Guia de Administracion FW Palo Alto PDF

Palo Alto Networks®
Guía del administrador de PAN-OS

Versión 6.0
Información de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta guía
Esta guía ofrece los conceptos y soluciones que le ayudarán a sacar el máximo
partido de sus cortafuegos de próxima generación de Palo Alto Networks.
Para obtener más información, consulte las siguientes fuentes:
 Para obtener instrucciones de principio a fin sobre cómo configurar un nuevo

cortafuegos, consulte la Palo Alto Networks Getting Started Guide (Guía de
inicio de Palo Alto Networks).
 Para acceder al conjunto completo de documentación técnica, vaya a

http://www.paloaltonetworks.com/documentation.
 Para acceder a la base de conocimientos y los foros de debate, vaya a

https://live.paloaltonetworks.com.
 Para ponerse en contacto con el equipo de asistencia técnica, obtener
información sobre los programas de asistencia técnica o gestionar su cuenta
o los dispositivos, vaya a https://support.paloaltonetworks.com.
 Para leer las notas sobre la última versión, vaya la página de actualizaciones de
software en https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentación, diríjase a:
documentation@paloaltonetworks.com
Palo Alto Networks, Inc.

www.paloaltonetworks.com
© 2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto
Networks, Inc. Todas las demás marcas comerciales son propiedad de sus
respectivos propietarios.
7 de julio de 2014
Contenido
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Integración del cortafuegos en su red de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Configuración del acceso a la gestión del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Activación de servicios de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Creación del perímetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Descripción general del perímetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Implementaciones de cortafuegos básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Acerca de la traducción de direcciones de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Acerca de las políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuración de políticas de NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuración de políticas de seguridad básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Habilitación de funciones de prevención de amenazas básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Habilitación de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Exploración del tráfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Prácticas recomendadas para completar la implementación del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 48
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Interfaces de gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Uso de la interfaz de línea de comandos (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Uso de la API XML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Gestión de administradores de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Autenticación administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Creación de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Referencia: acceso de administrador a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Privilegios de acceso a la interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Acceso a la interfaz web de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Gestión de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

¿Cómo utilizan los dispositivos las claves y los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
¿Cómo verifican los dispositivos el estado de revocación de certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Lista de revocación de certificados (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Protocolo de estado de certificado en línea (OCSP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
¿Cómo obtienen los dispositivos los certificados? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Configuración de la verificación del estado de revocación de certificados . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuración de un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Configuración de la verificación del estado de revocación de certificados utilizados
para la autenticación de usuarios/dispositivos103
Guía del administrador de PAN-OS i

Configuración de la verificación del estado de revocación de certificados utilizados
para el descifrado SSL/TLS103
Configuración de la clave maestra. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Obtención de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Creación de un certificado de CA raíz autofirmado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Generación de un certificado en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Importación de un certificado y una clave privada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Obtención de un certificado de una CA externa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Configuración de un perfil de certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Revocación y renovación de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Revocación de un certificado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Renovación de un certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Claves seguras con un módulo de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Configuración de la conectividad con un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Cifrado de una clave maestra utilizando un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Almacenamiento de claves privadas en un HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Gestión de la implementación del HSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Descripción general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Activadores de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Configuración de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Directrices de configuración para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Configuración de la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Definición de las condiciones de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Verificación de conmutación por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Uso del centro de comando de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Informe de resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Supervisión del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Supervisión de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Visualización de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
ii Guía del administrador de PAN-OS

Reenvío de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Supervisión del cortafuegos mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Gestión de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Acerca de los informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Visualización de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Deshabilitación de informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Generación de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Generación de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Programación de informes para entrega de correos electrónicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Análisis de la descripción de campos en logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Logs de tráfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Logs de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Logs de coincidencias HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Logs de configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Logs de sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Gravedad de Syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Formato de logs/eventos personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Secuencias de escape. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Descripción general de User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Acerca de la asignación de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Asignación de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Asignación de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Configuración de la asignación de usuarios mediante el agente de User-ID de Windows . . . . . . . . . 219
Configuración de la asignación de usuarios mediante el agente de User-ID integrado
en PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Configuración de User-ID para recibir asignaciones de usuarios desde un emisor de Syslog . . . . . . 230
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo . . . . . . . . . . . . . . . . 241
Configuración de la asignación de usuarios para usuarios del servidor de terminal . . . . . . . . . . . . . . 246
Envío de asignaciones de usuarios a User-ID mediante la API XML . . . . . . . . . . . . . . . . . . . . . . . . . 254
Configuración de un cortafuegos para compartir datos de asignación de usuarios
con otros cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Habilitación de política basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Verificación de la configuración de User-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
¿Qué es App-ID? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Prácticas recomendadas para utilizar App-ID en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Aplicaciones con compatibilidad implícita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Acerca de las puertas de enlace de nivel de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Guía del administrador de PAN-OS iii

Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP. . . . . . . . . . . . . . . . . . . . . . . . . . 274
Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Concesión de licencias para la prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Acerca de las licencias de prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Obtención e instalación de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Acerca de los perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configuración de políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Configuración de antivirus, antispyware y protección contra vulnerabilidades. . . . . . . . . . . . . . . . . . 282
Configuración de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Configuración de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Prevención de ataques de fuerza bruta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
¿Cómo se activa una firma para un ataque de fuerza bruta? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
Personalización de la acción y las condiciones de activación para una firma de fuerza bruta . . . . . . 293
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 . . . . . . . . . . . . . . . . . . . . 296
Infraestructura de Content Delivery Network para actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . 298
Descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Descripción general del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Políticas de claves y certificados para el descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Proxy SSL de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Inspección de entrada SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Proxy SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Excepciones de descifrado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
Reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Configuración del proxy SSL de reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Configuración de la inspección de entrada SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Configuración del Proxy SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Configuración de excepciones de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exclusión de tráfico del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Exclusión de un servidor del descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Configuración del reflejo del puerto de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Descripción general del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
¿Cómo funciona el filtrado de URL?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Interacción entre App-ID y categorías de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Control de URL basado en categoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
¿Cómo se utilizan las categorías de URL como criterios de coincidencia en las políticas?. . . . . . . . . 327
Componentes y flujo de trabajo de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Componentes de categorización de URL de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Flujo de trabajo de categorización de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Configuración de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Habilitación del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
iv Guía del administrador de PAN-OS

Determinación de los requisitos de la política de filtrado de URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Definición de controles del sitio web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Ejemplos de casos de uso del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Caso de uso: control de acceso web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Caso de uso: uso de categorías de URL en la política . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Solución de problemas del filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Problemas en la activación de PAN-DB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Problemas de conectividad con la nube de PAN-DB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
URL clasificadas como no resueltas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Categorización incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Base de datos de URL vencida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

Descripción general de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Implementación de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Conceptos de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Configuración de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Configuración de QoS para un sistema virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Ejemplos de casos de uso de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
QoS para un único usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
QoS para aplicaciones de voz y vídeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Implementaciones de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Descripción general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Conceptos de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Configuración de VPN de sitio a sitio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Configuración de una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Definición de perfiles criptográficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuración de un túnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Configuración de la supervisión de túnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Prueba de conectividad VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Interpretación de mensajes de error de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Configuraciones rápidas de VPN de sitio a sitio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
VPN de sitio a sitio con OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

Componentes de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
Creación de interfaces y zonas para la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Habilitación de SSL entre componentes de LSVPN de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Acerca de la implementación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect . . . . 427
Guía del administrador de PAN-OS v

Configuración del portal para autenticar satélites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Configuración de puertas de enlace de GlobalProtect para LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuración de la puerta de enlace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuración del portal de GlobalProtect para LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Tareas previamente necesarias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Configuración del portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
Definición de las configuraciones de satélites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Preparación del dispositivo satélite para unirse a la LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Verificación de la configuración de LSVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Configuraciones rápidas de LSVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Configuración básica de LSVPN con rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Configuración avanzada de LSVPN con enrutamiento dinámico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Implementaciones de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Implementaciones de cable virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Implementaciones de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Implementaciones de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
Implementaciones de modo tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Configuración de rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Configuración de RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Configuración de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Conceptos de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Configuración de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Configuración de OSPFv3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Configuración del reinicio correcto de OSPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Confirmación del funcionamiento de OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Configuración de BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
vi Guía del administrador de PAN-OS

Primeros pasos
Las siguientes secciones proporcionan pasos detallados para ayudarle a implementar un nuevo cortafuegos de
próxima generación de Palo Alto Networks. Proporcionan detalles para integrar un nuevo cortafuegos en su red
y configurar políticas de seguridad básicas y funciones de prevención de amenazas.
Después de realizar los pasos de configuración básicos necesarios para integrar el cortafuegos en su red, puede
utilizar el resto de los temas de esta guía como ayuda para implementar las completas funciones de la plataforma
de seguridad empresarial según sea necesario para cubrir sus necesidades de seguridad de red.
 Integración del cortafuegos en su red de gestión
 Creación del perímetro de seguridad
 Habilitación de funciones de prevención de amenazas básicas
 Prácticas recomendadas para completar la implementación del cortafuegos
Primeros pasos 1
Integración del cortafuegos en su red de gestión Primeros pasos
Integración del cortafuegos en su red de gestión

Los siguientes temas describen cómo realizar los pasos de la configuración inicial necesarios para integrar un
nuevo cortafuegos en la red de gestión e implementarlo con una configuración de seguridad básica.
Los siguientes temas describen cómo integrar un único cortafuegos de próxima generación de
Palo Alto Networks en su red. Si desea información detallada sobre cómo implementar un par de
cortafuegos en una configuración de alta disponibilidad, lea la información de la documentación
de HA antes de continuar.
 Configuración del acceso a la gestión del cortafuegos
 Activación de servicios de cortafuegos
Configuración del acceso a la gestión del cortafuegos
Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestión externo (MGT) que puede usar
para llevar a cabo las funciones de administración del cortafuegos. Al usar el puerto de gestión, está separando
las funciones de gestión del cortafuegos de las funciones de procesamiento de datos, de modo que protege el
acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de
configuración inicial desde el puerto de gestión, incluso aunque pretenda usar un puerto interno para gestionar
su dispositivo más adelante.
Algunas tareas de gestión, como la recuperación de licencias, la actualización de amenazas y las firmas de las
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de
gestión, deberá establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o
plantearse cargar manualmente actualizaciones de forma regular.
Las siguientes secciones contienen instrucciones para establecer el acceso de gestión al cortafuegos:
 Determinación de la estrategia de gestión
 Realización de la configuración inicial
 Establecimiento de acceso a la red para servicios externos
Determinación de la estrategia de gestión
El cortafuegos Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de forma
central usando Panorama, el sistema de gestión de seguridad centralizado de Palo Alto Networks. Si tiene seis o
más cortafuegos implementados en su red, use Panorama para obtener estas ventajas:
 Reducir la complejidad y la carga administrativa en la configuración de la gestión, políticas, software y cargas

de contenido dinámico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar
eficazmente la configuración específica de los dispositivos en un dispositivo e introducir las políticas
compartidas en todos los dispositivos o grupos de dispositivos.
 Agregar datos de todos los cortafuegos gestionados y conseguir visibilidad en todo el tráfico de su red. El
Centro de comando de aplicación (ACC) de Panorama ofrece un panel de pantalla única para unificar
informes de todos los cortafuegos que le permiten realizar análisis, investigaciones e informes de forma
central sobre el tráfico de red, los incidentes de seguridad y las modificaciones administrativas.
2 Primeros pasos
Primeros pasos Integración del cortafuegos en su red de gestión
Los procedimientos de este documento describen cómo gestionar el cortafuegos usando la interfaz web local.
Si quiere utilizar Panorama para la gestión centralizada, cuando haya completado las instrucciones de la sección
Realización de la configuración inicial de esta guía, verifique que el cortafuegos puede establecer una conexión
con Panorama. Desde ese momento, podrá utilizar Panorama para configurar su cortafuegos de forma central.
Realización de la configuración inicial
De forma predeterminada, la dirección IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contraseña es

admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de
configuración del cortafuegos. Debe realizar estas tareas de configuración inicial desde la interfaz de gestión
(MGT), aunque no pretenda usar esta interfaz para la gestión de su cortafuegos, o usar una conexión de serie
directa al puerto de la consola del dispositivo.
Configuración del acceso de red al cortafuegos
Paso 1 Obtenga la información necesaria de su • Dirección IP para el puerto MGT

administrador de red.
• Máscara de red
• Puerta de enlace predeterminada
• Dirección de servidor DNS
Paso 2 Conecte su ordenador al cortafuegos. Puede conectarse al cortafuegos de uno de estos modos:
• Conecte un cable serie desde su ordenador al puerto de la consola y
conecte con el cortafuegos usando el software de emulación de
terminal (9600-8-N-1). Espere unos minutos hasta que se complete
la secuencia de arranque; cuando el dispositivo esté listo, el mensaje
cambiará al nombre del cortafuegos, por ejemplo PA-500
login.
• Conecte un cable Ethernet RJ-45 desde su ordenador hasta el
puerto de gestión del cortafuegos. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba
cambiar la dirección IP de su ordenador a una dirección de la red
192.168.1.0, como 192.168.1.2, para acceder a esta URL.
Paso 3 Cuando se le indique, inicie sesión en el Debe iniciar sesión usando el nombre de usuario y contraseña
cortafuegos. predeterminados (admin/admin). El cortafuegos comenzará a
inicializarse.
Primeros pasos 3
Configuración del acceso de red al cortafuegos (Continuación)
Paso 4 Configure la interfaz de gestión. 1. Seleccione Dispositivo > Configuración > Gestión y, a
continuación, haga clic en el icono Editar de la sección
Configuración de interfaz de gestión de la pantalla. Introduzca
la dirección IP, máscara de red y puerta de enlace
predeterminada.
2. Fije la velocidad en negociación automática.
3. Seleccione los servicios de gestión que permitirá en la interfaz.
Práctica recomendada:
Asegúrese de que ni Telnet ni HTTP estén seleccionados, ya que
estos servicios usan texto sin formato y no son tan seguros
como los otros servicios.
4. Haga clic en ACEPTAR.
Paso 5 (Opcional) Configure los ajustes 1. Seleccione Dispositivo > Configuración > Gestión y haga clic en
generales del cortafuegos. el icono Editar de la sección Configuración general de la
pantalla.
2. Introduzca un nombre de host para el cortafuegos y el nombre
de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usará para unirse al dominio.
3. Introduzca la Latitud y Longitud para permitir la colocación
precisa del cortafuegos en el mapamundi.
Paso 6 Configure los ajustes de DNS, hora y 1. Seleccione Dispositivo > Configuración > Servicios y haga clic
fecha. en el icono Editar de la sección Servicios de la pantalla.
Nota Debe configurar manualmente al menos 2. Introduzca la dirección IP de su Servidor DNS principal y, de
un servidor DNS en el cortafuegos o no manera opcional, de su Servidor DNS secundario.
podrá resolver los nombres de host; no 3. Para usar el clúster virtual de servidores horarios de Internet,
usará configuraciones del servidor DNS introduzca el nombre de host pool.ntp.org como servidor NTP
de otra fuente, como un ISP. principal o añada la dirección IP de su servidor NTP principal y,
de manera opcional, su servidor NTP secundario.
4. Haga clic en Aceptar para guardar la configuración.
Paso 7 Establezca una contraseña segura para la 1. Seleccione Dispositivo > Administradores.
cuenta de administrador. 2. Seleccione la función admin.
3. Introduzca la contraseña predeterminada actual y la nueva
contraseña.
Paso 8 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90
Nota Al guardar los cambios de configuración, segundos en guardar sus cambios.
perderá la conexión con la interfaz web, ya
que la dirección IP habrá cambiado.
4 Primeros pasos
Configuración del acceso de red al cortafuegos (Continuación)
Paso 9 Conecte el cortafuegos a su red. 1. Desconecte el cortafuegos de su ordenador.

2. Conecte el puerto de gestión a un puerto de conmutador en su
red de gestión usando un cable Ethernet RJ-45. Asegúrese de
que el puerto de conmutación que conecta al cortafuegos
mediante un cable está configurado para negociación
automática.
Paso 10 Abra una sesión de gestión SSH en el Usando un software de emulación de terminal, como PuTTY, inicie
cortafuegos. una sesión SSH en el cortafuegos usando la nueva dirección IP que
le ha asignado.
Paso 11 Verifique el acceso a la red para los Si ha conectado el puerto de gestión con un cable para tener acceso
servicios externos requeridos para la desde una red externa, compruebe que tiene acceso al cortafuegos y
gestión del cortafuegos, como el servidor desde el mismo usando la utilidad ping de la CLI. Asegúrese de que
de actualizaciones de Palo Alto Networks, tiene conexión a la puerta de enlace predeterminada, servidor DNS
de uno de estos modos: y el servidor de actualización de Palo Alto Networks como se
• Si no desea permitir que una red muestra en el siguiente ejemplo:
externa acceda a la interfaz de gestión, admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
tendrá que configurar un puerto de bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
datos para recuperar las actualizaciones 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
de servicio requeridas. Vaya a 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
Establecimiento de acceso a la red para Nota Cuando haya comprobado la conectividad, pulse Ctrl+C
servicios externos. para detener los pings.
• Si va a permitir que una red externa
acceda a la interfaz de gestión,
compruebe que tiene conexión y vaya a
Activación de servicios de cortafuegos.
Establecimiento de acceso a la red para servicios externos
De manera predeterminada, el cortafuegos usa la interfaz de gestión para acceder a servicios remotos, como
servidores DNS, actualizaciones de contenido y recuperación de licencias. Si no quiere activar el acceso de una
red externa a su red de gestión, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios
externos requeridos.
Para esta tarea debe estar familiarizado con zonas, políticas e interfaces de cortafuegos. Si
desea más información sobre estos temas, consulte Creación del perímetro de seguridad.
Establecimiento de un puerto de datos para acceder a servicios externos
Paso 1 Decida el puerto que desea usar para La interfaz que use necesitará una dirección IP estática.
acceder a servicios externos y conéctelo
al puerto del conmutador o al puerto del
enrutador.
Primeros pasos 5
Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)
Paso 2 Inicie sesión en la interfaz web. Si usa una conexión segura (https) desde su navegador web, inicie
sesión usando la nueva dirección IP y contraseña que asignó durante
la configuración inicial (https://<dirección IP>). Verá un
advertencia de certificación; es normal. Vaya a la página web.
Paso 3 (Opcional) El cortafuegos viene Debe eliminar la configuración en el siguiente orden:

preconfigurado con una interfaz de cable 1. Para eliminar la política de seguridad predeterminada, seleccione
virtual predeterminada entre los puertos Políticas > Seguridad, seleccione la regla y haga clic en Eliminar.
Ethernet 1/1 y Ethernet 1/2 (y sus 2. A continuación, elimine el cable virtual predeterminado
correspondientes zonas y políticas de seleccionando Red > Cables virtuales, seleccionando el
seguridad predeterminadas). Si no cable virtual y haciendo clic en Eliminar.
pretende usar esta configuración de cable
virtual, debe eliminar manualmente la 3. Para eliminar las zonas fiables y no fiables predeterminadas,
configuración para evitar que interfiera seleccione Red > Zonas, seleccione cada zona y haga clic en
Eliminar.
con otras configuraciones de interfaz que
defina. 4. Por último, elimine las configuraciones de interfaz seleccionando
Red > Interfaces y, a continuación, seleccione cada interfaz
(ethernet1/1 y ethernet1/2) y haga clic en Eliminar.
5. Confirme los cambios.
Paso 4 Configure la interfaz. 1. Seleccione Red > Interfaces y seleccione la interfaz que
corresponde al puerto en el que conectó el cable en el paso 1.
2. Seleccione el Tipo de interfaz. Aunque su decisión aquí depende
de la topología de su red, este ejemplo muestra los pasos para
Capa 3.
3. En la pestaña Configurar, amplíe el menú desplegable Zona de
seguridad y seleccione Nueva zona.
4. En el cuadro de diálogo Zona, defina un Nombre para una nueva
zona, por ejemplo L3-fiable, y haga clic en Aceptar.
5. Seleccione la pestaña IPv4, seleccione el botón de opción
Estático, haga clic en Añadir en la sección IP e introduzca la
dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24.
6. Seleccione Avanzada > Otra información, amplíe el menú
desplegable Perfil de gestión y seleccione Nuevo perfil de
gestión.
7. Introduzca un Nombre para el perfil, como permitir_ping, y
seleccione a continuación los servicios que desea permitir en la
interfaz. Estos servicios ofrecen acceso a la gestión del
dispositivo, así que seleccione solo los servicios que correspondan
a actividades de gestión que desee permitir en esta interfaz. Por
ejemplo, si desea utilizar la interfaz de gestión para las tareas de
configuración del dispositivo a través de la interfaz web o CLI, no
debería activar HTTP, HTTPS, SSH o Telnet para poder evitar el
acceso no autorizado a través de esta interfaz. Para permitir el
acceso a los servicios externos, probablemente solo tenga que
activar Ping y después hacer clic en Aceptar.
8. Para guardar la configuración de la interfaz, haga clic en Aceptar.
6 Primeros pasos
Paso 5 Dado que el cortafuegos usa la interfaz de 1. Seleccione Dispositivo > Configuración > Servicios >
gestión de manera predeterminada para Configuración de ruta de servicios.
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el cortafuegos para enviar estas
solicitudes editando las rutas de servicios. Nota Para activar sus licencias y obtener el contenido y las
actualizaciones de software más recientes, debe cambiar la
ruta de servicios de DNS, Actualizaciones de Palo Alto,
Actualizaciones de URL y WildFire.
2. Haga clic en el botón de opción Personalizar y seleccione una
de las siguientes opciones:
• En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic
en el enlace del servicio para el que quiera modificar la
interfaz de origen y seleccione la interfaz que acaba de
configurar.
Si se configura más de una dirección IP para la interfaz
seleccionada, el menú desplegable Dirección de origen le
permite seleccionar una dirección IP.
• Para crear una ruta de servicio para un destino personalizado,
seleccione Destino y haga clic en Añadir. Introduzca un
nombre de destino y seleccione una interfaz de origen. Si se
configura más de una dirección IP para la interfaz
seleccionada, el menú desplegable Dirección de origen le
permite seleccionar una dirección IP.
3. Haga clic en ACEPTAR para guardar la configuración.
4. Repita los pasos del 2 al 3 indicados anteriormente para cada
ruta de servicio que quiera modificar.
5. Compile sus cambios.
Primeros pasos 7
Paso 6 Configure una interfaz de orientación externa y una zona asociada y, a continuación, cree las reglas de política
NAT y de seguridad para permitir que el cortafuegos envíe solicitudes de servicio de la zona interna a la externa:
1. Seleccione Red > Interfaces y, a continuación, seleccione su interfaz de orientación externa. Seleccione Capa 3
como el Tipo de interfaz, añada la dirección IP (en la pestaña IPv4 o IPv6) y cree la Zona de seguridad asociada
(en la pestaña Configuración), tal como l3-nofiable. No necesita configurar servicios de gestión en esta interfaz.
2. Para configurar una regla de seguridad que permita el tráfico desde su red interna al servidor de actualizaciones
de Palo Alto Networks y los servidores DNS externos, seleccione Políticas > Seguridad y haga clic en Añadir.
Para realizar la configuración inicial, puede crear una regla simple que permita todo el tráfico de l3-fiable a
l3-nofiable del siguiente modo:
3. Si usa una dirección IP

privada en la interfaz de
orientación interna,
deberá crear una regla
NAT de origen para traducir la dirección a una dirección enrutable públicamente. Seleccione Políticas > NAT y,
a continuación, haga clic en Añadir. Como mínimo deberá definir un nombre para la regla (pestaña General),
especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaña Paquete original), y definir
la configuración de traducción de dirección de origen (pestaña Paquete traducido); a continuación debe hacer
clic en Aceptar. Si desea más información sobre NAT, consulte Configuración de políticas de NAT.
Paso 7 Compruebe que tiene conectividad desde Inicie la CLI y use la utilidad ping para comprobar que tiene
el puerto de datos a los servicios externos, conectividad. Tenga en cuenta que los pings predeterminados se envían
incluida la puerta de enlace desde la interfaz MGT, por lo que en este caso deberá especificar la
predeterminada, el servidor DNS y el interfaz de origen para las solicitudes de ping del siguiente modo:
servidor de actualización de Palo Alto admin@PA-200> ping source 192.168.1.254 host
updates.paloaltonetworks.com
Networks. PING updates.paloaltonetworks.com (67.192.236.252) from
192.168.1.254 : 56(84) bytes de datos.
Tras comprobar que tiene la conectividad 64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
de red requerida, vaya a Activación de 64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
^C
servicios de cortafuegos.
Cuando haya comprobado la conectividad, pulse Ctrl+C para
detener los pings.
Activación de servicios de cortafuegos
Antes de que pueda empezar a usar el cortafuegos para proteger su red, debe registrarlo y activar las licencias
de los servicios que ha adquirido. Además, debe asegurarse de que está ejecutando la versión adecuada de
PAN-OS como se describe en las siguientes secciones:
 Registro en Palo Alto Networks
 Activación de licencias
 Gestión de la actualización de contenidos
 Instalación de actualizaciones de software
8 Primeros pasos
Registro en Palo Alto Networks
Registro del cortafuegos
Paso 1 Inicie sesión en la interfaz web. Si usa una conexión segura (https) desde su navegador web, inicie
sesión usando la nueva dirección IP y contraseña que asignó durante
la configuración inicial (https://<dirección IP>). Verá un
advertencia de certificación; es normal. Vaya a la página web.
Paso 2 Busque el número de serie y cópielo en el En el Panel, busque su número de serie en la sección Información
portapapeles. general de la pantalla.
Paso 3 Vaya al sitio de asistencia de Palo Alto En una ventana o pestaña nueva del navegador, vaya a
Networks. https://support.paloaltonetworks.com.
Paso 4 Registre el dispositivo. El modo de • Si es el primer dispositivo de Palo Alto Networks que registra y aún
registrarse dependerá de que tenga o no no tiene un inicio de sesión, haga clic en Registrar en el lado
un inicio de sesión en el sitio de asistencia derecho de la página. Para registrarse, debe proporcionar su
técnica. dirección de correo electrónico y el número de serie de su
cortafuegos (que puede pegar desde el portapapeles). También se
le pedirá que establezca un nombre de usuario y una contraseña
para acceder a la comunidad de asistencia técnica de Palo Alto
Networks.
• Si ya dispone de una cuenta de asistencia técnica, inicie sesión y
haga clic en Mis dispositivos. Desplácese hasta la sección Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
número de serie de su cortafuegos (que puede pegar desde el
portapapeles), su ciudad y su código postal, y haga clic en
Registrar dispositivo.
Activación de licencias
Antes de que pueda empezar a usar su cortafuegos para proteger el tráfico de su red, deberá activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
 Prevención de amenazas: Proporciona protección antivirus, antispyware y contra vulnerabilidades.
 Reflejo del puerto de descifrado: Proporciona la capacidad de crear una copia del tráfico descifrado desde
un cortafuegos y enviarlo a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de
paquetes sin formato (como NetWitness o Solera) para su archivado y análisis.
 Filtrado de URL: Para crear reglas de política basadas en categorías de URL dinámicas, debe adquirir e
instalar una suscripción para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener más información sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Primeros pasos 9
 Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los cortafuegos de las series PA-2000 y PA-3000. Además, debe adquirir una licencia de sistemas virtuales
si desea utilizar un número de sistemas virtuales superior al ofrecido de manera predeterminada por los
cortafuegos de las series PA-4000, PA-5000 y PA-7050 (el número básico varía según la plataforma).
Las series PA-500, PA-200 y VM-Series no son compatibles con sistemas virtuales.
 WildFire: Aunque la compatibilidad básica con WildFire está incluida como parte de la licencia de
prevención de amenazas, el servicio de suscripción a WildFire ofrece servicios mejorados para aquellas
organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la
firma de WildFire con una frecuencia inferior a una hora, el reenvío de tipos de archivos avanzados (APK,
PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. También
se requiere una suscripción a WildFire si sus cortafuegos van a reenviar archivos a un dispositivo WF-500
WildFire privado.
 GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar una única puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y única). Si desea utilizar comprobaciones de host, también necesitará
licencias de puertas de enlace (suscripción) para cada puerta de enlace.
Activación de licencias
Paso 1 Encuentre los códigos de activación de Al comprar las suscripciones debió recibir un mensaje de correo
las licencias que ha adquirido. electrónico del servicio de atención al cliente de Palo Alto Networks
con los códigos de activación asociados a cada suscripción. Si no
encuentra este mensaje, póngase en contacto con atención al cliente
para recibir sus códigos de activación antes de continuar.
Paso 2 Inicie la interfaz web y vaya a la página de Seleccione Dispositivo > Licencias.
licencias.
Paso 3 Active todas las licencias que ha 1. Seleccione Activar característica mediante código de
adquirido. autorización.
Nota Si su cortafuegos no tiene acceso a 2. Cuando se le indique, introduzca el Código de autorización y
Internet desde el puerto de gestión, puede haga clic en Aceptar.
descargar sus licencias de forma manual 3. Compruebe que la licencia se haya activado correctamente. Por
desde el sitio de asistencia técnica y ejemplo, tras activar la licencia de WildFire, debería ver que la
cargarlas en el cortafuegos usando la licencia es válida:
opción Clave de licencia de carga
manual.
Gestión de la actualización de contenidos
Para estar por delante del panorama cambiante de amenazas y aplicaciones, Palo Alto Networks mantiene una
infraestructura de Content Delivery Network (CDN, Red de entrega de contenidos) para entregar
actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos dispositivos acceden a los
recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones y de ID de contenidos. De
10 Primeros pasos
forma predeterminada, los dispositivos utilizan el puerto de gestión para acceder a la infraestructura de CDN
para realizar actualizaciones de aplicaciones, de amenazas y de firma de antivirus, actualizaciones y búsquedas
en BrightCloud y en base de datos PAN-DB, así como acceso a la nube de WildFire de Palo Alto Networks. Para
garantizar una protección constante contra las amenazas más recientes (incluidas aquellas que aún no se han
descubierto), debe asegurarse de mantener actualizados sus dispositivos con las actualizaciones más recientes de
Palo Alto Networks.
Están disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:
Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en

cualquier momento, es recomendable programar las actualizaciones para que se realicen
automáticamente.
 Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripción a prevención de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los días.
 Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no requiere

suscripciones adicionales, pero sí un contrato de asistencia/mantenimiento en vigor. Todas las semanas se
publican nuevas actualizaciones de aplicaciones.
 Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta

actualización está disponible si cuenta con una suscripción de prevención de amenazas (y la obtiene en lugar
de la actualización de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.
 Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y
evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect.
Debe tener una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas
actualizaciones. Además, debe crear una programación para estas actualizaciones antes de que GlobalProtect
funcione.
 Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones.
Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automática.
 WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como
consecuencia del análisis realizado por el servicio de la nube de WildFire. Sin la suscripción, debe esperar de
24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas.
Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede descargar

actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks
(https://support.paloaltonetworks.com) y, a continuación, cargarlas en su cortafuegos.
Si su cortafuegos está implementado detrás de cortafuegos o servidores proxy existentes, el
acceso a estos recursos externos puede restringirse empleando listas de control de acceso que
permiten que el cortafuegos acceda únicamente a un nombre de host o una dirección IP. En
dichos casos, para permitir el acceso a la CDN, establezca la dirección del servidor de
actualizaciones para que utilice el nombre de host staticupdates.paloaltonetworks.com o la
dirección IP 199.167.52.15.
Primeros pasos 11
Descarga de las bases de datos más recientes
Paso 1 Verifique que el cortafuegos apunta a la Seleccione Dispositivo > Configuración > Servicios.
infraestructura de CDN. • Como práctica recomendada, establezca el Servidor de
actualizaciones para que acceda a
updates.paloaltonetworks.com. De esta forma el cortafuegos
podrá recibir actualizaciones de contenidos desde el servidor que
esté más cercano en la infraestructura de CDN.
• (Opcional) Si el cortafuegos tiene acceso restringido a Internet,
establezca la dirección del servidor de actualizaciones para que
utilice el nombre de host staticupdates.paloaltonetworks.com o la
dirección IP 199.167.52.15. Para añadir seguridad, seleccione
Verificar identidad del servidor de actualización. El cortafuegos
verificará que el servidor desde el que se descarga el software o el
paquete de contenidos cuenta con un certificado SSL firmado por
una autoridad fiable.
Paso 2 Inicie la interfaz web y vaya a la página Seleccione Dispositivo > Actualizaciones dinámicas.
Actualizaciones dinámicas.
Paso 3 Compruebe las actualizaciones más recientes.

Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las
actualizaciones más recientes. El enlace de la columna Acción indica si una actualización está disponible:
• Descargar: Indica que hay disponible un nuevo archivo de actualización. Haga clic en el enlace para iniciar la
descarga directamente en el cortafuegos. Tras descargarlo correctamente, el enlace en la columna Acción
cambia de Descargar a Instalar.
Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones
y amenazas.
• Actualizar: Indica que hay una nueva versión de la base de datos de BrightCloud disponible. Haga clic en el
enlace para iniciar la descarga e instalación de la base de datos. La actualización de la base de datos se inicia
en segundo plano; al completarse aparece una marca de verificación en la columna Instalado actualmente.
Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no verá ningún enlace de
actualización porque la base de datos de PAN-DB se sincroniza automáticamente con el servidor.
Consejo: Para comprobar el estado de una acción, haga clic en Tareas (en la esquina inferior derecha de la ventana).
• Revertir: Indica que la versión de software correspondiente se ha descargado anteriormente. Puede decidir
revertir a la versión instalada anteriormente de la actualización.
12 Primeros pasos
Descarga de las bases de datos más recientes (Continuación)
Paso 4 Instale las actualizaciones. Haga clic en el enlace Instalar de la columna Acción. Cuando se
Nota La instalación puede tardar hasta complete la instalación, aparecerá una marca de verificación en la
20 minutos en un dispositivo PA-200, columna Instalado actualmente.
PA-500 o PA-2000, y hasta dos minutos
en los cortafuegos de las series PA-3000,
PA-4000, PA-5000, PA-7050 o VM-Series.
Paso 5 Programe cada actualización. 1. Establezca la programación de cada tipo de actualización

haciendo clic en el enlace Ninguna.
Repita este paso en cada actualización que
desee programar.
2. Especifique la frecuencia de las actualizaciones seleccionando
Escalone las programaciones de
un valor en el menú desplegable Periodicidad. Los valores
actualizaciones, dado que el cortafuegos
disponibles varían en función del tipo de contenido (las
no puede descargar más de una
actualizaciones de WildFire están disponibles cada 15 minutos,
actualización a la vez. Si ha programado la
cada 30 minutos o cada hora, mientras que para otros tipos de
descarga de varias actualizaciones al
contenidos pueden programarse actualizaciones diarias o
mismo tiempo, solo la primera se realizará
semanales).
correctamente.
3. Especifique la hora (o los minutos que pasan de una hora en el caso
de WildFire) y, si está disponible en función de la Periodicidad
seleccionada, el día de la semana para realizar la actualización.
4. Especifique si desea que el sistema descargue e instale la
actualización (práctica recomendada) o que únicamente la
descargue.
5. En raras ocasiones puede haber errores en las actualizaciones de
contenido. Por este motivo, tal vez desee retrasar la instalación
de nuevas actualizaciones hasta que lleven varias horas
publicadas. Puede especificar el tiempo de espera tras una
publicación para realizar una actualización de contenido
introduciendo el número de horas de espera en el campo
Umbral (horas).
6. Haga clic en Aceptar para guardar estos ajustes de
programación.
7. Haga clic en Confirmar para guardar estos ajustes en la
configuración actual.
Instalación de actualizaciones de software
Al instalar un nuevo cortafuegos, es recomendable usar la actualización más reciente del software (o la versión
recomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovechar
las correcciones y mejoras de seguridad más recientes. Tenga en cuenta que antes de actualizar el software debe
Primeros pasos 13
asegurarse de tener las actualizaciones de contenido más recientes según se indica en la sección anterior (las
notas de la versión de una actualización de software especifican las versiones de actualización de contenido
mínimas que son compatibles con la versión).
Actualización de PAN-OS
Paso 1 Inicie la interfaz web y vaya a la página Seleccione Dispositivo > Software.
Software.
Paso 2 Compruebe las actualizaciones de Haga clic en Comprobar ahora para comprobar las actualizaciones
software. más recientes. Si el valor de la columna Acción es Descargar, indica
que hay una actualización disponible.
Paso 3 Descargar la actualización. Busque la versión que quiere y haga clic en Descargar. Cuando se
Nota Si su cortafuegos no tiene acceso a complete la descarga, el valor en la columna Acción cambia a
Internet desde el puerto de gestión, puede Instalar.
descargar la actualización de software
desde el sitio de asistencia técnica de Palo
Alto Networks
(https://support.paloaltonetworks.com).
Después podrá cargarla manualmente en
su cortafuegos.
Paso 4 Instale la actualización. 1. Haga clic en Instalar.

2. Reinicie el cortafuegos:
• Si se le pide que reinicie, haga clic en Sí.
• Si no se le pide que reinicie, seleccione Dispositivo >

Configuración > Operaciones y haga clic en Reiniciar
dispositivo en la sección Operaciones de dispositivo de la
pantalla.
14 Primeros pasos
Primeros pasos Creación del perímetro de seguridad
Creación del perímetro de seguridad

Los siguientes temas proporcionan pasos básicos para configurar las interfaces del cortafuegos, definir zonas y
configurar una política de seguridad básica:
 Descripción general del perímetro de seguridad
 Configuración del acceso a la gestión del cortafuegos
 Configuración de políticas de NAT
 Configuración de políticas de seguridad básicas
Descripción general del perímetro de seguridad
El tráfico debe pasar por el cortafuegos para que este pueda gestionarlo y controlarlo. Físicamente, el tráfico
entra y sale del cortafuegos a través de las interfaces. El cortafuegos decide cómo actuar sobre un paquete
basándose en si el paquete coincide con una política de seguridad. Al nivel más básico, la política de seguridad debe
identificar de dónde proviene el tráfico y hacia dónde va. En un cortafuegos de próxima generación de Palo Alto
Networks, se aplican políticas de seguridad entre zonas. Una zona es un grupo de interfaces (físicas o virtuales)
que proporciona una abstracción de un área de confianza para el cumplimiento de una política simplificada.
Por ejemplo, en el siguiente diagrama de topología, hay tres zonas: fiable, no fiable y DMZ. El tráfico puede
circular libremente dentro de una zona, pero no podrá hacerlo entre zonas hasta que no defina una política de
seguridad que lo permita.
Las siguientes secciones describen los componentes del perímetro de seguridad e indican los pasos necesarios
para configurar las interfaces del cortafuegos, definir zonas y configurar una política de seguridad básica que
permita el tráfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una política básica como
esta, podrá analizar el tráfico que circula por su red y utilizar esta información para definir políticas más
específicas y así habilitar aplicaciones de forma segura y evitar amenazas.
 Implementaciones de cortafuegos básicas
 Acerca de la traducción de direcciones de red (NAT)
 Acerca de las políticas de seguridad
Primeros pasos 15
Creación del perímetro de seguridad Primeros pasos
Implementaciones de cortafuegos básicas
Todos los cortafuegos de próxima generación de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinámico, la conmutación y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prácticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podrá elegir entre una implementación de interfaz de cable virtual, capa 2
o capa 3. Además, para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen información básica sobre cada tipo de
implementación.
 Implementaciones de cable virtual
 Implementaciones de capa 2
Para obtener información más detallada sobre la implementación, consulte Designing Networks with Palo Alto
Networks cortafuegos (Diseño de redes con cortafuegos de Palo Alto Networks).
Implementaciones de cable virtual
En una implementación de cable virtual, el cortafuegos se instala de forma transparente en un segmento de red
uniendo dos puertos. Cuando utilice un cable virtual, podrá instalar el cortafuegos en cualquier entorno de red
sin volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir
el tráfico en función de los valores de etiquetas de LAN virtual (VLAN). También puede crear múltiples
subinterfaces y clasificar el tráfico en función de una dirección IP (nombre, intervalo o subred), VLAN o una
combinación de ambas.
De forma predeterminada, el Virtual Wire (denominado default-vwire) conecta los puertos Ethernet 1 y 2 y
permite todo el tráfico sin etiquetar. Seleccione esta implementación para simplificar la instalación y la
configuración, y/o evitar cambios de configuración en los dispositivos de red que se encuentran alrededor.
Un cable virtual es la configuración predeterminada y solo se debe utilizar cuando no se necesita conmutación
o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la
configuración antes de continuar con la configuración de la interfaz para evitar que interfiera con otras
configuraciones de interfaz que defina. Para obtener instrucciones sobre cómo eliminar el Virtual Wire
predeterminado, así como sus zonas y política de seguridad asociadas, consulte el Paso 3 en Establecimiento de
un puerto de datos para acceder a servicios externos.
Implementaciones de capa 2
En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutará el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN común.
Seleccione esta opción cuando necesite poder alternar.
Para obtener más información sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota técnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota técnica sobre protección del
tráfico entre VLAN).
16 Primeros pasos
En una implementación de capa 3, el cortafuegos enruta el tráfico entre puertos. Se debe asignar una dirección
IP a cada interfaz y definir un enrutador virtual para enrutar el tráfico. Seleccione esta opción cuando necesite
enrutamiento.
Debe asignar una dirección IP a cada interfaz de capa 3 física que configure. También puede crear subinterfaces
lógicas para cada interfaz de capa 3 física que le permitan segregar el tráfico de la interfaz basándose en el tag
de VLAN (cuando se utilice un enlace troncal de VLAN) o la dirección IP, por ejemplo, para la arquitectura
multiempresa.
Además, dado que el cortafuegos debe enrutar tráfico en una implementación de capa 3, deberá configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento
dinámico (BGP, OSPF o RIP), así como añadir rutas estáticas. También puede crear varios enrutadores virtuales,
cada uno de los cuales mantendrá un conjunto separado de rutas que no se comparten entre enrutadores
virtuales, lo que le permitirá configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuración de este capítulo muestra cómo integrar el cortafuegos en su red de capa 3 utilizando
rutas estáticas. Para obtener información sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
 How to Configure OSPF Tech Note (Nota técnica sobre cómo configurar OSPF)
 How to Configure BGP Tech Note (Nota técnica sobre cómo configurar BGP)
Acerca de la traducción de direcciones de red (NAT)
Cuando utilice direcciones IP privadas en sus redes internas, deberá utilizar la traducción de direcciones de red
(NAT) para traducir las direcciones privadas en direcciones públicas que puedan enrutarse a redes externas. En
PAN-OS, cree reglas de política NAT que indican al cortafuegos qué paquetes necesitan traducción y cómo
realizar la traducción. El cortafuegos admite tanto la traducción de puerto y/o dirección de origen como la
traducción de puerto y/o dirección de destino. Para obtener información más detallada sobre los diferentes
tipos de reglas de NAT, consulte Understanding and Configuring NAT Tech Note (Nota técnica sobre la comprensión
y configuración de NAT).
Es importante comprender el modo en que el cortafuegos aplica las políticas NAT y de seguridad para
determinar qué políticas necesita basándose en las zonas que ha definido. Al entrar, el cortafuegos inspecciona
un paquete para comprobar si coincide con alguna de las reglas de NAT que se han definido, basándose en la
zona de origen y/o destino. A continuación, evalúa y aplica las reglas de seguridad que coincidan con el paquete
basándose en las direcciones de origen y destino originales (anteriores a NAT). Por último, traduce los números
de puerto de origen y/o destino para las reglas de NAT coincidentes al salir. Esta distinción es importante, ya
que implica que el cortafuegos determina para qué zona está destinado un paquete basándose en la dirección
del paquete, no en la colocación del dispositivo basándose en su dirección asignada de manera interna.
Primeros pasos 17
Acerca de las políticas de seguridad
Las políticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de
manera óptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales. En
el cortafuegos de Palo Alto Networks, las políticas de seguridad determinan si una sesión se bloqueará o se
permitirá basándose en atributos del tráfico, como la zona de seguridad de origen y destino, la dirección IP de
origen y destino, la aplicación, el usuario y el servicio. De manera predeterminada, se permite el tráfico intrazona
(es decir, el tráfico dentro de la misma zona, por ejemplo, de fiable a fiable). El tráfico entre diferentes zonas
(o tráfico interzonas) está bloqueado hasta que cree una política de seguridad que permita el tráfico.
Las políticas de seguridad se evalúan de izquierda a derecha y de arriba abajo. Un paquete coincide con la primera
regla que cumpla los criterios definidos; después de activar una coincidencia, las reglas posteriores no se evalúan.
Por lo tanto, las reglas más específicas deben preceder a las más genéricas para aplicar los mejores criterios de
coincidencia. El tráfico que coincide con una regla genera una entrada de log al final de la sesión en el log de
tráfico, si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla. Por ejemplo,
se pueden configurar para registrarse al inicio de una sesión en lugar o además de registrarse al final de una
sesión.
 Componentes de una política de seguridad
 Prácticas recomendadas de políticas
 Acerca de objetos de políticas
 Acerca de los perfiles de seguridad
Componentes de una política de seguridad
La estructura de las políticas de seguridad permite una combinación de los componentes obligatorios y
opcionales enumerados a continuación.
Campo Descripción
Campos Nombre Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
obligatorios
Zona de origen Zona en la que se origina el tráfico.
Zona de destino Zona en la que termina el tráfico. Si utiliza NAT, asegúrese de hacer
referencia siempre a la zona posterior a NAT.
Aplicación La aplicación que desea controlar. El cortafuegos utiliza la tecnología de
clasificación de tráfico App-ID para identificar el tráfico de su red.
App-ID permite controlar las aplicaciones y ofrece visibilidad al crear
políticas de seguridad que bloquean las aplicaciones desconocidas, al
tiempo que se habilitan, inspeccionan y moldean las que están permitidas.
Acción Especifica una acción de permiso o denegación para el tráfico basándose en
los criterios que defina en la regla.
Campos Etiqueta Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto es de
opcionales utilidad cuando ha definido muchas reglas y desea revisar las que están
etiquetadas con una palabra clave específica, por ejemplo Entrante en DMZ.
18 Primeros pasos
Campo Descripción (Continuación)
Descripción Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
Dirección IP de origen Define la dirección IP o FQDN de host, la subred, los grupos nombrados
o el cumplimiento basado en el país. Si utiliza NAT, asegúrese de hacer
siempre referencia a las direcciones IP originales del paquete (es decir, la
dirección IP anterior a NAT).
Dirección IP de destino Ubicación o destino del tráfico. Si utiliza NAT, asegúrese de hacer siempre
referencia a las direcciones IP originales del paquete (es decir, la dirección
IP anterior a NAT).
Usuario Usuario o grupo de usuarios a los que se aplica la política. Debe tener
habilitado User-ID en la zona. Para habilitar User-ID, consulte
Descripción general de User-ID.
Categoría de URL El uso de Categoría de URL como criterios de coincidencia le permite
personalizar perfiles de seguridad (antivirus, antispyware,
vulnerabilidades, bloqueo de archivos, filtrado de datos y DoS) según la
categoría de URL. Por ejemplo, puede impedir la descarga/carga de
archivos .exe para las categorías de URL que representen un riesgo más
alto, mientras que sí lo permite para otras categorías. Esta funcionalidad
también le permite adjuntar programaciones a categorías de URL
específicas (permitir sitios web de redes sociales durante el almuerzo y
después de las horas de trabajo), marcar determinadas categorías de URL
con QoS (financiera, médica y empresarial) y seleccionar diferentes
perfiles de reenvío de logs según la categoría de URL.
Aunque puede configurar categorías de URL manualmente en su
dispositivo, para aprovechar las actualizaciones dinámicas de
categorización de URL disponibles en los cortafuegos de Palo Alto
Networks, deberá adquirir una licencia de filtrado de URL.
Nota Para bloquear o permitir el tráfico basado en la categoría de URL,
deberá aplicar un perfil de filtrado de URL a las reglas de políticas
de seguridad. Defina la categoría de URL como Cualquiera y
adjunte un perfil de filtrado de URL a la política de seguridad.
Consulte Creación de reglas de seguridad para obtener
información sobre el uso de los perfiles predeterminados de su
política de seguridad y consulte Control del acceso a contenido
web para obtener información más detallada.
Primeros pasos 19
Campo Descripción (Continuación)
Servicio Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la

aplicación. Puede seleccionar cualquiera, especificar un puerto o utilizar
Valor predeterminado de aplicación para permitir el uso del puerto basado en
estándares de la aplicación. Por ejemplo, en el caso de aplicaciones con
números de puerto conocidos, como DNS, la opción Valor predeterminado
de aplicación coincidirá con el tráfico DNS únicamente en el puerto 53 de
TCP. También puede añadir una aplicación personalizada y definir los
puertos que puede utilizar la aplicación.
Nota Para reglas de permiso entrante (por ejemplo, de no fiable a
fiable), el uso de Valor predeterminado de aplicación impide que las
aplicaciones se ejecuten en puertos y protocolos inusuales. Valor
predeterminado de aplicación es la opción predeterminada; si
bien el dispositivo sigue comprobando todas las aplicaciones en
todos los puertos, con esta configuración, las aplicaciones
solamente tienen permiso en sus puertos/protocolos estándar.
Campos Perfiles de seguridad Proporciona una protección adicional frente a amenazas, vulnerabilidades
opcionales y fugas de datos. Los perfiles de seguridad únicamente se evalúan en el
caso de reglas que tengan una acción de permiso.
Perfil HIP (para Le permite identificar a clientes con el perfil de información de host (Host
GlobalProtect) Information Profile, HIP) y, a continuación, aplicar privilegios de acceso.
Opciones Le permite definir logs para la sesión, registrar ajustes de reenvío, cambiar
marcas de calidad de servicio (Quality of Service, QoS) de paquetes que
coincidan con la regla y planificar cuándo (día y hora) debería ser efectiva
la regla de seguridad.
Prácticas recomendadas de políticas
La tarea de habilitar de forma segura el acceso a Internet y prevenir el uso indebido de los privilegios de acceso
web y la exposición a vulnerabilidades y ataques es un proceso continuo. El principio básico al definir una
política en el cortafuegos de Palo Alto Networks es utilizar un enfoque de cumplimiento positivo, el cual permite
de manera selectiva aquello que es necesario para las operaciones comerciales cotidianas. Lo contrario sería el
cumplimiento negativo, con el que bloquearía de manera selectiva todo lo que no está permitido. Tenga en
cuenta las siguientes sugerencias al crear una política:
 Si tiene dos o más zonas con requisitos de seguridad idénticos, combínelas en una regla de seguridad.
 El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la política
se evalúa de arriba abajo, las políticas más específicas deben preceder a las más generales, de modo que las
reglas más específicas no estén atenuadas. Esto quiere decir que una regla no se evalúa o se omite porque se
encuentra a un nivel más bajo en la lista de políticas. Cuando la regla se sitúa más abajo, no se evalúa
porque otra regla precedente cumple los criterios de coincidencia, impidiendo así la evaluación de política
de la primera regla.
 Para restringir y controlar el acceso a las aplicaciones entrantes, en la política de seguridad, defina
explícitamente el puerto al que escuchará el servicio/aplicación.
20 Primeros pasos
 El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho tráfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
 De manera predeterminada, el cortafuegos crea una entrada de log al final de una sesión. Sin embargo,
puede modificar este comportamiento predeterminado y configurar el cortafuegos para que se registre al
inicio de la sesión. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio
de la sesión únicamente se recomienda cuando está solucionando un problema. Otra alternativa para
solucionar un problema sin habilitar el registro al inicio de la sesión es utilizar el explorador de sesión
(Supervisar > Explorador de sesión) para ver las sesiones en tiempo real.
Acerca de objetos de políticas
Un objeto de política es un objeto único o una unidad colectiva que agrupa identidades discretas, como direcciones
IP, URL, aplicaciones o usuarios. Con objetos de políticas que sean unidades colectivas, podrá hacer referencia
al objeto en la política de seguridad en lugar de seleccionar manualmente varios objetos de uno en uno. Por lo
general, al crear un objeto de política, se agrupan objetos que requieran permisos similares en la política. Por
ejemplo, si su organización utiliza un conjunto de direcciones IP de servidor para autenticar usuarios, podrá
agrupar el conjunto de direcciones IP de servidor como objeto de política de grupo de direcciones y hacer referencia
al grupo de direcciones en la política de seguridad. Al agrupar objetos, podrá reducir significativamente la carga
administrativa al crear políticas.
Puede crear los siguientes objetos de políticas en el cortafuegos:
Objeto de política Descripción
Dirección/Grupo de Le permite agrupar direcciones de origen o destino específicas que requieren el mismo
direcciones, Región cumplimiento de política. El objeto de dirección puede incluir una dirección IPv4 o
IPv6 (dirección IP simple, intervalo, subred) o FQDN. También puede definir una
región por las coordenadas de latitud y longitud o seleccionar un país y definir la
dirección IP o el intervalo de IP. A continuación puede agrupar un conjunto de objetos
de dirección para crear un objeto de grupo de direcciones.
También puede utilizar grupos de direcciones dinámicas para actualizar
dinámicamente direcciones IP en entornos donde las direcciones IP de host
cambian frecuentemente.
Usuario/grupo de usuarios Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos.
Grupo de aplicaciones y Filtro Un Filtro de aplicación le permite filtrar aplicaciones dinámicamente. Le permite filtrar y
de aplicación guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
de la aplicación en el cortafuegos. Por ejemplo, puede filtrar según uno o más atributos
(categoría, subcategoría, tecnología, riesgo y características) y guardar su filtro de
aplicación. Con un filtro de aplicación, cuando se produce una actualización de
contenido de PAN-OS, las nuevas aplicaciones que coincidan con sus criterios de filtro
se añadirán automáticamente a su filtro de aplicación guardado.
Un Grupo de aplicaciones le permite crear un grupo estático de aplicaciones específicas
que desee agrupar para un grupo de usuarios o para un servicio en concreto.
Primeros pasos 21
Objeto de política Descripción
Servicio/Grupos de servicios Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar
un servicio. El cortafuegos incluye dos servicios predefinidos (servicio-http y
servicio-https) que utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443
de TCP para HTTPS. Sin embargo, puede crear cualquier servicio personalizado en
cualquier puerto TCP/UDP de su elección para restringir el uso de la aplicación a
puertos específicos de su red (dicho de otro modo, puede definir el puerto
predeterminado para la aplicación).
Para ver los puertos estándar utilizados por una aplicación, en Objetos >
Aplicaciones, busque la aplicación y haga clic en el enlace. Aparecerá una
descripción concisa.
Algunos ejemplos de objetos de políticas de dirección y aplicación se muestran en las políticas de seguridad incluidas
en Creación de reglas de seguridad. Si desea información sobre los otros objetos de políticas, consulte
Habilitación de funciones de prevención de amenazas básicas.
Acerca de los perfiles de seguridad
Mientras que con las políticas de seguridad puede permitir o denegar el tráfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploración, que explora las aplicaciones permitidas en busca de
amenazas. Cuando el tráfico coincida con la regla de permiso definida en la política de seguridad, los perfiles de
seguridad vinculados a la regla se aplicarán para reglas de inspección de contenido adicionales, como
comprobaciones antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de tráfico.

El perfil de seguridad se aplica para explorar el tráfico después de que la política de seguridad
permita la aplicación o categoría.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a políticas de seguridad son: Antivirus,
Antispyware, Protección contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El
cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Creación de reglas de seguridad para obtener
información sobre el uso de los perfiles predeterminados de su política de seguridad. Cuando comprenda mejor
las necesidades de seguridad de su red, podrá crear perfiles personalizados. Consulte Exploración del tráfico en
busca de amenazas para obtener más información.
Configuración de interfaces y zonas
Las siguientes secciones proporcionan información sobre la configuración de interfaces y zonas:

 Planificación de la implementación
 Configuración de interfaces y zonas
22 Primeros pasos
Planificación de la implementación
Antes de empezar a configurar las interfaces y zonas, dedique algo de tiempo a planificar las zonas que necesitará
basándose en los diferentes requisitos de uso de su organización. Además, debería recopilar toda la información
de configuración que necesitará de manera preventiva. A un nivel básico, debería planificar qué interfaces
pertenecerán a qué zonas. Para implementaciones de capa 3, también deberá obtener las direcciones IP
obligatorias y la información de configuración de red de su administrador de red, incluida la información sobre
cómo configurar el protocolo de enrutamiento o las rutas estáticas obligatorias para la configuración de
enrutador virtual. El ejemplo de este capítulo se basará en la siguiente topología:
Ilustración: Ejemplo de topología de capa 3
La siguiente tabla muestra la información que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topología de muestra.
Zona Tipos de implementación Interfaces Ajustes de configuración
No fiable L3 Ethernet1/3 Dirección IP: 208.80.56.100/24

Enrutador virtual: Predeterminado
Ruta predeterminada: 0.0.0.0/0
Siguiente salto: 208.80.56.1
Fiable L3 Ethernet1/4 Dirección IP: 192.168.1.4/24

DMZ L3 Ethernet1/13 Dirección IP: 10.1.1.1/24

Después de planificar sus zonas y las correspondientes interfaces, podrá configurarlas en el dispositivo. El modo
en que configure cada interfaz dependerá de la topología de su red.
El siguiente procedimiento muestra cómo configurar una implementación de capa 3 como se muestra en la
Ilustración: Ejemplo de topología de capa 3.
Primeros pasos 23
El cortafuegos viene preconfigurado con una interfaz de cable virtual predeterminada entre los
puertos Ethernet 1/1 y Ethernet 1/2 (y una política de seguridad y un enrutador virtual
predeterminados correspondientes). Si no pretende usar el cable virtual predeterminado, debe
eliminar manualmente la configuración y confirmar el cambio antes de continuar para evitar que
interfiera con otras configuraciones que defina. Para obtener instrucciones sobre cómo eliminar
el Virtual Wire predeterminado y sus zonas y política de seguridad asociadas, consulte el Paso 3
en Establecimiento de un puerto de datos para acceder a servicios externos.
Paso 1 Configure una ruta predeterminada hacia 1. Seleccione Red > Enrutador virtual y, a continuación,
su enrutador de Internet. seleccione el enlace predeterminado para abrir el cuadro de
diálogo Enrutador virtual.
2. Seleccione la pestaña Rutas estáticas y haga clic en Añadir.
Introduzca un Nombre para la ruta e introduzca la ruta en el
campo Destino (por ejemplo, 0.0.0.0/0).
3. Seleccione el botón de opción Dirección IP en el campo
Siguiente salto y, a continuación, introduzca la dirección IP y la
máscara de red para su puerta de enlace de Internet (por
ejemplo, 208.80.56.1).
4. Haga clic en Aceptar dos veces para guardar la configuración de
enrutador virtual.
Paso 2 Configure la interfaz externa (la interfaz 1. Seleccione Red > Interfaces y, a continuación, seleccione la
que se conecta a Internet). interfaz que quiera configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2. Seleccione el Tipo de interfaz. Aunque su decisión aquí
depende de la topología de su red, este ejemplo muestra los
pasos para Capa 3.
3. En la pestaña Configuración, seleccione Nueva zona en el menú
desplegable Zona de seguridad. En el cuadro de diálogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable
y, a continuación, haga clic en Aceptar.
4. En el menú desplegable Enrutador virtual, seleccione
predeterminado.
5. Para asignar una dirección IP a la interfaz, seleccione la pestaña
IPv4, haga clic en Añadir en la sección IP e introduzca la
ejemplo, 208.80.56.100/24.
6. Para que pueda hacer ping en la interfaz, seleccione Avanzada >
Otra información, amplíe el menú desplegable Perfil de
gestión y seleccione Nuevo perfil de gestión. Introduzca un
Nombre para el perfil, seleccione Ping y, a continuación, haga
clic en Aceptar.
7. Para guardar la configuración de la interfaz, haga clic en
Aceptar.
24 Primeros pasos
Configuración de interfaces y zonas (Continuación)
Paso 3 Configure la interfaz que se conecta a su 1. Seleccione Red > Interfaces y seleccione la interfaz que desee
red interna. configurar. En este ejemplo, estamos configurando Ethernet1/4
Nota En este ejemplo, la interfaz se conecta a como la interfaz interna.
un segmento de red que utiliza 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
direcciones IP privadas. Dado que las 3. En la pestaña Configurar, amplíe el menú desplegable Zona de
direcciones IP privadas no se pueden seguridad y seleccione Nueva zona. En el cuadro de diálogo
enrutar externamente, deberá configurar Zona, defina un Nombre para una nueva zona, por ejemplo
NAT. Consulte Configuración de Fiable y, a continuación, haga clic en Aceptar.
políticas de NAT.
4. Seleccione el mismo enrutador virtual que utilizó en el Paso 2;
en este ejemplo, el predeterminado.
ejemplo, 192.168.1.4/24.
6. Para que pueda hacer ping en la interfaz, seleccione el perfil de
gestión que creó en el Paso 2-6.
Paso 4 Configure la interfaz que se conecta a 1. Seleccione la interfaz que desee configurar.
DMZ. 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En
este ejemplo, estamos configurando Ethernet1/13 como la
interfaz de DMZ.
seguridad y seleccione Nueva zona. En el cuadro de diálogo
Zona, defina un Nombre para una nueva zona, por ejemplo
DMZ y, a continuación, haga clic en Aceptar.
4. Seleccione el enrutador virtual que utilizó en el Paso 2; en este
ejemplo, el predeterminado.
ejemplo, 10.1.1.1/24.
Aceptar.
Paso 5 Guarde la configuración de la interfaz. Haga clic en Confirmar.
Paso 6 Conecte los cables del cortafuegos. Conecte cables directos desde las interfaces que ha configurado al
conmutador o enrutador de cada segmento de red.
Paso 7 Verifique que las interfaces estén activas. Desde la interfaz web, seleccione Red > Interfaces y verifique que el
icono de la columna Estado de enlace es de color verde. También
puede supervisar el estado de enlace desde el widget Interfaces en el
Panel.
Primeros pasos 25
Configuración de políticas de NAT
Basándose en la topología de ejemplo que utilizamos para crear las interfaces y las zonas, hay tres políticas NAT
que necesitamos crear de la manera siguiente:
 Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas deberán traducirse a direcciones enrutables públicamente. En este caso, configuraremos NAT de
origen, utilizando la dirección de interfaz de salida, 208.80.56.100, como la dirección de origen en todos los
paquetes que salgan del cortafuegos desde la zona interna. Consulte Traducción de direcciones IP de clientes
internos a su dirección IP pública para obtener instrucciones.
 Para permitir que los clientes de la red interna accedan al servidor web público en la zona DMZ,
necesitaremos configurar una regla NAT que redirija el paquete desde la red externa, donde la búsqueda de
tabla de enrutamiento original determinará que debe ir, basándose en la dirección de destino de 208.80.56.11
dentro del paquete, a la dirección real del servidor web de la red DMZ de 10.1.1.11. Para ello, deberá crear
una regla NAT desde la zona fiable (donde se encuentra la dirección de origen del paquete) hasta la zona no
fiable (donde se encuentra la dirección de destino) para traducir la dirección de destino a una dirección de la
zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta. Consulte Habilitación de clientes
de la red interna para acceder a sus servidores públicos para obtener instrucciones.
 Para permitir que el servidor web (que tiene tanto una dirección IP privada en la red DMZ como una
dirección pública para que accedan usuarios externos) envíe y reciba solicitudes, el cortafuegos debe traducir
los paquetes entrantes desde la dirección IP pública hacia la dirección IP privada y los paquetes salientes
desde la dirección IP privada hacia la dirección IP pública. En el cortafuegos, puede conseguir esto con una
única política NAT de origen estático bidireccional. Consulte Habilitación de la traducción de direcciones
bidireccional para sus servidores públicos.
26 Primeros pasos
Traducción de direcciones IP de clientes internos a su dirección IP pública
Cuando un cliente de su red interna envía una solicitud, la dirección de origen del paquete contiene la dirección
IP del cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del cliente no se
podrán enrutar en Internet a menos que traduzca la dirección IP de origen de los paquetes que salen de la red
a una dirección enrutable públicamente. En el cortafuegos, puede realizar esta acción configurando una política
NAT de origen que traduzca la dirección de origen y opcionalmente el puerto a una dirección pública. Un modo
de hacerlo es traducir la dirección de origen de todos los paquetes a la interfaz de salida de su cortafuegos, como
se muestra en el procedimiento siguiente.
Configuración de NAT de origen
Paso 1 Cree un objeto de dirección para la 1. Desde la interfaz web, seleccione Objetos > Direcciones y, a
dirección IP externa que tenga la continuación, haga clic en Añadir.
intención de utilizar. 2. Introduzca un Nombre y opcionalmente una Descripción para
el objeto.
3. Seleccione Máscara de red IP en el menú desplegable Tipo y, a
continuación, introduzca la máscara de red y la dirección IP de
la interfaz externa en el cortafuegos, 208.80.56.100/24 en este
ejemplo.
4. Para guardar el objeto de dirección, haga clic en Aceptar.
Aunque no tiene que utilizar objetos de dirección en sus políticas, es
una práctica recomendada porque simplifica la administración al
permitirle realizar actualizaciones en un lugar en vez de tener que
actualizar cada política donde se hace referencia a la dirección.
Primeros pasos 27
Configuración de NAT de origen (Continuación)
Paso 2 Cree la política NAT.

1. Seleccione Políticas > NAT y haga clic en
Añadir.
2. Introduzca un Nombre descriptivo para
la política.
3. En la pestaña Paquete original,
seleccione la zona que creó para su red
interna en la sección Zona de origen
(haga clic en Añadir y, a continuación,
seleccione la zona) y la zona que creó para
la red externa en el menú desplegable
Zona de destino.
4. En la pestaña Paquete traducido, seleccione IP dinámica y puerto en el menú desplegable Tipo de
traducción en la sección Traducción de dirección de origen de la pantalla y, a continuación, haga clic en
Añadir. Seleccione el objeto de dirección que creó en el Paso 1.
5. Haga clic en Aceptar para guardar la
política NAT.
Paso 3 Guarde la configuración. Haga clic en Confirmar.
Habilitación de clientes de la red interna para acceder a sus servidores públicos
Cuando un usuario de la red interna envíe una solicitud para acceder al servidor web corporativo en DMZ, el
servidor DNS se resolverá en la dirección IP pública. Al procesar la solicitud, el cortafuegos utilizará el destino
original del paquete (la dirección IP pública) y enrutará el paquete a la interfaz de salida para la zona no fiable.
Para que el cortafuegos sepa que debe traducir la dirección IP pública del servidor web a una dirección de la red
DMZ cuando reciba solicitudes de usuarios en la zona fiable, deberá crear una regla NAT de destino que permita
al cortafuegos enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.
28 Primeros pasos
Configuración de NAT de ida y vuelta
Paso 1 Cree un objeto de dirección para el 1. Desde la interfaz web, seleccione Objetos > Direcciones y, a
servidor web. continuación, haga clic en Añadir.
2. Introduzca un Nombre y opcionalmente una Descripción para
el objeto.
continuación, introduzca la máscara de red y la dirección IP
pública del servidor web, 208.80.56.11/24 en este ejemplo.

Añadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
3. En la pestaña Paquete original, seleccione
la zona que creó para su red interna en la
sección Zona de origen (haga clic en
Añadir y, a continuación, seleccione la
zona) y la zona que creó para la red externa
en el menú desplegable Zona de destino.
4. En la sección Dirección de destino, haga clic en Añadir y seleccione el objeto de dirección que creó para su
servidor web público.
5. En la pestaña Paquete traducido,
seleccione la casilla de verificación
Traducción de dirección de destino y, a
continuación, introduzca la dirección IP
asignada a la interfaz del servidor web de la
red DMZ, 10.1.1.11 en este ejemplo.
6. Haga clic en Aceptar para guardar la
política NAT.
Habilitación de la traducción de direcciones bidireccional para sus servidores públicos
Cuando sus servidores públicos tengan direcciones IP privadas asignadas en el segmento de red en el que se
encuentran físicamente, necesitará una regla NAT de origen para traducir la dirección de origen del servidor a
la dirección externa en el momento de la salida. Puede realizar esta acción creando una regla NAT estática que
indique al cortafuegos que debe traducir la dirección de origen interna, 10.1.1.11, a la dirección del servidor web
externa, 208.80.56.11 en nuestro ejemplo. Sin embargo, en el caso de un servidor público, el servidor debe poder
enviar paquetes y recibirlos. En este caso, necesita una política recíproca que traduzca la dirección pública que
Primeros pasos 29
será la dirección IP de destino en paquetes entrantes de usuarios de Internet a la dirección privada para permitir
que el cortafuegos enrute correctamente el paquete a su red DMZ. En el cortafuegos, puede realizar esta acción
creando una política NAT estática bidireccional como se describe en el procedimiento siguiente.
Configuración de NAT bidireccional
Paso 1 Cree un objeto de dirección para la 1. Desde la interfaz web, seleccione Objetos > Direcciones y, a
dirección IP interna del servidor web. continuación, haga clic en Añadir.
2. Introduzca un Nombre y opcionalmente una Descripción para
el objeto.
continuación, introduzca la máscara de red y la dirección IP del
servidor web en la red DMZ, 10.1.1.11/24 en este ejemplo.
Nota Si todavía no ha creado un objeto de dirección para la
dirección pública de su servidor web, también debería crear
ese objeto ahora.

Añadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
3. En la pestaña Paquete original, seleccione
la zona que creó para su DMZ en la sección
Zona de origen (haga clic en Añadir y, a
continuación, seleccione la zona) y la zona
que creó para la red externa en el menú
desplegable Zona de destino.
4. En la sección Dirección de origen, haga clic en Añadir y seleccione el objeto de dirección que creó para su
dirección de servidor web interno.
5. En la pestaña Paquete traducido,
seleccione IP estática en el menú
desplegable Tipo de traducción de la
sección Traducción de dirección de
origen y, a continuación, seleccione el
objeto de dirección que creó para su
dirección de servidor web externo en el
menú desplegable Dirección traducida.
6. En el campo Bidireccional, seleccione Sí.
7. Haga clic en Aceptar para guardar la política NAT.
30 Primeros pasos
Configuración de políticas de seguridad básicas
Las políticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de política que puede
crear en el cortafuegos son: políticas de seguridad, NAT, calidad de servicio (QoS), reenvío basado en políticas
(PFB), descifrado, cancelación de aplicaciones, portal cautivo, denegación de servicio y protección de zonas.
Todas estas diferentes políticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar,
descifrar, realizar excepciones, autenticar el acceso y restablecer conexiones según sea necesario para ayudar a
proteger su red. Esta sección cubre las políticas de seguridad básicas y los perfiles de seguridad predeterminados:
 Creación de reglas de seguridad
 Comprobación de sus políticas de seguridad
 Supervisión del tráfico de su red
Creación de reglas de seguridad
Las políticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y
realizar un seguimiento del tráfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implícita
para pasar tráfico entre dos zonas diferentes es de denegación, con lo que el tráfico de dentro de una zona está
permitido. Para permitir el tráfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el
flujo de tráfico entre ellas.
Al configurar el marco básico para proteger el perímetro empresarial, es conveniente empezar con una política
de seguridad sencilla que permita el tráfico entre las diferentes zonas sin ser demasiado restrictiva. Como se
muestra en la sección siguiente, nuestro objetivo es reducir al mínimo la probabilidad de interrupción de las
aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las
aplicaciones y las posibles amenazas para su red.
Al definir políticas, asegúrese de que no crea una política que deniegue todo el tráfico de
cualquier zona de origen a cualquier zona de destino, ya que esto interrumpirá el tráfico intrazona
que se permite de manera implícita. De manera predeterminada, se permite el tráfico intrazona
porque las zonas de origen y de destino son las mismas y, por lo tanto, comparten el mismo nivel
de fiabilidad.
Primeros pasos 31
Definición de reglas de seguridad básicas
Paso 1 Permita el acceso a Internet a todos los Para habilitar de manera segura aplicaciones necesarias para
usuarios de la red empresarial. operaciones comerciales cotidianas, crearemos una regla sencilla que
permitirá el acceso a Internet. Para proporcionar una protección
Zona: De fiable a no fiable
básica contra amenazas, adjuntaremos los perfiles de seguridad
Nota De manera predeterminada, el predeterminados disponibles en el cortafuegos.
cortafuegos incluye una regla de 1. Seleccione Políticas > Seguridad y haga clic en Añadir.
seguridad denominada regla1 que permite
2. Asigne a la regla un nombre descriptivo en la pestaña General.
todo el tráfico desde la zona fiable a la
zona no fiable. Puede eliminar la regla o 3. En la pestaña Origen, establezca Zona de origen como Fiable.
modificarla para reflejar su convención de 4. En la pestaña Destino, establezca Zona de destino como No
denominación de zonas. fiable.
Nota Para inspeccionar las reglas de política e identificar
visualmente las zonas de cada regla, cree una etiqueta con
el mismo nombre que la zona. Por ejemplo, para codificar
por colores la zona fiable y asignarle el color verde,
seleccione Objetos > Etiquetas, haga clic en Añadir,
indique Fiable en el campo Nombre y seleccione el color
verde en el campo Color.
5. En la pestaña Categoría de URL/servicio, seleccione

servicio-http y servicio-https.
6. En la pestaña Acciones, realice estas tareas:
a. Establezca Configuración de acción como Permitir.
b. Adjunte los perfiles predeterminados para la protección
antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, en Ajuste de perfil.
7. Verifique que los logs están habilitados al final de una sesión
bajo Opciones. Únicamente se registrará el tráfico que coincida
con una regla de seguridad.
32 Primeros pasos
Definición de reglas de seguridad básicas (Continuación)
Paso 2 Permita que los usuarios de la red interna 1. Haga clic en Añadir en la sección Políticas > Seguridad.
accedan a los servidores en DMZ. 2. Asigne a la regla un nombre descriptivo en la pestaña General.
Zona: De fiable a DMZ 3. En la pestaña Origen, establezca Zona de origen como Fiable.
Nota Si utiliza direcciones IP para configurar el 4. En la pestaña Destino, establezca Zona de destino como DMZ.
acceso a los servidores en DMZ, 5. En la pestaña Categoría de URL/servicio, asegúrese de que
asegúrese siempre de hacer referencia a Servicio está establecido como Valor predeterminado de
las direcciones IP originales del paquete aplicación.
(es decir, las direcciones anteriores a
6. En la pestaña Acciones, establezca Configuración de acción
NAT) y la zona posterior a NAT.
como Permitir.
7. Deje el resto de opciones con los valores predeterminados.
Paso 3 Restrinja el acceso desde Internet a los Para restringir el acceso entrante a DMZ desde Internet, configure
servidores en DMZ únicamente a una regla que únicamente permita el acceso a direcciones IP de
direcciones IP de servidor específicas. servidores específicos y en los puertos predeterminados que utilicen
las aplicaciones.
Por ejemplo, puede permitir que los
1. Haga clic en Añadir para añadir una nueva regla y asignarle un
usuarios accedan a los servidores de
correo web únicamente desde fuera. nombre descriptivo.
2. En la pestaña Origen, establezca Zona de origen como No
Zona: De no fiable a DMZ fiable.
3. En la pestaña Destino, establezca Zona de destino como DMZ.
4. Establezca Dirección de destino como el objeto de dirección
Servidor web público que creó anteriormente. El objeto de
dirección de servidor web público hace referencia a la dirección
IP pública (208.80.56.11/24) del servidor web accesible en
DMZ.
5. Seleccione la aplicación de correo web en la pestaña Aplicación.
Nota El Servicio está establecido como Valor predeterminado
de aplicación de manera predeterminada.
6. Establezca Configuración de acción como Permitir.
Primeros pasos 33
Paso 4 Permita el acceso desde DMZ a su red 1. Haga clic en Añadir para añadir una nueva regla y asignarle un
interna (zona fiable). Para reducir al nombre descriptivo.
mínimo los riesgos, únicamente debe 2. Establezca Zona de origen como DMZ.
permitir el tráfico entre servidores y
3. Establezca Zona de destino como Fiable.
direcciones de destino específicos. Por
ejemplo, si tiene un servidor de aplicación 4. Cree un objeto de dirección que especifique los servidores de su
en DMZ que necesita comunicarse con zona fiable a los que se puede acceder desde DMZ.
un servidor de base de datos específico de
su zona fiable, cree una regla para permitir
el tráfico entre un origen y un destino
específicos.
Zona: De DMZ a fiable
5. En la pestaña Destino de la regla de política de seguridad,

establezca Dirección de destino como el objeto Dirección que
creó anteriormente.
6. En la pestaña Acciones, realice estas tareas:
a. Establezca Configuración de acción como Permitir.
b. Adjunte los perfiles predeterminados para la protección
antivirus, antispyware y contra vulnerabilidades bajo Ajuste
de perfil.
c. En la sección Otros ajustes, seleccione la opción
Deshabilitar inspección de respuesta de servidor. Este
ajuste deshabilita el análisis antivirus y antispyware en las
respuestas del lado del servidor, con lo que reduce la carga del
cortafuegos.
34 Primeros pasos
Paso 5 Habilite los servidores de DMZ para 1. Añada una nueva regla y asígnele una etiqueta descriptiva.
obtener actualizaciones y correcciones 2. Establezca Zona de origen como DMZ.
urgentes de Internet. Por ejemplo,
3. Establezca Zona de destino como No fiable.
digamos que desea permitir el servicio
Microsoft Update. 4. Cree un grupo de aplicaciones para especificar las aplicaciones
que desee permitir. En este ejemplo, permitimos actualizaciones
Zona: De DMZ a no fiable de Microsoft (ms-update) y dns.
Nota El Servicio está establecido como Valor predeterminado

de aplicación de manera predeterminada. Esto hará que el
cortafuegos permita las aplicaciones únicamente cuando
utilicen los puertos estándar asociados a estas aplicaciones.
5. Establezca Configuración de acción como Permitir.
6. Adjunte los perfiles predeterminados para la protección
antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.
Paso 6 Guarde sus políticas en la configuración Haga clic en Confirmar.

que se esté ejecutando en el dispositivo.
Primeros pasos 35
Comprobación de sus políticas de seguridad
Para verificar que ha configurado sus políticas básicas de manera eficaz, compruebe si sus políticas de seguridad
se están evaluando y determine qué regla de seguridad se aplica a un flujo de tráfico.
Verificación de coincidencia de política con un

flujo
Para verificar la regla de política que coincide con Por ejemplo, para verificar la regla de política que se aplicará a
un flujo, utilice el siguiente comando de la CLI: un servidor en DMZ con la dirección IP 208.90.56.11 cuando
test security-policy-match accede al servidor de actualización de Microsoft, deberá
source <IP_address> destination probar con el comando siguiente:
<IP_address> destination port
<port_number> protocol test security-policy-match source 208.80.56.11
<protocol_number> destination 176.9.45.70 destination-port 80
protocol 6
El resultado muestra la regla que coincide mejor
con la dirección IP de origen y destino especificada "Updates-DMZ to Internet" {
en el comando de la CLI. from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
Supervisión del tráfico de su red
Ahora que tiene establecida una política de seguridad básica, podrá revisar las estadísticas y los datos en el
Centro de comando de aplicación (ACC), logs de tráfico y logs de amenazas para observar tendencias en su red
y así identificar dónde necesita crear políticas más específicas.
A diferencia de los cortafuegos tradicionales que utilizan un puerto o protocolo para identificar aplicaciones, los
cortafuegos de Palo Alto Networks utilizan la firma de aplicaciones (la tecnología App-ID) para supervisar
aplicaciones. La firma de aplicaciones se basa en propiedades de aplicaciones exclusivas y características de
transacciones relacionadas junto con el puerto o protocolo. Por lo tanto, aunque el tráfico utilice el
puerto/protocolo correcto, el cortafuegos puede denegar el acceso al contenido porque la firma de aplicación
no coincide. Esta función le permite habilitar aplicaciones de manera segura permitiendo partes de la aplicación
al mismo tiempo que bloquea o controla funciones dentro de la misma aplicación. Por ejemplo, si permite la
aplicación de exploración web, un usuario podrá acceder a contenido de Internet. Así, si un usuario entra en
Facebook y luego juega al Scrabble en Facebook, el cortafuegos identificará los cambios de aplicación y
reconocerá Facebook como una aplicación y Scrabble como una aplicación de Facebook. Por lo tanto, si crea una regla
específica que bloquee las aplicaciones de Facebook, se denegará el acceso a Scrabble para el usuario aunque
todavía podrá acceder a Facebook.
36 Primeros pasos
Para supervisar el tráfico de su red:
 Uso del centro de comando de aplicación: En el ACC, revise las aplicaciones más utilizadas y las aplicaciones
de alto riesgo en su red. El ACC resume gráficamente la información de logs para resaltar las aplicaciones
que cruzan la red, quién las está utilizando (con el User-ID habilitado) y el posible impacto en la seguridad
del contenido para ayudarle a identificar qué sucede en la red en tiempo real. A continuación, podrá utilizar
esta información para crear políticas de seguridad adecuadas que bloqueen las aplicaciones no deseadas y que
permitan y habiliten aplicaciones de manera segura.
 Determine qué actualizaciones/modificaciones son necesarias para sus reglas de seguridad de red e
implemente los cambios. Por ejemplo:
– Evalúe si desea permitir contenido basándose en la programación, los usuarios o los grupos.
– Permita o controle determinadas aplicaciones o funciones dentro de una aplicación.
– Descifre e inspeccione contenido.
– Permita con exploración en busca de amenazas y explotaciones.
Para obtener información sobre cómo ajustar sus políticas de seguridad y para adjuntar perfiles de
seguridad personalizados, consulte Habilitación de funciones de prevención de amenazas básicas.
 Visualización de los archivos log: De manera específica, visualice los logs de tráfico y amenaza (Supervisar >
Logs).
Los logs de tráfico dependen del modo en que sus políticas de seguridad están definidas y
configuradas para registrar el tráfico. Sin embargo, la pestaña ACC registra aplicaciones y
estadísticas independientemente de la configuración de las políticas; muestra todo el tráfico que
se permite en su red, por lo que incluye el tráfico entre zonas que permite la política y el tráfico
de la misma zona que se permite implícitamente.
 Interpretación de los logs de filtrado de URL: Revise los logs de filtrado de URL para examinar alertas,
y categorías/URL denegadas. Los logs de URL se generan cuando un tráfico coincide con una regla de
seguridad que tenga un perfil de filtrado de URL adjunto con una acción de alertar, continuar, sobrescribir
o bloquear.
Primeros pasos 37
Habilitación de funciones de prevención de amenazas básicas Primeros pasos
Habilitación de funciones de prevención de amenazas

básicas
El cortafuegos de próxima generación de Palo Alto Networks tiene funciones exclusivas de prevención de
amenazas que le permiten proteger su red de ataques frente a técnicas de evasión, tunelización o elusión. Las
funciones de prevención de amenazas del cortafuegos incluyen el servicio WildFire, los perfiles de seguridad
que admiten las funciones Antivirus, Antispyware, Protección contra vulnerabilidades, Filtrado de URL,
Bloqueo de archivos y Filtrado de datos y las funciones Denegación de servicio (DoS) y Protección de zona.
Antes de que pueda aplicar funciones de prevención de amenazas, primero debe configurar
zonas (para identificar una o más interfaces de origen o destino) y políticas de seguridad. Para
configurar interfaces, zonas y las políticas necesarias para aplicar funciones de prevención de
amenazas, consulte Configuración de interfaces y zonas y Configuración de políticas de
seguridad básicas.
Para empezar a proteger su red ante amenazas, comience por aquí:

