VPN
VPN de sitio a sitio
Configuracin de VPN de sitio a sitio
Configuraciones rpidas de VPN de sitio a sitio
Redes privadas virtuales
385
VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
VPN de sitio a sitio: Una sencilla VPN que se conecta a un sitio central y a un sitio remoto, o bien una VPN
de concentrador y radio que se conecta a un sitio central con mltiples sitios remotos. El cortafuegos usa
conjunto de protocolos de Seguridad IP (IPSec) para configurar un tnel seguro entre los dos sitios. Consulte
VPN de sitio a sitio.
VPN de usuario remoto a sitio: Una solucin que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexin segura a travs del cortafuegos. Esta solucin usa SSL e IPSec para
establecer una conexin segura entre el usuario y el sitio. Consulte la Gua del administrador de
GlobalProtect.
VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN de concentrador y radio con un mximo de 1024 oficinas
satlite. Esta solucin requiere que haya cortafuegos de Palo Alto Networks implementados en el concentrador
y en todos los radios. Usa certificados para la autenticacin de dispositivos, SSL para la proteccin entre todos
los componentes e IPSec para proteger los datos. Consulte VPN a gran escala (LSVPN).
La siguiente ilustracin muestra cmo se usan conjuntamente las diferentes implementaciones de VPN para
proteger una empresa:
386
VPN

Una conexin VPN que permita conectar dos redes de rea local (LAN) se llama VPN de sitio a sitio. Puede
configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en dos ubicaciones, o bien
conectar cortafuegos de Palo Alto Networks a dispositivos de seguridad de terceros en otras ubicaciones.
El cortafuegos tambin puede interoperar con dispositivos VPN basados en polticas de terceros; el cortafuegos
de Palo Alto Networks es compatible con VPN basado en rutas.
Descripcin general
Conceptos de VPN de sitio a sitio
Descripcin general
El cortafuegos de Palo Alto Networks configura una VPN basada en rutas, donde el cortafuegos toma una
decisin de enrutamiento basada en la direccin IP de destino. Si el trfico se enruta a un destino especfico a
travs de un tnel de VPN, se cifrar como trfico VPN.
El conjunto de protocolos de seguridad IP (IPSec) se utiliza para configurar un tnel seguro para el trfico VPN.
Asimismo, la informacin de los paquetes de TCP/IP est protegida (y cifrada si el tipo de tnel es ESP).
El paquete IP (encabezado y carga) est incrustado en otra carga de IP, se aplica un nuevo encabezado y se enva
a travs del tnel IPSec. La direccin IP de origen en el nuevo encabezado es la del peer VPN local y la direccin
IP de destino es la del peer VPN del otro extremo del tnel. Cuando el paquete llega al peer VPN remoto (el
cortafuegos en el otro extremo del tnel), el encabezado exterior se elimina y se enva el paquete original a su
destino.
Para configurar el tnel VPN, primero deben autenticarse los peers. Tras autenticarse correctamente, los peers
negocian los algoritmos y el mecanismo de cifrado para proteger la comunicacin. El proceso de Intercambio
de claves por red (IKE) se usa para autenticar a los peers VPN, y las asociaciones de seguridad (SA) IPSec se
definen en cada extremo del tnel para proteger la comunicacin VPN. IKE usa certificados digitales o claves
previamente compartidas, as como las claves Diffie Hellman, para configurar las SA para el tnel IPSec. Las SA
especifican todos los parmetros necesarios para un cifrado de transmisin seguro (incluyendo el ndice de
parmetros de seguridad [SPI], el protocolo de seguridad, claves criptogrficas y la direccin IP de destino IP),
autenticacin de datos, integridad de datos y autenticacin de extremo.
La siguiente ilustracin muestra un tnel de VPN entre dos sitios. Cuando un cliente que est protegido por el
peer A de la VPN necesita contenido de un servidor ubicado en el otro sitio, el peer A de la VPN inicia una
solicitud de conexin al peer B de la VPN. Si la poltica de seguridad permite la conexin, el peer A de la VPN
usa los parmetros del perfil criptogrfico de IKE (IKE de fase 1) para establecer una conexin segura y
autenticar al peer B de la VPN. A continuacin, el peer A de la VPN establece el tnel VPN usando el perfil
criptogrfico IPSec, que define los parmetros del IKE de fase 2 para permitir la transferencia segura de datos
entre los dos sitios.
387
VPN
Conceptos de VPN de sitio a sitio

Una conexin VPN ofrece acceso seguro a la informacin entre dos o ms sitios. Para proporcionar acceso
seguro a los recursos y una conectividad fiable, una conexin VPN necesita los siguientes componentes:
Puertas de enlace de IKE
Interfaces de tnel
Supervisin de tnel
Intercambio de claves por red (IKE) para VPN
Puertas de enlace de IKE

Los cortafuegos Palo Alto Networks o un cortafuegos y otro dispositivo de seguridad que inicien y terminen
conexiones VPN entre dos redes se llaman puertas de enlace de IKE. Para configurar el tnel VPN y enviar
trfico entre las puertas de enlace de IKE, cada peer debe tener una direccin IP (esttica o dinmica) o FQDN.
Los peers VPN usan claves previamente compartidas o certificados para autenticarse mutuamente.
Los peers tambin deben negociar el modo (principal o agresivo) para configurar la duracin del tnel VPN y
la SA en IKE de fase 1. El modo principal protege la identidad de los peers y es ms seguro porque se
intercambian ms paquetes al configurar el tnel. Si ambos peers lo admiten, el modo principal es el
recomendado para la negociacin IKE. El modo agresivo usa menos paquetes para configurar el tnel VPN,
por lo que es una opcin ms rpida, aunque menos segura, de configurar el tnel VPN.
Interfaces de tnel
Para configurar un tnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de tnel lgica para
que el cortafuegos se conecte y establezca un tnel VPN. Una interfaz de tnel es una interfaz (virtual) lgica
que se usa para enviar trfico entre dos extremos. Cada interfaz de tnel puede tener un mximo de 10 tneles
IPSec; lo que significa que se pueden asociar hasta 10 redes con la misma interfaz de tnel en el cortafuegos.
La interfaz de tnel debe pertenecer a una zona de seguridad para aplicar una poltica; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de tnel y la interfaz fsica estn asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una bsqueda de rutas y determinar el mejor tnel que puede usar.
388
VPN
Normalmente, la interfaz de capa 3 a la que est vinculada la interfaz de tnel pertenece a una zona externa, por
ejemplo, la zona no fiable. Aunque la interfaz de tnel tambin puede estar en la misma zona de seguridad que
la interfaz fsica, puede crear una zona separada la para la interfaz de tnel con el fin de lograr una mayor
seguridad y mejor visibilidad. Si crea una zona separada para la interfaz de tnel (p. ej., una zona VPN),
necesitar crear polticas de seguridad que habiliten el flujo del trfico entre la zona VPN y la zona fiable.
Para enrutar trfico entre los sitios, una interfaz de tnel no necesita una direccin IP. Solo es necesaria una
direccin IP si quiere habilitar la supervisin de tneles o si est usando un protocolo de enrutamiento dinmico
para enrutar trfico a travs del tnel. Con enrutamiento dinmico, la direccin IP del tnel funciona como
direccin IP de prximo salto para el enrutamiento de trfico al tnel VPN.
Si est configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada en
polticas, debe configurar un ID de proxy local y remoto cuando configure el tnel IPSec. Cada peer compara
los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir una
negociacin IKE de fase 2 correcta. Si se requieren varios tneles, configure ID de proxy exclusivos para cada
interfaz de tnel; una interfaz de tnel puede tener un mximo de 250 ID de proxy. Cada ID de proxy se tendr
en cuenta a la hora de calcular la capacidad del tnel VPN de IPSec del cortafuegos, y la capacidad del tnel
vara en funcin del modelo de cortafuegos.
Supervisin de tnel
Para un tnel VPN, puede comprobar la conectividad con una direccin IP de destino a travs del tnel. El perfil
de supervisin de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una direccin
IP de destino o un prximo salto en el intervalo de sondeo especificado, as como especificar una accin o fallo
para acceder a la direccin IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere el
tnel o configurar una conmutacin por error a otro tnel. En cada caso, el cortafuegos genera un log de sistema
que le alerta de un fallo del tnel y renegocia las claves de IPSec para acelerar la recuperacin.
El perfil de supervisin predeterminado est configurado para esperar a que el tnel se recupere; el intervalo de
sondeo es de 3 segundos y el umbral de fallo es 5.
Intercambio de claves por red (IKE) para VPN

El proceso IKE permite a los peers VPN en ambos extremos del tnel cifrar y descifrar paquetes usando claves
o certificados acordados mutuamente y un mtodo de cifrado. El proceso IKE se realiza en dos fases: IKE de
fase 1 e IKE de fase 2. Cada una de estas fases usa claves y algoritmos de cifrado que se definen usando perfiles
criptogrficos (perfil criptogrfico IKE y perfil criptogrfico IPSec), y el resultado de la negociacin IKE es una
asociacin de seguridad (SA). Una SA es un conjunto de claves y algoritmos acordados mutuamente que sern
usados por ambos peers VPN para permitir el flujo de datos a travs del tnel VPN. La siguiente ilustracin
muestra el proceso de intercambio de claves para configurar un tnel VPN:
389
VPN
IKE de fase 1
En esta fase, los cortafuegos usan los parmetros definidos en la configuracin de la puerta de enlace de IKE y
el perfil criptogrfico de IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es
compatible con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de
clave pblicas, PKI) para la autenticacin mutua de los peers VPN. Las claves previamente compartidas son una
solucin sencilla para proteger redes pequeas, ya que no necesitan ser compatibles con una infraestructura PKI.
Los certificados digitales pueden ser ms adecuados para redes o implementaciones de mayor tamao que
requieren de mayor seguridad para la autenticacin.
Al usar certificados, asegrese de que la CA que emite el certificado es de confianza para ambos peers de la
puerta de enlace y que la longitud mxima de la cadena de certificados es 5 o menos. Con la fragmentacin IKE
habilitada, el cortafuegos puede volver a juntar mensajes de IKE con hasta 5 certificados en la cadena de
certificados y establecer correctamente el tnel VPN.
El perfil criptogrfico de IKE define las siguientes opciones que se usan en la negociacin de SA de IKE:
Grupo Diffie-Hellman (DH) para la generacin de claves simtricas para IKE. El algoritmo Diffie Hellman
usa la clave privada de una parte y la clave pblica de la otra para crear un secreto compartido, que es una
clave cifrada compartida por ambos peers del tnel VPN. Los grupos DH compatibles con el cortafuegos
son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5: 1536 bits; grupo 14: 2048 bits.
Opciones de autenticacin: sha1; sha 256; sha 384; sha 512; md5
Algoritmos de cifrado: 3des; aes128; aes192; aes256
IKE de fase 2
Una vez protegido y autenticado el tnel, en la fase 2 se aumenta la proteccin del canal para la transferencia de
datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del proceso y el perfil
criptogrfico de IPSec, que define los protocolos y las claves IPSec usadas para la SA en el IKE de fase 2.
IPSEC usa los siguientes protocolos para habilitar una comunicacin segura:
390
VPN
Carga de seguridad encapsulada (ESP): Le permite cifrar el paquete de IP completo, as como autenticar la
fuente y verificar la integridad de los datos. Aunque que ESP necesita que cifre y autentique el paquete, puede
elegir solo cifrar o solo autenticar definiendo la opcin de cifrado como Null; no se recomienda usar cifrado
sin autenticacin.
Encabezado de autenticacin (AH): Autentica el origen del paquete y verifica la integridad de datos. AH no
cifra la carga de datos y se desaconseja su uso en implementaciones en las que es importante la privacidad
de los datos. AH se suele usar cuando el principal objetivo es verificar la legitimidad del peer y no se requiere
privacidad de datos.
Algoritmos compatibles con cifrado y autenticacin IPSEC

ESP
AH
Opciones de Diffie Hellman Exchange compatibles
Grupo 1: 768 bits

Grupo 2: 1024 bits (predeterminado)
Grupo 5: 1536 bits
Grupo 14: 2048 bits.
no-pfs: Predeterminado, secreto perfecto hacia adelante (pfs) est habilitado. Si PFS est habilitado, se
genera una nueva clave DH en IKE de fase 2 usando uno de los grupos enumerados anteriormente; esta
clave es independiente de las claves intercambiadas en el IKE de fase 1 y, por lo tanto, permite una
transferencia de datos ms segura.
No-pfs implica que la clave DH creada en la fase 1 no se renueva y que se usa una nica clave para las
negociaciones con la SA de IPSEC. Ambos peers VPN deben estar habilitados o deshabilitados para el
secreto perfecto hacia adelante.
Algoritmos de cifrado compatibles
3des
aes128
aes192
aes256
aes128ccm16
null
Algoritmos de autenticacin compatibles
md5
md5
sha 1
sha 1
sha 256
sha 256
sha 384
sha 384
sha512
sha 512
ninguno
391
VPN
Mtodos de proteccin de tneles VPN de IPSec (IKE de fase 2)

Los tneles VPN de IPSec se pueden proteger usando claves manuales o automticas. Asimismo, las opciones
de configuracin de IPSec incluyen un grupo Diffie-Hellman para acordar claves o un algoritmo de cifrado y
un hash para la autenticacin de mensajes.
Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks est estableciendo un
tnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generacin de claves de sesin. Si
usa claves manuales, debe configurarse la misma en ambos peers.
Las claves manuales no son recomendables para establecer un tnel VPN porque las claves de sesin pueden
verse comprometidas cuando transmitan la informacin de claves entre peers; si las claves ven
comprometida su seguridad, la transferencia de datos deja de ser segura.
Clave automtica: La clave automtica le permite generar claves automticamente para configurar y
mantener el tnel IPSec basado en algoritmos definidos en el perfil criptogrfico de IPSec.
392
VPN

Para configurar VPN de sitio a sitio:
1.
Asegrese de que sus interfaces Ethernet, enrutadores virtuales y zonas estn configurados correctamente. Para
obtener ms informacin, consulte Configuracin de interfaces y zonas.
2.
Cree sus interfaces de tnel. Lo ideal sera colocar las interfaces de tnel en una zona separada para que el trfico de
tnel pueda utilizar polticas diferentes.
3.
Configure rutas estticas o asigne protocolos de enrutamiento para redirigir el trfico a los tneles VPN. Para admitir
el enrutamiento dinmico (son compatibles OSPF, BGP, RIP), debe asignar una direccin IP a la interfaz del tnel.
4.
Defina puertas de enlace de IKE para establecer comunicacin entre peers a cada lado del tnel VPN; defina tambin
el perfil criptogrfico que especifica los protocolos y algoritmos para identificacin, autenticacin y cifrado que se
usarn para configurar tneles VPN en IKEv1 de fase 1. Consulte Configuracin de una puerta de enlace de IKE y
Definicin de perfiles criptogrficos de IKE.
5.
Configure los parmetros necesarios para establecer la conexin IPSec para transferencia de datos a travs del tnel
VPN; consulte Configuracin de un tnel de IPSec. Para IKEv1 de fase 2, consulte Definicin de perfiles
criptogrficos de IPSec.
6.
(Opcional) Especifique el modo en que el cortafuegos supervisar los tneles de IPSec. Consulte Configuracin de la
supervisin de tnel.
7.
Defina polticas de seguridad para filtrar e inspeccionar el trfico.

Si hay una regla de denegacin en el extremo de la base de reglas de seguridad, el trfico
intrazona se bloquea a menos que se permita de otro modo. Las reglas para permitir aplicaciones
de IKE e IPSec deben incluirse de manera explcita por encima de la regla de denegacin.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a zonas/direcciones
definidas en la poltica se enruta automticamente correctamente basndose en la ruta de destino de la tabla de
enrutamiento y se gestiona como trfico VPN. Para ver algunos ejemplos de VPN de sitio a sitio, consulte
Configuraciones rpidas de VPN de sitio a sitio.
Configuracin de una puerta de enlace de IKE

Para configurar un tnel VPN, los peers o puertas de enlace VPN debe autenticarse mutuamente usando claves
previamente compartidas o certificados digitales y establecer un canal seguro en el que negociar la asociacin de
seguridad (SA) de IPSec que se usar para proteger el trfico entre los hosts en ambos lados.
Configuracin de una puerta de enlace de IKE
Paso 1
Defina la nueva puerta de enlace
1.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE e

introduzca un Nombre para la nueva configuracin de la puerta
de enlace.
2.
Seleccione la Interfaz saliente en el cortafuegos.
3.
Desde la lista desplegable Direccin IP local, seleccione la

direccin IP que se usar como extremo para la conexin VPN.
Esta es la interfaz externa con una direccin IP enrutable
pblicamente en el cortafuegos.
393
VPN
Configuracin de una puerta de enlace de IKE (Continuacin)
Paso 2
Defina la configuracin del peer en el

extremo del tnel.
1.
2.
Paso 3
Paso 4
Seleccione si el peer usa una IP esttica o dinmica en Tipo de

IP de peer.
Si la Direccin IP del peer es esttica, introduzca la direccin IP

del peer.
Seleccione el mtodo de autenticacin del Para configurar una clave previamente compartida, consulte el
peer.
Paso 4.
Esto es necesario tanto para peers
estticos como dinmicos.
Para configurar certificados digitales, consulte el Paso 5.
Configure una clave previamente

compartida
1.
Introduzca una clave de seguridad que se utilizar para la

autenticacin a travs del tnel. Esta clave debe ser idntica para
ambos peers.
Genere una clave que sea difcil de averiguar con ataques por
diccionario; use un generador de claves previamente
compartidas en caso necesario.
Paso 5
Configure la autenticacin basada en

certificados.
Nota
Los requisitos previos para la

autenticacin basada en certificados son:
2.
Contine con el Paso 6.
1.
Seleccione Certificado para el mtodo de Autenticacin y el

certificado firmado en el men desplegable Certificado local.
Obtener un certificado de firmado:

Consulte Generacin de un certificado en
2.
el cortafuegos u Obtencin de un
certificado de una CA externa.
Configurar el perfil del certificado: El
perfil del certificado proporciona la
configuracin que usa la puerta de enlace 3.
de IKE para negociar y validar la
autenticacin del certificado con su peer.
Consulte Configuracin de un perfil de
4.
certificado.
5.
394
En el caso de que su dispositivo est habilitado para sistemas

virtuales mltiples, si el certificado pertenece a un sistema
virtual, debe estar en el mismo sistema virtual que la interfaz
usada para la puerta de enlace de IKE.
Desde la lista desplegable Identificacin local, seleccione uno
de los siguientes tipos e introduzca el valor: direccin IP, FQDN
(nombre de host), FQDN de usuario (direccin de correo
electrnico), nombre distintivo (asunto).
Desde la lista desplegable Identificacin del peer, seleccione
uno de los siguientes tipos e introduzca el valor: direccin IP,
FQDN (nombre de host), FQDN de usuario (direccin de
correo electrnico), nombre distintivo (asunto).
Seleccione el Perfil del certificado que va a usar.
Contine con el Paso 6.
VPN
Configuracin de una puerta de enlace de IKE (Continuacin)
Paso 6
Configure los parmetros adicionales para 1.

las negociaciones del IKE de fase 1:
modo de intercambio, perfil criptogrfico, 2.
fragmentacin IKE, deteccin de fallo
del peer.
Seleccione Red > Perfiles de red> Puertas de enlace de IKE y

seleccione la pestaa Opciones de fase 1 avanzadas.
Seleccione automtico, agresivo o principal para Modo de
intercambio.
Cuando se establece que un dispositivo utilice el modo de
intercambio Automtico, puede aceptar solicitudes de
negociacin tanto del modo principal como del modo agresivo;
sin embargo, siempre que sea posible, inicia la negociacin y
permite intercambios en el modo principal.
Nota
Si no se ha definido en automtico el modo de intercambio,

debe configurar ambos peers de la VPN con el mismo
modo de intercambio para permitir que acepten las
solicitudes de negociacin.
3.
Seleccione un perfil existente o mantenga el perfil

predeterminado del men desplegable Perfil criptogrfico de
IKE. Para obtener detalles sobre cmo definir un perfil
criptogrfico de IKE, consulte Definicin de perfiles
criptogrficos de IKE.
4.
Seleccione Modo pasivo si quiere que el cortafuegos solamente

responda a las conexiones de IKE y que nunca las inicie.
5.
Seleccione NAT transversal para utilizar la encapsulacin UDP

en los protocolos IKE y UDP, permitindoles pasar a travs de
dispositivos de NAT intermedios.
6.
(Solo si utiliza autenticacin basada en certificados y el modo de

intercambio no est definido en agresivo) Seleccione Habilitar
fragmentacin para habilitar que el cortafuegos opere con
fragmentacin IKE.
7.
Marque la casilla de verificacin Deteccin de fallo del peer e

introduzca un intervalo (2 - 100 segundos); en Reintentar,
defina el tiempo de espera (2 - 100 segundos) antes de volver a
comprobar la disponibilidad.
La deteccin de fallo del peer identifica peers de IKE inactivos
o no disponibles enviando una carga de notificacin de IKE de
fase 1 al peer y esperando a que la reconozca.
Paso 7
Guarde los cambios.
Definicin de perfiles criptogrficos

Un perfil criptogrfico especifica las cifras usadas para autenticacin o cifrado entre dos peers IKE y la duracin
de esta clave. El perodo entre cada negociacin se conoce como duracin; cuando el tiempo especificado vence,
el cortafuegos vuelve a negociar un nuevo conjunto de claves.
395
VPN
Para proteger las comunicaciones a travs del tnel VPN, el cortafuegos requiere perfiles criptogrficos de IKE
e IPSec para completar las negociaciones del IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye
un perfil criptogrfico predeterminado de IKE y un perfil criptogrfico predeterminado de IPSec que est listo para
usarse.
Definicin de perfiles criptogrficos de IKE
Definicin de perfiles criptogrficos de IPSec
Definicin de perfiles criptogrficos de IKE