 Habilitación de WildFire
 Exploración del tráfico en busca de amenazas
 Control del acceso a contenido web
Habilitación de WildFire
El servicio WildFire se incluye como parte del producto básico. El servicio WildFire permite que el cortafuegos
reenvíe archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier
actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan
automáticamente firmas de software malintencionado que estarán disponibles en las descargas diarias del
antivirus en un plazo de 24-48 horas. Su suscripción a la prevención de amenazas le da derecho a actualizaciones
de firmas de antivirus que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripción a WildFire para obtener estas ventajas adicionales:
 Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
 Reenvío de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
 Capacidad para cargar archivos usando la API de WildFire
 Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado

Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable
Executable (PE) a la nube de WildFire para su análisis es gratuita, para reenviar archivos a un dispositivo
WildFire privado se requiere una suscripción a WildFire.
38 Primeros pasos
Primeros pasos Habilitación de funciones de prevención de amenazas básicas
Habilitación de WildFire
Paso 1 Confirme que su dispositivo está 1. Vaya al sitio de asistencia técnica de Palo Alto Networks, inicie
registrado y que tiene una cuenta válida sesión y seleccione Mis dispositivos.
de asistencia técnica, así como las 2. Verifique que el cortafuegos se incluye en la lista. Si no aparece,
suscripciones que requiera. consulte Register With Palo Alto Networks.
3. (Opcional) Activación de licencias.
Paso 2 Establezca las opciones de reenvío de 1. Seleccione Dispositivo > Configuración > WildFire.
WildFire. 2. Haga clic en el icono Editar de la sección Configuración general.
3. (Opcional) Especifique el Servidor de WildFire al que reenviar
archivos. De forma predeterminada, el cortafuegos reenviará los
archivos a la nube pública de WildFire alojada en EE. UU. Para
reenviar archivos a una nube de WildFire diferente, introduzca
un nuevo valor de la manera siguiente:
• Para reenviar a una nube privada de WildFire, introduzca la
dirección IP o el nombre de dominio completo (FQDN) de
su dispositivo WF-500 WildFire.
• Para reenviar archivos a la nube pública de WildFire que se
ejecuta en Japón, introduzca
wildfire.paloaltonetworks.jp.
Nota Si no tiene una suscripción a WildFire, 4. (Opcional) Si desea cambiar el tamaño de archivo máximo que
únicamente podrá reenviar archivos el cortafuegos puede reenviar para un tipo de archivo específico,
ejecutables. modifique el valor en el campo correspondiente.
5. Haga clic en ACEPTAR para guardar los cambios.
Paso 3 Configure un perfil de bloqueo de 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
archivos para reenviar archivos a archivos y haga clic en Añadir.
WildFire. 2. Introduzca un nombre y, opcionalmente, una descripción para
el perfil.
3. Haga clic en Añadir para crear una regla de reenvío e introduzca
un nombre.
4. En la columna Acción, seleccione Reenviar.
5. Deje los otros campos establecidos como Cualquiera para
reenviar cualquier tipo de archivo compatible desde cualquier
aplicación.
6. Haga clic en Aceptar para guardar el perfil.
Paso 4 Adjunte el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad y bien seleccione una política
las políticas de seguridad que permiten existente o cree una nueva política según se describe en
acceder a Internet. Creación de reglas de seguridad.
2. Haga clic en la pestaña Acciones dentro de la política de
seguridad.
3. En la sección de configuración del perfil, haga clic en el menú
desplegable y seleccione el perfil de bloqueo de archivos que
creó para el reenvío de WildFire. (Si no ve ningún menú
desplegable en el que seleccionar un perfil, seleccione Perfiles
en el menú desplegable Tipo de perfil.
Primeros pasos 39
Habilitación de WildFire (Continuación)
Paso 6 Verifique que el cortafuegos esté 1. Seleccione Supervisar > Logs > Filtrado de datos.
reenviando archivos a WildFire. 2. Compruebe en la columna Acción las siguientes acciones:
• Reenviar: Indica que el perfil de bloqueo de archivos
adjuntado a la política de seguridad reenvió el archivo de
forma correcta.
• Wildfire-upload-success: Indica que el archivo se ha
enviado a WildFire. Esto significa que el archivo no está
firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
• Wildfire-upload-skip: Indica que el archivo se identificó
como apto para enviarse a WildFire por un perfil de bloqueo
de archivos o una política de seguridad, pero que no fue
necesario que WildFire lo analizase porque ya se había
analizado previamente. En este caso, la acción mostrará
reenviar aparecerá en el registro de filtrado de datos porque
era una acción de reenvío válida, pero que no se envió y
analizó en WildFire porque el archivo ya se envió a la nube de
WildFire desde otra sesión, posiblemente desde otro
cortafuegos.
3. Consulte los registros de WildFire seleccionando Supervisar >
Logs > Envíos de WildFire. Si aparecen nuevos logs de
WildFire, se debe a que el cortafuegos está reenviando
correctamente los archivos a WildFire y a que WildFire está
devolviendo los resultados del análisis de archivos.
Exploración del tráfico en busca de amenazas
Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. Por ejemplo, puede
aplicar un perfil de antivirus a una política de seguridad y todo el tráfico que coincida con las políticas de
seguridad se analizará para buscar virus.
Las siguientes secciones indican los pasos necesarios para establecer una configuración de prevención de
amenazas básica:
 Configuración de antivirus, antispyware y protección contra vulnerabilidades
 Configuración de bloqueo de archivos
Configuración de antivirus, antispyware y protección contra vulnerabilidades
Cada cortafuegos de próxima generación de Palo Alto Networks incluye perfiles predeterminados de antivirus,
antispyware y protección contra vulnerabilidades que puede adjuntar a políticas de seguridad.
40 Primeros pasos
Como práctica recomendada, adjunte los perfiles predeterminados a sus políticas de acceso web
básicas para garantizar que el tráfico que entre en su red esté libre de amenazas.
A medida que supervisa el tráfico de su red y amplía su base de reglas de políticas, puede diseñar perfiles más
detallados que cubran sus necesidades de seguridad específicas. Todas las firmas antispyware y de protección contra
vulnerabilidades tienen una acción predeterminada definida por Palo Alto Networks. Puede ver la acción
predeterminada navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad >
Protección contra vulnerabilidades y, a continuación, seleccionando un perfil. Haga clic en la pestaña Excepciones y
después en Mostrar todas las firmas; verá una lista de las firmas con la acción predeterminada en la columna Acción.
Para cambiar la acción predeterminada, debe crear un nuevo perfil y después crear reglas con una acción no
predeterminada o añadir excepciones de firma individuales en la pestaña Excepciones del perfil.
Configuración de antivirus/antispyware/protección contra vulnerabilidades
Paso 1 Compruebe que tiene una licencia de • La licencia de prevención de amenazas reúne en una licencia las
prevención de amenazas. funciones de antivirus, antispyware y protección contra
vulnerabilidades.
• Seleccione Dispositivo > Licencias para comprobar que la licencia
de prevención de amenazas está instalada y es válida (compruebe
la fecha de vencimiento).
Paso 2 Descargue las firmas de amenazas de 1. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
antivirus más recientes. en Comprobar ahora en la parte inferior de la página para
recuperar las firmas más recientes.
2. En la columna Acciones, haga clic en Descargar para instalar
las firmas más recientes de antivirus y de aplicaciones y
amenazas.
Paso 3 Programe actualizaciones de firmas. 1. Desde Dispositivo > Actualizaciones dinámicas, haga clic en el
texto que hay a la derecha de Programación para recuperar
automáticamente las actualizaciones de firmas de Antivirus y
Práctica recomendada para actualizaciones: Aplicaciones y amenazas.
Realice una descarga e instalación diariamente 2. Especifique la frecuencia y sincronización de las actualizaciones
para recibir actualizaciones de antivirus y y si la actualización se descargará e instalará o únicamente se
semanalmente para recibir actualizaciones de descargará. Si selecciona Únicamente descargar, tendrá que
aplicaciones y amenazas. entrar manualmente y hacer clic en el enlace Instalar de la
columna Acción para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualización. No es necesario realizar
una compilación.
3. (Opcional) También puede introducir un número de horas en el
campo Umbral para indicar el tiempo mínimo que debe tener
una firma antes de realizar la descarga. Por ejemplo, si introduce
10, la firma debe tener al menos 10 horas de antigüedad antes de
poder descargarla, independientemente de la programación.
4. En una configuración de HA, también puede hacer clic en la
opción Sincronizar en el peer para sincronizar la actualización
de contenido con el peer de HA tras la descarga/instalación.
Esto no hará que se apliquen los ajustes de programación al
dispositivo del peer, sino que tendrá que configurar la
programación en cada dispositivo.
Primeros pasos 41
Configuración de antivirus/antispyware/protección contra vulnerabilidades (Continuación)
Recomendaciones para configuraciones de HA:

• HA activa/pasiva: Si el puerto de gestión se usa para descargar firmas de antivirus, configure una programación en
ambos dispositivos y ambos dispositivos realizarán las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizará descargas mientras esté en estado pasivo. En este
caso debería establecer una programación en ambos dispositivos y, a continuación, seleccionar la opción Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarán las actualizaciones y después
se aplicarán al dispositivo pasivo.
• HA activa/activa: Si el puerto de gestión se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalación en ambos dispositivos, pero no seleccione la opción Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizará que si un dispositivo en la configuración activa/activa pasa al estado activo secundario, el dispositivo activo
descargará/instalará la firma y después la aplicará al dispositivo activo secundario.
Paso 4 Añada los perfiles de seguridad a una 1. Seleccione Políticas > Seguridad, seleccione la política deseada
política de seguridad. para modificarla y, a continuación, haga clic en la pestaña
Acciones.
2. En Ajuste de perfil, haga clic en el menú desplegable junto a
cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos el valor predeterminado de Antivirus,
Protección contra vulnerabilidades y Antispyware.
(Si no ve menús desplegables para seleccionar perfiles,
seleccione Perfiles en el menú desplegable Tipo de perfil).
Configuración de bloqueo de archivos
Los perfiles de bloqueo de archivos le permiten identificar tipos de archivos específicos que desee bloquear o
supervisar. El siguiente flujo de trabajo muestra cómo configurar un perfil de bloqueo de archivos básico que
impide que los usuarios descarguen archivos ejecutables de Internet.
42 Primeros pasos
Paso 1 Cree el perfil de bloqueo de archivos. 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
archivos y haga clic en Añadir.
2. Introduzca un nombre para el perfil de bloqueo de archivos, por
ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripción, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.
Paso 2 Configure las opciones de bloqueo de 1. Haga clic en Añadir para definir estos ajustes de perfil.
archivos. 2. Introduzca un nombre, como Bloquear_EXE.
3. Establezca las aplicaciones a las que desee aplicar el bloqueo de
archivos o déjelas establecidas como “cualquiera”.
4. Establezca los tipos de archivos que se bloquearán. Por
ejemplo, para bloquear la descarga de archivos ejecutables,
debería seleccionar exe.
5. Especifique la dirección en la que bloquear la descarga de
archivos, la carga de archivos o ambas.
6. Establezca la acción como una de las siguientes:
• Continuar: Los usuarios deberán hacer clic en Continuar
para seguir con la descarga/carga. Debe habilitar páginas de
respuesta en las interfaces asociadas si tiene la intención de
utilizar esta opción.
• Bloquear: Los archivos que coincidan con los criterios
seleccionados tendrán su descarga/carga bloqueada.
• Alertar: Los archivos que coincidan con los criterios
seleccionados estarán permitidos, pero generarán una
entrada de log en el log de filtrado de datos.
Paso 3 Adjunte el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad y seleccione una política
las políticas de seguridad que permiten existente o cree una nueva política según se describe en
acceder al contenido. Creación de reglas de seguridad.
2. Haga clic en la pestaña Acciones dentro de la política de
seguridad.
3. En la sección de configuración del perfil, haga clic en el menú
desplegable y seleccione el perfil de bloqueo de archivos que
creó. (Si no ve menús desplegables para seleccionar perfiles,
seleccione Perfiles en el menú desplegable Tipo de perfil).
Primeros pasos 43
Configuración de bloqueo de archivos (Continuación)
Paso 4 Habilite páginas de respuesta en el perfil 1. Seleccione Red > Perfiles de red > Gestión de interfaz y, a
de gestión para cada interfaz en la que esté continuación, seleccione un perfil de interfaz para editarlo o
adjuntando un perfil de bloqueo de haga clic en Añadir para crear un nuevo perfil.
archivos con una acción Continuar. 2. Seleccione Páginas de respuesta, así como cualquier otro
servicio de gestión necesario en la interfaz.
3. Haga clic en Aceptar para guardar el perfil de gestión de
interfaz.
4. Seleccione Red > Interfaces y seleccione la interfaz a la que se
adjuntará el perfil.
5. En la pestaña Avanzada > Otra información, seleccione el perfil
de gestión de interfaz que acaba de crear.
6. Haga clic en Aceptar para guardar la configuración de la
interfaz.
Paso 5 Para comprobar la configuración de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del
cortafuegos y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debería aparecer una
página de respuesta. Haga clic en Continuar para descargar el archivo. También puede establecer otras acciones,
como únicamente alertar, reenviar (que reenviará a WildFire) o bloquear, que no proporcionará al usuario una
página que le pregunte si desea continuar. A continuación se muestra la página de respuesta predeterminada de
Bloqueo de archivos:
Ejemplo: Página de respuesta de bloqueo de archivos predeterminada
Control del acceso a contenido web
El filtrado de URL proporciona visibilidad y control sobre el tráfico web de su red. Con el filtrado de URL
habilitado, el cortafuegos puede categorizar el tráfico web en una o más categorías (de aproximadamente 60). A
continuación, puede crear políticas que especifiquen si se permite, bloquea o crea un log (alerta) para el tráfico
basándose en la categoría a la que pertenece. El siguiente flujo de trabajo muestra cómo habilitar PAN-DB para
el filtrado de URL, crear perfiles de seguridad y adjuntarlos a políticas de seguridad para aplicar una política de
filtrado de URL básica.
44 Primeros pasos
Configuración de filtrado de URL
Paso 1 Confirme la información de la licencia 1. Obtenga e instale una licencia de filtrado de URL. Consulte
para el filtrado de URL. Activación de licencias para obtener información detallada.
2. Seleccione Dispositivo > Licencias y compruebe que la licencia
de filtrado de URL es válida.
Paso 2 Descargue la base de datos de envíos y 1. Para descargar la base de datos de envíos, haga clic en
active la licencia. Descargar junto a Descargar estado en la sección Filtrado de
URL de PAN-DB de la página Licencias.
2. Seleccione una región (Norteamérica, Europa, APAC, Japón) y,
a continuación, haga clic en Aceptar para iniciar la descarga.
3. Cuando finalice la descarga, haga clic en Activar.
Paso 3 Cree un perfil de filtrado de URL. 1. Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
Práctica recomendada para nuevos perfiles: 2. Seleccione el perfil predeterminado y, a continuación, haga clic
en Duplicar. El nuevo perfil se denominará predeterminado-1.
Dado que el perfil de filtrado de URL
predeterminado bloquea el contenido de riesgo y 3. Seleccione el nuevo perfil y cámbiele el nombre.
propenso a las amenazas, duplique este perfil
cuando cree un nuevo perfil para conservar la
configuración predeterminada.
Primeros pasos 45
Configuración de filtrado de URL (Continuación)
Paso 4 Defina cómo controlar el acceso al 1. En cada categoría para la que quiera visibilidad o que quiera
contenido web. controlar, seleccione un valor en la columna Acción de la
siguiente forma:
Si no está seguro de qué tráfico desea
controlar, considere configurar las • Si no se preocupa por el tráfico a una categoría concreta
categorías (excepto las bloqueadas de (es decir, que no quiere bloquear ni registrar), seleccione
forma predeterminada) en Alertar. A Permitir.
continuación puede utilizar las • Para obtener visibilidad sobre el tráfico a sitios de una
herramientas de visibilidad en el categoría, seleccione Alertar.
cortafuegos, como el Centro de comando
de aplicación (ACC) y Appscope, para • Para evitar el acceso a tráfico que coincida con la política
determinar qué categorías web restringir a asociada, seleccione Bloquear (esto también genera una
grupos específicos o bloquear por entrada de log).
completo. A continuación, puede volver y
modificar el perfil para bloquear y
permitir categorías del modo deseado.
También puede definir sitios web
específicos que deben permitirse siempre
o bloquearse siempre
independientemente de la categoría y
habilitar la opción de búsqueda segura
para filtrar los resultados de búsqueda al
definir el perfil de Filtrado de URL.
2. Haga clic en Aceptar para guardar el perfil de filtro de URL.
Paso 5 Adjunte el perfil de filtro de URL a una 1. Seleccione Políticas > Seguridad.
política de seguridad. 2. Seleccione la política deseada para modificarla y después haga
clic en la pestaña Acciones.
3. Si es la primera vez que define un perfil de seguridad, seleccione
Perfiles en el menú desplegable Tipo de perfil.
4. En la lista de configuración de perfiles, seleccione el perfil que
acaba de crear en el menú desplegable Filtrado de URL. (Si no
ve menús desplegables para seleccionar perfiles, seleccione
Perfiles en el menú desplegable Tipo de perfil).
5. Haga clic en ACEPTAR para guardar el perfil.
6. Compile la configuración.
46 Primeros pasos
Configuración de filtrado de URL (Continuación)
Paso 6 Habilite páginas de respuesta en el perfil 1. Seleccione Red > Perfiles de red > Gestión de interfaz y, a
de gestión en cada interfaz en la que filtre continuación, seleccione un perfil de interfaz para editarlo o
tráfico web. haga clic en Añadir para crear un nuevo perfil.
2. Seleccione Páginas de respuesta, así como cualquier otro
servicio de gestión necesario en la interfaz.
interfaz.
4. Seleccione Red > Interfaces y seleccione la interfaz a la que se
adjuntará el perfil.
5. En la pestaña Avanzada > Otra información, seleccione el perfil
de gestión de interfaz que acaba de crear.
6. Haga clic en Aceptar para guardar la configuración de la
interfaz.
Paso 8 Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la política de
seguridad y trate de acceder a un sitio de una categoría bloqueada. Debe ver una página de respuesta de filtrado
de URL que indica que la página se ha bloqueado:
Cómo obtener más información
Si desea información más detallada sobre cómo proteger su empresa ante amenazas, consulte Prevención de
amenazas. Si desea información detallada sobre cómo explorar el tráfico cifrado (SSH o SSL) en busca de
amenazas, consulte Descifrado.
Si desea más información sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto
Networks, visite los siguientes enlaces:
 Applipedia: Ofrece información sobre las aplicaciones que Palo Alto Networks puede identificar.
 Cámara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
número de ID para obtener más información acerca de una amenaza.
Primeros pasos 47
Prácticas recomendadas para completar la implementación del cortafuegos Primeros pasos
Prácticas recomendadas para completar la implementación

del cortafuegos
Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad básicas, puede
empezar a configurar funciones más avanzadas. Estos son algunos aspectos que debería considerar a
continuación:
 Obtenga información sobre las diferentes Interfaces de gestión que están a su disposición y cómo acceder
a ellas y utilizarlas.
 Configure la Alta disponibilidad: La alta disponibilidad (HA) es una configuración en la que dos
cortafuegos se colocan en un grupo y su configuración se sincroniza para prevenir el fallo de un único
punto en su red. Una conexión de latido entre los peers del cortafuegos garantiza una conmutación por
error sin problemas en el caso de que falle un peer. La configuración de los cortafuegos en un clúster de
dos dispositivos proporciona redundancia y le permite garantizar la continuidad empresarial.
 Configuración de la clave maestra: Cada cortafuegos de Palo Alto Networks tiene una clave maestra
predeterminada que cifra las claves privadas que se utilizan para autenticar administradores cuando
acceden a interfaces de gestión en el cortafuegos. La práctica recomendada para proteger las claves es
configurar la clave maestra en cada cortafuegos para que sea exclusiva.
 Gestión de administradores de cortafuegos: Cada cortafuegos y dispositivo de Palo Alto Networks viene
preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (también conocido como acceso de superusuario) al dispositivo. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a las
funciones de administración o informes del cortafuegos. Esto le permite proteger mejor el dispositivo de
la configuración (o modificación) no autorizada y registrar en logs las acciones de cada uno de los
administradores.
 Habilite la identificación de usuarios (User-ID): User-ID es una función de cortafuegos de próxima
generación de Palo Alto Networks que le permite crear políticas y realizar informes basándose en usuarios
y grupos en lugar de direcciones IP individuales.
 Habilite el Descifrado: Los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar e
inspeccionar el tráfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado en un
cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido confidencial,
escondido como tráfico cifrado o de túnel.
48 Primeros pasos
Gestión de dispositivos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto Networks mediante
la interfaz web, la CLI y las interfaces de gestión de la API. El acceso administrativo basado en funciones a las
interfaces de gestión puede personalizarse para delegar tareas o permisos específicos a determinados
administradores. Consulte los siguientes temas para obtener información sobre opciones de gestión de
dispositivos, incluido cómo empezar a utilizar las interfaces de gestión y cómo personalizar las funciones de
administrador:
 Interfaces de gestión
 Gestión de administradores de cortafuegos
 Referencia: acceso de administrador a la interfaz web
Gestión de dispositivos 49
Interfaces de gestión Gestión de dispositivos
Interfaces de gestión
Los cortafuegos de PAN-OS y Panorama proporcionan tres interfaces de usuario: una interfaz web, una interfaz
de línea de comandos (CLI) y una API REST de gestión. Consulte los siguientes temas para saber cómo acceder
a cada una de las interfaces de gestión de dispositivos y cómo empezar a utilizarlas:
 Uso de la interfaz web para realizar tareas administrativas y generar informes desde la interfaz web con
relativa facilidad. Esta interfaz gráfica le permite acceder al cortafuegos con HTTPS y es la mejor forma de
realizar tareas administrativas.
 Uso de la interfaz de línea de comandos (CLI) para escribir los comandos con rapidez para realizar una serie
de tareas. La CLI es una interfaz sencilla que admite dos modos de comandos, cada uno de los cuales con su
propia jerarquía de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis de
los comandos, la CLI permite tiempos de respuesta rápidos y ofrece eficacia administrativa.
 Uso de la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML se proporciona como servicio web implementado usando
solicitudes y respuestas de HTTP/HTTPS.
Uso de la interfaz web
Los siguientes exploradores web son compatibles para acceder a la interfaz web de cortafuegos de PAN-OS y
Panorama:
 Internet Explorer 7+
 Firefox 3.6+
 Safari 5+
 Chrome 11+
Abra un explorador de Internet e introduzca la dirección IP del cortafuegos. Introduzca sus credenciales de
usuario. Si inicia sesión en el cortafuegos por primera vez, escriba el administrador predeterminado (admin) en
los campos Nombre y Contraseña.
Para ver información sobre cómo utilizar una página específica y una explicación de los campos y opciones de
la página, haga clic en el icono Ayuda del área superior derecha de la página para abrir el sistema de
ayuda en línea. Además de mostrar ayuda contextual de una página, al hacer clic en el icono Ayuda se muestra
un panel de navegación de ayuda con opciones para examinar todo el contenido de la ayuda y buscar en él.
Los siguientes temas describen cómo empezar a utilizar la interfaz web del cortafuegos:
 Navegación en la interfaz web
 Compilación de cambios
 Uso de páginas de configuración
 Campos obligatorios
 Bloqueo de transacciones
50 Gestión de dispositivos
Gestión de dispositivos Interfaces de gestión
Navegación en la interfaz web
Se aplican las siguientes convenciones cuando utilice la interfaz web.

 Para mostrar los elementos del menú para una categoría de funciones general, haga clic en la pestaña, como
Objetos o Dispositivo, junto a la parte superior de la ventana del explorador.
 Haga clic en un elemento en el menú lateral para mostrar un panel.
 Para mostrar los elementos del menú secundario, haga clic en el icono a la izquierda de un elemento.
Para ocultar elementos del menú secundario, haga clic en el icono a la izquierda del elemento.
 En la mayoría de las páginas de configuración, puede hacer clic en Añadir para crear un nuevo elemento.
 Para eliminar uno o más elementos, seleccione sus casillas de verificación y haga clic en Eliminar. En la
mayoría de los casos, el sistema le solicita confirmar haciendo clic en ACEPTAR o cancelar la eliminación
haciendo clic en Cancelar.
 En algunas páginas de configuración, puede seleccionar la casilla de verificación de un elemento y hacer clic
en Duplicar para crear un nuevo elemento con la misma información que el elemento seleccionado.
 Para modificar un elemento, haga clic en su enlace subrayado.
 Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior derecha de la página.
La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio,
mensajes asociados y acciones. Utilice la lista desplegable Mostrar para filtrar la lista de tareas.
 Si no se define una preferencia de idioma, el idioma de la interfaz web estará controlado por el idioma actual
del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que utiliza para gestionar el cortafuegos tiene
como idioma establecido el español, cuando inicia sesión en el cortafuegos, la interfaz web estará en español.
 Para especificar un idioma que se utilizará siempre para una cuenta específica independientemente de la
configuración regional del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la página y
se abrirá la ventana Preferencia de idioma. Haga clic en la lista desplegable para seleccionar el idioma que
desee y, a continuación, haga clic en ACEPTAR para guardar los cambios.
 En páginas donde aparecen informaciones que puede modificar (por ejemplo, la página Configuración en la
pestaña Dispositivos), haga clic en el icono en la esquina superior derecha de una sección para editar los
ajustes.
 Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para almacenar los cambios.
Cuando hace clic en ACEPTAR, se actualiza la configuración actual de “candidato”.
Compilación de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar.
Las siguientes opciones están disponibles en el cuadro de diálogo compilar. Haga clic en el enlace Avanzado, si
es necesario, para mostrar las opciones:
– Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la
operación de compilación.
– Incluir configuración de objeto compartido:
(solo cortafuegos de sistemas virtuales) Incluir los cambios
de configuración de objetos compartidos en la operación de compilación.
– Incluir políticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios de configuración
de objetos y políticas en la operación de compilación.
– Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o
más sistemas virtuales.
– Vista previa de cambios: Haga clic en este botón para devolver una ventana con dos paneles que muestra
los cambios propuestos en la configuración del candidato en comparación con la configuración
actualmente en ejecución. Puede seleccionar el número de líneas de contexto para mostrar o mostrar
todas las líneas. Los cambios están indicados con colores dependiendo de los elementos que se han
agregado, modificado o eliminado.
Uso de páginas de configuración
Las tablas en las páginas de configuración incluyen opciones para escoger columnas y orden. Haga clic en el
encabezado de una columna para ordenar en esa columna y haga clic de nuevo para cambiar el orden. Haga clic
en la flecha a la derecha de cualquier columna y seleccione casillas de verificación para elegir qué columnas
mostrar.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratón o hace clic en el área de
entrada del campo, aparece un mensaje indicando que el campo es obligatorio.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un
conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información
por otro administrador hasta que se elimine el bloqueo. Se permiten los siguientes tipos de bloqueo:
 Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores.
Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solo puede eliminarse
por el administrador que lo configuró o por un superusuario del sistema.
 Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que
se liberen todos los bloqueos. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando
dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios
antes de que finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios actuales
por el administrador que aplicó el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones actuales que están
bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transacción, haga clic en el icono desbloqueado en la barra superior para abrir el cuadro
de diálogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el ámbito del bloqueo en la lista desplegable y haga
clic en ACEPTAR. Agregue bloqueos adicionales como sea necesario y vuelva a hacer clic en Cerrar para cerrar
el cuadro de diálogo Bloqueo.
La transacción está bloqueada y el icono en la barra superior cambia por un icono bloqueado que muestra el
número de elementos bloqueados en las paréntesis.
Para desbloquear una transacción, haga clic en el icono bloqueado en la barra superior para abrir la ventana
Bloqueos. Haga clic en el icono del bloqueo que desea eliminar y haga clic en Sí para confirmar. Haga clic
en Cerrar para cerrar el cuadro de diálogo Bloqueo.
Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de
verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página
Configuración de dispositivo.
Uso de la interfaz de línea de comandos (CLI)
La CLI de PAN-OS le permite acceder a cortafuegos y dispositivos de Panorama, ver información de estado y
configuración y modificar configuraciones. El acceso a la CLI de PAN-OS se proporciona a través de SSH,
Telnet o acceso directo a la consola.
Los siguientes temas describen cómo acceder a la CLI de PAN-OS y cómo empezar a utilizarla:
 Acceso a la CLI de PAN-OS
 Modos de operación y configuración
Para obtener más información sobre la CLI, consulte la Guía de referencia de la interfaz de línea de comandos de
PAN-OS.
Acceso a la CLI de PAN-OS
Antes de empezar, verifique que el cortafuegos está instalado y que se ha establecido una conexión de SSH,
Telnet o directa con la consola.
Utilice la siguiente configuración en la conexión directa de la consola:
• Tasa de datos: 9600
• Bits de datos: 8
• Paridad: No
• Bits de terminación: 1
• Control de flujo: Ninguna
Acceso a la CLI de PAN-OS
Paso 1 Abra la conexión de la consola.
Paso 2 Introduzca el nombre de usuario administrativo. El valor predeterminado es admin.
Paso 3 Introduzca la contraseña administrativa. El valor predeterminado es admin.
Paso 4 La CLI de PAN-OS se abre en el modo de operación y se muestra el siguiente mensaje de la CLI:
username@hostname>
Modos de operación y configuración
Cuando inicie sesión, la CLI de PAN-OS se abre en el modo de operación. Puede alternar entre los modos de
operación y navegación en cualquier momento. Utilice el modo de operación para ver el estado del sistema,
navegar por la CLI de PAN-OS y acceder al modo de configuración. Utilice el modo de configuración para ver
y modificar la jerarquía de configuración.
 Para entrar en el modo de configuración desde el modo de operación, utilice el comando configure :
username@hostname> configure
Entering configuration mode
[editar]
username@hostname#
 Para salir del modo de configuración y regresar al modo de operación, utilice el comando quit o exit:
username@hostname# quit
Exiting configuration mode
username@hostname>
 Para introducir un comando del modo de operación mientras está en el modo de configuración, utilice el
comando run; por ejemplo:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#
 Para dirigir un comando del modo de operación a un VSYS en particular, especifique el VSYS de destino
con el siguiente comando:
username@hostname# set system setting target-vsys <vsys_name>
Uso de la API XML
La API XML de Palo Alto Networks utiliza solicitudes HTTP estándar para enviar y recibir datos, lo que permite
el acceso a varios tipos de datos en el dispositivo para que los datos puedan integrarse fácilmente con otros
sistemas y utilizarse en ellos. Utilice la API REST de gestión para ver la configuración de un cortafuegos o
Panorama, extraer datos de informes en formato XML y ejecutar comandos de operación. Las llamadas de la
API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o wget o usando
cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST. Al
utilizar la API con herramientas de líneas de comandos, se admiten tanto el método GET como el método
POST de HTTP.
Debe generar una clave de API para empezar a utilizar la API XML. La clave de API autentica al usuario para
el cortafuegos, la aplicación o Panorama. Después de haber generado una clave de API, puede utilizar la clave
para realizar la configuración del dispositivo y tareas de operación, recuperar informes y logs e importar y
exportar archivos. Consulte Generación de una clave de API para conocer los pasos necesarios para generar una
clave de API.
La siguiente tabla muestra la estructura de URL para solicitudes de la API:
Estructura de URL de la API XML
Antes de PAN-OS 4.1.0 http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 y posterior http(s)://hostname/api/?request-parameters-values
Definiciones de elementos de la estructura de URL:

• hostname: Dirección IP o nombre de dominio del dispositivo.
• request-parameters-values: Serie de varios pares de ‘parámetro=valor’ separados por el carácter &. Estos
valores pueden ser palabras clave o valores de datos en formato estándar o XML (los datos de respuesta siempre
están en formato XML).
Existen diferentes API para productos PAN-OS, User-ID y WildFire. Para obtener más información sobre
cómo utilizar la interfaz de la API, consulte la PAN-OS XML API Usage Guide (Guía de uso de la API XML
de PAN-OS). Para acceder a la comunidad en línea para desarrollar secuencias de comandos, visite:
https://live.paloaltonetworks.com/community/devcenter.
Generación de una clave de API
Para utilizar la API para gestionar un cortafuegos o una aplicación, se necesita una clave de API para autenticar
todas las llamadas de la API. Se utilizan credenciales de cuenta de administrador para generar claves de API.
La práctica recomendada es crear una cuenta de administrador separada para la administración
basada en XML.
Generación de una clave de API
Paso 1 Cree una cuenta de administrador. 1. En la interfaz web, en la pestaña Dispositivo >
Administradores, haga clic en Añadir.
2. Introduzca un Nombre de inicio de sesión para el administrado.
3. Introduzca y confirme una Contraseña para el administrador.
4. Haga clic en ACEPTAR y Confirmar.
Paso 2 Solicite una clave de API. Sustituya los parámetros hostname, username y password de la
siguiente URL por los valores adecuados de sus credenciales de
cuenta de administrador:
http(s)://hostname/api/?type=keygen&user=username&password
=password
La clave de API aparecerá en un bloque XML. Por ejemplo:

<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Paso 3 (Opcional) Revoque o cambie una clave 1. En la pestaña Dispositivo > Administradores, abra la cuenta de
de API. administrador asociada a la clave de API.
Para PAN-OS 4.1.0 y versiones 2. Introduzca y confirme una nueva Contraseña para la cuenta de
posteriores, cada vez que se genera una administrador.
clave de API con las mismas credenciales 3. Haga clic en ACEPTAR y Confirmar.
de cuenta de administrador, se devuelven Las claves de API asociadas a la cuenta de administrador antes
claves de API exclusivas; además, todas del cambio de contraseña se revocarán al seleccionar Confirmar.
las claves son válidas.
4. (Opcional) Utilice las credenciales de cuenta de administrador
Puede decidir revocar y, a continuación, actualizadas para generar una nueva clave de API. Consulte
cambiar una clave de API asociada a una Paso 2.
cuenta de administrador cambiando la
contraseña asociada a la cuenta de
administrador. Las claves de API
generadas con las credenciales anteriores
dejarán de ser válidas.
Ejemplo de flujo de trabajo utilizando una clave de API:

Solicite una clave de API introduciendo la URL con los valores adecuados en un explorador web:
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
Al introducir la URL, aparecerá un bloque XML que contiene la clave de API:
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
Siga utilizando la clave de API para crear solicitudes de la API. Por ejemplo, para generar un informe:
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&rep
ortname=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM
6A=
Gestión de dispositivos Gestión de administradores de cortafuegos
Gestión de administradores de cortafuegos

Cada cortafuegos y dispositivo de Palo Alto Networks viene preconfigurado con una cuenta administrativa
predeterminada (admin), que proporciona un acceso completo de lectura-escritura (también conocido como
acceso de superusuario) al dispositivo.
Es recomendable que cree una cuenta administrativa diferente para cada persona que necesite
acceder a las funciones de administración o informes del cortafuegos. Esto le permite proteger
mejor el dispositivo de la configuración (o modificación) no autorizada y registrar en logs las
acciones de cada uno de los administradores.
Los siguientes temas describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos básicos:
 Funciones administrativas
 Autenticación administrativa
 Creación de una cuenta administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organización, de que tenga servicios de autenticación previos que desee integrar y del número de funciones
administrativas que necesite. Una función define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
 Funciones dinámicas: Funciones integradas que proporcionan acceso al cortafuegos en las categorías de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinámicas solo tendrá que preocuparse de actualizar las definiciones de función, ya que se añaden nuevas
características cuando las funciones se actualizan automáticamente.
 Perfiles de función de administrador: Le permiten crear sus propias definiciones de función para ofrecer
un control de acceso más granular a las diversas áreas funcionales de la interfaz web, CLI o API XML. Por
ejemplo, podría crear un perfil de función de administrador para su personal de operaciones que proporcione
acceso a las áreas de configuración de red y dispositivo de la interfaz web y un perfil separado para los
administradores de seguridad que proporcione acceso a la definición de política de seguridad, logs e
informes. Tenga en cuenta que con los perfiles de función de administrador deberá actualizar los perfiles
para asignar privilegios de forma explícita para nuevos componentes/características que se añadan al
producto.
Gestión de administradores de cortafuegos Gestión de dispositivos
Autenticación administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
 Cuenta de administrador local con autenticación local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticación son locales para el cortafuegos. Puede añadir un nivel
de protección adicional a la cuenta del administrador local creando un perfil de contraseña que defina un
período de validez para las contraseñas y estableciendo ajustes de complejidad de la contraseña para todo el
dispositivo.
 Cuenta de administrador local con autenticación basada en SSL: Con esta opción, puede crear las
cuentas de administrador en el cortafuegos, pero la autenticación se basa en certificados SSH (para acceso a
CLI) o certificados de cliente/tarjetas de acceso común (para la interfaz web). Consulte el artículo How to
Configure Certificate-based Authentication for the WebUI (Cómo configurar la autenticación basada en certificados
para la IU web) para obtener información sobre cómo configurar este tipo de acceso administrativo.
 Cuenta de administrador local con autenticación externa: Las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticación se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticación que defina el modo
de acceso al servicio de autenticación externa y después crear una cuenta para cada administrador que haga
referencia al perfil.
 Cuenta y autenticación de administrador externas: La administración y la autenticación de la cuenta las

gestiona un servidor RADIUS externo. Para usar esta opción, primero debe definir atributos específicos de
proveedor (VSA) en su servidor RADIUS que se asignen a la función de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artículo Radius Vendor Specific Attributes (VSA) (Atributos específicos de proveedor [VSA] en Radius) para
obtener información sobre cómo configurar este tipo de acceso administrativo.
Creación de una cuenta administrativa
Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de
cortafuegos. Como es común delegar tareas administrativas específicas a administradores determinados con
funciones variables, Palo Alto Networks le recomienda que cree perfiles de función de administrador que
permitan que los administradores accedan únicamente a las áreas de la interfaz de gestión que sean necesarias
para realizar sus trabajos. Puede asignar las distintas funciones que cree a cuentas de administrador individuales
y especificar privilegios de acceso a cada interfaz de gestión: la interfaz web, la interfaz de línea de comandos
(CLI) y la API REST de gestión. Mediante la creación de funciones de administrador con privilegios de acceso
muy detallados, puede garantizar la protección de los datos confidenciales de la empresa y la privacidad de los
usuarios finales.
El siguiente procedimiento describe cómo crear una cuenta de administrador local con autenticación local, lo
que incluye cómo configurar el acceso de administrador para cada interfaz de gestión.
Creación de un administrador local
Paso 1 Cree los perfiles de función de Complete los siguientes pasos para cada función que desee crear:
administrador que tenga la intención de 1. Seleccione Dispositivo > Funciones de administrador y, a
asignar a sus administradores (esto no es continuación, haga clic en Añadir.
aplicable si tiene la intención de utilizar
2. Introduzca un nombre y, opcionalmente, una descripción para
funciones dinámicas). Los perfiles de
la función.
función de administrador definen qué
tipo de acceso dar a las diferentes 3. En las pestañas Interfaz web, Línea de comandos y/o API
secciones de la interfaz web, CLI y API XML, especifique el acceso que debe permitirse a cada interfaz
XML para cada administrador al que de gestión:
asigne una función. • En las fichas Interfaz web y/o API XML, establezca los
niveles de acceso para cada área funcional de la interfaz
Puede utilizar este paso para establecer
haciendo clic en el icono para cambiarlo al ajuste deseado:
privilegios de acceso especialmente
Habilitar , Solo lectura o Deshabilitar .
detallados para usuarios de la interfaz
web. Si desea información detallada sobre • En la ficha Línea de comandos, especifique el tipo de acceso
qué habilita una opción específica en la que permitirá a la CLI: superlector, deviceadmin o
pestaña Interfaz web, consulte Privilegios devicereader (para funciones de dispositivo); vsysadmin o
de acceso a la interfaz web. vsysreader (para funciones de sistema virtual); o Ninguno
para deshabilitar completamente el acceso a la CLI.
Por ejemplo, conceda a un administrador un acceso completo a un
dispositivo mediante la API XML, con la excepción de la
importación o la exportación de archivos:
Gestión de administradores de cortafuegos Gestión de dispositivos
Creación de un administrador local (Continuación)
Paso 2 (Opcional) Establezca requisitos para • Crear perfiles de contraseña: Defina la frecuencia con que los
contraseñas definidas por usuarios administradores deberán cambiar sus contraseñas. Puede crear
locales. varios perfiles de contraseña y aplicarlos a las cuentas de
administrador según sea necesario para imponer la seguridad
deseada. Para crear un perfil de contraseña, seleccione Dispositivo >
Perfiles de la contraseña y, a continuación, haga clic en Añadir.
• Configurar ajustes de complejidad mínima de la contraseña:
Defina reglas que rijan la complejidad de la contraseña, lo que
obligará a los administradores a crear contraseñas más difíciles de
adivinar, descifrar o evitar. A diferencia de los perfiles de
contraseña, que se pueden aplicar a cuentas individuales, estas
reglas son para todo el dispositivo y se aplican a todas las
contraseñas. Para configurar los ajustes, seleccione Dispositivo >
Configuración y, a continuación, haga clic en el icono Editar
de la sección Complejidad de contraseña mínima.
Paso 3 Cree una cuenta para cada administrador. 1. Seleccione Dispositivo > Administradores y, a continuación,
haga clic en Añadir.
2. Introduzca un Nombre de usuario y una Contraseña para el
administrador, o cree un Perfil de autenticación para utilizarlo
para validar las credenciales de un usuario administrativo en un
servidor de autenticación externo. Consulte el Paso 4 para
obtener detalles sobre cómo configurar un perfil de
autenticación.
3. Seleccione la función que se asignará a este administrador.
Puede seleccionar una de las funciones dinámicas predefinidas o
un perfil basado en función personalizado si ha creado uno en
el Paso 1.
4. (Opcional) Seleccione un perfil de contraseña.
5. Haga clic en ACEPTAR para guardar la cuenta.
Creación de un administrador local (Continuación)
Paso 4 (Opcional) Configure la autenticación en 1. Seleccione Dispositivo > Perfil de autenticación y, a

un servidor externo: LDAP, RADIUS o continuación, haga clic en Añadir.
Kerberos. 2. Introduzca un nombre de usuario para identificar un perfil de
El perfil de servidor especifica el modo en autenticación.
el que el cortafuegos puede conectarse al 3. Defina las condiciones para bloquear al usuario administrativo.
servicio de autenticación que tiene la a. Introduzca el tiempo de bloqueo. Este es el número de
intención de utilizar. minutos que se bloquea a un usuario cuando alcanza el
número máximo de intentos fallidos (0-60 minutos; de forma
predeterminada es 0). 0 significa que el bloqueo continuará
mientras que no se desbloquee manualmente.
b. Introduzca el valor en Intentos fallidos. Número de intentos
de inicio de sesión fallidos que se permiten antes de bloquear
la cuenta (1-10; de forma predeterminada es 0). De forma
predeterminada, el número de intentos fallidos es 0, por lo
que no se bloquea al usuario aunque la autenticación falle
repetidamente.
4. Especifique a los usuarios y grupos que tienen permiso explícito
para autenticar. Al añadir una Lista de permitidas a un perfil de
autenticación, puede limitar el acceso a usuarios específicos de
un grupo/directorio de usuarios.
• Seleccione la casilla de verificación Todos para permitir a
todos los usuarios.
• Haga clic en Añadir e introduzca los primeros caracteres de
un nombre en el campo para que aparezca una lista de todos
los usuarios y grupos de usuarios que empiezan por esos
caracteres. Repita el proceso para añadir tantos
usuarios/grupos de usuarios como sea necesario.
5. En el menú desplegable Autenticación, seleccione el tipo de
autenticación que tiene la intención de utilizar en su red.
Si tiene la intención de utilizar una autenticación de base de
datos local, deberá crear la base de datos local. Seleccione
Dispositivo > Base de datos de usuario local y añada los
usuarios y grupos que se autenticarán.
6. Para acceder a un servidor de autenticación externo (que no sea
una base de datos local), seleccione el perfil de servidor
adecuado en el menú desplegable Perfil de servidor. Para crear
un nuevo perfil de servidor, haga clic en el enlace junto a Nuevo
y continúe con la configuración del acceso al servidor LDAP,
RADIUS o Kerberos.
Paso 5 Compile los cambios. 1. Haga clic en Confirmar.
Referencia: acceso de administrador a la interfaz web Gestión de dispositivos
Referencia: acceso de administrador a la interfaz web

Consulte los temas siguientes para obtener información detallada sobre las opciones necesarias para establecer
privilegios de acceso especialmente detallados para administradores de la interfaz web de PAN-OS y Panorama.
 Privilegios de acceso a la interfaz web
 Acceso a la interfaz web de Panorama
Privilegios de acceso a la interfaz web
Si desea impedir que un administrador basado en funciones acceda a pestañas específicas de la interfaz web,
puede deshabilitar la pestaña y el administrador ni siquiera la verá cuando inicie sesión con la cuenta
administrativa basada en funciones asociada. Por ejemplo, podría crear un perfil de función de administrador
para su personal de operaciones que únicamente proporcione acceso a las pestañas Dispositivo y Red y un perfil
separado para los administradores de seguridad que proporcione acceso a las pestañas Objetos, Política y
Supervisar.
La siguiente tabla describe los privilegios de acceso a nivel de pestaña que puede asignar al perfil de función de
administrador. También proporciona referencias cruzadas a tablas adicionales que indican los privilegios
detallados dentro de una pestaña. Para obtener información específica sobre cómo establecer el perfil de función
de administrador para proteger la privacidad del usuario final, consulte Definición de ajustes de privacidad de
usuario en el perfil de función de administrador.
Nivel de acceso Descripción Habilitar Solo Deshabilitar

lectura
Panel Controla el acceso a la pestaña Panel. Si Sí No Sí

deshabilita este privilegio, el administrador no verá
la pestaña ni tendrá acceso a ninguno de los
widgets del panel.
ACC Controla el acceso al Centro de comando de Sí No Sí

aplicación (ACC). Si deshabilita este privilegio, la
pestaña ACC no aparecerá en la interfaz web.
Recuerde que si quiere proteger la privacidad de
sus usuarios y a la vez seguir proporcionando
acceso al ACC, puede deshabilitar la opción
Privacidad > Mostrar direcciones IP completas
y/o la opción Mostrar nombres de usuario en
logs e informes.
Gestión de dispositivos Referencia: acceso de administrador a la interfaz web

lectura
Supervisar Controla el acceso a la pestaña Supervisar. Si Sí No Sí

la pestaña Supervisar ni tendrá acceso a ninguno
de los logs, capturas de paquetes, información de
sesión, informes o Appscope. Para obtener un
control más detallado sobre qué información de
supervisión puede ver el administrador, deje la
opción Supervisar habilitada y, a continuación,
habilite o deshabilite nodos específicos en la
pestaña como se describe en Acceso detallado a la
pestaña Supervisar.
Políticas Controla el acceso a la pestaña Políticas. Si Sí No Sí

la pestaña Políticas ni tendrá acceso a ninguna
información de política. Para obtener un control
más detallado sobre qué información de políticas
puede ver el administrador, por ejemplo, para
habilitar el acceso a un tipo de política específico
o para habilitar el acceso de solo lectura a
información de políticas, deje la opción Políticas
habilitada y, a continuación, habilite o deshabilite
nodos específicos en la pestaña como se describe
en Acceso detallado a la pestaña Política.
Objetos Controla el acceso a la pestaña Objetos. Si Sí No Sí

la pestaña Objetos ni tendrá acceso a ninguno de
los objetos, perfiles de seguridad, perfiles de
reenvío de logs, perfiles de descifrado o
programaciones. Para obtener un control más
detallado sobre qué objetos puede ver el
administrador, deje la opción Objetos habilitada y,
a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Objetos.
Red Controla el acceso a la pestaña Red. Si deshabilita Sí No Sí

este privilegio, el administrador no verá la pestaña
Red ni tendrá acceso a ninguna información de
configuración de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, túnel de IPSec, DHCP,
proxy DNS, GlobalProtect o QoS o a los perfiles
de red. Para obtener un control más detallado
sobre qué objetos puede ver el administrador, deje
la opción Red habilitada y, a continuación, habilite
o deshabilite nodos específicos en la pestaña como
se describe en Acceso detallado a la pestaña Red.

lectura
Dispositivo Controla el acceso a la pestaña Dispositivo. Si Sí No Sí

la pestaña Dispositivo ni tendrá acceso a ninguna
información de configuración de todo el
dispositivo, como información de configuración
de User-ID, alta disponibilidad, perfil de servidor
o certificado. Para obtener un control más
Acceso detallado a la pestaña Dispositivo.
Nota No puede habilitar el acceso a los nodos
Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un
acceso completo a la pestaña
Dispositivo.
Acceso detallado a la pestaña Supervisar
En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las áreas de la
pestaña Supervisar. Por ejemplo, puede que desee restringir el acceso de los administradores de operaciones
únicamente a los logs de configuración y sistema debido a que no contienen datos de usuario confidenciales.
Aunque esta sección de la definición de función de administrador especifica qué áreas de la pestaña Supervisar
puede ver el administrador, también puede emparejar los privilegios de esta sección con privilegios de
privacidad, como deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, debe
recordar que todos los informes generados por el sistema seguirán mostrando nombres de usuario y direcciones
IP aunque deshabilite dicha funcionalidad en la función. Por este motivo, si no desea que el administrador vea
ninguna de la información de usuario privada, debería deshabilitar el acceso a informes específicos como se
indica en la tabla siguiente.

lectura
Supervisar Habilita o deshabilita el acceso a la pestaña Sí No Sí

Supervisar. Si está deshabilitado, el administrador
no verá esta pestaña ni ninguno de los logs o
informes asociados.

lectura
Logs Habilita o deshabilita el acceso a todos los Sí No Sí

archivos de log. También puede dejar este
privilegio habilitado y, a continuación, deshabilitar
logs específicos que no quiera que vea el
administrador. Recuerde que si quiere proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso a uno o más de los logs,
puede deshabilitar la opción Privacidad > Mostrar
direcciones IP completas y/o la opción Mostrar
nombres de usuario en logs e informes.
Tráfico Especifica si el administrador puede ver los logs de Sí No Sí

tráfico.
Amenaza Especifica si el administrador puede ver los logs de Sí No Sí

amenaza.
Filtrado de URL Especifica si el administrador puede ver los logs de Sí No Sí

filtrado de URL.
Envíos de WildFire Especifica si el administrador puede ver los logs de Sí No Sí

WildFire. Estos logs solamente están disponibles
si tiene una suscripción a WildFire.
Filtrado de datos Especifica si el administrador puede ver los logs de Sí No Sí

filtrado de datos.
Coincidencias HIP Especifica si el administrador puede ver los logs de Sí No Sí

coincidencias HIP. Los logs de coincidencias HIP
solamente están disponibles si tiene una
suscripción a la puerta de enlace y una licencia de
portal de GlobalProtect.
Configuración Especifica si el administrador puede ver los logs de Sí No Sí

configuración.
Sistema Especifica si el administrador puede ver los logs de Sí No Sí

sistema.
Alarmas Especifica si el administrador puede ver las Sí No Sí

alarmas generadas por el sistema.
Captura de paquetes Especifica si el administrador puede ver capturas Sí Sí Sí

de paquetes (pcaps) desde la pestaña Supervisar.
Recuerde que las capturas de paquetes son datos
de flujo sin procesar y, por lo tanto, pueden
contener direcciones IP de usuarios. Si deshabilita
los privilegios Mostrar direcciones IP completas,
no ocultará la dirección IP en la pcap y, por ello,
debería deshabilitar el privilegio Captura de
paquetes si le preocupa la privacidad del usuario.

lectura
Appscope Especifica si el administrador puede ver las Sí No Sí

herramientas de análisis y visibilidad de Appscope.
Al habilitar Appscope, permite el acceso a todos
los gráficos de Appscope.
Explorador de sesión Especifique si el administrador puede examinar y Sí No Sí

filtrar las sesiones que se están ejecutando
actualmente en el cortafuegos. Recuerde que el
explorador de sesión muestra datos de flujo sin
procesar y, por lo tanto, puede contener
direcciones IP de usuarios. Si deshabilita los
privilegios Mostrar direcciones IP completas, no
ocultará la dirección IP en el explorador de sesión
y, por ello, debería deshabilitar el privilegio
Explorador de sesión si le preocupa la privacidad
del usuario.
Botnet Especifica si el administrador puede generar y ver Sí Sí Sí

informes de análisis de Botnet o ver informes de
Botnet en modo de solo lectura. Si deshabilita los
privilegios Mostrar direcciones IP completas, no
ocultará la dirección IP en informes de Botnet
programados y, por ello, debería deshabilitar el
privilegio Botnet si le preocupa la privacidad del
usuario.
Informes en PDF Habilita o deshabilita el acceso a todos los informes Sí No Sí

en PDF. También puede dejar este privilegio
habilitado y, a continuación, deshabilitar informes
en PDF específicos que no quiera que vea el
administrador. Recuerde que si quiere proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso a uno o más de los
informes, puede deshabilitar la opción Privacidad >
Mostrar direcciones IP completas y/o la opción
Mostrar nombres de usuario en logs e informes.
Gestionar resumen de Especifica si el administrador puede ver, añadir o Sí Sí Sí

PDF eliminar definiciones de informes de resumen en
PDF. Con el acceso de solo lectura, el
administrador puede ver definiciones de informes
de resumen en PDF, pero no puede añadirlas ni
eliminarlas. Si deshabilita esta opción, el
administrador no podrá ver las definiciones de
informes ni añadirlas o eliminarlas.

lectura
Informes de resumen Especifica si el administrador puede ver los Sí No Sí

en PDF informes de resumen en PDF generados en
Supervisar > Informes. Si deshabilita esta opción,
la categoría Informes de resumen en PDF no se
mostrará en el nodo Informes.
Informe de actividad del Especifica si el administrador puede ver, añadir o Sí Sí Sí

usuario eliminar definiciones de informes de actividad del
usuario y descargar los informes. Con el acceso de
solo lectura, el administrador puede ver
definiciones de informes de actividad del usuario,
pero no puede añadirlas, eliminarlas ni
descargarlas. Si deshabilita esta opción, el
administrador no podrá ver esta categoría de
informe en PDF.
Grupos de informes Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar definiciones de grupos de informes. Con
el acceso de solo lectura, el administrador puede
ver definiciones de grupos de informes, pero no
puede añadirlas ni eliminarlas. Si deshabilita esta
opción, el administrador no podrá ver esta
categoría de informe en PDF.
Programador de correo Especifica si el administrador puede programar Sí Sí Sí

electrónico grupos de informes para correo electrónico. Dado
que los informes generados que se envían por
correo electrónico pueden contener datos de
usuario confidenciales que no se eliminan al
deshabilitar la opción Privacidad > Mostrar
direcciones IP completas y/o la opción Mostrar
nombres de usuario en logs e informes y dado
que también pueden mostrar datos de log a los que
el administrador no tenga acceso, debería
deshabilitar la opción Programador de correo
electrónico si tiene requisitos de privacidad de
usuario.

lectura
Gestionar informes Habilita o deshabilita el acceso a toda la Sí No Sí

personalizados funcionalidad de informe personalizado. También
puede dejar este privilegio habilitado y, a
continuación, deshabilitar categorías de informes
personalizados específicas a los que no quiera que
el administrador pueda acceder. Recuerde que si
quiere proteger la privacidad de sus usuarios y a la
vez seguir proporcionando acceso a uno o más de
los informes, puede deshabilitar la opción
logs e informes.
Nota Los informes programados para
ejecutarse en lugar de ejecutarse a
petición mostrarán la dirección IP e
información de usuario. En este caso,
asegúrese de restringir el acceso a las
áreas de informe correspondientes.
Además, la función de informe
personalizado no restringe la capacidad
de generar informes que contengan
datos de log incluidos en logs que estén
excluidos de la función de administrador.
Estadísticas de Especifica si el administrador puede crear un Sí No Sí

aplicación informe personalizado que incluya datos de la
base de datos de estadísticas de aplicación.
Log de filtrado de datos Especifica si el administrador puede crear un Sí No Sí

informe personalizado que incluya datos del log
de filtrado de datos.
Registro de amenaza Especifica si el administrador puede crear un Sí No Sí

de amenaza.
Resumen de amenaza Especifica si el administrador puede crear un Sí No Sí

informe personalizado que incluya datos de la
base de datos de resumen de amenaza.
Registro de tráfico Especifica si el administrador puede crear un Sí No Sí

de tráfico.
Resumen de tráfico Especifica si el administrador puede crear un Sí No Sí

informe personalizado que incluya datos de la
base de datos de resumen de tráfico.
Registro de URL Especifica si el administrador puede crear un Sí No Sí

de filtrado de URL.

lectura
Coincidencia HIP Especifica si el administrador puede crear un Sí No Sí

de coincidencias HIP.
Ver informes Especifica si el administrador puede ver un Sí No Sí

personalizados informe personalizado que se haya programado
programados para su generación.
Ver informes de Especifica si el administrador puede ver informes Sí No Sí

aplicación predefinidos de aplicación. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
Supervisar > Informes y, por lo tanto, debería
deshabilitar el acceso a los informes si tiene
requisitos de privacidad de usuario.
Ver informes de Especifica si el administrador puede ver informes Sí No Sí

amenazas predefinidos de amenazas. Los privilegios de privacidad no
afectan a los informes disponibles en el nodo
Ver informes de filtrado Especifica si el administrador puede ver informes Sí No Sí

de URL predefinidos de filtrado de URL. Los privilegios de privacidad
no afectan a los informes disponibles en el nodo
Ver informes de tráfico Especifica si el administrador puede ver informes Sí No Sí

predefinidos de tráfico. Los privilegios de privacidad no afectan
a los informes disponibles en el nodo Supervisar >
Informes y, por lo tanto, debería deshabilitar el
acceso a los informes si tiene requisitos de
privacidad de usuario.
Acceso detallado a la pestaña Política
Si habilita la opción Política en el perfil de función de administrador, a continuación podrá habilitar, deshabilitar
o proporcionar acceso de solo lectura a nodos específicos dentro de la pestaña como sea necesario para la
función de administrador que esté definiendo. Al habilitar el acceso a un tipo de política específico, habilita la
capacidad de ver, añadir o eliminar reglas de política. Al habilitar un acceso de solo lectura a una política
específica, habilita al administrador para que pueda ver la base de reglas de política correspondiente, pero no
añadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de política específico, impide que el administrador
vea la base de reglas de política.
Dado que la política basada en usuarios específicos (por nombre de usuario o dirección IP) debe definirse
explícitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaña Política. Por lo tanto, solamente debería permitir el acceso a la
pestaña Política a administradores excluidos de restricciones de privacidad de usuario.

lectura
Seguridad Habilite este privilegio para permitir que el Sí Sí Sí

administrador vea, añada y/o elimine reglas de
políticas de seguridad. Establezca el privilegio
como de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de reglas
de políticas de seguridad, deshabilite este
privilegio.
NAT Habilite este privilegio para permitir que el Sí Sí Sí

política NAT. Establezca el privilegio como de
solo lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
política NAT, deshabilite este privilegio.
QoS Habilite este privilegio para permitir que el Sí Sí Sí

política de QoS. Establezca el privilegio como de
solo lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
política de QoS, deshabilite este privilegio.
Reenvío basado en Habilite este privilegio para permitir que el Sí Sí Sí

políticas administrador vea, añada y/o elimine reglas de
política de reenvío basado en políticas (PBF).
Establezca el privilegio como de solo lectura si
desea que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas de política de
PBF, deshabilite este privilegio.
Descifrado Habilite este privilegio para permitir que el Sí Sí Sí

política de descifrado. Establezca el privilegio
de política de descifrado, deshabilite este
privilegio.

lectura
Cancelación de Habilite este privilegio para permitir que el Sí Sí Sí

aplicación administrador vea, añada y/o elimine reglas de
política de cancelación de aplicación. Establezca el
privilegio como de solo lectura si desea que el
administrador pueda ver las reglas, pero no
modificarlas. Para impedir que el administrador
vea la base de reglas de política de cancelación de
aplicación, deshabilite este privilegio.
Portal cautivo Habilite este privilegio para permitir que el Sí Sí Sí

política de portal cautivo. Establezca el privilegio
de política de portal cautivo, deshabilite este
privilegio.
Protección contra Habilite este privilegio para permitir que el Sí Sí Sí

ataques por administrador vea, añada y/o elimine reglas de
denegación de servicio política de protección contra ataques por
denegación de servicio. Establezca el privilegio
de política de protección contra ataques por
denegación de servicio, deshabilite este privilegio.
Acceso detallado a la pestaña Objetos
Un objeto es un contenedor que agrupa valores de filtros de políticas específicos (como direcciones IP, URL,
aplicaciones o servicios) para una definición de reglas simplificada. Por ejemplo, un objeto de dirección puede
contener definiciones de direcciones IP específicas para servidores web y de aplicaciones en su zona DMZ.
Al decidir si desea permitir el acceso a la pestaña Objetos en su totalidad, determine si el administrador tendrá
responsabilidades de definición de políticas. Si no, probablemente el administrador no necesite acceder a la
pestaña. Sin embargo, si el administrador necesitará crear políticas, podrá habilitar el acceso a la pestaña y, a
continuación, otorgar privilegios de acceso detallados a nivel de nodo.
Al habilitar el acceso a un nodo específico, otorga al administrador el privilegio de ver, añadir y eliminar el tipo
de objeto correspondiente. Al otorgar un acceso de solo lectura, permitirá que el administrador vea los objetos
ya definidos, pero no podrá crear o eliminar ninguno. Al deshabilitar un nodo, impide que el administrador vea
el nodo en la interfaz web.
Nivel de acceso Habilitar Solo Deshabilitar

lectura
Direcciones Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar objetos de direcciones para su uso en una
política de seguridad.
Grupos de direcciones Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar objetos de grupos de direcciones para su
uso en una política de seguridad.
Regiones Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar objetos de regiones para su uso en una
política de seguridad, de descifrado o DoS.
Aplicaciones Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar objetos de aplicaciones para su uso en
una política.
Grupos de aplicaciones Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar objetos de grupos de aplicaciones para su
uso en una política.
Filtros de aplicación Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar filtros de aplicación para la simplificación
de búsquedas repetidas.
Servicios Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar objetos de servicio para su uso en la
creación de políticas que limiten los números de
puertos que puede utilizar una aplicación.
Grupos de servicios Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar objetos de grupos de servicios para su
uso en una política de seguridad.
Etiquetas (Únicamente Especifica si el administrador puede ver, añadir o Sí Sí Sí

en Panorama) eliminar etiquetas que se hayan definido en el
dispositivo.
GlobalProtect Especifica si el administrador puede ver, añadir o Sí No Sí

eliminar objetos y perfiles HIP. Puede restringir el
acceso a ambos tipos de objetos a nivel de
GlobalProtect, o bien proporcionar un control
más detallado habilitando el privilegio
GlobalProtect y restringiendo el acceso a objetos
HIP o perfiles HIP.
Objetos HIP Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar objetos HIP, que se utilizan para definir
perfiles HIP. Los objetos HIP también generan
logs de coincidencias HIP.

lectura
Perfiles HIP Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles HIP para su uso en una política
de seguridad y/o para generar logs de
coincidencias HIP.
Listas de bloqueos Especifica si el administrador puede ver, añadir o Sí Sí Sí

dinámicos eliminar listas de bloqueos dinámicos para su uso
en una política de seguridad.
Objetos personalizados Especifica si el administrador puede ver las firmas Sí No Sí

personalizadas de spyware y vulnerabilidad. Puede
restringir el acceso para habilitar o deshabilitar el
acceso a todas las firmas personalizadas a este
nivel, o bien proporcionar un control más
detallado habilitando el privilegio Objetos
personalizados y, a continuación, restringiendo el
acceso a cada tipo de firma.
Patrones de datos Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar firmas de patrones de datos
personalizadas para su uso en la creación de
perfiles de protección contra vulnerabilidades
personalizados.
Spyware Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar firmas de spyware personalizadas para su
uso en la creación de perfiles de protección contra
vulnerabilidades personalizados.
Vulnerabilidades Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar firmas de vulnerabilidad personalizadas
para su uso en la creación de perfiles de protección
contra vulnerabilidades personalizados.
Categoría de URL Especifica si el administrador puede ver, añadir o Sí Sí Sí
eliminar categorías de URL personalizadas para su
uso en una política.
Perfiles de seguridad Especifica si el administrador puede ver perfiles de Sí No Sí

seguridad. Puede restringir el acceso para habilitar
o deshabilitar el acceso a todos los perfiles de
seguridad a este nivel, o bien proporcionar un
control más detallado habilitando el privilegio
Perfiles de seguridad y, a continuación,
restringiendo el acceso a cada tipo de perfil.
Antivirus Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de antivirus.
Antispyware Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de antispyware.

lectura
Protección contra Especifica si el administrador puede ver, añadir o Sí Sí Sí

vulnerabilidades eliminar perfiles de protección contra
vulnerabilidades.
Filtrado de URL Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de filtrado de URL.
Bloqueo de archivos Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de bloqueo de archivos.
Filtrado de datos Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de filtrado de datos.
Protección contra Especifica si el administrador puede ver, añadir o Sí Sí Sí

ataques por eliminar perfiles de protección contra ataques por
denegación de denegación de servicio.
servicio
Grupos de perfiles de Especifica si el administrador puede ver, añadir o Sí Sí Sí

seguridad eliminar grupos de perfiles de seguridad.
Reenvío de logs Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de reenvío de logs.
Perfil de descifrado Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar perfiles de descifrado.
Programaciones Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar programaciones para limitar una política
de seguridad a una fecha y/o rango de tiempo
específico.
Acceso detallado a la pestaña Red

Al decidir si desea permitir el acceso a la pestaña Red en su totalidad, determine si el administrador tendrá
responsabilidades de administración de red, incluida la administración de GlobalProtect. Si no, probablemente
el administrador no necesite acceder a la pestaña.
También puede definir el acceso a la pestaña Red a nivel de nodo. Al habilitar el acceso a un nodo específico, otorga
al administrador el privilegio de ver, añadir y eliminar las configuraciones de red correspondientes. Al otorgar un
acceso de solo lectura, permitirá que el administrador vea la configuración ya definida, pero no podrá crear o
eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo en la interfaz web.

lectura
Interfaces Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar configuraciones de interfaces.
Zonas Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar zonas.

lectura
VLAN Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar VLAN.
Cables virtuales Especifica si el administrador puede ver, añadir o Sí Sí Sí

eliminar cables virtuales.
Enrutadores virtuales Especifica si el administrador puede ver, añadir, Sí Sí Sí

modificar o eliminar enrutadores virtuales.
Túneles de IPSec Especifica si el administrador puede ver, añadir, Sí Sí Sí

modificar o eliminar configuraciones de túneles de
IPSec.
DHCP Especifica si el administrador puede ver, añadir, Sí Sí Sí

modificar o eliminar configuraciones de servidor
DHCP y retransmisión DHCP.
Proxy DNS Especifica si el administrador puede ver, añadir, Sí Sí Sí

modificar o eliminar configuraciones de proxy
DNS.
GlobalProtect Especifica si el administrador puede ver, añadir o Sí No Sí

modificar configuraciones de portal y puerta de
enlace de GlobalProtect. Puede deshabilitar el
acceso a las funciones de GlobalProtect por
completo, o bien puede habilitar el privilegio
GlobalProtect y, a continuación, restringir la
función a las áreas de configuración del portal o de
la puerta de enlace.
Portales Especifica si el administrador puede ver, añadir, Sí Sí Sí

modificar o eliminar configuraciones de portales
de GlobalProtect.
Puertas de enlace Especifica si el administrador puede ver, añadir, Sí Sí Sí

modificar o eliminar configuraciones de puertas
de enlace de GlobalProtect.
MDM Especifica si el administrador puede ver, añadir, Sí Sí Sí
modificar o eliminar configuraciones de
servidores MDM de GlobalProtect.
QoS Sí Sí Sí
Perfiles de red Establece el estado predeterminado para habilitar Sí No Sí

o deshabilitar para todos los ajustes de red
descritos a continuación.

lectura
Puertas de enlace Controla el acceso al nodo Perfiles de red > Sí Sí Sí

de IKE Puertas de enlace de IKE. Si deshabilita este
privilegio, el administrador no verá el nodo
Puertas de enlace de IKE ni definirá puertas de
enlace que incluyan la información de
configuración necesaria para realizar la
negociación del protocolo IKE con la puerta de
enlace del peer.
Si el estado del privilegio está establecido como de
solo lectura, podrá ver las puertas de enlace de
IKE actualmente configuradas, pero no podrá
añadir ni editar puertas de enlace.
Criptográfico de Controla el acceso al nodo Perfiles de red > Sí Sí Sí

IPSec Criptográfico de IPSec. Si deshabilita este
privilegio, el administrador no verá el nodo
Perfiles de red > Criptográfico de IPSec ni
especificará protocolos y algoritmos para la
identificación, autenticación y cifrado en túneles
de VPN basándose en la negociación de SA de
IPSec.
solo lectura, podrá ver la configuración
criptográfica de IPSec actualmente establecida,
pero no podrá añadir ni editar una configuración.
Criptográfico de IKE Controla el modo en que los dispositivos Sí Sí Sí

intercambian información para garantizar una
comunicación segura. Especifique los protocolos
y algoritmos para la identificación, autenticación y
cifrado en túneles de VPN basándose en la
negociación de SA de IPSec (IKEv1 de fase 1).
Supervisar Controla el acceso al nodo Perfiles de red > Sí Sí Sí

Supervisar. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de red >
Supervisar ni podrá crear o editar un perfil de
supervisión que se utilice para supervisar túneles
de IPSec y supervisar un dispositivo de siguiente
salto para reglas de reenvío basado en políticas
(PBF).
solo lectura, podrá ver la configuración de perfil
de supervisión actualmente establecida, pero no
podrá añadir ni editar una configuración.

lectura
Gestión de interfaz Controla el acceso al nodo Perfiles de red > Sí Sí Sí

Gestión de interfaz. Si deshabilita este privilegio,
el administrador no verá el nodo Perfiles de red
> Gestión de interfaz ni podrá especificar los
protocolos que se utilizan para gestionar el
cortafuegos.
de gestión de interfaz actualmente establecida,
Protección de zonas Controla el acceso al nodo Perfiles de red > Sí Sí Sí

Protección de zonas. Si deshabilita este privilegio,
el administrador no verá el nodo Perfiles de red
> Protección de zonas ni podrá configurar un
perfil que determine cómo responde el
cortafuegos ante ataques desde zonas de seguridad
especificadas.
de protección de zonas actualmente establecida,
Perfil de QoS Controla el acceso al nodo Perfiles de red > QoS. Sí Sí Sí

Si deshabilita este privilegio, el administrador no
verá el nodo Perfiles de red > QoS ni podrá
configurar un perfil de QoS que determine cómo
se tratan las clases de tráfico de QoS.
de QoS actualmente establecida, pero no podrá
añadir ni editar una configuración.
Acceso detallado a la pestaña Dispositivo

lectura
Configuración Controla el acceso al nodo Configuración. Sí Sí Sí

verá el nodo Configuración ni tendrá acceso a
de gestión, operaciones, servicio, Content-ID,
Wildfire o sesión.
solo lectura, podrá ver la configuración actual,
pero no podrá realizar ningún cambio.
Auditoría de Controla el acceso al nodo Auditoría de Sí No Sí

configuraciones configuraciones. Si deshabilita este privilegio, el
administrador no verá el nodo Auditoría de
configuraciones ni tendrá acceso a ninguna
dispositivo.
Funciones de gestor Controla el acceso al nodo Funciones de gestor. No Sí Sí

Esta función solamente puede permitirse para un
acceso de solo lectura.
verá el nodo Funciones de gestor ni tendrá
acceso a ninguna información de todo el
dispositivo relativa a la configuración de funciones
de gestor.
Si establece este privilegio como de solo lectura,
podrá ver la información de configuración de
todas las funciones de gestor configuradas en el
dispositivo.
Administradores Controla el acceso al nodo Administradores. No Sí Sí

Esta función solamente puede permitirse para un
acceso de solo lectura.
verá el nodo Administradores ni tendrá acceso a
información sobre su propia cuenta de
administrador.
el administrador podrá ver la información de
configuración de su propia cuenta de
administrador. No verá información sobre las
cuentas de otros administradores configuradas en
el dispositivo.

lectura
Sistemas virtuales Controla el acceso al nodo Sistemas virtuales. Sí Sí Sí

verá ni podrá configurar sistemas virtuales.
solo lectura, podrá ver los sistemas virtuales
actualmente configurados, pero no podrá añadir ni
editar una configuración.
Puertas de enlace Controla el acceso al nodo Puertas de enlace Sí Sí Sí

compartidas compartidas. Las puertas de enlace compartidas
permiten que los sistemas virtuales compartan una
interfaz común para las comunicaciones externas.
verá ni podrá configurar puertas de enlace
compartidas.
solo lectura, podrá ver las puertas de enlace
compartidas actualmente configuradas, pero no
podrá añadir ni editar una configuración.
Identificación de Controla el acceso al nodo Identificación de Sí Sí Sí

usuarios usuarios. Si deshabilita este privilegio, el
administrador no verá el nodo Identificación de
usuarios ni tendrá acceso a información de
configuración de identificación de usuarios de
todo el dispositivo, como asignación de usuario,
agentes de User-ID, servicio, agentes de servicios
de terminal, configuración de asignación de grupo
o configuración de portal cautivo.
el administrador podrá ver información de
configuración del dispositivo, pero no tendrá
permiso para realizar ningún procedimiento de
configuración.
Origen de información Controla el acceso al nodo Origen de información Sí Sí Sí

de VM de VM que le permite configurar el agente de
User-ID de Windows/cortafuegos que recopilará
el inventario de VM automáticamente.
verá el nodo Origen de información de VM.
el administrador podrá ver los orígenes de
información de VM configurados, pero no podrá
añadir, editar o eliminar ningún origen.

lectura
Alta disponibilidad Controla el acceso al nodo Alta disponibilidad. Sí Sí Sí

verá el nodo Alta disponibilidad ni tendrá acceso
a información de configuración de alta
disponibilidad de todo el dispositivo, como
información de configuración general o
supervisión de enlaces y rutas.
configuración de alta disponibilidad del
dispositivo, pero no tendrá permiso para realizar
ningún procedimiento de configuración.
Gestión de certificados Establece el estado predeterminado para habilitar Sí No Sí

o deshabilitar para todos los ajustes de certificados
Certificados Controla el acceso al nodo Certificados. Sí Sí Sí

verá el nodo Certificados ni podrá configurar o
acceder a información relativa a certificados de
dispositivos o entidades de certificación de
confianza predeterminadas.
configuración de certificados del dispositivo, pero
no tendrá permiso para realizar ningún
procedimiento de configuración.
Perfil del certificado Controla el acceso al nodo Perfil del certificado. Sí Sí Sí

verá el nodo Perfil del certificado ni podrá crear
perfiles del certificado.
el administrador podrá ver perfiles del certificado
actualmente configurados para el dispositivo, pero
no tendrá permiso para crear o editar un perfil del
certificado.

lectura
OCSP responder Controla el acceso al nodo OCSP responder. Sí Sí Sí

verá el nodo OCSP responder ni podrá definir un
servidor que se utilizará para verificar el estado de
revocación de los certificados emitidos por el
dispositivo PAN-OS.
Si establece este privilegio como de solo lectura, el
administrador podrá ver la configuración de OCSP
responder del dispositivo, pero no tendrá
permiso para crear o editar una configuración de
OCSP responder.
Páginas de respuesta Controla el acceso al nodo Páginas de respuesta. Sí Sí Sí

verá el nodo Páginas de respuesta ni podrá
definir un mensaje HTML personalizado que se
descarga y se visualiza en lugar de una página web
o archivo solicitado.
administrador podrá ver la configuración de
Páginas de respuesta del dispositivo, pero no
tendrá permiso para crear o editar una
configuración de páginas de respuesta.
Configuración de log Establece el estado predeterminado para habilitar Sí No Sí

o deshabilitar para todos los ajustes de log
Sistema Controla el acceso al nodo Configuración de log > Sí Sí Sí

Sistema. Si deshabilita este privilegio, el
administrador no verá el nodo Configuración de
log > Sistema ni podrá especificar los niveles de
gravedad de las entradas de logs del sistema que se
registran de manera remota con Panorama y se
envían como traps SNMP, mensajes de Syslog y/o
notificaciones por correo electrónico.
Configuración de log > Sistema del dispositivo,
pero no tendrá permiso para crear o editar una
configuración.

lectura
Configurar Controla el acceso al nodo Configuración de log > Sí Sí Sí

Configuración. Si deshabilita este privilegio, el
log > Configuración ni podrá especificar las
entradas de logs de configuración que se registran
de manera remota con Panorama y se envían como
mensajes de Syslog y/o notificaciones por correo
electrónico.
Configuración de log > Configuración del
dispositivo, pero no tendrá permiso para crear o
Coincidencias HIP Controla el acceso al nodo Configuración de log > Sí Sí Sí

Coincidencias HIP. Si deshabilita este privilegio, el
log > Coincidencias HIP ni podrá especificar los
ajustes de log de coincidencias de perfil de
información de host (HIP) que se utilizan para
proporcionar información sobre políticas de
seguridad que se aplican a clientes de
GlobalProtect.
Configuración de log > Coincidencias HIP del
dispositivo, pero no tendrá permiso para crear o
Alarmas Controla el acceso al nodo Configuración de log > Sí Sí Sí

Alarmas. Si deshabilita este privilegio, el
log > Alarmas ni podrá configurar notificaciones
que se generan cuando una regla de seguridad (o un
grupo de reglas) se incumple repetidas veces en un
período de tiempo establecido.
Configuración de log > Alarmas del dispositivo,
pero no tendrá permiso para crear o editar una
configuración.

lectura
Gestionar logs Controla el acceso al nodo Configuración de log > Sí Sí Sí

Gestionar logs. Si deshabilita este privilegio, el
log > Gestionar logs ni podrá borrar los logs
indicados.
administrador podrá ver la información de
Configuración de log > Gestionar logs, pero no
podrá borrar ninguno de los logs.
Perfiles de servidor Establece el estado predeterminado para habilitar Sí No Sí

o deshabilitar para todos los ajustes de perfiles de
servidor descritos a continuación.
Trap SNMP Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

Trap SNMP. Si deshabilita este privilegio, el
administrador no verá el nodo Perfiles de
servidor > Trap SNMP ni podrá especificar uno o
más destinos de Trap SNMP que se utilizarán para
entradas de logs del sistema.
Perfiles de servidor > Logs de Trap SNMP, pero
no podrá especificar destinos de Trap SNMP.
Syslog Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

Syslog. Si deshabilita este privilegio, el
servidor > Syslog ni podrá especificar uno o más
servidores Syslog.
Perfiles de servidor > Syslog, pero no podrá
especificar servidores Syslog.
Correo electrónico Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

Correo electrónico. Si deshabilita este privilegio,
el administrador no verá el nodo Perfiles de
servidor > Correo electrónico ni podrá
configurar un perfil de correo electrónico que
pueda utilizarse para habilitar notificaciones por
correo electrónico para entradas de logs del
sistema y de configuración.
Perfiles de servidor > Correo electrónico, pero
no podrá configurar un perfil de correo
electrónico.

lectura
Flujo de red Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

Flujo de red. Si deshabilita este privilegio, el
servidor > Flujo de red ni podrá definir un perfil
de servidor de flujo de red, que especifica la
frecuencia de la exportación, junto con los
servidores de flujo de red que recibirán los datos
exportados.
Perfiles de servidor > Flujo de red, pero no
podrá definir un perfil de flujo de red.
RADIUS Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

RADIUS. Si deshabilita este privilegio, el
servidor > RADIUS ni podrá configurar ajustes
para los servidores RADIUS identificados en
perfiles de autenticación.
Perfiles de servidor > RADIUS, pero no podrá
configurar ajustes para los servidores RADIUS.
LDAP Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

LDAP. Si deshabilita este privilegio, el
servidor > LDAP ni podrá configurar ajustes para
que los servidores LDAP los utilicen para la
autenticación mediante perfiles de autenticación.
Perfiles de servidor > LDAP, pero no podrá
configurar ajustes para los servidores LDAP.
Kerberos Controla el acceso al nodo Perfiles de servidor > Sí Sí Sí

Kerberos. Si deshabilita este privilegio, el
servidor > Kerberos ni configurará un servidor
Kerberos que permita a los usuarios autenticar de
forma nativa en un controlador de dominio.
Perfiles de servidor > Kerberos, pero no podrá
configurar ajustes para servidores Kerberos.

lectura
Base de datos de Establece el estado predeterminado para habilitar Sí No Sí

usuario local o deshabilitar para todos los ajustes de base de
datos de usuario local descritos a continuación.
Usuarios Controla el acceso al nodo Base de datos de Sí Sí Sí

usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no verá el nodo Base
de datos de usuario local > Usuarios ni
configurará una base de datos local en el
cortafuegos para almacenar información de
autenticación para usuarios con acceso remoto,
administradores de dispositivos y usuarios de
portal cautivo.
administrador podrá ver la información de Base
de datos de usuario local > Usuarios, pero no
podrá configurar una base de datos local en el
cortafuegos para almacenar información de
autenticación.
Grupos de usuarios Controla el acceso al nodo Base de datos de Sí Sí Sí

usuario local > Usuarios. Si deshabilita este
privilegio, el administrador no verá el nodo Base
de datos de usuario local > Usuarios ni podrá
añadir información de grupos de usuarios a la base
de datos local.
administrador podrá ver la información de Base
de datos de usuario local > Usuarios, pero no
podrá añadir información de grupos de usuarios a
la base de datos local.
Perfil de autenticación Controla el acceso al nodo Perfil de Sí Sí Sí

autenticación. Si deshabilita este privilegio, el
administrador no verá el nodo Perfil de
autenticación ni podrá crear o editar perfiles de
autenticación que especifiquen ajustes de base de
datos local, RADIUS, LDAP o Kerberos que se
pueden asignar a cuentas de administrador.
administrador podrá ver la información de Perfil
de autenticación, pero no podrá crear o editar un
perfil de autenticación.

lectura
Secuencia de Controla el acceso al nodo Secuencia de Sí Sí Sí

autenticación autenticación. Si deshabilita este privilegio, el
administrador no verá el nodo Secuencia de
autenticación ni podrá crear o editar una
secuencia de autenticación.
de autenticación, pero no podrá crear o editar una
Dominio de acceso Controla el acceso al nodo Secuencia de Sí Sí Sí

autenticación. Si deshabilita este privilegio, el
administrador no verá el nodo Secuencia de
autenticación ni podrá crear o editar una
de autenticación, pero no podrá crear o editar una
Programación de la Controla el acceso al nodo Programación de la Sí No Sí

exportación de logs exportación de logs. Si deshabilita este privilegio,
el administrador no verá el nodo Programación
de la exportación de logs ni podrá programar
exportaciones de logs y guardarlas en un servidor
File Transfer Protocol (FTP) en formato CSV o
usar Secure Copy (SCP) para transferir datos de
forma segura entre el dispositivo y un host
remoto.
de programación de la exportación de logs, pero
no podrá programar la exportación de logs.
Software Controla el acceso al nodo Software. Si Sí Sí Sí

el nodo Software, no verá las versiones más
recientes del software PAN-OS disponibles desde
Palo Alto Networks, no leerá las notas de cada
versión ni seleccionará una versión para su
descarga e instalación.
Software, pero no podrá descargar ni instalar
software.

lectura
Cliente de Controla el acceso al nodo Cliente de Sí Sí Sí

GlobalProtect GlobalProtect. Si deshabilita este privilegio, el
administrador no verá el nodo Cliente de
GlobalProtect, no verá las versiones de
GlobalProtect disponibles, no descargará el
código ni activará el agente de GlobalProtect.
administrador podrá ver las versiones de Cliente
de GlobalProtect disponibles, pero no podrá
descargar ni instalar el software de agente.
Actualizaciones Controla el acceso al nodo Actualizaciones Sí Sí Sí

dinámicas dinámicas. Si deshabilita este privilegio, el
administrador no verá el nodo Actualizaciones
dinámicas, no podrá ver las actualizaciones más
recientes, no podrá leer las notas de versión de
cada actualización ni podrá seleccionar una
actualización para su carga e instalación.
administrador podrá ver las versiones de
Actualizaciones dinámicas disponibles y leer las
notas de versión, pero no podrá cargar ni instalar
el software.
Licencias Controla el acceso al nodo Licencias. Si Sí Sí Sí

el nodo Licencias ni podrá ver las licencias
instaladas o las licencias activas.
administrador podrá ver las Licencias instaladas,
pero no podrá realizar funciones de gestión de
licencias.
Asistencia técnica Controla el acceso al nodo Asistencia técnica. Si Sí Sí Sí

el nodo Asistencia técnica, no podrá acceder a
alertas de productos y seguridad de Palo Alto
Networks ni generar archivos de asistencia técnica
o de volcado de estadísticas.
administrador podrá ver el nodo Asistencia
técnica y acceder a alertas de productos y
seguridad, pero no podrá generar archivos de
asistencia técnica o de volcado de estadísticas.

lectura
Clave maestra y Controla el acceso al nodo Clave maestra y Sí Sí Sí

diagnóstico diagnóstico. Si deshabilita este privilegio, el
administrador no verá el nodo Clave maestra y
diagnóstico ni podrá especificar una clave maestra
para cifrar claves privadas en el cortafuegos.
administrador podrá ver el nodo Clave maestra y
diagnóstico y ver información sobre claves
maestras que se han especificado, pero no podrá
añadir ni editar una nueva configuración de clave
maestra.
Definición de ajustes de privacidad de usuario en el perfil de función de administrador

.

lectura
Privacidad Establece el estado predeterminado para habilitar o Sí N/D Sí

deshabilitar para todos los ajustes de privacidad
Mostrar direcciones Cuando se establece como deshabilitado, las Sí N/D Sí

IP completas direcciones IP completas obtenidas a través del
tráfico que pasa por el cortafuegos de Palo Alto
Networks no se muestran en logs ni informes. En
lugar de las direcciones IP que suelen mostrarse,
aparecerá la subred relevante.
Nota Los informes programados que aparecen
en la interfaz a través de Supervisar >
Informes y los informes que se envían a
través de correos electrónicos
programados seguirán mostrando
direcciones IP completas. Debido a esta
excepción, recomendamos deshabilitar
los siguientes ajustes en la pestaña
Supervisar : Informes personalizados,
Informes de aplicación, Informes de
amenazas, Informes de filtrado de URL,
Informes de tráfico y Programador de
correo electrónico.

lectura
Mostrar nombres de Cuando se establece como deshabilitado, los Sí N/D Sí

usuario en logs e nombres de usuario obtenidos a través del tráfico
informes que pasa por el cortafuegos de Palo Alto Networks
no se muestran en logs ni informes. Las columnas
donde normalmente aparecerían los nombres de
usuario están vacías.
Nota Los informes programados que aparecen
en la interfaz a través de Supervisar >
Informes o los informes que se envían a
través del programador de correo
electrónico seguirán mostrando nombres
de usuario. Debido a esta excepción,
recomendamos deshabilitar los siguientes
ajustes en la pestaña Supervisar: Informes
personalizados, Informes de aplicación,
Informes de amenazas, Informes de
filtrado de URL, Informes de tráfico y
Programador de correo electrónico.
Ver archivos de Cuando se establece como deshabilitado, los Sí N/D Sí

captura de archivos de captura de paquetes que suelen estar
paquetes disponibles en los logs de tráfico, amenaza y
filtrado de datos no se muestran.
Restricción del acceso de administrador a funciones de confirmación
Restricción del acceso de usuarios mediante el ajuste Confirmar

lectura
Commit Cuando se establece como deshabilitado, un Sí N/D Sí

administrador no puede confirmar ningún cambio en
una configuración.
Acceso detallado a ajustes globales
Restricción del acceso de usuarios mediante ajustes globales

lectura
Global Establece el estado predeterminado para habilitar o Sí N/D Sí

deshabilitar para todos los ajustes globales descritos a
continuación. En este momento, este ajuste
solamente es efectivo para Alarmas del sistema.

lectura
Alarmas del sistema Cuando se establece como deshabilitado, un Sí N/D Sí

administrador no puede ver ni reconocer alarmas que
se generen.
Acceso a la interfaz web de Panorama
En Panorama, las funciones de gestor le permiten definir el acceso a las opciones de Panorama y la capacidad
de permitir el acceso únicamente a Grupo de dispositivos y Plantilla (pestañas Políticas, Objetos, Red y
Dispositivo).
Las funciones de gestor que puede crear son: Panorama y Grupo de dispositivos y Plantilla. La función de gestor
Grupo de dispositivos y Plantilla no proporciona privilegios de acceso a la CLI.
Si un administrador recibe privilegios de superusuario en la CLI, el administrador tendrá un acceso completo a

todas las funciones, independientemente de los privilegios otorgados por la interfaz web.

lectura
Panel Controla el acceso a la pestaña Panel. Sí No Sí

verá la pestaña ni tendrá acceso a ninguno de los
widgets del panel.
ACC Controla el acceso al Centro de comando de Sí No Sí

aplicación (ACC). Si deshabilita este privilegio,
la pestaña ACC no aparecerá en la interfaz web.
Recuerde que si quiere proteger la privacidad de
sus usuarios y a la vez seguir proporcionando
acceso al ACC, puede deshabilitar la opción
logs e informes.
Supervisar Controla el acceso a la pestaña Supervisar. Sí No Sí

verá la pestaña Supervisar ni tendrá acceso a
ninguno de los logs, capturas de paquetes,
información de sesión, informes o Appscope.
Para obtener un control más detallado sobre qué
información de supervisión puede ver el
administrador, deje la opción Supervisar habilitada
y, a continuación, habilite o deshabilite nodos
Acceso detallado a la pestaña Supervisar.

lectura
Políticas Controla el acceso a la pestaña Políticas. Sí No Sí

verá la pestaña Políticas ni tendrá acceso a
ninguna información de política. Para obtener un
control más detallado sobre qué información de
políticas puede ver el administrador, por ejemplo,
para habilitar el acceso a un tipo de política
específico o para habilitar el acceso de solo lectura
a información de políticas, deje la opción Políticas
habilitada y, a continuación, habilite o deshabilite
nodos específicos en la pestaña como se describe
en Acceso detallado a la pestaña Política.
Objetos Controla el acceso a la pestaña Objetos. Sí No Sí

verá la pestaña Objetos ni tendrá acceso a ninguno
de los objetos, perfiles de seguridad, perfiles de
reenvío de logs, perfiles de descifrado o
programaciones. Para obtener un control más
Acceso detallado a la pestaña Objetos.
Red Controla el acceso a la pestaña Red. Si deshabilita Sí No Sí

este privilegio, el administrador no verá la pestaña
Red ni tendrá acceso a ninguna información de
configuración de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, túnel de IPSec, DHCP,
proxy DNS, GlobalProtect o QoS o a los perfiles
de red. Para obtener un control más detallado
sobre qué objetos puede ver el administrador, deje
la opción Red habilitada y, a continuación, habilite
o deshabilite nodos específicos en la pestaña como
se describe en Acceso detallado a la pestaña Red.

lectura
Dispositivo Controla el acceso a la pestaña Dispositivo. Si Sí No Sí

la pestaña Dispositivo ni tendrá acceso a ninguna
de User-ID, alta disponibilidad, perfil de servidor
o certificado. Para obtener un control más
Acceso detallado a la pestaña Dispositivo.
Nota No puede habilitar el acceso a los nodos
Funciones de administrador o
Administradores para un administrador
basado en funciones aunque habilite un
acceso completo a la pestaña
Dispositivo.
Gestión de certificados
Los siguientes temas describen los distintos certificados y claves que utilizan los dispositivos de Palo Alto
Networks, así como el modo de obtenerlos y gestionarlos:
 ¿Cómo utilizan los dispositivos las claves y los certificados?
 ¿Cómo verifican los dispositivos el estado de revocación de certificados?
 ¿Cómo obtienen los dispositivos los certificados?
 Configuración de la verificación del estado de revocación de certificados
 Configuración de la clave maestra
 Obtención de certificados
 Configuración de un perfil de certificado
 Revocación y renovación de certificados
 Claves seguras con un módulo de seguridad de hardware
Gestión de certificados 95
¿Cómo utilizan los dispositivos las claves y los certificados? Gestión de certificados
¿Cómo utilizan los dispositivos las claves y los certificados?