El perfil criptogrfico de IKE se usa para configurar algoritmos de cifrado y autenticacin que sirven para el
proceso de intercambio de claves en IKE de fase 1, y una duracin de las claves que especifica el tiempo que
sern validas. Para invocar un perfil, debe vincularlo a la configuracin de puerta de enlace de IKE.
Todas las puertas de enlace de IKE configuradas en la misma interfaz o direccin IP local deben
usar el mismo perfil criptogrfico.
Definicin de un perfil criptogrfico de IKE
Paso 1
Paso 2
Creacin de un nuevo perfil de IKE.
Seleccione el grupo DH que usar para

configurar el intercambio de claves.
1.
Seleccione Red > Perfiles de red > Criptogrfico de IKE y

seleccione Aadir.
2.
Introduzca un Nombre para el nuevo perfil.
Haga clic en Aadir y seleccione el nivel de la clave que quiere usar

para el grupo DH.
Seleccione ms de un grupo DH si no sabe con seguridad cul es
compatible con el peer VPN. Priorice la lista de cifras por nivel para
que se use la cifra de mayor nivel al configurar el tnel.
Paso 3
Seleccione el algoritmo de cifrado y la

autenticacin.
Haga clic en Aadir y seleccione los algoritmos de cifrado y la

autenticacin que quiere usar para la comunicacin entre peers del
IKE.
Si selecciona varios algoritmos, los peers pueden usar la
cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 4
Especifique la duracin de la validez de la Seleccione la duracin de la clave. El perodo entre cada negociacin
clave.
se conoce como duracin; cuando el tiempo especificado vence, el
cortafuegos vuelve a negociar un nuevo conjunto de claves.
Paso 5
Guarde su perfil criptogrfico de IKE.
Paso 6
Adjunte el perfil criptogrfico de IKE y la Consulte el Paso 6 en Configuracin de una puerta de enlace de IKE.
configuracin de la puerta de enlace de
IKE.
396
Haga clic en ACEPTAR y en Confirmar.
VPN
Definicin de perfiles criptogrficos de IPSec

El perfil criptogrfico de IPSec se invoca en el IKE de fase 2. Especifica el modo en que se protegen los datos
dentro del tnel cuando se usa IKE de clave automtica para generar claves automticamente para las SA del
IKE.
Definicin del perfil criptogrfico de IPSec
Paso 1
Cree un nuevo perfil de IPSec.
1.
Seleccione Red > Perfiles de red > Criptogrfico de IPSec y

seleccione Aadir.
2.
Introduzca un Nombre para el nuevo perfil.
3.
Seleccione el protocolo de IPSec (ESP o AH) que quiere aplicar

para proteger los datos cuando atraviesan el tnel.
4.
Haga clic en Aadir y seleccione la autenticacin y los

algoritmos de cifrado para ESP, as como los algoritmos de
autenticacin para AH, de modo que los peers de IKE puedan
negociar las claves para proteger la transferencia de datos a
travs del tnel.
Si selecciona varios algoritmos, los peers pueden usar la
cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 2
Paso 3
Seleccione el grupo DH para usar las

1.
negociaciones de SA de IPSec en el IKE
de fase 2.
Seleccione el nivel de la clave que quiere usar para el grupo DH

en el men desplegable.
2.
Seleccione no-pfs, si no quiere renovar la clave que se cre en la

fase 1, la clave actual se vuelve a utilizar para las negociaciones
de SA de IPSEC.
Especifique la duracin de la clave

(tiempo y volumen del trfico).
Seleccione ms de un grupo DH si no sabe con seguridad qu

nivel de clave admite el peer en el otro extremo. Se usar la cifra
de mayor nivel para la configuracin del tnel.
Usar una combinacin de tiempo y volumen del trfico le permite

garantizar la seguridad de los datos.
Seleccione la duracin o el perodo de tiempo de validez de la clave.
Cuando vence el tiempo especificado, el cortafuegos vuelve a
negociar un nuevo conjunto de claves.
Seleccione la duracin o el volumen de datos que establecern
cundo han de volver a negociarse las claves.
Paso 4
Guarde su perfil de IPSec.
Haga clic en ACEPTAR y en Confirmar.
Paso 5
Adjunte el perfil de IPSec a una

configuracin de tnel de IPSec.
Consulte el Paso 4 en
397
VPN
Configuracin de un tnel de IPSec

La configuracin del tnel de IPSec le permite autenticar o cifrar los datos (paquete de IP) cuando cruzan el
tnel.
Si est configurando un cortafuegos de Palo Alto Networks para trabajar con un peer compatible con VPN
basada en polticas, debe definir ID de proxy. Los dispositivos compatibles con VPN basadas en polticas usan
reglas/polticas o listas de acceso de seguridad especficas (direcciones de origen, direcciones de destino y
puertos) para permitir el trfico interesante a travs de un tnel IPSec. Se hace referencia a estas reglas durante
la negociacin de IKE de fase 2/modo rpido y se intercambian como ID de proxy en el primer o segundo
mensaje del proceso. Por lo tanto, si est configurando el cortafuegos Palo Alto Networks para trabajar con un
peer de VPN basada en polticas, para una negociacin de fase 2 correcta debe definir el ID de proxy, de modo
ambos peers tenga en el mismo ajuste. Si el ID de proxy no est configurado, porque el cortafuegos de Palo Alto
Networks es compatible con VPN basadas en rutas, los valores predeterminados usados por el ID de proxy son
ip de origen: 0.0.0.0/0, ip de destino: 0.0.0.0/0 y aplicacin: cualquiera; y cuando estos valores se intercambian
con el peer, se produce un fallo al configurar la conexin VPN.
Configuracin de un tnel de IPSec
Paso 1
Paso 2
Seleccione Red > Tneles de IPSec > General e introduzca un Nombre para el nuevo tnel.
Seleccione la interfaz de tnel que se usar para configurar el tnel de IPSec.
Para crear una nueva interfaz de tnel:
1. Seleccione Red > Interfaces > Tnel y haga clic en Aadir.
2. En el campo Nombre de interfaz, especifique un sufijo numrico, como .2.
3. En la pestaa Configurar, ample el men desplegable Zona de seguridad para definir la zona del siguiente
modo:
Para usar una zona fiable como punto de finalizacin del tnel, seleccione la zona del men desplegable.
Asociar la interfaz del tnel con la misma zona (y enrutador virtual) que la interfaz externa por la que entran
los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas.
(Recomendado) Para crear una zona separada para terminacin del tnel de VPN, haga clic en Nueva zona.
En el cuadro de dilogo Zona, defina un Nombre para una nueva zona, por ejemplo vn-corp, y haga clic en
Aceptar.
4. En el men desplegable Enrutador virtual, seleccione predeterminado.
5. (Opcional) Si quiere asignar una direccin IPv4 a la interfaz de tnel, seleccione la pestaa IPv4, haga clic en
Aadir en la seccin IP e introduzca la direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo: 10.31.32.1/32.
6. Si quiere asignar una direccin IPv6 a la interfaz de tnel, consulte el Paso 3.
7. Para guardar la configuracin de la interfaz, haga clic en Aceptar.
398
VPN
Configuracin de un tnel de IPSec (Continuacin)
Paso 3
(Opcional) Habilite IPv6 en la interfaz de 1.

tnel.
2.
Seleccione la pestaa IPv6 en Red > Interfaces > Tnel > IPv6.
Seleccione la casilla de verificacin para habilitar las
direcciones IPv6 en la interfaz.
Esta opcin permite enrutar el trfico IPv6 en un tnel IPv4
IPSec y ofrece confidencialidad entre redes IPv6. El trfico IPv6
se encapsula mediante IPv4 y, a continuacin, mediante ESP.
Para enrutar trfico IPv6 al tnel, puede usar una ruta esttica al
tnel, OSPFv3 o una regla de reenvo basado en polticas (PBF)
para dirigir trfico al tnel.
3.
Introduzca el ID de interfaz exclusivo ampliado de 64 bits en

formato hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29.
De manera predeterminada, el cortafuegos utilizar el EUI-64
generado desde la direccin MAC de la interfaz fsica.
4.
Para introducir una direccin IPv6, haga clic en Aadir e

introduzca una direccin IPv6 y la longitud del prefijo, por
ejemplo 2001:400:f00::1/64. Si no se selecciona Prefijo, la
direccin IPv6 asignada a la interfaz ser la que especifique
completamente en el cuadro de texto de la direccin.
a. Seleccione Usar ID de interfaz como parte de host para
asignar una direccin IPv6 a la interfaz que utilizar el ID de
interfaz como la parte de host de la direccin.
b. Seleccione Difusin por proximidad para incluir el enrutado
mediante el nodo ms cercano.
Paso 4
Seleccione el tipo de clave que se usar para proteger el tnel IPSec: Para clave automtica o clave manual, siga
las instrucciones que correspondan en el siguiente paso.
a. Configure el intercambio de clave

automtica.
1.
Seleccione la puerta de enlace de IKE. Para configurar una

puerta de enlace de IKE, consulte Configuracin de una puerta
de enlace de IKE.
2.
(Opcional) Seleccione el perfil criptogrfico de IPSec

predeterminado. Para crear un nuevo perfil de IPSec, consulte
Definicin de perfiles criptogrficos de IPSec.
399
VPN
b. Configure el intercambio de clave manual.
1.
Configure los parmetros para el cortafuegos local:

a. Especifique el SPI para el cortafuegos local: SPI es un ndice
hexadecimal de 32 bits que se aade al encabezado de
tunelizacin de IPSec para ayudar a diferenciar los distintos
flujos de trfico de IPSec; se usa para crear la SA requerida a
fin de establecer un tnel de VPN.
b. Seleccione la interfaz que constituir el extremo del tnel y,
de manera opcional, seleccione la direccin IP para la interfaz
local que es el extremo del tnel.
c. Seleccione el protocolo que se usar: AH o ESP.
d. Para AH, seleccione el mtodo de autenticacin del men
desplegable, introduzca una clave y, a continuacin,
confirme la clave.
e. Para ESP, seleccione el mtodo de autenticacin del men
desplegable, introduzca una clave y, a continuacin,
confirme la clave. A continuacin, seleccione el mtodo de
cifrado, introduzca una clave y, a continuacin, confirme la
clave, en caso necesario.
2.
Configure los parmetros relativos al peer VPN remoto.

a. Especifique el SPI para el peer remoto.
b. Introduzca la direccin remota, la direccin IP y el peer
remoto.
Paso 5
Proteccin contra un ataque de

reproduccin.
Un ataque de reproduccin consiste en
interceptar un paquete de forma
malintencionada y retransmitirlo.
Marque la casilla de verificacin Mostrar opciones avanzadas,

seleccione Habilitar proteccin de reproduccin para detectar y
neutralizar ataques de reproduccin.
Paso 6
Conserve el encabezado Tipo de servicio En la seccin Mostrar opciones avanzadas, seleccione Copiar
para la prioridad o el tratamiento de
encabezado de TOS. De este modo se copia el encabezado de TOS
paquetes de IP.
(Tipo de servicio) desde el encabezado IP interno en el encabezado
IP externo de los paquetes resumidos con el fin de preservar la
informacin original de TOS.
Paso 7
Habilite la supervisin de tnel.
Nota
Deber asignar una direccin IP a la

interfaz de tnel para su supervisin.
Para alertar al administrador de dispositivo de los fallos del tnel y

proporcionar una conmutacin por error automtica a otra interfaz:
1. Especifique una IP de destino en el otro lado del tnel que el
supervisor de tnel utilizar para determinar si el tnel funciona
correctamente.
2.
400
Seleccione un perfil para determinar la accin cuando falla un

tnel. Para crear un nuevo perfil, consulte Definicin de un
perfil de supervisin de tnel.
VPN
Paso 8
(Requerido solo si el peer VPN usa una 1.

VPN basada en polticas). Cree un ID de 2.
proxy para identificar a los peers de VPN.
Seleccione Red > Tneles de IPSec > ID de proxy.

Haga clic en Aadir e introduzca una direccin IP para los peers
de la puerta de enlace de VPN.

Paso 9
Guarde los cambios.
Configuracin de la supervisin de tnel

Para ofrecer un servicio VPN ininterrumpido, puede usar la capacidad Deteccin de fallo del peer junto con la
capacidad de supervisin del tnel en el cortafuegos. Tambin puede supervisar el estado del tnel. Para obtener
ms informacin, consulte:
Definicin de un perfil de supervisin de tnel
Visualizacin del estado de los tneles

Un perfil de supervisin de tnel le permite verificar la conectividad entre los peers VPN; puede configurar la
interfaz de tnel para hacer ping a una direccin IP de destino con un intervalo determinado y especificar la
accin si la comunicacin a travs del tnel est cortada.
Paso 1
Seleccione Red > Perfiles de red > Supervisar. Hay un perfil de supervisin de tnel disponible para su uso.
Paso 2
Haga clic en Aadir e introduzca un Nombre para el perfil.
Paso 3
Seleccione la accin si no es posible alcanzar la direccin IP de destino.

Esperar recuperacin: El cortafuegos espera a que el tnel se recupere. Contina usando la interfaz del tnel
para las decisiones de enrutamiento como si el tnel siguiera activo.
Conmutacin por error: Desva el trfico a una ruta alternativa si hay alguna disponible. El cortafuegos
deshabilita la interfaz del tnel y, por lo tanto, deshabilita cualquier ruta en la tabla de rutas que use la interfaz.
En ambos casos, el cortafuegos intenta acelerar la recuperacin negociando nuevas claves IPSec.
Paso 4
Especifique el intervalo y el umbral para iniciar la accin especificada.

El umbral especifica el nmero de latidos de espera antes de iniciar la accin especificada. Puede tomar valores
de 2 a 100 y es de 5 latidos de forma predeterminada.
El intervalo mide el tiempo entre latidos. Puede tomar valores de 2 a 10 y es de 3 segundos de forma
predeterminada.
401
VPN
Definicin de un perfil de supervisin de tnel (Continuacin)
Paso 5
Adjunte el perfil de supervisin a una configuracin de tnel de IPSec. Consulte Habilite la supervisin de tnel.
Visualizacin del estado de los tneles

El estado del tnel informa de si se han establecido SA de IKE de fase 1 y de fase 2 vlidas, y de si est operativa
la interfaz del tnel para el paso de trfico.
Dado que la interfaz del tnel es una interfaz lgica, no puede indicar el estado del enlace fsico. Por lo tanto,
debe habilitar la supervisin de tnel para que la interfaz del tnel pueda verificar la conectividad a una direccin
IP y determinar si la ruta sigue siendo utilizable. Si no se puede alcanzar la direccin IP, el cortafuegos esperar
a la recuperacin del tnel o una conmutacin por error. Cuando se produce una conmutacin por error, se
anula el tnel existente y se inician cambios de enrutamiento para establecer un nuevo tnel y redirigir el trfico.
Visualizacin del estado de tnel
1.
Seleccione Red > Tneles de IPSec.
2.
Visualizacin del estado de tnel

El color verde indica que el tnel de SA de IPSec es vlido.
El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
3.
Vea el estado de la puerta de enlace de IKE.

El color verde indica que la SA del IKE de fase 1 es vlida.
El color rojo indica que la SA de IKE de fase 1 no est disponibles o ha vencido.
4.
Vea el estado de la interfaz del tnel

El color verde indica que la interfaz del tnel est activa.
El color rojo indica que la interfaz de tnel no est activa porque la supervisin del tnel est habilitada y el estado
es desactivado.
Para solucionar problemas de un tnel VPN que an no est activo, consulte Interpretacin de mensajes de error
de VPN.
402
VPN
Prueba de conectividad VPN

Prueba de conectividad
Inicie el IKE de fase 1 haciendo un ping a un host a travs del tnel o usando el siguiente comando de la CLI:
test vpn ike-sa gateway gateway_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
gateway_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
show vpn ike-sa gateway
Inicie el IKE de fase 2 haciendo un ping a un host desde el tnel o usando el siguiente comando de la CLI:
test vpn ipsec-sa tunnel
tunnel_name
A continuacin, introduzca el siguiente comando para probar si el IKE de fase 1 est configurado:
show vpn ipsec-sa tunnel tunnel_name
En el resultado, compruebe si se muestra la asociacin de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
Para ver la informacin del flujo de trfico VPN, use el siguiente comando:
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
filter - type IPSec, state any

total IPSec tunnel configured:
total IPSec tunnel shown:
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
active
100.1.1.1
200.1.1.1
tunnel.41
Interpretacin de mensajes de error de VPN

La siguiente tabla enumera algunos de los mensajes de error de VPN ms comunes que se registran en el log del
sistema.
Mensajes de error de Syslog para problemas de VPN
Si el error es:
Pruebe a:
403
VPN
Mensajes de error de Syslog para problemas de VPN

IKE phase-1 negotiation
is failed as initiator,
main mode. Failed SA:
x.x.x.x[500]-y.y.y.y[50
0]
cookie:84222f276c2fa2e9
:0000000000000000 due to
timeout.
Verificar si la direccin IP pblica de cada peer VPN es precisa en la configuracin

de la puerta de enlace de IKE.
Verificar si se puede hacer ping a las direcciones IP y que los problemas de
enrutamiento no estn provocando el fallo de conexin.
o
IKE phase 1 negotiation
is failed. Couldnt find
configuration for IKE
phase-1 request for peer
IP x.x.x.x[1929]
Received unencrypted
notify payload (no
proposal chosen) from IP
x.x.x.x[500] to
y.y.y.y[500],
ignored...
Comprobar el perfil criptogrfico de IKE para verificar que las propuestas en ambos
lados tienen un cifrado, autenticacin y propuesta de grupo DH comunes.
o
is failed. Unable to
process peers SA
payload.
pfs group mismatched:my:
2peer: 0
o
failed when processing
SA payload. No suitable
proposal found in peers
SA payload.
failed when processing
Proxy ID. Received local
id x.x.x.x/x type IPv4
address protocol 0 port
0, received remote id
y.y.y.y/y type IPv4
address protocol 0 port
0.
404
Comprobar la configuracin del perfil criptogrfico de IPSec para verificar que

los dos peers VPN tienen el mismo valor de pfs: habilitado o deshabilitado
los grupos DH propuestos por cada peer tienen al menos un grupo DH en comn
El peer VPN de un extremo est usando una VPN basada en polticas. Debe configurar
un ID de proxy en el cortafuegos de Palo Alto Networks. Consulte Paso 8.
VPN

En las siguientes secciones se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de VPN:
VPN de sitio a sitio con rutas estticas
VPN de sitio a sitio con OSPF
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico
VPN de sitio a sitio con rutas estticas

Los siguientes ejemplos muestran una conexin VPN entre dos sitios que usan rutas estticas. Sin enrutamiento
dinmico, las interfaces de tnel en el peer A de VPN y el peer B de VPN no necesitan una direccin IP porque
el cortafuegos usa automticamente la interfaz del tnel como el prximo salto para el enrutamiento de trfico
a travs de los sitios. Sin embargo, para habilitar la supervisin del tnel, se ha asignado una direccin IP esttica
a cada interfaz de tnel.
405
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas
Paso 1
Configure una interfaz de capa 3.
1.
Esta interfaz se usa para el tnel IKE de

fase 1.
Seleccione Red > Interfaces> Ethernet y, a continuacin,

seleccione la interfaz que quiera configurar para la VPN.
2.
3.
En la pestaa Configurar, seleccione la Zona de seguridad a la

que pertenezca la interfaz:
La interfaz debe ser accesible desde una zona de fuera de su
red fiable. Considere la posibilidad de crear una zona de VPN
especfica para lograr la visibilidad y el control necesarios del
trfico de su VPN.
Si todava no ha creado la zona, seleccione Nueva zona en el
men desplegable Zona de seguridad, defina un Nombre
para la nueva zona y, a continuacin, haga clic en ACEPTAR.
4.
5.
Seleccione el Enrutador virtual que debe utilizarse.


ejemplo, 192.168.210.26/24.
6.

Aceptar.
En este ejemplo, la configuracin para el peer A de VPN es:

Interfaz: ethernet1/7
Zona de seguridad: no fiable
Enrutador virtual: predeterminado
IPv4: 192.168.210.26/24
La configuracin para el peer B de VPN es:
406
IPv4: 192.168.210.120/24
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas (Continuacin)
Paso 2
Cree una interfaz de tnel y vinclela a un 1.

enrutador virtual y una zona de seguridad. 2.
3.
Seleccione Red > Interfaces > Tnel y haga clic en Aadir.

En el campo Nombre de interfaz, especifique un sufijo
numrico, como .1.
seguridad para definir la zona del siguiente modo:
Para usar una zona fiable como punto de finalizacin del
tnel, seleccione la zona del men desplegable.
(Recomendado) Si quiere crear una zona separada para la
finalizacin del tnel de VPN, haga clic en Nueva zona. En
el cuadro de dilogo Zona, defina un Nombre para una nueva
zona, por ejemplo vpn-tun, y haga clic en Aceptar.
4.
Seleccione el Enrutador virtual.
5.
(Opcional) Asigne una direccin IP a la interfaz de tnel,

seleccione la pestaa IPv4 o IPv6, haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red para
asignarlas a la interfaz.
Con rutas estticas, la interfaz de tnel no necesita una direccin
IP. Para el trfico destinado a una subred/direccin IP
especfica, la interfaz de tnel se convertir automticamente en
el prximo salto. Plantese aadir una direccin IP si quiere
habilitar la supervisin de tnel.
6.

Aceptar.
Interfaz: tnel.11
Zona de seguridad: vpn_tun
IPv4: 172.19.9.2/24
Paso 3
Interfaz: tnel.12
IPv4: 192.168.69.2/24
Configure una ruta esttica, en el servidor 1.

virtual, a la subred de destino.
Seleccione Red > Enrutador virtual y haga clic en el enrutador

que ha definido en el paso 4 ms arriba.
2.
Seleccione Ruta esttica, haga clic en Aadir e introduzca una

nueva ruta para acceder a la subred que se encuentra en el otro
extremo del tnel.
Destino: 192.168.69.0/24
Interfaz: tnel.11
Destino: 172.19.9.0/24
Interfaz: tnel.12
407
VPN
Paso 4
Configure los perfiles criptogrficos

(perfil criptogrfico IKE para 1 y perfil
criptogrfico IPSec para fase 2).
1.
Seleccione Red > Perfiles de red > Criptogrfico de IKE. En

este ejemplo, hemos usado el perfil predeterminado.
2.
Seleccione Red > Perfiles de red > Criptogrfico de IPSec. En

1.
Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
Complete esta tarea en ambos peers y

asegrese de definir valores idnticos.
Paso 5
Configure la puerta de enlace de IKE
2.
Haga clic en Aadir y configure las opciones en la pestaa

General.
Direccin IP local: 192.168.210.26/24
Tipo/Direccin IP del peer: esttica/192.168.210.120
Claves previamente compartidas: introduzca un valor
Identificacin local: ninguna; significa que la direccin
IP local se utilizar como el valor de identificacin local.