Para garantizar la confianza entre las partes de una sesión de comunicación segura, los dispositivos de Palo Alto
Networks utilizan certificados digitales. Cada certificado contiene una clave criptográfica para cifrar el texto sin
formato o descifrar el texto cifrado. Cada certificado también incluye una firma digital para autenticar la
identidad del emisor. Este debe estar incluido en la lista de entidades de certificación (CA) de confianza de la
parte que realiza la autenticación. De manera opcional, la parte que realiza la autenticación verifica que el emisor
no haya revocado el certificado (consulte ¿Cómo verifican los dispositivos el estado de revocación de
certificados?).
Los dispositivos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
 Autenticación de usuarios para portal cautivo, GlobalProtect, gestor de seguridad móvil y acceso a la interfaz
web del cortafuegos/Panorama.
 Autenticación de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
 Autenticación de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet (IKE).
 Descifrado de tráfico SSL entrante y saliente. Un cortafuegos descifra el tráfico para aplicar políticas de
seguridad y reglas y, a continuación, vuelve a cifrarlo antes de reenviar el tráfico al destino definitivo. Para el
tráfico saliente, el cortafuegos actúa como servidor proxy de reenvío, estableciendo una conexión SSL/TLS
con el servidor de destino. Para proteger una conexión entre sí mismo y el cliente, el cortafuegos utiliza un
certificado de firma para generar automáticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan los dispositivos de Palo Alto Networks. Una
práctica recomendada es utilizar diferentes claves y certificados para cada uso.
Tabla: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/certificado Descripción
Acceso administrativo Un acceso seguro a las interfaces de administración de dispositivos (acceso HTTPS a la
interfaz web) requiere un certificado de servidor para la interfaz de gestión (o una interfaz
designada en el plano de datos si el dispositivo no utiliza una interfaz de gestión) y,
opcionalmente, un certificado para autenticar al administrador.
Portal cautivo En las implementaciones en las que el portal cautivo identifique a los usuarios que accedan
a recursos HTTPS, designe un certificado de servidor para la interfaz de portal cautivo. Si
configura el portal cautivo para que utilice certificados (en lugar o además de credenciales
de nombre de usuario/contraseña) para la identificación de usuarios, designe también un
certificado de usuario. Si desea obtener más información sobre el portal cautivo, consulte
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo.
Reenvío fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de reenvío confía
en la CA que firmó el certificado del servidor de destino, el cortafuegos utiliza el certificado
de CA fiable de reenvío para generar una copia del certificado del servidor de destino y
enviarla al cliente. El cortafuegos utiliza la misma clave de descifrado para todos los
certificados fiables de reenvío. Para mayor seguridad, almacene la clave en un módulo de
seguridad de hardware (si desea información detallada, consulte Claves seguras con un
módulo de seguridad de hardware).
96 Gestión de certificados
Gestión de certificados ¿Cómo utilizan los dispositivos las claves y los certificados?
Reenvío no fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de reenvío no
confía en la CA que firmó el certificado del servidor de destino, el cortafuegos utiliza el
certificado de CA no fiable de reenvío para generar una copia del certificado del servidor de
destino y enviarla al cliente.
Inspección de entrada SSL Claves que descifran el tráfico SSL/TLS entrante para su inspección y la aplicación de la
política. Para esta aplicación, importe en el cortafuegos una clave privada para cada servidor
que esté sujeto a una inspección entrante SSL/TLS. Consulte Configuración de la
inspección de entrada SSL.
Certificado SSL de exclusión Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por ejemplo, si
habilita el descifrado SSL pero su red incluye servidores para los que el cortafuegos no
debería descifrar el tráfico (por ejemplo, servicios web para sus sistemas de RR. HH.),
importe los correspondientes certificados en el cortafuegos y configúrelos como
certificados SSL de exclusión. Consulte Configuración de excepciones de descifrado.
GlobalProtect Toda la interacción entre los componentes de GlobalProtect se realiza a través de
conexiones SSL/TLS. Por lo tanto, como parte de la implementación de GlobalProtect,
implemente certificados de servidor para todos los portales, puertas de enlace y gestores de
seguridad móvil de GlobalProtect. Opcionalmente, implemente certificados también para
los usuarios que realizan la autenticación.
Observe que la función de VPN a gran escala (LSVPN) de GlobalProtect requiere que una
CA firme el certificado.
VPN de sitio a sitio (IKE) En una implementación de VPN de sitio a sitio de IPSec, los dispositivos de peer utilizan
puertas de enlace de intercambio de claves de Internet (IKE) para establecer un canal
seguro. Las puertas de enlace de IKE utilizan certificados o claves precompartidas para
autenticar los peers entre sí. Los certificados o las claves se configuran y asignan al definir
una puerta de enlace de IKE en un cortafuegos. Consulte VPN de sitio a sitio.
Clave maestra El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas y contraseñas.
Si su red requiere una ubicación segura para almacenar claves privadas, puede utilizar una
clave de cifrado (ajuste) almacenada en un módulo de seguridad de hardware (HSM) para
cifrar la clave maestra. Para obtener más información, consulte Cifrado de una clave maestra
utilizando un HSM.
Syslog seguro Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor Syslog.
Consulte Configuración del cortafuegos para autenticarlo con el servidor Syslog.
CA raíz de confianza Designación de un certificado raíz emitido por una CA en la que confía el cortafuegos. El
cortafuegos puede utilizar un certificado de CA raíz autofirmado para emitir certificados
automáticamente para otras aplicaciones (por ejemplo, Proxy SSL de reenvío).
Asimismo, si un cortafuegos debe establecer conexiones seguras con otros cortafuegos, la
CA raíz que emite sus certificados debe estar incluida en la lista de CA raíz de confianza del
cortafuegos.
¿Cómo verifican los dispositivos el estado de revocación de certificados? Gestión de certificados
¿Cómo verifican los dispositivos el estado de revocación de

certificados?
Los dispositivos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza entre las partes
de una sesión de comunicación segura. La configuración de un dispositivo para que compruebe el estado de
revocación de certificados ofrece una seguridad adicional. Una parte que presente un certificado revocado no
es fiable. Cuando un certificado forma parte de una cadena, el dispositivo comprueba el estado de cada
certificado de la cadena, excepto el certificado de CA raíz, cuyo estado de revocación no puede verificar el
dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificación que emitió el certificado deberá revocarlo.
Los dispositivos de Palo Alto Networks admiten los siguientes métodos para verificar el estado de revocación
de certificados. Si configura los dos, los dispositivos primero intentarán utilizar el método OCSP; si el servidor
OCSP no está disponible, los dispositivos utilizarán el método CRL.
 Lista de revocación de certificados (CRL)
 Protocolo de estado de certificado en línea (OCSP)
En PAN-OS, la verificación del estado de revocación de certificados es una función opcional. La

práctica recomendada es habilitarla para perfiles de certificados, que definen la autenticación de
usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso
a la interfaz web del cortafuegos/Panorama.
Lista de revocación de certificados (CRL)
Cada entidad de certificación (CA) emite periódicamente una lista de revocación de certificados (CRL) en un
repositorio público. La CRL identifica los certificados revocados por su número de serie. Después de que la CA
revoque un certificado, la siguiente actualización de la CRL incluirá el número de serie de ese certificado.
El cortafuegos de Palo Alto Networks descarga y guarda en caché la última emisión de la CRL de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a
certificados validados; si un cortafuegos nunca validó un certificado, el cortafuegos no almacenará la CRL para
la CA de emisión. Asimismo, la caché solamente almacena una CRL hasta que vence.
Para utilizar las CRL para verificar el estado de revocación de certificados cuando el cortafuegos funcione como
proxy SSL de reenvío, consulte Configuración de la verificación del estado de revocación de certificados
utilizados para el descifrado SSL/TLS.
Para utilizar las CRL para verificar el estado de revocación de certificados que autentiquen usuarios y
dispositivos, configure un perfil de certificado y asígnelo a las interfaces específicas de la aplicación: portal
cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la
interfaz web del cortafuegos/Panorama. Para obtener más información, consulte Configuración de la
verificación del estado de revocación de certificados utilizados para la autenticación de usuarios/dispositivos.
Gestión de certificados ¿Cómo verifican los dispositivos el estado de revocación de certificados?
Protocolo de estado de certificado en línea (OCSP)
Al establecer una sesión SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en línea
(OCSP) para comprobar el estado de revocación del certificado de autenticación. El cliente que realiza la
autenticación envía una solicitud que contiene el número de serie del certificado al respondedor OCSP
(servidor). El respondedor busca en la base de datos de la entidad de certificación (CA) que emitió el certificado
y devuelve una respuesta con el estado (Correcto, Revocado o Desconocido) al cliente. La ventaja del método OCSP
es que puede verificar el estado en tiempo real, en lugar de depender de la frecuencia de emisión (cada hora,
diariamente o semanalmente) de las CRL.
El cortafuegos de Palo Alto Networks descarga y guarda en caché información de estado de OCSP de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a
certificados validados; si un cortafuegos nunca validó un certificado, la caché del cortafuegos no almacenará la
información de OCSP para la CA de emisión. Si su empresa tiene su propia infraestructura de clave pública
(PKI), puede configurar el cortafuegos como un respondedor OCSP (consulte Configuración de un
respondedor OCSP).
Para utilizar el OCSP para verificar el estado de revocación de certificados cuando el cortafuegos funcione como
proxy SSL de reenvío, realice los pasos que se indican en Configuración de la verificación del estado de
revocación de certificados utilizados para el descifrado SSL/TLS.
Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo,
GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec y acceso a la interfaz web
del cortafuegos/Panorama. Para utilizar OCSP para verificar el estado de revocación de los certificados:
 Configure un respondedor OCSP.
 Habilite el servicio OCSP de HTTP en el cortafuegos.
 Cree u obtenga un certificado para cada aplicación.
 Configure un perfil de certificado para cada aplicación.
 Asigne el perfil de certificado a la aplicación relevante.
Para cubrir situaciones en las que el respondedor OCSP no esté disponible, configure la CRL como método de
retroceso. Para obtener más información, consulte Configuración de la verificación del estado de revocación de
certificados utilizados para la autenticación de usuarios/dispositivos.
¿Cómo obtienen los dispositivos los certificados? Gestión de certificados
¿Cómo obtienen los dispositivos los certificados?

Los enfoques básicos para implementar certificados para dispositivos de Palo Alto Networks son los siguientes:
 Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una
entidad de certificación (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales ya
confiarán en el certificado debido a que los exploradores comunes incluyen certificados de CA raíz de CA
conocidas en sus almacenes de certificados raíz de confianza. Por lo tanto, para aplicaciones que requieran
que los clientes finales establezcan conexiones seguras con un dispositivo de Palo Alto Networks, adquiera
un certificado de una CA en la que confíen los clientes finales para no tener que implementar previamente
certificados de CA raíz en los clientes finales. (Algunas de estas aplicaciones son un portal de GlobalProtect
o gestor de seguridad móvil de GlobalProtect.) Sin embargo, observe que la mayoría de CA externas no
pueden emitir certificados de firma. Por lo tanto, este tipo de certificado no es adecuado para las aplicaciones
(por ejemplo, descifrado SSL/TLS y VPN a gran escala) que requieran que el cortafuegos emita certificados.
 Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrán
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La ventaja
es que los clientes finales probablemente ya confíen en la CA de empresa. Puede generar los certificados
necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado (CSR) en el
cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este método es que la clave privada
no abandona el cortafuegos. Un CA de empresa también puede emitir un certificado de firma, que el
cortafuegos utiliza para generar certificados automáticamente (por ejemplo, para VPN a gran escala de
GlobalProtect o sitios que requieran un descifrado SSL/TLS).
 Genere certificados autofirmados: Puede generar un certificado de CA raíz autofirmado en el cortafuegos

y utilizarlo para emitir certificados automáticamente para otras aplicaciones de cortafuegos. Observe que si
utiliza este método para generar certificados para una aplicación que requiera que un cliente final confíe en
el certificado, los usuarios finales verán un error de certificado debido a que el certificado de CA raíz no está
en su almacén de certificados raíz de confianza. Para evitar esto, implemente el certificado de CA raíz
autofirmado en todos los sistemas de usuario final. Puede implementar los certificados manualmente o
utilizar un método de implementación centralizado como un objeto de directiva de grupo (GPO) de Active
Directory.

Gestión de certificados Configuración de la verificación del estado de revocación de certificados
Configuración de la verificación del estado de revocación

de certificados
Para verificar el estado de revocación de certificados, el cortafuegos utiliza el protocolo de estado de certificado
en línea (OCSP) y/o listas de revocación de certificados (CRL). Si desea información detallada de estos
métodos, consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados? Si configura ambos
métodos, el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el
respondedor OCSP no está disponible. Si su empresa tiene su propia infraestructura de clave pública (PKI),
puede configurar el cortafuegos para que funcione como el respondedor OCSP.
Los siguientes temas describen cómo configurar el cortafuegos para verificar el estado de revocación de
certificados:
 Configuración de un respondedor OCSP
 Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de
usuarios/dispositivos
 Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado
SSL/TLS
Configuración de un respondedor OCSP
Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de
certificados, debe configurar el cortafuegos para que acceda a un respondedor OCSP (servidor). La entidad que
gestiona el respondedor OCSP puede ser una entidad de certificación (CA) externa o, si su empresa tiene su
propia infraestructura de clave pública (PKI), el propio cortafuegos. Si desea información detallada sobre OCSP,
consulte ¿Cómo verifican los dispositivos el estado de revocación de certificados?

Configuración de la verificación del estado de revocación de certificados Gestión de certificados
Configuración de un respondedor OCSP
Paso 1 Defina un respondedor OCSP. 1. En un cortafuegos, seleccione Dispositivo > Gestión de

certificados > OCSP responder y haga clic en Añadir.
En Panorama, seleccione Dispositivo > Gestión de
certificados > OCSP responder, seleccione una Plantilla y
2. Introduzca un Nombre para identificar al respondedor (hasta
31 caracteres). El nombre distingue entre mayúsculas y
minúsculas. Debe ser exclusivo y utilizar únicamente letras,
números, espacios, guiones y guiones bajos.
3. Si el cortafuegos admite varios sistemas virtuales, el cuadro de
diálogo muestra el menú desplegable Ubicación. Seleccione el
sistema virtual donde el respondedor estará disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.
4. En el campo Nombre de host, introduzca el nombre de host
(recomendado) o la dirección IP del respondedor OCSP. A
partir de este valor, PAN-OS deriva automáticamente una URL
y la añade al certificado que se está verificando.
Si configura el propio cortafuegos como respondedor OCSP, el
nombre de host debe resolverse en una dirección IP de la
interfaz que utiliza el cortafuegos para servicios de OCSP
(especificado en el Paso 3).
Paso 2 Habilite la comunicación de OCSP en el 1. En un cortafuegos, seleccione Dispositivo > Configuración >
cortafuegos. Gestión.
En Panorama, seleccione Dispositivo > Configuración >
Gestión y seleccione una Plantilla.
2. En la sección Configuración de interfaz de gestión, haga clic en
el icono Editar , seleccione la casilla de verificación OCSP de
HTTP y, a continuación, haga clic en ACEPTAR.
Paso 3 Opcionalmente, para configurar el propio 1. Seleccione Red > Perfiles de red > Gestión de interfaz.
cortafuegos como respondedor OCSP, 2. Haga clic en Añadir para crear un nuevo perfil o haga clic en el
añada un perfil de gestión de interfaz a la nombre de un perfil existente.
interfaz utilizada para servicios OCSP.
3. Seleccione la casilla de verificación OCSP de HTTP y haga clic
en ACEPTAR.
4. Seleccione Red > Interfaces y haga clic en el nombre de la
interfaz que utilizará el cortafuegos para servicios OCSP. El
Nombre de host de OCSP especificado en el Paso 1 deberá
resolverse en una dirección IP de esta interfaz.
5. Seleccione Avanzada > Otra información y seleccione el perfil
de gestión de interfaz que configuró.

Configuración de la verificación del estado de revocación de certificados

utilizados para la autenticación de usuarios/dispositivos
El cortafuegos utiliza certificados para autenticar usuarios y dispositivos para aplicaciones tales como portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Para
mejorar la seguridad, la práctica recomendada es configurar el cortafuegos para que verifique el estado de
revocación de certificados que utilice para la autenticación de dispositivos/usuarios.
Configuración de la verificación del estado de revocación de certificados utilizados para la autenticación de

usuarios/dispositivos
Paso 1 Configuración de un perfil de certificado Asigne uno o más certificados CA raíz al perfil y seleccione el modo
para cada aplicación. en que el cortafuegos verifica el estado de revocación de certificados.
El nombre común (FQDN o dirección IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del Paso 2.
Si desea información detallada sobre los certificados que utilizan las
distintas aplicaciones, consulte ¿Cómo utilizan los dispositivos las
claves y los certificados?
Paso 2 Asigne los perfiles de certificados a las Los pasos para asignar un perfil de certificado dependen de la
aplicaciones relevantes. aplicación que lo requiera.
Configuración de la verificación del estado de revocación de certificados

utilizados para el descifrado SSL/TLS
El cortafuegos descifra el tráfico SSL/TLS saliente para aplicar políticas de seguridad y reglas y, a continuación,
vuelve a cifrar el tráfico antes de reenviarlo. Durante este proceso, el cortafuegos actúa como servidor proxy de
reenvío, manteniendo conexiones separadas con el cliente y el servidor de destino. Para la conexión con el
cliente, el cortafuegos utiliza un certificado de CA para generar automáticamente un certificado de descifrado
que es una copia del certificado del servidor de destino. Puede configurar el cortafuegos para verificar el estado
de revocación de certificados del servidor de destino de la manera siguiente.
Si habilita la verificación del estado de revocación de certificados de descifrado SSL/TLS,

añadirá tiempo al proceso de establecimiento de la sesión. El primer intento de acceder a un sitio
puede fallar si la verificación no termina antes de que se acabe el tiempo de espera de la sesión.
Por estos motivos, la verificación está deshabilitada de manera predeterminada.
Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado

SSL/TLS
Paso 1 Acceda a la página Configuración de En un cortafuegos, seleccione Dispositivo > Configuración >
revocación de certificado de descifrado. Sesión y, en la sección Características de sesión, seleccione
Configuración de revocación de certificado de descifrado.
En Panorama, seleccione Dispositivo > Configuración > Sesión,
seleccione una Plantilla y, en la sección Características de sesión,
seleccione Configuración de revocación de certificado de
descifrado.

Configuración de la verificación del estado de revocación de certificados Gestión de certificados

SSL/TLS (Continuación)
Paso 2 Defina los intervalos de tiempo de espera Realice uno de los dos pasos siguientes o ambos, dependiendo de si
específicos de servicio para las solicitudes el cortafuegos utilizará el método de protocolo de estado de
de estado de revocación. certificado en línea (OCSP) o lista de revocación de certificados
(CRL) para verificar el estado de revocación de certificados. Si el
cortafuegos utiliza ambos, primero intentará utilizar OCSP; si el
respondedor OCSP no está disponible, entonces el cortafuegos
intenta utilizar el método CRL.
1. En la sección CRL, seleccione la casilla de verificación
Habilitar e introduzca el Tiempo de espera de recepción. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta del servicio CRL.
2. En la sección OCSP, seleccione la casilla de verificación
Habilitar e introduzca el Tiempo de espera de recepción. Este
es el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
esperar una respuesta del respondedor OCSP.
Dependiendo del valor de Tiempo de espera del estado del
certificado que especifique en el Paso 3, puede que el cortafuegos
registre un tiempo de espera antes de que pase cualquiera de los
intervalos de Tiempo de espera de recepción o ambos.
Paso 3 Defina el intervalo de tiempo de espera Introduzca el Tiempo de espera del estado del certificado. Este es
total para las solicitudes de estado de el intervalo (1-60 segundos) tras el cual el cortafuegos deja de
revocación. esperar una respuesta de cualquier servicio de estado de certificados
y aplica la lógica de bloqueo de sesión que defina opcionalmente en
el Paso 4. El Tiempo de espera del estado del certificado se
relaciona con el Tiempo de espera de recepción de OCSP/CRL de
la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un
tiempo de espera de solicitud después de que pase el menor de
dos intervalos: el valor de Tiempo de espera del estado del
certificado o la suma de los dos valores de Tiempo de espera de
recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo
de espera de solicitud después de que pase el menor de dos
intervalos: el valor de Tiempo de espera del estado del
certificado o el valor de Tiempo de espera de recepción de
OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de
espera de solicitud después de que pase el menor de dos
intervalos: el valor de Tiempo de espera del estado del
certificado o el valor de Tiempo de espera de recepción de
CRL.


SSL/TLS (Continuación)
Paso 4 Defina el comportamiento de bloqueo Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el
para el estado de certificado Desconocido o servicio OCSP o CRL devuelva el estado de revocación de
un tiempo de espera de solicitud de estado certificados Desconocido, seleccione la casilla de verificación Bloquear
de revocación. sesión con estado de certificado desconocido. De lo contrario, el
cortafuegos continuará con la sesión.
Si desea que el cortafuegos bloquee sesiones SSL/TLS después de
que registre un tiempo de espera de solicitud, seleccione la casilla de
verificación Bloquear sesión al agotar el tiempo de espera de
comprobación de estado de certificado. De lo contrario, el
cortafuegos continuará con la sesión.
Paso 5 Guarde y aplique sus entradas. Haga clic en ACEPTAR y Confirmar.

Configuración de la clave maestra Gestión de certificados
Configuración de la clave maestra

Cada cortafuegos tiene una clave maestra predeterminada que cifra las claves privadas y otros secretos (como
contraseñas y claves compartidas). La clave privada autentica a los usuarios cuando acceden a interfaces
administrativas del cortafuegos. La práctica recomendada para proteger las claves es configurar la clave maestra
en cada cortafuegos para que sea exclusiva y cambiarla periódicamente. Para mayor seguridad, utilice una clave
de ajuste almacenada en un módulo de seguridad de hardware (HSM) para cifrar la clave maestra. Para obtener
más información, consulte Cifrado de una clave maestra utilizando un HSM.
En una configuración de alta disponibilidad (HA), asegúrese de que ambos dispositivos del par
utilizan la misma clave maestra para cifrar claves privadas y certificados. Si las claves maestras
son diferentes, la sincronización de la configuración de HA no funcionará correctamente.
Cuando exporta una configuración de cortafuegos, la clave maestra cifra las contraseñas de los
usuarios gestionados en servidores externos. Para los usuarios gestionados localmente, el
cortafuegos añade hash a las contraseñas pero la clave maestra no las cifra.
Configuración de una clave maestra
1. En un cortafuegos, seleccione Dispositivo > Clave maestra y diagnóstico y, en la sección Clave maestra, haga clic
en el icono Editar .
En Panorama, seleccione Panorama > Clave maestra y diagnóstico y, en la sección Clave maestra, haga clic en el
icono Editar .
2. Introduzca la Clave maestra actual, si existe.
3. Defina una Nueva clave principal y, a continuación, seleccione la acción Confirmar clave maestra. La clave debe
contener exactamente 16 caracteres.
4. (Opcional) Para especificar la Duración de la clave maestra, introduzca el número de Días y/u Horas tras los cuales
vencerá la clave. Si establece una duración, cree una nueva clave maestra antes de que venza la clave anterior.
5. (Opcional) Si establece la duración de una clave, introduzca un Tiempo para el recordatorio que especifique el
número de Días y Horas que precedan al vencimiento de la clave maestra cuando el cortafuegos le enviará un
recordatorio por correo electrónico.
6. (Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Para obtener más información, consulte
Cifrado de una clave maestra utilizando un HSM.

Gestión de certificados Obtención de certificados
Obtención de certificados
 Creación de un certificado de CA raíz autofirmado
 Generación de un certificado en el cortafuegos
 Importación de un certificado y una clave privada
 Obtención de un certificado de una CA externa
Creación de un certificado de CA raíz autofirmado
Un certificado de una entidad de certificación (CA) raíz autofirmado es el certificado de mayor nivel de una
cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados automáticamente
para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS y para dispositivos
satélite de una VPN a gran escala de GlobalProtect.
Al establecer una conexión segura con el cortafuegos, el cliente remoto debe confiar en la CA raíz que emitió el
certificado. De lo contrario, el explorador del cliente mostrará una advertencia indicando que el certificado no
es válido y podría (dependiendo de la configuración de seguridad) bloquear la conexión. Para evitar esto, después
de generar el certificado de CA raíz autofirmado, impórtelo en los sistemas cliente.
Generación de un certificado de CA raíz autofirmado
1. En un cortafuegos, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos y
seleccione una Plantilla.
2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione un
sistema virtual para el certificado. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione
la opción compartida descrita en el Paso 6.
3. Haga clic en Generar.
4. Introduzca un Nombre de certificado, como GlobalProtect_CA. El nombre distingue entre mayúsculas y minúsculas
y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
5. En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que

configurará el servicio que utilizará este certificado.
6. Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla de verificación
Compartido. Esta casilla de verificación solamente aparece si el dispositivo admite varios sistemas virtuales.
7. Deje el campo Firmado por en blanco para designar el certificado como autofirmado.
8. Seleccione la casilla de verificación Autoridad del certificado.
9. No seleccione un OCSP responder. La verificación del estado de revocación de certificados no se aplica a certificados
de CA raíz.
10. Haga clic en Generar y Confirmar.

Obtención de certificados Gestión de certificados
Generación de un certificado en el cortafuegos
El cortafuegos utiliza certificados para autenticar clientes, servidores, usuarios y dispositivos en varias
aplicaciones, entre las que se incluyen descifrado SSL/TLS, portal cautivo, GlobalProtect, VPN de sitio a sitio
de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para cada uso. Si desea
información detallada sobre certificados específicos de aplicaciones, consulte ¿Cómo utilizan los dispositivos las
claves y los certificados?
Para generar un certificado, primero debe crear o importar un certificado de CA raíz para firmarlo. Si desea
información detallada, consulte Creación de un certificado de CA raíz autofirmado o Importación de un
certificado y una clave privada.
Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de
certificados, realice la acción de Configuración de un respondedor OCSP antes de generar el certificado. Si desea
información detallada sobre la verificación del estado, consulte ¿Cómo verifican los dispositivos el estado de
revocación de certificados?
Generación de un certificado en el cortafuegos
4. Introduzca un nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
5. En el campo Nombre común, introduzca el FQDN (recomendado) o la dirección IP de la interfaz en la que

7. En el campo Firmado por, seleccione el certificado de CA raíz que emitirá el certificado.
8. Si es aplicable, seleccione un OCSP responder.
9. (Opcional) Defina la Configuración criptográfica según sea necesario para crear un certificado que funcione con
los dispositivos que deben autenticarse con él. El tamaño de clave predeterminado y recomendado (Número de bits)
es 2048 bits. El algoritmo de cifrado predeterminado y recomendado (Resumen) es SHA256.
10. (Opcional) Deberá Añadir los Atributos del certificado para identificar de manera exclusiva el cortafuegos y el
servicio que vaya a utilizar el certificado.
Nota Si añade un atributo Nombre de host (nombre DNS), la práctica recomendada es que coincida con el Nombre
común. El nombre de host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
11. Haga clic en Generar y, en la pestaña Certificados de dispositivos, haga clic en el Nombre del certificado.

Generación de un certificado en el cortafuegos (Continuación)
12. Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al certificado en el
cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para autenticar el acceso de usuario a su
interfaz web, seleccione la casilla de verificación Certificado de GUI web segura.
Importación de un certificado y una clave privada
Si su empresa tiene su propia infraestructura de clave pública (PKI), puede importar un certificado y una clave
privada en el cortafuegos desde la entidad de certificación (CA) de su empresa. Los certificados de CA de
empresa (a diferencia de la mayoría de certificados adquiridos a una CA externa de confianza) pueden emitir
automáticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran escala.
En lugar de importar un certificado de CA raíz autofirmado en todos los sistemas cliente, la

práctica recomendada es importar un certificado desde la CA de la empresa, dado que los
clientes ya mantienen una relación de confianza con la CA de la empresa, lo cual simplifica la
implementación.
Si el certificado que va a importar forma parte de una cadena de certificados, la práctica
recomendada es importar toda la cadena.
Importación de un certificado y una clave privada
1. Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizará para la autenticación.
Al exportar una clave privada, debe introducir una frase de contraseña para cifrar la clave para su transporte.
Asegúrese de que el sistema de gestión puede acceder a los archivos de l certificado y clave. Al importar la clave en
el cortafuegos, debe introducir la misma frase de contraseña para descifrarla.
4. Haga clic en Importar.
5. Introduzca un nombre de certificado. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
7. Introduzca la ruta y el nombre del Archivo de certificado que recibió de la CA o seleccione Examinar para buscar
el archivo.

Importación de un certificado y una clave privada (Continuación)
8. Seleccione un Formato de archivo:

• Clave privada cifrada y certificado (PKCS12): Este es el formato predeterminado y más común, en el que la clave
y el certificado están en un único contenedor (Archivo del certificado). Si un módulo de seguridad de hardware
(HSM) va a almacenar la clave privada para este certificado, seleccione la casilla de verificación La clave privada
reside en el módulo de seguridad de hardware.
• Certificado codificado en Base64 (PEM): Debe importar la clave independientemente del certificado. Si un
módulo de seguridad de hardware (HSM) almacena la clave privada para este certificado, seleccione la casilla de
verificación La clave privada reside en el módulo de seguridad de hardware y omita el paso 9. De lo contrario,
seleccione la casilla de verificación Importar clave privada, introduzca el Archivo de clave o seleccione Examinar
para buscarlo y, a continuación, realice el paso 9.
9. Introduzca y vuelva a introducir (confirme) la Frase de contraseña utilizada para cifrar la clave privada.
10. Haga clic en ACEPTAR. La pestaña Certificados de dispositivos muestra el certificado importado.
Obtención de un certificado de una CA externa
La ventaja de obtener un certificado de una entidad de certificación (CA) externa es que la clave privada no
abandona el cortafuegos. Para obtener un certificado de una CA externa, genere una solicitud de firma de
certificado (CSR) y envíela a la CA. Después de que la CA emita un certificado con los atributos especiales,
impórtelo en el cortafuegos. La CA puede ser una CA pública conocida o una CA de la empresa.
Para utilizar el protocolo de estado de certificación en línea (OCSP) para verificar el estado de revocación del
certificado, realice la acción de Configuración de un respondedor OCSP antes de generar la CSR.

Obtención de un certificado de una CA externa
Paso 1 Solicite el certificado de una CA externa. 1. En un cortafuegos, seleccione Dispositivo > Gestión de
certificados > Certificados > Certificados de dispositivos.
En Panorama, seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y seleccione una
Plantilla.
2. Si el dispositivo admite varios sistemas virtuales, la pestaña
muestra el menú desplegable Ubicación. Seleccione un sistema
virtual para el certificado. Para que el certificado esté disponible
para todos los sistemas virtuales, seleccione la opción
compartida descrita en el subpaso 6.
4. Introduzca un Nombre de certificado. El nombre distingue
entre mayúsculas y minúsculas y puede tener hasta 31
caracteres. Debe ser exclusivo y utilizar únicamente letras,
números, guiones y guiones bajos.
5. En el campo Nombre común, introduzca el FQDN
(recomendado) o la dirección IP de la interfaz en la que
6. Para que el certificado esté disponible para todos los sistemas
virtuales, seleccione la casilla de verificación Compartido. Esta
casilla de verificación solamente aparece si el dispositivo admite
varios sistemas virtuales.
7. En el campo Firmado por, seleccione Autoridad externa
(CSR).
8. Si es aplicable, seleccione un OCSP responder.
9. (Opcional) Deberá Añadir los Atributos del certificado para
identificar de manera exclusiva el cortafuegos y el servicio que
vaya a utilizar el certificado.
Nota Si añade un atributo Nombre de host, la práctica
recomendada es que coincida con el Nombre común (esto
es obligatorio para GlobalProtect). El nombre de host
cumplimenta el campo Nombre alternativo del asunto
(SAN) del certificado.
10. Haga clic en Generar. La pestaña Certificados de dispositivos
muestra la CSR con el estado Pendiente.
Paso 2 Envíe la CSR a la CA. 1. Seleccione la CSR y haga clic en Exportar para guardar el
archivo .csr en un equipo local.
2. Cargue el archivo .csr en la CA.

Obtención de un certificado de una CA externa (Continuación)
Paso 3 Importe el certificado. 1. Después de que la CA envíe un certificado firmado como

respuesta a la CSR, vuelva a la pestaña Certificados de
dispositivos y haga clic en Importar.
2. Introduzca el Nombre de certificado utilizado para generar la
CSR en el Paso 1-4.
3. Introduzca la ruta y el nombre del Archivo del certificado
PEM que envió la CA o seleccione Examinar para buscarlo.
4. Haga clic en ACEPTAR. La pestaña Certificados de dispositivos
muestra el certificado con el estado Válido.
Paso 4 Configure el certificado. 1. Haga clic en el Nombre del certificado.

2. Seleccione las casillas de verificación que se correspondan con
el uso que se pretende dar al certificado en el cortafuegos. Por
ejemplo, si el cortafuegos va a utilizar este certificado para
autenticar a los administradores que acceden a la interfaz web,
seleccione la casilla de verificación Certificado de GUI web
segura.

Gestión de certificados Configuración de un perfil de certificado
Configuración de un perfil de certificado

Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo,
GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad móvil y acceso a la interfaz web del
cortafuegos/Panorama. Los perfiles especifican qué certificados deben utilizarse, cómo verificar el estado de
revocación de certificados y cómo restringe el acceso dicho estado. Configure un perfil de certificado para cada
aplicación.
La práctica recomendada es habilitar el protocolo de estado de certificado en línea (OCSP) y/o

la verificación del estado de la lista de revocación de certificados (CRL) para perfiles de
certificados. Si desea información detallada sobre estos métodos, consulte ¿Cómo verifican los
dispositivos el estado de revocación de certificados?
Configuración de un perfil de certificado
Paso 1 Obtenga los certificados de la entidad de Realice uno de los pasos siguientes para obtener los certificados de
certificación (CA) que asignará. CA que asignará al perfil. Debe asignar al menos uno.
• Creación de un certificado de CA raíz autofirmado.
• Exporte un certificado de la CA de su empresa y, a continuación,
impórtelo en el cortafuegos (consulte Paso 3).
Paso 2 Identifique el perfil de certificado. 1. En un cortafuegos, seleccione Dispositivo > Gestión de

certificados > Perfil del certificado y haga clic en Añadir.
En Panorama, seleccione Dispositivo > Gestión de certificados >
Perfil del certificado, seleccione una Plantilla y haga clic en
Añadir.
2. Introduzca un Nombre para identificar el perfil. El nombre
distingue entre mayúsculas y minúsculas. Debe ser exclusivo y
utilizar únicamente letras, números, espacios, guiones y guiones
bajos. Puede tener hasta 31 caracteres.
3. Si el cortafuegos admite varios sistemas virtuales, el cuadro de
diálogo muestra el menú desplegable Ubicación. Seleccione el
sistema virtual donde el perfil estará disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.

Configuración de un perfil de certificado Gestión de certificados
Configuración de un perfil de certificado (Continuación)
Paso 3 Asigne uno o más certificados. Realice los siguientes pasos para cada certificado:
1. En la tabla Certificados de CA, haga clic en Añadir.
2. Seleccione un Certificado de CA del Paso 1 o haga clic en
Importar y realice los siguientes subpasos:
a. Introduzca un nombre de certificado.
b. Introduzca la ruta y el nombre del Archivo de certificado
que exportó desde la CA de su empresa o seleccione
Examinar para buscar el archivo.
c. Haga clic en ACEPTAR.
3. Opcionalmente, si el cortafuegos utiliza OCSP para verificar el
estado de revocación de certificados, configure los siguientes
campos para cancelar el comportamiento predeterminado. Para
la mayoría de las implementaciones, estos campos no son
aplicables.
• De manera predeterminada, el cortafuegos utiliza la URL del
respondedor OCSP que estableció en el procedimiento
Configuración de un respondedor OCSP. Para cancelar ese
ajuste, introduzca una URL de OCSP predeterminada (que
comience por http:// o https://).
• De manera predeterminada, el cortafuegos utiliza el
certificado seleccionado en el campo Certificado de CA para
validar las respuestas de OCSP. Para utilizar un certificado
diferente para la validación, selecciónelo en el campo
Verificación de certificado CA con OCSP.
4. Haga clic en ACEPTAR. La tabla Certificados de CA muestra el
certificado asignado.

Gestión de certificados Configuración de un perfil de certificado
Configuración de un perfil de certificado (Continuación)
Paso 4 Defina los métodos para verificar el 1. Seleccione Utilizar CRL y/o Utilizar OCSP. Si selecciona ambos
estado de revocación de certificados y el métodos, el cortafuegos primero intentará utilizar el OCSP y
comportamiento de bloqueo asociado. solamente retrocederá al método CRL si el respondedor OCSP
no está disponible.
2. Dependiendo del método de verificación, introduzca el Tiempo
de espera de recepción de CRL y/o Tiempo de espera de
recepción de OCSP. Estos son los intervalos (1-60 segundos)
tras los cuales el cortafuegos deja de esperar una respuesta del
servicio CRL/OCSP.
3. Introduzca el Tiempo de espera del estado del certificado.
Este es el intervalo (1-60 segundos) tras el cual el cortafuegos
deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lógica de bloqueo de sesión que defina.
El Tiempo de espera del estado del certificado se relaciona
con el Tiempo de espera de recepción de OCSP/CRL de la
manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra
un tiempo de espera de solicitud después de que pase el
menor de dos intervalos: el valor de Tiempo de espera del
estado del certificado o la suma de los dos valores de
Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un
tiempo de espera de solicitud después de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un
tiempo de espera de solicitud después de que pase el menor
de dos intervalos: el valor de Tiempo de espera del estado
del certificado o el valor de Tiempo de espera de
recepción de CRL.
4. Si desea que el cortafuegos bloquee sesiones cuando el servicio
OCSP o CRL devuelva el estado de revocación de certificados
Desconocido, seleccione la casilla de verificación Bloquear una
sesión si el estado del certificado es desconocido. De lo
contrario, el cortafuegos continuará con la sesión.
5. Si desea que el cortafuegos bloquee sesiones después de que
registre un tiempo de espera de solicitud de OCSP o CRL,
seleccione la casilla de verificación Bloquear una sesión si no
se puede recuperar el estado del certificado dentro del
tiempo de espera. De lo contrario, el cortafuegos continuará
con la sesión.
Paso 5 Guarde y aplique sus entradas. Haga clic en ACEPTAR y Confirmar.

Revocación y renovación de certificados Gestión de certificados
Revocación y renovación de certificados

Los siguientes temas describen cómo revocar o renovar certificados:
 Revocación de un certificado
 Renovación de un certificado
Revocación de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos son
un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo, un
empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En estas
circunstancias, la entidad de certificación (CA) que emitió el certificado deberá revocarlo. La siguiente tarea
describe cómo revocar un certificado para el que el cortafuegos sea la CA.
Revocación de un certificado
1. Seleccione Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos.
2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione el
sistema virtual al que pertenece el certificado.
3. Seleccione el certificado que desea revocar.
4. Haga clic en Revocar. PAN-OS inmediatamente establece el estado del certificado como revocado y añade el número
de serie a la caché del respondedor del protocolo de estado de certificado en línea (OCSP) o la lista de revocación
de certificados (CRL). No necesita realizar una confirmación.
Renovación de un certificado
Si un certificado vence, o lo hará pronto, puede restablecer el período de validez. Si una entidad de certificación
(CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP)
para verificar el estado de revocación de certificados, el cortafuegos utilizará información del respondedor
OCSP para actualizar el estado del certificado (consulte Configuración de un respondedor OCSP). Si el
cortafuegos es la CA que emitió el certificado, el cortafuegos lo sustituirá por un nuevo certificado que tenga
un número de serie diferente pero los mismos atributos que el certificado anterior.
Renovación de un certificado
2. Si el dispositivo admite varios sistemas virtuales, la pestaña muestra el menú desplegable Ubicación. Seleccione el
sistema virtual al que pertenece el certificado.
3. Seleccione el certificado que desea renovar y haga clic en Renovar.
4. Introduzca un Nuevo intervalo de vencimiento (en días).

Gestión de certificados Claves seguras con un módulo de seguridad de hardware
Claves seguras con un módulo de seguridad de hardware

Un módulo de seguridad de hardware (HSM) es un dispositivo físico que gestiona claves digitales. Un HSM
proporciona un almacenamiento seguro y la generación de claves digitales. Ofrece tanto protección lógica como
física de estos materiales ante un uso no autorizado y posibles atacantes.
Los clientes HSM integrados con dispositivos de Palo Alto Networks habilitan una seguridad mejorada para las
claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvío como la inspección de
entrada SSL). Además, puede utilizar el HSM para cifrar claves maestras de dispositivos.
Los siguientes temas describen cómo integrar un HSM con sus dispositivos de Palo Alto Networks:
 Configuración de la conectividad con un HSM
 Cifrado de una clave maestra utilizando un HSM
 Almacenamiento de claves privadas en un HSM
 Gestión de la implementación del HSM
Configuración de la conectividad con un HSM
Los clientes HSM están integrados con los cortafuegos de las series PA-3000, PA-4000, PA-5000, PA-7050 y
VM-Series y en Panorama (dispositivo virtual y dispositivo M-100) para su uso con los siguientes HSM:
 SafeNet Luna SA 5.2.1 o posterior
 Thales Nshield Connect 11.62 o posterior
La versión del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la
documentación del proveedor del HSM para conocer la matriz de compatibilidad de la versión de
servidor cliente.
Los siguientes temas describen cómo configurar la conectividad entre el cortafuegos/Panorama y uno de los
HSM admitidos:
 Configuración de la conectividad con un HSM SafeNet Luna SA
 Configuración de la conectividad con un HSM Thales Nshield Connect
Configuración de la conectividad con un HSM SafeNet Luna SA
Para configurar la conectividad entre el dispositivo de Palo Alto Networks y un HSM SafeNet Luna SA, debe
especificar la dirección del servidor HSM y la contraseña para conectarse a él en la configuración del
cortafuegos. Además, debe registrar el cortafuegos con el servidor HSM. Antes de comenzar la configuración,
asegúrese de que ha creado una partición para los dispositivos de Palo Alto Networks en el servidor HSM.
La configuración del HSM no está sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deberá configurar el HSM por separado en cada uno de los peers.
En implementaciones de HA activas-pasivas, deberá realizar manualmente una conmutación por
error para configurar y autenticar cada peer de HA individualmente en el HSM. Después de
realizar esta conmutación por error manual, la interacción del usuario no será necesaria para la
función de conmutación por error.

Claves seguras con un módulo de seguridad de hardware Gestión de certificados
Configuración de la conectividad con un HSM SafeNet Luna SA
Paso 1 Registre el cortafuegos (el cliente 1. Inicie sesión en el HSM desde un sistema remoto.
HSM) con el HSM y asígnelo a 2. Registre el cortafuegos utilizando el siguiente comando:
una partición en el HSM. client register -c <cl-name> -ip <fw-ip-addr>
Nota Si el HSM ya tiene un cortafuegos siendo <cl-name> un nombre que asigna al cortafuegos para su uso en
con el mismo <cl-name> el HSM y <fw-ip-addr> la dirección IP del cortafuegos que se está
registrado, deberá eliminar el configurando como cliente HSM.
registro duplicado utilizando el 3. Asigne una partición al cortafuegos utilizando el siguiente comando:
siguiente comando antes de que
client assignpartition -c <cl-name> -p <partition-name>
el registro pueda realizarse
correctamente: siendo <cl-name> el nombre asignado al cortafuegos en el comando
client register y <partition-name> el nombre de una partición
client delete -client configurada anteriormente que desee asignar al cortafuegos.
<cl-name>
siendo <cl-name> el nombre del

registro de cliente (cortafuegos)
que desea eliminar.
Paso 2 Configure el cortafuegos para 1. Inicie sesión en la interfaz web del cortafuegos y seleccione Dispositivo >
que se comunique con el HSM Configuración > HSM.
SafeNet Luna SA. 2. Edite la sección Proveedor de módulo de seguridad de hardware y
seleccione Safenet Luna SA como el Proveedor configurado.
3. Haga clic en Añadir e introduzca un Nombre de módulo. Puede ser
cualquier cadena ASCII con una longitud de hasta 31 caracteres.
4. Introduzca la dirección IPv4 del HSM como Dirección de servidor.
Si está realizando una configuración de HSM de alta disponibilidad,
introduzca los nombres de módulos y las direcciones IP de los
dispositivos del HSM adicionales.
5. (Opcional) Si está realizando una configuración de HSM de alta
disponibilidad, seleccione la casilla de verificación Alta disponibilidad y
añada lo siguiente: un valor para Reintento de recuperación
automática y un Nombre de grupo de alta disponibilidad.
Si hay dos servidores HSM configurados, debería configurar la alta
disponibilidad. De lo contrario, el segundo servidor HSM no se utilizará.

Configuración de la conectividad con un HSM SafeNet Luna SA (Continuación)
Paso 3 (Opcional) Configure una ruta de 1. Seleccione Dispositivo > Configuración > Servicios.
servicio para permitir que el 2. Seleccione Configuración de ruta de servicios en el área Características
cortafuegos se conecte al HSM. de servicios.
De manera predeterminada, el 3. Seleccione Personalizar en el área Configuración de ruta de servicios.
cortafuegos utiliza la interfaz de 4. Seleccione la pestaña IPv4.
gestión para comunicarse con el
5. Seleccione HSM en la columna Servicio.
HSM. Para utilizar una interfaz
diferente, debe configurar una 6. Seleccione una interfaz para utilizarla para el HSM en el menú
ruta de servicio. desplegable Interfaz de origen.
Nota Si selecciona un puerto conectado al plano de datos para el HSM,
al emitir el comando de la CLI clear session all se borrarán
todas las sesiones del HSM existentes, lo que hará que todos los
estados del HSM se desconecten y luego se conecten. Durante los
segundos que necesita el HSM para recuperarse, fallarán todas las
operaciones de SSL/TLS.
Paso 4 Configure el cortafuegos para 1. Seleccione Dispositivo > Configuración > HSM.
autenticarlo para el HSM. 2. Seleccione Configurar módulo de seguridad de hardware en el área
Operaciones de seguridad de hardware.
3. Seleccione el Nombre de servidor del HSM en el menú desplegable.
4. Introduzca la Contraseña de administrador para autenticar el
cortafuegos para el HSM.
El cortafuegos intenta realizar una autenticación con el HSM y muestra
un mensaje de estado.
Paso 5 Configure el cortafuegos para 1. Seleccione Dispositivo > Configuración > HSM.
conectarlo a la partición del 2. Haga clic en el icono Actualizar.
HSM.
3. Seleccione Configurar partición HSM en el área Operaciones de
seguridad de hardware.
4. Introduzca la Contraseña de partición para autenticar el cortafuegos
para la partición del HSM.
Paso 6 (Opcional) Configure un HSM 1. Siga del Paso 2 al Paso 5 para añadir un HSM adicional para alta
adicional para alta disponibilidad disponibilidad (HA).
(HA). Este proceso añade un nuevo HSM al grupo de HA existente.
2. Si elimina un HSM de su configuración, repita el Paso 5.
Esto quitará el HSM eliminado del grupo de HA.

Configuración de la conectividad con un HSM SafeNet Luna SA (Continuación)
Paso 7 Verifique la conectividad con el 1. Seleccione Dispositivo > Configuración > HSM.
HSM. 2. Compruebe el Estado de la conexión del HSM:
Verde = El HSM está autenticado y conectado.
Rojo = El HSM no se ha autenticado o la conectividad de red del HSM
está inactiva.
3. Consulte las columnas siguientes del área Estado de módulo de
seguridad de hardware para determinar el estado de autenticación:
Número de serie: Número de serie de la partición del HSM si el HSM
se ha autenticado correctamente.
Partición: Nombre de la partición del HSM que se asignó al
cortafuegos.
Estado de módulo: Estado de funcionamiento actual del HSM. Siempre
tiene el valor Autenticado si el HSM se muestra en esta tabla.
Configuración de la conectividad con un HSM Thales Nshield Connect
El siguiente flujo de trabajo describe cómo configurar el cortafuegos para comunicarse con un HSM Thales
Nshield Connect. Esta configuración requiere que configure un sistema de archivos remoto (RFS) para utilizarlo
como concentrador y así sincronizar datos de claves de todos los cortafuegos de su organización que estén
utilizando el HSM.
La configuración del HSM no está sincronizada entre peers de cortafuegos de alta disponibilidad.
Por consiguiente, deberá configurar el HSM por separado en cada uno de los peers.
Si la configuración del cortafuegos de alta disponibilidad está en modo activo-pasivo, deberá
realizar manualmente una conmutación por error para configurar y autenticar cada peer de HA
individualmente en el HSM. Después de realizar esta conmutación por error manual, la
interacción del usuario no será necesaria para la función de conmutación por error.
Configuración de la conectividad con un HSM Thales Nshield Connect
Paso 1 Configure el servidor 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración >
Thales Nshield Connect HSM y edite la sección Proveedor de módulo de seguridad de hardware.
como el proveedor de 2. Seleccione Thales Nshield Connect como el Proveedor configurado.
HSM del cortafuegos.
3. Haga clic en Añadir e introduzca un Nombre de módulo. Puede ser cualquier
cadena ASCII con una longitud de hasta 31 caracteres.
4. Introduzca la dirección IPv4 como la Dirección de servidor del HSM.
Si está realizando una configuración de HSM de alta disponibilidad, introduzca
los nombres de módulos y las direcciones IP de los dispositivos del HSM
adicionales.
5. Introduzca la dirección IPv4 de la Dirección de sistema de archivos remoto.

Configuración de la conectividad con un HSM Thales Nshield Connect (Continuación)
Paso 2 (Opcional) Configure una 1. Seleccione Dispositivo > Configuración > Servicios.
ruta de servicio para 2. Seleccione Configuración de ruta de servicios en el área Características de
permitir que el servicios.
cortafuegos se conecte
3. Seleccione Personalizar en el área Configuración de ruta de servicios.
al HSM.
4. Seleccione la pestaña IPv4.
De manera
5. Seleccione HSM en la columna Servicio.
predeterminada, el
cortafuegos utiliza la 6. Seleccione una interfaz para utilizarla para el HSM en el menú desplegable
interfaz de gestión para Interfaz de origen.
comunicarse con el HSM. Nota Si selecciona un puerto conectado al plano de datos para el HSM, al emitir
Para utilizar una interfaz el comando de la CLI clear session all se borrarán todas las sesiones
diferente, debe configurar del HSM existentes, lo que hará que todos los estados del HSM se
una ruta de servicio. desconecten y luego se conecten. Durante los segundos que necesita el
HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
Paso 3 Registre el cortafuegos 1. Inicie sesión en la pantalla del panel frontal de la unidad HSM Thales Nshield
(el cliente HSM) con el Connect.
servidor HSM. 2. En el panel frontal de la unidad, utilice el botón de navegación de la derecha
Este paso describe para seleccionar Sistema > Configuración del sistema > Configuración de
brevemente el cliente > Nuevo cliente.
procedimiento para
Client configuration
utilizar la interfaz del panel Please enter your
frontal del HSM Thales client IP address
Nshield Connect. Si desea 0.0.0.0
información más Cancel Next
detallada, consulte la
documentación de Thales. 3. Introduzca la dirección IP del cortafuegos.
4. Seleccione Sistema > Configuración del sistema > Configuración de cliente >
Sistema de archivos remoto e introduzca la dirección IP del equipo cliente
donde configure el sistema de archivos remoto.

Paso 4 Configure el sistema de 1. Inicie sesión en el sistema de archivos remoto (RFS) desde un cliente Linux.
archivos remoto para 2. Obtenga el número de serie electrónico (ESN) y el hash de la clave KNETI. La
aceptar conexiones del clave KNETI autentica el módulo para clientes:
cortafuegos. anonkneti <ip-address>
siendo <ip-address> la dirección IP del HSM.
A continuación se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
En este ejemplo, B1E2-2D4C-E6A2 es el ESM y
5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI.
3. Utilice el siguiente comando de una cuenta de superusuario para realizar la
configuración del sistema de archivos remoto:
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
siendo <ip-address> la dirección IP del HSM,
<ESN> el número de serie electrónico (ESN) y
<hash-Kneti-key> el hash de la clave KNETI.
El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento:
rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4. Utilice el siguiente comando para permitir un envío de cliente en el sistema de
archivos remoto:
rfs-setup --gang-client --write-noauth <FW-IPaddress>
siendo <FW-IPaddress> la dirección IP del cortafuegos.
Paso 5 Configure el cortafuegos 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Configuración >
para autenticarlo para el HSM.
HSM. 2. Seleccione Configurar módulo de seguridad de hardware en el área
Operaciones de seguridad de hardware.
El cortafuegos intenta realizar una autenticación con el HSM y muestra un
mensaje de estado.
Paso 6 Sincronice el cortafuegos 1. Seleccione Dispositivo > Configuración > HSM.

con el sistema de archivos 2. Seleccione Sincronizar con sistema de archivos remoto en la sección
remoto. Operaciones de seguridad de hardware.

Paso 7 Verifique que el 1. Seleccione Dispositivo > Configuración > HSM.

cortafuegos puede 2. Compruebe el indicador de estado para verificar que el cortafuegos está
conectarse al HSM. conectado al HSM:
Verde = El HSM está autenticado y conectado.
Rojo = El HSM no se ha autenticado o la conectividad de red del HSM está
inactiva.
3. Consulte las columnas siguientes de la sección Estado de módulo de seguridad
de hardware para determinar el estado de autenticación:
Nombre: Nombre del HSM que trata de ser autenticado.
Dirección IP: Dirección IP del HSM que se asignó en el cortafuegos.
Estado de módulo: Estado de funcionamiento actual del HSM: Autenticado o
No autenticado.
Cifrado de una clave maestra utilizando un HSM
En un cortafuegos de Palo Alto Networks hay configurada una clave maestra para cifrar todas las claves privadas
y contraseñas. Si tiene requisitos de seguridad para almacenar sus claves privadas en una ubicación segura, puede
cifrar la clave maestra utilizando una clave de cifrado que se almacene en un HSM. A continuación, el
cortafuegos solicitará al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contraseña
o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicación de alta seguridad
separada del cortafuegos para mayor seguridad.
El HSM cifra la clave maestra mediante una clave de ajuste. Para mantener la seguridad, esta clave de cifrado
debe cambiarse de vez en cuando. Por este motivo, se proporciona un comando en el cortafuegos para rotar la
clave de ajuste que cambia el cifrado de la clave maestra. La frecuencia de esta rotación de la clave de ajuste
depende de su aplicación.
El cifrado de clave maestra que utilice un HSM no se admite en cortafuegos configurados en el

modo FIPS o CC.
Los temas siguientes describen cómo descifrar la clave maestra inicialmente y cómo actualizar el cifrado de la
clave maestra.
 Cifrado de la clave maestra
 Actualización del cifrado de clave maestra
Cifrado de la clave maestra
Si no ha cifrado anteriormente la clave maestra de un dispositivo, utilice el siguiente procedimiento para cifrarla.
Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y desea
descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualización del cifrado
de clave maestra.

Cifrado de una clave maestra utilizando un HSM
1. Seleccione Dispositivo > Clave maestra y diagnóstico.
Paso 8 Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del cortafuegos
en el campo Clave maestra.
Paso 9 Si está cambiando la clave maestra, introduzca la nueva clave maestra y confírmela.
Paso 10 Seleccione la casilla de verificación HSM.

Duración: Número de días y horas tras el cual vence la clave maestra (rango: 1-730 días).
Tiempo para el recordatorio: Número de días y horas antes del vencimiento en cuyo momento se notificará al
usuario del vencimiento inminente (rango: 1-365 días).
Paso 11 Haga clic en ACEPTAR.
Actualización del cifrado de clave maestra
La práctica recomendada es actualizar el cifrado de clave maestra con regularidad rotando la clave de ajuste de
clave maestra en el HSM Este comando es el mismo para los HSM SafeNet Luna SA y Thales Nshield Connect.
Actualización del cifrado de clave maestra
1. Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el HSM y
cifrará la clave maestra con la nueva clave de ajuste.
Si la clave maestra no está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el HSM
para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.
Almacenamiento de claves privadas en un HSM
Para mayor seguridad, las claves privadas utilizadas para habilitar el descifrado SSL/TLS (tanto el proxy SSL de
reenvío como la inspección de entrada SSL) pueden protegerse con un HSM de la manera siguiente:
 Proxy SSL de reenvío: La clave privada del certificado de CA que se utiliza para firmar certificados en
operaciones de proxy SSL/TLS de reenvío se puede almacenar en el HSM. A continuación, el cortafuegos
enviará los certificados que genere durante las operaciones de proxy SSL/TLS de reenvío al HSM para su
envío antes de reenviarlos al cliente.
 Inspección de entrada SSL: Las claves privadas de los servidores internos para los que está haciendo una
inspección de entrada SSL/TLS se pueden almacenar en el HSM.
Para obtener instrucciones sobre cómo importar claves privadas en el HSM, consulte la documentación de su
proveedor de HSM. Después de que las claves necesarias se encuentren en el HSM, podrá configurar el
cortafuegos para ubicar las claves de la manera siguiente:

Almacenamiento de claves privadas en un HSM
Paso 1 Importe las claves privadas Para obtener instrucciones sobre cómo importar claves privadas en el HSM,
utilizadas en sus consulte la documentación de su proveedor de HSM.
implementaciones de proxy SSL
de reenvío y/o inspección de
entrada SSL en el HSM.
Paso 2 (Únicamente Thales Nshield 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo >
Connect) Sincronice los datos de Configuración > HSM.
claves del sistema de archivos 2. Seleccione Sincronizar con sistema de archivos remoto en la sección
remoto del HSM con el Operaciones de seguridad de hardware.
cortafuegos.
Paso 3 Importe los certificados que se 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo > Gestión
correspondan con las claves de certificados > Certificados > Certificados de dispositivos.
privadas que esté almacenando en 2. Haga clic en Importar.
el HSM en el cortafuegos.
3. Introduzca el Nombre de certificado.
4. Introduzca el nombre de archivo del Archivo del certificado que
importó en el HSM.
5. Seleccione el Formato de archivo adecuado en el menú desplegable.
6. Seleccione la casilla de verificación La clave privada reside en el
módulo de seguridad de hardware.
Paso 4 (Únicamente certificados fiables 1. Seleccione Dispositivo > Gestión de certificados > Certificados >
de reenvío) Habilite el certificado Certificados de dispositivos.
para su uso en el proxy SSL/TLS 2. Localice el certificado que importó en el Paso 3.
de reenvío.
3. Seleccione la casilla de verificación Reenviar certificado fiable.
Paso 5 Verifique que el certificado se ha 1. Seleccione Dispositivo > Gestión de certificados > Certificados >
importado correctamente en el Certificados de dispositivos.
cortafuegos. 2. Localice el certificado que importó en el Paso 3.
3. En la columna Clave, observe lo siguiente:
Si se muestra un icono de bloqueo, la clave privada del certificado puede
encontrarse en el HSM.
Si se muestra un icono de error, la clave privada no se ha importado en
el HSM o el HSM no está autenticado o conectado correctamente.

Gestión de la implementación del HSM
Gestión del HSM
• Visualice los ajustes de Seleccione Dispositivo > Configuración > HSM.

configuración del HSM.
• Muestre la información detallada Seleccione Mostrar información detallada en la sección Operaciones de seguridad
del HSM. de hardware.
Aparecerá información relativa a los servidores HSM, el estado de HA del HSM y
el hardware del HSM.
• Exporte un archivo de asistencia. Seleccione Exportar archivo de asistencia en la sección Operaciones de seguridad
de hardware.
Se creará un archivo de prueba para ayudar en la asistencia a los clientes cuando se
trate de solucionar un problema con una configuración del HSM en el cortafuegos.
• Restablezca la configuración del Seleccione Restablecer configuración de HSM en la sección Operaciones de

HSM. seguridad de hardware.
Seleccionar esta opción elimina todas las conexiones del HSM. Todos los
procedimientos de autenticación deberán repetirse después de utilizar esta opción.

Alta disponibilidad
La alta disponibilidad (HA) es una configuración en la que dos cortafuegos se colocan en un grupo y su
configuración se sincroniza para prevenir el fallo de un único punto en su red. Una conexión de latido entre los
peers del cortafuegos garantiza una conmutación por error sin problemas en el caso de que falle un peer. La
configuración de los cortafuegos en un clúster de dos dispositivos proporciona redundancia y le permite
garantizar la continuidad empresarial.
Los cortafuegos de Palo Alto Networks admiten una alta disponibilidad activa/activa o activa/pasiva de estado
con sincronización de sesión y configuración. Algunos modelos del cortafuegos, como los cortafuegos
VM-Series y PA-200, únicamente admiten HA lite sin capacidad de sincronización de sesión. Los siguientes
temas proporcionan más información sobre la alta disponibilidad y sobre cómo configurarla en su entorno.
 Descripción general de la alta disponibilidad
 Configuración de la HA activa/pasiva
Si desea más información, consulte los siguientes artículos:
 Active/Active HA (en inglés)
 High Availability Synchronization (en inglés)

 High Availability Failover Optimization (en inglés)
 Upgrading an HA pair (en inglés)
 Examples: Deploying HA (en inglés)
Alta disponibilidad 127

Descripción general de la alta disponibilidad Alta disponibilidad
Descripción general de la alta disponibilidad

En cortafuegos de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le
permite reducir al mínimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso
de que falle el dispositivo principal. Los dispositivos utilizan puertos de HA específicos o internos en el
cortafuegos para sincronizar datos (configuraciones de red, objeto y política) y mantener información de estado.
Los dispositivos no comparten información de la configuración específica de los dispositivos, como la dirección
IP del puerto de gestión o perfiles de administrador, la configuración específica de HA, datos de log y el Centro
de comando de aplicación (ACC). Para obtener una vista consolidada de aplicaciones y logs a través del par de
HA deberá utilizar Panorama, el sistema de gestión centralizado de Palo Alto Networks.
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el tráfico, el evento se denomina una conmutación por error. Las condiciones que activan una conmutación por
error son las siguientes:
 Falla una o más de las interfaces supervisadas. (Supervisión de enlaces)
 No se puede llegar a uno o más de los destinos especificados en el dispositivo. (Supervisión de rutas)
 El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat)
Modos de HA
Puede configurar los cortafuegos para la HA en dos modos:
 Activo/pasivo: Un dispositivo gestiona activamente el tráfico mientras que el otro está sincronizado y listo
para pasar al estado activo en el caso de que se produjera un fallo. En esta configuración, ambos dispositivos
comparten los mismos ajustes de configuración y uno gestiona activamente el tráfico hasta que se produce
un fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control
sin problemas y aplica las mismas políticas para mantener la seguridad de red. La HA activa/pasiva es
compatible con las implementaciones de Virtual Wire, capa 2 y capa 3. Si desea información sobre cómo
ajustar sus dispositivos en una configuración activa/pasiva, consulte Configuración de la HA activa/pasiva.
Los cortafuegos PA-200 y VM-Series admiten una versión lite de la HA activa/pasiva. HA Lite
permite la sincronización de la configuración y la sincronización de algunos datos de tiempo de
ejecución, como asociaciones de seguridad de IPSec. No admite ninguna sincronización de
sesiones y, por lo tanto, HA Lite no ofrece una conmutación por error con estado.
 Activo/activo: Ambos dispositivos del par están activos y procesan el tráfico. Asimismo, trabajan
sincronizadamente para gestionar la configuración y la pertenencia de la sesión. La implementación
activa/activa es compatible con las implementaciones de Virtual Wire y capa 3 y únicamente se recomienda
para redes con enrutamiento asimétrico. Si desea información sobre el establecimiento de una configuración
activa/activa para los dispositivos, consulte Active/Active High Availability Tech Note (Nota técnica sobre
alta disponibilidad activa/activa).
128 Alta disponibilidad

Alta disponibilidad Descripción general de la alta disponibilidad
Enlaces de HA y enlaces de copia de seguridad
Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener información de
estado. Algunos modelos del cortafuegos tienen puertos de HA específicos, como enlace de control (HA1) y
enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
En dispositivos con puertos de HA específicos como los cortafuegos de las series PA-3000, PA-4000, PA-5000
y PA-7050 (consulte Puertos de HA en el cortafuegos PA-7050), utilice los puertos de HA específicos para
gestionar la comunicación y la sincronización entre los dispositivos. Para dispositivos sin puertos de HA
específicos, como los cortafuegos de las series PA-200, PA-500 y PA-2000, la práctica recomendada es utilizar
el puerto de gestión para el enlace de HA1 para permitir una conexión directa entre los planos de gestión de los
dispositivos y un puerto interno para el enlace de HA2.
Los enlaces de HA1 y HA2 proporcionan sincronización para funciones que

residen en el plano de gestión. Utilizar las interfaces de HA específicas del plano
de gestión es más eficaz que utilizar los puertos internos, ya que así se elimina la
necesidad de pasar los paquetes de sincronización a través del plano de datos.
 Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e información de
estado de HA, así como la sincronización del plano de gestión para el enrutamiento e información de
User-ID. Este enlace también se utiliza para sincronizar cambios de configuración en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una dirección IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicación con texto claro; puerto
28 para una comunicación cifrada (SSH sobre TCP).
 Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexión persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (número de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Asimismo, se utiliza un enlace de HA3 en implementaciones de HA activa/activa. Cuando hay una ruta
asimétrica, se utiliza el enlace de HA3 para reenviar paquetes al peer de HA al que pertenece la sesión. El
enlace de HA3 es un enlace de capa 2 y no permite el cifrado ni las direcciones de capa 3.
 Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
– Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre sí.
– Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los
enlaces de HA principales.
– Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos físicos separados. El
enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (que utiliza el puerto
28771 en la interfaz de gestión) si utiliza un puerto interno para los enlaces de copia de seguridad
de HA1 o HA2.

Puertos de HA en el cortafuegos PA-7050
Para la conectividad de HA en el PA-7050, consulte la siguiente tabla para obtener información detallada sobre
qué puertos de la tarjeta de gestión de conmutadores (SMC) son obligatorios y qué puertos de la tarjeta de
procesamiento de red (NPC) son adecuados. Para obtener una descripción general de los módulos y las tarjetas
de interfaz del cortafuegos PA-7050, consulte la Guía de referencia de hardware de PA-7050.
Los siguientes puertos de la SMC están diseñados para la conectividad de HA:
Enlaces de HA Puertos de la SMC Descripción

y enlaces de
copia de
seguridad
Enlace de HA1-A Se utiliza para el control y la sincronización de HA. Conecte este

control Velocidad: Ethernet puerto directamente desde el puerto HA1-A del primer dispositivo al
10/100/1000 puerto HA1-A del segundo dispositivo del par, o bien conéctelos
juntos a través de un conmutador o enrutador.
HA1 no se puede configurar en puertos de datos NPC o el puerto
MGT.
Copia de HA1-B Se utiliza para el control y la sincronización de HA como copia de

seguridad de Velocidad: Puerto Ethernet seguridad para HA1-A. Conecte este puerto directamente desde el
enlace de 10/100/1000 puerto HA1-B del primer dispositivo al puerto HA1-B del segundo
control dispositivo del par, o bien conéctelos juntos a través de un
conmutador o enrutador.
La copia de seguridad de HA1 no se puede configurar en puertos de
datos de NPC o el puerto de gestión.
Enlace de HSCI-A Las interfaces Quad Port SFP (QSFP) se usan para conectar dos
datos (High Speed Chassis cortafuegos PA-7050 con una configuración de HA. Cada puerto
Interconnect, interconexión consta de cuatro enlaces internos de 10 gigabits para alcanzar una
de bastidores de alta velocidad) velocidad combinada de 40 gigabits y se usa para enlaces de datos
HA2 en la configuración activa/pasiva. En el modo activo/activo, el
puerto también se usa para reenvío de paquetes HA3 en sesiones de
enrutamiento asimétrica que requieren inspección de capa 7 para
App-ID y Content-ID.
En una instalación típica, el puerto HSCI-A del primer bastidor se
conecta directamente al HSCI-A del segundo y el HSCI-B del primer
bastidor se conecta al HSCI-B del segundo. Así se alcanzan
velocidades de transferencia máximas de 80 gigabits. En software,
ambos puertos (HSCI-A y HSCI-B) se tratan como una única interfaz
HA.
Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre sí.
Palo Alto Networks recomienda utilizar los puertos HSCI específicos
para las conexiones de HA2 y HA3. Sin embargo, pueden configurarse
los enlaces de HA2 y HA3 en puertos de datos de NPC, si es necesario.

Enlaces de HA Puertos de la SMC Descripción

y enlaces de
copia de
seguridad
Copia de HSCI-B Las interfaces Quad Port SFP (QSFP) (consulte la descripción
seguridad de (High Speed Chassis anterior) del puerto HSCI-B se utilizan para aumentar el ancho de
enlace de Interconnect, interconexión banda para HA2/HA3.
datos de bastidores de alta velocidad) Los puertos HSCI no se pueden enrutar y deben conectarse
directamente entre sí.
Palo Alto Networks recomienda utilizar los puertos HSCI-B
específicos para las conexiones de copia de seguridad de HA2 y HA3.
Puede configurarse un enlace de copia de seguridad de HA2/HA3 en
los puertos de datos de NPC, si es necesario.
Prioridad y preferencia de dispositivos
A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una
preferencia por el dispositivo que debería asumir el papel activo y gestionar el tráfico. Si necesita utilizar un
dispositivo específico del par de HA para proteger de manera activa el tráfico, debe habilitar el comportamiento
de preferencia en ambos cortafuegos y asignar un valor de prioridad de dispositivo para cada dispositivo. El
dispositivo con el valor numérico más bajo y, por lo tanto, mayor prioridad, se designará como activo y gestionará
todo el tráfico de la red. El otro dispositivo estará en un estado pasivo y sincronizará información de
configuración y estado con el dispositivo activo, de manera que esté listo para pasar al estado activo en el caso
de producirse un fallo.
De manera predeterminada, la preferencia está deshabilitada en los cortafuegos y debe habilitarse en ambos
dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el cortafuegos con la mayor
prioridad (valor numérico más bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una
preferencia, el evento se registra en los logs del sistema.
Activadores de conmutación por error
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el tráfico, el evento se denomina una conmutación por error. Una conmutación por error se activa cuando falla
una métrica supervisada en el dispositivo activo. Las métricas que se supervisan para detectar un fallo de
dispositivo son las siguientes:
 Mensajes de saludo y sondeos de heartbeat: Los cortafuegos utilizan mensajes de saludo y heartbeats
para verificar que el dispositivo peer responde y está operativo. Los mensajes de saludo se envían desde un
peer al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping
ICMP para el peer de HA a través del enlace de control y el peer responde al ping para establecer que los
dispositivos están conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de
1.000 milisegundos. Si desea información detallada sobre los temporizadores de HA que activan una
conmutación por error, consulte Temporizadores de HA.