3.
408
Tipo/Direccin IP del peer: esttica/192.168.210.26
Claves previamente compartidas: introduzca el mismo
valor que el del peer A

Identificacin local: ninguna
Seleccione Opciones de fase 1 avanzadas y seleccione el perfil
criptogrfico de IKE que ha creado anteriormente para usar
IKE de fase 1.
VPN
Paso 6
Configure el tnel de IPSec
1.
2.

General.

Interfaz de tnel: tnel.11
Tipo: clave automtica
Puerta de enlace de IKE: seleccione la puerta de enlace
de IKE definida ms arriba.
Perfil criptogrfico de IPSec: seleccione el perfil
criptogrfico de IPSec definido en el Paso 4.
3.
4.
Paso 7
Cree polticas para permitir el trfico

entre los sitios (subredes).

Perfil criptogrfico de IPSec: seleccione el
Criptogrfico de IPSec definido en el Paso 4.
(Opcional) Seleccione Mostrar opciones avanzadas, seleccione
Supervisor de tnel y especifique una direccin IP de destino
para hacer ping para verificar la conectividad. Normalmente, se
usa la direccin IP de la interfaz de tnel del peer de VPN.
(Opcional) Para definir la accin que se realizar si no es posible
establecer conectividad, consulte Definicin de un perfil de
supervisin de tnel.
1.
2.
Cree reglas para permitir el trafico entre la zona no fiable y la

zona vpn-tun y la zona vpn-tun y la zona no fiable para trfico
que se origine desde el origen especificado y las direcciones IP
de destino.
Paso 8
Guarde cualquier cambio de

configuracin pendiente.
Paso 9
Pruebe la conectividad VPN.
Consulte Visualizacin del estado de los tneles.
409
VPN
VPN de sitio a sitio con OSPF

En este ejemplo, cada sitio usa OSPF para enrutamiento o trfico dinmicos. La direccin IP del tnel en
cada peer de VPN se asigna estticamente y sirve como el prximo salto para el enrutamiento de trfico entre
dos sitios.
410
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF
Paso 1
Configure las interfaces de capa 3 en cada 1.

cortafuegos.

2.
3.

trfico de su VPN.
4.
5.

ejemplo, 192.168.210.26/24.
6.

Aceptar.

IPv4: 100.1.1.1/24
IPv4: 200.1.1.1/24
411
VPN
Configuracin rpida: VPN de sitio a sitio con enrutamiento dinmico usando OSPF (Continuacin)
Paso 2

3.

numrico, p. ej., .11.
4.
5.
Asigne una direccin IP a la interfaz de tnel, seleccione la

pestaa IPv4 o IPv6, haga clic en Aadir en la seccin IP e
introduzca la direccin IP y la mscara de red para asignarlas a
la interfaz, por ejemplo, 172.19.9.2/24.
Esta direccin IP se usar como direccin IP de prximo salto
para enrutar el trfico al tnel y tambin puede usarse para
supervisar el estado del tnel.
6.

Aceptar.
Interfaz: tnel.41
IPv4: 2.1.1.141/24
Paso 3

Interfaz: tnel.40
IPv4: 2.1.1.140/24
1.

2.


412
VPN
Paso 4
Establezca la configuracin OSPF en el 1.

enrutador virtual y adjunte las reas OSPF
con las interfaces apropiadas en el
2.
cortafuegos.
Seleccione Red > Enrutadores virtuales y seleccione el

enrutador predeterminado o aada uno nuevo.
Para obtener ms informacin sobre las

opciones OSPF disponibles en el
cortafuegos, consulte Configuracin de
OSPF.
En este ejemplo, la configuracin OSPF para el peer A de VPN es:
3.
Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione

Habilitar.
ID del enrutador: 192.168.100.141
ID de rea: 0.0.0.0 que se asigna a la interfaz del tnel.1 con
el tipo de enlace: p2p
ID de rea: 0.0.0.10 que se asigna a la interfaz Ethernet1/1
con el tipo de enlace: Difusin
Use Difusin como el tipo de enlace

cuando haya ms de dos enrutadores
OSPF que necesiten intercambiar
informacin de enrutamiento.
La configuracin OSPF para el peer B de VPN es:

ID de rea: 0.0.0.0 que se asigna a la interfaz del tnel.1 con
el tipo de enlace: p2p
ID de rea: 0.0.0.20 que se asigna a la interfaz
Ethernet1/15 con el tipo de enlace: Difusin
Paso 5
Configure la puerta de enlace de IKE
1.
2.

General.

Estos ejemplos usan direcciones IP
estticas para ambos peers VPN.
Normalmente, la sede usa una direccin
IP configurada estticamente y la sucursal
puede usar una direccin IP dinmica; las
direcciones IP dinmicas no son las ms
indicadas para configurar servicios
estables como VPN.
Direccin IP del peer: 200.1.1.1/24
3.
Direccin IP del peer: 100.1.1.1/24
valor que el del peer A

Seleccione el perfil criptogrfico de IKE que ha creado
anteriormente para usar IKE de fase 1.
413
VPN
Paso 6
Configure el tnel de IPSec
1.
2.

General.

Perfil criptogrfico de IPSec: seleccione la puerta de
enlace de IKE definida en ms arriba.
3.
4.
Paso 7
414


Seleccione Mostrar opciones avanzadas, seleccione
para hacer ping para verificar la conectividad.
Para definir la accin que se realizar si no es posible establecer
conectividad, consulte Definicin de un perfil de supervisin de
tnel.
1.
2.

de destino.
VPN
Paso 8
Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
show routing route type ospf
Paso 9
Pruebe la conectividad VPN.
Consulte Configuracin de la supervisin de tnel y Visualizacin

del estado de los tneles.
415
VPN
VPN de sitio a sitio con rutas estticas y enrutamiento dinmico

En este ejemplo, un sitio usa rutas estticas y el otro sitio usa OSPF. Cuando el protocolo de enrutamiento no
es el mismo entre ubicaciones, la interfaz del tnel en cada cortafuegos debe estar configurada con una direccin
IP esttica. A continuacin, permita el intercambio de informacin de enrutamiento, el cortafuegos que
participa tanto en el proceso de enrutamiento esttico como el dinmico debe configurarse con un Perfil de
redistribucin. Configurar el perfil de redistribucin habilita al enrutador virtual para redistribuir y filtrar rutas
entre protocolos (rutas estticas, rutas conectadas y hosts) desde el sistema autnomo esttico al sistema
autnomo OSPF. Sin este perfil de redistribucin, cada protocolo funciona por su cuenta y no intercambia
ninguna informacin de ruta con otros protocolos que se ejecutan en el mismo enrutador virtual.
En este ejemplo, la oficina satlite tiene rutas estticas y todo el trfico destinado a la red 192.168.x.x se enruta
al tnel .41. El enrutador virtual del peer B de VPN participa tanto en el proceso de enrutamiento dinmico
como el esttico y est configurado como un perfil de redistribucin para propagar (exportar) las rutas estticas
al sistema autnomo OSPF.
416
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico
Paso 1
Configure las interfaces de capa 3 en cada 1.

cortafuegos.

2.
3.

trfico de su VPN.
4.
5.

ejemplo, 192.168.210.26/24.
6.

Aceptar.

IPv4: 100.1.1.1/24
Paso 2

IPv4: 200.1.1.1/24
1.

2.


417
VPN
Configuracin rpida: VPN de sitio a sitio con rutas estticas y enrutamiento dinmico (Continuacin)
Paso 3
Configure la puerta de enlace de IKE.
1.
2.

General.
Con claves compartidas previamente,

para aadir el escrutinio de autenticacin
al configurar el tnel IKE de fase 1, puede
configurar atributos de identificacin de
peer y local, y un valor correspondiente
con el que coincide en el proceso de
negociacin.
e introduzca un valor para el peer A de VPN.

Identificacin del peer: seleccione FQDN(nombre de
host) e introduzca un valor para el peer B de VPN.
3.
418
Tipo de IP de peer: dinmica
Identificacin local: seleccione FQDN(nombre de host)
Direccin IP de peer: dinmica
valor que el del peer A.

Identificacin local: seleccione FQDN(nombre de host)
e introduzca un valor para el peer B de VPN.
Identificacin del peer: seleccione FQDN(nombre de
host) e introduzca un valor para el peer A de VPN.
Seleccione el perfil criptogrfico de IKE que ha creado
anteriormente para usar IKE de fase 1.
VPN
Paso 4

3.

numrico, p. ej., .41.
4.
5.
Asigne una direccin IP a la interfaz de tnel, seleccione la

pestaa IPv4 o IPv6, haga clic en Aadir en la seccin IP e
introduzca la direccin IP y la mscara de red para asignarlas a
la interfaz, por ejemplo, 172.19.9.2/24.
Esta direccin IP se usar para enrutar el trfico al tnel y
supervisar el estado del tnel.
6.

Aceptar.
Interfaz: tnel.41
IPv4: 2.1.1.141/24
Paso 5
Especifique la interfaz para enruta el

1.
trfico a un destino en la red 192.168.x.x. 2.
Interfaz: tnel.42
IPv4: 2.1.1.140/24
En el peer A de VPN, seleccione el enrutador virtual.

Seleccione Rutas estticas y aada tnel.41 como la interfaz
para el enrutamiento de trfico con un Destino en la red
192.168.x.x.
419
VPN
Paso 6
Establezca la ruta esttica y la

configuracin OSPF en el enrutador
virtual y adjunte las reas OSPF con las
interfaces apropiadas en el cortafuegos.
1.
En el peer B de VPN, seleccione Red > Enrutadores virtuales

y seleccione el enrutador predeterminado o aada uno nuevo.
2.
Seleccione Rutas estticas y Aada la direccin IP del tnel

como el prximo salto para el trfico en la red 172.168.x.x.
Asigne la mtrica de ruta deseada; usando un valor bajo se
aumenta la prioridad para la seleccin de ruta en la tabla de
reenvos.
3.
Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione

Habilitar.
4.
En este ejemplo, la configuracin OSPF para el peer B de

VPN es:
ID de rea: 0.0.0.0 se asigna a la interfaz Ethernet1/12 con el
tipo de enlace: Difusin
ID de rea: 0.0.0.10 que se asigna a la interfaz Ethernet1/1
con el tipo de enlace: Difusin
ID de rea: 0.0.0.20 se asigna a la interfaz Ethernet1/15 con
el tipo de enlace: Difusin
Paso 7
Cree un perfil de redistribucin para

inyectar las rutas estticas en el sistema
autnomo OSPF.
1.
Cree un perfil de redistribucin en el peer B de VPN.

a. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador que ha usado ms arriba.
b. Seleccione Perfiles de redistribucin y haga clic en Aadir.
c. Introduzca un nombre para el perfil, seleccione Redistr. y
asigne un valor de Prioridad. Si ha configurado mltiples
perfiles, coincidir primero el perfil con el valor de propiedad
ms bajo.
d. Defina Tipo de origen como esttico y haga clic en Aceptar.
Se usar la ruta esttica definida en el Paso 6-2 para la
redistribucin.
2.
Inyecte rutas estticas en el sistema OSPF.

a. Seleccione OSPF> Exportar reglas (para IPv4) o OSPFv3>
Exportar reglas (para IPv6).
b. Haga clic en Aadir y seleccione el perfil de redistribucin
que acaba de crear.
c. Seleccione cmo se llevan las rutas externas al sistema OSPF.
La opcin predeterminada, Ext2, calcula el coste total de la
ruta usando solo mtricas externas. Para usar mtricas OSPF
tanto internas como externas, use Ext1.
d. Asigne una mtrica (valor de coste) a las rutas inyectadas en
el sistema OSPF. Esta opcin le permite cambiar la mtrica
para la ruta inyectada al entrar en el sistema OSPF.
e. Haga clic en ACEPTAR para guardar los cambios.
420
VPN
Paso 8
Configure el tnel de IPSec.
1.
2.

General.

3.
Paso 9


Seleccione Mostrar opciones avanzadas, seleccione
para hacer ping para verificar la conectividad.
4.
Para definir la accin que se realizar si no es posible establecer

conectividad, consulte Definicin de un perfil de supervisin de
tnel.
1.
2.

de destino.
421
VPN
Paso 10 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre s con estado
desde la CLI.
completo. Confirme adems la direccin IP de la interfaz del tnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
show routing protocol ospf neighbor
show routing route

A continuacin se muestra un ejemplo de salida en cada peer
de VPN.
Paso 11 Pruebe la conectividad VPN.
422
Consulte Configuracin de la supervisin de tnel y Visualizacin

del estado de los tneles.
VPN a gran escala (LSVPN)

La funcin VPN a gran escala (LSVPN) de GlobalProtect de cortafuegos de prxima generacin de Palo Alto
Networks simplifica la implementacin de VPN de concentrador y radio tradicionales, lo que le permite
implementar rpidamente redes empresariales con varias sucursales con una cantidad mnima de configuracin
obligatoria en los dispositivos satlite remotos. Esta solucin utiliza certificados para la autenticacin de
dispositivos e IPSec para proteger datos.
LSVPN habilita VPN de sitio a sitio entre cortafuegos de Palo Alto Networks. Para configurar una
VPN de sitio a sitio entre un cortafuegos de Palo Alto Networks y otro dispositivo, consulte VPN.
Los siguientes temas describen los componentes de LSVPN y cmo configurarlos para habilitar servicios de
VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
Creacin de interfaces y zonas para la LSVPN
Habilitacin de SSL entre componentes de LSVPN de GlobalProtect
Configuracin del portal para autenticar satlites
Configuracin de puertas de enlace de GlobalProtect para LSVPN
Configuracin del portal de GlobalProtect para LSVPN
Preparacin del dispositivo satlite para unirse a la LSVPN
Verificacin de la configuracin de LSVPN
Configuraciones rpidas de LSVPN
VPN a gran escala
423
Componentes de LSVPN
Componentes de LSVPN
GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos corporativos
desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
Portal de GlobalProtect: Proporciona las funciones de gestin necesarias para su infraestructura de

LSVPN de GlobalProtect. Cada satlite que participa en la LSVPN de GlobalProtect recibe informacin de
configuracin del portal, incluida informacin de configuracin para permitir que los satlites (los radios) se
conecten a las puertas de enlace (los concentradores). El portal se configura en una interfaz de cualquier
cortafuegos de ltima generacin de Palo Alto Networks.
Puertas de enlace de GlobalProtect: Cortafuegos de Palo Alto Networks que proporciona el extremo del
tnel para conexiones de satlites. Los recursos a los que acceden los satlites estn protegidos por la poltica
de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace separados; un
nico cortafuegos puede actuar tanto de portal como de puerta de enlace.
Satlite de GlobalProtect: Cortafuegos de Palo Alto Networks en una ubicacin remota que establece
tneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos centralizados.
La configuracin del cortafuegos del satlite es mnima, lo que le permite ajustar rpida y fcilmente su VPN
a medida que aada nuevas ubicaciones.
El siguiente diagrama muestra cmo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
424
VPN a gran escala

Debe configurar las siguientes interfaces y zonas para su infraestructura de LSVPN:
Portal de GlobalProtect: Requiere una interfaz de capa 3 para que se conecten los satlites de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
Puertas de enlace de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satlites remotos, una interfaz interna en la zona fiable que se conecta con los recursos
protegidos y una interfaz de tnel lgica para finalizar los tneles de VPN desde los satlites. A diferencia de
otras soluciones de VPN de sitio a sitio, la puerta de enlace de GlobalProtect solamente requiere una nica
interfaz de tnel, que utilizar para las conexiones de tnel con todos sus satlites remotos (punto a
multipunto). Si tiene la intencin de utilizar el enrutamiento dinmico, deber asignar una direccin IP a la
interfaz de tnel.
Satlite de GlobalProtect: Requiere una nica interfaz de tnel para establecer una VPN con las puertas
de enlace remotas (hasta un mximo de 25 puertas de enlace). Si tiene la intencin de utilizar el enrutamiento
dinmico, deber asignar una direccin IP a la interfaz de tnel.
Si desea ms informacin sobre portales, puertas de enlace y satlites, consulte Componentes de LSVPN.
Configuracin de interfaces y zonas para la LSVPN de GlobalProtect
Paso 1
1.
El portal, cada puerta de enlace y cada

satlite requieren una interfaz de capa 3
para permitir que el trfico se enrute entre 2.
las distintas ubicaciones.
3.
Si la puerta de enlace y el portal se
encuentran en el mismo cortafuegos,
puede utilizar una nica interfaz para
ambos componentes.
Nota

seleccione la interfaz que quiera configurar para la LSVPN de
GlobalProtect.
trfico de su VPN.
Las direcciones IPv6 no son compatibles

con LSVPN.

4.
5.

ejemplo, 203.0.11.100/24.
6.

Aceptar.
VPN a gran escala
425
Configuracin de interfaces y zonas para la LSVPN de GlobalProtect (Continuacin)
Paso 2
Nota
Nota
1.
En los cortafuegos donde se alojen
puertas de enlace de GlobalProtect,
2.
configure la interfaz de tnel lgica que
finalizar los tneles de VPN establecidos
3.
por los satlites de GlobalProtect.
No se requieren direcciones IP en la
interfaz de tnel a menos que tenga la
intencin de utilizar el enrutamiento
dinmico. Sin embargo, asignar una
direccin IP a la interfaz de tnel puede
resultar til para solucionar problemas de
conexin.
Asegrese de habilitar User-ID en la zona
donde finalizan los tneles de VPN.

numrico, como .2.
el cuadro de dilogo Zona, defina un Nombre para la nueva
zona (por ejemplo, lsvpn-tun), seleccione la casilla de
verificacin Habilitar identificacin de usuarios y, a
4.
5.
(Opcional) Si quiere asignar una direccin IP a la interfaz de

tnel, seleccione la pestaa IPv4, haga clic en Aadir en la
asignarlas a la interfaz, por ejemplo: 203.0.11.33/24.
6.

Aceptar.
Paso 3
Si ha creado una zona separada para la finalizacin del tnel de las conexiones VPN, cree una poltica de
seguridad para habilitar el flujo de trfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
poltica habilita el trfico entre la zona lsvpn-tun y la zona L3-Trust.
Paso 4
426
VPN a gran escala
Habilitacin de SSL entre componentes de LSVPN de

GlobalProtect
Toda la interaccin entre los componentes de GlobalProtect se realiza a travs de una conexin SSL. Por lo tanto,
debe generar y/o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda
hacer referencia a los certificados y/o perfiles de certificados adecuados en las configuraciones de cada
componente. En las siguientes secciones se describen los mtodos compatibles de implementacin de certificados,
las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, adems de
ofrecer instrucciones para la generacin e implementacin de los certificados necesarios.
Acerca de la implementacin de certificados
Implementacin de certificados de servidor en los componentes de LSVPN de GlobalProtect
Acerca de la implementacin de certificados

Hay dos mtodos bsicos para implementar certificados para LSVPN de GlobalProtect:
Autoridad de certificacin empresarial: Si ya cuenta con su propia entidad de certificacin empresarial,

puede utilizar esta CA interna para emitir un certificado de CA intermedio para el portal de GlobalProtect
para habilitarlo con el fin de que emita certificados para las puertas de enlace y los satlites de GlobalProtect.
Certificados autofirmados: Puede generar un certificado de CA raz autofirmado en el cortafuegos y

usarlo para emitir certificados de servidor para el portal, las puertas de enlace y los satlites. La prctica
recomendada es crear un certificado de CA raz autofirmado en el portal y utilizarlo para emitir certificados
de servidor para las puertas de enlace y los satlites. De este modo, la clave privada utilizada para la firma del
certificado permanece en el portal.
Implementacin de certificados de servidor en los componentes de LSVPN

de GlobalProtect
Los componentes de LSVPN de GlobalProtect utilizan SSL/TLS para autenticarse mutuamente. Antes de
implementar el LSVPN, debe emitir certificados de servidor en el portal y las puertas de enlace. No necesita
crear certificados de servidor para los dispositivos satlite debido a que el portal emitir un certificado de
servidor para cada satlite durante la primera conexin.
Adems, debe importar el certificado de CA raz utilizado para emitir los certificados de servidor en cada
cortafuegos que tenga la intencin de alojar como puerta de enlace o satlite. Por ltimo, en cada puerta de
enlace y satlite que participe en la LSVPN, deber configurar un perfil de certificado que los habilitar para
establecer una conexin SSL/TLS mediante la autenticacin mutua.
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de LSVPN de GlobalProtect:
No necesita emitir certificados de servidor para los dispositivos satlite debido a que el portal los
emitir como parte del proceso de registro de satlites.
VPN a gran escala
427
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect
Paso 1
En el cortafuegos que aloja el portal, cree

el certificado de CA raz para la emisin
de certificados autofirmados para los
componentes de GlobalProtect.
Para usar certificados autofirmados, primero debe crear un

certificado de CA raz que servir para firmar los certificados de
componentes de GlobalProtect del siguiente modo:
1. Para crear un certificado de CA raz, seleccione Dispositivo >
Gestin de certificados > Certificados > Certificados de
dispositivos y, a continuacin, haga clic en Generar.
Paso 2
Nota
Genere certificados de servidor para el

portal y las puertas de enlace de
GlobalProtect.
2.
Introduzca un Nombre de certificado, como LSVPN_CA. El

nombre de certificado no puede puede contener espacios.
3.
No seleccione ningn valor en el campo Firmado por (esto es

lo que indica que est autofirmado).
4.
Seleccione la casilla de verificacin Autoridad del certificado y,

a continuacin, haga clic en Aceptar para generar el certificado.
Utilice la CA raz en el portal para generar certificados de servidor

para cada puerta de enlace que tenga la intencin de implementar:
1. Seleccione Dispositivo > Gestin de certificados > Certificados
> Certificados de dispositivos y, a continuacin, haga clic en
Generar.
Debe emitir un certificado de servidor

autofirmado exclusivo para el portal y
2.
para cada puerta de enlace de
GlobalProtect. La prctica recomendada
es emitir todos los certificados necesarios 3.
en el portal, para que el certificado de
firma (con la clave privada) no tenga que
exportarse.
4.
Si el portal y la puerta de enlace de
GlobalProtect se encuentran en la misma 5.
interfaz del cortafuegos, puede utilizar el
mismo certificado de servidor para ambos
componentes.
6.
428
Introduzca un nombre de certificado. El nombre de certificado

no puede puede contener espacios.
Introduzca el FQDN (recomendado) o la direccin IP de la
interfaz donde pretende configurar la puerta de enlace en el
campo Nombre comn.
En el campo Firmado por, seleccione LSVPN_CA, que cre en
el paso anterior.
En la seccin Atributos del certificado, haga clic en Aadir y
defina los atributos para identificar de forma exclusiva la puerta
de enlace. Tenga en cuenta que si aade un atributo Nombre de
host (que cumplimenta el campo SAN del certificado), debe
coincidir exactamente con el valor que haya definido en el
campo Nombre comn.
Seleccione Generar el certificado.
VPN a gran escala
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)
Paso 3
Implemente los certificados de servidor

autofirmados en las puertas de enlace.
1.
certificado de puerta de enlace que quiere implementar y haga

clic en Exportar.
Prcticas recomendadas:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz
desde el portal e imprtelos en las
puertas de enlace.
Asegrese de emitir un nico
certificado de servidor para cada
puerta de enlace.
El campo de nombre comn (CN) y, si
es aplicable, de nombre alternativo del
asunto (SAN) del certificado deben
coincidir con la direccin IP o con el
nombre de dominio completo
(FQDN) de la interfaz donde
configure la puerta de enlace.
VPN a gran escala
En el portal, seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos, seleccione el
2.
Seleccione Clave privada cifrada y certificado (PKCS12) en el

men desplegable Formato de archivo.
3.
Introduzca dos veces una Frase de contrasea para cifrar la

clave privada asociada al certificado y, a continuacin, haga clic
en ACEPTAR para descargar el archivo PKCS12 en su
ordenador.
4.
En la puerta de enlace, seleccione Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivo y
haga clic en Importar.
5.
Introduzca un nombre de certificado.
6.
Introduzca la ruta y el nombre en el archivo de certificado que

acaba de descargar del portal o seleccione Examinar para buscar
el archivo.
7.
Seleccione Clave privada cifrada y certificado (PKCS12) como