 Supervisión de enlaces: Las interfaces físicas que deben supervisarse se agrupan en un grupo de enlaces y
se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o más
interfaces físicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo. El
comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces hará que el
dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
 Supervisión de rutas: Supervisa toda la ruta a través de la red hasta direcciones IP de vital importancia. Los
pings ICMP se utilizan para verificar que se puede llegar a la dirección IP. El intervalo predeterminado para
pings es de 200 ms. Se considera que no se puede llegar a una dirección IP cuando fallan 10 pings
consecutivos (el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna
o todas las direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las
direcciones IP a las que no se pueda llegar hará que el dispositivo cambie el estado de HA a no funcional
para indicar el fallo de un objeto supervisado.
Además de los activadores de conmutación por error enumerados anteriormente, también se produce una
conmutación por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
En los cortafuegos de las series PA-3000, PA-5000 y PA-7050, se puede producir una conmutación por error si
falla una comprobación de estado interna. Esta comprobación de estado no es configurable y se habilita para
verificar el estado operativo de todos los componentes del cortafuegos.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de cortafuegos y activar una
conmutación por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles que se han añadido: Recomendada, Agresivo y Avanzado. Estos perfiles cumplimentan
automáticamente los valores óptimos del temporizador de HA para la plataforma de cortafuegos específica con
el fin de habilitar una implementación de HA más rápida.
Utilice el perfil Recomendada para ajustes comunes del temporizador de conmutación por error y el perfil
Agresivo para ajustes más rápidos del temporizador de conmutación por error. El perfil Avanzado le permite
personalizar los valores del temporizador para que se adapten a sus requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales de
los diferentes modelos de hardware; estos valores se indican únicamente como referencia y pueden cambiar en
versiones posteriores.

Temporizadores Descripción PA-7050 Serie PA-2000 Panorama VM
Serie PA-5000 Serie PA-500 M-100
Serie PA-4000 Serie PA-200
Serie PA-3000 Serie VM
Valores actuales de Recomendada/Agresivo por

plataforma
Tiempo de espera Intervalo durante el cual el 0/0 0/0 0/0

ascendente tras fallo cortafuegos permanecerá
de supervisor activo tras un fallo de
supervisor de ruta o supervisor
de enlace. Se recomienda este
ajuste para evitar una
conmutación por error de HA
debido a los flaps ocasionales
de los dispositivos vecinos.
Tiempo de espera Tiempo que un dispositivo 1/1 1/1 1/1

para ser preferente pasivo o secundario activo
esperará antes de tomar el
control como dispositivo
activo o principal activo.
Intervalo de Frecuencia con la que los peers 1000/1000 2000/1000 2000/1000

heartbeat de HA intercambian mensajes
de heartbeat en forma de un
ping ICMP.
Tiempo de espera de Tiempo que el dispositivo 2000/500 2000/500 2000/500

promoción pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) esperará antes
de tomar el control como
dispositivo activo o principal
activo después de perder las
comunicaciones con el peer de
HA. Este tiempo de espera
únicamente comenzará
después de haber realizado una
declaración de fallo de peer.

Temporizadores Descripción PA-7050 Serie PA-2000 Panorama VM
Serie PA-5000 Serie PA-500 M-100
Serie PA-4000 Serie PA-200
Serie PA-3000 Serie VM
Valores actuales de Recomendada/Agresivo por

plataforma
Tiempo de espera Este intervalo de tiempo se 500/500 500/500 7000/5000

ascendente principal aplica al mismo evento que
adicional Tiempo de espera ascendente
tras fallo de supervisor (rango:
0-60.000 ms; valor
predeterminado: 500 ms). El
intervalo de tiempo adicional
únicamente se aplica al
dispositivo activo en el modo
activo/pasivo y al dispositivo
principal activo en el modo
activo/activo. Se recomienda
este temporizador para evitar
una conmutación por error
cuando ambos dispositivos
experimentan el mismo fallo
de supervisor de enlace/ruta
simultáneamente.
Intervalo de saludo Intervalo de tiempo en 8000/8000 8000/8000 8000/8000

milisegundos entre los
paquetes de saludo enviados
para verificar que la
funcionalidad de HA del otro
cortafuegos está operativo. El
rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
N.º máximo de flaps Se cuenta un flap cuando el 3/3 3/3 No aplicable

cortafuegos deja el estado
activo antes de que transcurran
15 minutos desde la última vez
que dejó el estado activo. Este
valor indica el número máximo
de flaps permitidos antes de
que se determine suspender el
cortafuegos y que el
cortafuegos pasivo tome el
control (rango: 0-16; valor
predeterminado: 3).

Alta disponibilidad Configuración de la HA activa/pasiva
Configuración de la HA activa/pasiva
 Requisitos para la HA activa/pasiva
 Directrices de configuración para la HA activa/pasiva
 Configuración de la HA activa/pasiva
 Definición de las condiciones de conmutación por error
 Verificación de conmutación por error
Requisitos para la HA activa/pasiva
Para configurar la alta disponibilidad en sus cortafuegos de Palo Alto Networks, necesitará un par de
cortafuegos que cumplan los siguientes requisitos:
 El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de máquina
virtual.
 La misma versión de PAN-OS: Ambos dispositivos deben ejecutar la misma versión de PAN-OS y estar
actualizados en las bases de datos de la aplicación, URL y amenazas. Ambos deben tener la misma función
de varios sistemas virtuales (vsys múltiple o único).
 El mismo tipo de interfaces: Enlaces de HA específicos o una combinación del puerto de gestión y los
puertos internos que se establecen para la HA de tipo de interfaz.
– Determine la dirección IP de la conexión de HA1 (control) entre el par de dispositivos. La dirección IP
de HA1 de ambos peers debe estar en la misma subred si están conectados directamente o si están
conectados al mismo conmutador.
En el caso de dispositivos sin puertos de HA específicos, puede utilizar el puerto de gestión para la
conexión de control. Al utilizar el puerto de gestión obtiene un enlace de comunicación directa entre
los planos de gestión de ambos dispositivos. Sin embargo, dado que los puertos de gestión no tienen
cables directos entre los dispositivos, asegúrese de que tiene una ruta que conecte estas dos interfaces
a través de su red.
– Si utiliza la capa 3 como método de transporte para la conexión de HA2 (datos), determine la dirección
IP para el enlace de HA2. Utilice la capa 3 únicamente si la conexión de HA2 debe comunicarse a través
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del cortafuegos.
 El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idénticas para ambos dispositivos. Si los
dos dispositivos no tienen un conjunto idéntico de licencias, no podrán sincronizar información de
configuración y mantener la paridad para una conmutación por error sin problemas.
Si tiene un cortafuegos existente, desea añadir un nuevo cortafuegos para HA y el nuevo

cortafuegos tiene una configuración existente, se recomienda que realice un restablecimiento de
fábrica en el nuevo cortafuegos. Esto garantizará que el nuevo cortafuegos tenga una
configuración limpia. Después de configurar la HA, deberá sincronizar la configuración del
dispositivo principal con el dispositivo recién introducido con la configuración limpia.

Configuración de la HA activa/pasiva Alta disponibilidad
Directrices de configuración para la HA activa/pasiva
Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idéntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo. Estos
ajustes de HA no se sincronizan entre los dispositivos. Si desea información detallada sobre qué se sincroniza y
qué no, consulte HA Synchronization (en inglés).
Para ir a las instrucciones sobre cómo configurar los dispositivos en HA, consulte Configuración de la HA
activa/pasiva.
La siguiente tabla enumera los ajustes que debe configurar de manera idéntica en ambos dispositivos:
Ajustes de configuración idénticos en PeerA y PeerB
• La HA debe habilitarse en ambos dispositivos.

• Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una
dirección MAC virtual para todas las interfaces configuradas. El formato de la dirección MAC virtual es 00-1B-17:00:
xx: yy, donde
00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz.
Cuando un nuevo dispositivo activo tome el control, se enviarán ARP gratuitos desde cada una de las interfaces
conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva
ubicación de la dirección MAC virtual.
• Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 deberán establecerse con el tipo HA.
• El modo de HA deberá establecerse como Activo/pasivo.
• Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo
no debe ser idéntico.
• Si es necesario, deberá configurarse el cifrado del enlace de HA1 (para la comunicación entre los peers de HA) en
ambos dispositivos.
• Basándose en la combinación de puertos de copia de seguridad de HA1 y HA2 que está utilizando, utilice las siguientes
recomendaciones para decidir si debería habilitar la copia de seguridad de heartbeat:
• HA1: Puerto de HA1 específico
Copia de seguridad de HA1: Puerto interno
Recomendación: Habilitar copia de seguridad de heartbeat
• HA1: Puerto de HA1 específico
Copia de seguridad de HA1: Puerto de gestión
Recomendación: No habilitar copia de seguridad de heartbeat
• HA1: Puerto interno
Recomendación: Habilitar copia de seguridad de heartbeat
• HA1: Puerto de gestión
Recomendación: No habilitar copia de seguridad de heartbeat
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:

Ajustes de PeerA PeerB

configuración
independientes
Enlace de control Dirección IP del enlace de HA1 configurado en Dirección IP del enlace de HA1
este dispositivo (PeerA). configurado en este dispositivo (PeerB).
En el caso de dispositivos sin puertos de HA específicos, utilice la dirección IP del puerto de

gestión para el enlace de control.
Enlace de datos De manera predeterminada, el enlace de HA2 De manera predeterminada, el enlace de

La información de utiliza Ethernet/capa 2. HA2 utiliza Ethernet/capa 2.
enlace de datos se Si utiliza una conexión de capa 3, configure la Si utiliza una conexión de capa 3, configure
sincroniza entre los dirección IP para el enlace de datos de este la dirección IP para el enlace de datos de
dispositivos después de dispositivo (PeerA). este dispositivo (PeerB).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
Prioridad de El dispositivo que tiene la intención de activar Si PeerB es pasivo, establezca el valor de
dispositivo debe tener un valor numérico más bajo que su prioridad de dispositivo con un valor
(obligatorio si se peer. Por lo tanto, si PeerA va a funcionar como el mayor que el de PeerA. Por ejemplo,
habilita la preferencia) dispositivo activo, mantenga el valor establezca el valor como 110.
predeterminado de 100 y aumente el valor de
PeerB.
Supervisión de enlaces: Seleccione las interfaces físicas del cortafuegos que Seleccione un conjunto similar de
Supervise una o más desearía supervisar y defina la condición de fallo interfaces físicas que desearía supervisar y
interfaces físicas que (todo o alguno) que activará una conmutación por defina la condición de fallo (todo o alguno)
gestionen el tráfico error. que activará una conmutación por error.
vital de este dispositivo
y defina la condición de
fallo.
Supervisión de rutas: Defina la condición de fallo (todo o alguno), el Seleccione un conjunto similar de
Supervise una o más intervalo de ping y el recuento de pings. Esto es de dispositivos o direcciones IP de destino
direcciones IP de especial utilidad para supervisar la disponibilidad que se puedan supervisar para determinar
destino en las que el de otros dispositivos de red interconectados. Por la activación de una conmutación por error
cortafuegos pueda ejemplo, supervise la disponibilidad de un para PeerB. Defina la condición de fallo
utilizar pings ICMP enrutador que se conecte a un servidor, la (todo o alguno), el intervalo de ping y el
para verificar la conectividad del propio servidor o cualquier otro recuento de pings.
capacidad de respuesta. dispositivo vital que se encuentre en el flujo del
tráfico.
Asegúrese de que no sea probable que el

nodo/dispositivo que está supervisando no
responda, especialmente cuando tenga una carga
inferior, ya que esto podría provocar un fallo de
supervisión de rutas y activar una conmutación por
error.

Configuración de la HA activa/pasiva
El siguiente procedimiento muestra cómo configurar un par de cortafuegos en una implementación
activa/pasiva como se muestra en la topología de ejemplo siguiente.
Conexión y configuración de los dispositivos

Paso 1 Conecte los puertos de HA para • En el caso de dispositivos con puertos de HA específicos, utilice
establecer una conexión física entre los un cable Ethernet para conectar los puertos de HA1 y HA2
dispositivos. específicos del par de dispositivos. Utilice un cable cruzado si los
dispositivos están conectados directamente entre sí.
• En el caso de dispositivos sin puertos de HA específicos,
seleccione dos interfaces de datos para el enlace de HA2 y el enlace
de HA1 de copia de seguridad. A continuación, utilice un cable
Ethernet para conectar estas interfaces de HA internas entre
ambos dispositivos. Utilice el puerto de gestión para el enlace de
HA1 y asegúrese de que los puertos de gestión pueden conectarse
entre sí a través de su red.
Seleccione un dispositivo del clúster y realice estas tareas:
Paso 2 Habilite los pings en el puerto de gestión. 1. Seleccione Dispositivo > Configuración > Gestión y, a
La habilitación de los pings permite que el continuación, haga clic en el icono Editar de la sección
puerto de gestión intercambie información Configuración de interfaz de gestión de la pantalla.
de copia de seguridad de heartbeat. 2. Seleccione Ping como servicio permitido en la interfaz.
Paso 3 Si el dispositivo no tiene puertos de HA 1. Seleccione Red > Interfaces.
específicos, configure los puertos de 2. Confirme que el enlace está activado en los puertos que desee
datos para que funcionen como puertos utilizar.
de HA.
3. Seleccione la interfaz y establezca el tipo de interfaz como HA.
En el caso de dispositivos con puertos de
HA específicos, vaya al Paso 4.
4. Establezca los ajustes Velocidad de enlace y Dúplex de enlace
según sea adecuado.

Conexión y configuración de los dispositivos (Continuación)

Paso 4 Configure la conexión del enlace de 1. En Dispositivo > Alta disponibilidad > General, edite la sección
control. Enlace de control (HA1).
Este ejemplo muestra un puerto interno 2. Seleccione la interfaz a la que ha conectado el cable para
configurado con el tipo de interfaz HA. utilizarla como el enlace de HA1 en el menú desplegable Puerto.
Establezca la dirección IP y la máscara de red. Introduzca una
En el caso de dispositivos que utilicen el dirección IP de puerta de enlace únicamente si las interfaces de
puerto de gestión como el enlace de HA1 están en subredes separadas. No añada una puerta de
control, la información de dirección IP se enlace si los dispositivos están conectados directamente.
cumplimenta previamente de manera
automática.
Paso 5 (Opcional) Habilite el cifrado para la 1. Exporte la clave de HA desde un dispositivo e impórtela al
conexión del enlace de control. dispositivo peer.
Esto suele utilizarse para proteger el a. Seleccione Dispositivo > Gestión de certificados >
enlace si los dos dispositivos no están Certificados.
conectados directamente, es decir, si los b. Seleccione Exportar clave de HA. Guarde la clave de HA en
puertos están conectados a un una ubicación de red a la que pueda acceder el dispositivo peer.
conmutador o un enrutador.
c. En el dispositivo peer, desplácese hasta Dispositivo > Gestión
de certificados > Certificados y seleccione Importar clave
de HA para desplazarse hasta la ubicación donde guardó la
clave e importarla en el dispositivo peer.
2. Seleccione Dispositivo > Alta disponibilidad > General y edite
la sección Enlace de control (HA1).
3. Seleccione Cifrado habilitado.
Paso 6 Configure la conexión del enlace de 1. En Dispositivo > Alta disponibilidad > General, edite la sección
control de copia de seguridad. Enlace de control (copia de seguridad de HA1).
2. Seleccione la interfaz de copia de seguridad de HA1 y configure
la dirección IP y la máscara de red.


Paso 7 Configure la conexión del enlace de datos 1. En Dispositivo > Alta disponibilidad > General, edite la sección
(HA2) y la conexión de HA2 de copia de Enlace de datos (HA2).
seguridad entre los dispositivos. 2. Seleccione la interfaz para la conexión del enlace de datos.
3. Seleccione el método Transporte. El valor predeterminado es
Ethernet y funcionará cuando el par de HA se conecte
directamente o a través de un conmutador. Si necesita enrutar el
tráfico del enlace de datos a través de la red, seleccione IP o UDP
como modo de transporte.
4. Si utiliza IP o UDP como método de transporte, introduzca la
dirección IP y la máscara de red.
5. Verifique que se ha seleccionado Habilitar sincronización de

sesión.
6. Seleccione Conexión persistente de HA2 para habilitar la
supervisión del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido (el valor
predeterminado son 10.000 ms), se producirá la acción definida.
En el caso de una configuración activa/pasiva, se generará un
mensaje de log de sistema crítico cuando se produzca un fallo de
conexión persistente de HA2.
Nota Puede configurar la opción Conexión persistente de HA2
en ambos dispositivos o solamente un dispositivo del par de
HA. Si la opción se habilita únicamente en un dispositivo,
solamente ese dispositivo enviará los mensajes de conexión
persistente. Si se produce un fallo, se notificará al otro
dispositivo.
7. Edite la sección Enlace de datos (copia de seguridad de HA2),
seleccione la interfaz y añada la dirección IP y la máscara de red.
Paso 8 Habilite la copia de seguridad de 1. En Dispositivo > Alta disponibilidad > General, edite la sección
heartbeat si su enlace de control utiliza un Configuración de elección.
puerto de HA específico o un puerto 2. Seleccione Copia de seguridad de heartbeat.
interno.
El enlace de copia de seguridad de heartbeat se utiliza para
No necesita habilitar la copia de seguridad transmitir mensajes de saludos y heartbeats redundantes. Para
de heartbeat si está utilizando el puerto de permitir la transmisión de heartbeats entre los dispositivos,
gestión para el enlace de control. deberá verificar que el puerto de gestión entre ambos peers
puede enrutarse del uno al otro.


Paso 9 Establezca la prioridad de dispositivo y 1. En Dispositivo > Alta disponibilidad > General, edite la sección
habilite la preferencia. Configuración de elección.
Este ajuste únicamente es necesario si 2. Establezca el valor numérico de Prioridad de dispositivo.
desea asegurarse de que un dispositivo Asegúrese de establecer un valor numérico más bajo en el
específico es el dispositivo activo dispositivo al que desee asignar una mayor prioridad.
preferido. Para obtener información, Nota Si ambos cortafuegos tienen el mismo valor de prioridad de
consulte Prioridad y preferencia de dispositivo, el cortafuegos con la dirección MAC más baja
dispositivos. en el enlace de control de HA1 será el dispositivo activo.
3. Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Paso 10 (Opcional) Modifique los temporizadores 1. En Dispositivo > Alta disponibilidad > General, edite la sección
de conmutación por error. Configuración de elección.
De manera predeterminada, el perfil del 2. Seleccione el perfil Agresivo para activar la conmutación por
temporizador de HA se establece como el error más rápido; seleccione Avanzado para definir valores
perfil Recomendada y es adecuado para personalizados para activar la conmutación por error en su
la mayoría de implementaciones de HA. configuración.
Nota Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y haga
clic en Carga recomendada o Carga intensiva. Los valores
preestablecidos para su modelo de hardware aparecerán en
la pantalla.
Paso 11 (Opcional, únicamente configurado en el Establecer el estado de enlace como Auto permite reducir la cantidad
dispositivo pasivo) Modifique el estado de de tiempo que tarda el dispositivo pasivo en tomar el control cuando
enlace de los puertos de HA en el se produce una conmutación por error y le permite supervisar el
dispositivo pasivo. estado de enlace.
Nota El estado de enlace pasivo es Apagar de Para habilitar el estado de enlace del dispositivo pasivo para que
manera predeterminada. Cuando habilite permanezca activado y refleje el estado de cableado de la interfaz
HA, el estado de enlace de los puertos de física:
HA del dispositivo activo será de color 1. En Dispositivo > Alta disponibilidad > General, edite la sección
verde; los del dispositivo pasivo estarán Configuración Activa/Pasiva.
desactivados y se mostrarán de color rojo. 2. Establezca Estado de los enlaces en el pasivo como Auto.
La opción automática reduce la cantidad de tiempo que tarda el
dispositivo pasivo en tomar el control cuando se produce una
conmutación por error.
Nota Aunque la interfaz se muestre de color verde (cableada y
activada), seguirá descartando todo el tráfico hasta que se
active una conmutación por error.
Cuando modifique el estado de enlace pasivo, asegúrese de

que los dispositivos adyacentes no reenvían el tráfico al
cortafuegos pasivo basándose únicamente en el estado de
enlace del dispositivo.


Paso 12 Habilite la HA. 1. Seleccione Dispositivo > Alta disponibilidad > General y edite
la sección Configuración.
2. Seleccione Habilitar HA.
3. Establezca un ID de grupo. Este ID identifica de manera exclusiva
cada par de HA de su red y es esencial si tiene varios pares de HA
que compartan el mismo dominio de difusión en su red.
4. Establezca el modo como Activo Pasivo.
5. Seleccione Habilitar sincronización de configuración. Este
ajuste habilita la sincronización de los ajustes de configuración
entre los dispositivos activo y pasivo.
6. Introduzca la dirección IP asignada al enlace de control del
dispositivo peer en Dirección IP de HA de peer.
En el caso de dispositivos sin puertos de HA específicos, si el

peer utiliza el puerto de gestión para el enlace de HA1,
introduzca la dirección IP del puerto de gestión del peer.
7. Introduzca Dirección IP de HA1 de copia de seguridad.
Paso 13 Guarde los cambios de configuración. Haga clic en Confirmar.
Paso 14 Realice del Paso 2 al Paso 13 en el otro
dispositivo del par de HA.
Paso 15 Cuando termine de configurar ambos 1. Acceda al Panel de ambos dispositivos y visualice el widget Alta
dispositivos, verifique que los dispositivos disponibilidad.
están emparejados en la HA 2. En el dispositivo activo, haga clic en el enlace Sincronizar en el
activa/pasiva. peer.
3. Confirme que los dispositivos están emparejados y
sincronizados, como se muestra a continuación:
En el dispositivo pasivo: El estado del En el dispositivo activo: El estado del dispositivo local
dispositivo local debería mostrarse como debería mostrarse como Activo y la configuración se
Pasivo y la configuración se sincronizará. sincronizará.

Definición de las condiciones de conmutación por error
Configuración de los activadores de conmutación por error
Paso 1 Para configurar la supervisión de enlaces, 1. Seleccione Dispositivo > Alta disponibilidad > Supervisión de
defina las interfaces que desee supervisar. enlaces y rutas.
Un cambio en el estado de enlace de estas 2. En la sección Grupo de enlaces, haga clic en Añadir.
interfaces activará una conmutación por
3. Asigne un nombre al Grupo de enlaces, añada las interfaces
error.
para su supervisión y seleccione la Condición de fallo para el
grupo. El grupo de enlaces que defina se añadirá a la sección
Grupo de enlaces.
Paso 2 (Opcional) Modifique la condición de fallo 1. Seleccione la sección Supervisión de enlaces.

de los grupos de enlaces que configuró (en 2. Establezca la Condición de fallo como Todos.
el paso anterior) en el dispositivo. El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo
activará una conmutación por error
cuando falle cualquier enlace supervisado.
Paso 3 Para configurar la supervisión de rutas, 1. En la sección Grupo de rutas de la pestaña Dispositivo > Alta
defina las direcciones IP de destino en las disponibilidad > Supervisión de enlaces y rutas, seleccione la
que el cortafuegos debería hacer ping para opción Añadir para su configuración: Cable virtual, VLAN o
verificar la conectividad de red. Enrutador virtual.
2. Seleccione el elemento adecuado de la lista desplegable para el
Nombre y haga clic en Añadir para añadir las direcciones IP
(origen y/o destino, según se le pida) que desee supervisar. A
continuación, seleccione la Condición de fallo del grupo. El
grupo de rutas que defina se añadirá a la sección Grupo de rutas.
Paso 4 (Opcional) Modifique la condición de Establezca la Condición de fallo como Todos.

fallo para todos los grupos de rutas El ajuste predeterminado es Cualquiera.
configurados en el dispositivo.
De manera predeterminada, el dispositivo
activará una conmutación por error
cuando falle cualquier ruta supervisada.
Paso 5 Guarde sus cambios. Haga clic en Confirmar.

Si está utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de motor de SNMPv3 es
exclusivo para cada dispositivo; EngineID no se sincroniza entre el par de HA y, por lo tanto, le permite supervisar
independientemente cada dispositivo del par de HA. Si desea información sobre cómo configurar SNMP,
consulte Configuración de los destinos de Trap SNMP.
Como EngineID se genera utilizando el número de serie exclusivo del dispositivo, en el cortafuegos VM-Series
deberá aplicar una licencia válida para obtener un EngineID exclusivo para cada cortafuegos.
Verificación de conmutación por error
Para comprobar que su configuración de HA funciona correctamente, active una conmutación por error manual
y verifique que los dispositivos cambian de estado correctamente.
Verificación de conmutación por error
Paso 1 Suspenda el dispositivo activo. Haga clic en el enlace Suspender dispositivo local en la pestaña
Dispositivo > Alta disponibilidad > Comandos de operación.
Paso 2 Verifique que el dispositivo pasivo ha En el Panel, verifique que el estado del dispositivo pasivo cambia a
tomado el control como activo. Activo en el widget Alta disponibilidad.

Verificación de conmutación por error (Continuación)
Paso 3 Restablezca el dispositivo suspendido a 1. En el dispositivo que suspendió anteriormente, seleccione el

un estado funcional. Espere un par de enlace Hacer que el dispositivo local sea funcional de la
minutos y, a continuación, verifique que pestaña Dispositivo > Alta disponibilidad > Comandos
se ha producido la preferencia, si se ha operativos.
habilitado.
2. En el widget Alta disponibilidad del Panel, confirme que el

dispositivo ha tomado el control como dispositivo activo y que
el peer ahora está en un estado pasivo.


Informes y logs
El cortafuegos proporciona informes y logs que resultan de utilidad para supervisar la actividad de su red. Puede
supervisar los logs y filtrar la información para generar informes con vistas predefinidas o personalizadas. Por
ejemplo, puede utilizar plantillas predefinidas para generar informes sobre la actividad de un usuario o analizar
los informes y logs para interpretar un comportamiento inusual en su red y generar un informe personalizado
sobre el patrón de tráfico. Los siguientes temas describen cómo ver, gestionar, personalizar y generar los
informes y logs en el cortafuegos:
 Uso del panel
 Uso del centro de comando de aplicación
 Uso de Appscope
 Realización de capturas de paquetes
 Supervisión del cortafuegos
 Gestión de informes
 Análisis de la descripción de campos en logs
Informes y logs 147

Uso del panel Informes y logs
Uso del panel

Los widgets de la pestaña Panel muestran información general del dispositivo, como la versión de software, el
estado operativo de cada interfaz, la utilización de recursos y hasta 10 de las entradas más recientes en los logs
Sistema, Configuración y Amenaza. Todos los widgets disponibles aparecen de forma predeterminada, pero
cada administrador puede eliminar y agregar widgets individuales según sea necesario.
Haga clic en el icono para actualizar el panel o un widget individual. Para cambiar el intervalo de
actualización automática, seleccione un intervalo del menú desplegable (1 min, 2 min, 5 min o Manual). Para
agregar un widget al panel, haga clic en el menú desplegable Widget, seleccione una categoría y luego el nombre
del widget. Para eliminar un widget, haga clic en en la barra de títulos.
La siguiente tabla describe los widgets del panel.
Gráficos del panel Descripciones
Aplicaciones principales Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque indica el número
relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el
riesgo de seguridad, desde verde (más bajo) a rojo (más alto). Haga clic en una aplicación
para ver su perfil de aplicación.
Aplicaciones de alto riesgo Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de mayor riesgo
principales con la mayoría de las sesiones.
Información general Muestra el nombre del dispositivo, el modelo, la versión del software de PAN-OS, la
aplicación, las amenazas, las versiones de definición del filtro de URL, la fecha y hora
actuales y el período de tiempo transcurrido desde el último reinicio.
Estado de la interfaz Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un estado desconocido
(gris).
Logs de amenaza Muestra el ID de amenaza, la aplicación y la fecha y hora de las 10 últimas entradas en el log
Amenazas. El ID de amenaza es una descripción malintencionada de una URL que incumple
el perfil de filtro de URL.
Logs de configuración Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la fecha y hora de
las 10 últimas entradas en el log Configuración.
Logs Filtrado de datos Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos.
Logs Filtrado de URL Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL.
Logs de sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema.
Nota Una entrada Configuración instalada indica que se han llevado a cabo
cambios en la configuración correctamente.
Recursos del sistema Muestra el uso de CPU de gestión, el uso de plano de datos y el Número de sesiones que
muestra el número de sesiones establecidas a través del cortafuegos.
Administradores registrados Muestra la dirección IP de origen, el tipo de sesión (Web o CLI) y la hora de inicio de sesión
para cada administrador actualmente registrado.
Factor de riesgo de ACC Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada.
Los valores mayores indican un mayor riesgo.
Alta disponibilidad Si la alta disponibilidad (HA) está activada, indica el estado de la Alta disponibilidad (HA)
del dispositivo local y del peer: Verde (activa), amarillo (pasiva) o negro (otro). Si desea más
información sobre HA, consulte Alta disponibilidad.
Bloqueos Muestra bloqueos de configuración realizados por los administradores.
148 Informes y logs

Informes y logs Uso del centro de comando de aplicación
Uso del centro de comando de aplicación

Se muestran 5 gráficos en la pestaña Centro de comando de aplicación (ACC):
 Aplicación
 Filtrado de URL
 Prevención de amenazas
 Filtrado de datos
 Coincidencias HIP
La pestaña ACC describe visualmente las tendencias e incluye una vista del historial de tráfico de la red.
La pestaña ACC muestra el nivel de riesgo general para todo el tráfico de red, los niveles de riesgo y el número
de amenazas detectadas para las aplicaciones más activas y con mayor riesgo en su red, así como el número de
amenazas detectadas desde las categorías de aplicación más activas y desde todas las aplicaciones con cualquier
nivel de riesgo. Utilice el ACC para visualizar datos de aplicación de la hora, el día, la semana o el mes anterior
o cualquier período de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=más bajo a 5=más alto) indican el riesgo de seguridad relativo de la aplicación
dependiendo de criterios como si la aplicación puede compartir archivos, es proclive al uso indebido o intenta
esquivar los cortafuegos.
Informes y logs 149

Uso del centro de comando de aplicación Informes y logs
La tabla siguiente describe los gráficos que se muestran en la pestaña ACC:

Gráficos de ACC Descripciones
Aplicación Muestra información de aplicación agrupada por los siguientes atributos:

• Aplicaciones
• Aplicaciones de alto riesgo
• Categorías
• Subcategorías
• Tecnología
• Riesgo
Cada gráfico puede incluir el número de sesiones, los bytes transmitidos y recibidos, el
número de amenazas, la categoría de aplicación, las subcategorías de aplicación, la
tecnología de aplicación y el nivel de riesgo, si es necesario.
Filtrado de URL Muestra información de URL/categoría agrupada por los siguientes atributos:
• Categorías de URL
• URL
• Categorías de URL bloqueadas
• URL bloqueadas
Cada gráfico puede incluir la URL, la categoría de URL y el número de repeticiones
(número de intentos de acceso, si es necesario).
Prevención de amenazas Muestra información de amenaza agrupada por los siguientes atributos:
• Amenazas
• Tipos
• Spyware
• Llamada a casa de spyware
• Descargas de spyware
• Vulnerabilidades
• Virus
Cada gráfico puede incluir el ID de la amenaza, el recuento (número de incidencias), el
número de sesiones y el subtipo (como vulnerabilidad), si es necesario.
Filtrado de datos Muestra información sobre los datos filtrados por el cortafuegos agrupada por
los siguientes atributos:
• Tipos de contenido/archivo
• Tipos
• Nombres de archivos
Coincidencias HIP Muestra la información de host recopilada por el cortafuegos agrupada por:
• Objetos HIP
• Perfiles HIP
150 Informes y logs

Informes y logs Uso del centro de comando de aplicación
Para ver información detallada adicional, haga clic en cualquiera de los enlaces de los gráficos de ACC. Se abrirá
una página de detalles para mostrar información acerca del elemento en la lista principal y las listas adicionales
de los elementos relacionados. Por ejemplo, si hace clic en el enlace de exploración web en el gráfico Aplicación,
se abrirá la página Información de aplicación para la exploración web:
El siguiente procedimiento describe cómo utilizar la pestaña ACC y cómo personalizar su vista:
Uso del ACC
Paso 1 En ACC , cambie uno o más de los ajustes en la parte superior de la página.
• Utilice los menús desplegables para seleccionar Aplicaciones, Categorías de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP para visualizarlos.
• Seleccione un sistema virtual, si los sistemas virtuales están definidos.
• Seleccione un período de tiempo en el menú desplegable Tiempo. El valor predeterminado es Última hora.
• Seleccione un método de orden en el menú desplegable Ordenar por. Puede ordenar los gráficos en orden
descendente por número de sesiones, bytes o amenazas. El valor predeterminado es por número de sesiones.
• Para el método de orden seleccionado, seleccione el mayor número de aplicaciones y categorías de aplicación
que aparecen en cada gráfico en el menú desplegable Principal.
Haga clic en el icono de envío para aplicar los ajustes seleccionados.
Informes y logs 151

Uso del centro de comando de aplicación Informes y logs
Uso del ACC (Continuación)
Paso 2 Para abrir páginas de logs asociadas a la información en la página, utilice los enlaces de logs en la esquina inferior
derecha de la página, como se muestra a continuación. El contexto de los logs coincide con la información que
aparece en la página.
Paso 3 Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregará ese elemento a la barra de
filtrado ubicada sobre los nombres de columna de log. Después de agregar los filtros deseados, haga clic en el
icono Aplicar filtro.
152 Informes y logs

Informes y logs Uso de Appscope
Uso de Appscope
Los informes de Appscope introducen herramientas de análisis y visibilidad para ayudar a localizar
comportamientos problemáticos, ayudándole a comprender los siguientes aspectos de su red:
 Cambios en el uso de la aplicación y la actividad del usuario
 Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
 Amenazas de red
Con los informes de Appscope (Supervisar >Appscope), puede comprobar rápidamente si algún
comportamiento es inusual o inesperado. Cada informe proporciona una ventana dinámica y personalizable por
el usuario en la red; al pasar el ratón por encima y hacer clic en las líneas y barras de los gráficos, se abre
información detallada acerca de la aplicación específica, categoría de la aplicación, usuario u origen del ACC.
Los siguientes informes de Appscope están disponibles:
 Informe de resumen
 Informe del supervisor de cambios
 Informe del supervisor de amenazas
 Informe del supervisor de red
 Informe del mapa de tráfico
Informes y logs 153

Uso de Appscope Informes y logs
Informe de resumen
El informe Resumen muestra gráficos de los cinco principales ganadores, perdedores, aplicaciones de consumo
de ancho de banda, categorías de aplicación, usuarios y orígenes.
Informe del supervisor de cambios
El informe del supervisor de cambios muestra cambios realizados en un período de tiempo específico. Por
ejemplo, el siguiente gráfico muestra las principales aplicaciones adquiridas en la última hora en comparación
con el último período de 24 horas. Las principales aplicaciones se determinan por el recuento de sesiones y se
ordenan por porcentajes.
154 Informes y logs

El informe del supervisor de cambios contiene los siguientes botones y opciones.

Elemento del informe del supervisor de Descripción del elemento
cambios
Barra superior
Determina el número de registros con la mayor medición incluidos en

el gráfico.
Determina el tipo de elemento indicado: Aplicación, Categoría de

aplicación, Origen o Destino.
Muestra mediciones de elementos que han ascendido durante el

período de medición.
Muestra mediciones de elementos que han descendido durante el

Muestra mediciones de elementos que se han agregado durante el

Muestra mediciones de elementos que se han suspendido durante el

Informes y logs 155

Elemento del informe del supervisor de Descripción del elemento

cambios
Aplica un filtro para mostrar únicamente el elemento seleccionado.

Ninguno muestra todas las entradas.
Determina si mostrar información de sesión o byte.
Determina si ordenar entradas por porcentajes o incremento bruto.
Barra inferior
Especifica el período durante el que se realizaron las mediciones de

cambio.
Informe del supervisor de amenazas
El informe del supervisor de amenazas muestra un recuento de las principales amenazas durante el período de
tiempo seleccionado. Por ejemplo, la siguiente ilustración muestra los 10 principales tipos de amenaza en las
últimas 6 horas.
156 Informes y logs

Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del
supervisor de amenazas contiene los siguientes botones y opciones.
Botón del informe del supervisor de Descripción del botón
amenazas
Barra superior

el gráfico.
Determina el tipo de elemento medido: Amenaza, Categoría de

amenaza, Origen o Destino.
Aplica un filtro para mostrar únicamente el tipo de elemento

seleccionado.
Determina si la información se presenta en un gráfico de columna

apilado o un gráfico de área apilado.
Barra inferior
Especifica el período durante el que se realizaron las mediciones.
Informe del mapa de amenazas
El informe del mapa de amenazas muestra una vista geográfica de amenazas, incluyendo la gravedad. Cada tipo
de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico.
Informes y logs 157

Haga clic en un país en el mapa para acercarlo. Haga clic en el botón Alejar en la esquina inferior derecha de la
pantalla para alejar. El informe del mapa de amenazas contiene los siguientes botones y opciones.
Botón del informe del mapa de amenazas Descripción del botón
Barra superior

el gráfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Aplica un filtro para mostrar únicamente el tipo de elemento

seleccionado.
Barra inferior
Indica el período durante el que se realizaron las mediciones.
Informe del supervisor de red
El informe del supervisor de red muestra el ancho de banda dedicado a diferentes funciones de red durante el
período de tiempo especificado. Cada función de red está indicada con colores como se indica en la leyenda
debajo del gráfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicación en los 7 últimos
días basándose en la información de sesión.
158 Informes y logs

El informe del supervisor de red contiene los siguientes botones y opciones.

Botón del informe del supervisor de red Descripción del botón
Barra superior
el gráfico.
Determina el tipo de elemento indicado: Aplicación, Categoría de

aplicación, Origen o Destino.
Aplica un filtro para mostrar únicamente el elemento seleccionado.

Ninguno muestra todas las entradas.
Determina si la información se presenta en un gráfico de columna

apilado o un gráfico de área apilado.
Barra inferior
Indica el período durante el que se realizaron las mediciones de
cambio.
Informe del mapa de tráfico

El informe del mapa de tráfico muestra una vista geográfica de los flujos de tráfico según las sesiones o los
flujos.
Informes y logs 159

Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del
mapa de tráfico contiene los siguientes botones y opciones.
Botones del informe del mapa de tráfico Descripción del botón
Barra superior

el gráfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Barra inferior
Indica el período durante el que se realizaron las mediciones de

cambio.
Visualización de la información del sistema
Seleccione Supervisar > Explorador de sesión para examinar y filtrar las sesiones actuales del cortafuegos. Para
obtener información acerca de las opciones de filtrado en esta página, consulte Visualización de la información
del sistema.
160 Informes y logs

Informes y logs Realización de capturas de paquetes
Realización de capturas de paquetes

PAN-OS admite capturas de paquetes para la resolución de problemas o la detección de aplicaciones
desconocidas. Puede definir filtros de modo que solo se capturen los paquetes que coinciden con los filtros. Las
capturas de paquetes se almacenan de forma local en el dispositivo y están disponibles para su descarga en su
equipo local.
Captura de paquetes está destinado exclusivamente a la resolución de problemas. Esta función

puede hacer que el rendimiento del sistema disminuya y solo debe usarse en caso necesario.
Recuerde deshabilitar la función después de finalizar la captura de paquetes.
La tabla siguiente describe la configuración de la captura de paquetes en Supervisar > Captura de paquetes.
Campo Configuración de Descripción
captura de paquetes
Configurar filtrado
Gestionar filtros Haga clic en Gestionar filtros, haga clic en Añadir para agregar un nuevo filtro y
especifique la siguiente información:
• Id: Introduzca o seleccione un identificador para el filtro.
• Interfaz de entrada: Seleccione la interfaz del cortafuegos.
• Origen: Especifique la dirección IP de origen.
• Destino: Especifique la dirección IP de destino.
• Puerto de origen: Especifique el puerto de origen.
• Puerto de destino: Especifique el puerto de destino.
• Proto: Especifique el protocolo para filtrar.
• Sin Ip: Seleccione cómo tratar el tráfico sin IP (excluir todo el tráfico IP, incluir todo
el tráfico IP, incluir solo tráfico IP o no incluir un filtro de IP).
• IPv6: Seleccione la casilla de verificación para incluir paquetes de IPv6 en el filtro.
Filtrado Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la coincidencia Haga clic para alternar la opción activar o desactivar anterior a la coincidencia.
La opción anterior a la coincidencia se agrega para fines de resolución de problemas
avanzada. Cuando un paquete introduce el puerto de entrada (ingress), avanza a través
de varios pasos de procesamiento antes de analizar coincidencias en contra de filtros
preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de filtrado. Eso puede
ocurrir, por ejemplo, si falla una búsqueda de ruta.
Establezca la configuración anterior a la coincidencia como Activada para emular una
coincidencia positiva de cada paquete entrando en el sistema. Eso permite al
cortafuegos capturar incluso los paquetes que no alcanzan el proceso de filtrado. Si un
paquete puede alcanzar la etapa de filtrado, se procesará de acuerdo con la
configuración del filtro y se descartará si no consigue cumplir los criterios de filtrado.
Informes y logs 161

Realización de capturas de paquetes Informes y logs
Campo Configuración de Descripción

captura de paquetes
Configurar captura
Captura de paquetes Haga clic para alternar activar o desactivar capturas de paquetes.
Para los perfiles de antispyware y protección contra vulnerabilidades, puede habilitar
capturas de paquetes extendidas para reglas y excepciones definidas en el perfil. Esta
funcionalidad permite al cortafuegos capturar de 1 a 50 paquetes y proporciona más
contexto al analizar los logs de amenaza.
Para definir la longitud de captura de paquetes extendida:
1. Seleccione Dispositivo > Configuración > Content-ID.
2. Edite la sección Configuración de detección de amenaza para especificar la
Longitud de captura para el número de paquetes que debe capturarse.
3. Visualice la captura de paquetes en Supervisar > Logs > Amenaza.

Localice la entrada de log de amenaza y haga clic en el icono de flecha verde
(Captura de paquetes) en la fila correspondiente para ver la captura.
Fase de captura de Haga clic en Añadir y especifique lo siguiente:
paquetes
• Etapa: Indique el punto en el que capturar el paquete:
• Desplegar: Cuando el procesamiento de paquetes encuentra un error y el paquete
no se puede desplegar.
• Cortafuegos: Cuando el paquete tiene una coincidencia de sesión o se crea un
primer paquete con una sesión correctamente.
• Recibir: Cuando se recibe el paquete en el procesador de plano de datos.
• Transmitir: Cuando se transmite el paquete en el procesador de plano de datos.
• Archivo: Especifica el nombre del archivo de captura. El nombre del archivo debe
comenzar por una letra y puede incluir letras, dígitos, puntos, guiones bajos o
guiones.
• Recuento de paquetes: Especifica el número de paquetes después del que se
detiene la captura.
• Recuento de bytes: Especifica el número de bytes después del que se detiene la
captura.
Archivos capturados
Archivos capturados Seleccione Eliminar para quitar un archivo de captura de paquetes desde la lista donde
se muestran los archivos capturados.
Configuración
Borrar toda la Seleccione Borrar toda la configuración para borrar completamente la configuración
configuración de captura de paquetes.
162 Informes y logs

Informes y logs Supervisión del cortafuegos
Supervisión del cortafuegos

Las siguientes secciones describen los métodos que puede usar para supervisar el cortafuegos y ofrecer
instrucciones de configuración básicas.
 Supervisión de aplicaciones y amenazas
 Visualización de datos de logs locales
 Reenvío de logs a servicios externos
 Configuración del cortafuegos para autenticarlo con el servidor Syslog
También puede configurar el cortafuegos (excepto los cortafuegos de la serie PA-4000) para que
exporte los datos de flujo a un recopilador de flujo de red que elabore análisis e informes. Para
configurar los ajustes de NetFlow, consulte PAN-OS-6.0 Web Interface Reference Guide (en
inglés).
Supervisión de aplicaciones y amenazas
Todos los cortafuegos de próxima generación de Palo Alto Networks están equipados con la tecnología App-ID,
que identifica las aplicaciones que cruzan su red, independientemente del protocolo, cifrado o táctica de evasión.
Después puede supervisar las aplicaciones desde el Centro de comando de aplicación (ACC). ACC resume
gráficamente la base de datos de logs para resaltar las aplicaciones que cruzan su red, quién las usa y su posible
impacto en la seguridad. ACC se actualiza de forma dinámica de acuerdo con la clasificación de tráfico continua
que App-ID realiza; si una aplicación cambia de puerto o comportamiento, App-ID continúa observando el
tráfico, mostrando los resultados en ACC.
Puede investigar rápidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo
clic que muestra una descripción de la aplicación, sus características clave, sus características de comportamiento
y quién la usa. La visibilidad adicional de categorías de URL, amenazas y datos ofrece una perspectiva completa
de la actividad de la red. Con ACC, puede obtener información rápidamente acerca del tráfico que cruza su red
y traducir la información a una política de seguridad con más información.
Informes y logs 163

Supervisión del cortafuegos Informes y logs
Visualización de datos de logs locales
Todos los cortafuegos de próxima generación de Palo Alto Networks pueden generar logs que ofrecen un
seguimiento auditado de las actividades y eventos del cortafuegos. Hay diversos logs para distintos tipos de
actividades y eventos. Por ejemplo, los logs de amenaza registran todo el tráfico que genera una alarma de
seguridad en el cortafuegos, mientras que los registros de filtrado de URL registran todo el tráfico que coincide
con un perfil de filtrado de URL asociado a una política de seguridad, y los logs de configuración registran todos
los cambios en la configuración del cortafuegos.
Hay varias formas de ver los datos de log en el cortafuegos local:
 Visualización de los archivos log
 Visualización de los datos de log en el panel
 Visualización de informes
Visualización de los archivos log
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas, flujos de tráfico,
amenazas, filtrado de URL, filtrado de datos y Perfil de información de host (HIP). Puede visualizar los logs
actuales en cualquier momento. Para ubicar entradas específicas, puede aplicar filtros a la mayoría de los campos
de log.
El cortafuegos muestra la información en logs por lo que se respetan los permisos de

administración basado en función. Cuando muestra logs, solo se incluye la información de cuyo
permiso dispone. Para obtener información acerca de los permisos de administrador, consulte
Funciones administrativas.
De forma predefinida, todos los archivos log se generan y guardan de forma local en el cortafuegos. Puede ver
estos archivos log directamente (Supervisar > Logs):
164 Informes y logs

Para mostrar detalles adicionales, haga clic en el icono de catalejo de una entrada.
Informes y logs 165

La siguiente tabla incluye información sobre cada tipo de log:

Gráficos de Descripción
descripciones del log
Tráfico Muestra una entrada para el inicio y el final de cada sesión. Cada entrada incluye la fecha
y hora, las zonas de origen y destino, las direcciones, los puertos, el nombre de la
aplicación, el nombre de la regla de seguridad aplicada al flujo, la acción de la regla
(permitir, denegar o desplegar), la interfaz de entrada (ingress) y salida (egress) y el
número de bytes.
Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión,
como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el
valor Recuento será superior a uno).
La columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha
denegado o descartado la sesión. Un descarte indica que la regla de seguridad que ha
bloqueado el tráfico ha especificado una aplicación cualquiera, mientras que
denegación indica que la regla ha identificado una aplicación específica.
Si se descarta el tráfico antes de identificar la aplicación, como cuando una regla descarta
todo el tráfico para un servicio específico, la aplicación aparece como no aplicable.
Amenaza Muestra una entrada cuando el tráfico coincide con un perfil de seguridad (Antivirus,
Antispyware, Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o
Protección DoS) que se haya adjuntado a una política de seguridad del cortafuegos.
Cada entrada incluye la fecha y hora, un nombre de amenaza o URL, las zonas de origen
y destino, direcciones, puertos, el nombre de aplicación y la acción de alarma (permitir
o bloquear) y la gravedad.
Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza,
como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y
destino (el valor Recuento será superior a uno).
La columna Tipo indica el tipo de amenaza, como “virus” o “spyware”. La columna
Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría
de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL.
Si las capturas de paquetes locales están activadas, haga clic en junto a una entrada
para acceder a los paquetes capturados. Para habilitar capturas de paquetes locales,
consulte Realización de capturas de paquetes.
Filtrado de URL Muestra logs para todo el tráfico que coincide con un perfil de filtrado de URL
adjuntado a una política de seguridad. Por ejemplo, si la política bloquea el acceso a sitios
web y categorías de sitios web específicos o si la política está configurada para generar
una alerta cuando se acceda a un sitio web. Para obtener información sobre cómo
definir perfiles de filtrado de URL, consulte Filtrado de URL.
Envíos de WildFire Muestra logs de archivos que ha cargado y analizado la nube de WildFire; los datos de
logs se reenvían al dispositivo después del análisis junto con los resultados del análisis.
166 Informes y logs

Gráficos de Descripción
descripciones del log
Filtrado de datos Muestra logs para las políticas de seguridad que ayudan a evitar que informaciones
confidenciales como números de tarjetas de crédito o de la seguridad social abandonen
el área protegida por el cortafuegos. Consulte Configuración de filtrado de datos para
obtener información sobre cómo definir perfiles de filtrado de datos.
Este log también muestra información de perfiles de bloqueo de archivos. Por ejemplo,
si está bloqueando archivos .exe, el log le mostrará los archivos que estaban bloqueados.
Si reenvía archivos a WildFire, podrá ver los resultados de dicha acción. En este caso, si
reenvía archivos PE a WildFire, por ejemplo, el log mostrará que el archivo fue
reenviado y también el estado para saber si se cargó correctamente en WildFire.
Configuración Muestra una entrada para cada cambio de configuración. Cada entrada incluye la fecha
y hora, el nombre de usuario del administrador, la dirección IP desde la cual se ha
realizado el cambio, el tipo de cliente (XML, Web o CLI), el tipo de comando ejecutado,
si el comando se ha ejecutado correctamente o ha fallado, la ruta de configuración y los
valores anteriores y posteriores al cambio.
Sistema Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha y hora,
la gravedad del evento y una descripción del evento.
Coincidencias HIP Muestra los flujos de tráfico que coinciden con un Objeto HIP o Perfil HIP que haya
configurado.
Cada página de log cuenta con una área de filtro en la parte superior de la página.
Informes y logs 167

Utilice la área de filtro de la siguiente forma:
 Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una
opción de filtro de logs. Por ejemplo, si hace clic en el enlace Host en la entrada de log de 10.0.0.252 y
Explorador web, se agregarán ambos elementos y la búsqueda encontrará entradas que coinciden con ambos
(búsqueda Y).
 Para definir otros criterios de búsqueda, haga clic en Añadir filtro de log. Seleccione el tipo de búsqueda (y/o),
el atributo a incluir en la búsqueda, el operador asociado y los valores de la coincidencia, si es necesario. Haga
clic en Añadir para agregar el criterio al área de filtro en la página de log, luego haga clic en Cerrar para cerrar
la ventana emergente. Haga clic en Aplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha definido
en la ventana emergente Expresión. Cada uno se agrega como una entrada en la línea Filtro de
la página de log. Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos,
algunos enlaces de la página en el visor de logs podrían no mostrar resultados ya que el número
de páginas puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada.
 Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en Borrar filtro.
 Para guardar sus selecciones como un nuevo filtro, haga clic en Guardar filtro, introduzca un nombre para el
filtro y haga clic en ACEPTAR.
 Para exportar la lista actual de logs (como se muestra en la página, incluyendo cualquier filtro aplicado), haga
clic en Guardar filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación
si desea continuar utilizando la misma opción. Haga clic en ACEPTAR.
 Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a CSV. De manera
predeterminada, la exportación de la lista de logs al formato CSV genera un informe CSV con hasta
2.000 filas de logs. Para cambiar el límite de filas mostradas en informes CSV, utilice el campo Máx. de filas
en exportación CSV en la subficha Exportación e informes de logs (seleccione Dispositivo > Configuración >
Gestión > Configuración de log e informes).
Para cambiar el intervalo de actualización automática, seleccione un intervalo de la lista desplegable (1 min,
30 segundos, 10 segundos o Manual).
Para cambiar el número de entradas de logs por página, seleccione el número de filas en el menú desplegable
Filas.
Las entradas de logs se recuperan en bloques de 10 páginas. Utilice los controles de página en la parte inferior
de la página para navegar por la lista de logs. Seleccione la casilla de verificación Resolver nombre de host para
iniciar la resolución de direcciones IP externas en nombres de dominio.
168 Informes y logs

Visualización de los datos de log en el panel
También puede supervisar los datos de log locales directamente desde el panel añadiendo los widgets asociados:
Visualización de informes
El cortafuegos también usa datos del log para generar informes (Supervisar > Informes) que muestran los datos
del log en forma de gráfico o tabla. Consulte Acerca de los informes para obtener información más detallada
sobre los informes predefinido y personalizados disponibles en el cortafuegos.
Informes y logs 169

Reenvío de logs a servicios externos
Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante
eventos críticos que requieran su atención, o puede que tenga políticas que requieran que archive los datos
durante más tiempo del que pueden ser almacenados en el cortafuegos. En estos casos, deseará enviar sus datos
de logs a un servicio externo para su archivo, notificación o análisis.
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
 Configurar el cortafuegos para que acceda a los servicios remotos que recibirán los logs. Consulte
Definición de destinos de logs remotos.
 Configurar cada tipo de log para reenvío. Consulte Habilitación del reenvío de logs.
Definición de destinos de logs remotos
Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el cortafuegos debe
conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el cortafuegos, puede definir
esta información en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que
desee que interactúe el cortafuegos. El tipo de destino de log que necesita configurar y qué logs se reenvían
dependerá de sus necesidades. Algunas situaciones frecuentes de reenvío de logs son:
 Para una notificación inmediata de amenazas o eventos críticos del sistema que requieren su atención, puede
generar traps SNMP o enviar alertas de correo electrónico. Consulte Configuración de alertas de correo
electrónico y/o Configuración de los destinos de Trap SNMP.
 Para el almacenamiento a largo plazo y el archivo de datos y para la supervisión centralizada de dispositivos,
puede enviar los datos de logs a un servidor Syslog. Consulte Definición de servidores Syslog. Esto permite
la integración con herramientas de supervisión de seguridad de terceros, como Splunk! o ArcSight.
 Para añadir y elaborar informes de datos de logs de cortafuegos de Palo Alto Networks, puede reenviar los
logs a un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Habilitación del
reenvío de logs.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de tráfico a un servidor Syslog y logs de sistema a uno diferente. También puede incluir varias entradas de
servidor en un único perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
De forma predeterminada, todos los datos de logs se reenvían a través de la interfaz de gestión.
Si pretende usar una interfaz que no sea de gestión, deberá configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el paso 5 del procedimiento para
Establecimiento de acceso a la red para servicios externos.
170 Informes y logs

Configuración de alertas de correo electrónico
Configuración de alertas de correo electrónico
Paso 1 Cree un perfil de servidor para su 1. Seleccione Dispositivo > Perfiles de servidor > Correo
servidor de correo electrónico. electrónico.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre
para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada de servidor
de correo electrónico e introduzca la información necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrónico (puede añadir hasta cuatro servidores de correo
electrónico al perfil):
• Servidor: Nombre para identificar el servidor de correo
electrónico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
• Mostrar nombre: El nombre que aparecerá en el campo De
del correo electrónico.
• De: La dirección de correo electrónico desde la que se
enviarán las notificaciones de correo electrónico.
• Para: La dirección de correo electrónico a la que se enviarán
las notificaciones de correo electrónico.
• Destinatario adicional: Si desea que las notificaciones se
envíen a una segunda cuenta, introduzca la dirección
adicional aquí. Solo puede añadir un destinatario adicional.
Para añadir varios destinatarios, añada la dirección de correo
electrónico de una lista de distribución.
• Puerta de enlace: La dirección IP o el nombre de host de la
puerta de enlace SMTP que se usará para enviar los mensajes
de correo electrónico.
5. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 2 (Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea más
mensajes de correo electrónico que envía información sobre cómo crear formatos personalizados para los
el cortafuegos. distintos tipos de log, consulte Common Event Format
Configuration Guide (Guía de configuración de formato de eventos
comunes).
Paso 3 Guarde el perfil de servidor y confirme 1. Haga clic en Aceptar para guardar el perfil.
los cambios. 2. Haga clic en Confirmar para guardar los cambios en la
configuración actual.
Informes y logs 171

Configuración de los destinos de Trap SNMP
SNMP (Protocolo simple de administración de redes) es un servicio estándar para la supervisión de los
dispositivos de su red. Puede configurar su cortafuegos para enviar traps SNMP a su software de gestión de
SNMP para alertarle de amenazas o eventos críticos del sistema que requieran su atención inmediata.
También puede usar SNMP para supervisar el cortafuegos. En este caso, su gestor de SNMP
debe estar configurado para obtener estadísticas del cortafuegos en lugar de (o además de)
hacer que el cortafuegos envíe traps al gestor. Para obtener más información, consulte
Configuración del cortafuegos para autenticarlo con el servidor Syslog.
Configuración de los destinos de Trap SNMP
Paso 1 (Únicamente SNMP v3) Obtenga el ID Para conocer el ID de motor del cortafuegos, deberá configurar el
de motor para el cortafuegos. cortafuegos para SNMP v3 y enviar un mensaje GET desde el gestor
Nota En muchos casos, el explorador de MIB o de SNMP o el explorador de MIB de la manera siguiente:
el gestor de SNMP detectará 1. Habilite la interfaz para permitir solicitudes SNMP entrantes:
automáticamente el ID de motor tras una • Si va a recibir mensajes SNMP GET en la interfaz de gestión,
conexión correcta al agente de SNMP del seleccione Dispositivo > Configuración > Gestión y haga clic
cortafuegos. Normalmente encontrará en el icono Editar que hay en la sección Configuración de
esta información en la sección de interfaz de gestión de la pantalla. En la sección Servicios,
configuración del agente de la interfaz. seleccione la casilla de verificación SNMP y haga clic en
Consulte la documentación de su Aceptar.
producto específico para obtener
• Si va a recibir mensajes SNMP GET en una interfaz distinta,
instrucciones sobre cómo encontrar la
deberá asociar un perfil de gestión a la interfaz y habilitar la
información del agente.
gestión de SNMP.
2. Configure el cortafuegos para SNMP v3 como se describe en el
Paso 2 en Configuración de la supervisión de SNMP. Si no
configura el cortafuegos para SNMP v3, su explorador de MIB
no le permitirá obtener el ID de motor.
3. Conecte su explorador de MIB o gestor de SNMP al
cortafuegos y ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El
valor devuelto es el ID de motor exclusivo del cortafuegos.
172 Informes y logs

Configuración de los destinos de Trap SNMP (Continuación)
Paso 2 Cree un perfil de servidor que contenga la información para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el menú desplegable Ubicación.
4. Especifique la versión de SNMP que está usando (V2c o V3).
5. Haga clic en Añadir para añadir una nueva entrada de receptor de trap SNMP (puede añadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si está usando SNMP V2c
o V3, como se explica a continuación:
SNMP V2c
• Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
• Gestor: Dirección IP del gestor de SNMP al que desea enviar traps.
• Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
• Servidor : nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
• Gestor: Dirección IP del gestor de SNMP al que desea enviar traps.
• Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
• EngineID: ID de motor del cortafuegos, según se ha identificado en el Paso 1. Es un valor hexadecimal de
entre 5 y 64 bytes con un prefijo 0x. Cada cortafuegos tiene un ID de motor único.
• Contraseña de autenticación: Contraseña que se usará para los mensajes de nivel authNoPriv para el
gestor de SNMP. Esta contraseña contará con un algoritmo hash de seguridad (SHA-1), pero no estará
cifrada.
• Contraseña priv.: Contraseña que se usará para los mensajes de nivel authPriv para el gestor de SNMP.
Esta contraseña tendrá un algoritmo hash SHA y estará cifrada con el estándar de cifrado avanzado
(AES 128).
Paso 3 (Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envían a través de la
para traps SNMP. interfaz de gestión. Si desea utilizar una interfaz diferente para traps
SNMP, deberá editar la ruta de servicio para permitir que el
cortafuegos acceda a su gestor de SNMP. Consulte Establecimiento
de acceso a la red para servicios externos para obtener instrucciones.
Paso 4 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta
90 segundos en guardar sus cambios.
Paso 5 Habilite el gestor de SNMP para que Cargue los archivos MIB de PAN-OS en su software de gestión de
interprete las traps que recibe del SNMP y compílelos. Consulte las instrucciones específicas para
cortafuegos. realizar este proceso en la documentación de su gestor de SNMP.
Informes y logs 173

Definición de servidores Syslog
Syslog es un mecanismo de transporte de logs estándar que permite añadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, cortafuegos o impresoras, de diferentes proveedores a un
repositorio central para su archivo y análisis, así como para elaborar informes.
El cortafuegos genera cinco tipos de logs que pueden reenviarse a un servidor Syslog externo: tráfico, amenaza,
WildFire, coincidencia del perfil de información de host (HIP), configuración y sistema. Si quiere reenviar todos
o algunos de estos logs a un servicio externo para un almacenamiento y un análisis a largo plazo, puede utilizar
TCP o SSL para un transporte fiable y seguro de logs, o UDP para un transporte no seguro.
Configuración del reenvío de Syslog

Paso 1 Cree un perfil de servidor que contenga 1. Seleccione Dispositivo > Perfiles de servidor > Syslog.
la información para conectarse a los 2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el
servidores Syslog. perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el
menú desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva entrada del servidor Syslog
e introduzca la información necesaria para conectar con el servidor
Syslog (puede añadir hasta cuatro servidores Syslog al mismo perfil):
• Nombre: Nombre exclusivo para el perfil de servidor.
• Servidor: Dirección IP o nombre de dominio completo (FQDN)
del servidor Syslog.
• Transporte: Seleccione TCP, UDP o SSL como el método de
comunicación con el servidor Syslog.
• Puerto: Número de puerto por el que se enviarán mensajes de
Syslog (el valor predeterminado es UDP en el puerto 514); debe
usar el mismo número de puerto en el cortafuegos y en el servidor
Syslog.
• Formato: Seleccione el formato de mensaje de Syslog que se debe
utilizar, BSD o IETF. Tradicionalmente, el formato BSD es a través
de UDP y el formato IETF es a través de TCP/SSL. Para
configurar el reenvío de Syslog seguro con la autenticación de
cliente, consulte Configuración del cortafuegos para autenticarlo
con el servidor Syslog.
• Instalaciones: Seleccione uno de los valores de Syslog estándar,
que se usa para calcular el campo de prioridad (PRI) en la
implementación de su servidor Syslog. Debe seleccionar el valor
que asigna cómo usa el campo PRI para gestionar sus mensajes de
Syslog.
5. (Opcional) Para personalizar el formato de los mensajes de Syslog que
envía el cortafuegos, seleccione la pestaña Formato de log
personalizado. Si desea más información sobre cómo crear formatos
personalizados para los distintos tipos de log, consulte Common
Event Format Configuration Guide (Guía de configuración de
formato de eventos comunes).
174 Informes y logs

Configuración del reenvío de Syslog (Continuación)

Paso 2 (Opcional) Configure el formato de 1. Seleccione Dispositivo > Configuración > Gestión y haga clic en el
encabezado utilizado en los mensajes de icono Editar de la sección Configuración de log e informes.
Syslog. La selección del formato de 2. Seleccione Exportación e informes de logs.
encabezado ofrece más flexibilidad para
3. Seleccione una de las siguientes opciones en el menú desplegable
filtrar y crear informes sobre los datos de
Enviar nombre de host en Syslog:
log para algunos SIEM.
• FQDN: (Valor predeterminado) Concatena el nombre de host y el
nombre de dominio definidos en el dispositivo de envío.
• Nombre de host: Utiliza el nombre de host definido en el
dispositivo de envío.
• Dirección IPv4: Utiliza la dirección IPv4 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada,
esta es la interfaz de gestión del dispositivo.
• Dirección IPv6: Utiliza la dirección IPv6 de la interfaz utilizada
para enviar logs en el dispositivo. De manera predeterminada,
esta es la interfaz de gestión del dispositivo.
• Ninguno: Deja el campo Nombre de host sin configurar en el
Nota Se trata de una configuración global y se dispositivo. No hay ningún identificador para el dispositivo que
aplica a todos los perfiles de servidores envía los logs.
Syslog configurados en el dispositivo.
Paso 3 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90 segundos en
guardar sus cambios.
Paso 4 Habilite el reenvío de logs. Consulte Habilitación del reenvío de logs.

Debe configurar cada tipo de log para el reenvío y especificar la gravedad
para la que se registrará el evento.
Nota Los logs de WildFire son un tipo de log de amenaza, pero no se
registran y reenvían junto con los logs de amenaza. Si bien los logs
de WildFire utilizan el mismo formato de Syslog que los logs de
amenaza, el subtipo de amenaza está predefinido como WildFire.
Por lo tanto, debe habilitar el registro/reenvío para logs de
WildFire de manera distinta a la de los logs de amenaza.
Paso 5 Revise los logs del servidor Syslog. Para analizar los logs, consulte Análisis de la descripción de campos en
logs.
Configuración del cortafuegos para autenticarlo con el servidor Syslog
Para habilitar la autenticación de cliente para Syslog a través de SSL, puede utilizar una CA de confianza o una
CA de firma automática para generar certificados que puedan utilizarse para una comunicación Syslog segura.
Compruebe lo siguiente al generar un certificado para una comunicación Syslog segura:
 La clave privada debe estar disponible en el dispositivo de envío; las claves no pueden almacenarse en un
módulo de seguridad de hardware (HSM).
Informes y logs 175

 El sujeto y el emisor del certificado no deben ser idénticos.
 El certificado no es una CA de confianza ni una solicitud de firma de certificado (CSR). Ninguno de estos
tipos de certificados puede habilitarse para una comunicación Syslog segura.
Configuración del cortafuegos para autenticarlo con el servidor Syslog
Paso 1 Si el servidor Syslog requiere Para verificar que el dispositivo de envío está autorizado para
autenticación de cliente, genere el comunicarse con el servidor Syslog, debe habilitar lo siguiente:
certificado para la comunicación • El servidor y el dispositivo de envío deben tener certificados
segura. Si desea información detallada firmados por la CA de empresa; también puede generar un
sobre certificados, consulte Gestión certificado autofirmado en el cortafuegos, exportar el certificado de
de certificados. CA raíz desde el cortafuegos e importarlo en el servidor Syslog.
• Utilice la CA de empresa o el certificado autofirmado para generar
un certificado con la dirección IP del dispositivo de envío (como
Nombre común) y habilitado para su uso en una comunicación
Syslog segura. El servidor Syslog utiliza este certificado para verificar
que el cortafuegos está autorizado para comunicarse con el servidor
Syslog.
Realice los siguientes pasos para generar el certificado en el
cortafuegos o en Panorama:
1. Seleccione Dispositivo > Gestión de certificados > Certificados >
Certificados de dispositivos.
2. Haga clic en Generar para crear un nuevo certificado que estará
firmado por una CA de confianza o la CA autofirmada.
3. Introduzca un Nombre para el certificado.
4. En Nombre común, introduzca la dirección IP del dispositivo que
enviará logs al servidor Syslog.
5. Seleccione Compartido si desea que el certificado sea de tipo
compartido en Panorama o en todos los sistemas virtuales en un
cortafuegos de sistema virtual múltiple.
6. En Firmado por, seleccione la CA de confianza o la CA
autofirmada que sea de confianza para el servidor Syslog y el
dispositivo de envío.
7. Haga clic en Generar. Se generarán el certificado y el par de claves.
8. Haga clic en el enlace con el nombre del certificado y active la
opción para obtener acceso seguro al servidor
Syslog.
10. Verifique los detalles del certificado y que esté marcado para Uso
como Certificado para Syslog seguro.
176 Informes y logs

Habilitación del reenvío de logs
Una vez creados los perfiles de servidor que definen dónde se envían sus logs, debe habilitar el reenvío de logs.
Para cada tipo de log, puede especificar si se reenvía a Syslog, correo electrónico, receptor de traps SNMP o
Panorama.
Antes de poder reenviar archivos log a un gestor de Panorama o a un recopilador de logs de

Panorama, el cortafuegos debe estar configurado como un dispositivo gestionado. Entonces
podrá habilitar el reenvío de logs a Panorama para cada tipo de log. Para logs reenviados a
Panorama, tiene a su disposición la compatibilidad con el reenvío centralizado de logs a un
servidor Syslog externo.
La forma de habilitar el reenvío depende del tipo de log:
 Logs de tráfico: Habilita el reenvío de logs de tráfico creando un perfil de reenvío de logs (Objetos > Reenvío
de logs) y añadiéndolo a las políticas de seguridad que desea que activen el reenvío de logs. Solo el tráfico que
coincida con una regla específica dentro de la política de seguridad será registrado y enviado.
 Logs de amenaza: Habilita el reenvío de logs de amenaza creando un perfil de reenvío de logs (Objetos >
Reenvío de logs) que especifique qué niveles de seguridad desea reenviar y, a continuación, añadiéndolo a las
políticas de seguridad para las que desea activar el reenvío de logs. Solo se creará (y enviará) una entrada de
log de amenaza si el tráfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware,
Vulnerabilidad, Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Protección DoS). La siguiente tabla
resume los niveles de gravedad de las amenazas:
Gravedad Descripción
Crítico Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software
ampliamente implementado, que comprometen profundamente los servidores y dejan el
código de explotación al alcance de los atacantes. El atacante no suele necesitar ningún tipo
de credenciales de autenticación o conocimientos acerca de las víctimas y el objetivo no
necesita ser manipulado para que realice ninguna función especial.
Alto Amenazas que tienen la habilidad de convertirse en críticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difíciles de explotar, no conceder privilegios elevados o
no tener un gran grupo de víctimas.
Medio Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante esté en la misma
LAN que la víctima, afectan solo a configuraciones no estándar o aplicaciones oscuras u
ofrecen acceso muy limitado. Además, las entradas de log de Presentaciones de WildFire con
un veredicto de software malintencionado se registran como amenazas de nivel medio.
Bajo Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de la
organización. Suelen requerir acceso local o físico al sistema y con frecuencia suelen
ocasionar problemas en la privacidad de las víctimas, problemas de DoS y fugas de
información. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podría haber problemas más serios. Las entradas de logs de filtrado de URL y las
entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran como
informativas.
Informes y logs 177

 Logs de configuración: Habilita el reenvío de logs de configuración especificando un perfil de servidor en

la configuración de ajustes de log. (Dispositivo > Configuración de log > Logs de configuración).
 Logs de sistema: Habilita el reenvío de logs de sistema especificando un perfil de servidor en la

configuración de ajustes de log. (Dispositivo > Configuración de log > Logs de sistema). Debe seleccionar un
perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de
sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente
tabla resume los niveles de gravedad de los logs de sistema:
Gravedad Descripción
Crítico Fallos de hardware, lo que incluye la conmutación por error de HA y los

fallos de enlaces.
Alto Problemas graves, incluidas las interrupciones en las conexiones con
dispositivos externos, como servidores Syslog y RADIUS.
Medio Notificaciones de nivel medio, como actualizaciones de paquetes de
antivirus.
Bajo Notificaciones de menor gravedad, como cambios de contraseña de
usuario.
Informativo Inicios de sesión/cierres de sesión, cambio de nombre o contraseña de
administrador, cualquier cambio de configuración y el resto de eventos no
cubiertos por los otros niveles de gravedad.
Supervisión del cortafuegos mediante SNMP
Todos los cortafuegos de Palo Alto Networks son compatibles con módulos de base de información de gestión
(MIB) de SNMP de red estándar, así como con módulos MIB empresariales privados. Puede configurar un
gestor de SNMP para recibir estadísticas del cortafuegos. Por ejemplo, puede configurar su gestor de SNMP
para que supervise las interfaces, sesiones activas, sesiones simultáneas, porcentajes de uso de sesión,
temperatura o tiempo de actividad en el cortafuegos.
Los cortafuegos de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es
compatible con las solicitudes SNMP SET.
Configuración de la supervisión de SNMP
Paso 1 Habilite la interfaz para permitir • Si va a recibir mensajes SNMP GET en la interfaz de gestión,
solicitudes SNMP entrantes: seleccione Dispositivo > Configuración > Gestión y haga clic en el
icono Editar que hay en la sección Configuración de interfaz de
gestión de la pantalla. En la sección Servicios, seleccione la casilla
de verificación SNMP y haga clic en Aceptar.
• Si va a recibir mensajes SNMP GET en una interfaz distinta,
deberá asociar un perfil de gestión a la interfaz y habilitar la gestión
de SNMP.
178 Informes y logs

Configuración de la supervisión de SNMP (Continuación)
Paso 2 Desde la interfaz web del cortafuegos, 1. Seleccione Dispositivo > Configuración > Operaciones >
configure los ajustes para permitir que el Configuración de SNMP.
agente de SNMP del cortafuegos 2. Especifique la ubicación física del cortafuegos y el nombre o
responda a las solicitudes GET entrantes dirección de correo electrónico de un contacto de gestión.
del gestor de SNMP.
3. Seleccione la versión SNMP y, a continuación, introduzca los
detalles de configuración de la siguiente forma (según la versión
SNMP que utilice) y, a continuación, haga clic en ACEPTAR:
• V2c: Introduzca la cadena de comunidad SNMP que
permitirá que el gestor de SNMP acceda al agente de SNMP
del cortafuegos. El valor predeterminado es público. Como
se trata de una cadena de comunidad ampliamente conocida,
es recomendable usar un valor que no se adivine tan
fácilmente.
• V3: Debe crear al menos una vista y un usuario para poder
utilizar SNMPv3. La vista especifica a qué información de
gestión tiene acceso el gestor. Si desea permitir el acceso a
toda la información de gestión, solamente tiene que
introducir el OID de nivel más alto de .1.3.6.1 y especificar la
opción como incluir (también puede crear vistas que
excluyan determinados objetos). Utilice 0xf0 como la
máscara. A continuación, cuando cree un usuario, seleccione
la vista que acaba de crear y especifique la contraseña de
autenticación y la contraseña privada.
La configuración de autenticación (la cadena de comunidad para
V2c o el nombre de usuario y las contraseñas para V3)
establecida en el cortafuegos debe coincidir con el valor
configurado en el gestor de SNMP.
5. Haga clic en Confirmar para guardar estos ajustes de SNMP.
Paso 3 Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestión de
las estadísticas del cortafuegos. SNMP y, si es necesario, compílelos. Consulte las instrucciones
específicas para realizar este proceso en la documentación de su
gestor de SNMP.
Paso 4 Identifique las estadísticas que desee Use un explorador de MIB para examinar los archivos MIB de
supervisar. PAN-OS y localizar los identificadores de objeto (OID) que se
corresponden con las estadísticas que desea supervisar. Por ejemplo,
imagínese que desea supervisar el porcentaje de uso de sesión del
cortafuegos. Usando un explorador de MIB verá que estas
estadísticas se corresponden con los OID
1.3.6.1.4.1.25461.2.1.2.3.1.0 de PAN-COMMON-MIB.
Paso 5 Configure el software de gestión de Consulte las instrucciones específicas para realizar este proceso en la
SNMP para que supervise los OID que le documentación de su gestor de SNMP.
interesan.
Informes y logs 179

Configuración de la supervisión de SNMP (Continuación)
Paso 6 Cuando haya terminado la configuración A continuación, un ejemplo de la apariencia de un gestor de SNMP
del cortafuegos y el gestor de SNMP al mostrar las estadísticas del porcentaje de uso de sesión en tiempo
podrá empezar a supervisar el real de un cortafuegos de la serie PA-500 supervisado:
cortafuegos desde su software de gestión
de SNMP.
180 Informes y logs

Informes y logs Gestión de informes
Gestión de informes
Las funciones de generación de informes del cortafuegos le permiten comprobar el estado de su red, validar sus
políticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estén protegidos y
sean productivos.
 Acerca de los informes
 Visualización de informes
 Deshabilitación de informes predefinidos
 Generación de informes personalizados
 Generación de informes de Botnet
 Gestión de informes de resumen en PDF
 Generación de informes de actividad del usuario/grupo
 Gestión de grupos de informes
 Programación de informes para entrega de correos electrónicos
Acerca de los informes
El cortafuegos incluye informes predefinidos que puede utilizar tal cual; asimismo, puede crear informes
personalizados que cubran sus necesidades en cuanto a datos específicos y tareas útiles o combinar informes
predefinidos y personalizados para compilar la información que necesita. El cortafuegos proporciona los
siguientes tipos de informes:
 Informes predefinidos: Le permiten ver un resumen rápido del tráfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categorías: Aplicaciones, Tráfico, Amenaza y Filtrado
de URL. Consulte Visualización de informes.
 Informes de actividad de usuario o grupo: Le permiten programar o crear un informe a petición sobre
el uso de la aplicación y la actividad de URL para un usuario específico o para un grupo de usuarios; el
informe incluye las categorías de URL y un cálculo del tiempo de exploración estimado para usuarios
individuales. Consulte Generación de informes de actividad del usuario/grupo.
 Informes personalizados: Cree y programe informes personalizados que muestren exactamente la
información que desee ver, filtrando según las condiciones y las columnas que deben incluirse. También
puede incluir generadores de consultas para un desglose más específico de los datos de informe. Consulte
Generación de informes personalizados.
 Informes de resumen en PDF: Agregue hasta 18 informes/gráficos predefinidos o personalizados desde
las categorías Amenaza, Aplicación, Tendencia, Tráfico y Filtrado de URL en un documento PDF. Consulte
Gestión de informes de resumen en PDF.
 Informes de Botnet: Le permiten utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Consulte Generación de informes de Botnet.
 Grupos de informes: Combine informes personalizados y predefinidos en grupos de informes y compile
un único PDF que se enviará por correo electrónico a uno o más destinatarios. Consulte Gestión de grupos
de informes.
Los informes se pueden generar según se necesiten, con una planificación recurrente, y se puede programar su
envío diario por correo electrónico.
Informes y logs 181

Gestión de informes Informes y logs
El cortafuegos proporciona una variedad de más de 40 informes predefinidos que se generan cada día; estos
informes pueden visualizarse directamente en el cortafuegos. Además de estos informes, puede visualizar
informes personalizados e informes de resumen programados.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. El usuario
no puede configurar este espacio de almacenamiento; además, los informes más antiguos se purgan para
almacenar informes recientes. Por lo tanto, para una retención a largo plazo de informes, puede exportar los
informes o programar los informes para una entrega por correo electrónico. Para deshabilitar informes
seleccionados y conservar recursos del sistema en el cortafuegos, consulte Deshabilitación de informes
predefinidos.
Los informes de actividad de usuario/grupo deben generarse a petición o programarse para una
entrega por correo electrónico. A diferencia de los otros informes, estos informes no se pueden
guardar en el cortafuegos.
Paso 1 Seleccione Supervisar > Informes.

Los informes se dividen en secciones en el lado derecho de la ventana: Informes personalizados, Informes de
aplicación, Informes de tráfico, Informes de amenazas, Informes de filtrado de URL e Informes de resumen
en PDF.
Paso 2 Seleccione un informe para visualizarlo. Cuando seleccione un informe, el informe del día anterior se mostrará
en la pantalla.
Para ver informes de cualquiera de los días anteriores, seleccione una fecha disponible en el calendario de la parte
inferior de la página y seleccione un informe dentro de la misma sección. Si cambia secciones, se restablecerá la
selección del tiempo.
Paso 3 Para visualizar un informe fuera de línea, puede exportar el informe en los formatos PDF, CSV o XML. Haga
clic en Exportar a PDF, Exportar a CSV o Exportar a XML en la parte inferior de la página. A continuación,
imprima o guarde el archivo.
182 Informes y logs

Deshabilitación de informes predefinidos
El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automáticamente cada día.
Si no utiliza algunos o todos estos informes predefinidos, podrá deshabilitar los informes seleccionados y
conservar recursos del sistema en el cortafuegos.
Antes deshabilitar uno o más informes predefinidos, asegúrese de que el informe no se incluye en ningún
informe de grupos o informe PDF. Si el informe predefinido deshabilitado se incluye en un informe de grupos
o PDF, el informe de grupos/PDF se presentará sin datos.
Deshabilitar informes predefinidos
1. Seleccione Dispositivo > Configuración > Gestión en el cortafuegos.