Formato de archivo.
8.
Introduzca la ruta y nombre en el archivo PKCS#12 en el

campo Archivo de clave o seleccione Examinar para
encontrarla.
9.
Vuelva a introducir la frase de contrasea que se us para cifrar

la clave privada y despus haga clic en ACEPTAR para importar
el certificado y la clave.
429
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)
Paso 4
Importe el certificado de CA raz utilizado 1.

para la emisin de certificados de servidor
para los componentes de LSVPN.
Descargue el certificado de CA raz del portal.
Debe importar el certificado de CA raz

en todas las puertas de enlace y los
satlites. Por motivos de seguridad,
asegrese de exportar nicamente el
certificado, no la clave privada asociada.
b. Seleccione el certificado de CA raz utilizado para la emisin

de certificados para los componentes de LSVPN y haga clic
en Exportar.

Certificados > Certificados de dispositivos.
c. Seleccione Certificado codificado en Base64 (PEM) en la

lista desplegable Formato de archivo y haga clic en ACEPTAR
para descargar el certificado. (No exporte la clave privada).
2.
En los cortafuegos que alojan las puertas de enlace y los

satlites, importe el certificado de CA raz.
Importar.
en Aceptar.
g. Confirme los cambios.
Paso 5
Paso 6
430
Cree un perfil de certificado.
1.
El portal y cada puerta de enlace de

LSVPN de GlobalProtect requieren un
perfil de certificado que especifique qu
certificado utilizar para autenticar los
satlites.
2.
Seleccione Dispositivo > Certificados > Gestin de certificados

> Perfil del certificado, haga clic en Aadir e introduzca un
Nombre de perfil.
Asegrese de establecer Campo de nombre de usuario como
Ninguno.
3.
En el campo Certificados de CA, haga clic en Aadir y

seleccione el certificado de CA raz de confianza que import en
el Paso 4.
4.
(Opcional pero recomendado) Habilite el uso de CRL y/o

OCSP para habilitar la verificacin del estado de certificado.
5.
VPN a gran escala

Para registrarse en la LSVPN, cada satlite debe establecer una conexin SSL/TLS con el portal. Tras establecer
la conexin, el portal autentica el dispositivo satlite para asegurarse de que est autorizado para unirse a la
LSVPN. Despus de autenticar correctamente el satlite, el portal emitir un certificado de servidor para el
satlite y enviar la configuracin de LSVPN que especifica las puertas de enlace a las que puede conectarse el
satlite y el certificado de CA raz necesario para establecer una conexin SSL con las puertas de enlace.
Hay dos formas en las que el satlite puede autenticar en el portal durante su conexin inicial:
Nmero de serie: Puede configurar el portal con el nmero de serie de los cortafuegos satlite autorizados
para unirse a la LSVPN. Durante la conexin inicial del satlite al portal, el satlite presenta su nmero de
serie al portal y, si el portal tiene el nmero de serie en su configuracin, el satlite se autenticar
correctamente. Los nmeros de serie de los satlites autorizados se aaden al configurar el portal. Consulte
Configuracin del portal.
Nombre de usuario y contrasea: Si prefiere proporcionar sus satlites sin introducir manualmente los
nmeros de serie de los dispositivos satlite en la configuracin de portal, puede solicitar al administrador
de satlites que los autentique al establecer la conexin inicial con el portal. Aunque el portal siempre buscar
el nmero de serie en la solicitud inicial del satlite, si no puede identificar el nmero de serie, el
administrador de satlites deber proporcionar un nombre de usuario y una contrasea para autenticarlo en
el portal. Debido a que el portal siempre retroceder a esta forma de autenticacin, debe crear un perfil de
autenticacin para confirmar la configuracin del portal. Esto requiere que configure un perfil de
autenticacin para la configuracin de LSVPN del portal, aunque tenga la intencin de autenticar los satlites
mediante el nmero de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticacin de satlites mediante
un servicio de autenticacin existente. LSVPN de GlobalProtect admite la autenticacin externa mediante una
base de datos local, LDAP (incluido Active Directory), Kerberos o RADIUS.
VPN a gran escala
431
Configuracin de la autenticacin de satlites
Paso 1
Cree un perfil de servidor en el portal.
1.
El perfil de servidor indica al cortafuegos

2.
cmo conectar con un servicio de
autenticacin externo para validar las
credenciales de autenticacin
3.
proporcionadas por el administrador de
satlites.
4.
Si est utilizando la autenticacin local,
puede omitir este paso y, en su lugar,
aadir una configuracin de usuario local 5.
para autenticar el administrador de
satlites.
Nota
Seleccione Dispositivo > Perfiles de servidor y seleccione el

tipo de perfil (LDAP, Kerberos o RADIUS).
Haga clic en Aadir e introduzca un Nombre para el perfil,
como LSVPN-Auth.
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est
conectando.
Haga clic en Aadir en la seccin Servidores e introduzca la
informacin requerida para el servicio de autenticacin, incluido
el Nombre, Direccin IP (o FQDN) y Puerto del servidor.
(Solo RADIUS y LDAP) Especifique la configuracin para
habilitar la autenticacin del cortafuegos en el servicio de
autenticacin del siguiente modo:
RADIUS: Introduzca el Secreto compartido al aadir la
entrada del servidor.
Si est usando LDAP para conectarse a

Active Directory (AD), debe crear un
perfil de servidor LDAP diferente para
cada dominio de AD.
LDAP: Introduzca el valor de Enlazar DN y Enlazar

contrasea.
6.
(nicamente LDAP y Kerberos) Especifique dnde buscar las

credenciales en el servicio del directorio:
LDAP: DN de Base especifica el punto en el rbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo
debera cumplimentarse automticamente al introducir el
puerto y la direccin del servidor. De no ser as, compruebe
la ruta del servicio al servidor LDAP.
Kerberos: Introduzca el nombre del Dominio de Kerberos.
Paso 2
Cree un perfil de autenticacin.

El perfil de autenticacin especifica qu
perfil de servidor debe utilizarse para
autenticar satlites.
7.
Especifique el nombre del Dominio (sin puntos, por ejemplo

acme, no acme.com).
8.
1.
Seleccione Dispositivo > Perfil de autenticacin y haga clic en

Aadir.
2.
Introduzca un Nombre para el perfil y, a continuacin,

seleccione el tipo de Autenticacin (Base de datos local, LDAP,
Kerberos o RADIUS).
3.
Seleccione el Perfil de servidor que cre en el Paso 1.
4.
(LDAP AD) Introduzca sAMAccountName como el Atributo

de inicio de sesin.
5.
Paso 3
432
VPN a gran escala
Configuracin de puertas de enlace de GlobalProtect para

LSVPN
Puesto que la configuracin de GlobalProtect que el portal entrega a los satlites incluye la lista de puertas de
enlace a las que puede conectarse el satlite, es recomendable configurar las puertas de enlace antes de configurar
el portal.
Tareas previamente necesarias

Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Debe
configurar tanto la interfaz fsica como la interfaz de tnel virtual. Consulte Creacin de interfaces y zonas
para la LSVPN.
Configure los certificados de servidor de puerta de enlace y el perfil de certificado necesario para habilitar
el satlite y la puerta de enlace de GlobalProtect para que establezcan una conexin SSL/TLS mutua.
Consulte Habilitacin de SSL entre componentes de LSVPN de GlobalProtect.
Configuracin de la puerta de enlace

Una vez completadas las Tareas previamente necesarias, configure cada puerta de enlace de GlobalProtect para
que participe en la LSVPN de la manera siguiente:
Configuracin de la puerta de enlace para LSVPN
Paso 1
Aada una plantilla.
VPN a gran escala
1.
Seleccione Red > GlobalProtect > Puertas de enlace y haga clic

en Aadir.
2.
En la pestaa General, introduzca un Nombre para la puerta de

enlace. El nombre de la puerta de enlace no debera contener
espacios y la prctica recomendada es que debera incluir la
ubicacin u otra informacin descriptiva que ayude a identificar
3.
(Opcional) Seleccione el sistema virtual al que pertenece esta

puerta de enlace en el campo Ubicacin.
433
Configuracin de la puerta de enlace para LSVPN (Continuacin)
Paso 2
Especifique la informacin de red que

permita a los satlites conectarse a la
puerta de enlace.
1.
Seleccione la Interfaz que utilizarn los satlites para acceder a

2.
Seleccione la Direccin IP para el acceso a la puerta de enlace.
Si an no ha creado la interfaz de red para 3.

la puerta de enlace, consulte las
instrucciones de Creacin de interfaces y
zonas para la LSVPN. Si an no ha creado
un certificado de servidor para la puerta
de enlace, consulte Implementacin de
certificados de servidor en los
componentes de LSVPN de
GlobalProtect.
Paso 3
Seleccione el Certificado de servidor para la puerta de enlace en

el men desplegable.
Seleccione el Perfil del certificado que cre para la comunicacin

Seleccione el perfil de certificado que
SSL entre los componentes de LSVPN.
debe utilizar la puerta de enlace para
autenticar satlites que intenten establecer
tneles.
Si no ha configurado an el perfil de
certificado, consulte las instrucciones de
Habilitacin de SSL entre componentes
de LSVPN de GlobalProtect.
Paso 4
Paso 5
Configure los parmetros del tnel y

habilite la tunelizacin.
(Opcional) Habilite la supervisin de

tnel.
1.
En el cuadro de dilogo Puerta de enlace de GlobalProtect,

seleccione Configuracin Satlite > Ajustes de tnel.
2.
Seleccione la casilla de verificacin Configuracin de tnel para

habilitar la tunelizacin.
3.
Seleccione la Interfaz de tnel que defini en el Paso 2 en

Creacin de interfaces y zonas para la LSVPN.
4.
(Opcional) Si desea conservar la informacin de tipo de servicio

(ToS) en los paquetes resumidos, seleccione la casilla de
verificacin Copiar TOS.
1.
Seleccione la casilla de verificacin Supervisin de tnel.
2.
Especifique la direccin IP de destino que los dispositivos

satlite deberan utilizar para determinar si la puerta de enlace
est activa. De forma alternativa, si ha configurado una
direccin IP para la interfaz de tnel, puede dejar este campo en
blanco y, en su lugar, el monitor de tnel utilizar la interfaz de
tnel para determinar si la conexin est activa.
La supervisin de tnel habilita los

dispositivos satlites para que supervisen
su conexin de tnel de puerta de enlace,
lo que permite realizar una conmutacin
por error a una puerta de enlace de
reserva si falla la conexin. La
3.
conmutacin por error a otra puerta de
enlace es el nico tipo de perfil de
supervisin de tnel permitido con
LSVPN.
434
Seleccione Conmutacin por error en el men desplegable

Perfil de monitor de tnel (este es el nico perfil de monitor de
tnel admitido para LSVPN).
VPN a gran escala
Paso 6
Seleccione el perfil criptogrfico que debe Seleccione predeterminado en el men desplegable Perfil
criptogrfico de IPSec u, opcionalmente, seleccione Nuevo perfil
utilizarse al establecer conexiones de
tnel.
criptogrfico de IPSec para definir un nuevo perfil. Si desea
informacin detallada sobre las opciones de autenticacin y cifrado
El perfil criptogrfico especifica el tipo de
en el perfil criptogrfico, consulte la ayuda en lnea.
cifrado de IPSec y/o el mtodo de
autenticacin para proteger los datos que
atraviesen el tnel. Dado que ambos
extremos del tnel de una LSVPN son
cortafuegos fiables de su organizacin,
por lo general puede utilizar el perfil
predeterminado, que utiliza cifrado
ESP-DH group2-AES 128 con SHA-1.
Sin embargo, si requiere una mezcla
diferente de mecanismos de cifrado y
autenticacin, puede crear opcionalmente
un perfil criptogrfico de IPSec
personalizado.
VPN a gran escala
435
Paso 7
Nota
Configure los ajustes de red para asignar 1.

los satlites durante el establecimiento del
tnel de IPSec.
2.
Tambin puede configurar el dispositivo
satlite para que enve la configuracin
DNS a sus clientes locales configurando
un servidor DHCP en el cortafuegos que
aloja el satlite. En esta configuracin, el
satlite enviar la configuracin DNS que
obtenga de la puerta de enlace a los
clientes DHCP.
En el cuadro de dilogo Puerta de enlace de GlobalProtect,

seleccione Configuracin Satlite > Configuracin de red.
(Opcional) Si los clientes locales del dispositivo satlite
necesitan resolver FQDN en la red corporativa, configure la
puerta de enlace para que enve la configuracin DNS a los
satlites de una de las maneras siguientes:
Defina manualmente los ajustes DNS principal, DNS
secundario y Sufijo DNS para enviarlos a los satlites.
Si la puerta de enlace tiene una interfaz configurada como
cliente DHCP, puede establecer el Origen de herencia en esa
interfaz y a los satlites de GlobalProtect se les asignarn los
mismos ajustes que haya recibido el cliente DHCP.
3.
Para especificar el Grupo de IP de direcciones para asignar la

interfaz de tnel en los dispositivos satlite cuando se establezca
la VPN, haga clic en Aadir y, a continuacin, especifique los
intervalos de direcciones IP que deben utilizarse. Si est
utilizando el enrutamiento dinmico, asegrese de que el grupo
de direcciones IP que designe a los satlites no se solape con las
direcciones IP que asign manualmente a las interfaces de tnel
de sus puertas de enlace y satlites.
4.
Para definir a qu subredes de destino enrutar a travs del tnel,

haga clic en Aadir en el rea de Acceder a ruta y, a
continuacin, introduzca las rutas del siguiente modo:
Si desea enrutar todo el trfico desde los satlites a travs del
tnel, deje este campo en blanco.
Para enrutar nicamente parte del trfico a travs de la puerta
de enlace (lo que se denomina tneles divididos), especifique las
subredes de destino que debern tunelizarse. En este caso, el
satlite enrutar el trfico no destinado a una ruta de acceso
especificada mediante su propia tabla de rutas. Por ejemplo,
puede decidir tunelizar nicamente el trfico destinado a su
red corporativa y utilizar el satlite local para permitir el
acceso a Internet de forma segura.
Si desea habilitar el enrutamiento entre satlites, introduzca la
ruta de resumen para la red protegida por cada satlite.
436
VPN a gran escala
Paso 8
(Opcional) Defina qu rutas, si las

hubiera, aceptar la puerta de enlace de
los satlites.
De manera predeterminada, la puerta de
enlace no aadir ninguna ruta que los
satlites anuncien en su tabla de rutas. Si
no desea que la puerta de enlace acepte
rutas de puertas de enlace, no necesita
realizar este paso.
Paso 9
Guarde la configuracin de puerta de

enlace.
VPN a gran escala
1.
Para habilitar la puerta de enlace para que acepte rutas

anunciadas por satlites, seleccione Configuracin Satlite >
Filtro de ruta.
2.
Seleccione la casilla de verificacin Aceptar rutas publicadas.
3.
Para filtrar cules de las rutas anunciadas por los satlites deben
aadirse a la tabla de rutas de la puerta de enlace, haga clic en
Aadir y, a continuacin, defina las subredes que hay que incluir.
Por ejemplo, si todos los satlites estn configurados con la
subred 192.168.x.0/24 en el extremo de la LAN, configurando
una ruta permitida de 192.168.0.0/16 para habilitar la puerta de
enlace con el fin de que solamente acepte rutas del satlite si est
en la subred 192.168.0.0/16.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro

de dilogo de la puerta de enlace de GlobalProtect.
2.
437

El portal de GlobalProtect proporciona las funciones de gestin para su LSVPN de GlobalProtect. Todos los
sistemas satlite que participan en la LSVPN reciben informacin de configuracin desde el portal, incluida
informacin sobre las puertas de enlace disponibles, as como el certificados que necesitan para conectarse a las
puertas de enlace.
Las siguientes secciones describen los procedimientos para configurar el portal:
Configuracin del portal
Definicin de las configuraciones de satlites

Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para la LSVPN.
Emitir el certificado de servidor del portal y certificados de servidor de la puerta de enlace, as como
configurar el portal para emitir certificados de servidor para los satlites. Consulte Habilitacin de SSL
entre componentes de LSVPN de GlobalProtect.
Definir el perfil de autenticacin que se utilizar para autenticar satlites de GlobalProtect en el caso de
que el nmero de serie no est disponible. Consulte Configuracin del portal para autenticar satlites.
Configurar las puertas de enlace de GlobalProtect Consulte Configuracin de puertas de enlace de

GlobalProtect para LSVPN.
438
VPN a gran escala
Configuracin del portal

Una vez completadas las Tareas previamente necesarias, configure el portal de GlobalProtect del siguiente
modo:
Configuracin del portal para LSVPN
Paso 1
Paso 2
Aada el portal.
1.
Seleccione Red > GlobalProtect > Portales y haga clic en

Aadir.
2.
En la pestaa Configuracin portal, introduzca un Nombre

para el portal. El nombre del portal no debe contener espacios.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este

portal en el campo Ubicacin.
1.
Especifique la informacin de red que
permita a los satlites conectarse al portal.
Seleccione la Interfaz que utilizarn los satlites para acceder al

portal.
Si an no ha creado la interfaz de red para 2.

el portal, consulte las instrucciones de
Creacin de interfaces y zonas para la
3.
LSVPN. Si an no ha creado un
certificado de servidor para la puerta de
enlace ni emitido certificados de puerta de
enlace, consulte Implementacin de
certificados de servidor en los
componentes de LSVPN de
GlobalProtect.
Seleccione la Direccin IP para que los satlites accedan al

portal.
Seleccione el Certificado de servidor que gener para habilitar
el satlite con el fin de que establezca una conexin SSL con el
portal.
Seleccione el Perfil de autenticacin que defini para autenticar

satlites.
Paso 3
Especifique un perfil de autenticacin

para autenticar dispositivos satlite.
Nota
Aunque tenga la intencin de configurar Si no ha configurado an el perfil de autenticacin, seleccione

manualmente el portal con los nmeros
Nuevo perfil de autenticacin para crear uno ahora. Consulte
de serie de los satlites, debe definir un
Configuracin del portal para autenticar satlites para obtener
perfil de autenticacin o no podr guardar
instrucciones. Si el portal no puede validar el nmero de serie de
la configuracin.
un satlite que se est conectando, retroceder al perfil de
autenticacin y, por lo tanto, deber configurar un perfil de
autenticacin para guardar la configuracin del portal.
Paso 4
Siga definiendo las configuraciones que Haga clic en ACEPTAR para guardar la configuracin de portal o vaya
deben enviarse a los satlites o, si ya ha
a Definicin de las configuraciones de satlites.
creado las configuraciones de los satlites,
guarde la configuracin del portal.
VPN a gran escala
439
Definicin de las configuraciones de satlites

Cuando un satlite de GlobalProtect se conecta y autentica correctamente en el portal de GlobalProtect, el
portal proporciona una configuracin de satlite, que especifica a qu puertas de enlace puede conectarse el
satlite. Si todos sus satlites van a utilizar las mismas configuraciones de puerta de enlace y certificado, puede
crear una nica configuracin de satlite para proporcionarla a todos los satlites tras una autenticacin correcta.
Sin embargo, si requiere diferentes configuraciones de satlites (por ejemplo, si desea que un grupo de satlites
se conecte a una puerta de enlace y otro grupo de satlite se conecte a una puerta de enlace diferente), puede
crear una configuracin de satlite separada para cada uno. El portal utilizar entonces el nombre de
usuario/nombre de grupo de inscripcin o el nmero de serie del dispositivo satlite para determinar qu
configuracin de satlite debe implementarse. Como con la evaluacin de reglas de seguridad, el portal busca
una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona
la configuracin correspondiente al satlite.
Por ejemplo, la siguiente ilustracin muestra una red en la que determinadas sucursales requieren un acceso de
tipo VPN a las aplicaciones corporativas protegidas por sus cortafuegos de permetro y otra ubicacin necesita
un acceso de tipo VPN al centro de datos.
Utilice el siguiente procedimiento para crear una o ms configuraciones de satlites.
440
VPN a gran escala
Creacin de una configuracin de satlite de GlobalProtect
Paso 1
Especifique los certificados necesarios para