2. Haga clic en el icono Editar en la sección Configuración de log e informes y seleccione la pestaña Exportación e
informes de logs.
3. Para deshabilitar informes:
• Cancele la selección de la casilla de verificación correspondiente a cada informe que quiera deshabilitar.
• Seleccione Anular selección para deshabilitar todos los informes predefinidos.
4. Haga clic en ACEPTAR y seleccione Confirmar los cambios.
Informes y logs 183

Generación de informes personalizados
Para crear informes personalizados con un fin concreto, debe considerar los atributos o la información clave
que quiere recuperar y analizar. Esta consideración le guiará a la hora de realizar las siguientes selecciones en un
informe personalizado:
Selección Descripción
Origen de datos Archivo de datos que se utiliza para generar el informe. El cortafuegos ofrece dos tipos
de orígenes de datos: bases de datos de resumen y logs detallados.
• Las bases de datos de resumen están disponibles para estadísticas de tráfico,
amenaza y aplicación. El cortafuegos agrega los logs detallados en tráfico, aplicación
y amenaza en intervalos de 15 minutos. Los datos están condensados; es decir, las
sesiones están agrupadas y aumentan con un contador de repeticiones y algunos
atributos (o columnas) no se incluyen en el resumen. Esta condensación permite un
tiempo de respuesta más rápido al generar informes.
• Los logs detallados se componen de elementos y son una lista completa de todos los
atributos (o columnas) relativos a la entrada de log. Los informes basados en logs
detallados tardan mucho más en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.
Atributos Columnas que quiere utilizar como criterios de coincidencia. Los atributos son las
columnas disponibles para su selección en un informe. Desde la lista de Columnas
disponibles, puede añadir los criterios de selección para datos coincidentes y para
agregar la información detallada (Columnas seleccionadas).
Ordenar por/Agrupar por Los criterios Ordenar por y Agrupar por le permiten organizar/segmentar los datos
del informe; los atributos de ordenación y agrupación disponibles varían basándose en
el origen de datos seleccionado.
La opción Ordenar por especifica el atributo que se utiliza para la agregación. Si no
selecciona un atributo según el cuál ordenar, el informe devolverá el primer número N
de resultados sin ninguna agregación.
La opción Agrupar por le permite seleccionar un atributo y utilizarlo como ancla para
agrupar datos; a continuación, todos los datos del informe se presentarán en un
conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo, cuando seleccione Hora
como la selección de Agrupar por y quiere los 25 grupos principales en un período de
tiempo de 24 horas. Los resultados del informe se generarán cada hora en un período
de 24 horas. La primera columna del informe será la hora y el siguiente conjunto de
columnas será el resto de sus columnas de informe seleccionadas.
184 Informes y logs

El siguiente ejemplo muestra el modo en que los criterios Columnas seleccionadas y

Ordenar por/Agrupar por trabajan en conjunto al generar informes:
Las columnas dentro de un círculo rojo (arriba) muestran las columnas seleccionadas,
que son los atributos que deben coincidir para generar el informe. Se analiza cada
entrada de log del origen de datos y se establecen las coincidencias con estas columnas.
Si varias sesiones tienen los mismos valores para las columnas seleccionadas, las
sesiones se agregarán y se incrementará el recuento de repeticiones (o sesiones).
La columna dentro de un círculo azul indica el orden de clasificación seleccionado.
Cuando se especifica el orden de clasificación (Ordenar por), los datos se ordenan
(y agregan) según el atributo seleccionado.
La columna dentro de un círculo verde indica la selección de Agrupar por, que sirve
de ancla para el informe. La columna Agrupar por se utiliza como criterio de
coincidencia para filtrar los N grupos principales. A continuación, para cada uno de los
N grupos principales, el informe enumera los valores del resto de columnas
seleccionadas.
Informes y logs 185

Por ejemplo, si un informe tiene las siguientes selecciones:

:
El resultado será el siguiente:
El informe está anclado por Día y se ordena por Sesiones. Enumera los 5 días (5 grupos) con el máximo de tráfico
en el período de tiempo de Últimos 7 días. Los datos se enumeran según las 5 principales sesiones de cada día para
las columnas seleccionadas: Categoría de aplicación, Subcategoría de aplicación y Riesgo.
Período de tiempo Rango de fechas para el que quiere analizar datos. Puede definir un rango
personalizado o seleccionar un período de tiempo que vaya desde los últimos
15 minutos hasta los últimos 30 días. Los informes se pueden ejecutar a petición
o se pueden programar para su ejecución cada día o cada semana.
Generador de consultas El generador de consultas le permite definir consultas específicas para ajustar aun más
los atributos seleccionados. Le permite ver solamente lo que desee en su informe
utilizando los operadores y y o y un criterio de coincidencia y, a continuación, incluir o
excluir datos que coincidan o nieguen la consulta del informe. Las consultas le
permiten generar una intercalación de información más centrada en un informe.
186 Informes y logs

Generación de informes personalizados
1. Seleccione Supervisar > Gestionar informes personalizados.

2. Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
Nota Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y seleccione la plantilla.
A continuación, podrá editar la plantilla y guardarla como un informe personalizado.
3. Seleccione la base de datos que debe utilizarse para el informe.
Nota Cada vez que cree un informe personalizado, se creará un informe Vista de log automáticamente. Este informe
muestra los logs que se utilizaron para crear el informe personalizado. El informe Vista de log utiliza el mismo
nombre que el informe personalizado, pero añade la frase “Log View” al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para obtener
más información, consulte Gestión de grupos de informes.
4. Seleccione la casilla de verificación Programado para ejecutar el informe cada noche. A continuación, el informe
estará disponible para su visualización en la columna Informes del lateral.
5. Defina los criterios de filtrado. Seleccione el Período de tiempo, el orden Ordenar por y la preferencia Agrupar por
y seleccione las columnas que deben mostrarse en el informe.
6. (Opcional) Seleccione los atributos Generador de consultas si desea ajustar aun más los criterios de selección. Para
crear una consulta de informe, especifique lo siguiente y haga clic en Añadir. Repita las veces que sean necesarias para
crear la consulta completa.
• Conector: Seleccione el conector (y/o) para preceder la expresión que está agregando.
• Negar: Seleccione la casilla de verificación para interpretar la consulta como una negativa. Si, por ejemplo, decide
hacer coincidir las entradas de las últimas 24 horas y/o se originan en la zona no fiable, la opción de negación
produce una coincidencia en las entradas que no se hayan producido en las últimas 24 horas y/o no pertenezcan
a la zona no fiable.
• Atributo: Seleccione un elemento de datos. Las opciones disponibles dependen de la elección de la base de datos.
• Operador: Seleccione el criterio para determinar si se aplica el atributo (como =). Las opciones disponibles
dependen de la elección de la base de datos.
• Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustración (basada en la base de datos Log de tráfico) muestra una consulta que coincide
si se ha recibido la entrada de log de tráfico en las últimas 24 horas de la zona “no fiable”.
7. Para comprobar los ajustes de informes, seleccione Ejecutar ahora. Modifique los ajustes según sea necesario para
cambiar la información que se muestra en el informe.
8. Haga clic en ACEPTAR para guardar el informe personalizado.
Informes y logs 187

Generación de informes personalizados (Continuación)
Ejemplos de informes personalizados

Si ahora configuramos un único informe en el que utilizamos la base de datos de resumen de tráfico de los
últimos 30 días y ordenamos los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5 grupos
por día de la semana. Debería configurar el informe personalizado para que tuviera un aspecto parecido a este:
Y el resultado en PDF del informe debería tener un aspecto parecido a este:
188 Informes y logs

Generación de informes personalizados (Continuación)
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente a los
principales consumidores de los recursos de red dentro de un grupo de usuarios, debería configurar el informe
para que tuviera un aspecto parecido a este:
El informe debería mostrar a los principales usuarios del grupo de usuarios de gestión de productos ordenados
por bytes, de la manera siguiente:
Informes y logs 189

Generación de informes de Botnet
La función Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Para evaluar las amenazas, el cortafuegos utiliza los logs de
amenaza, URL y filtrado de datos que tienen datos sobre la actividad de usuario/red y consulta la lista de URL
malintencionadas en PAN-DB, proveedores de DNS dinámico conocidos y dominios registrados recientemente.
Utilizando estos orígenes de datos, el cortafuegos correlaciona e identifica a los hosts que visitaron sitios
malintencionados y sitios de DNS dinámico, dominios registrados recientemente (en los últimos 30 días),
aplicaciones desconocidas utilizadas y búsquedas de la presencia de tráfico de Internet Relay Chat (IRC).
Para los host que coincidan con los criterios, se asigna un margen de confianza del 1 al 5 para indicar la
probabilidad de infección de Botnet (1 indica la probabilidad de infección más baja y 5 la más alta). Como los
mecanismos de detección basados en el comportamiento requieren realizar una correlación de tráfico entre
varios logs durante un período de 24 horas, el cortafuegos genera un informe cada 24 horas con una lista de
hosts ordenada basándose en un nivel de confianza.
 Configuración de informes de Botnet
 Generación de informes de Botnet
Configuración de informes de Botnet
Utilice estos ajustes para especificar tipos de tráfico sospechoso que pueda indicar actividad de Botnet.
Configuración de informes de Botnet
1. Seleccione Supervisar > Botnet y haga clic en el botón Configuración del lado derecho de la página.
2. Para el tráfico HTTP, seleccione la casilla de verificación Habilitar para los eventos que desea incluir en los informes:
• Visita a URL de software malintencionado: Identifica a los usuarios que se están comunicando con URL con
software malintencionado conocidas basándose en las categorías de filtrado de URL de software malintencionado
y Botnet.
• Uso de DNS dinámica: Busca tráfico de consultas DNS dinámicas que pueden indicar una comunicación de botnet.
• Navegación por dominios IP: Identifica a los usuarios que examinan dominios IP en lugar de URL.
• Navegación en dominios registrados recientemente: Busca tráfico en dominios que se han registrado en los
últimos 30 días.
• Archivos ejecutables desde sitios desconocidos: Identifica los archivos ejecutables descargados desde URL
desconocidas.
3. Para aplicaciones desconocidas, seleccione aplicaciones con TCP desconocido o UDP desconocido como sospechosas
y especifique la siguiente información:
• Sesiones por hora: Número de sesiones de aplicación por hora asociadas a la aplicación desconocida.
• Destinos por hora: Número de destinos por hora asociados a la aplicación desconocida.
• Bytes mínimos: Tamaño mínimo de carga.
• Bytes máximos: Tamaño máximo de carga.
4. Seleccione la casilla de verificación para incluir servidores IRC como sospechosos. Los servidores IRC a menudo
utilizan bots para funciones automatizadas.
190 Informes y logs

Después de configurar el informe de Botnet, especifique consultas de informe para generar informes de análisis
de Botnet. El generador de consultas le permite incluir o excluir atributos tales como direcciones IP de origen
o de destino, usuarios, zonas, interfaces, regiones o países para filtrar los resultados del informe.
Los informes programadas solo se ejecutan una vez al día. También puede generar y mostrar informes a petición
haciendo clic en Ejecutar ahora en la ventana donde define las consultas de informe. El informe generado se
muestra en Supervisar > Botnet.
Para gestionar informes de Botnet, haga clic en el botón Ajuste de informe en el lado derecho de la pantalla.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
1. En Período de ejecución del informe, seleccione el intervalo de tiempo para el informe (últimas 24 horas o
último día del calendario).
2. Seleccione el N.º de filas que desea incluir en el informe.
3. Seleccione Programado para ejecutar el informe a diario. De manera alternativa, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la ventana Informe de Botnet.
4. Cree la consulta de informe especificando lo siguiente y, a continuación, haga clic en Añadir para agregar la
expresión configurada a la consulta. Repita las veces que sean necesarias para crear la consulta completa:
• Conector: Especifique un conector lógico (Y/O).
• Atributo: Especifique la zona, la dirección o el usuario de origen o destino.
• Operador: Especifique el operador para relacionar el atributo con un valor.
• Valor: Especifique el valor para coincidir.
5. Seleccione Negar para aplicar la negación a la consulta especificada, lo que significa que el informe contendrá
toda la información que no sea resultado de la consulta definida.
Informes y logs 191

Gestión de informes de resumen en PDF
Los informes de resumen en PDF contienen información recopilada de informes existentes, basándose en datos
de los 5 principales de cada categoría (en vez de los 50 principales). También pueden contener gráficos de
tendencias que no están disponibles en otros informes.
Generación de informes de resumen en PDF
Paso 1 Configure un Informe de resumen en PDF:

1. Seleccione Supervisar > Informes en PDF > Gestionar resumen de PDF.
3. Utilice la lista desplegable para cada grupo de informes y seleccione uno o más de los elementos para diseñar
el informe de resumen en PDF. Puede incluir un máximo de 18 elementos de informe.
• Para eliminar un elemento del informe, haga clic en el icono x o cancele la selección del menú desplegable
para el grupo de informes adecuado.
• Para reorganizar los informes, arrastre y coloque los iconos en otra área del informe.
4. Haga clic en ACEPTAR para guardar el informe.
192 Informes y logs

Generación de informes de resumen en PDF (Continuación)
Paso 2 Para descargar y ver el informe de resumen en PDF, consulte Visualización de informes.
Generación de informes de actividad del usuario/grupo
Los informes de actividad del usuario/grupo resumen la actividad web de usuarios individuales o grupos de
usuarios. Ambos informes incluyen la misma información con un par de excepciones: Resumen de navegación
por categoría de URL y Cálculos de tiempo de exploración se incluyen en Informes de actividad del usuario, pero
no se incluyen en Informes de actividad del grupo.
User-ID debe configurarse en el cortafuegos para acceder a la lista de usuarios/grupos de usuarios; para obtener
información detallada sobre cómo habilitar esta función, consulte User-ID.
Informes y logs 193

Generación de informes de actividad del usuario/grupo
1. Seleccione Supervisar > Informes en PDF > Informe de actividad del usuario.
3. Cree el informe:
• Para un informe de actividad del usuario: Seleccione Usuario e introduzca el Nombre de usuario o la
Dirección IP (IPv4 o IPv6) del usuario que será el asunto del informe.
• Para informe de actividad de grupo: Seleccione Grupo y seleccione el Nombre de grupo para el que recuperar
información de grupos de usuarios en el informe.
4. Seleccione el período de tiempo para el informe en el menú desplegable.
Nota El número de logs analizados en un informe de actividad del usuario está determinado por el número de filas
definido en Máx. de filas en informe de actividad de usuario en la sección Configuración de log e informes en
Dispositivo > Configuración > Gestión.
5. Seleccione Incluir exploración detallada para incluir logs de URL detallados en el informe.
La información de navegación detallada puede incluir un gran volumen de logs (miles de logs) para el usuario o grupo
de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6. Para ejecutar el informe a petición, haga clic en Ejecutar ahora.
7. Para guardar el informe, haga clic en Aceptar. Los informes de actividad del usuario/grupo no se pueden guardar en
el cortafuegos; para programar el informe para una entrega por correo electrónico, consulte Programación de
informes para entrega de correos electrónicos.
Gestión de grupos de informes
Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y enviar como
un informe agregado en PDF único con una página de título opcional y todos los informes constituyentes
incluidos.
194 Informes y logs

Configuración de grupos de informes
Paso 1 Configure grupos de informes. 1. Cree un perfil de servidor para su servidor de correo
Nota Debe configurar un Grupo de informes electrónico.
para enviar informes por correo 2. Defina el Grupo de informes. Un grupo de informes puede
electrónico. compilar informes predefinidos, informes de resumen en PDF,
informes personalizados e informes Vista de log en un único
PDF.
a. Seleccione Supervisar > Grupo de informes.
b. Haga clic en Añadir y, a continuación, introduzca un Nombre
para el grupo de informes.
c. (Opcional) Seleccione Página de título y añada un Título
para el PDF creado.
d. Seleccione informes de la columna izquierda y haga clic en
Añadir para mover cada informe al grupo de informes en la
derecha.
El informe Vista de log es un tipo de informe que se crea
automáticamente cada vez que crea un informe
personalizado y utiliza el mismo nombre que el informe
personalizado. Este informe mostrará los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de
informes, añada su informe personalizado a la lista Informes
personalizados y, a continuación, añada el informe Vista de
log seleccionando el nombre del informe coincidente de la
lista Vista de log. El informe incluirá los datos del informe
personalizado y los datos de log que se han utilizado para
crear el informe personalizado.
e. Haga clic en ACEPTAR para guardar la configuración.
f. Para utilizar el grupo de informes, consulte Programación de
informes para entrega de correos electrónicos.
Programación de informes para entrega de correos electrónicos
Los informes se pueden programar para una entrega diaria o semanal en un día especificado. Los informes
programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrónico comienza después de que
se hayan generado todos los informes programados.
Informes y logs 195

Programación de informes para entrega de correos electrónicos
1. Seleccione Supervisar > Informes en PDF > Programador de

correo electrónico.
2. Seleccione el Grupo de informes para la entrega de correos
electrónicos. Para configurar un grupo de informes, consulte Gestión
de grupos de informes.
3. Seleccione la frecuencia con la que generar y enviar el informe en
Periodicidad.
4. Seleccione el perfil del servidor de correo electrónico que debe
utilizarse para entregar los informes. Para configurar un perfil de
servidor de correo electrónico, consulte Cree un perfil de servidor para su servidor de correo electrónico.
5. Cancelar correos electrónicos del destinatario le permite enviar este informe exclusivamente a los destinatarios
especificados en este campo. Cuando añade destinatarios a Cancelar correos electrónicos del destinatario, el
informe no se envía a los destinatarios configurados en el perfil de servidor de correo electrónico. Utilice esta opción
para las ocasiones en las que el informe vaya dirigido a una persona distinta de los administradores o destinatarios
definidos en el perfil de servidor de correo electrónico.
196 Informes y logs

Informes y logs Análisis de la descripción de campos en logs
Análisis de la descripción de campos en logs

Esta es una lista de los campos estándar de cada uno de los cinco tipos de logs que se reenvían a un servidor
externo. Para facilitar el análisis, la coma es el delimitador; cada campo es una cadena de valores separados por
comas (CSV). Los campos que actualmente no estén implementados/reservados para un uso futuro se etiquetan
como future_use.
 Logs de tráfico
 Logs de amenaza
 Logs de coincidencias HIP
 Logs de configuración
 Logs de sistema
Logs de tráfico
Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Acción, Bytes, Bytes enviados,
Bytes recibidos, Paquetes, Fecha de inicio, Tiempo transcurrido, Categoría, FUTURE_USE, Número de
secuencia, Marcas de acción, Ubicación de origen, Ubicación de destino, FUTURE_USE, Paquetes enviados,
Paquetes recibidos.
Nombre de campo Descripción
Fecha de registro (receive_time) Hora a la que se recibió el log en el plano de gestión.
Número de serie (serial) Número de serie del dispositivo que generó el log.
Tipo (type) Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración,
Sistema y Coincidencias HIP.
Subtipo (subtype) Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
• Iniciar: sesión iniciada.
• Finalizar: sesión finalizada.
• Colocar: sesión colocada antes de identificar la aplicación; no hay ninguna
regla que permita la sesión.
• Denegar: sesión colocada después de identificar la aplicación; hay una regla
para bloquear o no hay ninguna regla que permita la sesión.
Tiempo generado (time_generated) Hora a la que se generó el log en el plano de datos.
IP de origen (src) Dirección IP de origen de la sesión original.
IP de destino (dst) Dirección IP de destino de la sesión original.
NAT IP origen (natsrc) Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.
Informes y logs 197

Análisis de la descripción de campos en logs Informes y logs
NAT IP destino (natdst) Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior.
Nombre de regla (rule) Nombre de la regla con la que ha coincidido la sesión.
Usuario de origen (srcuser) Nombre del usuario que inició la sesión.
Usuario de destino (dstuser) Nombre del usuario para el que iba destinada la sesión.
Aplicación (app) Aplicación asociada a la sesión.
Sistema virtual (vsys) Sistema virtual asociado a la sesión.
Zona de origen (from) Zona de origen de la sesión.
Zona de destino (to) Zona de destino de la sesión.
Interfaz de entrada (inbound_if) Interfaz de origen de la sesión.
Interfaz de salida (outbound_if) Interfaz de destino de la sesión.
Perfil de reenvío de logs (logset) Perfil de reenvío de logs aplicado a la sesión.
ID de sesión (sessionid) Identificador numérico interno aplicado a cada sesión.
Número de repeticiones (repeatcnt) Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y
Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.
Puerto de origen (sport) Puerto de origen utilizado por la sesión.
Puerto de destino (dport) Puerto de destino utilizado por la sesión.
NAT puerto origen (natsport) NAT de puerto de origen posterior.
NAT puerto destino (natdport) NAT de puerto de destino posterior.
198 Informes y logs

Marcas (flags) Campo de 32 bits que proporciona información detallada sobre la sesión; este
campo puede descodificarse añadiendo los valores con Y y con el valor
registrado:
• 0x80000000: la sesión tiene una captura de paquetes (PCAP)
• 0x02000000: sesión IPv6.
• 0x01000000: la sesión SSL se ha descifrado (proxy SSL).
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00400000: la sesión ha realizado una traducción NAT (NAT).
• 0x00200000: la información de usuario de la sesión se ha capturado mediante
el portal cautivo (Portal cautivo).
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo Usuario
de origen.
• 0x00040000: el log corresponde a una transacción en una sesión de proxy
HTTP (Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor (Página de
contenedor).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla para la
gestión de las dependencias de las aplicaciones implícitas. Disponible en
PAN-OS 5.0.0 y posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta
sesión.
Protocolo (proto) Protocolo IP asociado a la sesión.
Acción (action) Acción realizada para la sesión; los valores son Permitir o Denegar:
• Permitir: la política permitió la sesión.
• Denegar: la política denegó la sesión.
Bytes (bytes) Número total de bytes (transmitidos y recibidos) de la sesión.
Bytes enviados (bytes_sent) Número de bytes en la dirección cliente a servidor de la sesión.

Disponible en todos los modelos excepto la serie PA-4000.
Bytes recibidos (bytes_received) Número de bytes en la dirección servidor a cliente de la sesión.

Paquetes (packets) Número total de paquetes (transmitidos y recibidos) de la sesión.
Fecha de inicio (start) Hora de inicio de sesión.
Tiempo transcurrido (elapsed) Tiempo transcurrido en la sesión.
Categoría (category) Categoría de URL asociada a la sesión (si es aplicable).
Número de secuencia (seqno) Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada
tipo de log tiene un espacio de número exclusivo.
Marcas de acción (actionflags) Campo de bits que indica si el log se ha reenviado a Panorama.
Informes y logs 199

Ubicación de origen (srcloc) País de origen o región interna para direcciones privadas; la longitud máxima es
de 32 bytes.
Ubicación de destino (dstloc) País de destino o región interna para direcciones privadas. La longitud máxima es
de 32 bytes.
Paquetes enviados (pkts_sent) Número de paquetes de cliente a servidor de la sesión.

Paquetes recibidos (pkts_received) Número de paquetes de servidor a cliente de la sesión.

Logs de amenaza
Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, IP de origen, IP de destino, NAT IP origen, NAT IP destino, Nombre de regla, Usuario de origen,
Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz de entrada, Interfaz
de salida, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen,
Puerto de destino, NAT puerto origen, NAT puerto destino, Marcas, Protocolo, Acción, Varios, ID de amenaza,
Categoría, Gravedad, Dirección, Número de secuencia, Marcas de acción, Ubicación de origen, Ubicación de
destino, FUTURE_USE, Tipo de contenido, ID de captura de paquetes*, Resumen de archivo*, Nube*
Fecha de registro (receive_time) Hora a la que se recibió el log en el plano de gestión.
Tipo (type) Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y
Coincidencias HIP.
Subtipo (subtype) Subtipo del log de amenaza; los valores son URL, Virus, Spyware, Vulnerabilidades,
Archivo, Analizar, Inundación, Datos y WildFire:
• URL: log de filtrado de datos
• Virus: detección de virus
• Spyware: detección de spyware
• Vulnerabilidades: detección de exploits de vulnerabilidades
• Archivo: log de tipo de archivo
• Analizar: exploración detectada mediante un perfil de protección de zona
• Inundación: inundación detectada mediante un perfil de protección de zona
• Datos: patrón de datos detectado desde un perfil de protección de zona
• WildFire: log de WildFire
200 Informes y logs

Tiempo generado Hora a la que se generó el log en el plano de datos.

(time_generated)
IP de origen (src) Dirección IP de origen de la sesión original.
IP de destino (dst) Dirección IP de destino de la sesión original.
NAT IP origen (natsrc) Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.
NAT IP destino (natdst) Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino posterior.
Nombre de regla (rule) Nombre de la regla con la que ha coincidido la sesión.
Usuario de destino (dstuser) Nombre del usuario para el que iba destinada la sesión.
Aplicación (app) Aplicación asociada a la sesión.
Sistema virtual (vsys) Sistema virtual asociado a la sesión.
Zona de origen (from) Zona de origen de la sesión.
Zona de destino (to) Zona de destino de la sesión.
Interfaz de entrada Interfaz de origen de la sesión.

(inbound_if)
Interfaz de salida Interfaz de destino de la sesión.

(outbound_if)
Perfil de reenvío de logs Perfil de reenvío de logs aplicado a la sesión.

(logset)
ID de sesión (sessionid) Identificador numérico interno aplicado a cada sesión.
Número de repeticiones Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y Subtipo
(repeatcnt) observados en 5 segundos. Utilizado únicamente para ICMP.
Puerto de origen (sport) Puerto de origen utilizado por la sesión.
Puerto de destino (dport) Puerto de destino utilizado por la sesión.
NAT puerto origen (natsport) NAT de puerto de origen posterior.
NAT puerto destino (natdport) NAT de puerto de destino posterior.
Informes y logs 201

Marcas (flags) Campo de 32 bits que proporciona información detallada sobre la sesión; este campo
puede descodificarse añadiendo los valores con Y y con el valor registrado:
• 0x80000000: la sesión tiene una captura de paquetes (PCAP)
• 0x02000000: sesión IPv6.
• 0x01000000: la sesión SSL se ha descifrado (proxy SSL).
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00400000: la sesión ha realizado una traducción NAT (NAT).
• 0x00200000: la información de usuario de la sesión se ha capturado mediante el
portal cautivo (Portal cautivo).
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo Usuario de
origen.
• 0x00040000: el log corresponde a una transacción en una sesión de proxy HTTP
(Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor (Página de
contenedor).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla para la gestión
de las dependencias de las aplicaciones implícitas. Disponible en PAN-OS 5.0.0 y
posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta sesión.
Protocolo (proto) Protocolo IP asociado a la sesión.
Acción (action) Acción realizada para la sesión; los valores son Alerta, Permitir, Denegar, Colocar,
Colocar todos los paquetes, Restablecer cliente, Restablecer servidor, Restablecer
ambos y Bloquear URL.
• Alerta: amenaza o URL detectada pero no bloqueada.
• Permitir: alerta de detección de inundación.
• Denegar: mecanismo de detección de inundación activado y denegación de tráfico
basándose en la configuración.
• Colocar: amenaza detectada y se descartó la sesión asociada.
• Colocar todos los paquetes: amenaza detectada y la sesión permanece, pero se
colocan todos los paquetes.
• Restablecer cliente: amenaza detectada y se envía un TCP RST al cliente.
• Restablecer servidor: amenaza detectada y se envía un TCP RST al servidor.
• Restablecer ambos: amenaza detectada y se envía un TCP RST tanto al cliente como
al servidor.
• Bloquear URL: la solicitud de URL se bloqueó porque coincidía con una categoría
de URL que se había establecido como bloqueada.
202 Informes y logs

Varios (misc) Campo de longitud variable con un máximo de 1.023 caracteres.

El URI real cuando el subtipo es URL.
Nombre de archivo o tipo de archivo cuando el subtipo es Archivo.
Nombre de archivo cuando el subtipo es Virus.
Nombre de archivo cuando el subtipo es WildFire.
ID de amenaza (threatid) Identificador de Palo Alto Networks para la amenaza. Es una cadena de descripción
seguida de un identificador numérico de 64 bits entre paréntesis para algunos subtipos:
• 8000 - 8099: detección de exploración
• 8500 - 8599: detección de inundación
• 9999: log de filtrado de URL
• 10000 - 19999: detección de llamada a casa de spyware
• 20000 - 29999: detección de descarga de spyware
• 30000 - 44999: detección de exploits de vulnerabilidades
• 52000 - 52999: detección de tipo de archivo
• 60000 - 69999: detección de filtrado de datos
• 100000 - 2999999: detección de virus
• 3000000 - 3999999: distribución de firmas de WildFire
• 4000000 - 4999999: firmas de Botnet basadas en DNS
Categoría (category) Para el subtipo URL, es la categoría de URL; para el subtipo WildFire, es el veredicto
del archivo y es “Malo” o “Bueno”; para otros subtipos, el valor es “Cualquiera”.
Gravedad (severity) Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
Dirección (direction) Indica la dirección del ataque: cliente a servidor o servidor a cliente.
• 0: la dirección de la amenaza es cliente a servidor.
• 1: la dirección de la amenaza es servidor a cliente.
Número de secuencia (seqno) Identificador de entrada de log de 64 bits que aumenta secuencialmente. Cada tipo de
log tiene un espacio de número exclusivo.
Marcas de acción (actionflags) Campo de bits que indica si el log se ha reenviado a Panorama.
Ubicación de origen (srcloc) País de origen o región interna para direcciones privadas. La longitud máxima es de
32 bytes.
Ubicación de destino (dstloc) País de destino o región interna para direcciones privadas. La longitud máxima es de
32 bytes.
Tipo de contenido (contenttype) Únicamente es aplicable cuando el subtipo es URL.

Tipo de contenido de los datos de respuesta HTTP. La longitud máxima es de 32 bytes.
Informes y logs 203

Novedad en v6.0: ID de captura ID de captura de paquetes es un elemento integral no firmado de 64 bits que indica un
de paquetes (pcap_id) ID para correlacionar archivos de captura de paquetes de amenaza con capturas de
paquetes ampliadas tomadas como parte de dicho flujo. Todos los logs de amenaza
contendrán un pcap_id cuyo valor es 0 (ninguna captura de paquetes asociada) o un ID
que haga referencia al archivo de captura de paquetes ampliado.
Novedad en v6.0: Resumen de Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
archivo (filedigest) La cadena filedigest muestra el hash binario del archivo enviado para ser analizado por
el servicio WildFire.
Novedad en v6.0: Nube (cloud) Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la nube de
WildFire (pública) desde donde se cargó el archivo para su análisis.
Logs de coincidencias HIP
Formato: FUTURE_USE, Fecha de registro, Número de serie, Tipo, Subtipo, FUTURE_USE,

FUTURE_USE, Usuario de origen, Sistema virtual, Nombre de la máquina, SO*, Dirección de origen, HIP,
Número de repeticiones, Tipo HIP, FUTURE_USE, FUTURE_USE, Número de secuencia, Marcas de acción
Fecha de registro Hora a la que se recibió el log en el plano de gestión.

(receive_time)
Tipo (type) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias
HIP.
Subtipo (subtype) Subtipo del log de coincidencias HIP; no utilizado.
Sistema virtual (vsys) Sistema virtual asociado al log de coincidencias HIP.
Nombre de la máquina Nombre de la máquina del usuario.

(machinename)
Novedad en v6.0: SO Sistema operativo instalado en la máquina o el dispositivo del usuario (o en el sistema
cliente).
Dirección de origen (src) Dirección IP del usuario de origen.
HIP (matchname) Nombre del perfil u objeto HIP.
Número de repeticiones Número de veces que ha coincidido el perfil HIP.

(repeatcnt)
Tipo HIP (matchtype) Especifica si el campo HIP representa un objeto HIP o un perfil HIP.
204 Informes y logs

Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada tipo de
(seqno) log tiene un espacio de número exclusivo.
Marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama.

(actionflags)
Logs de configuración

FUTURE_USE, Host, Sistema virtual, Comando, Administrador, Cliente, Resultado, Ruta de configuración,
Número de secuencia, Marcas de acción

(receive_time)
Tipo (type) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y Coincidencias
HIP.
Subtipo (subtype) Subtipo del log de configuración; no utilizado.
Host (host) Nombre de host o dirección IP de la máquina cliente.
Sistema virtual (vsys) Sistema virtual asociado al log de configuración.
Comando (cmd) Comando ejecutado por el administrador; los valores son Añadir, Duplicar, Compilar,
Eliminar, Editar, Mover, Renombrar, Establecer y Validar.
Administrador (admin) Nombre de usuario del administrador que realiza la configuración.
Cliente (client) Cliente utilizado por el administrador; los valores son Web y CLI.
Resultado (result) Resultado de la acción de configuración; los valores son Enviada, Correctamente, Fallo
y No autorizado.
Ruta de configuración Ruta del comando de configuración emitido; puede tener una longitud de hasta
(path) 512 bytes.

(actionflags)
Informes y logs 205

Logs de sistema

FUTURE_USE, Sistema virtual, ID de evento, Objeto, FUTURE_USE, FUTURE_USE, Módulo, Gravedad,
Descripción, Número de secuencia, Marcas de acción

(receive_time)
Tipo (type) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y
Coincidencias HIP.
Subtipo (subtype) Subtipo del log de sistema; hace referencia al demonio de sistema que genera el log; los
valores son Criptográfico, DHCP, Proxy DNS, Denegación de servicio, General,
GlobalProtect, HA, Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, User-ID, Filtrado de URL y VPN.
Sistema virtual (vsys) Sistema virtual asociado al log de configuración.
ID de evento (eventid) Cadena que muestra el nombre del evento.
Objeto (object) Nombre del objeto asociado al evento del sistema.
Módulo (module) Este campo únicamente es válido cuando el valor del campo Subtipo es General.
Proporciona información adicional acerca del subsistema que genera el log; los valores
son General, Gestión, Autenticación, HA, Actualizar y Bastidor.
Gravedad (severity) Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y Crítico.
Descripción (opaque) Descripción detallada del evento, hasta un máximo de 512 bytes.

(actionflags)
Gravedad de Syslog
La gravedad de Syslog se establece basándose en el tipo de log y el contenido.
Tipo/gravedad de log Gravedad de Syslog
Tráfico Información
Configurar Información
Amenaza/Sistema: Informativo Información
206 Informes y logs

Tipo/gravedad de log Gravedad de Syslog
Amenaza/Sistema: Bajo Aviso
Amenaza/Sistema: Medio Advertencia
Amenaza/Sistema: Alto Error
Amenaza/Sistema: Crítico Crítico
Formato de logs/eventos personalizados
Para facilitar la integración con sistemas de análisis de logs externos, el cortafuegos le permite personalizar el
formato de logs; también le permite añadir pares de atributos personalizados Clave: Valor. El formato de los
mensajes personalizados puede configurarse bajo Dispositivo > Perfiles de servidor > Syslog > Perfil de servidor
Syslog > Formato de log personalizado.
Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte CEF
Configuration Guide (en inglés).
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecerá entre comillas dobles. Además, si aparecen
comillas dobles dentro de un campo, se definirán como carácter de escape anteponiéndoles otras comillas
dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de amenaza siempre
aparecerá entre comillas dobles.
Informes y logs 207

208 Informes y logs

User-ID
La identificación de usuarios (User-ID) es una función de cortafuegos de próxima generación de Palo Alto
Networks que le permite crear políticas y realizar informes basándose en usuarios y grupos en lugar de
direcciones IP individuales. Las siguientes secciones describen la función User-ID de Palo Alto Networks y
ofrecen instrucciones sobre cómo configurar el acceso basado en usuarios y grupos:
 Descripción general de User-ID
 Asignación de usuarios a grupos
 Asignación de direcciones IP a usuarios
 Habilitación de política basada en usuarios y grupos
 Verificación de la configuración de User-ID
User-ID 209
Descripción general de User-ID User-ID
Descripción general de User-ID

User-ID integra sin problemas los cortafuegos de Palo Alto Networks con una gama de ofertas de servicios de
directorio y terminal empresariales, lo que le permite vincular políticas de seguridad y actividad de aplicaciones
a usuarios y grupos y no solo direcciones IP. Además, con User-ID habilitado, el centro de comando de
aplicación (ACC), Appscope, los informes y los logs incluyen nombres de usuarios además de direcciones IP de
usuarios.
El cortafuegos de próxima generación de Palo Alto Networks admite la supervisión de los siguientes servicios
empresariales:
 Microsoft Active Directory
 LDAP
 eDirectory Novell
 Citrix Metaframe Presentation Server o XenApp
 Microsoft Terminal Services

Para poder crear políticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
políticas. Obtiene esta información de asignación de grupos conectándose directamente a su servidor de
directorio LDAP. Consulte Acerca de la asignación de grupos para obtener más información.
Para poder aplicar las políticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
obtener estas asignaciones de direcciones IP a nombres de usuarios. Por ejemplo, utiliza agentes para supervisar
logs de servidor en busca de eventos de inicio de sesión y/o sondear clientes, así como escuchar mensajes de
Syslog de servicios de autenticación. Para identificar asignaciones de direcciones IP que no se asignaron
mediante uno de los mecanismos de agente, puede configurar el cortafuegos para que redirija las solicitudes
HTTP a un inicio de sesión de portal cautivo. Puede personalizar los mecanismos que utiliza para la asignación
de usuarios para que se adapten a su entorno, e incluso puede utilizar diferentes mecanismos en sitios distintos.
Consulte Acerca de la asignación de usuarios para obtener más información.
Acerca de la asignación de grupos
Para definir las políticas de seguridad basándose en usuarios o grupos, el cortafuegos debe recuperar la lista de
grupos y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta función, debe
crear un perfil de servidor LDAP que indique al cortafuegos cómo conectarse al servidor y autenticarlo, así
como el modo de buscar en el directorio la información de usuarios y grupos. Tras conectarse al servidor LDAP
y configurar la función de asignación de grupos para la identificación de usuarios, podrá seleccionar usuarios o
grupos al definir sus políticas de seguridad. El cortafuegos admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.
210 User-ID
User-ID Descripción general de User-ID
A continuación podrá definir políticas basándose en los miembros de grupos en lugar de en usuarios
individuales para una administración simplificada. Por ejemplo, la siguiente política de seguridad permite el
acceso a aplicaciones internas específicas basándose en los miembros de grupos:
Acerca de la asignación de usuarios
Contar con los nombres de los usuarios y grupos es únicamente una pieza del puzzle. El cortafuegos también
necesita saber qué direcciones IP asignar a qué usuarios de modo que las políticas de seguridad puedan aplicarse
correctamente. La Ilustración: Asignación de usuario muestra los diferentes métodos que se utilizan para
identificar usuarios y grupos en su red y presenta el modo en que la asignación de usuarios y la asignación de
grupos trabajan en conjunto para habilitar la visibilidad y la aplicación de la seguridad basada en usuarios y
grupos.
Para obtener información detallada sobre cómo configurar los diferentes mecanismos para la asignación de
usuarios, consulte Asignación de direcciones IP a usuarios.
User-ID 211
Ilustración: Asignación de usuario

Joe

Portal GlobalProtect
Sondeo cautivo
de clientes Agente de
Controlador servicios Aerohive AP
de dominios de terminal
eDirectory Blue Coat
AUTENTICACIÓN DE USUARIOS
Juniper UAC
RECEPTOR DE SYSLOG
EVENTO DE AUTENTICACIÓN
Directorios Servicios Servicios de

de terminal autenticación
Dispositivos de Joe
11.11.11.11 API XML
12.12.12.12
Directorios
Funciones/grupos de Joe
Administradores de TI
Empleados de la sede
Active Directory
LDAP
INFORMAR Y APLICAR POLÍTICA
Los temas siguientes describen los diferentes métodos de asignación de usuarios:

 Supervisión de servidor
 Sondeo de cliente
 Asignación de puertos
 Syslog
 Portal cautivo
 GlobalProtect
 API XML de User-ID
Supervisión de servidor
Con la supervisión de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute en
un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el cortafuegos)
supervisa los logs de eventos de seguridad en busca de Microsoft Exchange Servers especificados, controladores
de dominio o servidores Novell eDirectory en busca de eventos de inicio de sesión. Por ejemplo, en un entorno
AD, puede configurar el agente de User-ID para que supervise los logs de seguridad en busca de renovaciones
o concesiones de tickets de Kerberos, acceso al servidor Exchange (si está configurado) y conexiones de servicio
de impresión y archivo. Recuerde que para que estos eventos se registren en el log de seguridad, el dominio AD
212 User-ID
debe configurarse para registrar eventos de inicio de sesión de cuenta correctos. Además, dado que los usuarios
pueden iniciar sesión en cualquiera de los servidores del dominio, debe configurar la supervisión de servidor
para todos los servidores con el fin de capturar todos los eventos de inicio de sesión de usuarios.
Dado que la supervisión de servidor requiere muy pocos gastos y dado que la mayoría de los usuarios por lo
general puede asignarse con este método, se recomienda como el método de asignación de usuarios básico para
la mayoría de implementaciones de User-ID. Consulte Configuración de la asignación de usuarios mediante el
agente de User-ID de Windows o Configuración de la asignación de usuarios mediante el agente de User-ID
integrado en PAN-OS para obtener información detallada.
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI). El agente de User-ID basado en Windows también
puede realizar un sondeo de NetBIOS (no compatible con el agente de User-ID integrado en PAN-OS). El
sondeo es de especial utilidad en entornos con una alta rotación de direcciones IP, debido a que los cambios se
reflejarán en el cortafuegos más rápido, permitiendo una aplicación más precisa de las políticas basadas en
usuarios. Sin embargo, si la correlación entre direcciones IP y usuarios es bastante estática, probablemente no
necesite habilitar el sondeo de cliente. Ya que el sondeo puede generar una gran cantidad de tráfico de red
(basándose en el número total de direcciones IP asignadas), el agente que vaya a iniciar los sondeos debería estar
situado lo más cerca posible de los clientes finales.
Si el sondeo está habilitado, el agente sondeará periódicamente cada dirección IP obtenida (cada 20 minutos de
manera predeterminada, pero esto puede configurarse) para verificar que el mismo usuario sigue conectado.
Además, cuando el cortafuegos se encuentre una dirección IP para la que no tenga una asignación de usuarios,
enviará la dirección al agente para un sondeo inmediato.
Consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows o
Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS para obtener
información detallada.
Asignación de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma dirección IP. En este caso, el proceso de asignación de usuario a dirección IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignación, debe instalar
el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal Windows/Citrix para
que sirva de intermediario en la asignación de puertos de origen a los diversos procesos de usuario. Para los
servidores de terminal que no admiten el agente de servicios de terminal, como los servidores de terminal de
Linux, puede utilizar la API XML para enviar información de asignación de usuarios de eventos de inicio de
sesión y cierre de sesión a User-ID. Consulte Configuración de la asignación de usuarios para usuarios del
servidor de terminal para obtener información detallada sobre la configuración.
User-ID 213
Syslog
En entornos con servicios de red existentes que autentiquen usuarios, tales como controladores inalámbricos,
dispositivos 802.1x, servidores Open Directory de Apple, servidores proxy u otros mecanismos de control de
acceso a la red (NAC), el agente de User-ID del cortafuegos (bien el agente de Windows, bien el agente
integrado en PAN-OS en el cortafuegos) puede escuchar mensajes de Syslog de autenticación de esos servicios.
Los filtros de Syslog, que se proporcionan mediante una actualización de contenido (solamente para agentes de
User-ID integrados) o se configuran manualmente, permiten que el agente de User-ID analice y extraiga
nombres de usuarios y direcciones IP de eventos de Syslog de autenticación generados por el servicio externo,
así como que añada la información a las asignaciones de direcciones IP a nombres de usuarios de User-ID
mantenidas por el cortafuegos. Consulte Configuración de User-ID para recibir asignaciones de usuarios desde
un emisor de Syslog para obtener información detallada sobre la configuración.
Ilustración: Integración de User-ID con Syslog
214 User-ID
Portal cautivo
Si el cortafuegos o el agente de User-ID no puede asignar una dirección IP a un usuario (por ejemplo, si el
usuario no ha iniciado sesión o si está utilizando un sistema operativo como Linux que no es compatible con
sus servidores de dominio), podrá configurar un portal cautivo. Cuando esté configurado, cualquier tráfico web
(HTTP o HTTPS) que coincida con su política de portal cautivo requerirá la autenticación de usuario, ya sea de
manera transparente a través de un desafío NT LAN Manager (NTLM) para el explorador, o de manera activa
redirigiendo al usuario a un formulario de autenticación web para una autenticación con una base de datos de
autenticación RADIUS, LDAP, Kerberos o local o utilizando una autenticación de certificado de cliente.
Consulte Asignación de direcciones IP a nombres de usuario mediante un portal cautivo para obtener
GlobalProtect
En el caso de usuarios móviles o con itinerancia, el cliente GlobalProtect proporciona la información de

asignación de usuarios directamente al cortafuegos. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicación ejecutándose en el cliente que requiere que el usuario introduzca credenciales de inicio de sesión
para un acceso mediante VPN al cortafuegos. A continuación, esta información de inicio de sesión se añade a
la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicación de políticas
de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse para poder
acceder a la red, la asignación de direcciones IP a nombres de usuarios se conoce de manera explícita. Esta es
la mejor solución en entornos confidenciales en los que deba estar seguro de quién es un usuario para permitirle
el acceso a una aplicación o un servicio. Para obtener más información sobre cómo configurar GlobalProtect,
consulte la Guía del administrador de GlobalProtect.
API XML de User-ID
Para otros tipos de acceso de usuario que no se puedan asignar utilizando ninguno de los métodos de asignación
de usuarios estándar o el portal cautivo (por ejemplo, para añadir asignaciones de usuarios que se conecten desde
una solución de VPN externa o usuarios que se conecten a una red inalámbrica con 802.1x), puede utilizar la
API XML de User-ID para capturar eventos de inicio de sesión y enviarlos al agente de User-ID o directamente
al cortafuegos. Consulte Envío de asignaciones de usuarios a User-ID mediante la API XML para obtener
User-ID 215
Asignación de usuarios a grupos User-ID
Asignación de usuarios a grupos

Utilice el siguiente procedimiento para conectarse a su directorio LDAP y así permitir que el cortafuegos
recupere información de asignación de usuario a grupo:
Prácticas recomendadas para la asignación de grupos en un entorno de Active Directory:

• Si tiene un único dominio, solamente necesita un perfil de servidor LDAP que conecte el cortafuegos
con el controlador de dominio utilizando la mejor conectividad. Puede añadir controladores de dominio
adicionales para la tolerancia a errores.
• Si tiene varios dominios y/o varios bosques, deberá crear un perfil de servidor para conectarse a un
servidor de dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
• Si tiene grupos universales, cree un perfil de servidor para conectarse con el servidor de catálogo global.
Asignación de usuarios a grupos

Paso 1 Cree un perfil de servidor LDAP que especifique cómo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener información de asignación de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Añadir y, a continuación,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el menú
desplegable Ubicación.
4. Haga clic en Añadir para añadir una nueva
entrada de servidor LDAP y, a continuación,
introduzca un nombre de Servidor para
identificar al servidor (de 1 a 31 caracteres) y
el número de Dirección IP y Puerto que
debería utilizar el cortafuegos para conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para
LDAP sobre SSL). Puede añadir hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que
añada a un perfil deberán ser del mismo tipo. Para la redundancia, debería añadir como mínimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aquí dependerá de su implementación:
• Si está utilizando Active Directory, deberá introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deberá crear perfiles de servidor separados.
• Si está utilizando un servidor de catálogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se esté conectando. Los atributos de LDAP correctos de la
configuración de asignación de grupos se cumplimentarán automáticamente según su selección. Sin embargo, si ha
personalizado su esquema, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN que se corresponda con el punto del árbol de LDAP donde desee que el
cortafuegos comience su búsqueda de información de usuarios y grupos.
8. Introduzca las credenciales de autenticación para el enlace con el árbol de LDAP en los campos Enlazar DN,
Enlazar contraseña y Confirmar contraseña de enlace. El valor de Enlazar DN puede tener el formato Nombre
principal del usuario (UPN)
(por ejemplo, administrator@acme.local ) o puede ser un nombre de LDAP completo
(por ejemplo, cn=administrator,cn=users,dc=acme,dc=local ).
9. Si desea que el cortafuegos se comunique con los servidores LDAP a través de una conexión segura, seleccione la
casilla de verificación SSL. Si habilita SSL, asegúrese de que también ha especificado el número de puerto adecuado.
216 User-ID
User-ID Asignación de usuarios a grupos
Asignación de usuarios a grupos (Continuación)

Paso 2 Añada el perfil de servidor LDAP a la configuración de asignación de grupos de User-ID.
1. Seleccione Dispositivo > Identificación de
usuarios > Configuración de asignación de
grupo y haga clic en Añadir.
2. Seleccione el Perfil de servidor que creó en el
Paso 1.
3. Asegúrese de que la casilla de verificación
Habilitado está seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la política de seguridad,
seleccione la pestaña Lista de inclusión de
grupos y, a continuación, examine el árbol de
LDAP para localizar los grupos que desea
poder utilizar en la política. En el caso de cada
grupo que desee incluir, selecciónelo en la lista
Grupos disponibles y haga clic en el icono de
adición para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus políticas.
User-ID 217
Asignación de direcciones IP a usuarios User-ID
Asignación de direcciones IP a usuarios

Las tareas que necesita realizar para asignar direcciones IP a nombres de usuarios dependen del tipo y la
ubicación de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar
la asignación de sus sistemas cliente:
 Para asignar usuarios a medida que inicien sesión en sus servidores Exchange, controladores de dominio o
servidores eDirectory o clientes de Windows que puedan sondearse directamente, debe configurar un
agente de User-ID para supervisar los logs de servidor y/o sondear sistemas cliente. Puede instalar el
agente de User-ID de Windows independiente en uno o más servidores miembros en el dominio que
contenga los servidores y clientes que vayan a supervisarse (consulte Configuración de la asignación de
usuarios mediante el agente de User-ID de Windows) o puede configurar el agente de User-ID del
cortafuegos que esté integrado con PAN-OS (Configuración de la asignación de usuarios mediante el
agente de User-ID integrado en PAN-OS). Para obtener orientación sobre qué configuración de agente es
adecuada para su red y el número y las ubicaciones de agentes que son obligatorios, consulte Architecting
User Identification Deployments (en inglés).
 Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server, Citrix Metaframe
Presentation Server o XenApp, consulte Configuración del agente de servidor de terminal de Palo Alto
Networks para la asignación de usuarios para obtener instrucciones sobre cómo instalar y configurar el
agente en un servidor de Windows. Si tiene un sistema multiusuario que no se esté ejecutando en
Windows, puede utilizar la API XML de User-ID para enviar las asignaciones de direcciones IP a nombres
de usuarios directamente al cortafuegos. Consulte Recuperación de asignaciones de usuarios de un
servidor de terminal mediante la API XML de User-ID.
 Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios, tales
como controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple, servidores
proxy u otros mecanismos de control de acceso a la red (NAC), configure el agente de User-ID (bien el
agente de Windows, bien la función de asignación de usuarios sin agente en el cortafuegos) para que
escuche mensajes de Syslog de autenticación de esos servicios. Consulte Configuración de User-ID para
recibir asignaciones de usuarios desde un emisor de Syslog.
 Si tiene usuarios con sistemas cliente que no hayan iniciado sesión en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesión en el dominio), consulte Asignación de
direcciones IP a nombres de usuario mediante un portal cautivo.
 En el caso de otros clientes que no pueda asignar utilizando los métodos anteriores, puede utilizar la API
XML de User-ID para añadir asignaciones de usuarios directamente al cortafuegos. Consulte Envío de
asignaciones de usuarios a User-ID mediante la API XML.
 Como la política es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las
asignaciones de direcciones IP a nombres de usuarios para aplicar de forma precisa la política de seguridad
según el grupo o usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las
asignaciones de usuarios y las distribuya a los otros cortafuegos. Para obtener más información, consulte
Configuración de un cortafuegos para compartir datos de asignación de usuarios con otros cortafuegos.
218 User-ID
User-ID Asignación de direcciones IP a usuarios
Configuración de la asignación de usuarios mediante el agente de User-ID

de Windows
En la mayoría de los casos, la gran parte de los usuarios de su red tendrán inicios de sesión en sus servicios de
dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los servidores
en busca de eventos de inicio de sesión y cierre de sesión y realiza la asignación de direcciones IP a usuarios. El
modo en que configure el agente de User-ID dependerá del tamaño de su entorno y la ubicación de sus
servidores de dominio. La práctica recomendada es que ubique sus agentes de User-ID cerca de sus servidores
supervisados (es decir, los servidores supervisados y el agente de User-ID de Windows no deberían estar
separados por un enlace WAN). Esto se debe a que la mayor parte del tráfico para la asignación de usuarios se
produce entre el agente y el servidor supervisado, y únicamente una pequeña cantidad del tráfico (la diferencia
de asignaciones de direcciones IP desde la última actualización) se produce desde el agente al cortafuegos.
Los siguientes temas describen cómo instalar y configurar el agente de User-ID y cómo configurar el
cortafuegos para que recupere información de asignación de usuarios del agente:
 Instalación del agente de User-ID
 Configuración del agente de User-ID para la asignación de usuarios
Instalación del agente de User-ID
El siguiente procedimiento muestra cómo instalar el agente de User-ID en un servidor miembro en el dominio
y configurar la cuenta de servicio con los permisos obligatorios. Si está actualizando, el instalador eliminará
automáticamente la versión anterior; no obstante, es conveniente hacer una copia de seguridad del archivo
config.xml antes de ejecutar el instalador.
Para obtener información sobre los requisitos del sistema para instalar el agente de User-ID
basado en Windows y para obtener información sobre las versiones admitidas del sistema
operativo del servidor, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés)
en las notas de versión de agente de User-ID, que están disponibles en la página Actualizaciones
de software de Palo Alto Networks.
User-ID 219
Instalación del agente de User-ID de Windows
Paso 1 Decida dónde instalar los agentes de • Debe instalar el agente de User-ID en un sistema que ejecute una
User-ID. de las siguientes versiones del sistema operativo (se admiten las
versiones de 32 bits y de 64 bits):
El agente de User-ID consulta los logs del
controlador de dominio y el servidor • Microsoft Windows XP/Vista/7
Exchange mediante llamadas a • Microsoft Windows Server 2003/2008
procedimiento remoto de Microsoft
(MSRPC), que requieren una • Asegúrese de que el sistema en el que tiene la intención de instalar
transferencia completa de todo el log en el agente de User-ID sea miembro del dominio al que pertenecen
cada consulta. Por lo tanto, siempre los servidores que supervisará.
debería instalar uno o más agentes de • La práctica recomendada es instalar el agente de User-ID cerca de
User-ID en cada ubicación que tenga los servidores que supervisará (hay más tráfico entre el agente de
servidores que tengan que supervisarse. User-ID y los servidores supervisados que entre el agente de
Nota Para obtener información más detallada User-ID y el cortafuegos, de modo que ubicar el agente cerca de
sobre dónde instalar agentes de User-ID, los servidores supervisados optimiza el uso del ancho de banda).
consulte Architecting User Identification • Para garantizar la asignación de usuarios más completa, debe
(User-ID) Deployments (en inglés). supervisar todos los servidores que contengan información de
inicio de sesión de usuarios. Puede que necesite instalar varios
agentes de User-ID para supervisar eficazmente todos sus
recursos.
Paso 2 Descargue el instalador de agente de 1. Vaya a https://support.paloaltonetworks.com y haga clic en

User-ID. Inicio de sesión para iniciar sesión en la asistencia técnica de
Palo Alto Networks.
La práctica recomendada es instalar la
misma versión del agente de User-ID que 2. Seleccione Actualizaciones de software en la sección
la versión de PAN-OS que se esté Gestionar dispositivos.
ejecutando en los cortafuegos. 3. Desplácese hasta la sección Agente de identificación de usuarios
de la pantalla y haga clic en Descargar para descargar la versión
del agente de User-ID que quiera instalar.
4. Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas
donde tenga la intención de instalar el agente.
Paso 3 Ejecute el instalador como administrador. 1. Para iniciar una línea de comandos como administrador, haga
clic en Iniciar, haga clic con el botón derecho en Línea de
comandos y, a continuación, seleccione Ejecutar como
administrador.
2. Desde la línea de comandos, ejecute el archivo .msi que ha
descargado. Por ejemplo, si guardó el archivo .msi en el
escritorio, debería introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
3. Siga los mensajes de configuración para instalar el agente con los
ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\User-ID Agent , pero puede hacer clic en Examinar
para seleccionar una ubicación diferente.
4. Cuando finalice la instalación, haga clic en Cerrar para cerrar la
ventana de configuración.
220 User-ID
Instalación del agente de User-ID de Windows (Continuación)
Paso 4 Inicie la aplicación del agente de User-ID. 1. Haga clic en Iniciar y seleccione Agente de User-ID.
Paso 5 (Opcional) Cambie la cuenta de servicio De manera predeterminada, el agente utiliza la cuenta de
que utiliza el agente de User-ID para administrador utilizada para instalar el archivo .msi. Sin embargo,
iniciar sesión. puede que quiera cambiarla por una cuenta restringida de la manera
siguiente:
1. Seleccione Identificación de usuarios > Configuración y haga
clic en Editar.
2. Seleccione la pestaña Autenticación e introduzca el nombre de
cuenta de servicio que quiera que utilice el agente de User-ID en
el campo Nombre de usuario para Active Directory.
3. Introduzca la Contraseña para la cuenta especificada.
User-ID 221
Instalación del agente de User-ID de Windows (Continuación)
Paso 6 (Opcional) Asigne permisos de cuenta a la 1. Otorgue permisos a la cuenta de servicio para la carpeta de
carpeta de instalación. instalación:
Solamente necesita realizar este paso si la a. Desde el Explorador de Windows, desplácese hasta
cuenta de servicio que configuró para el C:\Program Files\Palo Alto Networks, haga clic con el
agente de User-ID no es miembro del botón derecho en la carpeta y seleccione Propiedades.
grupo de administradores para el dominio b. En la pestaña Seguridad, haga clic en Añadir para añadir la
o miembro de los grupos Operadores de cuenta de servicio del agente de User-ID y asignarle permisos
servidor y Lectores de log de evento. para Modificar, Leer y ejecutar, Enumerar contenido de
carpeta y Leer; a continuación, haga clic en ACEPTAR para
guardar la configuración de la cuenta.
2. Otorgue permisos a la cuenta de servicio para el subárbol de
registro del agente de User-ID:
a. Ejecute regedit32 y desplácese hasta el subárbol de Palo
Alto Networks en una de las siguientes ubicaciones:
– Sistemas de 32 bits: HKEY_LOCAL_MACHINE\Software\
Palo Alto Networks
– Sistemas de 64 bits: HKEY_LOCAL_MACHINE\Software\

WOW6432Node\Palo Alto Networks
b. Haga clic con el botón derecho en el nodo de Palo Alto

Networks y seleccione Permisos.
c. Asigne a la cuenta de servicio de User-ID Control completo
y, a continuación, haga clic en ACEPTAR para guardar el
ajuste.
3. En el controlador de dominio, añada la cuenta de servicio a los
grupos integrados para habilitar privilegios para leer los eventos
de logs de seguridad (grupo Lectores de log de evento) y abrir
sesiones (grupo Operadores de servidor):
a. Ejecute MMC e inicie el complemento de usuarios y equipos
de Active Directory.
b. Desplácese hasta la carpeta Builtin del dominio y, a
continuación, haga clic con el botón derecho en cada grupo
que necesite editar (Lectores de log de evento y Operadores
de servidor) y seleccione Añadir al grupo para abrir el cuadro
de diálogo de propiedades.
c. Haga clic en Añadir e introduzca el nombre de la cuenta de
servicio que configuró para ser utilizada por el servicio de
User-ID y, a continuación, haga clic en Comprobar nombres
para validar que tiene el nombre de objeto adecuado.
d. Haga clic en ACEPTAR dos veces para guardar la
configuración.
222 User-ID
Configuración del agente de User-ID para la asignación de usuarios
El agente de User-ID de Palo Alto Networks es un servicio de Windows que se conecta con servidores de su
red (por ejemplo, servidores Active Directory, Microsoft Exchange y Novell eDirectory) y supervisa los logs en
busca de eventos de inicio de sesión y cierre de sesión. El agente utiliza esta información para asignar direcciones
IP a nombres de usuarios. Los cortafuegos de Palo Alto Networks se conectan con el agente de User-ID para
recuperar esta información de asignación de usuarios, habilitando la visibilidad de la actividad de los usuarios
por nombre de usuario en lugar de por dirección IP. Esto también habilita la aplicación de la seguridad basada
en usuarios y grupos.
Para obtener información sobre las versiones del sistema operativo del servidor admitidas por el
agente de User-ID, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés) en
las notas de versión de agente de User-ID, que están disponibles en la página Actualizaciones
de software de Palo Alto Networks.
Asignación de direcciones IP a usuarios mediante el agente de User-ID
User-ID 223
Asignación de direcciones IP a usuarios mediante el agente de User-ID (Continuación)
Paso 2 Defina los servidores que debería 1. Seleccione Identificación de usuarios > Descubrimiento.
supervisar el agente de User-ID para 2. En la sección Servidores de la pantalla, haga clic en Añadir.
recopilar información de asignación de
3. Introduzca un Nombre y una Dirección de servidor para el
direcciones IP a usuarios.
servidor que vaya a supervisarse. La dirección de red puede ser
El agente de User-ID puede supervisar un FQDN o una dirección IP.
hasta 100 servidores y escuchar mensajes 4. Seleccione el Tipo de servidor (Microsoft Active Directory,
de Syslog de hasta 100 emisores de Syslog. Microsoft Exchange, Novell eDirectory, o Emisor de syslog) y,
Recuerde que para recopilar todas las a continuación, haga clic en ACEPTAR para guardar la entrada
asignaciones necesarias, deberá del servidor. Repita este paso para este servidor que vaya a
conectarse a todos los servidores en los supervisarse.
que sus usuarios inician sesión para 5. (Opcional) Para permitir que el cortafuegos detecte
supervisar los archivos de log de automáticamente controladores de dominio en su red mediante
seguridad en todos los servidores que búsquedas de DNS, haga clic en Descubrir automáticamente.
contengan eventos de inicio de sesión. Nota La detección automática únicamente localiza los
controladores de dominio del dominio local; deberá añadir
manualmente los servidores Exchange, los servidores
eDirectory y los emisores de Syslog.
6. (Opcional) Para ajustar la frecuencia con la que el cortafuegos
sondea los servidores configurados en busca de información de
asignación, seleccione Identificación de usuarios >
Configuración y haga clic en Editar para editar la sección
Configuración. En la pestaña Supervisión de servidor,
modifique el valor del campo Frecuencia de supervisión de log
de servidor (segundos). La práctica recomendada es que
debería aumentar el valor de este campo a 5 segundos en
entornos con controladores de dominio de mayor antigüedad o
enlaces de alta latencia. Haga clic en ACEPTAR para guardar los
cambios.
224 User-ID
Paso 3 (Opcional) Si ha configurado el agente 1. Seleccione Identificación de usuarios > Configuración y haga
para que se conecte a un servidor Novell clic en Editar en la sección Configuración de la ventana.
eDirectory, debe especificar el modo en 2. Seleccione la pestaña eDirectory y, a continuación,
que el agente debería buscar el directorio. cumplimente los campos siguientes:
• Base de búsqueda: Punto de partida o contexto raíz para las
consultas del agente, por ejemplo: dc=domain1,
dc=example, dc=com .
• Enlazar nombre distintivo: Cuenta que debe utilizarse para

enlazarla con el directorio, por ejemplo: cn=admin, ou=IT,
dc=domain1, dc=example, dc=com .
• Enlazar contraseña: Contraseña de la cuenta de enlace. El

agente guardará la contraseña cifrada en el archivo de
configuración.
• Filtro de búsqueda: Consulta de búsqueda para entradas de
usuarios (el valor predeterminado es objectClass=Person ).
• Prefijo del dominio de servidor: Prefijo que identifica de
manera exclusiva al usuario. Esto solamente es obligatorio si
hay espacios de nombres solapados, como diferentes
usuarios con el mismo nombre de dos directorios diferentes.
• Utilizar SSL: Seleccione la casilla de verificación para utilizar
SSL para el enlace de eDirectory.
• Comprobar certificado de servidor: Seleccione la casilla de
verificación para comprobar el certificado de servidor de
eDirectory al utilizar SSL.
Paso 4 (Opcional) Habilite el sondeo de clientes. 1. En la pestaña Sondeo de clientes, seleccione la casilla de
verificación Habilitar sondeo de WMI y/o la casilla de
El sondeo de clientes es de utilidad en
verificación Habilitar sondeo de NetBIOS.
entornos en los que las direcciones IP no
están estrechamente ligadas a los usuarios, 2. Asegúrese de que el cortafuegos de Windows permitirá el
porque garantiza que las direcciones sondeo de clientes añadiendo una excepción de administración
asignadas anteriormente siguen siendo remota al cortafuegos de Windows para cada cliente sondeado.
válidas. Sin embargo, a medida que Nota Para que el sondeo de NetBIOS funcione de forma
aumenta el número total de direcciones IP efectiva, cada PC cliente sondeado debe proporcionar un
obtenidas, también lo hace la cantidad de puerto 139 en el cortafuegos de Windows y debe tener los
tráfico generado. La práctica servicios de uso compartido de archivos e impresoras
recomendada es habilitar el sondeo activados. El sondeo de WMI siempre es preferible antes
únicamente en segmentos de red en los que el sondeo de NetBIOS cuando sea posible.
que la rotación de direcciones IP sea
elevada.
Para obtener información más detallada
sobre la colocación de agentes de User-ID
mediante el sondeo de clientes, consulte
Architecting User Identification
(User-ID) Deployments (en inglés).
User-ID 225
Paso 5 Guarde la configuración. Haga clic en ACEPTAR para guardar los ajustes de configuración del
agente de User-ID y, a continuación, haga clic en Confirmar para
reiniciar el agente de User-ID y cargar los nuevos ajustes.
Paso 6 (Opcional) Defina el conjunto de usuarios Cree un archivo ignore_user_list.txt y guárdelo en la carpeta
para los que no necesite proporcionar User-ID Agent del servidor de dominio donde el agente esté
asignaciones de dirección IP a nombre de instalado.
usuario, como cuentas de servicio o Enumere las cuentas de usuario que deben ignorarse; no hay ningún
cuentas de kiosco. límite en el número de cuentas que puede añadir a la lista. Separe las
Nota También puede utilizar la lista entradas con un espacio. Por ejemplo:
ignore-user para identificar a usuarios SPAdmin SPInstall TFSReport
que desee obligar a autenticar mediante
un portal cautivo.
Paso 7 Configure los cortafuegos para Realice los siguientes pasos en cada cortafuegos que quiera conectar
conectarlos al agente de User-ID. al agente de User-ID para recibir asignaciones de usuarios:
1. Seleccione Dispositivo > Identificación de usuarios > Agentes
de User-ID y haga clic en Añadir.
2. Introduzca un Nombre para el agente de User-ID.
3. Introduzca la dirección IP del Host de Windows en el que está
instalado el agente de User-ID.
4. Introduzca el número de Puerto en el que el agente escuchará
solicitudes de asignación de usuarios. Este valor debe coincidir
con el valor configurado en el agente de User-ID. De manera
predeterminada, el puerto se establece como 5007 en el
cortafuegos y en versiones más recientes del agente de User-ID.
Sin embargo, algunas versiones anteriores del agente de User-ID
utilizan el puerto 2010 como valor predeterminado.
5. Asegúrese de que la configuración esté Habilitada y, a
continuación, haga clic en ACEPTAR.
7. Verifique que el estado Conectado aparece como
conectado.
226 User-ID
Paso 8 Verifique que el agente de User-ID está 1. Inicie el agente de User-ID y seleccione Identificación de
asignando correctamente direcciones IP a usuarios.
nombres de usuarios y que los 2. Verifique que el estado del agente muestra El agente se está
cortafuegos pueden conectarse con el ejecutando. Si el agente no se está ejecutando, haga clic en
agente. Iniciar.
3. Para verificar que el agente de User-ID se puede conectar con
servidores supervisados, asegúrese de que el estado de cada
servidor sea Conectado.
4. Para verificar que los cortafuegos se pueden conectar con el
agente de User-ID, asegúrese de que el estado de cada
dispositivo conectado sea Conectado.
5. Para verificar que el agente de User-ID está asignando
direcciones IP a nombres de usuarios, seleccione Supervisando
y asegúrese de que la tabla de asignaciones se cumplimenta.
También puede seleccionar Búsqueda para buscar usuarios
específicos o Eliminar para borrar asignaciones de usuarios de
la lista.
Configuración de la asignación de usuarios mediante el agente de User-ID

integrado en PAN-OS
El siguiente procedimiento muestra cómo configurar el agente integrado en PAN-OS en el cortafuegos para la
asignación de usuarios. El agente de User-ID integrado realiza las mismas tareas que el agente basado en
Windows a excepción del sondeo de clientes de NetBIOS (se admite el sondeo de WMI).
User-ID 227
Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado
Paso 1 Cree una cuenta de Active Directory • Servidores de dominio Windows 2008 o posteriores: Añada la
(AD) para el agente del cortafuegos que cuenta al grupo Lectores de log de evento. Si está utilizando el
tenga los niveles de privilegios necesarios agente de User-ID incluido en el dispositivo, la cuenta también
para iniciar sesión en cada servicio o host debe ser miembro del grupo Usuarios COM distribuidos.
que tenga la intención de supervisar para
• Servidores de dominio Windows 2003: Asigne permisos
recopilar datos de asignación de usuarios.
Gestionar logs de seguridad y auditoría a través de políticas de
grupo.
• Sondeo de WMI: Asegúrese de que la cuenta tiene los derechos
necesarios para leer el espacio de nombres CIMV2; de manera
predeterminada, las cuentas de administrador de dominio y
operador de servidor tienen este permiso.
• Autenticación de NTLM: Como el cortafuegos debe unirse al
dominio si está utilizando la autenticación de NTLM con un agente
de User-ID incluido en el dispositivo, la cuenta de Windows que
cree para el acceso a NTLM deberá tener privilegios
administrativos. Tenga en cuenta que, debido a las restricciones de
AD sobre los sistemas virtuales que se ejecutan en el mismo host,
si ha configurado varios sistemas virtuales, únicamente vsys1 podrá
unirse al dominio.
228 User-ID
Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuación)
Paso 2 Defina los servidores que debería 1. Seleccione Dispositivo > Identificación de usuarios >
supervisar el cortafuegos para recopilar Asignación de usuario.
información de asignación de dirección 2. En la sección Supervisor del servidor de la pantalla, haga clic en
IP a usuario. Puede definir entradas para Añadir.
hasta 100 servidores Microsoft Active
3. Introduzca un Nombre y una Dirección de red para el servidor.
Directory, Microsoft Exchange o Novell
La dirección de red puede ser un FQDN o una dirección IP.
eDirectory en su red.
4. Seleccione el Tipo de servidor.
Recuerde que para recopilar todas las
5. Asegúrese de que la casilla de verificación Habilitado está
asignaciones necesarias, deberá
seleccionada y, a continuación, haga clic en ACEPTAR.
conectarse a todos los servidores en los
que sus usuarios inician sesión para que el 6. (Opcional) Para permitir que el cortafuegos detecte
cortafuegos pueda supervisar los archivos automáticamente controladores de dominio en su red mediante
de log de seguridad en todos los búsquedas de DNS, haga clic en Descubrir.
servidores que contengan eventos de
inicio de sesión.
Nota La función de detección automática es únicamente para

controladores de dominio; deberá añadir manualmente los
servidores Exchange o eDirectory que desee supervisar.
7. (Opcional) Para ajustar la frecuencia con la que el cortafuegos
sondea servidores configurados para obtener información de
asignación, en la sección Configuración del agente de User-ID
de Palo Alto Networks de la pantalla, haga clic en el icono
Editar y, a continuación, seleccione la pestaña Supervisor
del servidor. Modifique el valor del campo Frecuencia del
supervisor de log del servidor (seg.). La práctica
recomendada es que debería aumentar el valor de este campo a
5 segundos en entornos con DC de mayor antigüedad o enlaces
de alta latencia. Haga clic en ACEPTAR para guardar los cambios.
Paso 3 Establezca las credenciales de dominio de 1. Haga clic en el icono Editar de la sección Configuración del
la cuenta que utilizará el cortafuegos para agente de User-ID de Palo Alto Networks de la pantalla.
acceder a recursos de Windows. Esto es 2. En la pestaña Autenticación de WMI, introduzca el Nombre de
necesario para supervisar servidores usuario y la Contraseña de la cuenta que se utilizará para
Exchange y controladores de dominio, así sondear los clientes y supervisar los servidores. Introduzca el
como para el sondeo de WMI. nombre de usuario mediante la sintaxis de dominio/nombre de
usuario.
User-ID 229
Asignación de direcciones IP a usuarios mediante el agente de User-ID integrado (Continuación)
Paso 4 (Opcional) Habilite el sondeo de WMI. 1. En la pestaña Sondeo de clientes, seleccione la casilla de
Nota El agente incluido en el dispositivo no verificación Habilitar pruebas.
admite el sondeo de NetBIOS; 2. (Opcional) Si es necesario, modifique el valor de Intervalo de
únicamente se admite en el agente de sondeo para garantizar que sea lo suficientemente largo para
User-ID basado en Windows. que se sondeen todas las direcciones IP obtenidas.
3. Asegúrese de que el cortafuegos de Windows permitirá el
sondeo de cliente añadiendo una excepción de administración
remota al cortafuegos de Windows para cada cliente sondeado.
Paso 5 Guarde la configuración. 1. Haga clic en Aceptar para guardar los ajustes de configuración
de agente de User-ID.
2. Haga clic en Confirmar para guardar la configuración.
Paso 6 (Opcional) Defina el conjunto de usuarios 1. Abra una sesión de CLI al cortafuegos.
para los que no necesite proporcionar 2. Para añadir la lista de cuentas de usuario para las que no desea
asignaciones de dirección IP a nombre de que el cortafuegos realice la asignación, ejecute el comando
usuario, como cuentas de servicio o siguiente:
cuentas de kiosco. set user-id-collector ignore-user <value>
Nota También puede utilizar la lista donde <value> es una lista de las cuentas de usuario que hay que
ignore-user para identificar a usuarios ignorar; no hay ningún límite en el número de cuentas que puede
que desee obligar a autenticar mediante añadir a la lista. Separe las entradas con un espacio y no incluya
un portal cautivo. el nombre de dominio con el nombre de usuario. Por ejemplo:
setuser-id-collectorignore-userSPAdminSPInstall
TFSReport
Paso 7 Verifique la configuración. 1. Desde la CLI, introduzca el siguiente comando:

show user server-monitor state all
2. En la pestaña Dispositivo > Identificación de usuarios >
Asignación de usuario de la interfaz web, verifique que el
Estado de cada servidor que ha configurado para la supervisión
de servidor está Conectado.
Configuración de User-ID para recibir asignaciones de usuarios desde un

emisor de Syslog
Los siguientes temas describen cómo configurar el agente de User-ID (ya sea el agente de Windows o el agente
integrado en el cortafuegos) como receptor de Syslog:
 Configuración del agente de User-ID integrado como receptor de Syslog
 Configuración del agente de User-ID de Windows como receptor de Syslog
230 User-ID
Configuración del agente de User-ID integrado como receptor de Syslog
El siguiente flujo de trabajo describe cómo configurar el agente de User-ID integrado en PAN-OS para recibir
mensajes de Syslog de servicios de autenticación.
El agente de User-ID integrado en PAN-OS acepta Syslogs únicamente a través de SSL y UDP.
Recopilación de asignaciones de usuarios de emisores de Syslog
Paso 1 Determine si hay un filtro de Syslog 1. Verifique que su base de datos de aplicaciones o aplicaciones y
predefinido para sus emisores de Syslog amenazas esté actualizada:
en concreto. a. Seleccione Dispositivo > Actualizaciones dinámicas.
Palo Alto Networks proporciona varios b. Haga clic en Comprobar ahora (ubicado en la esquina
filtros de Syslog predefinidos, que se inferior izquierda de la ventana) para comprobar las
distribuyen como actualizaciones de actualizaciones más recientes.
contenido de aplicación y, por lo tanto, se
c. Si hay una nueva actualización disponible, haga clic en
actualizan dinámicamente como filtros
Descargar e Instalar para descargarla e instalarla.
nuevos. Los filtros predefinidos son
generales para el cortafuegos, mientras 2. Compruebe qué filtros predefinidos están disponibles:
que los filtros manuales solo se aplican a a. Seleccione Dispositivo > Identificación de usuarios >
un sistema virtual. Asignación de usuario.
Nota Los filtros de Syslog nuevos de una b. En la sección Supervisor del servidor de la pantalla, haga clic
actualización de contenido en particular en Añadir.
se documentarán en la nota de versión
correspondiente junto con la regex c. Seleccione Emisor de syslog como el Tipo de servidor.
específica utilizada para definir el filtro. d. Seleccione el menú desplegable Filtro y compruebe si hay un
filtro para el fabricante y el producto desde los que tiene la
intención de reenviar Syslogs. Si el filtro que necesita está
disponible, vaya al Paso 5 para obtener instrucciones sobre
cómo definir los servidores. Si el filtro que necesita no está
disponible, vaya al Paso 2.
User-ID 231
Recopilación de asignaciones de usuarios de emisores de Syslog (Continuación)
Paso 2 Defina manualmente los filtros de Syslog 1. Revise los Syslogs generados por el servicio de autenticación
para extraer la información de asignación para identificar la sintaxis de los eventos de inicio de sesión.
de direcciones IP a nombres de usuario de Esto le permite crear los patrones de coincidencias que
User-ID desde mensajes de Syslog. permitirán que el cortafuegos identifique y extraiga los eventos
de autenticación de los Syslogs.
Para que el agente de User-ID los analice,
los mensajes de Syslog deben cumplir los Nota Mientras revisa los Syslogs, determine también si el nombre
siguientes criterios: de dominio se incluye en las entradas de log. Si los logs de
autenticación no contienen información de dominio,
• Cada mensaje de Syslog debe ser una
considere la opción de definir un nombre de dominio
cadena de texto de una sola línea. Los
personalizado cuando añada el emisor de Syslog a la lista de
saltos de línea están delimitados por un
servidores supervisados en el Paso 5.
retorno de carro y una nueva línea
(\r\n ) o por una nueva línea (\n ). 2. Seleccione Dispositivo > Identificación de usuarios >
• El tamaño máximo permitido de un Asignación de usuario y edite la sección Configuración del
mensaje de Syslog individual es de agente de User-ID de Palo Alto Networks.
2.048 bytes. 3. En la pestaña Filtrados de Syslog, haga clic en Añadir para
• Los mensajes de Syslog enviados a añadir un nuevo perfil de análisis de Syslog.
través de UDP deben estar incluidos en 4. Introduzca un nombre para el Perfil de análisis de Syslog.
un único paquete; los mensajes 5. Especifique el Tipo de análisis que debe utilizarse para filtrar y
enviados a través de SSL pueden descartar la información de asignación de usuarios
repartirse entre varios paquetes. seleccionando una de las opciones siguientes:
• Un único paquete puede contener
• Identificador Regex: Con este tipo de análisis puede
varios mensajes de Syslog.
especificar expresiones regulares para describir patrones de
búsqueda e identificar y extraer información de asignación de
usuario de los mensajes de Syslog. Vaya al Paso 3 para
obtener instrucciones sobre cómo crear los identificadores
regex.
• Identificador de campo: Con este tipo de análisis, se
especifica una cadena para que coincida con el evento de
autenticación y cadenas de prefijo y sufijo para identificar la
información de asignación de usuarios en los Syslogs. Vaya al
Paso 4 para obtener instrucciones sobre cómo crear los
identificadores de campo.
232 User-ID
Paso 3 Si seleccionó Identificador Regex como 1. Especifique cómo hacer coincidir eventos de autenticación
el Tipo de análisis, cree los patrones de correctos en los Syslogs introduciendo un patrón de
coincidencias de regex para identificar los coincidencias en el campo Regex de eventos. Por ejemplo,
eventos de autenticación y extraer la cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
información de asignación de usuarios. la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
El ejemplo siguiente muestra una
invertida antes del espacio es un carácter regex de "escape"
configuración de regex para mensajes de
estándar que indica al motor de regex que no trate el espacio
Syslog coincidentes con el siguiente
como carácter especial: (authentication\ success){1} .
formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator
2. Introduzca la regex para identificar el principio del nombre de
authentication success User:johndoe1 usuario en los mensajes de autenticaciones realizadas con éxito
Source:192.168.3.212
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena
User:johndoe1 en el mensaje de ejemplo y extraería
acme\johndoe1 como User-ID.
Nota Si los Syslogs no contienen información de dominio y

requiere nombres de dominio en sus asignaciones de
usuarios, asegúrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
Nota Si el Syslog contiene un espacio y/o una supervisado en el Paso 5.
tabulación independiente como 3. Introduzca la regex para identificar la parte de la dirección IP de
delimitador, debe utilizar \s (para un los mensajes de autenticación correcta en el campo Regex de
espacio) y/o \t (para una tabulación) con dirección. Por ejemplo, la expresión regular Source:([0-9]
el fin de que el agente analice el Syslog. {1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) coincidiría
con una dirección IPv4 (Source:192.168.0.212 en el Syslog
de ejemplo).
User-ID 233
Paso 4 Si seleccionó Identificador de campo 1. Especifique cómo hacer coincidir eventos de autenticación
como el Tipo de análisis, defina los correctos en los Syslogs introduciendo un patrón de
patrones de coincidencias de cadenas para coincidencias en el campo Cadena de eventos. Por ejemplo,
identificar los eventos de autenticación y cuando coincidan con el mensaje de Syslog de muestra, debería
extraer la información de asignación de introducir la cadena authentication success para identificar
usuarios. eventos de autenticación en el Syslog.
El ejemplo siguiente muestra una 2. Introduzca la cadena de coincidencia para identificar el principio
configuración de identificador de campo del campo del nombre de usuario en el mensaje de Syslog de
para mensajes de Syslog coincidentes con autenticación en el campo Prefijo de nombre de usuario. Por
el siguiente formato: ejemplo, la cadena User: identifica el principio del campo del
nombre de usuario en el Syslog de muestra.
authentication success User:johndoe1
Source:192.168.3.212 3. Introduzca el Delimitador de nombre de usuario para marcar
el final del campo del nombre de usuario en un mensaje de
Syslog de autenticación. Por ejemplo, si el nombre de usuario
está seguido de un espacio, debería introducir \s para indicar
que el campo del nombre de usuario está delimitado por un
espacio independiente en el log de muestra.
4. Introduzca la cadena de coincidencia para identificar el principio
del campo de la dirección IP en el log de eventos de
autenticación en el campo Prefijo de dirección. Por ejemplo, la
cadena Source: identifica el principio del campo de la dirección
en el log de ejemplo.
Nota Si el Syslog contiene un espacio y/o una
tabulación independiente como 5. Introduzca el Delimitador de dirección para marcar el final del
delimitador, debe utilizar \s (para un campo de la dirección IP en el mensaje de autenticación correcta
espacio) y/o \t (para una tabulación) con en el campo. Por ejemplo, si la dirección está seguida de un salto
el fin de que el agente analice el Syslog. de línea, debería introducir \n para indicar que el campo de la
dirección está delimitado por una nueva línea.
Paso 5 Defina los servidores que enviarán 1. Seleccione Dispositivo > Identificación de usuarios >
mensajes de Syslog al cortafuegos para la Asignación de usuario.
asignación de usuarios. 2. En la sección Supervisor del servidor de la pantalla, haga clic en
Puede definir hasta 50 emisores de Syslog Añadir.
por sistema virtual y hasta un total de 100 3. Introduzca un Nombre y una Dirección de red para el servidor.
servidores supervisados, incluidos 4. Seleccione Emisor de syslog como el Tipo de servidor.
emisores de Syslog o servidores Microsoft
5. Asegúrese de que la casilla de verificación Habilitado está
Active Directory, Microsoft Exchange o
seleccionada.
Novell eDirectory. El cortafuegos
descartará los mensajes de Syslog 6. (Opcional) Si los Syslogs que envía el dispositivo de
recibidos de servidores que no estén en autenticación no incluyen información de dominio en los logs
esta lista. de eventos de inicio de sesión, introduzca el Nombre de
dominio predeterminado que deberá adjuntarse a las
Nota Un emisor de Syslog que utilice SSL para
asignaciones de usuarios.
conectarse solamente mostrará el Estado
Conectado cuando haya una conexión 7. Haga clic en ACEPTAR para guardar la configuración.
SSL activa. Los emisores de Syslog que
utilicen UDP no mostrarán ningún valor
para Estado.
234 User-ID
Paso 6 Habilite servicios de receptor de Syslog 1. Seleccione Red > Perfiles de red > Gestión de interfaz y, a
en el perfil de gestión asociado a la continuación, seleccione un perfil de interfaz para editarlo o
interfaz utilizada para la asignación de haga clic en Añadir para crear un nuevo perfil.
usuarios. 2. Seleccione SSL de escucha de Syslog de User-ID y/o UDP de
escucha de Syslog de User-ID, dependiendo de los protocolos
que definió cuando configuró sus emisores de Syslog en la lista
Supervisión de servidor.
Nota En el agente de User-ID de Windows, el puerto de escucha
predeterminado para Syslog a través de UDP o TCP es 514,
pero el valor del puerto puede configurarse. Para la función
Asignación de usuario sin agente en el cortafuegos,
solamente se admiten Syslogs a través de UDP y SSL y los
puertos de escucha (514 para UDP y 6514 para SSL) no
pueden configurarse; se habilitan únicamente a través del
servicio de gestión.
interfaz.
Nota Incluso después de habilitar el servicio de receptor de
Syslog de User-ID en la interfaz, esta solamente aceptará
conexiones con Syslog desde servidores que tengan una
entrada correspondiente en la configuración de los
servidores supervisados de User-ID. Las conexiones o los
mensajes de servidores que no estén en la lista se
descartarán.
Paso 7 Guarde la configuración. Haga clic en Confirmar para guardar la configuración.
User-ID 235
Paso 8 Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1) Host: Syslog2(10.5.204.41)

number of log messages : 1000
number of auth. success messages : 1000
number of active connections : 0
total connections made : 4
Para ver cuántos mensajes de log entraron a través de emisores de Syslog y cuántas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name TYPE Host Vsys Status
-----------------------------------------------------------------------------
AD AD 10.2.204.43 vsys1 Connected
Syslog Servers:
Name Connection Host Vsys Status
-----------------------------------------------------------------------------
Syslog1 UDP 10.5.204.40 vsys1 N/A
Syslog2 SSL 10.5.204.41 vsys1 Not connected
Para ver cuántas asignaciones de usuarios se detectaron a través de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP Vsys From User IdleTimeout(s) M

axTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -
192.168.3.8 vsys1 SYSLOG acme\jreddick 2476 2
476
192.168.5.39 vsys1 SYSLOG acme\jdonaldson 2480 2
480
192.168.2.147 vsys1 SYSLOG acme\ccrisp 2476 2
476
192.168.2.175 vsys1 SYSLOG acme\jjaso 2476 2
476
192.168.4.196 vsys1 SYSLOG acme\jblevins 2480 2
480
192.168.4.103 vsys1 SYSLOG acme\bmoss 2480 2
480
192.168.2.193 vsys1 SYSLOG acme\esogard 2476 2
476
192.168.2.119 vsys1 SYSLOG acme\acallaspo 2476 2
476
192.168.3.176 vsys1 SYSLOG acme\jlowrie 2478 2
478
Total: 9 users
Configuración del agente de User-ID de Windows como receptor de Syslog
El siguiente flujo de trabajo describe cómo configurar un agente de User-ID basado en Windows para escuchar
Syslogs de servicios de autenticación.
El agente de User-ID de Windows acepta Syslogs únicamente a través de TCP y UDP.
236 User-ID
Configuración del agente de User-ID de Windows para recopilar asignaciones de usuarios de emisores de
Syslog
Paso 2 Defina manualmente los filtros de Syslog 1. Revise los Syslogs generados por el servicio de autenticación
para extraer la información de asignación para identificar la sintaxis de los eventos de inicio de sesión.
de direcciones IP a nombres de usuario de Esto le permite crear los patrones de coincidencias que
User-ID desde mensajes de Syslog. permitirán que el cortafuegos identifique y extraiga los eventos
de autenticación de los Syslogs.
Para que el agente de User-ID los analice,
los mensajes de Syslog deben cumplir los Nota Mientras revisa los Syslogs, determine también si el nombre
siguientes criterios: de dominio se incluye en las entradas de log. Si los logs de
autenticación no contienen información de dominio,
• Cada mensaje de Syslog debe ser una
considere la opción de definir un nombre de dominio
cadena de texto de una sola línea. Los
personalizado cuando añada el emisor de Syslog a la lista de
saltos de línea están delimitados por un
servidores supervisados en el Paso 5.
retorno de carro y una nueva línea
(\r\n ) o por una nueva línea (\n ). 2. Seleccione Identificación de usuarios > Configuración y haga
• El tamaño máximo permitido de un clic en Editar en la sección Configuración del cuadro de diálogo.
mensaje de Syslog individual es de 3. En la pestaña Syslog, haga clic en Añadir para añadir un nuevo
2.048 bytes. perfil de análisis de Syslog.
• Los mensajes de Syslog enviados a 4. Introduzca un Nombre de perfil y una Descripción.
través de UDP deben estar incluidos en 5. Especifique el Tipo de análisis que debe utilizarse para filtrar y
un único paquete; los mensajes descartar la información de asignación de usuarios
enviados a través de SSL pueden seleccionando una de las opciones siguientes:
repartirse entre varios paquetes.
• Regex: Con este tipo de análisis puede especificar
• Un único paquete puede contener
expresiones regulares para describir patrones de búsqueda e
varios mensajes de Syslog.
identificar y extraer información de asignación de usuarios de
los mensajes de Syslog. Vaya al Paso 3 para obtener
instrucciones sobre cómo crear los identificadores regex.
• Campo: Con este tipo de análisis, se especifica una cadena
para que coincida con el evento de autenticación y cadenas de
prefijo y sufijo para identificar la información de asignación
de usuarios en los Syslogs. Vaya al Paso 4 para obtener
instrucciones sobre cómo crear los identificadores de campo.
User-ID 237
Syslog (Continuación)
Paso 3 Si seleccionó Regex como el Tipo de 1. Especifique cómo hacer coincidir eventos de autenticación
análisis, cree los patrones de coincidencias correctos en los Syslogs introduciendo un patrón de
de regex para identificar los eventos de coincidencias en el campo Regex de eventos. Por ejemplo,
autenticación y extraer la información de cuando se hacen coincidir con el mensaje de Syslog del ejemplo,
asignación de usuarios. la siguiente regex pide al cortafuegos que extraiga la primera {1}
instancia de la cadena authentication success. La barra
El ejemplo siguiente muestra una
invertida antes del espacio es un carácter regex de "escape"
configuración de Regex para mensajes de
estándar que indica al motor de regex que no trate el espacio
Syslog coincidentes con el siguiente
como carácter especial: (authentication\ success){1} .
formato:
2. Introduzca la regex para identificar el principio del nombre de
authentication success User:johndoe1 usuario en los mensajes de autenticaciones realizadas con éxito
Source:192.168.3.212
en el campo Regex de nombre de usuario. Por ejemplo, la
regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena
User:johndoe1 en el mensaje de ejemplo y extraería
acme\johndoe1 como User-ID.
Nota Si los Syslogs no contienen información de dominio y

requiere nombres de dominio en sus asignaciones de
usuarios, asegúrese de introducir el Nombre de dominio
predeterminado al definir la entrada del servidor
supervisado en el Paso 5.
3. Introduzca la regex para identificar la parte de la dirección IP de
Nota Si el Syslog contiene un espacio y/o una los mensajes de autenticación correcta en el campo Regex de
tabulación independiente como dirección. Por ejemplo, la expresión regular Source:([0-9]
delimitador, debe utilizar \s (para un {1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) coincidiría
espacio) y/o \t (para una tabulación) con con una dirección IPv4 (Source:192.168.0.212 en el Syslog
el fin de que el agente analice el Syslog. de ejemplo).
238 User-ID
Paso 4 Si seleccionó Identificador de campo 1. Especifique cómo hacer coincidir eventos de autenticación
como el Tipo de análisis, defina los correctos en los Syslogs introduciendo un patrón de
patrones de coincidencias de cadenas para coincidencias en el campo Cadena de eventos. Por ejemplo,
identificar los eventos de autenticación y cuando coincidan con el mensaje de Syslog de muestra, debería
extraer la información de asignación de introducir la cadena authentication success para identificar
usuarios. eventos de autenticación en el Syslog.
El ejemplo siguiente muestra una 2. Introduzca la cadena de coincidencia para identificar el principio
configuración de identificador de campo del campo del nombre de usuario en el mensaje de Syslog de
para mensajes de Syslog coincidentes con autenticación en el campo Prefijo de nombre de usuario. Por
el siguiente formato: ejemplo, la cadena User: identifica el principio del campo del
nombre de usuario en el Syslog de muestra.
authentication success User:johndoe1
Source:192.168.3.212 3. Introduzca el Delimitador de nombre de usuario para marcar
el final del campo del nombre de usuario en un mensaje de
Syslog de autenticación. Por ejemplo, si el nombre de usuario
está seguido de un espacio, debería introducir \s para indicar
que el campo del nombre de usuario está delimitado por un
espacio independiente en el log de muestra.
4. Introduzca la cadena de coincidencia para identificar el principio
del campo de la dirección IP en el log de eventos de
autenticación en el campo Prefijo de dirección. Por ejemplo, la
cadena Source: identifica el principio del campo de la dirección
en el log de ejemplo.
Nota Si el Syslog contiene un espacio y/o una 5. Introduzca el Delimitador de dirección para marcar el final del
tabulación independiente como campo de la dirección IP en el mensaje de autenticación correcta
delimitador, debe utilizar \s (para un en el campo. Por ejemplo, si la dirección está seguida de un salto
espacio) y/o \t (para una tabulación) con de línea, debería introducir \n para indicar que el campo de la
el fin de que el agente analice el Syslog. dirección está delimitado por una nueva línea.
Paso 5 Habilite el servicio de escucha de Syslog 1. Seleccione la casilla de verificación Habilitar servicio de Syslog.
en el agente. 2. (Opcional) Modifique el número del Puerto del servicio de
Syslog para que coincida con el número del puerto utilizado por
el emisor de Syslog (valor predeterminado = 514).
3. Para guardar la configuración de Syslog de agente, haga clic en
ACEPTAR.
Paso 6 Defina los servidores que enviarán 1. Seleccione Identificación de usuarios > Descubrimiento.
mensajes de Syslog al agente de User-ID. 2. En la sección Servidores de la pantalla, haga clic en Añadir.
Puede definir hasta 100 emisores de 3. Introduzca un Nombre y una Dirección de servidor para el
Syslog. El agente de User-ID descartará servidor que vaya a enviar Syslogs al agente.
los mensajes de Syslog recibidos de 4. Seleccione Emisor de syslog como el Tipo de servidor.
servidores que no estén en esta lista.
5. Seleccione un Filtro que definió en el Paso 2.
6. (Opcional) Si los Syslogs que envía el dispositivo de autenticación no
incluyen información de dominio en los logs de eventos de inicio de
sesión, introduzca el Nombre de dominio predeterminado que
deberá adjuntarse a las asignaciones de usuarios.
User-ID 239
Paso 7 Guarde la configuración. Haga clic en Confirmar para guardar la configuración.
Paso 8 Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación, ejecutando los
siguientes comandos de la CLI:
Para ver el estado de un emisor de Syslog en concreto:

admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1) Host: Syslog2(10.5.204.41)

number of log messages : 1000
number of auth. success messages : 1000
number of active connections : 0
total connections made : 4
Para ver cuántos mensajes de log entraron a través de emisores de Syslog y cuántas entradas se asignaron correctamente:
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name TYPE Host Vsys Status
-----------------------------------------------------------------------------
AD AD 10.2.204.43 vsys1 Connected
Syslog Servers:
Name Connection Host Vsys Status
-----------------------------------------------------------------------------
Syslog1 UDP 10.5.204.40 vsys1 N/A
Syslog2 SSL 10.5.204.41 vsys1 Not connected
Para ver cuántas asignaciones de usuarios se detectaron a través de emisores de Syslog:

admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP Vsys From User IdleTimeout(s) M

axTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -
192.168.3.8 vsys1 SYSLOG acme\jreddick 2476 2
476
192.168.5.39 vsys1 SYSLOG acme\jdonaldson 2480 2
480
192.168.2.147 vsys1 SYSLOG acme\ccrisp 2476 2
476
192.168.2.175 vsys1 SYSLOG acme\jjaso 2476 2
476
192.168.4.196 vsys1 SYSLOG acme\jblevins 2480 2
480
192.168.4.103 vsys1 SYSLOG acme\bmoss 2480 2
480
192.168.2.193 vsys1 SYSLOG acme\esogard 2476 2
476
192.168.2.119 vsys1 SYSLOG acme\acallaspo 2476 2
476
192.168.3.176 vsys1 SYSLOG acme\jlowrie 2478 2
478
Total: 9 users
240 User-ID
Asignación de direcciones IP a nombres de usuario mediante un portal

cautivo
Si el cortafuegos recibe una solicitud de una zona que tiene habilitado identificación de usuarios (User-ID) y la
dirección IP de origen no tiene datos de usuario asociados con la misma todavía, comprobará su política de
portal cautivo en busca de una coincidencia para determinar si se realizará la autenticación. Esto es de utilidad
en entornos donde tenga clientes que no hayan iniciado sesión en sus servidores de dominio, como clientes
Linux. Este método de asignación de usuarios únicamente se activa para el tráfico web (HTTP o HTTPS) que
coincida con una política/regla de seguridad, pero que no se haya asignado utilizando un método diferente.
Métodos de autenticación de portal cautivo
El portal cautivo utiliza los siguientes métodos para obtener datos de usuario del cliente cuando una solicitud
coincide con una política de portal cautivo:
Método de autenticación Descripción
Autenticación de NTLM El cortafuegos utiliza un mecanismo de respuesta por desafío cifrado para obtener
las credenciales del usuario desde el explorador. Si se configura correctamente, el
explorador proporcionará las credenciales al cortafuegos de manera transparente
sin preguntar al usuario, pero mostrará un mensaje de solicitud de credenciales si es
necesario. Si el explorador no puede realizar la autenticación NTLM o esta falla, el
cortafuegos retrocederá a una autenticación con formato web o certificado de
cliente, dependiendo de su configuración de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows.
Formato web Las solicitudes se redirigen a un formato web para su autenticación. Puede
configurar un portal cautivo para que utilice una base de datos de usuario local,
RADIUS, LDAP o Kerberos para autenticar usuarios. Aunque siempre se
solicitarán las credenciales a los usuarios, este método de autenticación funciona
con todos los exploradores y sistemas operativos.
Certificado de autenticación de cliente Solicita al explorador que presente un certificado de cliente válido para autenticar al
usuario. Para utilizar este método debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el cortafuegos. Este es el único método de autenticación que
habilita una autenticación transparente para clientes de Mac OS y Linux.
User-ID 241
Modos de portal cautivo
El modo de portal cautivo define cómo se capturan las solicitudes para su autenticación:
Modo Descripción
Transparente El cortafuegos intercepta el tráfico del explorador mediante la regla de portal

cautivo y representa la URL de destino original, emitiendo un HTTP 401 para
invocar la autenticación. Sin embargo, como el cortafuegos no tiene el certificado
real para la URL de destino, el explorador mostrará un error de certificado a los
usuarios que intenten acceder a un sitio seguro. Por lo tanto, únicamente debería
utilizar este modo cuando sea absolutamente necesario, como en implementaciones
de capa 2 o cable virtual (Virtual Wire).
Redirigir El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y las redirige
a una interfaz de capa 3 en el cortafuegos utilizando una redirección HTTP 302
para realizar la autenticación. Este es el modo preferido porque proporciona una
mejor experiencia de usuario final (sin errores de certificado). Sin embargo, requiere
una configuración de capa 3 adicional. Otra ventaja del modo Redirigir es que
permite el uso de cookies de sesión, que permiten que el usuario siga explorando
sitios autenticados sin tener que volver a asignar cada vez que venza el tiempo. Esto
es de especial utilidad para los usuarios que se desplazan de una dirección IP a otra
(por ejemplo, de la LAN corporativa a la red inalámbrica) porque no tendrán que
volver a autenticar al cambiar de dirección IP siempre que la sesión permanezca
abierta. Además, si tiene la intención de utilizar la autenticación de NTLM, deberá
utilizar el modo Redirigir porque el explorador únicamente proporcionará
credenciales a sitios fiables.
Configuración de portal cautivo
El siguiente procedimiento muestra cómo configurar un portal cautivo utilizando el agente de User-ID
integrado en PAN-OS para redirigir solicitudes que coincidan con una política de portal cautivo a una interfaz
de capa 3 en el cortafuegos.
Si tiene la intención de utilizar un portal cautivo sin utilizar las otras funciones de User-ID
(asignación de usuarios y grupos), no necesita configurar un agente.
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS
Paso 1 Asegúrese de que el cortafuegos tiene En esta versión del producto, el cortafuegos debe ser capaz de
una ruta hacia los servidores que comunicarse con los servidores a través de la interfaz de gestión, así
supervisará para recopilar datos de que debe asegurarse de que la red en la que se encuentran sus
usuario (por ejemplo, sus controladores servidores de directorio es accesible desde esta interfaz. Si esta
de dominio y sus servidores Exchange). configuración no funciona en su entorno, deberá configurar el portal
cautivo utilizando el agente de User-ID basado en Windows.
Paso 2 Asegúrese de que DNS está configurado Para verificar que la resolución es correcta, haga ping en el FQDN
para resolver sus direcciones de del servidor. Por ejemplo:
controlador de dominio. admin@PA-200> ping host dc1.acme.com
242 User-ID
Configuración de portal cautivo mediante el agente de User-ID integrado en PAN-OS (Continuación)
Paso 3 (Únicamente en el modo Redirigir) Cree 1. Cree un perfil de gestión para habilitar la interfaz para que
una interfaz de capa 3 a la que redirigir muestre páginas de respuesta de portal cautivo:
solicitudes de portal cautivo. a. Seleccione Red > Gestión de interfaz y haga clic en Añadir.
b. Introduzca un Nombre para el perfil, seleccione Páginas de
respuesta y, a continuación, haga clic en Aceptar.
2. Cree la interfaz de capa 3. Asegúrese de adjuntar el perfil de
gestión que creó en el Paso 1 (en la pestaña Avanzada > Otra
información del cuadro de diálogo Interfaz Ethernet).
3. Cree un registro DNS “A” que asigne la dirección IP que
configuró en la interfaz de capa 3 a un nombre de host de
intranet (es decir, un nombre de host que no tiene ningún punto
en el nombre, como ntlmhost ).
Paso 4 (Únicamente en el modo Redirigir) Para Para utilizar un certificado autofirmado, primero deberá crear un
redirigir usuarios de forma transparente certificado de CA raíz y, a continuación, utilizar esa CA para firmar
sin mostrar errores de certificado, instale el certificado que utilizará para el portal cautivo de la manera
un certificado que coincida con la siguiente:
dirección IP de la interfaz a la que está 1. Para crear un certificado de CA raíz, seleccione Dispositivo >
redirigiendo solicitudes. Puede generar un Gestión de certificados > Certificados > Certificados de
certificado autofirmado o importar un dispositivos y, a continuación, haga clic en Generar. Introduzca
certificado firmado por una CA externa. un Nombre de certificado, como RootCA. No seleccione
Nota Al configurar un portal cautivo por ningún valor en el campo Firmado por (esto es lo que indica que
primera vez, puede que los certificados está autofirmado). Asegúrese de seleccionar la casilla de
importados no funcionen. Si tiene la verificación Autoridad del certificado y, a continuación, haga
intención de utilizar un certificado clic en Generar para generar el certificado.
importado, complete la configuración 2. Para crear el certificado que se utilizará para el portal cautivo,
inicial sin especificar un Certificado de haga clic en Generar. Introduzca un Nombre de certificado e
servidor. Después de poner en introduzca el nombre de DNS del host de intranet para la
funcionamiento el portal cautivo, podrá interfaz como el Nombre común. En el campo Firmado por,
volver y cambiar al certificado importado. seleccione la CA que creó en el paso anterior. Añada un atributo
de dirección IP y especifique la dirección IP de la interfaz de
capa 3 a la que redirigirá las solicitudes. Seleccione Generar el
certificado.
3. Para configurar clientes para que confíen en el certificado,

seleccione el certificado de CA en la pestaña Certificados de
dispositivos y haga clic en Exportar. A continuación deberá
importar el certificado como una CA raíz de confianza en todos
los exploradores de cliente, ya sea configurando manualmente el
explorador o añadiendo el certificado a las raíces de confianza
en un objeto de directiva de grupo (GPO) de Active Directory.
User-ID 243
Paso 5 Configure un mecanismo de 1. Configure el cortafuegos para conectarse al servicio de

autenticación para utilizarlo cuando se autenticación que tiene intención de utilizar para que pueda
invoque el formato web. Tenga en cuenta acceder a las credenciales de autenticación.
que aunque tenga la intención de utilizar • Si tiene la intención de autenticar mediante LDAP, Kerberos
NTLM, también deberá configurar un o RADIUS, deberá crear un perfil de servidor que indique al
mecanismo de autenticación secundario cortafuegos cómo conectarse al servidor y acceder a las
que pueda utilizarse si falla la credenciales de autenticación de sus usuarios. Seleccione
autenticación de NTLM o si el agente de Dispositivo > Perfiles de servidor y añada un nuevo perfil
usuario no la admite. para el servicio específico al que accederá.
Prácticas recomendadas: • Si tiene la intención de utilizar una autenticación de base de
• Si utiliza RADIUS para autenticar a datos local, primero deberá crear la base de datos local.
usuarios desde el formato web, Seleccione Dispositivo > Base de datos de usuario local y
asegúrese de introducir un dominio de añada los usuarios y grupos que se autenticarán.
RADIUS. Esto se utilizará como el 2. Cree un perfil de autenticación que haga referencia al perfil de
dominio predeterminado si los servidor o base de datos de usuario local que acaba de crear.
usuarios no proporcionan uno al iniciar Seleccione Dispositivo > Perfil de autenticación y añada un
sesión. nuevo perfil para utilizarlo con el portal cautivo. Para obtener
• Si utiliza AD para autenticar a usuarios información detallada sobre cómo crear un tipo específico de
desde el formato web, asegúrese de perfil de autenticación, consulte la ayuda en línea.
introducir sAMAccountName como
LogonAttribute.
244 User-ID
Paso 6 (Opcional) Configure la autenticación de 1. Genere certificados para cada usuario que vaya a autenticar
certificado de cliente. Tenga en cuenta mediante el portal cautivo.
que no necesita configurar tanto un perfil 2. Descargue el certificado de CA en el formato Base64.
de autenticación como un perfil de
3. Importe el certificado de CA raíz desde la CA que generó los
certificado de cliente para habilitar el
certificados de cliente al cortafuegos:
portal cautivo. Si configura los dos, el
usuario deberá autenticar utilizando los a. Seleccione Dispositivo > Gestión de certificados >
dos métodos. Certificados > Certificados de dispositivos y haga clic en
Importar.
Nota Consulte la ayuda en línea para obtener
detalles de otros campos de perfil de b. Introduzca un Nombre de certificado que identifique al
certificado, como si debe usar CRL u certificado como su certificado de CA de cliente.
OCSP. c. Seleccione Examinar para desplazarse al Archivo del
certificado que descargó de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuación, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaña
Certificados de dispositivos para abrirlo.
f. Seleccione CA raíz de confianza y, a continuación, haga clic
en Aceptar.
4. Cree el perfil de certificado de cliente que utilizará cuando
configure el portal cautivo.
a. Seleccione Dispositivo > Certificados > Gestión de
certificados > Perfil del certificado, haga clic en Añadir e
introduzca un Nombre de perfil.
b. En el menú desplegable Campo de nombre de usuario,
seleccione el campo de certificado que contenga la
información de la identidad del usuario.
c. En el campo Certificados de CA, haga clic en Añadir,
seleccione el certificado de CA raíz de confianza que importó
en el Paso 3 y, a continuación, haga clic en ACEPTAR.
Paso 7 Habilite la autenticación de NTLM. 1. Seleccione Dispositivo > Identificación de usuarios >
Nota Al utilizar el agente de identificación de Asignación de usuario y haga clic en el icono Editar de la
usuarios incluido en el dispositivo, el sección Configuración del agente de User-ID de Palo Alto
cortafuegos debe poder resolver Networks de la pantalla.
correctamente el nombre de DNS de su 2. En la pestaña NTLM, seleccione la casilla de verificación
controlador de dominio para que el Habilitar procesamiento de autenticación de NTLM.
cortafuegos se una al dominio. Las 3. Introduzca el dominio de NTLM con el que el agente de
credenciales que proporcione aquí se User-ID del cortafuegos debería comprobar las credenciales de
utilizarán para unir el cortafuegos al NTLM.
dominio tras la correcta resolución de
4. Introduzca el nombre de usuario y la contraseña de la cuenta de
DNS.
Active Directory que creó en el Paso 1 de Asignación de
direcciones IP a usuarios mediante el agente de User-ID
integrado para la autenticación de NTLM.
User-ID 245
Paso 8 Configure los ajustes del portal cautivo.

1. Seleccione Dispositivo > Identificación de
usuarios > Configuración de portal cautivo
y haga clic en el icono Editar de la sección
Portal cautivo de la pantalla.
2. Asegúrese de que la casilla de verificación
Habilitado está seleccionada.
3. Establezca el Modo. Este ejemplo muestra
cómo configurar el modo Redirigir.
4. (Únicamente en el modo Redirigir)
Seleccione el Certificado de servidor que el
cortafuegos debería utilizar para redirigir
solicitudes a través de SSL. Este es el
certificado que creó en el Paso 4.
5. (Únicamente en el modo Redirigir) Especifique el valor de Redirigir host, que es el nombre de host de
intranet que resuelve a la dirección IP de la interfaz de capa 3 a la que está redirigiendo solicitudes, según lo
especificado en el Paso 3.
6. Seleccione el método de autenticación que deberá utilizarse si falla NTLM (o si no está utilizando NTLM):
• Si está utilizando la autenticación de LDAP, Kerberos, RADIUS o base de datos local, seleccione el Perfil
de autenticación que creó en el Paso 5.
• Si está utilizando la autenticación de certificado de cliente, seleccione el Perfil de certificado que creó en
el Paso 6.
8. Haga clic en Confirmar para guardar la configuración de portal cautivo.
Configuración de la asignación de usuarios para usuarios del servidor de

terminal
Los usuarios individuales del servidor de terminal parecen tener la misma dirección IP y, por lo tanto, una
asignación de direcciones IP a nombres de usuarios no es suficiente para identificar a un usuario específico. Para
habilitar la identificación de usuarios específicos en servidores de terminal basados en Windows, el agente de
servicios de terminal (agente de TS) de Palo Alto Networks asignará un intervalo de puertos a cada usuario.
A continuación, notificará a cada cortafuegos conectado sobre el intervalo de puertos asignado, lo que permitirá
que el cortafuegos cree una tabla de asignaciones de direcciones IP, puertos y usuarios y habilite la aplicación de
políticas de seguridad basadas en usuarios y grupos. Para los servidores de terminal que no sean de Windows,
puede configurar la API XML de User-ID para que extraiga información de asignación de usuarios.
Las siguientes secciones describen cómo configurar la asignación de usuarios para usuarios del servidor de
terminal:
 Configuración del agente de servidor de terminal de Palo Alto Networks para la asignación de
usuarios
 Recuperación de asignaciones de usuarios de un servidor de terminal mediante la API XML de
User-ID
246 User-ID
Configuración del agente de servidor de terminal de Palo Alto Networks para la

asignación de usuarios
Utilice el siguiente procedimiento para instalar el agente de TS en el servidor de terminal. Debe instalar el agente
de TS en todos los servidores de terminal en los que sus usuarios inicien sesión para asignar correctamente a
todos sus usuarios.
Para obtener información sobre los servidores de terminal admitidos por el agente de TS,
consulte “Operating System (OS) Compatibility TS Agent” (en inglés) en las notas de versión de
agente de servicios de terminal, que están disponibles en la página Actualizaciones de software
de Palo Alto Networks.
Instalación del agente de servidor de terminal de Windows
Paso 1 Descargue el instalador de agente de TS. 1. Vaya a https://support.paloaltonetworks.com y haga clic en

Inicio de sesión para iniciar sesión en la asistencia técnica de
Palo Alto Networks.
2. Seleccione Actualizaciones de software en la sección
Gestionar dispositivos.
3. Desplácese hasta la sección Terminal Services Agent y haga
clic en Descargar para descargar la versión del agente que
quiera instalar.
4. Guarde el archivo TaInstall64.x64-x.x.x-xx.msi o
TaInstall-x.x.x-xx.msi (asegúrese de seleccionar la versión
adecuada basándose en si el sistema Windows está ejecutando
un sistema operativo de 32 bits o de 64 bits) en los sistemas en
los que tenga la intención de instalar el agente.
Paso 2 Ejecute el instalador como administrador. 1. Para iniciar una línea de comandos como administrador, haga
clic en Iniciar, haga clic con el botón derecho en Línea de
comandos y, a continuación, seleccione Ejecutar como
administrador.
2. Desde la línea de comandos, ejecute el archivo .msi que ha
descargado. Por ejemplo, si guardó el archivo .msi en el
escritorio, debería introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-6.0.
0-1.msi
3. Siga los mensajes de configuración para instalar el agente con los
ajustes predeterminados. De manera predeterminada, el agente
se instala en la carpeta C:\Program Files (x86)\Palo Alto
Networks\Terminal Server Agent , pero puede hacer clic en
Examinar para seleccionar una ubicación diferente.
4. Cuando finalice la instalación, haga clic en Cerrar para cerrar la
ventana de configuración.
Nota Si está actualizando a una versión de agente de TS con un
controlador más reciente que el de la instalación existente,
el asistente de instalación le solicitará reiniciar el sistema
después de actualizar con el fin de utilizar el controlador
más reciente.
User-ID 247
Instalación del agente de servidor de terminal de Windows (Continuación)
Paso 3 Inicie la aplicación del agente de servidor Haga clic en Iniciar y seleccione Agente de servidor de terminal.
de terminal.
Paso 4 Defina el intervalo de puertos para el 1. Seleccione Configurar.

agente de TS que debe asignarse a los 2. Establezca el Intervalo de asignación del puerto de origen
usuarios finales. (valor predeterminado: 20000-39999). Este es el intervalo
completo de números de puertos que el agente de TS adjudicará
para la asignación de usuarios. El intervalo de puertos que
especifique no puede solaparse con el Intervalo de asignación
del puerto de origen del sistema.
3. (Opcional) Si hay puertos/intervalos de puertos en la asignación
del puerto de origen que no desea que el agente de TS adjudique
a sesiones de usuario, especifíquelos como Puertos de origen
reservados. Para incluir varios intervalos, utilice comas sin
espacios, por ejemplo: 2000-3000,3500,4000-5000 .
4. Especifique el número de puertos que deben asignarse a cada
usuario individual tras su inicio de sesión en el servidor de
terminal en el campo Tamaño de inicio de asignación de
Nota Los campos Intervalo de asignación del puertos por usuario (valor predeterminado: 200).
puerto de origen del sistema y Puertos 5. Especifique el Tamaño máximo de asignación de puertos por
de origen reservados del sistema usuario, que es el número máximo de puertos que el agente de
especifican el intervalo de puertos que se servidor de terminal puede asignar a un usuario individual.
asignará a las sesiones que no sean de
6. Especifique si desea continuar procesando el tráfico del usuario
usuarios. Asegúrese de que los valores
si el usuario se queda sin puertos asignados. De manera
especificados en estos campos no se
predeterminada, está seleccionada la opción Fallo en el enlace
solapan con los puertos que designó para
de puertos cuando se utilizan los puertos disponibles, que
el tráfico de usuarios. Estos valores
indica que la aplicación no enviará tráfico cuando se hayan
solamente pueden cambiarse editando los
utilizado todos los puertos. Para habilitar a los usuarios para que
correspondientes ajustes de registro de
sigan utilizando aplicaciones cuando se queden sin puertos,
Windows.
cancele la selección de esta casilla de verificación. Recuerde que
puede que este tráfico no se identifique con User-ID.
248 User-ID
Instalación del agente de servidor de terminal de Windows (Continuación)
Paso 5 Configure los cortafuegos para Realice los siguientes pasos en cada cortafuegos que quiera conectar
conectarlos al agente de servidor de al agente de servidor de terminal para recibir asignaciones de
terminal. usuarios:
1. Seleccione Dispositivo > Identificación de usuarios > Agentes
de servidor de terminal y haga clic en Añadir.
2. Introduzca un Nombre para el agente de servidor de terminal.
3. Introduzca la dirección IP del Host de Windows en el que está
instalado el agente de servidor de terminal.
4. Introduzca el número de Puerto en el que el agente escuchará
solicitudes de asignación de usuarios. Este valor debe coincidir
con el valor configurado en el agente de servidor de terminal.
De manera predeterminada, el puerto se establece como 5009
en el cortafuegos y en el agente. Si lo cambia aquí, también debe
cambiar el campo Puerto de escucha en la pantalla Configurar
del agente de servidor de terminal.
7. Verifique que el estado Conectado aparece como
conectado.
Paso 6 Verifique que el agente de servidor de 1. Inicie el agente de servidor de terminal y verifique que los
terminal está asignando correctamente cortafuegos pueden conectarse asegurándose de que el Estado
direcciones IP a nombres de usuarios y de conexión de cada dispositivo de la lista de conexión es
que los cortafuegos pueden conectarse Conectado.
con el agente. 2. Para verificar que el agente de servidor de terminal está
asignando correctamente intervalos de puertos a nombres de
usuarios, seleccione Supervisando y asegúrese de que la tabla de
asignaciones se cumplimenta.
User-ID 249
Recuperación de asignaciones de usuarios de un servidor de terminal mediante la API

XML de User-ID
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estándar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o
usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de
la REST.
Para habilitar un servidor de terminal que no sea de Windows para que envíe información de asignación de
usuarios directamente al cortafuegos, cree secuencias de comandos que extraigan los eventos de inicio de sesión
y cierre de sesión de usuarios y utilícelas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuación defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget y proporcionando la clave de API del cortafuegos para lograr comunicaciones seguras. La creación de
asignaciones de usuarios desde sistemas multiusuario como servidores de terminal requiere el uso de los
siguientes mensajes de la API:
 <multiusersystem>: Establece la configuración para un sistema multiusuario de la API XML en el

cortafuegos. Este mensaje permite la definición de la dirección IP de servidor de terminal (esta será la
dirección de origen para todos los usuarios de ese servidor de terminal). Además, el mensaje de
configuración <multiusersystem> especifica el intervalo de números de puertos de origen que debe
adjudicarse para la asignación de usuarios y el número de puertos que debe adjudicarse a cada usuario
individual después de iniciar sesión (lo que se denomina tamaño de bloque). Si quiere utilizar el intervalo de
asignación del puerto de origen predeterminado (1025-65534) y el tamaño de bloque (200), no necesita
enviar un evento de configuración <multiusersystem> al cortafuegos. En vez de eso, el cortafuegos generará
automáticamente la configuración del sistema multiusuario de la API XML con los ajustes predeterminados
tras recibir el primer mensaje de evento de inicio de sesión de usuario.
 <blockstart>: Se utiliza con los mensajes <login> y <logout> para indicar el número de puerto de
origen de partida asignado al usuario. A continuación, el cortafuegos utiliza el tamaño de bloque para
determinar el intervalo de números de puertos que debe asignarse a la dirección IP y al nombre de usuario
del mensaje de inicio de sesión. Por ejemplo, si el valor de <blockstart> es 13200 y el tamaño de bloque
configurado para el sistema multiusuario es 300, el intervalo del puerto de origen asignado al usuario es del
13200 al 13499. Cada conexión iniciada por el usuario debería utilizar un número de puerto de origen
exclusivo dentro del intervalo asignado, permitiendo que el cortafuegos identifique al usuario basándose en
sus asignaciones de direcciones IP, puertos y usuarios para la aplicación de reglas de políticas de seguridad
basadas en usuarios y grupos. Cuando un usuario agota todos los puertos asignados, el servidor de terminal
debe enviar un nuevo mensaje <login> que asigne un nuevo intervalo de puertos para el usuario con el fin
de que el cortafuegos pueda actualizar la asignación de direcciones IP, puertos y usuarios. Además, un único
nombre de usuario puede tener varios bloques de puertos asignados simultáneamente. Cuando un
cortafuegos recibe un mensaje <logout> que incluye un parámetro <blockstart> , elimina la correspondiente
asignación de dirección IP, puerto y usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un
mensaje <logout> con un nombre de usuario y una dirección IP, pero sin <blockstart> , elimina al usuario
de su tabla. Y si el cortafuegos recibe un mensaje <logout> únicamente con una dirección IP, elimina el
sistema multiusuario y todas las asignaciones asociadas al mismo.
Los archivos XML que el servidor de terminal envía al cortafuegos pueden contener varios tipos
de mensajes y estos mensajes no tienen que estar en ningún orden específico dentro del archivo.
Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes, el cortafuegos
los procesará en el siguiente orden: solicitudes multiusersystem en primer lugar, seguidas de
inicios de sesión y cierres de sesión.
250 User-ID
El siguiente flujo de trabajo ofrece un ejemplo de cómo utilizar la API XML de User-ID para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
Uso de la API XML de User-ID para asignar usuarios de servicios de terminal que no sean
de Windows
Paso 1 Genere la clave de API que se Desde un explorador, inicie sesión en el cortafuegos. A continuación, para
utilizará para autenticar la generar la clave de API para el cortafuegos, abra una nueva ventana del
comunicación de la API entre explorador e introduzca la siguiente URL:
el cortafuegos y el servidor de https://<cortafuegos-IPaddress>/api/?type=keygen&user=<username>&
password=<password>
terminal. Para generar la clave,
debe proporcionar donde <cortafuegos-IPaddress> es la dirección IP o FQDN del cortafuegos
credenciales de inicio de y <username> y <password> son las credenciales para la cuenta de usuario
sesión para una cuenta administrativo del cortafuegos. Por ejemplo:
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
administrativa; la API está
disponible para todos los El cortafuegos responde con un mensaje que contiene la clave, por ejemplo:
administradores (incluidos los <response status="success">
administradores basados en <result>
funciones con privilegios de la <key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
API XML habilitados). </result>
Nota Todos los caracteres </response>

especiales de la contraseña
deben estar codificados con
URL/porcentaje.
Paso 2 (Opcional) Genere un A continuación puede ver un mensaje de configuración de muestra:

mensaje de configuración que <uid-message>
el servidor de terminal enviará <payload>
para especificar el intervalo de <multiusersystem>
puertos y el tamaño de bloque <entry ip="10.1.1.23" startport="20000"
de los puertos por usuario que endport="39999" blocksize="100">
utiliza su agente de servicios </multiusersystem>
de terminal. </payload>
<type>update</type>
Si el agente de servicios de
<version>1.0</version>
terminal no envía un mensaje
</uid-message>
de configuración, el
cortafuegos automáticamente donde entry ip especifica la dirección IP asignada a los usuarios del servidor
creará una configuración de de terminal, startport y endport especifican el intervalo de puertos que debe
agente de servidor de terminal utilizarse al asignar puertos a usuarios individuales y blocksize especifica el
mediante los siguientes ajustes número de puertos que debe asignarse a cada usuario. El tamaño de bloque
predeterminados tras recibir el máximo es 4000 y cada sistema multiusuario puede asignar un máximo de 1000
primer mensaje de inicio de bloques.
sesión: Si define un tamaño de bloque y/o intervalo de puertos personalizado, recuerde
• Intervalo de puertos que debe configurar los valores de modo que se asignen todos los puertos del
predeterminado: De 1025 a intervalo y que no haya huecos ni puertos sin utilizar. Por ejemplo, si establece
65534 el intervalo de puertos como 1000-1499, podría establecer el tamaño de bloque
• Tamaño de bloque por como 100, pero no como 200. Esto se debe a que si lo estableciera como 200,
usuario: 200 habría puertos sin utilizar al final del intervalo.
• Número máximo de
sistemas multiusuario: 1000
User-ID 251
de Windows (Continuación)
Paso 3 Cree una secuencia de A continuación se muestra el formato del archivo de entrada de un evento de
comandos que extraiga los inicio de sesión XML de User-ID:
eventos de inicio de sesión y <uid-message>
cree el archivo de entrada <payload>
XML que debe enviarse al <login>
cortafuegos. <entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
Asegúrese de que la secuencia <entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
de comandos aplica la <entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
asignación de intervalos de </login>
números de puertos con </payload>
límites fijos y sin que los <type>update</type>
puertos se solapen. Por <version>1.0</version>
ejemplo, si el intervalo de
</uid-message>
puertos es 1000-1999 y el
tamaño de bloque es 200, los El cortafuegos utiliza esta información para cumplimentar su tabla de
valores aceptables de asignaciones de usuarios. Basándose en las asignaciones extraídas del ejemplo
blockstart serían 1000, 1200, anterior, si el cortafuegos recibiera un paquete cuya dirección y cuyo puerto de
1400, 1600 o 1800. Los origen fueran 10.1.1.23:20101, asignaría la solicitud al usuario jparker para la
valores de blockstart 1001, aplicación de políticas.
1300 o 1850 no serían Nota Cada sistema multiusuario puede asignar un máximo de 1.000 bloques
aceptables porque algunos de de puertos.
los números de puertos del
intervalo se quedarían sin
utilizar.
Nota La carga de eventos de inicio
de sesión que el servidor de
terminal envía al cortafuegos
puede contener varios eventos
de inicio de sesión.
252 User-ID
Paso 4 Cree una secuencia de A continuación se muestra el formato del archivo de entrada de un evento de
comandos que extraiga los cierre de sesión XML de User-ID:
eventos de cierre de sesión y <uid-message>
<payload>
cree el archivo de entrada <logout>
XML que debe enviarse al <entry name="acme\jjaso" ip="10.1.1.23"
blockstart="20000">
cortafuegos. <entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
Tras recibir un mensaje de </logout>
evento logout con un </payload>
<type>update</type>
parámetro blockstart , el <version>1.0</version>
cortafuegos elimina la </uid-message>
correspondiente asignación de Nota También puede borrar del cortafuegos la entrada del sistema
dirección IP, puerto y usuario. multiusuario mediante el siguiente comando de la CLI: clear
Si el mensaje logout contiene xml-api multiusersystem
un nombre de usuario y una
dirección IP, pero ningún
parámetro blockstart , el
cortafuegos eliminará todas
las asignaciones del usuario. Si
el mensaje logout solamente
contiene una dirección IP, el
cortafuegos eliminará el
sistema multiusuario y todas
las asignaciones asociadas.
Paso 5 Asegúrese de que las Una forma de hacerlo sería utilizar reglas de NAT netfilter para ocultar sesiones
secuencias de comandos que de usuarios detrás de los intervalos de puertos específicos asignados a través de
cree incluyan un modo de la API XML basándose en el UID. Por ejemplo, para garantizar que un usuario
aplicar dinámicamente que el cuyo User-ID sea jjaso se asigne a una traducción de direcciones de red de
intervalo de bloques de origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos
puertos asignado mediante la que cree debería incluir lo siguiente:
API XML coincida con el [root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
puerto de origen asignado al
usuario en el servidor de Del mismo modo, las secuencias de comandos que cree también deberían
terminal y que la asignación se garantizar que la configuración de enrutamiento de la tabla de IP elimine
elimine cuando el usuario dinámicamente la asignación de SNAT cuando el usuario cierre sesión o cuando
cierre sesión o cuando cambie cambie la asignación de puertos:
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
la asignación de puertos.
User-ID 253
Paso 6 Defina cómo empaquetar los Para aplicar los archivos al cortafuegos mediante wget:
archivos de entrada XML que > wget --post file <filename>
“https://<cortafuegos-IPaddress>/api/?type=user-id&key=<key>&file-name=<
contienen los eventos de input_filename.xml>&client=wget&vsys=<VSYS_name>”
configuración, inicio de sesión Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml
y cierre de sesión en mensajes al cortafuegos en 10.2.5.11 utilizando la clave
wget o cURL para su k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con wget
transmisión al cortafuegos. tendría el siguiente aspecto:
> wget --post file login.xml
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZu
gWx7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1”
Para aplicar el archivo al cortafuegos mediante cURL:

> curl --form file=@<filename>
https://<cortafuegos-IPaddress>/api/?type=user-id&key=<key>&vsys=<VSYS_n
ame>
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml
al cortafuegos en 10.2.5.11 utilizando la clave
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRgconcURLtendríael
siguiente aspecto:
> curl --form file@login.xml
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%
2BgzEA9UOnlZRg&vsys=vsys1”
Paso 7 Verifique que el cortafuegos Verifique la configuración abriendo una conexión de SSH con el cortafuegos y,
esté recibiendo correctamente a continuación, ejecutando los siguientes comandos de la CLI:
eventos de inicio de sesión de Para verificar si el servidor de terminal se está conectando con el cortafuegos a
los servidores de terminal. través de XML:
admin@PA-5050> show user xml-api multiusersystem
Host Vsys Users Blocks
----------------------------------------
10.5.204.43 vsys1 5 2
Para verificar que el cortafuegos está recibiendo asignaciones de un servidor de

terminal a través de XML:
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43

Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1
Envío de asignaciones de usuarios a User-ID mediante la API XML
Aunque la función User-ID proporciona muchos de los métodos listos para usar para obtener información de
asignación de usuarios, puede que tenga algunas aplicaciones o algunos dispositivos que capturen información
de usuario que no se pueda integrar de forma nativa con User-ID. En este caso, puede utilizar la API XML de
User-ID para crear secuencias de comandos personalizadas que le permitan aprovechar datos de usuarios
existentes y enviarlos al agente de User-ID o directamente al cortafuegos.
254 User-ID
La API XML de User-ID es una API REST que utiliza solicitudes HTTP estándar para enviar y recibir datos.
Las llamadas de la API se pueden realizar directamente desde utilidades de la línea de comandos como cURL o
usando cualquier secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la
REST. Para aprovechar datos de usuarios de un sistema existente (como una aplicación personalizada
desarrollada internamente u otro dispositivo que no esté admitido por uno de los mecanismos de asignación de
usuarios existentes) puede crear secuencias de comandos personalizadas para extraer los datos y enviarlos al
cortafuegos o al agente de User-ID mediante la API XML.
Para habilitar un sistema externo para que envíe información de asignación de usuarios al agente de User-ID o
directamente al cortafuegos, puede crear secuencias de comandos que extraigan los eventos de inicio de sesión
y cierre de sesión de usuarios y utilizarlas para introducirlos en el formato de solicitud de API XML de User-ID.
A continuación defina los mecanismos para enviar solicitudes de API XML al cortafuegos utilizando cURL o
wget mediante la clave de API del cortafuegos para lograr comunicaciones seguras. Para obtener información
más detallada, consulte PAN-OS XML API Usage Guide (en inglés).
Configuración de un cortafuegos para compartir datos de asignación de

usuarios con otros cortafuegos
Como la política es local en cada cortafuegos, cada uno de ellos debe tener una lista actual de las asignaciones
de direcciones IP a nombres de usuarios para aplicar de forma precisa la política de seguridad según el grupo o
usuario. Sin embargo, puede configurar un cortafuegos para que recopile todas las asignaciones de usuarios y, a
continuación, las redistribuya a los otros cortafuegos. El cortafuegos de redistribución puede utilizar cualquier
método para recopilar asignaciones de usuarios y asignaciones de grupos y, a continuación, actuará como agente
de User-ID para compartir esa información con otros cortafuegos. Los cortafuegos receptores deben estar
configurados para extraer la información de asignación directamente desde el cortafuegos de redistribución y
no necesitan comunicarse directamente con ningún servidor de dominio.
El siguiente procedimiento describe cómo configurar la redistribución de información de User-ID.
User-ID 255
Configuración de un cortafuegos para redistribuir asignaciones de usuarios
Paso 1 Configure el cortafuegos de 1. Seleccione Dispositivo > Identificación de usuarios >

redistribución. Asignación de usuario y edite la sección Configuración del
Nota Las configuraciones de User-ID agente de User-ID de Palo Alto Networks.
solamente se aplican a un único sistema 2. Seleccione Redistribución.
virtual. Para redistribuir asignaciones de 3. Introduzca un Nombre del recopilador.
User-ID de varios sistemas virtuales, debe
4. Introduzca y confirme la Clave precompartida que permitirá
configurar los ajustes de asignación de
que otros cortafuegos se conecten con este cortafuegos para
usuarios en cada sistema virtual por
recuperar información de asignación de usuarios.
separado, utilizando una clave
precompartida exclusiva en cada 5. Haga clic en ACEPTAR para guardar la configuración de
configuración. redistribución.
Paso 2 Cree un perfil de gestión de interfaz que 1. Seleccione Red > Perfiles de red > Gestión de interfaz y haga
habilite el servicio de User-ID y adjúntelo clic en Añadir.
a la interfaz a la que se conectarán el resto 2. Introduzca un Nombre para el perfil y, a continuación,
de cortafuegos para recuperar seleccione los servicios permitidos. Como mínimo, seleccione
asignaciones de usuarios. Servicio de User-ID y HTTPS.
4. Seleccione Red > Interfaces > Ethernet y seleccione la interfaz
que tiene la intención de utilizar para la redistribución.
5. En la pestaña Avanzada > Otra información, seleccione el
Perfil de gestión que acaba de crear.
256 User-ID
Configuración de un cortafuegos para redistribuir asignaciones de usuarios (Continuación)
Paso 3 Configure los otros cortafuegos para Realice los siguientes pasos en cada cortafuegos que quiera que
recuperar asignaciones de usuarios del pueda recuperar asignaciones de usuarios:
cortafuegos de redistribución. 1. Seleccione Dispositivo > Identificación de usuarios > Agentes
Nota Si el cortafuegos de redistribución tiene de User-ID.
varios sistemas virtuales configurados 2. Haga clic en Añadir e introduzca un Nombre de agente de
para la redistribución, asegúrese de que User-ID para el cortafuegos de redistribución.
está utilizando la clave precompartida que 3. Introduzca el nombre de host o la dirección IP de la interfaz del
corresponda al sistema virtual del que cortafuegos que configuró para la redistribución en el campo
quiera que este cortafuegos recupere Host.
asignaciones de User-ID.
4. Introduzca 5007 como número de Puerto en el que el
cortafuegos de redistribución escuchará solicitudes de User-ID.
5. Introduzca el Nombre del recopilador que especificó en la
configuración del cortafuegos de redistribución (Paso 1-3).
6. Introduzca y confirme la Recopilador anterior a la clave
compartida. El valor de clave que introduzca aquí debe
coincidir con el valor configurado en el cortafuegos de
redistribución (Paso 1-4).
7. (Opcional) Si está utilizando el cortafuegos de redistribución
para recuperar asignaciones de grupos además de asignaciones
de usuarios, seleccione la casilla de verificación Utilizar como
Proxy LDAP.
8. (Opcional) Si está utilizando el cortafuegos de redistribución
para la autenticación de portal cautivo, seleccione la casilla de
verificación Utilizar para autenticación NTLM.
Paso 4 Verifique la configuración. En la pestaña Agentes de User-ID, verifique que la entrada del
cortafuegos de redistribución que acaba de añadir muestra un icono
verde en la columna Conectado.
Si aparece un icono rojo, compruebe los logs de tráfico (Supervisar >
Logs > Tráfico) para identificar el problema. También puede
comprobar si se han recibido datos de asignación de usuarios
ejecutando los siguientes comandos de operación de la CLI:
show user ip-user-mapping (para ver información de asignación
de usuarios en el plano de datos)
show user ip-user-mapping-mp (para ver asignaciones en el plano
de gestión).
User-ID 257
Habilitación de política basada en usuarios y grupos User-ID
Habilitación de política basada en usuarios y grupos

Para habilitar una política de seguridad basada en usuarios y/o grupos, debe habilitar User-ID para cada zona
que contenga usuarios que desee identificar. A continuación, podrá definir políticas que permitan o denieguen
el tráfico basándose en el nombre de usuario o la pertenencia a un grupo. Además, puede crear políticas de portal
cautivo para habilitar la identificación de direcciones IP que todavía no tienen datos de usuario asociados a las
mismas.
Habilitación de política basada en usuarios y grupos
Paso 1 Habilite User-ID en las zonas de origen que contengan los usuarios que enviarán solicitudes que requieran
controles de acceso basados en usuarios.
1. Seleccione Red > Zonas.
2. Haga clic en el Nombre de la zona en
la que desee habilitar User-ID para abrir
el cuadro de diálogo Zona.
3. Seleccione la casilla de verificación
Habilitación de la identificación de
usuarios y, a continuación, haga clic en
Aceptar.
258 User-ID
User-ID Habilitación de política basada en usuarios y grupos
Habilitación de política basada en usuarios y grupos (Continuación)
Paso 2 Cree políticas de seguridad basadas en 1. Después de configurar User-ID, podrá seleccionar un nombre
usuarios y/o grupos. de usuario o grupo al definir el origen o el destino de una regla
Nota La práctica recomendada es crear políticas de seguridad:
basadas en grupos en lugar de en usuarios a. Seleccione Políticas > Seguridad y haga clic en Añadir para
siempre que sea posible. Esto evita que crear una nueva política o haga clic en un nombre de regla de
tenga que actualizar continuamente sus política existente para abrir el cuadro de diálogo Regla de
políticas (lo que requiere una política de seguridad.
confirmación) cada vez que cambie su b. Especifique qué usuarios y/o grupos deben coincidir en la
base de usuarios. política de una de las siguientes formas:
– Si desea especificar usuarios/grupos en concreto como
criterios de coincidencia, seleccione la pestaña Usuario y
haga clic en el botón Añadir en la sección Usuario de
origen para mostrar una lista de usuarios y grupos
detectados por la función de asignación de grupos del
cortafuegos. Seleccione los usuarios y/o grupos que deben
añadirse a la política.
– Si desea que la política coincida con cualquier usuario que
se haya autenticado correctamente o no y no necesita
conocer el nombre específico del usuario o grupo,
seleccione Usuario conocido o Desconocido en la lista
desplegable que se encuentra encima de la lista Usuario de
origen.
2. Configure el resto de la política según sea adecuado y, a
continuación, haga clic en Aceptar para guardarla. Para obtener
información detallada sobre otros campos de la política de
seguridad, consulte Configuración de políticas de seguridad
básicas.
User-ID 259
Habilitación de política basada en usuarios y grupos User-ID
Habilitación de política basada en usuarios y grupos (Continuación)
Paso 3 Cree sus políticas de portal cautivo.

1. Seleccione Políticas > Portal cautivo.
2. Haga clic en Añadir e introduzca un Nombre para la política.
3. Defina los criterios de coincidencia para la regla cumplimentando las pestañas Origen, Destino y Categoría
de URL/servicio según sea adecuado para que coincidan con el tráfico que desee autenticar. Los criterios de
coincidencia de estas pestañas son los mismos que los criterios que definió al crear una política de seguridad.
Consulte Configuración de políticas de seguridad básicas para obtener información detallada.
4. Defina la Acción que se debe realizar en el tráfico que coincida con la regla. Puede elegir entre lo siguiente:
• No hay ningún portal cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su
autenticación.
• Formato web: Abre una página de portal cautivo en la que el usuario debe introducir explícitamente las
credenciales de autenticación o utilizar la autenticación de certificado de cliente.
• Reto de explorador: Abre una solicitud de autenticación de NTLM en el explorador web del usuario. El
explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. Si las
credenciales de inicio de sesión no están disponibles, se pedirá al usuario que las proporcione.
El ejemplo siguiente muestra una política de portal cautivo que indica al cortafuegos que debe abrir un
formato web para autenticar a usuarios desconocidos que envíen solicitudes de HTTP desde la zona fiable a
la zona no fiable.
Paso 4 Guarde sus ajustes de política. Haga clic en Confirmar.
260 User-ID
User-ID Verificación de la configuración de User-ID
Verificación de la configuración de User-ID

Después de configurar la asignación de grupos y la asignación de usuarios y habilitar User-ID en sus políticas
de seguridad y políticas de portal cautivo, debería verificar que funciona correctamente.
Verificación de la configuración de User-ID
Paso 1 Verifique que la asignación de grupos Desde la CLI, introduzca el siguiente comando:
funciona. show user group-mapping statistics
Paso 2 Verifique que la asignación de usuarios Si está utilizando el agente de User-ID incluido en el dispositivo,
funciona. podrá verificarlo desde la CLI utilizando el siguiente comando:
show user ip-user-mapping-mp all
IP Vsys From User Timeout

(sec)
------------------------------------------------------
192.168.201.1 vsys1 UIA acme\george 210
192.168.201.11vsys1UIA acme\duane 210
192.168.201.50 vsys1 UIA acme\betsy 210
192.168.201.10vsys1UIA acme\administrator 210
192.168.201.100vsys1AD acme\administrator 748
Total: 5 users
*: WMI probe succeeded
Paso 3 Compruebe su política de seguridad. • Desde una máquina en la zona donde esté habilitado User-ID,
intente acceder a sitios y aplicaciones para comprobar las reglas
que ha definido en su política y asegúrese de que el tráfico se
permite y deniega del modo esperado.
• También puede utilizar el comando test
security-policy-match para determinar si la política se ha
configurado correctamente. Por ejemplo, supongamos que tiene
una regla que bloquea al usuario duane y le impide jugar a World of
Warcraft. Podría comprobar la política del modo siguiente:
test security-policy-match application
worldofwarcraft source-user acme\duane source any
destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
User-ID 261
Verificación de la configuración de User-ID User-ID
Verificación de la configuración de User-ID (Continuación)
Paso 4 Compruebe su configuración de portal 1. Desde la misma zona, vaya a una máquina que no sea miembro
cautivo. de su directorio, como un sistema Mac OS, e intente hacer ping
a un sistema externo a la zona. El ping debería funcionar sin
requerir autenticación.
2. Desde la misma máquina, abra un explorador y desplácese hasta
un sitio web en una zona de destino que coincida con una
política de portal cautivo que haya definido. Debería ver el
formato web de portal cautivo.
3. Inicie sesión utilizando las credenciales correctas y confirme que

se le ha redirigido a la página solicitada.
4. También puede comprobar su política de portal cautivo
utilizando el comando test cp-policy-match de la manera
siguiente:
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
Paso 5 Verifique que los nombres de usuario se muestran en los archivos de log (Supervisar > Logs).
262 User-ID
User-ID Verificación de la configuración de User-ID
Verificación de la configuración de User-ID (Continuación)
Paso 6 Verifique que los nombres de usuario se muestran en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debería ver una lista de los usuarios que intentaron acceder a las
aplicaciones como en el ejemplo siguiente.
User-ID 263
Verificación de la configuración de User-ID User-ID
264 User-ID
App-ID
Para habilitar aplicaciones de forma segura en su red, los cortafuegos de próxima generación de Palo Alto
Networks ofrecen protección tanto para aplicaciones como para Internet (App-ID y filtrado de URL) frente a
una amplia gama de riesgos legales, normativos, de productividad y de uso de recursos.
App-ID le permite visualizar las aplicaciones de la red, para que así pueda saber cómo funcionan y comprender
las características de su comportamiento y su riesgo relativo. Los conocimientos de esta aplicación le permiten
crear y aplicar políticas de seguridad para habilitar, inspeccionar y moldear las aplicaciones que desee y bloquear
las que no desee. Cuando defina políticas para empezar a permitir el tráfico, App-ID empezará a clasificar el
tráfico sin ninguna configuración adicional.
 ¿Qué es App-ID?
 ¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas?
 Prácticas recomendadas para utilizar App-ID en políticas
 Aplicaciones con compatibilidad implícita
 Acerca de las puertas de enlace de nivel de aplicación
 Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP
App-ID 265
¿Qué es App-ID? App-ID
¿Qué es App-ID?
App-ID, un sistema de clasificación de tráfico patentado únicamente disponible en cortafuegos de Palo Alto
Networks, determina qué es la aplicación, independientemente del puerto, el protocolo, el cifrado (SSH o SSL)
o cualquier otra táctica evasiva utilizada por la aplicación. Aplica múltiples mecanismos de clasificación (firmas
de aplicaciones, descodificación de protocolos de aplicaciones y heurística) al flujo de tráfico de su red para
identificar aplicaciones de forma precisa.
App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
 El tráfico se compara con la política para comprobar si está permitido en la red.

 A continuación, se aplican firmas al tráfico permitido para identificar la aplicación en función de sus
propiedades y características de transacciones. La firma también determina si la aplicación se está utilizando
en su puerto predeterminado o si está utilizando un puerto no estándar. Si la política permite el tráfico, a
continuación este se examina en busca de amenazas y se analiza en mayor profundidad para identificar la
aplicación de manera más granular.
 Si App-ID determina que el cifrado (SSL o SSH) ya está en uso y se está aplicando una política de descifrado,
la sesión se descifra y las firmas de la aplicación se aplican de nuevo sobre el flujo descifrado.
 Posteriormente, los descifradores de protocolos conocidos se utilizan para aplicar firmas adicionales basadas
en contextos para detectar otras aplicaciones que podrían estar pasando por dentro del protocolo (por
ejemplo, Yahoo! Instant Messenger a través de HTTP). Los descifradores validan que el tráfico cumple con
la especificación del protocolo y ofrecen asistencia para la NAT transversal y la apertura de pinholes
dinámicos para aplicaciones como SIP y FTP.
 Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas avanzadas
y análisis de protocolos, podrán utilizarse la heurística o los análisis de comportamiento para determinar la
identidad de la aplicación.
Cuando se identifica la aplicación, la comprobación de la política determina cómo tratar la aplicación: por
ejemplo, bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada
de archivos y patrones de datos o moldearla utilizando QoS.
266 App-ID
App-ID ¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas?
¿Cómo puedo gestionar aplicaciones personalizadas o

desconocidas?
Palo Alto Networks proporciona actualizaciones semanales de App-ID para identificar nuevas aplicaciones. De
manera predeterminada, App-ID siempre está habilitado en el cortafuegos y no necesita habilitar una serie de
firmas para identificar aplicaciones conocidas. Normalmente, las únicas aplicaciones clasificadas como tráfico
desconocido (tcp, udp o tcp no sincronizado) en el ACC y los logs de tráfico son aplicaciones disponibles
comercialmente que todavía no se han añadido a App-ID, aplicaciones internas o personalizadas de su red o
posibles amenazas.
En ocasiones, el cortafuegos puede determinar que una aplicación es desconocida por los siguientes motivos:
 Datos incompletos: Se establece un protocolo, pero no se ha enviado ningún paquete de datos antes del
tiempo de espera.
 Datos insuficientes: Se establece un protocolo seguido por uno o más paquetes de datos; sin embargo, no se
han intercambiado suficientes paquetes de datos para identificar la aplicación.
Las siguientes opciones están disponibles para gestionar aplicaciones desconocidas:
 Cree políticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP
desconocido o por una combinación de zona de origen, zona de destino y direcciones IP.
 Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que atraviesan
su red, en el caso de cualquier tráfico desconocido, puede registrar una captura de paquetes. Si la captura de
paquetes revela que la aplicación es una aplicación comercial, puede enviar esta captura de paquetes a Palo
Alto Networks para que App-ID lo desarrolle. Si es una aplicación interna, puede crear una App-ID
personalizada y/o definir una política de cancelación de aplicación.
 Cree una App-ID personalizada con una firma y adjúntela a una política de seguridad, o bien cree una
App-ID personalizada y defina una política de cancelación de aplicación. Una App-ID personalizada le
permite personalizar la definición de la aplicación interna (sus características, categoría y subcategoría, riesgo,
puerto y tiempo de espera) y ejercer un control granular de las políticas para reducir al mínimo el rango de
tráfico no identificado en su red. La creación de una App-ID personalizada también le permite identificar
correctamente la aplicación en el ACC y los logs de tráfico y resulta de utilidad a la hora de realizar
auditorías/informes de las aplicaciones de su red. En el caso de una aplicación personalizada, puede
especificar una firma y un patrón que identifiquen de manera exclusiva la aplicación y la adjunten a una
política de seguridad que permita o niegue la aplicación.
Para recopilar los datos correctos y así crear una firma de aplicación personalizada, necesitará
comprender bien las capturas de paquetes y cómo se forman los datagramas. Si la firma se crea
de manera demasiado amplia, puede que incluya otro tráfico similar de forma accidental; si se
define de manera demasiado reducida, el tráfico evadirá la detección si no coincide exactamente
con el patrón.
Las App-ID personalizadas se almacenan en una base de datos separada del cortafuegos y su
base de datos no se ve afectada por las actualizaciones semanales de App-ID.
Los descifradores de protocolos de aplicaciones admitidos que habilitan el cortafuegos para que
detecte las aplicaciones que puedan estar pasando a través de un túnel por dentro del protocolo
incluyen los siguientes, según la actualización de contenido 424: HTTP, HTTPS, DNS, FTP,
IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH, GNU-Debugger,
GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (también conocido como
CIFS). Además, con la versión 4.0 de PAN-OS, esta capacidad de App-ID personalizada se ha
ampliado para incluir también TCP desconocido y UDP desconocido.
App-ID 267
¿Cómo puedo gestionar aplicaciones personalizadas o desconocidas? App-ID
De forma alternativa, si desea que el cortafuegos procese la aplicación personalizada utilizando el método
rápido (la inspección de capa 4 en lugar de utilizar App-ID para la inspección de capa 7), puede hacer
referencia a la App-ID personalizada en una política de cancelación de aplicación. Una cancelación de
aplicación con una aplicación personalizada evitará que el motor de App-ID procese la sesión, lo cual es una
inspección de capa 7. Por el contrario, obliga a que el cortafuegos gestione la sesión como un cortafuegos
de inspección de estado normal en la capa 4, con lo que ahorra tiempo de procesamiento de la aplicación.
Por ejemplo, si crea una aplicación personalizada que se activa en el encabezado de un host www.misitioweb.com,
los paquetes se identifican primero como exploración web y, a continuación, se identifican con su aplicación
personalizada (cuya aplicación principal es exploración web). Dado que la aplicación principal es exploración
web, la aplicación personalizada se inspecciona como capa 7 y se examina en busca de contenido y
vulnerabilidades.
Si define una cancelación de aplicación, el cortafuegos deja de procesar en la capa 4. El nombre de la
aplicación personalizada se asigna a la sesión para ayudar a identificarla en los logs y no se examina el tráfico
en busca de amenazas.
Si desea información más detallada, consulte los siguientes artículos:
 Handling Unknown Applications (en inglés)
 Vídeo: Create a Custom App-ID (en inglés)
 Custom Application Signatures (en inglés)
268 App-ID
App-ID Prácticas recomendadas para utilizar App-ID en políticas
Prácticas recomendadas para utilizar App-ID en políticas

1. Consulte el ACC para obtener la lista de aplicaciones de su red y determine qué aplicaciones permitir o bloquear.
Si está migrando desde un cortafuegos donde definió reglas basadas en puertos, para obtener una lista de las
aplicaciones que se ejecutan en un puerto determinado, busque el número de puerto en el explorador de aplicaciones
(Objetos > Aplicaciones) del cortafuegos de Palo Alto Networks o en Applipedia.
2. Utilice predeterminado de aplicación para el Servicio. El cortafuegos compara el puerto utilizado con la lista de
puertos predeterminados para esa aplicación. Si el puerto utilizado no es un puerto predeterminado para la aplicación,
el cortafuegos descarta la sesión y registra en el log el mensaje appid policy lookup deny.
Si tiene una aplicación a la que se accede desde varios puertos y desea limitar los puertos en los que se utiliza la
aplicación, especifíquelo en los objetos Servicio/Grupo de servicios de las políticas.
3. Utilice filtros de aplicación para incluir dinámicamente nuevas aplicaciones en reglas de política existentes. Vea un
ejemplo.
App-ID 269
Aplicaciones con compatibilidad implícita App-ID
Aplicaciones con compatibilidad implícita

Cuando cree una política para permitir aplicaciones específicas, también debe asegurarse de permitir cualquier
otra aplicación de la que dependa la aplicación en cuestión. En muchos casos, no tiene que permitir de manera
explícita el acceso a las aplicaciones dependientes para que el tráfico fluya, ya que el cortafuegos es capaz de
determinar las dependencias y permitirlas de manera implícita. Esta compatibilidad implícita también se aplica
a las aplicaciones personalizadas que se basen en HTTP, SSL, MS-RPC o RTSP. Las aplicaciones para las que el
cortafuegos no pueda determinar las aplicaciones dependientes a tiempo requerirán que permita de manera
explícita las aplicaciones dependientes al definir sus políticas. Puede determinar las dependencias de las
aplicaciones en Applipedia.
La tabla siguiente enumera las aplicaciones para las que el cortafuegos tiene una compatibilidad implícita (según
la actualización de contenido 436).
Tabla: Aplicaciones con compatibilidad implícita
Aplicación Admite implícitamente
360-safeguard-update http
apple-update http
apt-get http
as2 http
avg-update http
avira-antivir-update http, ssl
blokus rtmp
bugzilla http
clubcooee http
corba http
cubby http, ssl
dropbox ssl
esignal http
evernote http, ssl
ezhelp http
facebook http, ssl
facebook-chat jabber
facebook-social-plugin http
fastviewer http, ssl
forticlient-update http
gmail http
270 App-ID
App-ID Aplicaciones con compatibilidad implícita
good-for-enterprise http, ssl
google-cloud-print http, ssl, jabber
google-desktop http
google-drive-web http
google-talk jabber
google-update http
gotomypc-desktop-sharing citrix-jedi
gotomypc-file-transfer citrix-jedi
gotomypc-printing citrix-jedi
hipchat http
iheartradio ssl, http, rtmp
ifront http
instagram http, ssl
issuu http, ssl
java-update http
jepptech-updates http
kerberos rpc
kik http, ssl
lastpass http, ssl
logmein http, ssl
mcafee-update http
megaupload http
metatrader http
mocha-rdp t_120
mount rpc
ms-frs msrpc
ms-rdp t_120
ms-scheduler msrpc
ms-service-controller msrpc
nfs rpc
oovoo http, ssl
paloalto-updates ssl
App-ID 271
Aplicaciones con compatibilidad implícita App-ID
panos-global-protect http
panos-web-interface http
pastebin http
pastebin-posting http
pinterest http, ssl
portmapper rpc
prezi http, ssl
rdp2tcp t_120
renren-im jabber
roboform http, ssl
salesforce http
stumbleupon http
supremo http
symantec-av-update http
trendmicro http
trillian http, ssl
twitter http
whatsapp http, ssl
xm-radio rtsp
272 App-ID
App-ID Acerca de las puertas de enlace de nivel de aplicación
Acerca de las puertas de enlace de nivel de aplicación

El cortafuegos de Palo Alto Networks no clasifica el tráfico por puerto y protocolo; en lugar de eso, identifica
la aplicación basándose en sus propiedades y características de transacciones exclusivas mediante la tecnología
App-ID. Sin embargo, algunas aplicaciones requieren que el cortafuegos abra pinholes dinámicamente para
establecer la conexión, determinar los parámetros de la sesión y negociar los puertos que se utilizarán para la
transferencia de datos; estas aplicaciones utilizan la carga de la capa de aplicación para comunicar los puertos
TCP o UDP dinámicos en los que la aplicación abre conexiones de datos. Para dichas aplicaciones, el
cortafuegos sirve de puerta de enlace de nivel de aplicación (ALG) y abre un pinhole durante un tiempo limitado
y para transferir exclusivamente datos o tráfico de control. El cortafuegos también realiza una reescritura de la
NAT de la carga cuando es necesario.
El cortafuegos de Palo Alto Networks funciona como ALG para los siguientes protocolos: FTP, SIP, H.323,
RTSP, Oracle/SQLNet/TNS, MGCP, Unistim y SCCP.
Cuando el cortafuegos sirve de ALG para el protocolo de inicio de sesión (SIP), de manera
predeterminada realiza la NAT en la carga y abre pinholes dinámicos para los puertos de medios.
En algunos casos, dependiendo de las aplicaciones del SIP en uso en su entorno, los puntos de
finalización del SIP tienen inteligencia de NAT incorporada en sus clientes. En esos casos,
quizás deba deshabilitar la función de ALG del SIP para evitar que el cortafuegos modifique las
sesiones de señalización. Cuando la ALG del SIP está deshabilitada, si App-ID determina que
una sesión es de tipo SIP, no se traduce la carga y no se abren pinholes dinámicos. Consulte
Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP.
App-ID 273
Deshabilitación de la puerta de enlace de nivel de aplicación (ALG) SIP App-ID
Deshabilitación de la puerta de enlace de nivel de

aplicación (ALG) SIP
El cortafuegos de Palo Alto Networks utiliza la puerta de enlace de nivel de aplicación (ALG) del protocolo de
inicio de sesión (SIP) para abrir pinholes dinámicos en el cortafuegos donde la NAT está habilitada. Sin
embargo, algunas aplicaciones (como las de VoIP) tienen inteligencia de NAT incorporada en la aplicación
cliente. En estos casos, la ALG del SIP del cortafuegos puede interferir en las sesiones de señalización y
provocar que la aplicación cliente deje de funcionar.
Una solución a este problema es definir una política de cancelación de aplicación para el SIP, pero utilizar este
enfoque deshabilita la App-ID y la función de detección de amenazas. Un enfoque mejor es deshabilitar la ALG
del SIP, lo cual no deshabilita la App-ID ni la detección de amenazas.
El siguiente procedimiento describe cómo deshabilitar la ALG del SIP.
Deshabilitación de la ALG del SIP
Paso 1 Seleccione Objetos > Aplicaciones.
Paso 2 Seleccione la aplicación sip.

Puede escribir sip en el cuadro Búsqueda para ayudar a encontrar la aplicación sip.
Paso 3 Seleccione Personalizar... para ALG en la sección Opciones del cuadro de diálogo Aplicación.
Paso 4 Seleccione la casilla de verificación Deshabilitar ALG del cuadro de diálogo Aplicación - sip y haga
clic en ACEPTAR.
Paso 5 Cierre el cuadro de diálogo Aplicación y compile el cambio.
274 App-ID
Prevención de amenazas
El cortafuegos de próxima generación de Palo Alto Networks protege y defiende su red ante amenazas de
productos y amenazas avanzadas persistentes (APT). Los mecanismos de detección con varios elementos del
cortafuegos incluyen un enfoque basado en firmas (IPS/comando y control/antivirus), un enfoque basado en
la heurística (detección de bots), un enfoque basado en Sandbox (WildFire) y un enfoque basado en análisis con
el protocolo de capa 7 (App-ID).
Las amenazas de productos son exploits que son menos sofisticados y que se detectan y previenen más
fácilmente con una combinación de las capacidades de antivirus, antispyware, protección contra
vulnerabilidades y filtrado de URL/identificación de aplicaciones del cortafuegos.
Las amenazas avanzadas son cometidas por cibercriminales organizados o grupos malintencionados que utilizan
vectores de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad intelectual
y datos financieros. Estas amenazas son más evasivas y requieren mecanismos de supervisión inteligentes para
realizar una investigación detallada de host y de red en busca de software malintencionado. El cortafuegos de
próxima generación de Palo Alto Networks, junto con WildFire y Panorama, proporciona una solución
completa que intercepta y detiene la cadena de ataque y ofrece visibilidad para evitar un incumplimiento de la
seguridad en sus infraestructuras de red, incluidas las móviles y las virtualizadas.
 Concesión de licencias para la prevención de amenazas
 Acerca de los perfiles de seguridad
 Configuración de políticas y perfiles de seguridad
 Prevención de ataques de fuerza bruta
 Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
 Infraestructura de Content Delivery Network para actualizaciones dinámicas
Si desea más información, consulte los siguientes artículos:
 Creating Custom Threat Signatures (en inglés)
 Threat Prevention Deployment (en inglés)
 Understanding DoS Protection (en inglés)

Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden
identificar, utilice los siguientes enlaces:
 Applipedia: Ofrece información sobre las aplicaciones que Palo Alto Networks puede identificar.
 Cámara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto
al número de ID para obtener más información acerca de una amenaza.
Prevención de amenazas 275

Concesión de licencias para la prevención de amenazas Prevención de amenazas
Concesión de licencias para la prevención de amenazas

En las siguientes secciones se describen las licencias disponibles requeridas para utilizar las funciones de
prevención de amenazas y se describe el proceso de activación:
 Acerca de las licencias de prevención de amenazas
 Obtención e instalación de licencias
Acerca de las licencias de prevención de amenazas
A continuación se indica una lista de las licencias necesarias para habilitar todas las funciones de prevención de
amenazas en el cortafuegos:
 Prevención de amenazas: Proporciona protección antivirus, antispyware y contra vulnerabilidades.
 Filtrado de URL: Proporciona la capacidad de controlar el acceso a los sitios web basándose en la categoría
de URL. Puede adquirir e instalar una suscripción para PAN-DB (base de datos de Palo Alto Networks) o
las bases de datos de filtrado de URL de BrightCloud.
 WildFire: La función WildFire se incluye como parte del producto básico. Esto significa que cualquiera
puede configurar un perfil de bloqueo de archivos para reenviar archivos Portable Executable (PE) a
WildFire para su análisis. Se requiere una suscripción a la prevención de amenazas para recibir las
actualizaciones de firmas de antivirus, lo que incluye las firmas descubiertas por WildFire.
El servicio de suscripción a WildFire ofrece servicios mejorados para aquellas organizaciones que necesitan
una seguridad inmediata, y permite actualizaciones de firmas de WildFire con una frecuencia inferior a una
hora, el reenvío de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java) y la capacidad
para cargar archivos usando la API de WildFire. También se requiere una suscripción a WildFire si sus
cortafuegos van a reenviar archivos a un dispositivo WF-500 WildFire privado.
 Reflejo de puerto de descifrado: Permite crear una copia del tráfico descifrado desde el cortafuegos y
enviarla a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de paquetes sin
formato (como NetWitness o Solera) para su archivado y análisis. Actualmente esta licencia está disponible
de manera gratuita a través del portal de asistencia técnica de Palo Alto Networks; esta función es compatible
únicamente en las plataformas de las series PA-7050, PA-5000 y PA-3000. Para obtener más información,
consulte Configuración del reflejo del puerto de descifrado.
Obtención e instalación de licencias
Para adquirir licencias, póngase en contacto con el departamento de ventas de Palo Alto Networks. Después de
obtener una licencia, desplácese hasta Dispositivo > Licencias.
Puede realizar las siguientes tareas en función de cómo vaya a obtener sus licencias:
 Obtención de claves de licencia del servidor de licencias: Use esta opción si su licencia se ha activado
en el portal de asistencia técnica.
276 Prevención de amenazas

Prevención de amenazas Acerca de los perfiles de seguridad
 Activación de la función usando un código de autorización: Use esta opción para habilitar las
suscripciones adquiridas con un código de autorización para licencias que no han sido previamente activadas
en el portal de asistencia técnica.
 Carga manual de la clave de licencia: Use esta opción si su dispositivo no tiene conectividad con el sitio
de asistencia técnica de Palo Alto Networks. En este caso, debe descargar un archivo de clave de licencia del
sitio de asistencia técnica a través de un ordenador conectado a Internet y después cargarlo en el dispositivo.
Para obtener más información sobre el registro y la activación de licencias en su cortafuegos, consulte Activación
de servicios de cortafuegos.
Acerca de los perfiles de seguridad

Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. Por ejemplo, puede
aplicar un perfil de antivirus a una política de seguridad y todo el tráfico que coincida con las políticas de
seguridad se analizará para buscar virus.
Para ver ejemplos básicos de configuración que le ayuden con los aspectos esenciales de estas funciones,
consulte Configuración de políticas y perfiles de seguridad.
La siguiente tabla ofrece una descripción general de los perfiles de seguridad que se pueden aplicar a las políticas
de seguridad y una descripción básica de los perfiles de protección de zonas y DoS:
Función de prevención Descripción

de amenazas
Antivirus Protege contra virus, gusanos, troyanos y descargas de spyware. Al usar un motor de
prevención contra software malintencionado basado en secuencias, que analiza el tráfico
nada más recibir el primer paquete, la solución antivirus Palo Alto Networks puede ofrecer
protección para clientes sin que esto tenga un impacto significativo en el rendimiento del
cortafuegos. Esta función analizará una gran variedad de software malintencionado en
archivos ejecutables, PDF, HTML y virus JavaScript, incluida la compatibilidad con el
análisis dentro de archivos comprimidos y esquemas de codificación de datos. Análisis de
contenido sin cifrar que se puede realizar activando el descifrado del cortafuegos.
El perfil predeterminado inspecciona todos los descodificadores de protocolos enumerados
para virus y genera alertas para protocolos SMTP, IMAP y POP3 al tiempo que bloquea
protocolos FTP, HTTP y SMB. Los perfiles personalizados se pueden utilizar para
minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para
maximizar la inspección o el tráfico recibido de zonas no fiables, como Internet, así como
el tráfico enviado a destinos altamente sensibles, como granjas de servidores.
El sistema WildFire de Palo Alto Networks también ofrece firmas para amenazas
persistentes más evasivas y que todavía no han sido descubiertas por otras soluciones de
antivirus. A medida que WildFire detecta amenazas, se van creando las firmas rápidamente
y después se integran en las firmas de antivirus estándar que los suscriptores de prevención
de amenazas pueden descargar todos los días (o cada hora o menos en el caso de
suscriptores de WildFire).