1.
habilitar satlites con el fin de que participen en
la LSVPN.
Seleccione Red > GlobalProtect > Portales y seleccione la

configuracin de portal para la que quiera aadir una
configuracin de satlite y, a continuacin, seleccione la pestaa
Configuracin Satlite.
2.
En el campo CA raz de confianza, haga clic en Aadir y, a

continuacin, seleccione el certificado de CA utilizado para
emitir los certificados de servidor de la puerta de enlace. El
portal implementar los certificados de CA raz que aada aqu
a todos los satlites como parte de la configuracin para
habilitar el satlite con el fin de que pueda establecer una
conexin SSL con las puertas de enlace. Se recomienda usar el
mismo emisor para todas las puertas de enlace.
Nota
3.
Paso 2
Aada una configuracin de satlite.
Si el certificado de CA raz utilizado para emitir sus

certificados de servidor de la puerta de enlace no est en el
portal, haga clic en Importar para importarlo ahora.
Consulte Habilitacin de SSL entre componentes de
LSVPN de GlobalProtect para obtener informacin
detallada sobre cmo importar un certificado de CA raz.
Seleccione el certificado de CA raz que el portal utilizar para

emitir certificados para satlites tras autenticarlos
correctamente desde el men desplegable Emisor del
certificado. Si todava no ha importado un certificado de firma
ni generado un certificado de CA raz autofirmado, consulte
Habilitacin de SSL entre componentes de LSVPN de
GlobalProtect para obtener informacin detallada.
En la seccin Configuracin Satlite, haga clic en Aadir e

introduzca un Nombre para la configuracin.
La configuracin de satlite especifica los ajustes

de configuracin de LSVPN de GlobalProtect Si pretende crear mltiples configuraciones, asegrese de que el
que debern implementarse en los satlites que nombre que defina para cada una sea suficientemente descriptivo
para distinguirlas.
se conecten. Debe definir al menos una
configuracin de satlite.
VPN a gran escala
441
Creacin de una configuracin de satlite de GlobalProtect (Continuacin)
Paso 3
Especifique en qu satlites desea implementar Especifique los criterios de coincidencia para la configuracin de
satlite de la manera siguiente:
esta configuracin. Hay dos formas de
especificar qu satlites recibirn la
Para restringir esta configuracin a dispositivos satlite con
configuracin: por nombre de usuario/grupo
nmeros de serie especficos, seleccione la pestaa Dispositivos,
de inscripcin y/o mediante el nmero de serie
haga clic en Aadir e introduzca un nmero de serie (no necesita
de los dispositivos satlite.
introducir el nombre de host de satlite; se aadir
automticamente cuando el satlite se conecte). Repita este paso
El portal utiliza los ajustes Usuario de
para cada satlite que quiera que reciba esta configuracin.
inscripcin/Grupo de usuarios y/o los
nmeros de serie de Dispositivos para hacer
Seleccione la pestaa Usuario de inscripcin/Grupo de
coincidir un satlite con una configuracin. Por
usuarios, haga clic en Aadir y, a continuacin, seleccione el
lo tanto, si tiene mltiples configuraciones,
usuario o grupo que quiera que reciba esta configuracin. Los
asegrese de ordenarlas correctamente. En
satlites que no coinciden en el nmero de serie debern
cuanto el portal encuentre una coincidencia,
autenticarse como un usuario especificado aqu (bien como un
distribuir la configuracin. As, las
usuario individual, bien como un miembro de grupo).
configuraciones ms especficas debern
preceder a las ms generales. Consulte el Paso 6 Nota Antes de poder restringir la configuracin a grupos
especficos, debe asignar a los usuarios a grupos, como se
las instrucciones sobre cmo ordenar la lista de
describe en Asignacin de usuarios a grupos.
configuraciones de satlites.
Paso 4
Nota
Paso 5
Especifique las puertas de enlace con las que los 1.

satlites con esta configuracin podrn
2.
establecer tneles de VPN.
Las rutas publicadas por la puerta de enlace se
instalan en el satlite como rutas estticas. La
medida para la ruta esttica es 10 veces la
prioridad de enrutamiento. Si tiene ms de una 3.
puerta de enlace, asegrese tambin de
establecer la prioridad de enrutamiento para
garantizar que las rutas anunciadas por puertas
de enlace de reserva tienen medidas ms altas en
comparacin con las mismas rutas anunciadas
4.
por puertas de enlace principales. Por ejemplo, si
establece la prioridad de enrutamiento para la
puerta de enlace principal y la puerta de enlace
de reserva como 1 y 10 respectivamente, el
satlite utilizar 10 como medida para la puerta
de enlace principal y 100 como medida para la
puerta de enlace de reserva.
Guarde la configuracin de satlite.
En la pestaa Puertas de enlace, haga clic en Aadir.

Introduzca un Nombre descriptivo para la puerta de enlace. El
nombre que introduzca aqu debera coincidir con el nombre
que defini al configurar la puerta de enlace y debera ser lo
suficientemente descriptivo para identificar la ubicacin de la
puerta de enlace.
Introduzca el FQDN o la direccin IP de la interfaz donde est
configurada la puerta de enlace en el campo Puertas de enlace.
La direccin que especifique debe coincidir exactamente con el
nombre comn (CN) en el certificado del servidor de la puerta
de enlace.
(Opcional) Si est aadiendo dos o ms puertas de enlace a la
configuracin, la Prioridad del enrutador ayuda al satlite a
seleccionar la puerta de enlace preferida. Introduzca un valor de
entre 1 y 25; cuanto menor sea el nmero, mayor ser la
prioridad (es decir, la puerta de enlace a la que se conectar el
satlite si todas las puertas de enlace estn disponibles). El
satlite multiplicar la prioridad de enrutamiento por 10 para
determinar la medida de enrutamiento.
1.
Haga clic en ACEPTAR para guardar la configuracin de satlite.
2.
Si quiere aadir otra configuracin de satlite, repita del Paso 2

al Paso 5.
Paso 6
Prepare las configuraciones de satlites para que Para subir una configuracin de satlite en la lista de
se implemente la configuracin correcta en cada
configuraciones, seleccinela y haga clic en Mover hacia arriba.
satlite.
Para bajar una configuracin de satlite en la lista de
configuraciones, seleccinela y haga clic en Mover hacia abajo.
Paso 7
Guarde la configuracin del portal.
442
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el

cuadro de dilogo Portal de GlobalProtect.
2.
VPN a gran escala

Para participar en la LSVPN, los dispositivos satlite necesitan una cantidad mnima de configuracin. Ya que
la configuracin exigida es mnima, puede preconfigurar los dispositivos antes de enviarlos a sus sucursales para
su instalacin.
Preparacin del dispositivo satlite para unirse a la LSVPN de GlobalProtect
Paso 1
Paso 2
Configure la interfaz de tnel lgica para 1.

el tnel que deber utilizarse para
2.
establecer tneles de VPN con las puertas
de enlace de GlobalProtect.
3.
No se requieren direcciones IP en la
interfaz de tnel a menos que tenga la
intencin de utilizar el enrutamiento
dinmico. Sin embargo, asignar una
direccin IP a la interfaz de tnel puede
4.
resultar til para solucionar problemas de
conexin.
5.
Nota
Esta es la interfaz fsica que el satlite utilizar para conectarse al

portal y la puerta de enlace. Esta interfaz debe estar en una zona que
permita el acceso fuera de la red fiable local. La prctica
recomendada es crear una zona especfica para conexiones de VPN
con el fin de lograr visibilidad y control sobre el trfico destinado a
las puertas de enlace corporativas.
6.
VPN a gran escala

numrico, como .2.
En la pestaa Configuracin, ample el men desplegable Zona
de seguridad y seleccione una zona existente o cree una zona
separada para el trfico de tnel de VPN haciendo clic en Nueva
zona y definiendo un Nombre para la nueva zona (por ejemplo,
lsvpnsat).
predeterminado.
(Opcional) Si quiere asignar una direccin IP a la interfaz de
tnel, seleccione la pestaa IPv4, haga clic en Aadir en la
asignarlas a la interfaz, por ejemplo: 2.2.2.11/24.
Aceptar.
443
Preparacin del dispositivo satlite para unirse a la LSVPN de GlobalProtect (Continuacin)
Paso 3
1.
Si gener el certificado de servidor del
portal mediante una CA raz que no es de
confianza para los satlites (por ejemplo,
si utiliz certificados autofirmados),
importe el certificado de CA raz utilizado
para emitir el certificado de servidor del
portal.
El certificado de CA raz es obligatorio
para habilitar el dispositivo satlite con el
fin de que establezca la conexin inicial
con el portal para obtener la
configuracin de LSVPN.
Descargue el certificado de CA que se utiliz para generar los

certificados de servidor del portal. Si est utilizando certificados
autofirmados, exporte el certificado de CA raz desde el portal
de la manera siguiente:
Certificados > Certificados de dispositivos.
b. Seleccione el certificado de CA y haga clic en Exportar.
c. Seleccione Certificado codificado en Base64 (PEM) en la
lista desplegable Formato de archivo y haga clic en ACEPTAR
para descargar el certificado. (No necesita exportar la clave
privada.)
2.
Importe el certificado de CA raz que acaba de exportar en cada

satlite de la manera siguiente.
Importar.
en Aceptar.
Paso 4
444
Realice la configuracin de tnel de IPSec. 1.
Seleccione Red > Tneles de IPSec y haga clic en Aadir.
2.
En la pestaa General, introduzca un Nombre para la

configuracin de IPSec.
3.
Seleccione la Interfaz de tnel que cre para el satlite.
4.
Seleccione Satlite de GlobalProtect como el Tipo.
5.
Introduzca la direccin IP o el FQDN del portal como la

Direccin IP del portal.
6.
Seleccione la Interfaz de capa 3 que configur para el satlite.
7.
Seleccione la Direccin IP local que debe utilizarse en la interfaz

seleccionada.
VPN a gran escala
Preparacin del dispositivo satlite para unirse a la LSVPN de GlobalProtect (Continuacin)
Paso 5
Paso 6
Paso 7
1.
Para permitir que el satlite enve rutas a la puerta de enlace, en

la pestaa Avanzado, seleccione Publicar todas las rutas
estticas y conectadas a la puerta de enlace.
Enviar rutas a la puerta de enlace permite 2.

el trfico de las subredes locales al satlite
a travs de la puerta de enlace. Sin
embargo, la puerta de enlace tambin
debe configurarse para aceptar las rutas.
(Opcional) Si solamente desea enviar rutas para subredes

especficas en lugar de a todas las rutas, haga clic en Aadir en
la seccin Subred y especifique qu rutas de subredes deben
publicarse.
Guarde la configuracin de satlite.
1.
Haga clic en ACEPTAR para guardar la configuracin de tneles

de IPSec.
2.
(Opcional) Configure el satlite para

publicar rutas locales en la puerta de
enlace.
Si se le pide, proporcione las credenciales 1.

para permitir que el satlite se autentique
en el portal.
Seleccione Red > Tneles de IPSec y haga clic en el enlace IP de

puerta de enlace en la columna Estado de la configuracin de
tnel que cre para la LSVPN.
Este paso solamente es obligatorio si el 2.

portal no ha podido encontrar un nmero
de serie coincidente en su configuracin o
si el nmero de serie no ha funcionado.
En este caso, el satlite no podr
establecer el tnel con las puertas de
enlace.
Haga clic en el enlace introducir credenciales del campo

Estado del portal e introduzca el nombre de usuario y la
VPN a gran escala
contrasea necesarios para autenticar el satlite en el portal.

Despus de que el satlite se autentique correctamente en el
portal, recibir su certificado firmado y su configuracin, que
deber utilizar para conectarse a las puertas de enlace. Debera
ver cmo se establece el tnel y cmo cambia el Estado a Activo.
445

Despus de configurar el portal, las puertas de enlace y los dispositivos satlite, verifique que los satlites pueden
conectarse al portal y la puerta de enlace y establecer tneles de VPN con las puertas de enlace.
Paso 1
Verifique la conectividad del satlite con

el portal.
Desde el cortafuegos que aloje el portal, verifique que los satlites se

estn conectando correctamente seleccionando Red > GlobalProtect >
Portales y haciendo clic en Informacin de satlite en la columna
Informacin de la entrada de configuracin del portal.
Paso 1
Verifique la conectividad del satlite con

las puertas de enlace.
En cada cortafuegos que aloje una puerta de enlace, verifique que los
satlites pueden establecer tneles de VPN seleccionando Red >
GlobalProtect > Puertas de enlace y haciendo clic en Informacin
de satlite en la columna Informacin de la entrada de
configuracin de la puerta de enlace. Los satlites que hayan
establecido tneles correctamente con la puerta de enlace aparecern
en la pestaa Activar satlites.
Paso 1
Verifique el estado del tnel de LSVPN

en el satlite.
En cada cortafuegos que aloje un satlite, verifique el estado del tnel

seleccionando Red > Tneles de IPSec y verifique que tiene un
estado activo, lo cual est indicado por un icono verde.
446
VPN a gran escala

Las siguientes secciones proporcionan instrucciones detalladas para configurar algunas implementaciones
comunes de LSVPN de GlobalProtect:
Configuracin bsica de LSVPN con rutas estticas
Configuracin avanzada de LSVPN con enrutamiento dinmico
VPN a gran escala
447

Esta configuracin rpida muestra la forma ms rpida de empezar a utilizar la LSVPN. En este ejemplo, un
nico cortafuegos de la ubicacin de la sede de la empresa se configura como portal y como puerta de enlace.
Los dispositivos satlite pueden implementarse rpida y fcilmente con una configuracin mnima para una
escalabilidad optimizada.
El siguiente flujo de trabajo muestra los pasos para establecer esta configuracin bsica:
Configuracin rpida: bsica de LSVPN con rutas estticas
Paso 1
En este ejemplo, la interfaz de capa 3 del portal/puerta de enlace

requiere la siguiente configuracin:
Zona de seguridad: lsvpn-unt
IPv4: 203.0.113.11/24
Paso 2
En los cortafuegos donde se alojen

puertas de enlace de GlobalProtect,
configure la interfaz de tnel lgica que
finalizar los tneles de VPN establecidos
por los satlites de GlobalProtect.
En este ejemplo, la interfaz de tnel del portal/puerta de enlace

requiere la siguiente configuracin:
Interfaz: tnel.1
Zona de seguridad: lsvpn-tun
Nota
Para permitir la visibilidad de los usuarios

y grupos que se conecten a travs de la
VPN, habilite User-ID en la zona donde
finalicen los tneles de VPN.
Paso 3
Cree la regla de poltica de seguridad para habilitar el flujo de trfico entre la zona de la VPN donde finaliza el
tnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas (L3-Trust).
448
VPN a gran escala
Configuracin rpida: bsica de LSVPN con rutas estticas (Continuacin)
Paso 4
Emita un certificado de servidor

autofirmado para el portal/puerta de
enlace.
El nombre de asunto del certificado debe
coincidir con el FQDN o la direccin IP
de la interfaz de capa 3 que cree para el
portal/puerta de enlace.
1.
En el cortafuegos que aloja el portal, cree el certificado de CA

raz para la emisin de certificados autofirmados para los
componentes de GlobalProtect. En este ejemplo, el certificado
de CA raz, lsvpn-CA, se utilizar para emitir el certificado de
servidor para el portal/puerta de enlace. Adems, el portal
utilizar este certificado de CA raz para firmar las CSR de los
dispositivos satlite.
2.
Genere certificados de servidor para el portal y las puertas de

enlace de GlobalProtect.
Como el portal y la puerta de enlace estarn en la misma interfaz
en este ejemplo, pueden compartir un certificado de servidor.
En este ejemplo, el certificado de servidor se denomina
lsvpnserver.
Paso 5
Cree un perfil de certificado.
Paso 6
Configure un perfil de autenticacin para 1.

que lo utilice el portal si el nmero de
2.
serie del satlite no est disponible.
Paso 7
En este ejemplo, el perfil del certificado, lsvpn-profile, hace referencia

al certificado de CA raz lsvpn-CA. La puerta de enlace utilizar este
perfil de certificado para autenticar satlites que intenten establecer
tneles de VPN.
Cree un perfil de servidor en el portal.
Cree un perfil de autenticacin. En este ejemplo, el perfil
lsvpn-sat se utiliza para autenticar satlites.
Configuracin de la puerta de enlace para Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en
LSVPN.
Aadir para aadir una configuracin. Este ejemplo requiere la
siguiente configuracin de puerta de enlace:
Direccin IP: 203.0.113.11/24
Certificado de servidor: lsvpnserver
Perfil del certificado: lsvpn-profile
DNS principal/DNS secundario: 4.2.2.1/4.2.2.2
Grupo de IP: 2.2.2.111-2.2.2.120
Acceder a ruta: 10.2.10.0/24
Paso 8
Configuracin del portal para LSVPN.
Seleccione Red > GlobalProtect > Portales y haga clic en Aadir

para aadir una configuracin. Este ejemplo requiere la siguiente
configuracin de portal:
Direccin IP: 203.0.113.11/24
Certificado de servidor: lsvpnserver
Perfil de autenticacin: lsvpn-sat
VPN a gran escala
449
Configuracin rpida: bsica de LSVPN con rutas estticas (Continuacin)
Paso 9
Creacin de una configuracin de satlite En la pestaa Configuracin Satlite de la configuracin del portal,
de GlobalProtect.
haga clic en Aadir para aadir una configuracin de satlite y una
CA raz de confianza y especifique la CA que utilizar el portal para
emitir certificados para los satlites. En este ejemplo, los ajustes
obligatorios son los siguientes:
Puerta de enlace: 203.0.113.11
Emisor del certificado: lsvpn-CA
CA raz de confianza: lsvpn-CA
Paso 10 Preparacin del dispositivo satlite para

unirse a la LSVPN.
La configuracin de satlite de este ejemplo requiere los siguientes

ajustes:
Configuracin de interfaz
Interfaz de capa 3: ethernet1/1, 203.0.113.13/24

Zona: lsvpnsat
Certificado de CA raz del portal
lsvpn-CA
Configuracin de tnel de IPSec

Direccin IP del portal: 203.0.113.11
Publicar todas las rutas estticas y conectadas a puerta de
enlace: habilitado
450
VPN a gran escala
Configuracin avanzada de LSVPN con enrutamiento

dinmico
En implementaciones de LSVPN de mayor tamao con varias puertas de enlace y varios satlites, invertir algo
ms de tiempo en la configuracin inicial para establecer el enrutamiento dinmico simplificar el
mantenimiento de las configuraciones de puertas de enlace, ya que las rutas de acceso se actualizarn
dinmicamente. La siguiente configuracin de ejemplo muestra cmo ampliar la configuracin bsica de
LSVPN para configurar OSPF como el protocolo de enrutamiento dinmico.
El establecimiento de una LSVPN para utilizar OSPF para el enrutamiento dinmico requiere los siguientes
pasos adicionales en las puertas de enlace y los satlites:
Asignacin manual de direcciones IP a interfaces de tnel en todas las puertas de enlace y todos los satlites.
Configuracin de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todas las puertas de enlace
y todos los satlites. Adems, como parte de la configuracin de OSPF de cada puerta de enlace, debe definir
manualmente la direccin IP de tnel de cada satlite como un vecino OSPF. Del mismo modo, en cada
satlite, debe definir manualmente la direccin IP de tnel de cada puerta de enlace como un vecino OSPF.
Aunque el enrutamiento dinmico requiere una configuracin adicional durante la configuracin inicial de la
LSVPN, reduce las tareas de mantenimiento asociadas a la actualizacin de las rutas a medida que se producen
cambios de topologa en su red.
La siguiente ilustracin muestra una configuracin de enrutamiento dinmico de LSVPN. Este ejemplo muestra
cmo configurar OSPF como el protocolo de enrutamiento dinmico para la VPN.
Para realizar una configuracin bsica de una LSVPN, siga los pasos de Configuracin bsica de LSVPN con
rutas estticas. A continuacin, podr realizar los pasos del siguiente flujo de trabajo para ampliar la
configuracin con el fin de utilizar el enrutamiento dinmico en lugar de rutas estticas.
VPN a gran escala
451
Configuracin rpida: LSVPN con enrutamiento dinmico
Paso 1
Aada una direccin IP a la

configuracin de interfaz de tnel en
cada puerta de enlace y cada satlite.
Importante:
Realice los siguientes pasos en cada puerta de enlace y cada satlite:

1. Seleccione Red > Interfaces > Tnel y seleccione la
configuracin de tnel que cre para la LSVPN para abrir el
cuadro de dilogo Interfaz de tnel.
Las direcciones IP que asigne a las

interfaces de tnel de satlite deben estar
en subredes separadas de las direcciones 2.
IP que asigne a las interfaces de tnel de
puerta de enlace. Adems, las direcciones
IP que asigne a satlites no deben
solaparse con el grupo de IP designado 3.
definido en la configuracin de puerta de
enlace o los dispositivos no podrn
establecer adyacencias.
Paso 2
452
Configure el protocolo de enrutamiento

dinmico en la puerta de enlace.
Si todava no ha creado la interfaz de tnel, consulte el Paso 2 en

Configuracin rpida: bsica de LSVPN con rutas estticas.
En la pestaa IPv4, haga clic en Aadir y, a continuacin,
introduzca una direccin IP y una mscara de subred. Por
ejemplo, para aadir una direccin IP para la interfaz de tnel de
puerta de enlace, debera introducir 2.2.2.100/24.
Para configurar OSPF en la puerta de enlace:

1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual asociado a sus interfaces de VPN.
2.
En la pestaa reas, haga clic en Aadir para crear el rea

troncal, o bien, si ya est configurada, haga clic en el ID de rea
para editarlo.
3.
Si est creando una nueva rea, introduzca un ID de rea en la

pestaa Tipo.
4.
En la pestaa Interfaz, haga clic en Aadir y seleccione la

Interfaz de tnel que cre para la LSVPN.
5.
Seleccione p2mp como Tipo de enlace.
6.
Haga clic en Aadir en la seccin Vecinos e introduzca la

direccin IP de la interfaz de tnel de cada dispositivo satlite,
por ejemplo, 2.2.2.111.
7.
Haga clic en ACEPTAR dos veces para guardar la configuracin

del enrutador virtual y, a continuacin, haga clic en Confirmar
para confirmar los cambios en la puerta de enlace.
8.
Repita este paso cada vez que aada un nuevo satlite a la

LSVPN.
VPN a gran escala
Configuracin rpida: LSVPN con enrutamiento dinmico (Continuacin)
Paso 3
Configure el protocolo de enrutamiento

dinmico en el satlite.
VPN a gran escala
Para configurar OSPF en el satlite:

1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual asociado a sus interfaces de VPN.
2.
En la pestaa reas, haga clic en Aadir para crear el rea

troncal, o bien, si ya est configurada, haga clic en el ID de rea
para editarlo.
3.
Si est creando una nueva rea, introduzca un ID de rea en la

pestaa Tipo.
4.
En la pestaa Interfaz, haga clic en Aadir y seleccione la

Interfaz de tnel que cre para la LSVPN.
5.
Seleccione p2mp como Tipo de enlace.
6.
Haga clic en Aadir en la seccin Vecinos e introduzca la

direccin IP de la interfaz de tnel de cada puerta de enlace de
GlobalProtect, por ejemplo, 2.2.2.100.
7.
Haga clic en ACEPTAR dos veces para guardar la configuracin

del enrutador virtual y, a continuacin, haga clic en Confirmar
para confirmar los cambios en la puerta de enlace.
8.
Repita este paso cada vez que aada una nueva puerta de enlace.
453
Configuracin rpida: LSVPN con enrutamiento dinmico (Continuacin)
Paso 4
Verifique que las puertas de enlace y los satlites pueden formar adyacencias de enrutador.
En cada satlite y cada puerta de enlace, confirme que se han formado adyacencias de peer y que se han creado
entradas de tabla de rutas para los peers (es decir, que los satlites tienen rutas hacia las puertas de enlace y las
puertas de enlace tienen rutas hacia los satlites). Seleccione Red > Enrutador virtual y haga clic en el enlace
Ms estadsticas de tiempo de ejecucin para el enrutador virtual que est utilizando para la LSVPN. En la
pestaa Enrutamiento, verifique que el peer de la LSVPN tiene una ruta.
En la pestaa OSPF > Interfaz, verifique que el Tipo es p2mp.
En la pestaa OSPF > Vecino, verifique que los cortafuegos que alojan a sus puertas de enlace han establecido
adyacencias de enrutador con los cortafuegos que alojan a sus satlites y viceversa. Verifique tambin que el
Estado es Completo, lo que indica que se han establecido adyacencias completas.
454
VPN a gran escala
Redes
Todos los cortafuegos de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prcticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podr elegir entre una implementacin de interfaz de cable virtual, capa 2
o capa 3. Adems, para permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de
implementacin. Si desea informacin de implementacin ms detallada, consulte Designing Networks with Palo
Alto Networks cortafuegos (en ingls); si desea informacin sobre la distribucin de rutas, consulte Understanding
Route Redistribution and Filtering (en ingls).
Los siguientes temas describen cmo integrar cortafuegos de prxima generacin de Palo Alto Networks en
su red.
Implementaciones de cortafuegos
Configuracin de un enrutador virtual
Configuracin de rutas estticas
Configuracin de RIP
Configuracin de OSPF
Configuracin de BGP
Integracin en la red
455
Redes
Implementaciones de modo tap

En una implementacin de Virtual Wire, el cortafuegos se instala de manera transparente en un segmento de
red uniendo dos puertos y nicamente debera utilizarse cuando no se necesite conmutacin o enrutamiento.
Una implementacin de Virtual Wire permite las siguientes mejoras:
Simplifica la instalacin y la configuracin.
No requiere ningn cambio de configuracin en los dispositivos de red adyacentes o que se encuentren
alrededor.
El default-vwire que se entrega como configuracin predeterminada de fbrica, conecta los puertos Ethernet
1 y 2 y permite todo el trfico sin etiquetar. No obstante, puede utilizar un Virtual Wire para conectar dos
puertos cualquiera y configurarlo para que bloquee o permita el trfico basndose en las etiquetas de la LAN
virtual (VLAN); la etiqueta 0 de la VLAN indica el trfico sin etiquetar. Tambin puede crear varias
subinterfaces, aadirlas a diferentes zonas y, a continuacin, clasificar el trfico de acuerdo con una etiqueta de
la VLAN, o una combinacin de una etiqueta de la VLAN con clasificadores IP (direccin, intervalo o subred)
para aplicar un control detallado de las polticas para etiquetas especficas de la VLAN o para etiquetas de la
VLAN de una direccin IP de origen, intervalo o subred en concreto.
Ilustracin: Implementacin de cable virtual
No se ha realizado
enrutamiento ni cambio
Red de usuario
Internet
Subinterfaces de Virtual Wire

Las subinterfaces de Virtual Wire ofrecen flexibilidad a la hora de aplicar distintas polticas cuando necesita
gestionar el trfico de varias redes de clientes. Le permite separar y clasificar el trfico en diferentes zonas (las
zonas pueden pertenecer a sistemas virtuales separados, si es necesario) utilizando los siguientes criterios:
456
Redes
Etiquetas de la VLAN: El ejemplo de Ilustracin: Implementacin de Virtual Wire con subinterfaces

(nicamente etiquetas de la VLAN) muestra un proveedor de servicios de Internet (ISP) utilizando
subinterfaces de Virtual Wire con etiquetas de la VLAN para separar el trfico para dos clientes diferentes.
Etiquetas de la VLAN junto con clasificadores IP (direccin, intervalo o subred): El siguiente

ejemplo muestra un proveedor de servicios de Internet (ISP) con dos sistemas virtuales separados en un
cortafuegos que gestiona el trfico de dos clientes diferentes. En cada sistema virtual, el ejemplo ilustra cmo
se utilizan las subinterfaces de Virtual Wire con etiquetas de la VLAN y clasificadores IP para clasificar el
trfico en zonas separadas y aplicar la poltica relevante para los clientes de cada red.
Flujo de trabajo de subinterfaces de Virtual Wire
Paso 1
Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
Paso 2
Cree subinterfaces en el Virtual Wire principal para separar el trfico del cliente A del cliente B. Asegrese de
que las etiquetas de la VLAN definidas en cada par de subinterfaces configuradas como Virtual Wire sean
idnticas. Esto es esencial, porque un Virtual Wire no conmuta etiquetas de la VLAN.
Paso 3
Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria si desea
aadir subinterfaces adicionales con clasificadores IP para gestionar aun ms el trfico de un cliente basndose
en la combinacin de etiquetas de la VLAN y una direccin IP de origen, intervalo o subred en concreto.
Tambin puede utilizar clasificadores IP para gestionar el trfico sin etiquetar. Para ello, debe crear una
subinterfaz con la etiqueta 0 de la VLAN y definir subinterfaces con clasificadores IP para gestionar el trfico
sin etiquetar mediante clasificadores IP.
La clasificacin de IP solamente puede utilizarse en las subinterfaces asociadas con un lado del
Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire deben utilizar
la misma etiqueta de la VLAN, pero no deben incluir un clasificador IP.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (nicamente etiquetas de la VLAN)

Cable virtual con subinterfaces
Etiquetas permitidas: 1-99; 101-199; 201-4094
Cliente A
VLAN100
Cable virtual
Ethernet 1/1 (entrada)
Cable virtual
Ethernet 1/2 (salida)
Internet
Cliente B
VLAN200
Cliente A en VLAN100
Subinterfaz e1/1.1
Zona 1
Cliente A en VLAN100
Subinterfaz e1/2.1
Zona 2
Cliente B en VLAN200
Subinterfaz e1/1.2
Zona 3
Cliente B en VLAN200
Subinterfaz e1/2.2
Zona 4
Ilustracin: Implementacin de Virtual Wire con subinterfaces (nicamente etiquetas de la VLAN) muestra al
cliente A y al cliente B conectados al cortafuegos mediante una interfaz fsica, Ethernet 1/1, configurada como
Virtual Wire, que es la interfaz de entrada. Una segunda interfaz fsica, Ethernet 1/2, tambin forma parte del
Virtual Wire y se utiliza como la interfaz de salida que proporciona acceso a Internet. Para el cliente A, tambin
tiene las subinterfaces Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el cliente B, tiene las subinterfaces
457
Redes
Ethernet 1/1.2 (entrada) y Ethernet 1/2.2 (salida). Cuando configure las subinterfaces, debe asignar la etiqueta
de la VLAN y la zona correctas para aplicar las polticas a cada uno de los clientes. En este ejemplo, las polticas
del cliente A se crean entre la zona 1 y la zona 2, y las polticas del cliente B se crean entre la zona 3 y la zona 4.
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
ejemplo, una subinterfaz simple coincide con la etiqueta de la VLAN en el paquete entrante, por lo que se
seleccionar esa subinterfaz. Las polticas definidas para la zona se evalan y aplican antes de que el paquete
salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
muestra al cliente A y al cliente B conectados a un cortafuegos fsico que tiene dos sistemas virtuales (vsys),
adems del sistema virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente
que se gestiona por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de
seguridad que se gestionan de manera independiente.
Ilustracin: Implementacin de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
Subinterfaz e1/1.1 y e1/2.1 etiquetada para VLAN 100
e1/1.1 en la zona 3 y e1/2.1 en la zona 4
para la subred IP 192.1.0.0/16 e1/1.2
en la zona 5 y e1/2.2 en la zona 6
VLAN 100 del

cliente A
Subinterfaz e1/1.3 de entrada (ingress) y e1/2.3 etiquetada

para VLAN 100 para la subred IP 192.2.0.0/16 e1/1.3
en la zona 7 y e1/2.3 en la zona 8
Zona 1
e1/1
Vsys2
VLAN 200 del

cliente B
Vsys
Zona 2
e1/2
Internet
Vsys3

e1/1.1 en la zona 9 y e1/2.1 en la zona 10
Vsys1 est configurado para utilizar las interfaces fsicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso a
Internet. Este Virtual Wire est configurado para aceptar todo el trfico etiquetado y sin etiquetar a excepcin
de las etiquetas 100 y 200 de la VLAN que estn asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de vwire con las etiquetas de la VLAN y las zonas adecuadas para aplicar las medidas incluidas en
las polticas.
458
Redes
Cliente
Vsys
Subinterfaces
de Vwire
Zona
Etiqueta de la Clasificador IP
VLAN
e1/1.1 (entrada)
Zona 3
100
e1/2.1 (salida)
Zona 4
100
e1/1.2 (entrada)
Zona 5
100
Subred IP
e1/2.2 (salida)
Zona 6
100
192.1.0.0/16
e1/1.3 (entrada)
Zona 7
100
Subred IP
e1/2.3 (salida)
Zona 8
100
192.2.0.0/16
e1/1.4 (entrada)
Zona 9
200
Ninguna
e1/2.4 (salida)
Zona 10
200
2
2
Ninguna
Cuando el trfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deber coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
caso, para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta de la VLAN. De este modo, el
cortafuegos primero acota la clasificacin a una subinterfaz basndose en la direccin IP de origen del paquete.
Las polticas definidas para la zona se evalan y aplican antes de que el paquete salga de la subinterfaz
correspondiente.
Para el trfico de ruta de retorno, el cortafuegos compara la direccin IP de destino del modo definido en el
clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el trfico a travs
de la subinterfaz precisa.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutar el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn.
Seleccione esta opcin cuando necesite poder alternar.
Ilustracin: Implementacin de capa 2
Cambio entre
dos redes
Red de usuario
Internet
459
Redes
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se debe asignar una
direccin IP a cada interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando
necesite enrutamiento.
Ilustracin: Implementacin de capa 3
Enrutamiento entre
dos redes
10.1.2.1/24
10.1.1.1/24
Red de usuario
Internet
Adems, dado que el cortafuegos debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Consulte Configuracin de un enrutador virtual.
Compatibilidad con protocolo punto a punto sobre Ethernet

Puede configurar el cortafuegos para que sea un punto de finalizacin del protocolo punto a punto sobre
Ethernet (PPPoE) con el fin de permitir la conectividad en un entorno de lnea de suscripcin digital (DSL) en
el que existe un mdem DSL, pero ningn otro dispositivo PPPoE que finalice la conexin.
Puede seleccionar la opcin PPPoE y configurar los parmetros asociados si se define una interfaz como
interfaz de capa 3.
PPPoE no es compatible en modo HA activo/activo.
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y recibir una direccin
IP asignada dinmicamente. El cortafuegos tambin permite propagar los ajustes recibidos mediante la interfaz
del cliente DHCP en un servidor DHCP que funciona mediante cortafuegos. Esta opcin se suele utilizar para
propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las mquinas cliente de la
red que estn protegidas por el cortafuegos.
El cliente DHCP no es compatible en modo HA activo/activo.
460
Redes
Implementaciones de modo tap

Un tap de red es un dispositivo que proporciona acceso al flujo de datos de un equipo de la red. La
implementacin de modo tap permite supervisar de forma pasiva los flujos de datos de una red mediante un
conmutador SPAN o un puerto espejo.
El puerto SPAN o de espejo permite copiar el trfico de otros puertos en el conmutador. Al configurar una
interfaz del cortafuegos como interfaz de modo tap y conectarla con un puerto SPAN de conmutacin, este
puerto proporciona al cortafuegos un reflejo del trfico. De esta forma es posible visualizar la aplicacin en la
red sin necesidad de estar en el flujo del trfico de red.
En una implementacin de modo tap, el cortafuegos no puede realizar ninguna accin como
bloquear el trfico o aplicar controles QoS.
461
Redes

El cortafuegos utiliza enrutadores virtuales para obtener rutas a otras subredes definiendo manualmente una
ruta (rutas estticas) o mediante la participacin en protocolos de enrutamiento de capa 3 (rutas dinmicas). Las
mejores rutas obtenidas a travs de estos mtodos se utilizan para cumplimentar la tabla de rutas IP del
cortafuegos. Cuando un paquete est destinado a una subred diferente, el enrutador virtual obtendr la mejor
ruta a partir de esta tabla de rutas IP y reenviar el paquete al siguiente enrutador de salto definido en la tabla.
Las interfaces Ethernet y VLAN definidas en el cortafuegos reciben y reenvan el trfico de capa 3. La zona de
destino se deriva de la interfaz de salida basada en los criterios de reenvo y se consultas las normativas para
identificar las polticas de seguridad aplicadas. Adems de enrutar a otros dispositivos de red, los enrutadores
virtuales pueden enrutar a otros enrutadores virtuales en el mismo cortafuegos si se especifica un siguiente salto
que seale a otro enrutador virtual.
Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinmico (BGP, OSPF o
RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales, cada uno de los cuales
mantendr un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitir
configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
Todas las interfaces de capa 3, de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un
enrutador virtual. Si bien cada interfaz nicamente puede pertenecer a un enrutador virtual, se pueden
configurar varios protocolos de enrutamiento y rutas estticas para un enrutador virtual. Independientemente
de las rutas estticas y los protocolos de enrutamiento dinmico configurados para un enrutador virtual, es
necesario contar con una configuracin general comn. El cortafuegos utiliza la conmutacin de Ethernet para
leer otros dispositivos de la misma subred IP.
Los siguientes protocolos de enrutamiento de capa 3 son compatibles desde enrutadores virtuales:
RIP
OSPF
OSPFv3
BGP
Definicin de una configuracin general de enrutador virtual
Paso 1
Paso 2
462
Obtenga la informacin necesaria de su

administrador de red.
Interfaces que quiere enrutar
Cree el enrutador virtual y asgnele un

nombre.
1.
Seleccione Red > Enrutadores virtuales.
2.
Haga clic en Aadir e introduzca un nombre para el enrutador

virtual.
3.
Seleccione las interfaces que deben aplicarse al enrutador

virtual.
4.
Distancias administrativas para rutas estticas, internas de OSFP,

externas de OSPF, IBGP, EBGP y RIP
Redes
Definicin de una configuracin general de enrutador virtual (Continuacin)
Paso 3
Paso 4
Seleccione las interfaces que deben

aplicarse al enrutador virtual.
Establezca las distancias administrativas

para las rutas estticas y el enrutamiento
dinmico.
1.
Haga clic en Aadir en el cuadro Interfaces.
2.
Seleccione una interfaz ya definida en el men desplegable.
3.
Repita el paso 2 para todas las interfaces que quiera aadir al

enrutador virtual.
1.
Establezca las distancias administrativas segn sea necesario.

Esttico: Intervalo: 10-240, Valor predeterminado: 10
Interna de OSPF: Intervalo: 10-240, Valor
predeterminado: 30
Externa de OSPF: Intervalo: 10-240, Valor
predeterminado: 110
IBGP: Intervalo: 10-240, Valor predeterminado: 200
EBGP: Intervalo: 10-240, Valor predeterminado: 20
RIP: Intervalo: 10-240, Valor predeterminado: 120
Paso 5
Guarde la configuracin general del

enrutador virtual.
Paso 6
Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos en guardar sus cambios.
463
Redes

El siguiente procedimiento muestra cmo integrar el cortafuegos en la red mediante rutas estticas.
Paso 1
Configure una ruta predeterminada hacia

su enrutador de Internet.
1.
Seleccione Red > Enrutador virtual y, a continuacin, seleccione

el enlace predeterminado para abrir el cuadro de dilogo
Enrutador virtual.
2.
Seleccione la pestaa Rutas estticas y haga clic en Aadir.

Introduzca un Nombre para la ruta e introduzca la ruta en el
campo Destino (por ejemplo, 0.0.0.0/0).
3.
Seleccione el botn de opcin Direccin IP en el campo

Siguiente salto y, a continuacin, introduzca la direccin IP y la
mscara de red para su puerta de enlace de Internet (por ejemplo,
208.80.56.1).
Paso 2
Configure la interfaz externa (la interfaz

que se conecta a Internet).
4.
Haga clic en Aceptar dos veces para guardar la configuracin de

enrutador virtual.
1.
Seleccione Red > Interfaces y, a continuacin, seleccione la

interfaz que quiera configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu depende

de la topologa de su red, este ejemplo muestra los pasos para
Capa 3.
3.

predeterminado.
4.
5.
En la pestaa Configuracin, seleccione Nueva zona en el men

desplegable Zona de seguridad. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable y,
a continuacin, haga clic en Aceptar.
IPv4 y el botn de opcin Esttico. Haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red que

debe asignarse a la interfaz; por ejemplo, 208.80.56.100/24.
464
6.
Para que pueda hacer ping en la interfaz, seleccione Avanzada >

Otra informacin, ample el men desplegable Perfil de gestin
y seleccione Nuevo perfil de gestin. Introduzca un Nombre
para el perfil, seleccione Ping y, a continuacin, haga clic en
Aceptar.
7.
Redes
Configuracin de interfaces y zonas (Continuacin)
1.
Paso 3
Configure la interfaz que se conecta a su

red interna.
Nota
En este ejemplo, la interfaz se conecta a un

segmento de red que utiliza direcciones IP 2.
privadas. Dado que las direcciones IP
3.
privadas no se pueden enrutar
externamente, deber configurar NAT.
Consulte Configuracin de polticas de
NAT para obtener informacin detallada.
4.
Paso 4
Configure la interfaz que se conecta

a DMZ.
Seleccione Red > Interfaces y seleccione la interfaz que desee

configurar. En este ejemplo, estamos configurando Ethernet1/4
como la interfaz interna.
Fiable y, a continuacin, haga clic en Aceptar.
Seleccione el mismo enrutador virtual que utiliz en el Paso 2; en
este ejemplo, el predeterminado.
5.

IPv4 y el botn de opcin Esttico, haga clic en Aadir en la
6.

7.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa 3 en el men desplegable Tipo de interfaz. En

este ejemplo, estamos configurando Ethernet1/13 como la
interfaz de DMZ.
3.

Zona, defina un Nombre para una nueva zona, por ejemplo DMZ
y, a continuacin, haga clic en Aceptar.
4.
Seleccione el enrutador virtual que utiliz en el Paso 2; en este

ejemplo, el predeterminado.
5.

IPv4 y el botn de opcin Esttico, haga clic en Aadir en la

6.

7.
Paso 5
Guarde la configuracin de la interfaz.
Paso 6
Conecte los cables del cortafuegos.
Conecte cables directos desde las interfaces que ha configurado al

conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estn activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el

icono de la columna Estado de enlace es de color verde. Tambin
puede supervisar el estado de enlace desde el widget Interfaces en el
Panel.
465
Configuracin de RIP
Redes
Configuracin de RIP
RIP se ha diseado para redes IP de pequeo tamao y se basa en el recuento de saltos para determinar las rutas;
las mejores rutas tienen el menor nmero de saltos. RIP se basa en UDP y utiliza el puerto 520 para las
actualizaciones de rutas. Al limitar las rutas a un mximo de 15 saltos, el protocolo ayuda a evitar el desarrollo
de bucles de enrutamiento, adems de limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el
trfico no se enruta. RIP tambin puede tardar ms en converger que OSPF y otros protocolos de enrutamiento.
El cortafuegos admite RIP v2.
Configuracin de RIP
Paso 1
Configure los ajustes de configuracin Consulte Configuracin de un enrutador virtual para obtener
general de enrutador virtual.
Paso 2
Configure los ajustes de configuracin 1.

general de RIP.
2.
Paso 3
466
Configure interfaces para el

protocolo RIP.
Seleccione la pestaa RIP.