Acerca de los perfiles de seguridad Prevención de amenazas

de amenazas
Antispyware Impide que el spyware en hosts comprometidos realice llamadas a casa o balizamiento a
servidores externos de comando y control (C2). Puede aplicar diversos niveles de protección
entre zonas. Por ejemplo, tal vez desee tener perfiles antispyware personalizados que
reduzcan al mínimo la inspección entre zonas fiables y amplían al máximo la inspección del
tráfico procedente de una zona no fiable, como zonas de Internet.
Puede elegir entre dos perfiles predefinidos al aplicar antispyware a una política de
seguridad.
• Predeterminado: El perfil predeterminado usará la acción predeterminada para cada
firma, tal como especifica Palo Alto Networks al crear la firma.
• Estricto: El perfil estricto anulará la acción de amenazas de gravedad crítica, alta y media
para bloquear la acción, independientemente de la acción definida en el archivo de firma.
La acción predeterminada se usa con firmas de gravedad media e informativa.
En PAN-OS 6.0, se ha añadido la función DNS sinkhole. La acción DNS sinkhole que
puede habilitarse en perfiles de antispyware permite que el cortafuegos genere una respuesta
errónea a una consulta DNS para un dominio malintencionado conocido, haciendo que el
nombre de dominio malintencionado se resuelva en una dirección IP que usted defina. Esta
función se puede utilizar para identificar hosts infectados en la red protegida mediante
tráfico DNS en situaciones en las que el cortafuegos no pueda ver la consulta DNS del
cliente infectado (es decir, el cortafuegos no puede ver al originador de la consulta DNS).
En una implementación típica, donde el cortafuegos está antes del servidor DNS local, el
log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del
host infectado. Las consultas DNS de software malintencionado falsificadas resuelven este
problema de visibilidad generando respuestas erróneas a las consultas de host de cliente
dirigidas a dominios malintencionados, de modo que los clientes que intenten conectarse a
dominios malintencionados (mediante comando y control, por ejemplo) intenten
conectarse en su lugar a una dirección IP sinkhole que usted defina. Los hosts infectados
pueden identificarse fácilmente en los logs de tráfico y amenaza porque cualquier host que
intente conectarse a la dirección IP sinkhole está infectado casi con toda seguridad con
software malintencionado. Los perfiles de protección contra vulnerabilidades y antispyware
se configuran de forma similar. El principal objetivo del antispyware es detectar tráfico
malintencionado que salga de la red desde clientes infectados, mientras que la protección
contra vulnerabilidades evita que las amenazas entren en la red.
Protección contra Detiene los intentos de explotación de fallos del sistema y de acceso no autorizado a los
vulnerabilidades sistemas. Por ejemplo, esta función protege contra desbordamiento de búfer, ejecución de
código ilegal y otros intentos de explotar las vulnerabilidades del sistema. El perfil
predeterminado de protección contra vulnerabilidades protege a clientes y servidores de
todas las amenazas conocidas de gravedad crítica, alta y media. También puede crear
excepciones, que le permiten cambiar la respuesta a una firma concreta.
Los perfiles de protección contra vulnerabilidades y antispyware se configuran de forma
similar. El principal objetivo de la protección contra vulnerabilidades es detectar el tráfico
malintencionado que entra en la red desde clientes infectados, mientras que la protección
contra vulnerabilidades evita las amenazas que salen de la red.


de amenazas
Filtrado de URL Permite controlar el tráfico web de usuarios basándose en sitios web específicos y/o
categorías de sitios web tales como para adultos, compras, apuestas, etc. La base de datos de
URL PAN-DB de Palo Alto Networks y la base de datos de BrightCloud están disponibles
para la categorización y la aplicación de políticas de filtrado de URL en el cortafuegos.
Para configurar el filtrado de URL, consulte Filtrado de URL.
Bloqueo de archivo Bloquea tipos de archivos especificados en aplicaciones especificadas y en la dirección de
flujo de sesión especificada (entrante/saliente/ambas). Puede establecer el perfil para emitir
alertas o realizar bloqueos en cargas y descargas y puede especificar qué aplicaciones
quedarán sujetas al perfil de bloqueo de archivos. También puede configurar páginas de
bloqueo personalizadas que aparecerán cuando un usuario intente descargar el tipo de
archivo especificado. Esto permite al usuario dedicar unos instantes a considerar si desea o
no descargar el archivo.
Se pueden establecer las siguientes acciones cuando se detecte el archivo especificado.
• Alertar: Cuando se detecta el tipo de archivo especificado, se genera un log en el log de
filtrado de datos.
• Bloquear: Cuando se detecta el tipo de archivo especificado, se bloquea el archivo y se
presenta al usuario una página de bloqueo personalizable. También se genera un log en
el log de filtrado de datos.
• Continuar: Cuando se detecta el tipo de archivo especificado, se presenta al usuario una
página de continuación. El usuario puede hacer clic en la página para descargar el archivo.
También se genera un log en el log de filtrado de datos.
• Reenviar: Cuando se detecta el tipo de archivo especificado, se envía a WildFire para
analizarlo. También se genera un log en el log de filtrado de datos.
• Continuar y reenviar: Cuando se detecta el tipo de archivo especificado, se presenta al
usuario una página de continuación personalizable. El usuario puede hacer clic en la
página para descargar el archivo. Si el usuario hace clic en la página de continuación para
descargar el archivo, el archivo se envía a WildFire para analizarlo. También se genera un
log en el log de filtrado de datos.
Filtrado de datos Ayuda a evitar que la información confidencial, como los números de tarjetas de crédito o
seguridad social, salga de la red protegida. También puede filtrar por palabras clave, como
el nombre de un proyecto confidencial o la palabra confidencial. Es importante centrar su
perfil en el tipo de archivos deseado para reducir los falsos positivos. Por ejemplo, puede
que solo quiera buscar documentos de Word o Excel. O tal vez solo quiera analizar el tráfico
de navegación web o FTP.
Puede usar perfiles predeterminados o crear patrones de datos personalizados. Hay dos
perfiles predeterminados:
• CC# (tarjeta de crédito): Identifica números de tarjetas de crédito usando un algoritmo
de hash. El contenido debe coincidir con el algoritmo de hash para detectar los datos
como un número de tarjeta de crédito. Este método reduce los falsos positivos.
• SSN# (número de la seguridad social): Usa un algoritmo para detectar los nueve
dígitos, independientemente del formato. Hay dos campos: SSN# y SSN# (sin guión).

Acerca de los perfiles de seguridad Prevención de amenazas

de amenazas
Filtrado de datos Valores de peso y umbral

(continuación)
Es importante comprender el modo en que se calcula el peso de un objeto (patrón de SSN,
CC#) con objeto de establecer el umbral adecuado para una condición que está intentando
filtrar. Cada ocurrencia multiplicada por el valor de peso se añade para alcanzar un umbral
de acción (alerta o bloqueo).
Ejemplo 1
Para simplificar, si solamente quiere filtrar los archivos con números de la seguridad social
(SSN) y define un peso de 3 para SSN#, usaría la siguiente fórmula: cada ejemplo de un SSN
x peso = incremento del umbral. En este caso, si un documento de Word tiene 10 números
de la seguridad social, se multiplica esa cantidad por 3, de modo que 10 x 3 = 30. Para
realizar acciones con un archivo que contiene 10 números de la seguridad social, debería
establecer el umbral en 30. Puede que desee establecer una alerta a los 30 y después un
bloqueo a los 60. Puede que también quiera establecer un peso en el campo SSN# (sin
guión) para los números de la seguridad social que no contengan guiones. Si se usan varios
ajustes, irán sumándose para alcanzar un umbral concreto.
Ejemplo 2
En este ejemplo, filtraremos archivos que contengan números de la seguridad social y el
patrón personalizado confidencial. Dicho de otro modo, si un archivo tiene números de la
seguridad social además de la palabra confidencial y los ejemplos combinados de esos
elementos alcanzan el umbral, el archivo desencadenará una alerta o un bloqueo,
dependiendo del ajuste de acción.
Multiplicador de SSN# = 3
Multiplicador de confidencial del patrón personalizado = 20
Nota El patrón personalizado distingue entre mayúsculas y minúsculas.
Si el archivo contiene 20 números de la seguridad social y se configura un multiplicador 3,

el cálculo es 20 x 3 = 60. Si el archivo también contiene un ejemplo del término confidencial
y se configura un multiplicador 20, el cálculo es 1 x 20 = 20, que hace un total de 80. Si el
umbral para el bloqueo se configura en 80, en este ejemplo se bloquearía el archivo. La
acción de alerta o bloqueo se dispara en cuanto se alcanza el umbral.


de amenazas
Protección contra ataques Ofrece un control detallado de las políticas de protección contra ataques por denegación de
por denegación de servicio servicio (DoS). Las políticas DoS permiten controlar el número de sesiones entre interfaces,
zonas, direcciones y países, basadas en sesiones agregadas o direcciones IP de origen o
destino. Hay dos mecanismos de protección DoS compatibles con los cortafuegos de Palo
Alto Networks.
• Protección contra inundaciones: Detecta y evita los ataques en los que la red está
inundada con paquetes y esto provoca que haya muchas sesiones a medio abrir o servicios
que no pueden responder a cada solicitud. En este caso la dirección de origen del ataque
suele estar falsificada.
• Protección de recursos: Detecta y previene los ataques de agotamiento por sesiones.
En este tipo de ataque, se usa un gran número de hosts (bots) para establecer el mayor
número posible de sesiones completas para consumir todos los recursos del sistema.
Estos dos mecanismos de protección pueden definirse en un único perfil DoS.
El perfil DoS se usa para especificar el tipo de acción que se llevará a cabo y los detalles de
los criterios de coincidencia para la política DoS. El perfil DoS define ajustes para
inundaciones de ICMP, SYN y UDP, puede habilitar la protección de recursos y define el
número máximo de conexiones simultáneas. Una vez configurado el perfil de protección
DoS, agréguelo a una política DoS.
Al configurar protección DoS, es importante analizar su entorno para establecer los
umbrales correctos y, debido a algunas de las complejidades para definir las políticas de
protección DoS, esta guía no ofrece ejemplos detallados. Para obtener más información,
consulte Threat Prevention Tech Note (en inglés).
Protección de zonas Ofrece protección adicional entre zonas de red específicas para protegerlas de los ataques.
El perfil debe aplicarse a toda la zona, así que es importante probar cuidadosamente los
perfiles para evitar que surjan problemas cuando el tráfico normal cruce la zona. Si define
límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas, el
umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión
establecida previamente.
Para obtener más información, consulte Threat Prevention Tech Note (en inglés).

Configuración de políticas y perfiles de seguridad Prevención de amenazas
Configuración de políticas y perfiles de seguridad

Las siguientes secciones ofrecen ejemplos de configuración de prevención de amenazas básica.
 Configuración de antivirus, antispyware y protección contra vulnerabilidades
 Configuración de filtrado de datos
 Configuración de bloqueo de archivos
Para obtener información sobre cómo controlar el acceso web como parte de su estrategia de prevención de
amenazas, consulte Configuración de filtrado de URL.
Configuración de antivirus, antispyware y protección contra vulnerabilidades
A continuación se describen los pasos necesarios para configurar los perfiles predeterminados de antivirus,
antispyware y protección contra vulnerabilidades. Estas funciones tienen objetivos muy similares, por lo que
estos pasos son solo de carácter general y sirven para habilitar los perfiles predeterminados.
Todas las firmas antispyware y de protección contra vulnerabilidades tienen una acción
predeterminada definida por Palo Alto Networks. Puede ver la acción predeterminada
navegando hasta Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de
seguridad > Protección contra vulnerabilidades y, a continuación, seleccionando un perfil.
Haga clic en la pestaña Excepciones y después en Mostrar todas las firmas; verá una lista
de las firmas con la acción predeterminada en la columna Acción. Para cambiar la acción
predeterminada, debe crear un nuevo perfil y, a continuación, crear reglas con una acción no
predeterminada y/o añadir excepciones de firma individuales a Excepciones en el perfil.
Configuración de antivirus/antispyware/protección contra vulnerabilidades
Paso 1 Compruebe que tiene una licencia de • La licencia de prevención de amenazas reúne en una licencia las
prevención de amenazas. funciones de antivirus, antispyware y protección contra
vulnerabilidades.
• Seleccione Dispositivo > Licencias para verificar que la licencia de
Prevención de amenazas está instalada y comprobar la fecha de
vencimiento.
Paso 2 Descargue las firmas de amenazas de 1. Seleccione Dispositivo > Actualizaciones dinámicas y haga clic
antivirus más recientes. en Comprobar ahora en la parte inferior de la página para
recuperar las firmas más recientes.
En la columna Acciones, haga clic en Descargar para instalar las
firmas más recientes de antivirus y de aplicaciones y amenazas.

Prevención de amenazas Configuración de políticas y perfiles de seguridad
Paso 3 Programe actualizaciones de firmas. 1. Desde Dispositivo > Actualizaciones dinámicas, haga clic en el
texto que hay a la derecha de Programación para recuperar
automáticamente las actualizaciones de firmas de Antivirus y
Aplicaciones y amenazas.
2. Especifique la frecuencia y sincronización de las actualizaciones
y si la actualización se descargará e instalará o únicamente se
descargará. Si selecciona Únicamente descargar, tendrá que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Acción para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualización. No es necesario realizar
una compilación.
3. (Opcional) También puede introducir un número de horas en el
campo Umbral para indicar el tiempo mínimo que debe tener
una firma antes de realizar la descarga. Por ejemplo, si introduce
10, la firma debe tener al menos 10 horas de antigüedad antes de
poder descargarla, independientemente de la programación.
4. En una configuración de HA, también puede hacer clic en la
opción Sincronizar en el peer para sincronizar la actualización
de contenido con el peer de HA tras la descarga/instalación.
Esto no hará que se apliquen los ajustes de programación al
dispositivo del peer, sino que tendrá que configurar la
programación en cada dispositivo.
Recomendaciones para las programaciones de antivirus
La recomendación general para programar las actualizaciones de firmas de antivirus es realizar una descarga e instalación
diariamente en el caso de los antivirus y semanalmente para las aplicaciones y vulnerabilidades.
Recomendaciones para configuraciones de HA:

• HA activa/pasiva: Si el puerto de gestión se usa para descargar firmas de antivirus, configure una programación en
ambos dispositivos y ambos dispositivos realizarán las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizará descargas mientras esté en estado pasivo. En este
caso debería establecer una programación en ambos dispositivos y, a continuación, seleccionar la opción Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarán las actualizaciones y después
se aplicarán al dispositivo pasivo.
• HA activa/activa: Si el puerto de gestión se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalación en ambos dispositivos, pero no seleccione la opción Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizará que si un dispositivo en la configuración activa/activa pasa al estado activo secundario, el dispositivo activo
descargará/instalará la firma y después la aplicará al dispositivo activo secundario.

Paso 4 Añada los perfiles de seguridad a una 1. Seleccione Políticas > Seguridad, seleccione la política deseada
política de seguridad. para modificarla y, a continuación, haga clic en la pestaña
Acciones.
2. En Ajuste de perfil, haga clic en el menú desplegable junto a
cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos Antivirus, Protección contra vulnerabilidades
y Antispyware.
Nota Si no se había definido ningún perfil de seguridad
anteriormente, seleccione Perfiles en el menú desplegable
Tipo de perfil. Verá una lista de opciones para
seleccionar los perfiles de seguridad.
Paso 5 Compile la configuración.
Configuración de filtrado de datos
A continuación se describen los pasos necesarios para configurar un perfil de filtrado de datos que detecte los
números de la seguridad social y un patrón identificado en documentos .doc y .docx.
Ejemplo de configuración de filtrado de datos
Paso 1 Cree un perfil de seguridad de filtrado de 1. Seleccione Objetos > Perfiles de seguridad > Filtrado de datos
datos. y haga clic en Añadir.
2. Introduzca un Nombre y una Descripción para el perfil. En este
ejemplo, el nombre es FD_Perfil1 y la descripción es Detección de
números de la seguridad social.
3. (Opcional) Si quiere recopilar los datos bloqueados por el filtro,
marque la casilla de verificación Captura de datos.
Nota Debe establecer una contraseña como se describe en el
Paso 2 si está utilizando la función de captura de datos.

Ejemplo de configuración de filtrado de datos (Continuación)
Paso 2 (Opcional) Proteja el acceso a los logs de 1. Seleccione Dispositivo > Configuración > Content-ID.
filtrado de datos para evitar que otros 2. Haga clic en Gestionar protección de datos en la sección
administradores vean datos Características de ID de contenido.
confidenciales.
3. Establezca la contraseña obligatoria para ver los logs de filtrado
Cuando habilite esta opción, se le pedirá de datos.
la contraseña cuando visualice logs en
Supervisar > Logs > Filtrado de datos.
Paso 3 Defina el patrón de datos que se usará en el perfil de filtrado de datos. En este ejemplo, usaremos la palabra
clave confidencial y estableceremos la opción de buscar números de la seguridad social con guiones
(p. ej.: 987-654-4320). Es recomendable establecer los umbrales apropiados y definir las palabras clave dentro
de los documentos para reducir los falsos positivos.
1. Desde la página Perfil de filtrado de datos, haga clic en Añadir y seleccione Nuevo en el menú desplegable
Patrón de datos. También puede configurar patrones de datos desde Objetos > Firmas personalizadas >
Patrones de datos.
2. Para este ejemplo, dé a la firma de patrón de datos el nombre
Detectar números de la seguridad social y añada la descripción
Patrón de datos para detectar números de la seguridad social.
3. En la sección Ponderación de SSN# introduzca 3. Consulte Valores
de peso y umbral para obtener más información.
4. (Opcional) También puede establecer patrones personalizados que
quedarán sujetos a este perfil. En este caso, especifique un patrón en el
campo Regex de los patrones personalizados y determine una
ponderación. Puede añadir múltiples expresiones coincidentes al mismo
perfil del patrón de datos. En este ejemplo, crearemos un patrón
personalizado llamado SSN_Personalizado con un patrón
personalizado de confidencial (el patrón distingue entre mayúsculas y
minúsculas) y usaremos una ponderación de 20. Usamos el término
confidencial en este ejemplo porque sabemos que nuestros
documentos de Word de la seguridad social contienen esta palabra, así
que definimos esa concretamente.

Paso 4 Especifique qué aplicaciones se filtrarán y 1. Establezca Aplicaciones como Cualquiera. Esto detectará las
determine los tipos de archivo. aplicaciones compatibles tales como: exploración web, FTP o
SMTP. Si quiere concretar más la aplicación, puede seleccionarla
de la lista. Para aplicaciones como Microsoft Outlook Web App
que usan SSL, tendrá que habilitar el descifrado. Asegúrese de
que comprende el nombre de cada aplicación. Por ejemplo,
Outlook Web App, que es el nombre de Microsoft para esta
aplicación, se identifica como la aplicación outlook-web en la
lista de aplicaciones de PAN-OS. Puede comprobar los logs de
una aplicación determinada para identificar el nombre definido
en PAN-OS.
2. Establezca Tipos de archivos como doc y docx para analizar
únicamente archivos doc y docx.
Paso 5 Especifique la dirección del tráfico que se 1. Establezca la dirección como Ambos. Se analizarán tanto los
filtrará y los valores de umbral. archivos que se cargan como los que se descargan.
2. Establezca el Umbral de alerta como 35. En este caso, se
iniciará una alerta si hay 5 casos de números de la seguridad
social y un caso del término confidencial. La fórmula es 5 casos
de SSN con una ponderación de 3 = 15, más 1 caso del término
confidencial con una ponderación de 20 = 35.
3. Establezca el umbral de bloqueo en 50. El archivo se bloqueará
si hay 50 casos de un SSN o existe el término confidencial en el
archivo. En este caso, si el archivo doc contenía 1 caso de la
palabra confidencial con una ponderación de 20 que equivale a
20 hacia el umbral, y el archivo doc tiene 15 números de la
seguridad social con una ponderación de 3, equivale a 45. Si
suma 20 y 45 obtendrá 65, que supera el umbral de bloqueo
de 50.

Paso 6 Adjunte el perfil de filtrado de datos a la 1. Seleccione Políticas > Seguridad y seleccione la regla de política
regla de seguridad. de seguridad a la que aplicar el perfil.
2. Haga clic en la regla de la política de seguridad para modificarla
y después haga clic en la pestaña Acciones. En el menú
desplegable Filtrado de datos, seleccione el nuevo perfil de
filtrado de datos que ha creado y haga clic en Aceptar para
guardar. En este ejemplo, el nombre de la regla de filtrado de
datos es FD_Perfil1.
Paso 7 Compile la configuración.
Paso 8 Compruebe la configuración de filtrado En la prueba debe usar números de la seguridad social reales y cada
de datos. número debe ser exclusivo. Asimismo, al definir patrones
personalizados como hicimos en este ejemplo con la palabra
Si tiene problemas para conseguir que
confidencial, el patrón distingue entre mayúsculas y minúsculas.
funcione el filtrado de datos, puede
Para que la prueba sea sencilla, tal vez prefiera hacerla usando
comprobar el log Filtrado de datos o el
primero solo un patrón de datos y después probando los números de
log Tráfico para comprobar la aplicación
la seguridad social.
que está probando y asegurarse de que el
documento de prueba tiene el número 1. Acceda a un PC cliente en la zona fiable del cortafuegos y envíe
adecuado de instancias de números una solicitud de HTTP para cargar un archivo .doc o .docx que
exclusivos de la seguridad social. Por contenga la información exacta que definió para el filtrado.
ejemplo, una aplicación como Microsoft 2. Cree un documento de Microsoft Word con una instancia del
Outlook Web App puede que se término confidencial y cinco números de la seguridad social con
identifique como exploración web, pero si guiones.
observa los logs, verá que la aplicación es 3. Cargue el archivo a un sitio web. Use un sitio HTTP a menos
outlook-web. Aumente también la que tenga configurado el descifrado, en cuyo caso puede usar
cantidad de números de la seguridad HTTPS.
social o el patrón predeterminado para 4. Seleccione los logs Supervisar > Logs > Filtrado de datos.
asegurarse de que alcanza los umbrales.
5. Localice el log que se corresponda con el archivo que acaba de
cargar. Para ayudar a filtrar los logs, utilice el origen de su PC
cliente y el destino del servidor web. La columna Acción del log
mostrará Restablecer ambos. Ahora puede incrementar la
cantidad de números de la seguridad social en el documento
para comprobar el umbral de bloqueo.

Este ejemplo describe los pasos básicos necesarios para configurar el bloqueo y el reenvío de archivos. En esta
configuración, ajustaremos las opciones necesarias para indicar a los usuarios que continúen antes de descargar
archivos .exe de los sitios web. Al probar este ejemplo, tenga en cuenta que puede haber otros sistemas entre
usted y el origen que bloquean el contenido.
Paso 1 Cree el perfil de bloqueo de archivos. 1. Seleccione Objetos > Perfiles de seguridad > Bloqueo de
archivos y haga clic en Añadir.
2. Introduzca un nombre para el perfil de bloqueo de archivos, por
ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripción, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.
Paso 2 Configure las opciones de bloqueo de 1. Haga clic en Añadir para definir estos ajustes de perfil.
archivos. 2. Introduzca un nombre, como Bloquear_EXE.
3. Establezca las Aplicaciones para el filtrado, por ejemplo
exploración web.
4. En Tipos de archivos seleccione exe.
5. En Dirección seleccione descarga.
6. En Acción seleccione continuar. Al seleccionar la opción de
continuar, se mostrará a los usuarios una página de respuesta
que les indica que hagan clic en continuar antes de que se
descargue el archivo.

Configuración de bloqueo de archivos (Continuación)
Paso 3 Añada el perfil de bloqueo de archivos a 1. Seleccione Políticas > Seguridad y bien seleccione una política
una política de seguridad. existente o cree una nueva política según se describe en
Configuración de políticas de seguridad básicas.
2. Haga clic en la pestaña Acciones dentro de la regla de política.
3. En la sección Ajuste de perfil, haga clic en el menú desplegable
y seleccione el perfil de bloqueo de archivos que ha configurado.
En este caso, el nombre de perfil es Bloquear_EXE.
Si no se ha definido ningún perfil de seguridad previamente,
seleccione el menú desplegable Tipo de perfil y seleccione Perfiles.
Verá una lista de opciones para seleccionar los perfiles de seguridad.
Paso 4 Para comprobar su configuración de bloqueo de archivos, acceda a un PC cliente en la zona fiable del cortafuegos
y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debería aparecer una página de
respuesta. Haga clic en Continuar para descargar el archivo. También puede establecer otras acciones, como
únicamente alertar, reenviar (que reenviará a WildFire) o bloquear, que no proporcionará al usuario una página
que le pregunte si desea continuar. A continuación se muestra la página de respuesta predeterminada de Bloqueo
de archivos:
Ejemplo: Página de respuesta de bloqueo de archivos predeterminada
Paso 5 (Opcional) Defina páginas de respuesta de bloqueo de archivos (Dispositivo > Páginas de respuesta). Esto le
permite ofrecer más información a los usuarios cuando ven una página de respuesta. Puede incluir información
como la información de políticas de empresa e información de contacto de un departamento de soporte técnico.
Nota Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el
reenvío de WildFire), únicamente puede elegir la aplicación de navegación web. Si elige cualquier otra aplicación,
el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los
usuarios no verán una página que les pregunte si desean continuar. Asimismo, si el sitio web utiliza HTTPS,
necesitará tener instaurada una política de descifrado.
Tal vez desee comprobar sus logs para confirmar qué aplicación se está usando al probar esta característica. Por ejemplo,
si está utilizando Microsoft Sharepoint para descargar archivos, aunque esté utilizando un explorador web para acceder al
sitio, la aplicación en realidad es sharepoint-base o sharepoint-document . Tal vez quiera establecer el tipo de
aplicación como Cualquiera para probar.

Prevención de ataques de fuerza bruta Prevención de amenazas
Prevención de ataques de fuerza bruta

Un ataque de fuerza bruta utiliza un gran volumen de solicitudes/respuestas de la misma dirección IP de origen
o destino para introducirse en un sistema. El atacante emplea un método de ensayo y error para adivinar la
respuesta a un reto o una solicitud.
El perfil de protección contra vulnerabilidades del cortafuegos incluye firmas para protegerle de ataques de
fuerza bruta. Cada firma tiene un ID, Nombre de amenaza y Gravedad y se activa cuando se registra un patrón.
El patrón especifica las condiciones y el intervalo en los que el tráfico se identifica como un ataque de fuerza
bruta; algunas firmas están asociadas a otra firma secundaria de una gravedad menor que especifica el patrón
con el que debe coincidir. Cuando un patrón coincide con la firma o la firma secundaria, activa la acción
predeterminada de la firma.
Para aplicar la protección:
 Añada el perfil de vulnerabilidad a una regla de seguridad. Consulte Configuración de antivirus, antispyware
y protección contra vulnerabilidades.
 Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas emergentes.
Consulte Gestión de la actualización de contenidos.
 ¿Cómo se activa una firma para un ataque de fuerza bruta?
 Personalización de la acción y las condiciones de activación para una firma de fuerza bruta
¿Cómo se activa una firma para un ataque de fuerza bruta?
La tabla siguiente enumera algunas firmas para ataques de fuerza bruta y las condiciones que las activan:
ID de firma Nombre de amenaza ID de firma secundaria Condiciones de activación
40001 FTP: Intento de fuerza 40000 Frecuencia: 10 veces en 60 segundos

bruta en el inicio de Patrón: La firma secundaria 40000 registra el
sesión mensaje de respuesta de FTP con el código de
error 430 para indicar que se envió un nombre
de usuario o una contraseña no válido después
del comando de aprobación.
40003 DNS: Intento de registro 40002 Frecuencia: 100 veces en 60 segundos
en caché con replicación Patrón: La firma secundaria 40002 registra un
encabezado de respuesta de DNS con un
recuento de 1 para los campos de registro
Pregunta, Respuesta, Autoridad y Recurso
adicional.
40004 SMB: Intento de fuerza 31696 Frecuencia: 14 veces en 60 segundos

bruta en la contraseña de Patrón: La firma secundaria 31696 registra el
usuario código de error de respuesta 0x50001 y el
código de error 0xc000006d para cualquier
comando smb.

Prevención de amenazas Prevención de ataques de fuerza bruta
40005 LDAP: Intento de fuerza 31706 Frecuencia: 20 veces en 60 segundos

bruta en el inicio de Patrón: La firma secundaria 31706 busca el
sesión de usuario código de resultado 49 en un
bindResponse(27) de LDAP; el código de
resultado 49 indica credenciales no válidas.
40006 HTTP: Intento de fuerza 31708 Frecuencia: 100 veces en 60 segundos

bruta en autenticación de Patrón: La firma secundaria 31708 busca el
usuario código de estado HTTP 401 con
WWW-Authenticate en el campo de encabezado
de respuesta; el código de estado 401 indica un
fallo de autenticación.
40007 CORREO: Intento de 31709 Frecuencia: 10 veces en 60 segundos

fuerza bruta en el inicio Patrón: La firma secundaria 31709 funciona en
de sesión de usuario aplicaciones smtp, pop3 e imap. La condición
de activación de cada aplicación es la siguiente:
smtp: código de respuesta 535
imap: fallo de inicio de sesión/registro
ausente/incorrecto
pop3: ERR en el comando PASS de pop3.
40008 Intento de fuerza bruta 31719 Frecuencia: 25 veces en 60 segundos

en autenticación de Patrón: La firma secundaria 31719 busca el
MySQL código de error 1045 en la etapa mysql clientauth.

en autenticación de Patrón: La firma secundaria 31732 busca inicio
Telnet de sesión incorrecto en el paquete de respuesta.

en autenticación de Patrón: La firma secundaria 31753 busca Fallo
usuario de Microsoft de inicio de sesión del usuario en el paquete de
SQL Server respuesta.

usuario de base de datos de autenticación de contraseña del usuario en el
de Postgres paquete de respuesta.

usuario de base de datos de autenticación de contraseña del usuario en el
de Oracle paquete de respuesta.

usuario de base de datos de inicio de sesión en el paquete de respuesta.
de Sybase


en autenticación de Patrón: La firma secundaria 31764 busca el
usuario de base de datos punto de código 0x1219 con código de
de DB2 gravedad 8 y código de comprobación de
seguridad 0xf.

en autenticación de Patrón: La firma secundaria 31914 recibe una
usuario de SSH alerta por cada conexión al servidor SSH.
40016 Intento de inundación de 31993 Frecuencia: 20 veces en 60 segundos

solicitudes con el Patrón: La firma secundaria 31993 busca el
método INVITE de SIP método INVITE en sesiones de SIP en las que
se haya invitado a un cliente para que participe
en una llamada.
40017 VPN: Intento de fuerza 32256 Frecuencia: 10 veces en 60 segundos

bruta en autenticación de Patrón: La firma secundaria 32256 busca
VPN SSL de caja de x-private-pan-sslvpn: auth-failed en el encabezado
PAN de respuesta HTTP.
40018 HTTP: Intento de 32452 Frecuencia: 40 veces en 60 segundos

denegación de servicio Patrón: La firma secundaria busca 32452 que
de Apache tenga longitud de contenido pero no incluya
\r\n\r\n en la solicitud.
40019 HTTP: Intento de 32513 Frecuencia: 10 veces en 20 segundos

denegación de servicio Patrón: La firma secundaria 32513 busca %3f
de IIS en la ruta de uri http con .aspx.
40020 Intento de agotamiento 32785 Frecuencia: 10 veces en 30 segundos

de número de llamadas Patrón: La firma secundaria 32785 busca el
de Digium Asterisk campo de número de llamadas en un mensaje
IAX2 de Asterisk.
40021 MS-RDP: Intento de 33020 Frecuencia: 8 veces en 100 segundos

conexión a escritorio Patrón: La firma secundaria 33020 busca la
remoto de MS acción CONNECT en la solicitud de ms-rdp.
40022 HTTP: Intento de fuerza 33435 Frecuencia: 30 veces en 60 segundos

bruta con fuga de Patrón: La firma secundaria 33435 busca el
información de código de respuesta 500 y el encabezado de
Microsoft ASP.Net respuesta contiene \nX-Powered-By:
ASP\.NET

40023 SIP: Intento de solicitud 33592 Frecuencia: 60 veces en 60 segundos

de registro de SIP Patrón: La firma secundaria 33592 busca el
método REGISTER de SIP que registra la
dirección indicada en el campo de encabezado
Para con un servidor SIP.
40028 SIP: Ataque de fuerza 34520 Frecuencia: 20 veces en 60 segundos

bruta en mensaje SIP Patrón: La firma secundaria 34520 busca la
Bye solicitud SIP BYE que se utiliza para finalizar
una llamada.
40030 HTTP: Ataque de fuerza 34548 Frecuencia: 20 veces en 60 segundos

bruta en autenticación de Patrón: La firma secundaria 34548 busca el
NTLM HTTP código de estado HTTP 407 y un fallo de
autenticación con un servidor proxy de NTLM.

bruta con HTTP Patrón: La firma secundaria 34556 busca la
prohibido respuesta HTTP 403 que indica que el servidor
está rechazando una solicitud de HTTP válida.

bruta con herramienta Patrón: La firma secundaria 34767 busca la
HOIC solicitud de HTTP desde la herramienta de
denegación distribuida de servicio High Orbit
Ion Cannon (HOIC).
40033 DNS: Ataque de 34842 Frecuencia: 60 veces en 60 segundos

denegación de servicio Patrón: La firma secundaria 34842 busca
de fuerza bruta en consultas de registro DNS ANY.
consultas ANY
40034 SMB: Vulnerabilidad de 35364 Frecuencia: 60 veces en 60 segundos

falta de entropía en la Patrón: La firma secundaria 35364 busca una
autenticación NTLM en solicitud de negociación de SMB (0x72). Varias
SMB de de Microsoft solicitudes en un breve período de tiempo
Windows podrían indicar un ataque para
CVE-2010-0231.
Personalización de la acción y las condiciones de activación para una firma

de fuerza bruta
El cortafuegos incluye dos tipos de firmas de fuerza bruta predefinidas: firma principal y firma secundaria. Una
firma secundaria es una única incidencia de un patrón de tráfico que coincide con la firma. Una firma principal
está asociada a una firma secundaria y se activa cuando se producen varios eventos dentro de un intervalo de
tiempo y coinciden con el patrón de tráfico definido en la firma secundaria.

Por lo general, una firma secundaria tiene de manera predeterminada la acción Permitir porque un único evento
no es indicativo de un ataque. En la mayoría de los casos, la acción de una firma secundaria está establecida como
Permitir para que el tráfico legítimo no quede bloqueado y no se generen logs de amenaza para eventos que no
sean destacados. Por lo tanto, Palo Alto Networks únicamente le recomienda cambiar la acción predeterminada
después de haberlo considerado detenidamente.
En la mayoría de los casos, la firma de fuerza bruta es un evento destacado debido a su patrón recurrente. Si
desea personalizar la acción de una firma de fuerza bruta, puede realizar una de las siguientes acciones:
 Cree una regla para modificar la acción predeterminada para todas las firmas de la categoría de fuerza bruta.
Puede definir la acción para permitir, alertar, bloquear, restablecer o descartar el tráfico.
 Defina una excepción para una firma específica. Por ejemplo, puede buscar una CVE y definir una excepción
para ella.
Para una firma principal, puede modificar tanto las condiciones de activación como la acción; para una firma
secundaria, solamente puede modificarse la acción.
Para mitigar un ataque de manera eficaz, se recomienda la acción Bloquear

dirección IP antes que la acción Colocar o Restaurar para la mayoría de firmas de
fuerza bruta.
Personalización del umbral y la acción para una firma
Paso 1 Cree un nuevo perfil de protección 1. Seleccione Objetos > Perfiles de seguridad > Protección de
contra vulnerabilidades. vulnerabilidades.
2. Haga clic en Añadir e introduzca un Nombre para el perfil
de protección contra vulnerabilidades.
Paso 2 Cree una regla que defina la acción para 1. Seleccione Reglas, haga clic en Añadir e introduzca un
todas las firmas de una categoría. Nombre para la regla.
2. Establezca la Acción. En este ejemplo, está establecida como
Bloquear.
3. Establezca la Categoría como Fuerza bruta.
4. (Opcional) Si está bloqueando, especifique si desea bloquear el
servidor o el cliente; el valor predeterminado es cualquiera.
5. Consulte el Paso 3 para personalizar la acción para una firma
específica.
6. Consulte el Paso 4 para personalizar el umbral de activación
para una firma principal.
7. Haga clic en Aceptar para guardar la regla y el perfil.

Personalización del umbral y la acción para una firma (Continuación)
Paso 3 (Opcional) Personalice la acción para una 1. Seleccione Excepciones y haga clic en Mostrar todas las
firma específica. firmas para buscar la firma que desee modificar.
Para ver todas las firmas de la categoría Fuerza bruta, busque
(la categoría contiene 'fuerza bruta').
2. Para editar una firma específica, haga clic en la acción
predeterminada predefinida en la columna Acción.
3. Establezca la acción como Permitir, Alertar o Bloquear IP.
4. Si selecciona Bloquear IP, realice estas tareas adicionales:
a. Especifique el Período de tiempo (en segundos) después del
cual activar la acción.
b. En el campo Seguir por, defina si desea bloquear la dirección
IP por Origen de IP o por Origen y destino de IP.

6. Para cada firma modificada, seleccione la casilla de verificación
de la columna Habilitar.
Paso 4 Personalice las condiciones de activación 1. Haga clic en para editar el atributo de tiempo y los
para una firma principal. criterios de agregación para la firma.
Una firma principal que pueda editarse se
marcará con este icono: .
En este ejemplo, los criterios de búsqueda
fueron la categoría Fuerza bruta y
CVE-2008-1447.
2. Para modificar el umbral de activación, especifique el Número

de resultados por x segundos.
3. Especifique si desea agregar el número de resultados por
Origen, Destino u Origen y destino.
Paso 5 Añada este nuevo perfil a una regla de

seguridad.
Paso 6 Guarde sus cambios. 1. Haga clic en Confirmar.

Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7 Prevención de amenazas
Prácticas recomendadas para proteger su red ante

evasiones de capa 4 y capa 7
Para supervisar y proteger su red de la mayoría de ataques de capa 4 y capa 7, aquí tiene un par de
recomendaciones.
 Para servidores web, cree una política de seguridad para que solo se permitan los protocolos que admite el
servidor. Por ejemplo, garantice que solo se permite el tráfico HTTP a un servidor web. Si ha definido una
política de anulación de aplicaciones para una aplicación personalizada, asegúrese de restringir el acceso a
una zona de origen específica o un conjunto de direcciones IP.
 Adjunte los siguientes perfiles de seguridad a sus políticas de seguridad para proporcionar una protección
basada en firmas.
– Cree un perfil de protección contra vulnerabilidades para bloquear todas las vulnerabilidades con
gravedad baja y alta.
– Cree un perfil de antispyware para bloquear todo el spyware.
– Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
 Cree un perfil de bloqueo de archivos que bloquee tipos de archivos Portable Executable (PE) para tráfico
de SMB (bloqueo de mensajes del servidor) basado en Internet para que no pase de las zonas fiables a las
no fiables (aplicaciones ms-ds-smb).
Para lograr una protección adicional, cree una política antivirus para detectar y bloquear los archivos DLL
malintencionados conocidos.
 Cree un perfil de protección de zona configurado para descartar segmentos de TCP no coincidentes y
superpuestos, para así proteger frente a los ataques basados en paquetes.
Al establecer deliberadamente conexiones con datos superpuestos pero diferentes en ellos, los atacantes
pueden intentar conseguir una interpretación equivocada de la intención de la conexión. Esto puede
utilizarse para inducir deliberadamente falsos positivos o falsos negativos. Un atacante puede utilizar la
replicación de IP y la predicción de números de secuencia para interceptar la conexión de un usuario e
introducir sus propios datos en la conexión. PAN-OS utiliza este campo para descartar dichas tramas con
datos no coincidentes y superpuestos. Las situaciones en las que el segmento recibido se descartará son las
siguientes:
– El segmento recibido está incluido dentro de otro segmento.
– El segmento recibido está superpuesto a parte de otro segmento.
– El segmento está incluido completamente dentro de otro segmento.
 Verifique que está habilitada la compatibilidad con IPv6 si ha configurado direcciones IPv6 en sus hosts de
red. (Red > Interfaces > Ethernet > IPv6)
Esto permite acceder a hosts IPv6 y filtra los paquetes IPv6 que estén resumidos en paquetes IPv4. Al
habilitar la compatibilidad con IPv6 se evita que las direcciones de multidifusión IPv6 sobre IPv4 se
aprovechen para el reconocimiento de red.
 Habilite la compatibilidad con tráfico de multidifusión para que el cortafuegos pueda aplicar la política
sobre tráfico de multidifusión. (Red > Enrutador virtual > Multidifusión)

Prevención de amenazas Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
 Habilite el siguiente comando de la CLI para borrar la marca de bit URG en el encabezado TCP y
desautorice el procesamiento de paquetes fuera de banda.
El puntero de urgencia en el encabezado TCP se utiliza para promover un paquete para su procesamiento
inmediato retirándolo de la cola de procesamiento y enviándolo a través de la pila TCP/IP en el host. Este
proceso se denomina procesamiento fuera de banda. Debido a que la implementación del puntero de
urgencia varía según el host, para eliminar la ambigüedad, utilice el siguiente comando de la CLI para
desautorizar el procesamiento fuera de banda; el byte fuera de banda en la carga se convierte en parte de la
carga y el paquete no se procesa con urgencia. Al hacer este cambio eliminará la ambigüedad sobre el
procesamiento del paquete en el cortafuegos y en el host, y el cortafuegos ve exactamente el mismo flujo
en la pila de protocolos como el host al que va destinado el paquete.
set deviceconfig setting tcp urgent-data clear
 Habilite el siguiente comando de la CLI para deshabilitar bypass-exceed-queue.
La derivación de cola excedente es obligatoria para los paquetes que no funcionan. Esta situación es más
común en un entorno asimétrico en el que el cortafuegos recibe paquetes que no funcionan. Para la
identificación de determinadas aplicaciones (App-ID), el cortafuegos realiza un análisis heurístico. Si los
paquetes se reciben sin que funcionen, los datos deben copiarse en una cola para realizar el análisis para la
aplicación.
set deviceconfig setting application bypass-exceed-queue no
 Habilite los siguientes comandos de la CLI para deshabilitar la inspección de paquetes cuando se alcance el
límite de paquetes que no funcionan. El cortafuegos de Palo Alto Networks puede recopilar hasta 32
paquetes que no funcionan por sesión. Este contador identifica si los paquetes han superado el límite de
32 paquetes. Cuando el ajuste de derivación se establece como no, el dispositivo descarta los paquetes que
no funcionan que superan el límite de 32 paquetes. Es necesario confirmar.
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd bypass-exceed-queue no
 Habilite los siguientes comandos de la CLI para comprobar la marca de tiempo de TCP. La marca de
tiempo de TCP registra cuándo se envió el segmento y permite que el cortafuegos verifique si la marca de
tiempo es válida para esa sesión.
set deviceconfig setting tcp check-timestamp-option yes

Infraestructura de Content Delivery Network para actualizaciones dinámicas Prevención de amenazas
Infraestructura de Content Delivery Network para

actualizaciones dinámicas
Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red de entrega de
contenidos) para entregar actualizaciones de contenidos a los dispositivos de Palo Alto Networks. Estos
dispositivos acceden a los recursos de Internet en la CDN para realizar varias funciones de ID de aplicaciones
y de ID de contenidos. Para activar y programar las actualizaciones de contenidos, consulte Gestión de la
actualización de contenidos.
La siguiente tabla enumera los recursos de Internet a los que accede el cortafuegos para una función o
aplicación:
Recurso URL Direcciones estáticas (si se requiere un

servidor estático)
Base de datos de • updates.paloaltonetworks.com:443 staticupdates.paloaltonetworks.com o la

aplicaciones dirección IP 199.167.52.15
Base de datos • updates.paloaltonetworks.com:443 staticupdates.paloaltonetworks.com o la

amenazas/antivirus dirección IP 199.167.52.15
• downloads.paloaltonetworks.com:443
Como práctica recomendada, establezca
el servidor de actualizaciones para que
acceda a updates.paloaltonetworks.com.
De esta forma el dispositivo de Palo Alto
Networks podrá recibir actualizaciones
de contenidos desde el servidor que esté
más cercano en la infraestructura de
CDN.
Filtrado de URL de • *.urlcloud.paloaltonetworks.com • 50.18.116.114

PAN-DB
• 174.129.212.185
• 46.51.252.65
• 46.137.75.101
Filtrado de URL de • database.brightcloud.com:443/80 Póngase en contacto con el Servicio de

BrightCloud atención al cliente de BrightCloud.
• service.brightcloud.com:80

Prevención de amenazas Infraestructura de Content Delivery Network para actualizaciones dinámicas
Recurso URL Direcciones estáticas (si se requiere un

servidor estático)
WildFire • beta.wildfire.paloaltonetworks.com:443/80  mail.wildfire.paloaltonetworks.com:25

• beta-s1.wildfire.paloaltonetworks.com:443 o la dirección IP 54.241.16.83
/80
 wildfire.paloaltonetworks.com:443/80
Nota Solo es posible acceder a los sitios or 54.241.8.199
Beta por un cortafuegos que esté
ejecutando una versión Beta. Las direcciones URL/IP específicas de región
son las siguientes:
• mail.wildfire.paloaltonetworks.com:25
• wildfire.paloaltonetworks.com:443/80  ca-s1.wildfire.paloaltonetworks.com:44
o 54.241.34.71
 va-s1.wildfire.paloaltonetworks.com:443
o 174.129.24.252
 eu-s1.wildfire.paloaltonetworks.com:443
o 54.246.95.247
 sg-s1.wildfire.paloaltonetworks.com:443
o 54.251.33.241
 jp-s1.wildfire.paloaltonetworks.com:443
o 54.238.53.161
 portal3.wildfire.paloaltonetworks.com:4
43/80 o 54.241.8.199
 ca-s3.wildfire.paloaltonetworks.com:443
o 54.241.34.71
 va-s3.wildfire.paloaltonetworks.com:443
o 23.21.208.35
 eu-s3.wildfire.paloaltonetworks.com:443
o 54.246.95.247
 sg-s3.wildfire.paloaltonetworks.com:443
o 54.251.33.241
 jp-s3.wildfire.paloaltonetworks.com:443
o 54.238.53.161
 wildfire.paloaltonetworks.com.jp:443/8
0 o 180.37.183.53
 wf1.wildfire.paloaltonetowrks.jp:443 o
180.37.180.37
 wf2.wildfire.paloaltonetworks.jp:443 o
180.37.181.18
 portal3.wildfire.paloaltonetworks.jp:443
/80 o 180.37.183.53

Infraestructura de Content Delivery Network para actualizaciones dinámicas Prevención de amenazas

Descifrado
Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el tráfico para ofrecer
gran visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo Alto Networks ofrece la
capacidad de aplicar políticas de seguridad al tráfico cifrado, que de otra manera no podrían bloquearse ni
moldearla de acuerdo con los ajustes de seguridad que ha configurado. Use el descifrado en un cortafuegos para
evitar que entre en su red contenido malicioso o que salga de ella contenido sensible, escondido como tráfico
cifrado. La activación del descifrado en un cortafuegos de Palo Alto Networks puede incluir la preparación de
claves y certificados necesarios para el descifrado, la creación de una política de descifrado y la configuración de
un reflejo de puerto de descifrado. Consulte los siguientes temas para saber más sobre el descifrado y
configurarlo:
 Descripción general del descifrado
 Configuración del proxy SSL de reenvío
 Configuración de la inspección de entrada SSL
 Configuración del Proxy SSH
 Configuración de excepciones de descifrado
 Configuración del reflejo del puerto de descifrado
Descifrado 301
Descripción general del descifrado Descifrado
Descripción general del descifrado

Para saber más sobre las claves y certificados para el descifrado, las políticas de descifrado y el reflejo de los
puertos de descifrado, consulte los siguientes temas:
 Políticas de claves y certificados para el descifrado
 Proxy SSL de reenvío
 Inspección de entrada SSL
 Proxy SSH
 Excepciones de descifrado
 Reflejo del puerto de descifrado
Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro) se usan
para asegurar el tráfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH encapsulan el
tráfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto el cliente y el servidor
que cuenten con las claves para descodificar los datos y los certificados, lo que garantiza la confianza entre los
dispositivos. El tráfico que se ha cifrado con los protocolos SSL y SSH puede descifrarse para garantizar que
esos protocolos se están usando únicamente para los fines deseados y no para ocultar una actividad no deseada
o contenido malicioso.
Los cortafuegos de Palo Alto Networks descifran el tráfico cifrado mediante claves que transforman las cadenas
(contraseñas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin cifrar a texto
cifrado (recifrado del tráfico cuando abandone el dispositivo). Los certificados se usan para definir al
cortafuegos como un interlocutor de confianza y crear una conexión segura. El cifrado SSL (tanto en la
inspección entrante como el proxy de reenvío) requiere certificados para establecer la confianza entre dos
entidades para asegurar una conexión SSL/TLS. Los certificados también pueden usarse al excluir a los
servidores del descifrado SSL. Puede integrar un módulo de seguridad de hardware (HSM) con un cortafuegos
para permitir una seguridad mejorada para las claves privadas usadas en el proxy de envío SSL como en el
descifrado de inspección entrante SSL. Si desea más información sobre el almacenamiento y generación de
claves mediante un HSM en su cortafuegos, consulte Claves seguras con un módulo de seguridad de hardware.
El descifrado SSH no requiere certificados.
El descifrado del cortafuegos de Palo Alto Networks se basa en políticas y puede usarse para descifrar, examinar
y controlar las conexiones SSL y SSH entrantes y salientes. Las políticas de descifrado le permiten especificar el
tráfico que se desea descifrar en función de la categoría de URL, destino u origen para poder bloquear o
restringir el tráfico especificado según sus ajustes de seguridad. El cortafuegos usa certificados y claves para
descifrar el tráfico especificado por la política en texto sin cifrar, y después refuerza los ajustes de seguridad y
App-ID en el tráfico de texto sin cifrar, incluidos los perfiles de descifrado, antivirus, vulnerabilidad, anti-spyware,
filtrado de URL y bloqueo de archivos. Cuando el tráfico se haya descifrado y examinado en el cortafuegos, el tráfico
de texto sin cifrar se volverá a cifrar a medida que salga del cortafuegos para asegurar su privacidad y seguridad.
Use el descifrado basado en políticas en el cortafuegos para conseguir resultados como los siguientes:
 Evite que el software malintencionado oculto como tráfico cifrado se introduzca en una red de su empresa.
 Evite que la información corporativa sensible salga de la red corporativa.
 Asegúrese de que las aplicaciones correctas se ejecuten en una red segura.

 Descifre el tráfico de forma selectiva; por ejemplo, puede excluir del descifrado el tráfico de sitios financieros
o sanitarios mediante la configuración de excepciones de descifrado.
302 Descifrado
Descifrado Descripción general del descifrado
Las tres políticas de descifrado que se ofrecen en el cortafuegos, Proxy SSL de reenvío, Inspección de entrada
SSL y Proxy SSH, proporcionan métodos para detectar y examinar específicamente tráfico saliente SSL, tráfico
SSL entrante y tráfico SSH, respectivamente. Las políticas de descifrado proporcionan los ajustes para que
especifique qué tráfico descifrar y qué perfiles de descifrado se pueden seleccionar al crear una política con el
objetivo de aplicar ajustes de seguridad más granulares al tráfico descifrado, como por ejemplo para buscar
certificados del servidor, modos no admitidos y fallos. Este descifrado basado en políticas en el cortafuegos le
ofrece visibilidad y controla del tráfico cifrado SSL y SSH de acuerdo con parámetros configurables.
También puede optar por extender una configuración de descifrado en el cortafuegos para incluir el Reflejo del
puerto de descifrado, lo que permite el reenvío de tráfico descifrado como texto sin cifrar a una solución externa
para su análisis y archivo.
Políticas de claves y certificados para el descifrado
Las claves son cadenas de números que suelen generarse mediante una operación matemática que incluye
números aleatorios y números primos altos. Las claves se usan para transformar otras cadenas (como
contraseñas y secretos compartidos) de texto sin cifrar en texto cifrado (en un proceso llamado cifrado) y texto
cifrado en texto sin cifrar (en el proceso de descifrado). Las claves pueden ser simétricas (se usa la misma clave
para cifrar y descifrar) o asimétricas (se usa una clave para el cifrado y una clave relacionada matemáticamente
para el descifrado). Cualquier sistema puede generar una clave.
Los certificados X.509 se usan para establecer la confianza entre un cliente y un servidor para establecer una
conexión SSL. Un cliente que intente autenticar un servidor (o un servidor que autentique un cliente) conoce la
estructura del certificado X.509 y por ello sabe cómo extraer la información de identificación del servidor de
los campos del certificado, como su FQDN o dirección IP (llamados nombre común o CN en el certificado) o el
nombre de la organización, departamento o usuario para el que se emitió el certificado. Todos los certificados
debe emitirlos una entidad de certificación (CA). Cuando la CA verifica un cliente o servidor, la CA emite el
certificado y lo firma con su clave privada. Cuando se configura una política de descifrado, la sesión SSL/TLS
entre el cliente y el servidor solo se establece si el cortafuegos confía en la CA que firmó el certificado del
servidor. Para establecer esa confianza, el cortafuegos debe tener el certificado de la CA raíz del servidor en su
lista de certificados de confianza (CTL) y usa la clave pública de ese certificado de CA raíz para comprobar la
firma. A continuación, el cortafuegos presenta una copia del certificado del servidor con la firma del certificado
de reenvío fiable al cliente para que lo autentique. También puede configurar el cortafuegos para que utilice una
CA de empresa como certificado de reenvío fiable para el proxy SSL de reenvío. Si el cortafuegos no tiene el
certificado de CA raíz del servidor en su CTL, el cortafuegos presentará una copia del certificado de servidor
firmado por el certificado no fiable de reenvío al cliente. El certificado no fiable de reenvío garantiza que a los
clientes les aparezca un mensaje con una advertencia de certificación cuando intenten acceder a los sitios
alojados en un servidor con certificados que no sean de confianza.
Si desea información detallada sobre los certificados, consulte Gestión de certificados.
Para controlar las CA de confianza en las que confía su dispositivo, consulte “Entidades
de certificación de confianza predeterminadas”.
La Tabla: Claves y certificados de dispositivos de Palo Alto Networks describe las distintas claves y certificados
que usan los dispositivos de Palo Alto Networks para el descifrado. Una práctica recomendada es utilizar
diferentes claves y certificados para cada uso.
Descifrado 303
Tabla: Claves y certificados de dispositivos de Palo Alto Networks
Reenvío fiable Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el
sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en
la que confía el cortafuegos. Para configurar un certificado de reenvío fiable en el
cortafuegos, consulte el Paso 2 en la tarea Configuración del proxy SSL de reenvío.
Para una mayor seguridad, el certificado de reenvío fiable puede almacenarse en un
módulo de seguridad de hardware (HSM), consulte Almacenamiento de claves privadas
en un HSM.
Reenvío no fiable Es el certificado que presenta el cortafuegos a los clientes durante el descifrado si el
sitio con el que el cliente intenta conectar tiene un certificado firmado con una CA en
la que el cortafuegos NO confía. Para configurar un certificado no fiable de reenvío en
el cortafuegos, consulte el Paso 3 en la tarea Configuración del proxy SSL de reenvío.
Certificado SSL de exclusión Certificados de servidores que quiere excluir del descifrado SSL/TLS. Por ejemplo, si
ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el
descifrado SSL (por ejemplo, servicios web de sus sistemas de RR. HH.), importe los
correspondientes certificados en el cortafuegos y configúrelos como certificados SSL
de exclusión. Consulte Exclusión de un servidor del descifrado.
Inspección de entrada SSL Certificado que se usa para descifrar el tráfico SSL/TLS entrante para su inspección y
la aplicación de políticas. Para este uso, debe importar el certificado de servidor para
los servidores cuya inspección entrante SSL está realizando, o almacenarlos en un HSM
(consulte Almacenamiento de claves privadas en un HSM).
Proxy SSL de reenvío
Utilice una política de descifrado del proxy SSL de reenvío para descifrar y examinar el tráfico SSL/TLS de
usuarios internos a Internet. El descifrado del proxy SSL de reenvío evita que el software malintencionado
oculto como tráfico cifrado SSL se introduzca en la red de su empresa; por ejemplo, si un empleado está usando
su cuenta de Gmail desde la oficina y abre un archivo adjunto con un virus, el descifrado del proxy SSL de
reenvío evitará que el virus infecte el sistema del cliente y entre en la red de la empresa.
Con el descifrado del proxy SSL de reenvío, el cortafuegos se encuentra entre el cliente interno y el servidor
externo. El cortafuegos usa los certificados de reenvío fiable y de reenvío no fiable para establecerse como
tercero de confianza en la sesión entre el cliente y el servidor (si desea información detallada sobre los
certificados, consulte Políticas de claves y certificados para el descifrado). Cuando el cliente inicia una sesión
SSL con el servidor, el cortafuegos intercepta la solicitud SSL del servidor y reenvía la solicitud SSL al servidor.
El servidor envía un certificado destinado al cliente, que el cortafuegos intercepta. Si el certificado del servidor
está firmado por una entidad CA en la que el cortafuegos confía, el cortafuegos creará una copia del certificado
del servidor firmado con el certificado de reenvío fiable, y enviará el certificado al cliente para que lo autentique.
Si el certificado del servidor está firmado por una CA en la que el cortafuegos no confía, el cortafuegos creará
una copia del certificado del servidor, lo firmará con el certificado no fiable de reenvío y lo enviará al cliente.
En este caso, el cliente verá una advertencia de página bloqueada indicando que el sitio con el que intenta
conectar no es fiable, y tendrá la opción de continuar o terminar la sesión. Cuando el cliente autentique el
certificado, la sesión SSL se establecerá y el cortafuegos funcionará como proxy de reenvío fiable hacia el sitio
al que está accediendo el cliente.
304 Descifrado
A medida que el cortafuegos siga recibiendo tráfico SSL del servidor que esté destinado al cliente, lo descifrará
en un tráfico de texto claro y aplicará políticas de seguridad al tráfico. A continuación el tráfico se recifrará en
el cortafuegos, que enviará el tráfico cifrado al cliente.
Ilustración: Proxy SSL de reenvío muestra este proceso en detalle.
Ilustración: Proxy SSL de reenvío
Consulte Configuración del proxy SSL de reenvío si desea más detalles sobre la configuración del proxy SSL de
reenvío.
Inspección de entrada SSL
Use Inspección de entrada SSL para descifrar y examinar el tráfico SSL entrante de un cliente a un servidor de
destino (cualquier servidor para el que tenga el certificado y pueda importar en el cortafuegos). Por ejemplo, si
un empleado se ha conectado remotamente a un servidor web alojado en la red de la compañía e intenta agregar
documentos internos restringidos a su carpeta de Dropbox (que usa SSL para la transmisión de datos), se puede
usar la inspección de entrada SSL para asegurar que los datos sensibles no salen fuera de la red segura de la
empresa mediante un bloqueo o restricción de la sesión.
La configuración de la inspección de entrada SSL incluye la importación de un certificado y clave del servidor
de destino en el cortafuegos. Como el certificado y la clave del servidor de destino se importan al cortafuegos,
este puede acceder a la sesión SSL entre el servidor y el cliente y descifran y examinan el tráfico de forma
transparente, en lugar de actuar como un proxy. El cortafuegos puede aplicar políticas de seguridad al tráfico
descifrado, detectar contenido malicioso y controlar la ejecución de aplicaciones en este canal seguro.
Descifrado 305
Ilustración: Inspección de entrada SSL muestra este proceso en detalle.
Ilustración: Inspección de entrada SSL
Consulte Configuración de la inspección de entrada SSL si desea más detalles sobre la configuración del proxy
SSL de reenvío.
Proxy SSH
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo atraviesan
para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El descifrado SSH no
requiere ningún certificado, y la clave que se usa para el descifrado SSH se genera automáticamente al iniciar el
cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya existe una clave. De lo contrario, se
genera una clave. Esta clave se usa para descifrar las sesiones SSH de todos los sistemas virtuales configurados
en el dispositivo. La misma clave se usa para descifrar todas las sesiones SSH v2.
En una configuración Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el cliente
inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenvía al servidor. A continuación
el cortafuegos intercepta la respuesta del servidor y la reenvía al cliente, estableciendo un túnel SSH entre el
cortafuegos y el cliente y un túnel SSH entre el cortafuegos y el servidor, por lo que el cortafuegos funciona
como proxy. A medida que el tráfico fluye entre el cliente y el servidor, el cortafuegos puede distinguir si el
tráfico SSH se enruta normalmente o si usa un túnel SSH (reenvío de puertos). Las inspecciones de contenido
y amenazas no se realizan en los túneles SSH, sin embargo, si el cortafuegos identifica túneles SSH, el tráfico
con túnel SSH se bloqueará y restringirá de acuerdo con las políticas de seguridad configuradas.
Ilustración: Descifrado del proxy SSH muestra este proceso en detalle.
306 Descifrado
Ilustración: Descifrado del proxy SSH
Consulte Configuración del Proxy SSH si desea más detalles sobre la configuración de una política de proxy
SSH.
Excepciones de descifrado
Hay tráfico que puede excluirse del descifrado mediante criterios de comparación (con una política de
descifrado) o mediante la especificación del servidor de destino (mediante certificados); mientras que algunas
aplicaciones se excluyen del descifrado por defecto.
Las aplicaciones que no funcionen adecuadamente cuando las descifra el cortafuegos se excluirán
automáticamente del descifrado SSL. Las aplicaciones que se excluyen por defecto del descifrado SSL son
aquellas que suelen fallar por el descifrado porque la aplicación busca detalles específicos en el certificado que
pueden no estar presentes en el certificado generado por el proxy SSL de reenvío. Consulte el artículo de la base
de conocimientos (KB) List of Applications Excluded from SSL Decryption (Lista de aplicaciones excluidas del
cifrado SSL) si desea una lista actualizada de las aplicaciones excluidas por defecto del descifrado SSL en el
cortafuegos.
Puede configurar excepciones de descifrado para ciertas categorías o aplicaciones de URL que pueden no
funcionar adecuadamente cuando el descifrado está activado o por cualquier otro motivo, incluidos los fines
legales o de privacidad. Puede usar una política de descifrado para excluir el tráfico del descifrado en función
del origen, el destino y la categoría de URL. Por ejemplo, con el descifrado SSL activado, puede excluir el tráfico
que se categoriza como financiero o sanitario del descifrado mediante la selección de categoría URL. Para crear
una política de descifrado que excluya el tráfico del descifrado:
Descifrado 307
También puede excluir servidores del descifrado SSL según el nombre común (CN) del certificado del servidor.
Por ejemplo, si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en el descifrado SSL
(por ejemplo, servicios web de sus sistemas de RR. HH.), puede excluir esos servidores del descifrado
importando el certificado del servidor al cortafuegos y modificándolo para que sea un certificado SSL de
exclusión.
Para excluir el tráfico del descifrado según la aplicación, origen, destino o categoría de URL o para excluir el
tráfico de un servidor específico del descifrado, consulte Configuración de excepciones de descifrado.
Reflejo del puerto de descifrado
El reflejo del puerto de descifrado permite crear una copia del tráfico descifrado desde un cortafuegos y enviarlo
a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de paquetes sin formato, como
NetWitness o Solera, para su archivo y análisis. Esta función es necesaria para aquellas organizaciones que
necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP). El
reflejo del puerto de descifrado solo está disponible en las plataformas de las series PA-7050, PA-5000 y
PA-3000 y necesita la instalación de una licencia gratuita para su activación.
Tenga en cuenta que el descifrado, almacenamiento, inspección y uso del tráfico SSL está legislado en algunos
países y puede que sea necesario tener el consentimiento del usuario para poder usar la función de reflejo del
puerto de cifrado. Además, el uso de esta función podría hacer que usuarios maliciosos con accesos
administrativos al cortafuegos recopilaran nombres de usuario, contraseñas, números de la seguridad social,
números de tarjetas de crédito u otra información sensible para enviarla a través de un canal cifrado. Palo Alto
Networks le recomienda consultar a su asesor corporativo antes de activar y usar esta función en un entorno de
producción.
La Ilustración: Reflejo del puerto de descifrado muestra el proceso del reflejo del puerto de descifrado y la
sección Configuración del reflejo del puerto de descifrado describe como otorgar una licencia a esta función y
utilizarla.
Ilustración: Reflejo del puerto de descifrado
308 Descifrado
Descifrado Configuración del proxy SSL de reenvío
Configuración del proxy SSL de reenvío

La configuración del descifrado del Proxy SSL de reenvío en el cortafuegos requiere configurar los certificados
necesarios para el descifrado del proxy SSL de reenvío y crear una política de descifrado del proxy SSL de
reenvío. El cortafuegos puede utilizar certificados autofirmados o certificados firmados por una CA de empresa
para realizar el descifrado del proxy SSL de reenvío.
Utilice la siguiente tarea para configurar el proxy SSL de reenvío, incluido cómo configurar los certificados y
crear una política de descifrado.
Configuración del proxy SSL de reenvío
Paso 1 Asegúrese de que las interfaces adecuadas Visualice las interfaces configuradas en la pestaña Red > Interfaces >
están configuradas como interfaces de Ethernet. La columna Tipo de interfaz muestra si una interfaz está
Virtual Wire, capa 2 o capa 3. configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3.
Puede seleccionar una interfaz para modificar su configuración, incluido
qué tipo de interfaz es.
Paso 2 Configure el certificado fiable de reenvío. Para utilizar un certificado autofirmado:
Utilice un certificado autofirmado o un 1. Seleccione Dispositivo > Gestión de certificados > Certificados.
certificado firmado por una CA de empresa.
2. Haga clic en Generar en la parte inferior de la ventana.
Uso de certificados autofirmados 3. Introduzca un nombre de certificado, como mi-reenvio-fiable.
4. Introduzca un Nombre común, como 192.168.2.1. Debería ser la
Cuando el certificado del servidor al que se
dirección IP o el FQDN que aparecerá en el certificado. En este
esté conectando el cliente esté firmado por
caso estamos usando la IP de la interfaz fiable. Evite usar espacios
una CA incluida en la lista de CA de
en este campo.
confianza del cortafuegos, este firmará una
copia del certificado del servidor con un 5. Deje en blanco el campo Firmado por.
certificado fiable de reenvío autofirmado 6. Haga clic en la casilla de verificación Autoridad del certificado para
que deberá presentarse al cliente para su habilitar el cortafuegos para que emita el certificado. Al seleccionar
autenticación. En este caso, el certificado esta casilla de verificación, se crea una entidad de certificación (CA)
autofirmado debe importarse en cada en el cortafuegos que se importará a los exploradores de los clientes,
sistema cliente para que el cliente reconozca de modo que los clientes confíen en el cortafuegos como CA.
el cortafuegos como una CA de confianza. 7. Haga clic en Generar para generar el certificado.
Utilice certificados autofirmados para el 8. Haga clic en el nuevo certificado my-fwd-trust para modificarlo y
descifrado del proxy SSL de reenvío si no habilite la opción Reenviar certificado fiable.
utiliza una CA de empresa o si solamente 9. Exporte el certificado fiable de reenvío para importarlo en sistemas
debe realizar el descifrado para un número cliente resaltando el certificado y haciendo clic en Exportar en la
limitado de sistemas cliente (o si tiene la parte inferior de la ventana. Elija el formato PEM y no seleccione
intención de utilizar una implementación la opción Exportar clave privada. Como el certificado está
centralizada). autofirmado, impórtelo en la lista de CA raíz de confianza del
explorador de los sistemas cliente para que los clientes confíen en
él. Al importar en el explorador del cliente, asegúrese de que el
certificado se añade al almacén de certificados de entidades de
certificación raíz de confianza. En sistemas Windows, la ubicación
de importación predeterminada es el almacén de certificados
personales. También puede simplificar este proceso utilizando una
implementación centralizada, como un objeto de directiva de grupo
(GPO) de Active Directory.
Nota Si el certificado fiable de reenvío no se importa en los
sistemas cliente, los usuarios verán advertencias de
certificación en cada sitio SSL que visiten.
10. Haga clic en Aceptar para guardar.
Descifrado 309
Configuración del proxy SSL de reenvío Descifrado
Configuración del proxy SSL de reenvío (Continuación)

Uso de una CA de empresa Para utilizar un certificado firmado por una CA de empresa:
Una CA de empresa puede emitir un 1. Genere una CSR:
certificado de firma que el cortafuegos a. Seleccione Dispositivo > Gestión de certificados > Certificados
puede utilizar para, a continuación, firmar y haga clic en Generar.
los certificados de los sitios que requieran un b. Introduzca un Nombre de certificado, como my-fwd-proxy.
descifrado SSL. Envíe una solicitud de firma
de certificado (CSR) para que la CA de c. En el menú desplegable Firmado por, seleccione Autoridad
empresa lo firme y lo valide. A continuación, externa (CSR).
el cortafuegos podrá utilizar el certificado de d. (Opcional) Si su CA de empresa lo requiere, añada Atributos del
CA de empresa firmado para el descifrado certificado para identificar más información detallada del
del proxy SSL de reenvío. Dado que los cortafuegos, como el país o el departamento.
sistemas cliente ya confían en la CA de
empresa, con esta opción, no necesita e. Haga clic en ACEPTAR para guardar la CSR. El certificado
distribuir el certificado a los sistemas cliente pendiente ahora aparecerá en la pestaña Certificados de
antes de configurar el descifrado. dispositivos:
2. Exporte la CSR:
a. Seleccione el certificado pendiente que aparece en la pestaña
Certificados de dispositivos.
b. Haga clic en Exportar para descargar y guardar el archivo del
certificado.
Nota Deje Exportar clave privada sin seleccionar para
garantizar que la clave privada permanezca protegida en
el cortafuegos.
c. Haga clic en ACEPTAR.
d. Proporcione el archivo del certificado a su CA de empresa.
Cuando reciba el certificado de CA de empresa firmado de su
CA de empresa, guárdelo para importarlo en el cortafuegos.
3. Importe el certificado de CA de empresa firmado en el cortafuegos:
a. Seleccione Dispositivo > Gestión de certificados > Certificados
y haga clic en Importar.
b. Introduzca el Nombre de certificado pendiente de manera
exacta (en este caso, my-fwd-trust). El Nombre de certificado que
introduzca debe coincidir de manera exacta con el nombre del
certificado pendiente para que este se valide.
c. Seleccione el Archivo del certificado que recibió de su CA de
empresa.
d. Haga clic en ACEPTAR. El certificado se muestra como válido
con las casillas de verificación Clave y CA seleccionadas:
e. Seleccione el certificado validado, en este caso, my-fwd-proxy, para

habilitarlo como Reenviar certificado fiable y utilizarlo para el
descifrado del proxy SSL de reenvío.
f. Haga clic en ACEPTAR.
310 Descifrado
Descifrado Configuración del proxy SSL de reenvío

Paso 3 Configure el certificado no fiable de reenvío. 1. Haga clic en Generar en la parte inferior de la página de
certificados.
Con el descifrado del proxy SSL de reenvío,
cuando el sitio al que se esté conectando el 2. Introduzca un nombre de certificado, como mi-reenvio-nofiable.
cliente utilice un certificado firmado por una 3. Defina el nombre común, por ejemplo 192.168.2.1. Deje Firmado
CA que no se encuentre en la lista de CA de por en blanco.
confianza del cortafuegos, este presentará 4. Haga clic en la casilla de verificación Autoridad del certificado
un certificado no fiable de reenvío al cliente. para habilitar el cortafuegos para que emita el certificado.
El certificado no fiable de reenvío garantiza
5. Haga clic en Generar para generar el certificado.
que a los clientes les aparezca un mensaje
con una advertencia de certificación cuando 6. Haga clic en Aceptar para guardar.
intenten acceder a los sitios alojados en un 7. Haga clic en el nuevo certificado my-ssl-fw-untrust para modificarlo y
servidor con certificados que no sean de habilite la opción Reenviar certificado no fiable.
confianza. Nota No exporte el certificado no fiable de reenvío para su
importación en sistemas cliente. Si el certificado fiable de
reenvío se importa en sistemas cliente, los usuarios no verán
advertencias de certificación en los sitios SSL con certificados
no fiables.
Paso 4 (Opcional) Cree un perfil de descifrado. 1. Seleccione Objetos > Perfiles de descifrado y haga clic en Añadir.
Los perfiles de descifrado se pueden asociar 2. Seleccione la pestaña Proxy SSL de reenvío para bloquear y
a una política de descifrado, habilitando el controlar aspectos específicos del tráfico de túnel de SSL. Por
cortafuegos para que bloquee y controle ejemplo, puede decidir finalizar sesiones si los recursos del sistema
diversos aspectos del tráfico que se está no están disponibles para procesar el descifrado seleccionando
descifrando. Se puede utilizar un perfil de Bloquear sesiones si no hay recursos disponibles.
descifrado del proxy SSL de reenvío para 3. Haga clic en ACEPTAR para guardar el perfil.
realizar comprobaciones de certificados de
servidor, modos no compatibles y fallos y
bloquear o restringir el tráfico según los
resultados. Para obtener una lista completa
de las comprobaciones que se pueden
realizar, desplácese hasta Objetos > Perfiles
de descifrado en el cortafuegos y haga clic
en el icono de ayuda.
Descifrado 311
Configuración del proxy SSL de reenvío Descifrado

Paso 5 Configure una política de descifrado. 1. Seleccione Políticas > Descifrado y haga clic en Añadir.
2. En la pestaña General, otorgue a la política un Nombre descriptivo.
3. En las pestañas Origen y Destino, seleccione Cualquiera para la
Zona de origen y la Zona de destino para descifrar todo el tráfico
SSL destinado a un servidor externo. Si desea especificar tráfico con
determinados orígenes o destinos para el descifrado, haga clic en
Añadir.
4. En la pestaña Categoría de URL, deje Cualquiera para descifrar
todo el tráfico. Si solamente desea aplicar este perfil a determinadas
categorías de sitios web, haga clic en Añadir.
Nota La selección de una categoría de URL resulta de utilidad
cuando se excluyen determinados sitios del descifrado.
Consulte Configuración de excepciones de descifrado.
5. En la pestaña Opciones, seleccione Descifrar y seleccione Proxy
SSL de reenvío como el Tipo de descifrado que debe realizarse.
6. (Opcional) Seleccione un Perfil de descifrado para aplicar ajustes
adicionales al tráfico descifrado (consulte el Paso 4).
7. Haga clic en ACEPTAR para guardar.
Paso 6 Compile la configuración. Con una política de descifrado del proxy SSL de reenvío habilitada, todo
el tráfico identificado por la política se descifrará. El tráfico descifrado se
bloquea y restringe de acuerdo con los perfiles configurados en el
cortafuegos (incluidos los perfiles de descifrado asociados a la política y
los perfiles Antivirus, Vulnerabilidad, Antispyware, Filtrado de URL y
Bloqueo de archivo). El tráfico vuelve a cifrarse a medida que sale del
cortafuegos.
312 Descifrado
Descifrado Configuración de la inspección de entrada SSL
Configuración de la inspección de entrada SSL

La configuración de Inspección de entrada SSL incluye la instalación del certificado del servidor de destino en
el cortafuegos y la creación de una política de descifrado de inspección de entrada SSL.
Utilice la siguiente tarea para configurar la inspección de entrada SSL.
Configuración de la inspección de entrada SSL
Virtual Wire, capa 2 o capa 3. configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3.
Puede seleccionar una interfaz para modificar su configuración,
incluido qué tipo de interfaz es.
Paso 2 Asegúrese de que el certificado del En la interfaz web, seleccione Dispositivo > Gestión de certificados >
servidor de destino esté instalado en el Certificados > Certificados de dispositivos para ver los certificados
cortafuegos. instalados en el cortafuegos.
Para importar el certificado del servidor de destino en el cortafuegos:
1. En la pestaña Certificados de dispositivos, seleccione
Importar.
2. Introduzca un Nombre de certificado descriptivo.
3. Busque y seleccione el Archivo del certificado del servidor de
destino.
Paso 3 (Opcional) Cree un perfil de descifrado. 1. Seleccione Objetos > Perfiles de descifrado y haga clic en
Añadir.
Los perfiles de descifrado se pueden
asociar a una política de descifrado, 2. Seleccione la pestaña Inspección de entrada SSL para bloquear
habilitando el cortafuegos para que y controlar aspectos específicos del tráfico SSL. Por ejemplo,
bloquee y controle diversos aspectos del puede decidir finalizar sesiones si los recursos del sistema no
tráfico que se está descifrando. Se puede están disponibles para procesar el descifrado seleccionando
utilizar un perfil de descifrado de Bloquear sesiones si no hay recursos disponibles.
inspección de entrada SSL para realizar 3. Haga clic en ACEPTAR para guardar el perfil.
comprobaciones de modos no
compatibles y fallos y bloquear o
restringir el tráfico según los resultados.
Para obtener una lista completa de las
comprobaciones que se pueden realizar,
seleccione Objetos > Perfiles de
descifrado y, a continuación, haga clic en
el icono de ayuda.
Descifrado 313
Configuración de la inspección de entrada SSL Descifrado
Configuración de la inspección de entrada SSL (Continuación)
2. En la pestaña General, otorgue a la política un Nombre
descriptivo.
3. En la pestaña Destino, haga clic en Añadir para añadir la
Dirección de destino del servidor de destino.
4. En la pestaña Categoría de URL, deje Cualquiera para descifrar
todo el tráfico. Si solamente desea aplicar este perfil a
determinadas categorías de sitios web, haga clic en Añadir.
Nota La selección de una categoría de URL resulta de utilidad
cuando se excluyen determinados sitios del descifrado.
Consulte Configuración de excepciones de descifrado.
5. En la pestaña Opciones, seleccione Descifrar y seleccione
Inspección de entrada SSL como el Tipo de tráfico que debe
descifrarse.
Seleccione el Certificado para el servidor interno que sea el
destino del tráfico de entrada SSL.
6. (Opcional) Seleccione un Perfil de descifrado para aplicar
ajustes adicionales al tráfico descifrado (consulte el Paso 4).
Paso 5 Compile la configuración. Con una política de descifrado de inspección de entrada SSL
habilitada, todo el tráfico SSL identificado por la política se descifrará
e inspeccionará. El tráfico descifrado se bloquea y restringe de
acuerdo con los perfiles configurados en el cortafuegos (incluidos los
perfiles de descifrado asociados a la política y los perfiles Antivirus,
Vulnerabilidad, Antispyware, Filtrado de URL y Bloqueo de archivo).
El tráfico vuelve a cifrarse a medida que sale del cortafuegos.
314 Descifrado
Descifrado Configuración del Proxy SSH
Configuración del Proxy SSH

La configuración de Proxy SSH no requiere certificados y la clave utilizada para descifrar sesiones SSH se genera
automáticamente en el cortafuegos durante el inicio.
Utilice la siguiente tarea para configurar el descifrado del proxy SSL.
Configuración del descifrado del proxy SSH
Virtual Wire o capa 3. El descifrado configurada para ser una interfaz de Virtual Wire, Capa 2 o Capa 3.
solamente puede realizarse en interfaces Puede seleccionar una interfaz para modificar su configuración,
de Virtual Wire, capa 2 o capa 3. incluido qué tipo de interfaz es.
Paso 2 (Opcional) Cree un perfil de descifrado. 1. Seleccione Objetos > Perfiles de descifrado y haga clic en
Añadir.
Los perfiles de descifrado se pueden
asociar a una política de descifrado, 2. Seleccione la pestaña SSH para bloquear y controlar aspectos
habilitando el cortafuegos para que específicos del tráfico de túnel de SSH. Por ejemplo, puede
bloquee y controle diversos aspectos del decidir finalizar sesiones si los recursos del sistema no están
tráfico que se está descifrando. El perfil de disponibles para procesar el descifrado seleccionando Bloquear
descifrado se puede utilizar para realizar sesiones si no hay recursos disponibles.
comprobaciones de certificados de 3. Haga clic en ACEPTAR para guardar el perfil.
servidor, modos no compatibles y fallos y
bloquear o restringir el tráfico según los
resultados. Para obtener una lista
completa de las comprobaciones que se
pueden realizar, desplácese hasta Objetos
> Perfiles de descifrado en el
cortafuegos y, a continuación, haga clic en
el icono de ayuda.
2. En la pestaña General, otorgue a la política un Nombre
descriptivo.
3. En las pestañas Origen y Destino, seleccione Cualquiera para
descifrar todo el tráfico SSH.
4. En la pestaña Categoría de URL, seleccione Cualquiera para
descifrar todo el tráfico SSH.
5. En la pestaña Opciones, seleccione Descifrar y seleccione
Proxy SSH como el Tipo de tráfico que debe descifrarse.
6. (Opcional) Seleccione un Perfil de descifrado para aplicar
ajustes adicionales al tráfico descifrado (consulte el Paso 3).
7. Haga clic en ACEPTAR para guardar.
Paso 4 Compile la configuración. Con una política de descifrado del proxy SSH habilitada, todo el
tráfico SSH identificado por la política se descifrará e identificará
como tráfico SSH regular o como tráfico de túnel de SSH. El tráfico
de túnel de SSH se bloquea y restringe de acuerdo con los perfiles
configurados en el cortafuegos. El tráfico vuelve a cifrarse a medida
que sale del cortafuegos.
Descifrado 315
Configuración de excepciones de descifrado Descifrado
Configuración de excepciones de descifrado