Seleccione la casilla de verificacin Habilitar para habilitar el
protocolo RIP.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer

ninguna ruta predeterminada a travs de RIP. Este es el ajuste
predeterminado recomendado.
4.
Cancele la seleccin de la casilla de verificacin Rechazar ruta por

defecto si desea permitir la redistribucin de rutas
predeterminadas a travs de RIP.
1.
Seleccione la pestaa secundaria Interfaces.
2.
Seleccione una interfaz del men desplegable en el cuadro de

configuracin Interfaz.
3.
Seleccione una interfaz ya definida en el men desplegable.
4.
Seleccione la casilla de verificacin Habilitar.
5.
Seleccione la casilla de verificacin Anunciar para anunciar una

ruta predeterminada a peers de RIP con el valor de medida
especificado.
6.
Opcionalmente, puede seleccionar un perfil del men desplegable

Perfil de autenticacin. Consulte el Paso 5 para obtener ms
detalles.
7.
En el men desplegable Modo, seleccione Normal, Pasivo o Enviar

nicamente.
8.
Redes
Configuracin de RIP
Configuracin de RIP (Continuacin)
Paso 4
Paso 5
Configure los temporizadores de RIP. 1.
(Opcional) Configure perfiles de

autenticacin.
Seleccione la pestaa secundaria Temporizadores.
2.
Introduzca un valor en el cuadro Segundos del intervalo (seg),

que define la duracin del intervalo del temporizador en segundos.
Esta duracin se utiliza para el resto de los campos de
temporizacin de RIP. Valor predeterminado: 1. Intervalo: 1 - 60.
3.
Introduzca un valor en el cuadro Intervalo de actualizaciones,

que define el nmero de intervalos entre los anuncios de
actualizacin de rutas. Valor predeterminado: 30.
Intervalo: 1 - 3600.
4.
Introduzca un valor en el cuadro Intervalo de eliminacin, que

define el nmero de intervalos entre el momento en el que vence la
ruta y su eliminacin. Valor predeterminado: 180.
Intervalo: 1 - 3600.
5.
Introduzca un valor en el cuadro Intervalos de vencimiento, que

define el nmero de intervalos entre el momento de la ltima
actualizacin de la ruta hasta su vencimiento. Valor
predeterminado: 120. Intervalo: 1 - 3600.
De manera predeterminada, el cortafuegos no utiliza autenticacin de

RIP para el intercambio entre vecinos de RIP. Opcionalmente, puede
configurar una autenticacin de RIP entre vecinos de RIP mediante una
contrasea simple o mediante la autenticacin MD5.
Autenticacin de contrasea simple de RIP
1. Seleccione la pestaa secundaria Perfiles de autenticacin.
2.
Haga clic en Aadir.
3.
Introduzca un nombre para el perfil de autenticacin para

autenticar los mensajes RIP.
4.
Seleccione Contrasea simple como Tipo de contrasea.
5.
Introduzca una contrasea simple y, a continuacin, confrmela.
Autenticacin MD5 de RIP

2.
Haga clic en Aadir.
3.

autenticar los mensajes RIP.
4.
Seleccione MD5 como Tipo de contrasea.
5.
Haga clic en Aadir.
6.
Introduzca una o ms entradas de contrasea, incluidos:

ID de clave, intervalo 0-255
Clave
7.
Opcionalmente, puede seleccionar el estado Preferido.
8.
Haga clic en ACEPTAR para especificar la clave que deber

utilizarse para autenticar el mensaje saliente.
9.
Vuelva a hacer clic en ACEPTAR en el cuadro de configuracin

Enrutador virtual - RIP - Perfil de autenticacin.
467
Redes
Open Shortest Path First (OSPF) es un protocolo de puerta de enlace interior (IGP) que suele utilizarse la
mayora de las veces para gestionar dinmicamente rutas de red en redes de empresas de gran tamao.
Determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las rutas
a otros enrutadores mediante anuncios de estado de enlaces (LSA). La informacin recopilada de los LSA se
utiliza para construir un mapa de topologa de la red. Este mapa de topologa se comparte entre los enrutadores
de la red y se utiliza para cumplimentar la tabla de rutas de IP con rutas disponibles.
Los cambios en la topologa de la red se detectan dinmicamente y se utilizan para generar un nuevo mapa de
topologa en cuestin de segundos. Se calcula un rbol con la ruta ms corta de cada ruta. Se utilizan las medidas
asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia, rendimiento de
red, disponibilidad de enlaces, etc. Adems, estas medidas pueden configurarse de manera esttica para dirigir el
resultado del mapa de topologa de OSPF.
La implementacin de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
RFC 2328 (para IPv4)
RFC 5340 (para IPv6)
Los siguientes temas ofrecen ms informacin sobre el OSPF y los procedimientos para configurar OSPF en el
cortafuegos:
Conceptos de OSPF
Configuracin de OSPFv3
Configuracin del reinicio correcto de OSPF
Confirmacin del funcionamiento de OSPF
Consulte tambin How to Configure OSPF Tech Note (en ingls).
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que deber comprender para configurar el cortafuegos
con el fin de que participe en la red de OSPF:
OSPFv3
Vecinos OSPF
reas OSPF
Tipos de enrutadores de OSPF
468
Redes
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como tal,
permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuacin se indican algunas de las
adiciones y los cambios en OSPFv3:
Compatibilidad con varias instancias por enlace: Con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a travs de un nico enlace. Esto se consigue al asignar un nmero de ID de instancia de
OSPFv3. Una interfaz que est asignada a una ID de instancia descartar paquetes que contengan un ID
diferente.
Procesamiento de protocolos por enlace: OSPFv3 funciona segn enlace en lugar de hacerlo segn
subred IP como en OSPFv2.
Cambios en las direcciones: Las direcciones IPv6 no estn presentes en paquetes OSPFv3, excepto en el
caso de cargas de LSA en paquetes de actualizacin de estado de enlace. Los enrutadores vecinos se
identifican mediante el ID de enrutador.
Cambios de autenticacin: OSPFv3 no incluye ninguna capacidad de autenticacin. Para configurar

OSPFv3 en un cortafuegos, es necesario un perfil de autenticacin que especifique una carga de seguridad
encapsulada (ESP) o un encabezado de autenticacin (AH) de IPv6. El procedimiento de nueva asignacin
de claves especificado en el RFC 4552 no se admite en esta versin.
Compatibilidad con varias instancias por enlace: Cada instancia se corresponde con un ID de instancia
incluido en el encabezado de paquete OSPFv3.
Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intrarea.
Todos los cambios adicionales se describen de manera detallada en el RFC 5340.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red comn y en la misma rea OSPF que forman una relacin
son vecinos OSPF. La conexin entre estos enrutadores puede ser a travs de un dominio de difusin comn o
mediante una conexin de punto a punto. Esta conexin se realiza a travs del intercambio de paquetes de
saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para intercambiar actualizaciones de
enrutamiento entre enrutadores.
reas OSPF
OSPF funciona en un nico sistema autnomo (AS). No obstante, las redes de dentro de este AS nico pueden
dividirse en distintas reas. De manera predeterminada, se crea el rea 0. El rea 0 puede funcionar por s sola
o actuar como la red troncal de OSPF para un mayor nmero de reas. Cada rea OSPF recibe un nombre que
es un identificador de 32 bits, el cual, en la mayora de los casos, se escribe en la misma notacin decimal con
puntos que una direccin IP4. Por ejemplo, el rea 0 suele escribirse como 0.0.0.0.
469
Redes
La topologa de un rea se mantiene en su propia base de datos de estados de enlaces y se oculta de otras reas,
lo que reduce la cantidad de trfico de enrutamiento que necesita OSPF. A continuacin, la topologa se
comparte de manera resumida entre reas mediante un enrutador de conexin.
Tipos de reas OSPF

rea troncal: El rea 0 es el ncleo de una red de OSPF. El resto de las reas se conectan a ella y todo el trfico
entre las reas debe atravesarla. Todo el enrutamiento entre las reas se distribuye a travs del rea troncal. Si
bien el resto de las reas OSPF debe conectarse al rea troncal, esta conexin no tiene que ser directa y puede
realizarse a travs de un enlace virtual.
rea OSPF normal: En un rea OSPF normal, no hay restricciones; el rea puede aceptar todo tipo de rutas.
rea OSPF de cdigo auxiliar: Un rea de cdigo auxiliar no recibe rutas de otros sistemas autnomos. El
enrutamiento desde el rea de cdigo auxiliar se realiza a travs de la ruta predeterminada hasta el rea troncal.
rea de NSSA: Not So Stubby Area (NSSA) es un tipo de rea de cdigo auxiliar que puede importar rutas
externas con algunas excepciones limitadas.
Tipos de enrutadores de OSPF

Dentro de un rea OSPF, los enrutadores se dividen en las siguientes categoras.
Enrutador interno: Enrutador que solamente tiene relaciones de vecino OSPF con los dispositivos de la misma
rea.
Enrutador de borde de rea (ABR): Enrutador que tiene relaciones de vecino OSPF con los dispositivos de
varias reas. Los ABR recopilan informacin de topologa de sus reas adjuntas y la distribuyen al rea troncal.
Enrutador troncal: Cualquier enrutador de OSPF adjunto a la red troncal de OSPF. Como los ABR siempre
estn conectados a la red troncal, siempre se clasifican como enrutadores troncales.
Enrutador de lmite de sistema autnomo (ASBR): Enrutador que se conecta a ms de un protocolo de
enrutamiento e intercambia informacin de enrutamiento entre ellos.
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores y anunciando las
rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la informacin
sobre los enlaces entre l y el destino y puede realizar decisiones de enrutamiento de gran eficacia. Se asigna un
coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste, despus de sumar todas las
interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los LSA asociados.
Como OSPF procesa dinmicamente una cantidad considerable de informacin de enrutamiento, tiene mayores
requisitos de procesador y memoria que RIP.
470
Redes
Paso 1
Configure los ajustes de

configuracin general de
enrutador virtual.
Consulte Configuracin de un enrutador virtual para obtener informacin

detallada.
Paso 2
Configure los ajustes de

configuracin general de OSPF.
1.
Seleccione la pestaa OSPF.
2.
Seleccione la casilla de verificacin Habilitar para habilitar el protocolo

OSPF.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea conocer

ninguna ruta predeterminada a travs de OSPF. Este es el ajuste
predeterminado recomendado.
4.
Cancele la seleccin de la casilla de verificacin Rechazar ruta por

defecto si desea permitir la redistribucin de rutas predeterminadas a
travs de OSPF.
471
Redes
Configuracin de OSPF (Continuacin)
Paso 3
Configure el tipo de reas para el 1.

protocolo OSPF.
2.
Seleccione la pestaa secundaria reas y haga clic en Aadir.

Introduzca un identificador de rea en formato x.x.x.x. Es el
identificador que cada vecino debe aceptar para formar parte de la
misma rea.
3.
Seleccione la pestaa secundaria Tipo.
4.
Seleccione una de las siguientes opciones en el cuadro desplegable Tipo

de rea:
Normal: No hay restricciones; el rea puede aceptar todos los tipos
de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un
destino fuera del rea, es necesario atravesar el lmite, que conecta con
el resto de reas. Si selecciona esta opcin, configure lo siguiente:
Aceptar resumen: Los anuncios de estado de enlaces (LSA) se
aceptan desde otras reas. Si esta opcin de un rea de cdigo
auxiliar de la interfaz de enrutador de borde de rea (ABR) est
desactivada, el rea OSPF se comportar como un rea totalmente
de cdigo auxiliar (TSA) y ABR no propagar ninguno de los LSA
de resumen.
Anunciar ruta predeterminada: Los LSA de ruta predeterminada
se incluirn en los anuncios al rea de cdigo auxiliar junto con un
valor de medida configurado dentro del siguiente intervalo
configurado: 1-255.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
El cortafuegos solamente puede salir del rea por rutas que no sean
rutas de OSPF. Si est seleccionado, configure Aceptar resumen y
Anunciar ruta predeterminada como se describe para Cdigo
auxiliar. Si selecciona esta opcin, configure lo siguiente:
Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA
predeterminado.
Intervalos extendidos: Haga clic en Aadir en la seccin para
introducir intervalos de rutas externas para los que quiera habilitar
o suprimir los anuncios.
5.
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la

prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) segn el protocolo OSPF. Si el valor es cero, el enrutador
no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin

definido previamente.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Vecinos: En interfaces p2pmp, introduzca la direccin IP de todos
los vecinos accesibles mediante esta interfaz.
472
6.
Seleccione Normal, Pasivo o Enviar nicamente como el Modo.
7.
Redes
Paso 4
Paso 5
Configure el intervalo de reas

para el protocolo OSPF.
1.
Seleccione la pestaa secundaria Intervalo.
2.
Haga clic en Aadir para aadir direcciones de destino LSA en el rea en

subredes.
3.
Seleccione Anunciar o Suprimir los anuncios de LSA que coincidan con

la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
Configure las interfaces de reas 1.

para el protocolo OSPF.
2.
Seleccione la pestaa secundaria Interfaz.

Haga clic en Aadir e introduzca la siguiente informacin para cada
interfaz que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione una interfaz en el cuadro desplegable.
Habilitar: Al seleccionar esta opcin, la configuracin de la interfaz
OSPF surte efecto.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no
se envan ni reciben, si selecciona esta opcin, la interfaz se incluir en
la base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos
los vecinos mediante la interfaz y poder descubrirlos
automticamente por mensajes de tipo hello de multicast OSPF,
como una interfaz Ethernet. Seleccione p2p (punto a punto) para
descubrir al vecino automticamente. Seleccione p2mp (punto a
multipunto) si los vecinos se deben definir manualmente. La
definicin manual de vecino solo se permite en modo p2mp.
Mtrica: Introduzca una medida de OSPF para esta interfaz. Valor
predeterminado: 10. Intervalo: 0-65535.
Prioridad: Introduzca una prioridad de OSPF para esta interfaz. Es
la prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR). Valor predeterminado: 1. Intervalo: 0 - 255. Si el valor
se configura como cero, el enrutador no se designar como DR ni
BDR.
Sincronizacin: Los siguientes ajustes de sincronizacin de OSPF se
pueden establecer aqu: Intervalo de saludo, Recuentos fallidos,
Intervalo de retransmisin y Retraso de trnsito. Palo Alto Networks
recomienda que mantenga los ajustes de sincronizacin
predeterminados.
Si se selecciona p2mp como Tipo de enlace, introduzca las
direcciones IP de todos los vecinos a los que se pueda acceder a travs
de esta interfaz.
473
Redes
Paso 6
Configure enlaces virtuales de

reas.
1.
Seleccione la pestaa secundaria Enlace virtual.
2.
Haga clic en Aadir e introduzca la siguiente informacin para cada

enlace virtual que se incluir en el rea troncal y haga clic en ACEPTAR:
Nombre: Introduzca un nombre para el enlace virtual.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado
del enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contenga
fsicamente el enlace virtual.
Habilitar: Seleccinelo para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga su configuracin
temporal predeterminada.
Paso 7
(Opcional) Configure perfiles de De manera predeterminada, el cortafuegos no utiliza autenticacin de OSPF

autenticacin.
para el intercambio entre vecinos de OSPF. Opcionalmente, puede
configurar una autenticacin de OSPF entre vecinos de OSPF mediante una
contrasea simple o mediante la autenticacin MD5.
Autenticacin de contrasea simple de OSPF
2.
Haga clic en Aadir.
3.
Introduzca un nombre para el perfil de autenticacin para autenticar los

mensajes OSPF.
4.
Seleccione Contrasea simple como Tipo de contrasea.
5.
Introduzca una contrasea simple y, a continuacin, confrmela.
Autenticacin MD5 de OSPF

2.
Haga clic en Aadir.
3.
Introduzca un nombre para el perfil de autenticacin para autenticar los

mensajes OSPF.
4.
Seleccione MD5 como Tipo de contrasea.
5.
Haga clic en Aadir.
6.
Introduzca una o ms entradas de contrasea, incluidos:

ID de clave, intervalo 0-255
Clave
Seleccione la opcin Preferido para especificar que la clave debe
utilizarse para autenticar mensajes salientes.
474
7.
8.
Vuelva a hacer clic en ACEPTAR en el cuadro de configuracin

Enrutador virtual - OSPF - Perfil de autenticacin.
Redes
Paso 8
Configure las opciones

avanzadas de OSPF.
1.
Seleccione la pestaa secundaria Avanzado.
2.
Seleccione la casilla de verificacin Compatibilidad RFC 1583 para

garantizar la compatibilidad con RFC 1583.
3.
Configure un valor para el temporizador Retraso de clculo SPF (seg).

Este temporizador le permite definir el retraso de tiempo entre la
recepcin de nueva informacin de topologa y ejecutar un clculo SPF.
Los valores menores permiten una reconvergencia OSPF ms rpida.
Los enrutadores que se emparejan con el cortafuegos se deben
configurar de manera similar para optimizar los tiempos de
convergencia.
4.
Configure un valor para el tiempo Intervalo LSA (seg). Este

temporizador especifica el tiempo mnimo entre las transmisiones de dos
instancias del mismo LSA (mismo enrutador, mismo tipo, mismo ID de
LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores
ms bajos se pueden utilizar para reducir los tiempos de reconvergencia
cuando se producen cambios en la tipologa.
Paso 1
Configure los ajustes de configuracin

Consulte Configuracin de un enrutador virtual para obtener

Paso 2

general de OSPF.
1.
Seleccione la pestaa OSPF.
2.

protocolo OSPF.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea

conocer ninguna ruta predeterminada a travs de OSPF. Este es
el ajuste predeterminado recomendado.
4.
Cancele la seleccin de la casilla de verificacin Rechazar ruta

por defecto si desea permitir la redistribucin de rutas
predeterminadas a travs de OSPF.
Paso 3

general de OSPFv3.
1.
Seleccione la pestaa OSPFv3.
2.

protocolo OSPF.
3.
Seleccione la casilla Rechazar ruta por defecto si no desea

conocer ninguna ruta predeterminada a travs de OSPFv3. Este
es el ajuste predeterminado recomendado.
Cancele la seleccin de la casilla de verificacin Rechazar ruta
por defecto si desea permitir la redistribucin de rutas
predeterminadas a travs de OSPFv3.
475
Redes
Configuracin de OSPFv3 (Continuacin)
Paso 4
Configure el perfil de autenticacin para

el protocolo OSFPv3.
Al configurar un perfil de autenticacin, debe utilizar una carga de

seguridad encapsulada (ESP) o un encabezado de autenticacin (AH)
de IPv6.
OSPFv3 no incluye ninguna capacidad de

autenticacin propia; por el contrario, se Autenticacin de ESP OSPFv3
basa completamente en IPSec para
proteger las comunicaciones entre
2. Haga clic en Aadir.
vecinos.
3. Introduzca un nombre para el perfil de autenticacin para
autenticar los mensajes OSPFv3.
4.
Especifique un ndice de poltica de seguridad (SPI). El SPI debe

coincidir entre ambos extremos de la adyacencia de OSPFv3. El
nmero del SPI debe ser un valor hexadecimal entre 00000000
y FFFFFFFF.
5.
Seleccione ESP como Protocolo.
6.
Seleccione un Algoritmo criptogrfico del cuadro desplegable.

Puede no seleccionar ninguno o uno de los siguientes
algoritmos: SHA1, SHA256, SHA384, SHA512 o MD5.
7.
Si en lugar de no seleccionar ningn valor, selecciona uno de

estos valores para el Algoritmo criptogrfico, introduzca un
valor para Clave y, a continuacin, confrmelo.
Autenticacin de AH OSPFv3
2.
Haga clic en Aadir.
3.

autenticar los mensajes OSPFv3.
4.
Especifique un ndice de poltica de seguridad (SPI). El SPI debe

coincidir entre ambos extremos de la adyacencia de OSPFv3. El
nmero del SPI debe ser un valor hexadecimal entre 00000000
y FFFFFFFF.
5.
Seleccione AH como Protocolo.
6.
Seleccione un Algoritmo criptogrfico del men desplegable.

Debe introducir uno de los siguientes algoritmos: SHA1,
SHA256, SHA384, SHA512 o MD5.
476
7.
Introduzca un valor para Clave y, a continuacin, confrmelo.
8.
9.
Vuelva a hacer clic en ACEPTAR en el cuadro de dilogo

Enrutador virtual - OSPF - Perfil de autenticacin.
Redes
Paso 5
Configure el tipo de reas para el

protocolo OSPF.
1.
Seleccione la pestaa secundaria reas.
2.
Haga clic en Aadir.
3.
Introduzca un ID de rea. Es el identificador que cada vecino

debe aceptar para formar parte de la misma rea.
4.
Seleccione la pestaa secundaria General.
5.
Seleccione una de las siguientes opciones en el men

desplegable Tipo de rea:
Normal: No hay restricciones; el rea puede aceptar todos los
tipos de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a
un destino fuera del rea, es necesario atravesar el lmite, que
conecta con el resto de reas. Si selecciona esta opcin,
configure lo siguiente:
Aceptar resumen: Los anuncios de estado de enlaces
(LSA) se aceptan desde otras reas. Si esta opcin de un
rea de cdigo auxiliar de la interfaz de enrutador de borde
de rea (ABR) est desactivada, el rea OSPF se comportar
como un rea totalmente de cdigo auxiliar (TSA) y ABR
no propagar ninguno de los LSA de resumen.
Anunciar ruta predeterminada: Los LSA de ruta
predeterminada se incluirn en los anuncios al rea de
cdigo auxiliar junto con un valor de medida configurado
dentro del siguiente intervalo configurado: 1-255.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo
auxiliar): El cortafuegos solamente puede salir del rea por
rutas que no sean rutas de OSPF. Si est seleccionado,
configure Aceptar resumen y Anunciar ruta
predeterminada como se describe para Cdigo auxiliar. Si
selecciona esta opcin, configure lo siguiente:
Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar
el LSA predeterminado.
Intervalos extendidos: Haga clic en Aadir en la seccin
para introducir intervalos de rutas externas para los que
quiera habilitar o suprimir los anuncios.
477
Redes
Paso 6
Asocie un perfil de autenticacin OSPFv3 Para un rea

a un rea o una interfaz.
1. Seleccione la pestaa secundaria reas.
2.
Seleccione un rea existente de la tabla.
3.
Seleccione un Perfil de autenticacin definido previamente del

men desplegable Autenticacin de la pestaa secundaria
General.
4.
Para una interfaz

1. Seleccione la pestaa secundaria reas.
Paso 7
(Opcional) Configure reglas de

exportacin.
2.
Seleccione un rea existente de la tabla.
3.
Seleccione la pestaa secundaria Interfaz y haga clic en Aadir.
4.
Seleccione el perfil de autenticacin que desee asociar a la

interfaz OSPF desde el men desplegable Perfil de
autenticacin.
1.
Seleccione la pestaa secundaria Exportar.
2.
Haga clic en Aadir.
3.
Seleccione la casilla de verificacin Permitir redistribucin de

ruta predeterminada para permitir la redistribucin de rutas
predeterminadas a travs de OSPFv3.
4.
Seleccione el nombre del perfil de redistribucin. El valor debe

ser una subred IP o un nombre de perfil de redistribucin vlido.
5.
Seleccione una medida que debe aplicarse al Nuevo tipo de ruta.
6.
Especifique una Nueva etiqueta para la ruta coincidente que

tenga un valor de 32 bits.
7.
Asigne una medida para la nueva regla.

El valor puede ser: 1 - 65535.
8.
478
Redes
Paso 8
Configure las opciones avanzadas de

OSPFv3.
1.
Seleccione la pestaa secundaria Avanzado.
2.
Seleccione la casilla de verificacin Deshabilitar enrutamiento

de trnsito para el clculo de SPF si quiere que el cortafuegos
participe en la distribucin de la topologa de OSPF sin ser
utilizado para reenviar trfico de trnsito.
3.
Configure un valor para el temporizador Retraso de clculo

SPF (seg).
Este temporizador le permite definir el retraso de tiempo entre
la recepcin de nueva informacin de topologa y ejecutar un
clculo SPF. Los valores menores permiten una reconvergencia
OSPF ms rpida. Los enrutadores que se emparejan con el
cortafuegos se deben configurar de manera similar para
optimizar los tiempos de convergencia.
4.
Configure un valor para el tiempo Intervalo LSA (seg). Este

temporizador especifica el tiempo mnimo entre las
transmisiones de dos instancias del mismo LSA (mismo
enrutador, mismo tipo, mismo ID de LSA). Es un equivalente
de MinLSInterval en RFC 2328. Los valores ms bajos se
pueden utilizar para reducir los tiempos de reconvergencia
cuando se producen cambios en la tipologa.
5.
Configure la seccin Reinicio correcto como se describe en

Configuracin del reinicio correcto de OSPF.

Reinicio correcto de OSPF dirige a los vecinos OSPF para que sigan utilizando rutas a travs de un dispositivo
durante una breve transicin cuando est fuera de servicio. Esto aumenta la estabilidad de red reduciendo la
frecuencia de reconfiguracin de la tabla de rutas y los flaps de ruta relacionados que pueden producirse durante
breves tiempos de inactividad peridicos.
Para un cortafuegos de Palo Alto Networks, esto implica las siguientes operaciones:
Cortafuegos como dispositivo de reinicio: En una situacin en la que el cortafuegos vaya a estar inactivo
durante un breve perodo de tiempo o no est disponible durante intervalos breves, enviar LSA de gracia a
sus vecinos OSPF. Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio
correcto. En el modo auxiliar, los vecinos reciben los LSA de gracia que le informan que el cortafuegos
realizar un reinicio correcto en un perodo de tiempo especificado definido como el Perodo de gracia.
Durante el perodo de gracia, el vecino sigue reenviando rutas a travs del cortafuegos y enviando LSA que
anuncian rutas a travs del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que venza el
perodo de gracia, el reenvo de trfico seguir como antes sin ninguna interrupcin de la red. Si el
cortafuegos no reanuda su funcionamiento despus de que venza el perodo de gracia, los vecinos saldrn
del modo auxiliar y reanudarn el funcionamiento normal, lo que implicar la reconfiguracin de la tabla de
rutas para eludir el cortafuegos.
479
Redes
Cortafuegos como auxiliar de reinicio correcto: En una situacin en la que los enrutadores vecinos
puedan estar inactivos durante breves perodos de tiempo, se puede configurar el cortafuegos para que
funcione en el modo auxiliar de reinicio correcto. Si se configura con este modo, el cortafuegos se
configurar con un Mx. de hora de reinicio del mismo nivel. Cuando el cortafuegos reciba los LSA de
gracia de su vecino OSFP, seguir enrutando trfico al vecino y anunciando rutas a travs del vecino hasta
que venza el perodo de gracia o el mximo de hora de reinicio del mismo nivel. Si ninguno de los dos vence
antes de que el vecino vuelva a estar en funcionamiento, el reenvo de trfico continuar como antes sin
ninguna interrupcin de la red. Si ninguno de los dos perodos vence antes de que el vecino vuelva a estar
en funcionamiento, el cortafuegos saldr del modo auxiliar y reanudar el funcionamiento normal, que
implicar la reconfiguracin de la tabla de rutas para eludir el vecino.
Paso 1
Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual que quiera configurar.
Paso 2
Seleccione OSPF > Avanzado.
Paso 3
Verifique que las siguientes casillas de verificacin estn seleccionadas (estn habilitadas de manera
predeterminada).
Seleccione Habilitar reinicio correcto, Habilitar modo auxiliar y Habilitar comprobacin de LSA estricta.
Las tres opciones deberan permanecer seleccionadas a menos que su topologa lo requiera.
Paso 4
Configure un Perodo de gracia en segundos.
Paso 5
Configure un Mx. de hora de reinicio del mismo nivel en segundos.
Confirmacin del funcionamiento de OSPF

Una vez se haya compilado una configuracin de OSPF, podr utilizar cualquiera de las operaciones siguientes
para confirmar que OSPF est funcionando:
Visualizacin de la tabla de rutas
Confirmacin de adyacencias de OSPF
Confirmacin de que se han establecido conexiones de OSPF

Al visualizar la tabla de rutas, puede ver si se han establecido rutas de OSPF. Se puede acceder a la tabla de rutas
desde la interfaz web o la CLI. Si est utilizando la CLI, utilice los siguientes comandos:
show routing route
show routing fib
El siguiente procedimiento describe cmo utilizar la interfaz web para ver la tabla de rutas.
480
Redes
Paso 1
Paso 2
Seleccione la pestaa Enrutamiento y examine la columna Marcas de la tabla de rutas para determinar qu rutas
ha obtenido OSPF.
Confirmacin de adyacencias de OSPF

Visualizando la pestaa Vecino como se describe en el procedimiento siguiente, puede confirmar que las
adyacencias de OSPF se han establecido.
Visualizacin de la pestaa Vecino para confirmar adyacencias de OSPF
Paso 1
481
Redes
Visualizacin de la pestaa Vecino para confirmar adyacencias de OSPF (Continuacin)
Paso 2
Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de
OSPF.
Confirmacin de que se han establecido conexiones de OSPF

Al visualizar el log de sistema, puede confirmar que se han establecido conexiones de OSPF segn se describe
en el procedimiento siguiente:
Examen del log de sistema
Paso 1
Seleccione Supervisar > Sistema y busque mensajes que confirmen que se han establecido adyacencias de
OSPF.
Paso 2
Seleccione la pestaa secundaria OSPF > Vecino y examine la columna Estado para determinar si se han
establecido adyacencias de OSPF.
482
Redes
Configuracin de BGP
Configuracin de BGP
El protocolo de puerta de enlace de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP
determina el alcance de la red en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS),
donde un sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para formar
parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la poltica permite
una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada vez que se actualiza la RIB del
cortafuegos local, el cortafuegos determina las rutas ptimas y enva una actualizacin a la RIB externa, si se
activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas BGP. Las rutas BGP
deben cumplir las normas de anuncios condicionales para poder anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica. Durante el proceso
de agregacin, el primer paso es encontrar la regla de agregacin correspondiente ejecutando la correspondencia
ms larga que compare la ruta entrante con los valores de prefijo de otras reglas de agregacin.
Para obtener ms informacin sobre BGP, consulte How to Configure BGP Tech Note (Nota tcnica sobre
cmo configurar BGP).
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes funciones:
Especificacin de una instancia de enrutamiento BGP por enrutador virtual.
Polticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de importacin,
exportacin y anuncios, filtrado basado en prefijos y agregacin de direcciones.
Funciones BGP avanzadas que incluyen un reflector de ruta, confederacin de AS, amortiguacin de flap de
ruta y reinicio correcto.
Interaccin IGP-BGP para introducir rutas en BGP utilizando perfiles de redistribucin.
La configuracin BGP se compone de los siguientes elementos:
Configuraciones por instancia de enrutamiento, que incluyen parmetros bsicos como opciones avanzadas
de ID de ruta local y AS local como seleccin de ruta, reflector de ruta, confederacin AS, flap de ruta y
perfiles de amortiguacin.
Perfiles de autenticacin que especifican la clave de autenticacin MD5 para conexiones BGP.
Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de vecino y AS como
atributos y conexiones de vecino.
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers utilizan para
implementar las importaciones, exportaciones, anuncios condicionales y controles de agregacin de
direccin.
Configuracin de BGP
Paso 1
Configure los ajustes de configuracin Consulte Configuracin de un enrutador virtual para obtener
483
Configuracin de BGP
Redes
Configuracin de BGP (Continuacin)
Paso 2
Paso 3

general de BGP.
2.
Seleccione la pestaa BGP.

protocolo BGP.
3.
Asigne una direccin IP al enrutador virtual en el cuadro ID del

enrutador.
4.
Introduzca el nmero del AS al que pertenece el enrutador virtual

en el cuadro Nmero AS, basndose en el ID del enrutador.
Intervalo: 1-4294967295

general de BGP.
2.
Seleccione BGP > General.

Seleccione la casilla de verificacin Rechazar ruta por defecto
para ignorar todas las rutas predeterminadas anunciadas por peers
BGP.
3.
Seleccione la casilla de verificacin Instalar ruta para instalar rutas

BGP en la tabla de rutas global.
4.
Seleccione la casilla de verificacin Agregar MED para habilitar la

agregacin de rutas, incluso cuando las rutas tengan valores
diferentes de discriminador de salida mltiple (MED).
5.
Introduzca un valor para la Preferencia local predeterminada

que especifique un valor que puede utilizarse para determinar las
preferencias entre diferentes rutas.
6.
Seleccione uno de los siguientes valores para el formato AS con

fines de interoperabilidad:
2 bytes (valor predeterminado)
4 bytes
7.
Habilite o deshabilite cada uno de los siguientes valores de

Seleccin de rutas:
Comparar siempre MED: Habilite esta comparacin para elegir
rutas de vecinos en diferentes sistemas autnomos.
Comparacin determinista de MED: Habilite esta comparacin
para elegir entre rutas anunciadas por peers IBGP (peers BGP
en el mismo sistema autnomo).
8.
Haga clic en Aadir para incluir un nuevo perfil de autenticacin y

configurar los siguientes ajustes:
Nombre del perfil: Introduzca un nombre para identificar el
perfil.
Secreto/Confirmar secreto: Introduzca y confirme la
contrasea para comunicaciones de peer BGP.
484
Redes
Configuracin de BGP
Paso 4
Configure los ajustes avanzados de

BGP (opcional).
1.
En la pestaa secundaria Avanzado, seleccione Reinicio correcto

y configure los siguientes temporizadores:
Tiempo de ruta obsoleto (seg): Especifica la cantidad de
tiempo en segundos que una ruta puede permanecer en el
estado obsoleto. Intervalo: 1 - 3600 segundos. Valor
predeterminado: 120 segundos.
Hora de reinicio local (seg): Especifica la cantidad de tiempo
en segundos que el dispositivo local tarda en reiniciar. Este valor
se anuncia a los peers. Intervalo: 1 - 3600 segundos. Valor
predeterminado: 120 segundos.
Mx. de hora de reinicio del peer (seg): Especifica el tiempo
mximo en segundos que el dispositivo local acepta como
perodo de gracia para reiniciar los dispositivos peer. Intervalo:
1 - 3600 segundos. Valor predeterminado: 120 segundos.
2.
Especifique un identificador IPv4 que represente el clster

reflector en el cuadro ID de clster reflector.
3.
Especifique el identificador de la confederacin AS que se

presentar como un AS nico a los peers BGP externos en el
cuadro AS de miembro de confederacin.
4.
Haga clic en Aadir e introduzca la siguiente informacin para

cada perfil de amortiguacin que quiera configurar, seleccione
Habilitar y haga clic en ACEPTAR:
Nombre del perfil: Introduzca un nombre para identificar el
perfil.
Corte: Especifique un umbral de retirada de ruta por encima del
cual se suprime un anuncio de ruta. Intervalo: 0,0-1000,0. Valor
predeterminado: 1,25.
Reutilizar: Especifique un umbral de retirada de ruta por
debajo del cual una ruta suprimida se vuelve a utilizar. Intervalo:
0,0-1000,0. Valor predeterminado: 5.
Mx. de tiempo de espera (seg): Especifique el tiempo
mximo en segundos durante el que una ruta se puede suprimir,
con independencia de su inestabilidad. Intervalo: 0-3600
segundos. Valor predeterminado: 900 segundos.
Media vida de disminucin alcanzable (seg): Especifique el
tiempo en segundos despus del cual la mtrica de estabilidad de
una ruta se divide entre dos si la ruta se considera alcanzable.
Intervalo: 0-3600 segundos. Valor predeterminado: 300
segundos.
Media vida de disminucin no alcanzable (seg): Especifique el
tiempo en segundos despus del cual la mtrica de estabilidad de
una ruta se divide entre dos si la ruta se considera no alcanzable.
Intervalo: 0 - 3600 segundos. Valor predeterminado: 300
segundos.
5.
485
Configuracin de BGP
Redes
Paso 5
Configure el grupo del peer BGP.
1.
Seleccione la pestaa secundaria Grupo del peer y haga clic en

Aadir.
2.
Introduzca un Nombre para el grupo del peer y seleccione

Habilitar.
3.
Seleccione la casilla de verificacin Agregar ruta AS confederada

para incluir una ruta a la AS de confederacin agregada
configurada.
4.
Seleccione la casilla de verificacin Restablecimiento parcial con

informacin almacenada para ejecutar un restablecimiento parcial
del cortafuegos despus de actualizar los ajustes de peer.
5.
Especifique el tipo o grupo de peer en el cuadro desplegable Tipo

y configure los ajustes asociados (consulte la tabla siguiente para
ver las descripciones de Importar siguiente salto y Exportar
siguiente salto).
IBGP: Exportar siguiente salto: Especifique Original o
Utilizar automtico.
EBGP confederado: Exportar siguiente salto: Especifique
Original o Utilizar automtico.
EBGP confederado: Exportar siguiente salto: Especifique
Original o Utilizar automtico.
EBGP: Importar siguiente salto: Especifique Original o
Utilizar automtico, Exportar siguiente salto: Especifique
Resolver o Utilizar automtico. Seleccione Eliminar AS
privado si desea forzar que BGP elimine nmeros AS privados.
6.
486
Redes
Configuracin de BGP
Paso 6
Configure reglas de importacin y

exportacin.
1.
Las reglas de importacin/exportacin

2.
se utilizan para importar/exportar
rutas desde/hacia otros enrutadores.
Por ejemplo, puede importar la ruta
3.
predeterminada desde su proveedor de
servicios de Internet.
Paso 7
Configure los anuncios condicionales,

que le permiten controlar la ruta que se
anunciar en caso de que no exista
ninguna ruta diferente en la tabla de
rutas BGP local (LocRIB), indicando
un fallo de peering o alcance. Esta
funcin es muy til si desea probar y
forzar rutas de un AS a otro, por
ejemplo, si tiene enlaces a Internet con
varios ISP y desea enrutar el trfico a
un nico proveedor, en lugar de a los
otros, salvo que se produzca una
prdida de conectividad con el
proveedor preferido.
Seleccione la pestaa Importar y, a continuacin, haga clic en

Aadir e introduzca un nombre en el campo Reglas y seleccione
la casilla de verificacin Habilitar.
Haga clic en Aadir y seleccione el Grupo del peer desde el que se
importarn las rutas.
Haga clic en la pestaa Coincidencia y defina las opciones
utilizadas para filtrar la informacin de enrutamiento. Tambin
puede definir el valor de discriminador de salida mltiple (MED) y
un valor de siguiente salto como enrutadores o subredes para el
filtrado de rutas. La opcin MED es una medida externa que
permite que los vecinos sepan cul es la ruta preferida de un AS. Se
prefiere un valor ms bajo antes que un valor ms alto.
4.
Haga clic en la pestaa Accin y defina la accin que debera

producirse (permitir/denegar) basndose en las opciones de
filtrado definidas en la pestaa Coincidencia. Si se selecciona
Denegar, no ser necesario definir ms opciones. Si se selecciona
la accin Permitir, defina los otros atributos.
5.
Haga clic en la pestaa Exportar y defina atributos de exportacin,

que son similares a los ajustes de Importar, pero que se utilizan
para controlar la informacin de rutas que se exporta desde el
cortafuegos a los vecinos.
6.
1.
Seleccione la pestaa Anuncio condicional, haga clic en Aadir e

introduzca un nombre en el campo Poltica.
2.
Seleccione la casilla de verificacin Habilitar.
3.
Haga clic en Aadir y, en la seccin Utilizado por, introduzca los

grupos del que utilizarn la poltica de anuncios condicionales.
4.
Seleccione la pestaa Filtro no existente y defina los prefijos de

red de la ruta preferida. Especifica la ruta que desea anunciar, si
est disponible en la tabla de ruta de BGP local. Si un prefijo se va
a anunciar y coincide con un filtro no existente, el anuncio se
suprimir.
5.
Seleccione la pestaa Anunciar filtros y defina los prefijos de la

ruta de la tabla de rutas Local-RIB que se debera anunciar en caso
de que la ruta del filtro no existente no est disponible en la tabla
de rutas local. Si un prefijo se va a anunciar y no coincide con un
filtro no existente, el anuncio se producir.
487
Configuracin de BGP
Redes
Paso 8
Paso 9
488
1.
Configure opciones agregadas para
rutas de resmenes en la configuracin
de BGP.
2.
Seleccione la pestaa Agregado, haga clic en Aadir e introduzca

un nombre para la direccin agregada.
En el campo Prefijo, introduzca el prefijo de red que ser el prefijo
principal de los prefijos agregados.
La agregacin de rutas de BGP se

utiliza para controlar el modo en que 3.
BGP agrega direcciones. Cada entrada
de la tabla da como resultado la
4.
creacin de una direccin agregada. El
resultado ser una entrada agregada en
la tabla de rutas cuando se obtiene al
menos una o ms rutas especficas que
coinciden con la direccin especificada.
Seleccione la pestaa Anunciar filtros y defina los atributos que

harn que las rutas coincidentes se anuncien siempre a los peers.
Configure las reglas de redistribucin. 1.
Seleccione la pestaa Reglas de redistr. y haga clic en Aadir.
Esta regla se utiliza para redistribuir las 2.

rutas de host y las rutas desconocidas
que no se encuentran en la RIB local de
los enrutadores de peers.
3.
En el campo Nombre, introduzca una subred IP o seleccione un

perfil de redistribucin. Tambin puede configurar un nuevo perfil
de redistribucin desde el men desplegable si es necesario.
Seleccione la pestaa Suprimir filtros y defina los atributos que

harn que las rutas coincidentes se supriman.
Haga clic en la casilla de verificacin Habilitar para habilitar la

regla.
4.
En el campo Medida, introduzca la medida de la ruta que se

utilizar para la regla.
5.
En el men desplegable Establecer origen, seleccione

Incompleto, IGP o EGP.
6.
Opcionalmente, establezca MED, preferencia local, lmite de ruta

AS y valores de comunidad.

Guia de Administración FW Palo Alto

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guia de Administración FW Palo Alto

Încărcat de

Drepturi de autor:

Formate disponibile

Palo Alto Networks

Gua del administrador de PAN-OS

Acerca de esta gua

Para obtener instrucciones de principio a fin sobre cmo configurar un nuevo

Para acceder al conjunto completo de documentacin tcnica, vaya a

Para acceder a la base de conocimientos y los foros de debate, vaya a

Para ponerse en contacto con el equipo de asistencia tcnica, obtener

Para enviar sus comentarios sobre la documentacin, dirjase a:

Palo Alto Networks, Inc.

Gestin de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

Gua del administrador de PAN-OS

Configuracin de la verificacin del estado de revocacin de certificados utilizados

Configuracin de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Gua del administrador de PAN-OS

Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Gua del administrador de PAN-OS

Deshabilitacin de la puerta de enlace de nivel de aplicacin (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 274

Prevencin de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Prevencin de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

Configuracin del proxy SSL de reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Componentes y flujo de trabajo de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Gua del administrador de PAN-OS

Determinacin de los requisitos de la poltica de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

Gua del administrador de PAN-OS

Configuracin del portal para autenticar satlites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

Preparacin del dispositivo satlite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Configuracin de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

Configuracin de BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483

Gua del administrador de PAN-OS

Integracin del cortafuegos en su red de gestin

Creacin del permetro de seguridad

Habilitacin de funciones de prevencin de amenazas bsicas

Prcticas recomendadas para completar la implementacin del cortafuegos

Integracin del cortafuegos en su red de gestin

Integracin del cortafuegos en su red de gestin

Configuracin del acceso a la gestin del cortafuegos

Activacin de servicios de cortafuegos

Configuracin del acceso a la gestin del cortafuegos

Determinacin de la estrategia de gestin

Realizacin de la configuracin inicial

Establecimiento de acceso a la red para servicios externos

Determinacin de la estrategia de gestin

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

Integracin del cortafuegos en su red de gestin

Realizacin de la configuracin inicial

Obtenga la informacin necesaria de su

Direccin IP para el puerto MGT

Conecte su ordenador al cortafuegos.

Puede conectarse al cortafuegos de uno de estos modos:

Cuando se le indique, inicie sesin en el

Debe iniciar sesin usando el nombre de usuario y contrasea

Integracin del cortafuegos en su red de gestin

Configuracin del acceso de red al cortafuegos (Continuacin)

Configure la interfaz de gestin.

Seleccione Dispositivo > Configuracin > Gestin y, a

Fije la velocidad en negociacin automtica.

Seleccione los servicios de gestin que permitir en la interfaz.