Puede excluir a propósito tráfico del descifrado basándose en criterios de coincidencia, como la aplicación, el
origen o destino del tráfico o la categoría de URL. También puede excluir del descifrado el tráfico de un servidor
específico. Consulte los siguientes temas para configurar Excepciones de descifrado:
 Exclusión de tráfico del descifrado
 Exclusión de un servidor del descifrado
Exclusión de tráfico del descifrado
Para excluir a propósito aplicaciones o un determinado tráfico de otras políticas de descifrado SSL o SSH
existentes, puede crear una nueva política de descifrado que defina el tráfico que debe excluirse del descifrado y
con la acción No hay ningún descifrado seleccionada en la política. Puede definir el tráfico para una exclusión
basada en políticas de acuerdo con criterios de coincidencia, como la aplicación, el origen, el destino o las
categorías de URL. Asegúrese de que la política de descifrado que excluye el tráfico del descifrado aparece en el
primer lugar de su lista de políticas de descifrado. Para ello, arrastre y suelte la política por encima del resto de
políticas de descifrado.
Consulte el siguiente procedimiento para configurar una política de descifrado que excluya el tráfico del
descifrado SSL o SSH.
Exclusión de tráfico de una política de descifrado
Paso 1 Cree una política de descifrado. 1. Vaya a Políticas > Descifrado y haga clic en Añadir.
Utilice una política de descifrado para 2. Otorgue a la política un Nombre descriptivo, como
excluir tráfico del descifrado de acuerdo No-Decrypt-Finance-Health.
con las zonas o direcciones de origen y 3. En las pestañas Origen y Destino, seleccione Cualquiera para la
destino y las categorías de URL del Zona de origen y la Zona de destino para aplicar la regla
tráfico. Este ejemplo muestra cómo No-Decrypt-Finance-Health en todo el tráfico SSL destinado a
excluir el tráfico categorizado como un servidor externo.
financiero o sanitario del descifrado del 4. En la pestaña Categoría de URL, haga clic en Añadir para añadir
proxy SSL de reenvío. las categorías de URL servicios financieros y salud y medicina a
la política, especificando que el tráfico que coincida con estas
categorías no se descifrará.
5. En la pestaña Opciones, seleccione No hay ningún descifrado y
seleccione el Tipo de política de descifrado de la que está
excluyendo el tráfico. Por ejemplo, para excluir el tráfico
categorizado como financiero o sanitario de una política de
descifrado del proxy SSL de reenvío configurada por separado,
seleccione Proxy SSL de reenvío como el Tipo.
6. Haga clic en ACEPTAR para guardar la política de descifrado
No-Decrypt-Finance-Health.
316 Descifrado
Descifrado Configuración de excepciones de descifrado
Exclusión de tráfico de una política de descifrado (Continuación)
Paso 2 Mueva la política de descifrado a la parte En la página Descifrado > Políticas, seleccione la política
superior de la lista de políticas de No-Decrypt-Finance-Health y haga clic en Mover hacia arriba hasta que
descifrado. aparezca en la parte superior de la lista (o puede arrastrarla y soltarla).
El orden en que aparecen las políticas de descifrado es el mismo
orden en que se aplican al tráfico de red. Si mueve la política con la
acción No hay ningún descifrado aplicada a la parte superior de la
lista, garantizará que el tráfico especificado no se descifre de acuerdo
con otra política configurada.
Paso 3 Compile la configuración. Una política de descifrado con la opción No hay ningún descifrado
habilitada garantiza que el tráfico especificado permanezca cifrado a
medida que pasa por el cortafuegos y que el tráfico no se descifre de
acuerdo con otras políticas de descifrado configuradas y enumeradas
en la página Políticas > Descifrado.
Exclusión de un servidor del descifrado
Puede excluir el tráfico de un servidor de destino del descifrado SSL según el nombre común (CN) del
certificado del servidor. Por ejemplo, si tiene el descifrado SSL habilitado, puede configurar una excepción de
descifrado para el servidor de su red corporativa que aloje los servicios web para sus sistemas de RR. HH.
Consulte el siguiente procedimiento para configurar o modificar el certificado de un servidor de modo que el
tráfico del servidor de destino se excluya del descifrado:
Exclusión de un servidor del descifrado
Paso 1 Importe el certificado del servidor de destino en el cortafuegos:

1. En la pestaña Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivo, seleccione
Importar.
2. Introduzca un Nombre de certificado descriptivo.
3. Busque y seleccione el Archivo del certificado del servidor de destino.
Paso 2 Seleccione el certificado del servidor de destino en la pestaña Certificados de dispositivo y habilítelo como un
Certificado SSL de exclusión.
Con el certificado del servidor de destino importado en el cortafuegos y designado como Certificado SSL de
exclusión, el tráfico del servidor no se descifrará cuando pase a través del cortafuegos.
Descifrado 317
Configuración del reflejo del puerto de descifrado Descifrado
Configuración del reflejo del puerto de descifrado

Antes de que pueda habilitar el reflejo del puerto de descifrado, debe obtener e instalar una licencia de reflejo
del puerto de descifrado. La licencia es gratuita y puede activarse a través del portal de asistencia técnica como
se describe en el siguiente procedimiento. Después de instalar la licencia de reflejo del puerto de descifrado y
reiniciar el cortafuegos, puede habilitar el reflejo del puerto de descifrado. La habilitación del reflejo del puerto
de descifrado incluye la habilitación del reenvío de tráfico descifrado y la configuración de una interfaz de reflejo
de descifrado. A continuación puede crear un perfil de descifrado que especifique la interfaz y la adjunte a una
política de descifrado. Para obtener más información sobre cómo implementar el reflejo del puerto de
descifrado, consulte Reflejo del puerto de descifrado.
Utilice el siguiente procedimiento para obtener e instalar una licencia de reflejo del puerto de descifrado y
configurar el reflejo del puerto de descifrado.
Configuración del reflejo del puerto de descifrado
Paso 1 Solicite una licencia para cada dispositivo 1. Inicie sesión en el portal de asistencia técnica a través del sitio
en el que quiera habilitar el reflejo del web de asistencia técnica de Palo Alto Networks
puerto de descifrado. (https://support.paloaltonetworks.com) y desplácese hasta la
pestaña Activos.
2. Seleccione la entrada del dispositivo para el que quiera obtener
una licencia y seleccione Acciones.
3. Seleccione Reflejo de puerto de descifrado. Aparecerá un aviso
legal.
4. Si está de acuerdo con los requisitos y las posibles implicaciones
legales, haga clic en Comprendo las condiciones y deseo
continuar.
5. Haga clic en Activar.
318 Descifrado
Descifrado Configuración del reflejo del puerto de descifrado
Configuración del reflejo del puerto de descifrado (Continuación)
Paso 2 Instale la licencia de reflejo del puerto de 1. Desde la interfaz web del cortafuegos, seleccione Dispositivo >
descifrado en el cortafuegos. Licencias.
2. Haga clic en Recuperar claves de licencia del servidor de
licencias.
3. Verifique que la licencia se ha activado en el cortafuegos.
4. Reinicie el cortafuegos (Dispositivo > Configuración >

Operaciones). Esta función no estará disponible para su
configuración hasta que no vuelva a cargarse PAN-OS.
Paso 3 Habilite la capacidad de reflejar el tráfico En un cortafuegos con un único sistema virtual:
descifrado. Se necesitan permisos de 1. Seleccione Dispositivo > Configuración > Content-ID.
superusuario para realizar este paso. 2. Seleccione la casilla de verificación Permitir reenvío de
contenido descifrado.
En un cortafuegos con varios sistemas virtuales:
1. Seleccione Dispositivo > Sistema virtual.
2. Seleccione un sistema virtual para su edición o cree un nuevo
sistema virtual seleccionando Añadir.
3. Seleccione la casilla de verificación Permitir reenvío de
contenido descifrado.
Paso 4 Configure una interfaz de reflejo de 1. Seleccione Red > Interfaces > Ethernet.
descifrado. 2. Seleccione la interfaz Ethernet que quiera configurar para el
reflejo del puerto de descifrado.
3. Seleccione Reflejo de descifrado como el Tipo de interfaz.
Este tipo de interfaz solamente aparecerá si la licencia de reflejo
del puerto de descifrado está instalada.
Descifrado 319
Configuración del reflejo del puerto de descifrado Descifrado
Configuración del reflejo del puerto de descifrado (Continuación)
Paso 5 Configure un perfil de descifrado para 1. Seleccione Objetos > Perfiles de descifrado.
habilitar el reflejo del puerto de 2. Seleccione la Interfaz que debe utilizarse para Reflejo de
descifrado. descifrado.
El menú desplegable Interfaz contiene todas las interfaces
Ethernet que se han definido como el tipo: Reflejo de
descifrado.
3. Especifique si desea reflejar el tráfico descifrado antes o después
de aplicar las políticas.
De manera predeterminada, el cortafuegos reflejará todo el
tráfico descifrado en la interfaz antes de la búsqueda de políticas
de seguridad, lo que le permitirá reproducir eventos y analizar el
tráfico que genere una amenaza o active una acción de descarte.
Si solamente desea reflejar el tráfico descifrado después de
aplicar las políticas de seguridad, seleccione la casilla de
verificación Reenviado solo. Con esta opción, solamente se
reflejará el tráfico reenviado a través del cortafuegos. Esta
opción es de utilidad si está reenviando el tráfico descifrado a
otros dispositivos de detección de amenazas, como un
dispositivo de DLP u otro sistema de prevención de
intrusiones (IPS).
4. Haga clic en ACEPTAR para guardar el perfil de descifrado.
Paso 6 Establezca una política de descifrado para 1. Seleccione Políticas > Descifrado.
el reflejo del puerto de descifrado. 2. Haga clic en Añadir para configurar una política de descifrado o
seleccione una política de descifrado existente para editarla.
3. En la pestaña Opciones, seleccione Descifrar y el Perfil de
descifrado creado en el Paso 4.
4. Haga clic en ACEPTAR para guardar la política.
320 Descifrado
Filtrado de URL
La solución de filtrado de URL de Palo Alto Networks es una potente función de PAN-OS que se utiliza para
supervisar y controlar el modo en que los usuarios acceden a Internet a través de HTTP y HTTPS. Los
siguientes temas ofrecen una descripción general del filtrado de URL, información de configuración y solución
de problemas y las prácticas recomendadas para sacar el máximo partido de esta función:
 Descripción general del filtrado de URL
 Componentes y flujo de trabajo de filtrado de URL
 Configuración de filtrado de URL
 Ejemplos de casos de uso del filtrado de URL
 Solución de problemas del filtrado de URL
Filtrado de URL 321

Descripción general del filtrado de URL Filtrado de URL
Descripción general del filtrado de URL

La función de filtrado de URL de Palo Alto Networks complementa la función App-ID permitiéndole
configurar su cortafuegos para identificar y controlar el acceso al tráfico web (HTTP y HTTPS). Al implementar
perfiles de filtrado de URL en políticas de seguridad y al utilizar categorías de URL como criterios de
coincidencia en políticas (portal cautivo, descifrado, seguridad y QoS), obtendrá una visibilidad y un control
completos del tráfico que atraviesa su cortafuegos y podrá habilitar y controlar de forma segura el modo en que
sus usuarios acceden a Internet.
Los siguientes temas describen los componentes del filtrado de URL y cómo se utilizan en un cortafuegos de
Palo Alto Networks:
 ¿Cómo funciona el filtrado de URL?
 Interacción entre App-ID y categorías de URL
 Control de URL basado en categoría
 Perfiles de filtrado de URL
 ¿Cómo se utilizan las categorías de URL como criterios de coincidencia en las políticas?
 Componentes y flujo de trabajo de filtrado de URL
¿Cómo funciona el filtrado de URL?
La solución de filtrado de URL de Palo Alto Networks utiliza una base de datos de filtrado de URL que contiene
millones de sitios web y en la que cada sitio web se ubica en una de aproximadamente 60 categorías diferentes.
A continuación, se aplica un perfil de filtrado de URL que contiene la lista de categorías a una política de
seguridad que permite el tráfico web (HTTP/HTTPS) de los usuarios internos a Internet. Después de aplicar
el perfil de filtrado de URL y establecer la categoría de la acción de alerta o bloqueo, obtendrá una completa
visibilidad de los sitios web a los que acceden los usuarios y, a continuación, podrá decidir qué sitios web o
categorías de sitios web deberían permitirse, bloquearse o registrarse en logs. También puede definir una lista
de URL en el perfil de filtrado de URL que siempre se bloqueará o permitirá; asimismo, puede crear categorías
de URL personalizadas que contengan una lista de URL que puedan utilizarse del mismo modo que la lista de
categorías predeterminadas. Estas mismas categorías de URL también se pueden utilizar como criterio de
coincidencia en otras políticas, como portal cautivo, descifrado y QoS.
Los cortafuegos de Palo Alto Networks admiten dos proveedores para el filtrado de URL:
 PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks, que está estrechamente
integrada en PAN-OS mediante el uso de almacenamiento en caché local de alto rendimiento para lograr el
máximo rendimiento en línea de las búsquedas de URL, mientras que una arquitectura de nube distribuida
proporciona cobertura para los sitios web más recientes.
 BrightCloud: Base de datos de URL externa, propiedad de Webroot, Inc., que está integrada en los
cortafuegos de PAN-OS. Para obtener información sobre la base de datos de URL de BrightCloud, visite
http://brightcloud.com.
322 Filtrado de URL

Filtrado de URL Descripción general del filtrado de URL
Interacción entre App-ID y categorías de URL
La función de filtrado de URL de Palo Alto Networks, junto con la función de identificación de aplicaciones
(App-ID), proporciona una protección sin precedentes ante una amplia gama de riesgos legales, normativos, de
productividad y de uso de recursos. Mientras que App-ID le permite controlar a qué aplicaciones pueden
acceder los usuarios, el filtrado de URL ofrece control sobre la actividad web relacionada. Cuando se combinan
con User-ID, también puede aplicar estos controles basándose en usuarios y grupos.
Con el panorama actual de aplicaciones y el modo en que muchas aplicaciones utilizan HTTP y HTTPS, deberá
determinar cuándo utilizar App-ID y cuándo utilizar el filtrado de URL para definir políticas de acceso web
completas. En la mayoría de los casos, si existe una firma de App-ID, sería conveniente que utilizara App-ID
para controlar el contenido a nivel de aplicación. Por ejemplo, aunque puede controlar el acceso a Facebook y/o
LinkedIn mediante el filtrado de URL, esto no bloquearía el uso de todas las aplicaciones relacionadas, como el
correo electrónico, el chat y cualquier aplicación nueva que se introduzca después de que implemente su política.
En algunos casos, le interesará utilizar tanto el filtrado de URL como App-ID, pero para garantizar que no haya
conflictos en sus políticas, es importante comprender cuál es el comportamiento de estas funciones cuando se
utilizan en conjunto. Palo Alto Networks genera firmas para muchas aplicaciones y dichas firmas pueden ser
muy detalladas con respecto a diversas funciones dentro de las aplicaciones basadas en Internet, mientras que
el filtrado de URL solamente aplicaría acciones basándose en un sitio web o una categoría de URL en concreto.
Por ejemplo, puede que desee bloquear los sitios de redes sociales en general, pero quiera permitir que varios
sitios de dicha categoría sean accesibles para departamentos específicos y, a continuación, controlar qué
funciones del sitio web estarán disponibles para los usuarios con permiso. Para obtener más información,
consulte Ejemplos de casos de uso del filtrado de URL.
Control de URL basado en categoría
Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una de las aproximadamente 60
categorías diferentes. Posteriormente, estas categorías pueden utilizarse en un perfil de filtrado de URL para
bloquear o permitir el acceso basándose en la categoría, o bien puede configurar el cortafuegos para que utilice
una categoría como criterio de coincidencia en la política. Por ejemplo, para bloquear todos los sitios web de
juegos, en el perfil de filtrado de URL debería establecer la acción de bloqueo para la categoría de URL juegos.
Como ejemplo de uso de una categoría de URL como criterio de coincidencia en una política, podría utilizar la
categoría de URL aplicaciones de transmisión multimedia en una política de QoS para aplicar controles de ancho de
banda a todos los sitios web categorizados como aplicaciones de transmisión multimedia.
Al agrupar sitios web en categorías, resulta más fácil definir acciones basándose en determinados tipos de sitios
web. Además de las categorías de URL estándar, hay tres categorías adicionales:
 No resuelto: Indica que el sitio web no se ha encontrado en la base de datos de filtrado de URL local y que
el cortafuegos no ha podido conectarse con la base de datos de la nube para comprobar la categoría. Cuando
se realiza una búsqueda de categoría de URL, en primer lugar, el cortafuegos comprueba la caché del plano
de datos en busca de la URL; si no se encuentra ninguna coincidencia, a continuación comprueba la caché
del plano de gestión; y si no se encuentra ninguna coincidencia allí, consulta la base de datos de URL en la
nube.
Al decidir qué acción realizar para el tráfico categorizado como No resuelto, tenga en cuenta que si establece
una acción de bloqueo, puede perjudicar mucho a los usuarios.
Filtrado de URL 323

Para obtener más información sobre la solución de problemas de búsqueda, consulte Solución de problemas
del filtrado de URL.
 Direcciones IP privadas: Indica que el sitio web es un único dominio (no tiene subdominios), la dirección
IP está en el intervalo de IP privadas o el dominio raíz de la URL es desconocido para la nube.
 Desconocido: El sitio web todavía no se ha categorizado, así que no existe en la base de filtrado de URL
del cortafuegos o en la base de datos de la nube de URL.
Al decidir qué acción realizar para el tráfico categorizado como Desconocido, tenga en cuenta que si establece
una acción de bloqueo, puede perjudicar mucho a los usuarios, ya que podría haber muchos sitios válidos
que todavía no estén en la base de datos de URL. Si desea tener una política muy estricta, podría bloquear
esta categoría, de modo que no se pueda acceder a los sitios web que no existan en la base de datos de URL.
Perfiles de filtrado de URL
Un perfil de filtrado de URL es un conjunto de controles de filtrado de URL que se aplican a políticas de
seguridad individuales para aplicar su política de acceso web. El cortafuegos incluye un perfil predeterminado
que está configurado para bloquear sitios web tales como sitios conocidos de software malintencionado, de
phishing y con contenido para adultos. Puede utilizar el perfil predeterminado en una política de seguridad,
duplicarlo para utilizarlo como punto de partida para nuevos perfiles de filtrado de URL o añadir un nuevo perfil
de URL que tenga todas las categorías establecidas como permitidas para lograr visibilidad del tráfico de su red.
A continuación, podrá personalizar los perfiles de URL recién añadidos y añadir listas de sitios web específicos
que siempre deberían bloquearse o permitirse, lo que proporciona un control más detallado de las categorías de
URL. Por ejemplo, puede que desee bloquear los sitios de redes sociales, pero permitir algunos sitios web que
formen parte de la categoría de redes sociales.
La sección describe cómo se aplican los perfiles de filtrado de URL y la diversas opciones que pueden definirse:
 Acciones de filtrado de URL
 Cómo utilizar las listas de bloqueadas y de permitidas
 Forzaje de búsquedas seguras
 Acerca de la página de contenedor de log
Acciones de filtrado de URL
Cada categoría de filtrado de URL puede establecerse para realizar las siguientes acciones:
Acción Descripción
Alerta El sitio web está permitido y se genera una entrada de log en el log de filtrado de URL.
Permitir El sitio web está permitido y no se genera ninguna entrada de log.
Bloquear El sitio web está bloqueado y el usuario verá una página de respuesta y no podrá ir al
sitio web. Se generará una entrada de log en el log de filtrado de URL.
324 Filtrado de URL

Acción Descripción
Continuar El usuario recibirá una página de respuesta indicando que el sitio se ha bloqueado
debido a la política de la empresa, pero se le dará la opción de ir al sitio web. La acción
Continuar suele utilizarse para categorías que se consideran buenas y se utiliza para
mejorar la experiencia del usuario dándole la opción de continuar si considera que el
sitio se ha categorizado incorrectamente. El mensaje de la página de respuesta se puede
personalizar para incluir información detallada específica de su empresa. Se generará
una entrada de log en el log de filtrado de URL.
Nota La página Continuar no se mostrará correctamente en máquinas cliente
configuradas para utilizar un servidor proxy.
Cancelar El usuario verá una página de respuesta que indica que se requiere una contraseña para
permitir el acceso a los sitios web de la categoría en cuestión. Con esta opción, el
administrador de seguridad o el miembro del departamento de soporte técnico
proporcionaría una contraseña que concedería un acceso temporal a todos los sitios web
de la categoría en cuestión. Se generará una entrada de log en el log de filtrado de URL.
Nota La página Cancelar no se mostrará correctamente en máquinas cliente
configuradas para utilizar un servidor proxy.
Cómo utilizar las listas de bloqueadas y de permitidas
Las listas de bloqueadas y de permitidas le permiten definir URL o direcciones IP específicas en el perfil de filtrado
de URL que siempre se permitirán o siempre se bloquearán, independientemente de la acción definida para la
categoría de URL. Al introducir las URL en la Lista de bloqueadas o Lista de permitidas, introduzca cada URL o
dirección IP en una nueva fila separada por una nueva línea. Cuando utilice comodines en las URL, siga estas reglas:
 No incluya HTTP y HTTPS al definir las URL. Por ejemplo, introduzca www.paloaltonetworks.com o
paloaltonetworks.com en lugar de https://www.paloaltonetworks.com.
 Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre mayúsculas y
minúsculas.
Por ejemplo: Si desea impedir que un usuario acceda a cualquier sitio web que esté dentro del dominio
paloaltonetworks.com, también debería añadir *.paloaltonetworks.com para que se realice la acción
especificada, independientemente del prefijo de dominio que se añada a la dirección (http://, www o un
prefijo de subdominio, como mail.paloaltonetworks.com). Lo mismo ocurre con el sufijo de subdominio; si
desea bloquear paloaltonetworks.com/en/US, debe añadir también paloaltonetworks.com/*.
Las listas de bloqueadas y permitidas admiten patrones de comodines. Los siguientes caracteres se
consideran separadores:
.
/
?
&
=
;
+
Filtrado de URL 325

Toda cadena separada por el carácter anterior se considera un testigo. Un testigo puede ser cualquier número
de caracteres ASCII que no contenga un carácter separador o *. Por ejemplo, los siguientes patrones son
válidos:
*.yahoo.com (los testigos son: "*", "yahoo" y "com")
www.*.com (los testigos son: "www", "*" and "com")
www.yahoo.com/search=* (los testigos son: "www", "yahoo", "com", "search", "*")
Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo.
ww*.yahoo.com
www.y*.com
Forzaje de búsquedas seguras
Forzaje de búsquedas seguras es una opción que puede habilitarse en un perfil de filtrado de URL y que se utiliza
para impedir que los usuarios que buscan en Internet utilicen uno de los tres principales proveedores de
búsquedas (Google, Bing o Yahoo!) para ver los resultados de la búsqueda, a menos que la opción de búsqueda
segura estricta del proveedor de búsquedas esté establecida en los exploradores o en la cuenta de usuario. El
ajuste de búsqueda segura estricta se utiliza en los proveedores de búsquedas para evitar que aparezca contenido
sexual explícito en los resultados de la búsqueda. Este ajuste es la mejor opción, si bien los proveedores de
búsquedas no garantizan que funcione con todos los sitios web.
Si Forzaje de búsquedas seguras está habilitado en el cortafuegos y la opción de búsqueda segura estricta no está
establecida en el explorador o la cuenta del proveedor de búsquedas, cuando el usuario realice una búsqueda, el
usuario verá una página de bloqueo que indica que el ajuste de búsqueda estricta es obligatorio. También se
proporcionará un enlace en la página de bloqueo que llevará al usuario a la página de configuración de búsquedas
seguras del explorador. Después de establecer la opción de búsqueda segura estricta, el usuario podrá ver de
nuevo los resultados de la búsqueda.
El ajuste de búsqueda segura puede establecerse de una de las siguientes maneras o de ambas:
 Ajuste de cuenta: Si inicia sesión en un proveedor de búsquedas y establece el ajuste de búsqueda estricta,
puede utilizar cualquier equipo o cualquier explorador y, mientras esté registrado en el sitio del proveedor de
búsquedas, el ajuste estricto le acompañará. Por ejemplo, si inicia sesión en bing.com y establece la búsqueda
segura estricta, puede utilizar cualquier equipo o explorador e iniciar sesión en bing.com, y el ajuste estricto
se configurará.
 Ajuste de explorador: Si no inicia sesión en el sitio del proveedor de búsquedas, deberá establecer el ajuste
de búsqueda estricta para cada explorador que utilice para conectarse con el proveedor de búsquedas.
Si un usuario inicia sesión en el sitio de un proveedor de búsquedas, la conexión se realizará a través de SSL, de
modo que el descifrado debe estar habilitado en el cortafuegos para que Forzaje de búsquedas seguras funcione.
Asimismo, ahora algunos proveedores de búsquedas solamente muestran los resultados de la búsqueda a través
de SSL, así que aunque el usuario no se haya registrado, el descifrado debe configurarse en el cortafuegos.
Si está realizando una búsqueda en Yahoo! Japan (yahoo.co.jp) mientras está registrado en su
cuenta de Yahoo!, la opción de bloqueo para el ajuste de búsqueda también debe estar
habilitada.
326 Filtrado de URL

La habilidad del cortafuegos para detectar el ajuste de búsqueda segura dentro de estos tres proveedores se
actualizará con la firma Aplicaciones y amenazas. Si un proveedor de búsquedas cambia el método de ajuste de
búsqueda segura que utiliza Palo Alto Networks para detectar los ajustes o si se añade la compatibilidad con un
nuevo proveedor de búsquedas, se realizará una actualización a esta firma. Cada proveedor de búsquedas es el
que valora si un sitio es seguro o no, y no Palo Alto Networks. El valor predeterminado de la opción Forzaje de
búsquedas seguras es estar deshabilitada; además, no se requiere una licencia de filtrado de URL para usarla.
Acerca de la página de contenedor de log
Una página de contenedor es la página principal a la que accede un usuario al visitar un sitio web, pero se pueden
cargar sitios web adicionales dentro de la página principal. Si se habilita la opción Página de contenedor de log
únicamente en el perfil de filtrado de URL, solamente se registrará la página de contenedor principal y no las
páginas posteriores que puedan cargarse dentro de la página de contenedor. Dado que el filtrado de URL
potencialmente puede generar muchas entradas de log, puede que quiera activar esta opción; de este modo, las
entradas de log solamente incluirán esos URI cuando el nombre de archivo de la página solicitada coincida con
los tipos MIME específicos. El conjunto predeterminado incluye los siguientes tipos MIME:
 application/pdf
 application/soap+xml
 application/xhtml+xml
 text/html
 text/plain
 text/xml
Si ha habilitado la opción Página de contenedor de log únicamente, puede que no siempre

haya una entrada de log de URL correlacionada para amenazas detectadas por antivirus o
protección contra vulnerabilidades.
¿Cómo se utilizan las categorías de URL como criterios de coincidencia en

las políticas?
Las categorías de URL pueden utilizarse como criterios de coincidencia en una política para que esta sea más
detallada. Por ejemplo, puede que tenga definida una política de descifrado, pero le gustaría que determinados
sitios web eludieran el descifrado. Para ello, debe configurar una política de descifrado con la acción No descifrar
y debe definir una categoría de URL como criterio de coincidencia para la regla de política, de modo que la
política solamente coincida con los flujos de tráfico hacia los sitios web que formen parte de la categoría
especificada.
Filtrado de URL 327

La siguiente tabla describe los tipos de políticas que pueden utilizar categorías de URL:
Tipo de política Descripción
Portal cautivo Para garantizar que los usuarios están autenticados antes de permitirles el acceso a una
categoría específica, puede adjuntar una categoría de URL como criterio de
coincidencia para la política de portal cautivo.
Descifrado Las políticas de descifrado pueden utilizar categorías de URL como criterios de
coincidencia para determinar si determinados sitios web deberían descifrarse o no. Por
ejemplo, si tiene una política de descifrado con la acción Descifrar para todo el tráfico
entre dos zonas, puede haber categorías de sitios web específicas, como servicios
financieros y/o salud y medicina, que no deberían descifrarse. En este caso, debe crear una
nueva política de descifrado con la acción No descifrar que precede a la política de
descifrado y, a continuación, define una lista de categorías de URL como criterios de
coincidencia para la política. Al hacer esto, no se descifrará ninguna categoría de URL
que forme parte de la política de no descifrado. También podría configurar una
categoría de URL personalizada para definir su propia lista de URL que, a
continuación, podrá utilizarse en la política de no descifrado.
QoS Una política de QoS puede utilizar categorías de URL para determinar los niveles de
rendimiento de categorías específicas de sitios web. Por ejemplo, puede que quiera
permitir la categoría aplicaciones de transmisión multimedia y al mismo tiempo limitar
el rendimiento añadiendo la categoría de URL como criterio de coincidencia a la
política de QoS.
Seguridad Las categorías de URL se pueden definir directamente en las políticas de seguridad para
utilizarlas como criterios de coincidencia en la pestaña Categoría de URL/servicio y los
perfiles de filtrado de URL se pueden configurar en la pestaña Acciones.
Por ejemplo, puede que el grupo de seguridad de una empresa necesite acceder a la
categoría hacking, pero debería evitarse que el resto de usuarios accediera a estos sitios.
Para ello, deberá crear una regla de seguridad que permita el acceso entre las zonas
utilizadas para el acceso web, la pestaña Categoría de URL/servicios contendrá la
categoría hacking y el grupo de seguridad se definirá a continuación en la pestaña
Usuarios de la política. A continuación, la regla de seguridad principal que permite un
acceso web general a todos los usuarios tendrá un perfil de filtrado de URL que
bloqueará todos los sitios de hacking. La política que permite el acceso al hacking
deberá indicarse antes de la política que bloquea el hacking. De este modo, cuando un
usuario que forme parte del grupo de seguridad intente acceder a un sitio de hacking,
la política permitirá el acceso y se detendrá el procesamiento de reglas.
Es importante comprender que al crear políticas de seguridad, las reglas de bloqueo no
son terminales y las reglas de permiso son terminales. Esto significa que si establece
una regla de bloqueo y hay una coincidencia de tráfico para esa regla, se comprobará si
las otras reglas que vienen después de la regla de bloqueo coinciden. Con una regla de
permiso, que es terminal, cuando el tráfico coincide con la regla, el tráfico se permite
y las reglas posteriores no se comprueban. Por ejemplo, puede que tenga configurada
una regla de bloqueo que bloquee la categoría compras para todos los usuarios, pero
luego tenga una regla de permiso que permita las compras para un grupo de usuarios
específico. En este ejemplo, un usuario del grupo permitido probablemente también
forma parte del grupo general que incluye a todo el mundo. Debido a esto, lo mejor es
indicar una regla de permiso específica antes de la regla de bloqueo, para que se detenga
el procesamiento de reglas después de que el tráfico coincida y se realice la acción
Permitir.
328 Filtrado de URL

Filtrado de URL Componentes y flujo de trabajo de filtrado de URL
Componentes y flujo de trabajo de filtrado de URL

Esta sección describe los componentes de PAN-DB y el flujo de trabajo de resolución de categorización de URL
que se produce a medida que los usuarios acceden a diferentes URL a través del cortafuegos.
 Componentes de categorización de URL de PAN-DB
 Flujo de trabajo de categorización de URL de PAN-DB
Componentes de categorización de URL de PAN-DB
La tabla siguiente describe los componentes de PAN-DB de manera detallada. El sistema BrightCloud funciona
de manera similar, pero no utiliza una base de datos de envíos iniciales.
Componente Descripción
Base de datos de envíos de La base de datos de envíos iniciales descargada en el cortafuegos es un pequeño
filtrado de URL subconjunto de la base de datos que se mantiene en los servidores de la nube de URL
de Palo Alto Networks. El motivo de esto es que la base de datos completa contiene
millones de URL y puede que sus usuarios nunca accedan a muchas de estas URL. Al
descargar la base de datos de envíos iniciales, se selecciona una región (Norteamérica,
Europa, APAC o Japón) y cada región contiene un subconjunto de las URL a las que
más se accede en dicha región. Al hacer esto, el cortafuegos almacenará una base de
datos de URL mucho más pequeña, lo que mejora enormemente el rendimiento de
búsqueda. Si un usuario accede a un sitio web que no esté en la base de datos de URL
local, se consultará la base de datos completa de la nube y, a continuación, el
cortafuegos añadirá la nueva URL a la base de datos local. Dicho de otro modo, la base
de datos local del cortafuegos se cumplimentará/personalizará continuamente
basándose en la actividad de los usuarios. Tenga en cuenta que la base de datos de URL
personalizada local se borrará si la base de datos de envíos de PAN-DB se vuelve a
descargar o si cambia el proveedor de la base de datos de URL de PAN-DB a
BrightCloud.
Servicio de la nube El servicio de la nube de PAN-DB se implementa mediante Amazon Web Services
(AWS). AWS proporciona un alto rendimiento distribuido y un entorno estable para
descargas de la base de datos de envíos y búsquedas de URL para cortafuegos de Palo
Alto Networks; asimismo, la comunicación se realiza a través de SSL. Los sistemas de
la nube de AWS incluyen la totalidad de PAN-DB, que se actualiza cuando se
identifican nuevas URL. El servicio de la nube de PAN-DB admite un mecanismo
automatizado para actualizar la base de datos de URL local del cortafuegos si la versión
no coincide. Cada vez que el cortafuegos consulta a los servidores de la nube con
búsquedas de URL, también comprueba si hay actualizaciones clave. Si no se han
producido consultas en los servidores de la nube en más de 30 minutos, el cortafuegos
comprueba si hay actualizaciones en los sistemas de la nube.
El sistema de la nube también proporciona un mecanismo para enviar solicitudes de
cambio de categoría de URL. Esto se realiza a través del servicio de comprobación de
sitios web, que está disponible directamente desde el dispositivo (configuración de
perfil de filtrado de URL) y desde el sitio web Test A Site (en inglés) de Palo Alto
Networks. También puede enviar una solicitud de cambio de categorización de URL
directamente desde el log de filtrado de URL del cortafuegos en la sección Detalles de
log.
Filtrado de URL 329

Componentes y flujo de trabajo de filtrado de URL Filtrado de URL
Componente Descripción
Caché de URL del plano de Cuando se activa PAN-DB en el cortafuegos, se descarga una base de datos de envíos
gestión (MP) desde uno de los servidores de la nube de PAN-DB para cumplimentar inicialmente la
caché local; esto se hace para mejorar el rendimiento de búsqueda. Cada base de datos
de envíos regional contiene las principales URL de la región. Asimismo, el tamaño de
la base de datos de envíos (número de entradas de URL) también depende de la
plataforma del dispositivo. La caché de URL del plano de gestión se escribe
automáticamente en la unidad local del cortafuegos cada ocho horas, antes de que se
reinicie el cortafuegos o cuando la nube actualiza la versión de la base de datos de URL
en el cortafuegos. Después de reiniciar el cortafuegos, el archivo que se guardó en la
unidad local se cargará en la caché del plano de gestión. También se implementa el
mecanismo de usados menos recientemente (LRU) en la caché de URL del plano de
gestión en el caso de que la caché esté llena. Si la caché se llena, las URL a las que se ha
accedido menos se sustituirán por las URL más recientes.
Caché de URL del plano de Se trata de un subconjunto de la caché del plano de gestión. Es una base de datos de
datos (DP) URL dinámica personalizada que se almacena en el plano de datos (DP) y se utiliza para
mejorar el rendimiento de búsqueda de URL. La caché de URL del plano de datos se
borra tras cada reinicio del cortafuegos. El número de URL que se almacenan en la
caché de URL del plano de datos varía según la plataforma de hardware y las URL
almacenadas actualmente en el TRIE (estructura de datos). Se implementa el
mecanismo de usados menos recientemente (LRU) en la caché del plano de datos en
el caso de que la caché esté llena. Si la caché se llena, las URL a las que se ha accedido
menos se sustituirán por las URL más recientes. Las entradas de la caché de URL del
plano de datos vencen tras un período de tiempo especificado. Además, el
administrador no puede cambiar el período de vencimiento.
Flujo de trabajo de categorización de URL de PAN-DB
Cuando un usuario intenta acceder a una URL y hay que determinar la categoría de URL, el cortafuegos
comparará la URL con los siguientes componentes (por orden) hasta que se encuentre una coincidencia:
330 Filtrado de URL

Filtrado de URL Componentes y flujo de trabajo de filtrado de URL
Si una consulta de URL coincide con una entrada caducada de la caché de URL del plano de datos, la caché
responderá con la categoría caducada, pero también enviará una consulta de categorización de URL al plano de
gestión. Se hace esto para evitar retrasos innecesarios en el plano de datos, suponiendo que la frecuencia de
cambio de categorías sea baja. Del mismo modo, en la caché de URL del plano de gestión, si una consulta de
URL del plano de datos coincide con una entrada caducada del plano de gestión, el plano de gestión responderá
al plano de datos con la categoría caducada y también enviará una solicitud de categorización de URL al servicio
de la nube. Al obtener la respuesta de la nube, el cortafuegos reenviará la respuesta actualizada al plano de datos.
A medida que se definan nuevas URL y categorías o si se necesitan actualizaciones clave, la base de datos de la
nube se actualizará. Cada vez que el cortafuegos consulte a la nube con una búsqueda de URL o si no se
producen búsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararán y, si no coinciden, se realizará una actualización progresiva.
Filtrado de URL 331

Configuración de filtrado de URL Filtrado de URL
Configuración de filtrado de URL

Esta sección describe los pasos necesarios para empezar a utilizar la función de filtrado de URL. Después de
configurar el filtrado de URL, podrá supervisar la actividad web y, a continuación, determinar qué acciones
realizar en sitios web y categorías de sitios web específicos. Para controlar el tráfico HTTPS, el cortafuegos debe
contar con una política de descifrado entre las zonas que permiten el tráfico web.
 Habilitación del filtrado de URL
 Determinación de los requisitos de la política de filtrado de URL
 Definición de controles del sitio web
Habilitación del filtrado de URL
Para asignar una licencia y habilitar el filtrado de URL en un cortafuegos de Palo Alto Networks:
Habilitación del filtrado de URL
Paso 1 Obtenga e instale una licencia de filtrado 1. Desde Dispositivo > Licencias de la sección Gestión de
de URL y confirme que se haya instalado. licencias, seleccione el método de instalación de licencia
Nota El modo de funcionamiento de PAN-DB basándose en el tipo de clave de licencia que haya recibido.
y BrightCloud después del vencimiento Puede ser una clave que recuperará del servidor de licencias, un
de la licencia de filtrado de URL es código de autorización o un archivo de licencia cargado
diferente. BrightCloud tiene una opción manualmente.
en el perfil de URL para permitir todas las 2. Cuando la licencia se haya instalado, confirme que aparece una
categorías o bloquear todas las categorías fecha válida en el campo Fecha de caducidad de la base de datos
si la licencia vence. Con PAN-DB, si la correspondiente.
licencia vence, el filtrado de URL seguirá
funcionando basándose en la información
de categorías de URL que existe en las
cachés del plano de datos y del plano de
gestión, pero las búsquedas en la nube de
URL y otras actualizaciones basadas en la
nube no funcionarán hasta que no se
instale una licencia válida.
Paso 2 (Solamente PAN-DB) Descargue la base 1. Haga clic en Descargar junto a Descargar estado en la sección
de datos de envíos iniciales y active PAN-DB URL Filtering.
PAN-DB URL Filtering. 2. Seleccione una región (Norteamérica, Europa, APAC, Japón) y,
a continuación, haga clic en Aceptar para iniciar la descarga.
3. Cuando finalice la descarga, haga clic en Activar.
Nota Si PAN-DB ya es el proveedor de filtrado de URL activo y
hace clic en Volver a descargar, volverá a activar PAN-DB
al eliminar las cachés del plano de datos y del plano de
gestión y sustituirlas por el contenido de la nueva base de
datos de envíos. Debería evitar hacer esto a menos que sea
necesario, ya que perderá su caché, que está personalizada
según el tráfico web que ha pasado anteriormente por el
cortafuegos basándose en la actividad de los usuarios.
332 Filtrado de URL

Filtrado de URL Configuración de filtrado de URL
Habilitación del filtrado de URL (Continuación)
Paso 3 (Solo BrightCloud) Active búsquedas en 1. Acceda a la CLI en el cortafuegos.

la nube para categorizar dinámicamente 2. Introduzca los siguientes comandos para activar el Filtrado de
una URL si la categoría no está disponible URL dinámica.
en la base de datos local. a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
Paso 4 Configure Actualizaciones dinámicas para 1. Seleccione Dispositivo > Actualizaciones dinámicas.
Aplicaciones y amenazas y, si está 2. En la sección Aplicaciones y amenazas, configure una
utilizando BrightCloud, configure las programación para recibir actualizaciones periódicamente.
actualizaciones de filtrado de URL.
3. (Solamente BrightCloud) En la sección Filtrado de URL,
Las actualizaciones de Aplicaciones y configure una programación para recibir actualizaciones
amenazas pueden contener periódicamente.
actualizaciones para el filtrado de URL
relacionado con la opción Forzaje de
búsquedas seguras disponible en el perfil
de filtrado de URL. Por ejemplo, si Palo
Alto Networks añade compatibilidad con
un nuevo proveedor de búsquedas o si
cambia el método utilizado para detectar
el ajuste de búsqueda segura de un
proveedor existente, la actualización se
incluirá en las actualizaciones de
Las actualizaciones de BrightCloud
incluyen una base de datos de
aproximadamente 20 millones de sitios
web que se almacenan en la unidad del
cortafuegos, de modo que la actualización
de filtrado de URL debe programarse
para recibir estas actualizaciones.
Nota Se requiere una licencia de prevención de
amenazas para recibir actualizaciones de
contenido, la cual cubre Antivirus y
Determinación de los requisitos de la política de filtrado de URL
La práctica recomendada para implementar el filtrado de URL en su organización es empezar con un perfil de
filtrado de URL pasivo que enviará alertas sobre la mayoría de las categorías. Tras establecer la acción de alerta,
puede supervisar la actividad web de los usuarios durante varios días para determinar los sitios web a los que se
está accediendo. Después de hacerlo, podrá tomar decisiones sobre los sitios web y las categorías de sitios web
que deberían controlarse.
 Configuración y aplicación de un perfil de filtrado de URL pasivo
 Supervisión de las actividades web
Filtrado de URL 333

Configuración y aplicación de un perfil de filtrado de URL pasivo
Dado que el perfil de filtrado de URL predeterminado bloquea el contenido de riesgo y propenso a las
amenazas, la práctica recomendada es duplicar este perfil cuando cree un nuevo perfil para conservar esta
configuración predeterminada.
En el procedimiento siguiente, los sitios web propensos a las amenazas se establecerán como bloqueados y las
otras categorías se establecerán como alerta, lo que hará que se registre el tráfico de todos los sitios web. Esto
podría crear una gran cantidad de archivos de log, así que lo mejor es realizar esta acción para una supervisión
inicial con el fin de determinar los tipos de sitios web a los que están accediendo sus usuarios. Tras determinar
las categorías que su empresa aprueba, dichas categorías deberían establecerse como permitidas, lo cual no
generará logs. También puede reducir los logs de filtrado de URL habilitando la opción Página de contenedor de log
únicamente en el perfil de URL, para que solamente se registre la página principal que coincida con la categoría y
no las páginas/categorías posteriores que puedan cargarse dentro de la página de contenedor.
Configuración y aplicación de un perfil de filtrado de URL pasivo
Paso 1 Duplique el perfil de filtrado de URL 1. Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
predeterminado. 2. Seleccione el perfil predeterminado y, a continuación, haga clic
en Duplicar. El nuevo perfil se denominará predeterminado-1.
3. Seleccione el nuevo perfil y cámbiele el nombre. Por ejemplo,
cámbiele el nombre por Supervisión-URL.
334 Filtrado de URL

Configuración y aplicación de un perfil de filtrado de URL pasivo (Continuación)
Paso 2 Configure la acción para todas las 1. En la sección que enumera todas las categorías de URL,
categorías como Alertar, excepto para las seleccione todas las categorías y, a continuación, cancele la
categorías propensas a las amenazas, que selección de las siguientes categorías:
deberían permanecer bloqueadas. • consumo de drogas
Consejo: Para seleccionar todos los • contenido para adultos
elementos de la lista de categorías de un
• juegos
sistema Windows, haga clic en la primera
categoría y, a continuación, mantenga • hacking
pulsada la tecla Mayús y haga clic en la • software malintencionado
última categoría; esto seleccionará todas
las categorías. Mantenga pulsada la tecla • phishing
Ctrl y haga clic en los elementos cuya • contenido cuestionable
selección debería cancelarse. En un Mac,
haga lo mismo utilizando las teclas • armas
Mayúsculas y Comando. También podría 2. A la derecha del encabezado de la columna Acción, pase el ratón
establecer todas las categorías como por encima, seleccione la flecha hacia abajo, a continuación,
Alertar y cambiar manualmente las seleccione Establecer acciones seleccionadas y seleccione
categorías recomendadas de nuevo a Alertar.
Bloquear.
Paso 3 Aplique el perfil de URL a la política de 1. Seleccione Políticas > Seguridad y seleccione la política de
seguridad que permite el tráfico web para seguridad adecuada para modificarla.
los usuarios. 2. Seleccione la pestaña Acciones y, en la sección Ajuste de perfil,
haga clic en el menú desplegable Filtrado de URL y seleccione
el nuevo perfil.
Filtrado de URL 335

Configuración y aplicación de un perfil de filtrado de URL pasivo (Continuación)
Paso 5 Visualice los logs de filtrado de URL para Seleccione Supervisar > Logs > Filtrado de URL. Se creará una
determinar todas las categorías de sitios entrada de log para cualquier sitio web que exista en la base de datos
web a las que están accediendo sus de filtrado de URL que esté en una categoría establecida con una
usuarios. En este ejemplo, algunas acción distinta de Permitir.
categorías se establecen como
bloqueadas, de modo que dichas
categorías también aparecerán en los logs.
Para obtener información sobre cómo
visualizar los logs y generar informes,
consulte Supervisión de las actividades
web.
Supervisión de las actividades web
Los informes y logs de filtrado de URL muestran toda la actividad web de los usuarios para las categorías de
URL establecidas como Alertar, Bloquear, Continuar o Cancelar. Al supervisar los logs, puede obtener una
mayor comprensión de la actividad web de su base de usuarios para determinar una política de acceso web.
Esta sección da por hecho que se ha configurado un perfil de URL del modo descrito en Configuración y
aplicación de un perfil de filtrado de URL pasivo.
Los siguientes temas describen cómo supervisar la actividad web:
 Interpretación de los logs de filtrado de URL
 Uso del ACC para supervisar la actividad web
 Visualización de informes de filtrado de URL
 Configuración de informes de filtrado de URL personalizados
Interpretación de los logs de filtrado de URL
Los siguientes puntos muestran ejemplos de los logs de filtrado de URL (Supervisar > Logs > Filtrado de URL).
 Log Alertar: En este log, la categoría es compras y la acción es Alertar.
 Log Bloquear: En este log, la categoría alcohol y tabaco se estableció como Bloquear, por lo que la acción
es Bloquear URL y el usuario verá una página de respuesta que indica que el sitio web se ha bloqueado.
336 Filtrado de URL

 Log Alertar en sitio web cifrado: En este ejemplo, la categoría es redes sociales y la aplicación es base de
facebook, que es obligatoria para acceder al sitio web de Facebook y otras aplicaciones de Facebook. Dado
que facebook.com siempre está cifrado con SSL, el cortafuegos descifró el tráfico, lo que permite reconocer
y controlar el sitio web si es necesario.
También puede añadir otras columnas a su vista de log de filtrado de URL, como las zonas de origen y destino,
el tipo de contenido y si se realizó o no una captura de paquetes. Para modificar qué columnas mostrar, haga
clic en la flecha hacia abajo en cualquier columna y seleccione el atributo que debe mostrarse.
Para ver la información detallada completa del log y/o solicitar un cambio de categoría para la URL específica
a la que se accedió, haga clic en el icono de información detallada del log en la primera columna del log.
Uso del ACC para supervisar la actividad web
Para obtener una vista rápida de las categorías más comunes a las que se está accediendo en su entorno,
solamente tiene que seleccionar la pestaña ACC y desplácese hacia abajo a la sección Filtrado de URL. En la parte
superior de esta ventana, también puede establecer el rango de tiempo, ordenar por opción y definir cuántos
resultados aparecerán. Aquí verá las categorías más populares a las que acceden sus usuarios ordenadas de mayor
Filtrado de URL 337

a menor popularidad en la lista. En este ejemplo, información de equipo e internet es la categoría a la que más se ha
accedido, seguida de direcciones ip privadas (servidores internos) y motores de búsqueda. En el menú desplegable de
la esquina superior derecha de las estadísticas, también puede decidir enumerar por Categorías de URL,
Categorías de URL bloqueadas y URL bloqueadas.
Visualización de informes de filtrado de URL
Para visualizar los informes de filtrado de URL predeterminados, seleccione Supervisar > Informes y, bajo la
sección Informes de filtrado de URL, seleccione uno de los informes. Puede generar informes sobre Categorías
de URL, Usuarios de URL, Sitios web a los que se ha accedido, Categorías bloqueadas, etc. Los informes se
basan en un período de 24 horas y el día se elige seleccionando un día en la sección de calendario. También puede
exportar el informe a PDF, CSV o XML.
338 Filtrado de URL

Visualización del informe de actividad del usuario
Este informe proporciona un método rápido para visualizar la actividad de un usuario o grupo y también ofrece
la opción de visualizar la actividad de tiempo de exploración.
Generación de un informe de actividad del usuario
Paso 1 Configure un informe de actividad del 1. Seleccione Supervisar > Informes en PDF > Informe de
usuario. actividad del usuario.
2. Introduzca un Nombre de informe y seleccione el tipo de
informe. Seleccione Usuario para generar un informe para una
persona o seleccione Grupo para un grupo de usuarios.
Nota User-ID debe estar configurado para seleccionar nombres
de usuarios o de grupos. Si User-ID no está configurado,
puede seleccionar el tipo Usuario e introducir una
dirección IP del equipo del usuario. Para obtener más
información, consulte User-ID.
3. Introduzca el nombre de usuario/dirección IP de un informe de
usuario o introduzca el nombre de grupo de un informe de
grupo de usuarios.
4. Seleccione el período de tiempo. Puede seleccionar un período
de tiempo existente o seleccionar Personalizado.
5. Seleccione la casilla de verificación Incluir exploración
detallada para que se incluya información de exploración en el
informe.
Paso 2 Ejecute el informe de actividad del 1. Haga clic en Ejecutar ahora.

usuario y, a continuación, descargue el 2. Después de generar el informe, haga clic en el enlace Descargar
informe. informe de actividad de usuario.
3. Después de descargar el informe, haga clic en Cancelar y, a

continuación, haga clic en ACEPTAR para guardar el informe.
Filtrado de URL 339

Generación de un informe de actividad del usuario (Continuación)
Paso 3 Visualice el informe de actividad del usuario abriendo el archivo PDF que se descargó. La parte superior del
informe incluirá un índice parecido al siguiente:
Paso 4 Haga clic en un elemento del índice para ver información detallada. Por ejemplo, haga clic en Resumen de tráfico
por categoría de URL para ver estadísticas para el usuario o grupo seleccionado.
Configuración de informes de filtrado de URL personalizados
Para generar un informe detallado que también pueda programarse, puede configurar un informe personalizado
y seleccionar elementos en una lista de todos los campos de log de filtrado de URL disponibles.
Configuración de un informe de filtrado de URL personalizado
Paso 1 Añada un nuevo informe personalizado. 1. Seleccione Supervisar > Gestionar informes personalizados y
2. Introduzca un nombre de informe en el campo Nombre. Por
ejemplo, Mi-informe-personalizado-de-URL.
3. Desde el menú desplegable Base de datos, seleccione Registro
de URL.
340 Filtrado de URL

Configuración de un informe de filtrado de URL personalizado (Continuación)
Paso 2 Configure opciones de informe. 1. Seleccione el menú desplegable Período de tiempo y seleccione
un rango.
2. (Opcional) Para personalizar el modo en que el informe se
ordena y agrupa, seleccione Ordenar por y seleccione el número
de elementos que deben mostrarse (por ejemplo, los 25
principales) y, a continuación, seleccione Agrupar por y
seleccione una opción como Categoría y luego seleccione
cuántos grupos se definirán.
3. En la lista Columnas disponibles, seleccione los campos que
deben incluirse en el informe. Las siguientes columnas suelen
utilizarse para un informe de URL:
• Acción
• Categoría
• País de destino
• Usuario de origen
• URL
Paso 3 Ejecute el informe para comprobar los 1. Haga clic en el icono Ejecutar ahora para generar
resultados. Si los resultados son inmediatamente el informe que aparecerá en una nueva pestaña.
satisfactorios, establezca una 2. (Opcional) Haga clic en la casilla de verificación Programación
programación para ejecutar el informe para ejecutar el informe una vez al día. Esto generará un informe
automáticamente. diario con información detallada de la actividad web las últimas
24 horas. Para acceder al informe, seleccione Supervisar >
Informe y, a continuación, amplíe Informes personalizados en
la columna derecha y seleccione el informe.
Filtrado de URL 341

Definición de controles del sitio web
Después de seguir los procedimientos del tema Determinación de los requisitos de la política de filtrado de
URL, debería tener unos conocimientos básicos sobre los tipos de sitios web y categorías de sitios web a los que
están accediendo sus usuarios. Con esta información, ya está listo para personalizar sus políticas de filtrado de
URL para controlar el modo en que sus usuarios acceden a Internet. Los procedimientos siguientes describen
cómo cambiar las acciones de los perfiles de URL, utilizar la opción Forzaje de búsquedas seguras y utilizar otras
funciones relacionadas con el control del contenido.
Configuración de controles del sitio web
Paso 1 Personalice su perfil de URL para 1. Seleccione Objetos > Perfiles de seguridad > Filtrado de URL
controlar los sitios web y las categorías de y modifique su perfil de URL.
sitios web. 2. En la lista Categoría, seleccione la acción adecuada para cada
categoría de URL que desee controlar. Por ejemplo, puede que
quiera bloquear categorías como subastas, juegos y citas, pero
permitir redes sociales.
Paso 2 Configure los sitios web que siempre 1. En el perfil de filtrado de URL, introduzca las URL o
deberían bloquearse o permitirse. direcciones IP en Lista de bloqueadas y seleccione una acción:
Por ejemplo, para reducir los logs de • Bloquear: Bloquea la URL.
filtrado de URL, puede que quiera • Continuar: Los usuarios verán una página de respuesta al
introducir todos sus sitios web visitar un sitio que coincida con la categoría de URL definida.
corporativos en la lista de permitidos, Si el usuario hace clic en Continuar, la página web se abrirá.
para que no se genere ningún log para
• Cancelar: Se solicitará al usuario una contraseña para ir al
esos sitios. Si hay un sitio web que se
sitio web.
utiliza demasiado y que no está
relacionado con el trabajo de ningún • Alertar: Permite al usuario acceder al sitio web y añade una
modo, puede añadirlo a la lista de entrada de log de alerta en el log de URL.
bloqueados. 2. Para Lista de permitidas, introduzca las direcciones IP o URL
Los elementos de la lista de bloqueados que deberían permitirse siempre. Cada fila debe estar separada
siempre se bloquearán por una nueva línea.
independientemente de la acción de la La siguiente captura de pantalla muestra un perfil de filtrado de URL
categoría en cuestión, del mismo modo típico. En este ejemplo, la categoría redes sociales está bloqueada,
que las URL de la lista de permitidos pero Facebook está permitido. El sitio web corporativo
siempre se permitirán. paloaltonetworks.com también está permitido, así que no se
registrará ningún log. La lista de bloqueadas contiene una dirección
Para obtener más información sobre el
IP de servidor que siempre se bloqueará.
formato correcto y los comodines que se
pueden utilizar en las listas de permitidos
y bloqueados, consulte Cómo utilizar las
listas de bloqueadas y de permitidas.
342 Filtrado de URL

Configuración de controles del sitio web (Continuación)
Paso 3 Habilite Forzaje de búsquedas seguras Seleccione la casilla de verificación Forzaje de búsquedas seguras.
para impedir que los usuarios que buscan
en Internet utilicen uno de los tres
principales proveedores de búsquedas
(Google, Bing o Yahoo!) para ver los
resultados de la búsqueda, a menos que la
opción de búsqueda segura estricta esté
establecida en sus exploradores y/o en la
cuenta del proveedor de búsquedas.
Para obtener más información sobre esta
opción, consulte Forzaje de búsquedas
seguras.
Paso 4 Habilite la opción Página de contenedor. Seleccione la casilla de verificación Página de contenedor de log
únicamente.
Para obtener más información, consulte
Acerca de la página de contenedor de log.
Paso 5 Guarde el perfil de filtrado de URL. Haga clic en ACEPTAR.
Paso 6 (Opcional) Si la acción Continuar está 1. Seleccione Red > Perfiles de red > Gestión de interfaz y
configurada para cualquier categoría de añada un nuevo perfil o edite un perfil existente.
URL, debe habilitar la opción de página
2. Haga clic en la casilla de verificación Páginas de respuesta para
de respuesta en la interfaz de entrada (la
habilitarla.
interfaz que recibe el tráfico de sus
usuarios en primer lugar). 3. Haga clic en Aceptar para guardar el perfil.
4. Seleccione Red > Interfaces y, a continuación, edite la interfaz
de capa 3 o la interfaz de VLAN que sea su interfaz de entrada.
5. Haga clic en la pestaña Avanzado y seleccione el perfil Gestión
de interfaz que tenga la opción de página de respuesta habilitada
y selecciónelo en el menú desplegable.
6. Haga clic en ACEPTAR para guardar la configuración de interfaz.
Filtrado de URL 343

Paso 7 (Opcional) Personalice las páginas de 1. Seleccione Dispositivo > Páginas de respuesta.
respuesta de filtrado de URL. 2. Haga clic en la página de respuesta de filtrado de URL que desee
Hay tres páginas de respuesta diferentes modificar.
para el filtrado de URL: 3. Seleccione la página de respuesta (predefinida o compartida) y,
• Página de bloqueo de URL: Acceso a continuación, haga clic en el enlace Exportar y guarde el
bloqueado por un perfil de filtrado de archivo en su escritorio.
URL o porque la categoría de URL está Nota La página de respuesta predeterminada es una página
bloqueada por una política de predefinida y una página compartida es una página de
seguridad. respuesta personalizada creada por un administrador.
• Página de continuación y 4. Modifique la página de respuesta mediante un editor de texto y,
cancelación de filtrado de URL: a continuación, guarde el archivo.
Página con política de bloqueo inicial
5. Desde el cuadro de diálogo de la página de respuesta, haga clic
que permite que los usuarios eludan el
en Importar, seleccione la página de respuesta recién
bloqueo. Con la página de cancelación,
modificada y, a continuación, haga clic en ACEPTAR para
el usuario necesita una contraseña para
importar el archivo.
cancelar la política que bloquea la URL.
• Página de bloque de búsqueda 6. La página de respuesta recién importada se convertirá en la
segura de filtrado de URL: Acceso página de respuesta activa.
bloqueado por una política de
seguridad con un perfil de filtrado de
URL que tiene habilitada la opción
Forzaje de búsquedas seguras. El
usuario verá esta página si se realiza
una búsqueda con Google, Bing o
Yahoo y la configuración de cuenta de
su explorador o motor de búsqueda no
está establecida como estricta.
344 Filtrado de URL

Paso 8 Configure una cancelación de filtrado de 1. Seleccione Dispositivo > Configuración > Content-ID.
URL para crear una contraseña temporal 2. En la sección Cancelación de administración de URL, haga
que puedan utilizar usuarios específicos clic en Añadir para configurar una contraseña.
para acceder a sitios que estén
3. (Opcional) Establezca un período de cancelación personalizado
bloqueados.
introduciendo un nuevo valor en el campo Tiempo de espera
de cancelación de administrador de URL. De manera
predeterminada, los usuarios pueden acceder a categorías de
URL bloqueadas durante 15 minutos.
4. Al establecer la contraseña, puede elegir entre Transparente o
Redirigir.
• Transparente: El cortafuegos intercepta el tráfico del
explorador y representa la URL de destino original,
emitiendo un HTTP 401 para invocar la autenticación. Sin
embargo, como el cortafuegos no tiene el certificado real
para la URL de destino, el explorador mostrará un error de
certificado a los usuarios que intenten acceder a un sitio
seguro. Por lo tanto, únicamente debería utilizar este modo
cuando sea absolutamente necesario, como en
implementaciones de capa 2 o cable virtual (Virtual Wire).
• Redirigir: El cortafuegos intercepta sesiones de HTTP o
HTTPS desconocidas y las redirige a una interfaz de capa 3
en el cortafuegos utilizando una redirección HTTP 302 para
realizar la autenticación. Este es el modo preferido porque
proporciona una mejor experiencia de usuario final (sin
errores de certificado). Sin embargo, requiere una
configuración de capa 3 adicional. Otra ventaja del modo
Redirigir es que permite el uso de cookies de sesión, que
permiten que el usuario siga explorando sitios autenticados
sin tener que volver a asignar cada vez que venza el tiempo de
espera.

Nota Para comprobar la configuración de
filtrado de URL, solamente tiene que
acceder a un sitio web de una categoría
establecida como Bloquear o Continuar
para comprobar si se realiza la acción
adecuada.
Filtrado de URL 345

Ejemplos de casos de uso del filtrado de URL Filtrado de URL
Ejemplos de casos de uso del filtrado de URL

Configuración de filtrado de URL ha demostrado cómo configurar un perfil básico de filtrado de URL para
controlar el acceso a sitios web basándose en categorías de URL. Los siguientes casos de uso muestran cómo
utilizar App-ID para controlar un conjunto específico de aplicaciones basadas en Internet y cómo utilizar
categorías de URL como criterios de coincidencia en una política. Al trabajar con App-ID, es importante
comprender que cada firma de App-ID puede tener dependencias que sean obligatorias para controlar una
aplicación por completo. Por ejemplo, en el caso de aplicaciones de Facebook, la base de facebook de App-ID
es obligatoria para acceder al sitio web de Facebook y controlar otras aplicaciones de Facebook. Por ejemplo,
para configurar el cortafuegos con el fin de que controle el correo electrónico de Facebook, tendría que permitir
la base de facebook y el correo de facebook de App-ID. Como otro ejemplo, si busca en Applipedia (la base de
datos de App-ID) LinkedIn, verá que para controlar el correo de LinkedIn, deberá aplicar la misma acción a
ambos App-ID: base de linkedin y correo de linkedin. Para determinar las dependencias de las aplicaciones para
firmas de App-ID, visite Applipedia, busque la aplicación en cuestión y, a continuación, haga clic en la aplicación
para obtener información detallada.
La función User-ID es obligatoria para implementar políticas basadas en usuarios y grupos y una
política de descifrado es obligatoria para identificar y controlar sitios web que se hayan cifrado
con SSL.
Esta sección incluye dos casos de uso:

 Caso de uso: control de acceso web
 Caso de uso: uso de categorías de URL en la política
Caso de uso: control de acceso web
Al utilizar el filtrado de URL para controlar el acceso a sitios web de usuarios, puede que haya instancias en las
que un control detallado sea obligatorio para un sitio web específico. En este caso de uso, se aplica una política
de filtrado de URL a la política de seguridad que permite el acceso web para sus usuarios y la categoría de URL
redes sociales se establece como Bloquear, pero la lista de permitidas del perfil de URL se configura para permitir
el sitio web de redes sociales de Facebook. Para tener un control adicional sobre Facebook, la política de la
empresa también determina que solamente el departamento de marketing tiene un acceso completo a Facebook
y que el resto de usuarios de la empresa solamente pueden leer publicaciones de Facebook y no pueden utilizar
ninguna otra aplicación de Facebook, como el correo electrónico, las publicaciones, el chat y el intercambio de
archivos. Para lograr este requisito, debe utilizarse App-ID para proporcionar un control detallado sobre
Facebook.
346 Filtrado de URL

Filtrado de URL Ejemplos de casos de uso del filtrado de URL
La primera regla de seguridad permitirá que el departamento de marketing acceda al sitio web de Facebook, así
como a todas las aplicaciones de Facebook. Como esta regla de permiso también permitirá el acceso a Internet,
se aplican perfiles de prevención de amenazas a la regla, para que el tráfico que coincida con la política se
examine en busca de amenazas. Esto es importante porque la regla de permiso es terminal y no continuará para
comprobar otras reglas si hay una coincidencia de tráfico.
Control de acceso web
Paso 1 Confirme que el filtrado de URL tiene 1. Seleccione Dispositivo > Licencias y confirme que aparece una
licencia. fecha válida para la base de datos de filtrado de URL que se
utilizará. Será PAN-DB o BrightCloud.
2. Si no hay ninguna licencia válida instalada, consulte Habilitación
del filtrado de URL.
Paso 2 Confirme que User-ID funciona. User-ID 1. Para comprobar la asignación de grupos, desde la CLI,
es obligatorio para crear políticas basadas introduzca el siguiente comando:
en usuarios y grupos. show user group-mapping statistics
2. Para comprobar la asignación de usuarios, desde la CLI,
introduzca el siguiente comando:
show user ip-user-mapping-mp all
3. Si no aparecen estadísticas y/o no se muestra información de
asignación de IP a usuario, consulte User-ID.
Paso 3 Configure un perfil de filtrado de URL 1. Seleccione Objetos > Perfiles de seguridad > Filtrado de URL
duplicando el perfil predeterminado. y seleccione el perfil predeterminado.
2. Haga clic en el icono Duplicar. Debería aparecer un nuevo perfil
denominado predeterminado-1.
3. Seleccione el nuevo perfil y cámbiele el nombre.
Paso 4 Configure el perfil de filtrado de URL 1. Modifique el nuevo perfil de filtrado de URL y, en la lista
para que bloquee redes sociales y permita Categoría, desplácese hasta redes sociales y, en la columna Acción,
Facebook. haga clic en Permitir y cambie la acción a Bloquear.
2. En el cuadro Lista de permitidas, escriba facebook.com, pulse
Intro para iniciar una nueva línea y, a continuación, escriba
*.facebook.com. Ambos formatos son obligatorios, así que se
identificarán todas las variantes de URL que un usuario pueda
utilizar, como facebook.com, www.facebook.com y
https://facebook.com.
Filtrado de URL 347

Control de acceso web (Continuación)
Paso 5 Aplique el nuevo perfil de filtrado de URL 1. Seleccione Políticas > Seguridad y haga clic en la política que
al perfil de seguridad que permita el permite el acceso web de usuario.
acceso web desde la red de usuario a 2. En la pestaña Acciones, seleccione el perfil de URL que acaba
Internet. de crear en el menú desplegable Filtrado de URL.
Paso 6 Cree la política de seguridad que permitirá al departamento de marketing acceder al sitio web de Facebook y a
todas las aplicaciones de Facebook.
Esta regla debe preceder a otras reglas porque es más específica que las otras políticas y porque es una regla de
permiso, que finalizará cuando se produzca una coincidencia de tráfico.
1. Seleccione Políticas > Seguridad y haga clic en Añadir.
2. Introduzca un Nombre y, opcionalmente, una Descripción y Etiqueta.
3. En la pestaña Origen, añada la zona donde los usuarios estén conectados.
4. En la pestaña Usuario de la sección Usuario de origen, haga clic en Añadir.
5. Seleccione el grupo de directorios que incluya a sus usuarios de marketing.
6. En la pestaña Destino, seleccione la zona conectada a Internet.
7. En la pestaña Aplicaciones, haga clic en Añadir y añada la firma de App-ID facebook.
8. En la pestaña Acciones, añada los perfiles predeterminados para Antivirus, Protección contra
vulnerabilidades y Antispyware.
9. Haga clic en ACEPTAR para guardar el perfil de seguridad.

La firma de App-ID facebook utilizada en esta política engloba todas las aplicaciones de Facebook, como base de facebook,
chat de facebook y correo de facebook, por lo que esta es la única firma de App-ID obligatoria en esta regla.
Cuando esta política está establecida, si un empleado de marketing intenta acceder al sitio web de Facebook o cualquier
aplicación de Facebook, la regla coincide basándose en el hecho de que el usuario forma parte del grupo de marketing.
Para el tráfico de cualquier usuario que no pertenezca al departamento de marketing, la regla se omitirá porque no habrá
ninguna coincidencia de tráfico y el procesamiento de reglas continuará.
348 Filtrado de URL

Control de acceso web (Continuación)
Paso 7 Configure la política de seguridad para bloquear al resto de usuarios y que no puedan utilizar ninguna aplicación
de Facebook que no sea una exploración web básica. La forma más sencilla de hacer esto es duplicar la política
de permiso de marketing y, a continuación, modificarla.
1. Desde Políticas > Seguridad, haga clic en la política de permiso de Facebook de marketing que creó
anteriormente para resaltarla y, a continuación, haga clic en el icono Duplicar.
2. Introduzca un Nombre y, opcionalmente, introduzca una Descripción y Etiqueta.
3. En la pestaña Usuario, resalte el grupo de marketing y elimínelo; en el menú desplegable, seleccione
cualquiera.
4. En la pestaña Aplicaciones, haga clic en la firma de App-ID facebook y elimínela.
5. Haga clic en Añadir y añada las siguientes firmas de App-ID:
• aplicaciones de facebook
• chat de facebook
• intercambio de archivos de facebook
• correo de facebook
• publicaciones de facebook
• complemento social de facebook
6. En la pestaña Acciones, en la sección Configuración de acción, seleccione Denegar. La configuración del
perfil ya debería ser correcta porque esta regla se duplicó.
7. Haga clic en ACEPTAR para guardar el perfil de seguridad.

8. Asegúrese de que esta nueva regla de denegación se enumera después de la regla de permiso de marketing para
garantizar que el procesamiento de reglas se realiza en el orden correcto con el fin de permitir a los usuarios
de marketing y, a continuación, denegar/limitar al resto de usuarios.
9. Haga clic en Confirmar para guardar la configuración.
Con estas políticas establecidas, cualquier usuario que forme parte del grupo de marketing tendrá un acceso
completo a todas las aplicaciones de Facebook y cualquier usuario que no forme parte del grupo de marketing
solamente tendrá acceso de solo lectura al sitio web de Facebook y no podrá utilizar determinadas funciones de
Facebook, como la publicación, el chat, el correo electrónico y el intercambio de archivos.
Filtrado de URL 349

Caso de uso: uso de categorías de URL en la política
Las categorías de URL también se pueden utilizar como criterios de coincidencia en los siguientes tipos de
políticas: portal cautivo, descifrado, seguridad y QoS. En este caso de uso, las categorías de URL se utilizarán en
políticas de descifrado para controlar qué categorías web deben descifrarse o no. La primera regla es una regla
de no descifrado que no descifrará el tráfico de usuario si la categoría del sitio web es servicios financieros o salud y
medicina y la segunda regla descifrará el resto del tráfico. El tipo de política de descifrado es proxy ssl de reenvío, que
se utiliza para controlar el descifrado para todas las conexiones salientes realizadas por los usuarios.
Configuración de una política de descifrado basándose en la categoría de URL
Paso 1 Cree la regla de no descifrado que se incluirá primero en la lista de políticas de descifrado. Esto impedirá el
descifrado de cualquier sitio web que tenga las categorías de URL servicios financieros o salud y medicina.
1. Seleccione Políticas > Descifrado y haga clic en Añadir.
3. En la pestaña Origen, añada la zona donde los usuarios estén conectados.
4. En la pestaña Destino, introduzca la zona conectada a Internet.
5. En la pestaña Categoría de URL, haga clic en Añadir y seleccione las categorías de URL servicios financieros y
salud y medicina.
6. En la pestaña Opciones, establezca la acción como No hay ningún descifrado y el Tipo como Proxy SSL de
reenvío.
350 Filtrado de URL

Configuración de una política de descifrado basándose en la categoría de URL (Continuación)
Paso 2 Cree la política de descifrado que descifrará el resto del tráfico. Esta política se enumerará después de la política
de no descifrado.
1. Seleccione la política de no descifrado que creó anteriormente y, a continuación, haga clic en Duplicar.
3. En la pestaña Categoría de URL, seleccione servicios financieros y salud y medicina y, a continuación, haga clic en
el icono Eliminar.
4. En la pestaña Opciones, establezca la acción como Descifrar y el Tipo como Proxy SSL de reenvío.
5. Asegúrese de que esta nueva regla de descifrado se enumera después de la regla de no descifrado como se
muestra en la captura de pantalla anterior. Esto garantizará que el procesamiento de reglas se produzca en el
orden correcto, de modo que los sitios web de las categorías servicios financieros y salud y medicina no se descifren
Paso 3 (Solo BrightCloud) Active búsquedas en 1. Acceda a la CLI en el cortafuegos.

la nube para categorizar dinámicamente 2. Introduzca los siguientes comandos para activar el Filtrado de
una URL cuando la categoría no está URL dinámica.
disponible en la base de datos local del a. configure
cortafuegos.
b. set deviceconfig setting url dynamic-url yes
c. commit
Con estas dos políticas de descifrado establecidas, cualquier tráfico destinado a las categorías de URL servicios
financieros o salud y medicina no se descifrará. El resto del tráfico sí se descifrará.
También puede definir un control más detallado sobre las políticas de descifrado definiendo políticas de descifrado,
que se utilizan para realizar comprobaciones como verificaciones de certificados de servidor o para bloquear
sesiones con certificados vencidos. A continuación, el perfil se añade a la pestaña Opciones de la política de
descifrado. Para obtener una lista completa de las comprobaciones que se pueden realizar, seleccione Objetos >
Perfiles de descifrado en el cortafuegos y, a continuación, haga clic en el icono de ayuda.
Ahora que tiene unos conocimientos básicos de las potentes funciones del filtrado de URL, App-ID y User-ID,
puede aplicar políticas similares a su cortafuegos para controlar cualquier aplicación de la base de datos de firmas
de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base de datos de filtrado de
URL.
Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solución de problemas del filtrado
de URL.
Filtrado de URL 351

Solución de problemas del filtrado de URL Filtrado de URL
Solución de problemas del filtrado de URL

Los siguientes temas proporcionan directrices de solución de problemas para diagnosticar y resolver problemas
comunes del filtrado de URL.
 Problemas en la activación de PAN-DB
 Problemas de conectividad con la nube de PAN-DB
 URL clasificadas como no resueltas
 Categorización incorrecta
 Base de datos de URL vencida
Problemas en la activación de PAN-DB
Esta sección describe los procedimientos que pueden realizarse para resolver problemas en la activación de
PAN-DB.
1. Acceda a la CLI en el cortafuegos.
2. Verifique si la PAN-DB se ha activado ejecutando el comando show system setting url-database. Si la
respuesta es paloaltonetworks, PAN-DB es el proveedor activo.
3. Compruebe que el cortafuegos tenga una licencia de PAN-DB ejecutando el comando request license info.
Debería de ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no está instalada, deberá
obtener e instalar una licencia. Consulte Configuración de filtrado de URL.
4. Después de que la licencia esté instalada, descargue una nueva base de datos de envíos de PAN-DB ejecutando el
comando request url-filtering download paloaltonetworks region <region> .
5. Compruebe el estado de descarga ejecutando el comando request url-filtering download status vendor
paloaltonetworks.
a. Si el mensaje es diferente de PAN-DB download: Finished successfully, deténgase aquí; puede que
haya un problema al conectarse a la nube. Intente solucionar el problema de conectividad realizando una solución
de problemas de red básica entre el cortafuegos e Internet. Para obtener más información, consulte Problemas de
conectividad con la nube de PAN-DB.
b. Si el mensaje es PAN-DB download: Finished successfully, el cortafuegos habrá descargado correctamente
la base de datos de envíos de URL. Trate de volver a habilitar PAN-DB ejecutando el comando set system
setting url-database paloaltonetworks.
6. Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto Networks.
Problemas de conectividad con la nube de PAN-DB
Para comprobar la conectividad de la nube, ejecute show url-cloud status. Si la nube está operativa,
la respuesta esperada debería ser similar a la siguiente:
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License : válido
Current cloud server : s0000.urlcloud.paloaltonetworks.com
Cloud connection : connected
352 Filtrado de URL

Filtrado de URL Solución de problemas del filtrado de URL
URL database version - device : 2013.11.18.000

URL database version - cloud : 2013.11.18.000 ( last update time
2013/11/19
13:20:51 )
URL database status : good
URL protocol version - device : pan/0.0.2
URL protocol version - cloud : pan/0.0.2
Protocol compatibility status : compatible
Si la conexión de la nube no está operativa, la respuesta esperada será similar a la siguiente:
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License : válido
Cloud connection : not connected
URL database version - device : 2013.11.18.000
URL database version - cloud : 2013.11.18.000 ( last update time
2013/11/19
13:20:51 )
URL database status : good
URL protocol version - device : pan/0.0.2
URL protocol version - cloud : pan/0.0.2
Protocol compatibility status : compatible
Para solucionar problemas de conectividad de la nube, realice los pasos siguientes:
1. Si la licencia de PAN-DB muestra invalid , obtenga e instale una licencia de PAN-DB válida.
2. El estado de la base de datos de URL es out-of-date . Descargue una nueva base de datos de envíos ejecutando
el comando request url-filtering download paloaltonetworks region <region> .
3. La versión del protocolo de URL muestra not compatible. Actualice la versión del software PAN-OS a la versión
más reciente.
4. Si el cortafuegos tiene una configuración de HA, verifique que el estado de HA de los dispositivos admita la
conectividad con los sistemas de la nube. Puede determinar el estado de HA ejecutando el comando show
high-availability state . La conexión con la nube se bloqueará si el cortafuegos no tiene uno de los siguientes
estados:
• activa
• activa-principal
• activa-secundaria
5. Intente hacer ping en la nube desde su equipo de gestión para verificar que responde y, a continuación, intente hacer
ping desde una interfaz del cortafuegos que pueda acceder a Internet. Por ejemplo:
ping host s0000.urlcloud.paloaltonetworks.com . Para hacer ping desde una IP de interfaz diferente,
introduzca el origen. Por ejemplo: p ing source IP-Address host
s0000.urlcloud.paloaltonetworks.com .
Filtrado de URL 353

URL clasificadas como no resueltas
Si la mayoría de las URL se clasifican como No resuelto en el log de filtrado de URL, siga estos pasos:
1. Compruebe la conexión de la nube de PAN-DB ejecutando el comando show url-cloud status. Si la nube
no está operativa, todas las entradas que no existan en la caché de URL del plano de gestión se categorizarán como
No resuelto. Solucione los problemas de conexión de la nube consultando la sección Problemas de conectividad con la
nube de PAN-DB.
2. Si la nube está operativa, compruebe el uso actual del cortafuegos. Si el rendimiento del cortafuegos tiene picos, puede
que las solicitudes de URL se descarten (puede que no lleguen al plano de gestión) y se categoricen como No resuelto.
Categorización incorrecta
Los siguientes pasos describen los procedimientos que pueden utilizarse si una categoría de URL es incorrecta.
Por ejemplo, si la URL paloaltonetworks.com se categoriza como alcohol y tabaco, la categorización no será correcta;
la categoría debería ser información de equipo e internet.
1. Verifique si la categoría está en el plano de datos (DP) ejecutando el comando show running url <URL>.
Por ejemplo, show running url paloaltonetworks.com. Si la URL almacenada en la caché del plano
de datos tiene la categoría correcta (información de equipo e internet en este ejemplo), entonces la categorización será
correcta y no será necesario realizar ninguna otra acción. Si la categoría no es correcta, vaya al paso siguiente.
2. Verifique si la categoría está en el plano de gestión (MP) ejecutando el comando test url-info-host
<URL>. Por ejemplo, test url-info-host paloaltonetworks.com. Si la URL almacenada en la
caché del plano de gestión tiene la categoría correcta, elimine la URL de la caché de URL del plano de datos ejecutando
el comando clear url-cache url <URL>. La próxima vez que el dispositivo solicite la categoría de esta
URL, la solicitud se reenviará al plano de gestión. Esto solucionará el problema y no será necesario realizar ninguna
otra acción. Si esto no soluciona el problema, vaya al paso siguiente para comprobar la categoría de URL en los
sistemas de la nube.
3. Verifique si la categoría está en la nube ejecutando el comando test url-info-cloud <URL>. Si la URL
almacenada en la nube tiene la categoría correcta, elimine la URL de la caché de URL del plano de datos/plano de
gestión utilizando los siguientes comandos de la CLI:
Ejecute el siguiente comando para eliminar una URL de la caché del plano de datos:
clear url-cache url <URL>
Ejecute el siguiente comando para eliminar una URL de la caché del plano de gestión:
delete url-database url <URL>
La próxima vez que el dispositivo solicite la categoría de esta URL, la solicitud se reenviará al plano de gestión y, a
continuación, a la nube. Esto debería solucionar el problema de búsqueda de categoría. Si el problema persiste,
consulte el paso siguiente para enviar una solicitud de cambio de categorización.
4. Si la nube muestra una categoría incorrecta, envíe una solicitud de cambio desde la interfaz web; para ello, vaya al log
de URL y seleccione la entrada de log con la URL que desee cambiar. Haga clic en el enlace Solicitar cambio de
categorización y siga las instrucciones proporcionadas. También puede solicitar un cambio de categoría en el sitio
web Test A Site (en inglés) de Palo Alto Networks buscando la URL y, a continuación, haciendo clic en el icono
Solicitar cambio.
354 Filtrado de URL

Filtrado de URL Solución de problemas del filtrado de URL
Base de datos de URL vencida
Si ha observado a través de Syslog o la CLI que su base de datos está desactualizada, esto significa que la
conexión del cortafuegos a la nube de URL está bloqueada. Esto suele suceder cuando la base de datos de URL
del cortafuegos es demasiado antigua (la diferencia de la versión es de más de tres meses) y la nube no puede
actualizar el cortafuegos automáticamente. Para solucionar este problema, deberá volver a descargar una base
de datos de envíos iniciales desde la nube (esta operación no está bloqueada). El resultado será una reactivación
automática de PAN-DB.
Para actualizar la base de datos manualmente, realice uno de los pasos siguientes:
CLI: request url-filtering download paloaltonetworks region
<region_name> Interfaz web: Seleccione Dispositivo > Licencias y, en la sección PAN-DB URL Filtering, haga
clic en el enlace Volver a descargar.
Cuando se realice una nueva descarga de la base de datos de envíos, el contenido de las cachés
del plano de gestión y del plano de datos se purgarán. A continuación, la caché del plano de
gestión volverá a cumplimentarse con la base de datos de envíos recién descargada.
Filtrado de URL 355

356 Filtrado de URL

Calidad de servicio
La calidad de servicio (QoS) es un conjunto de tecnologías que funciona en una red para garantizar su capacidad
de ejecutar de manera fiable aplicaciones de alta prioridad y tráfico bajo una capacidad de red limitada. Las
tecnologías de QoS lo consiguen ofreciendo una gestión diferenciada y una asignación de capacidad a flujos
específicos del tráfico de red. Esto permite que el administrador de red asigne el orden el en que se gestiona el
tráfico y la cantidad de ancho de banda permitida para el tráfico.
La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece una QoS básica aplicada a redes y la
amplía para proporcionar QoS a aplicaciones y usuarios.
Utilice los siguientes temas para obtener información sobre la QoS de aplicaciones de Palo Alto Networks y
configurarla:
 Descripción general de QoS
 Configuración de QoS
 Configuración de QoS para un sistema virtual
 Ejemplos de casos de uso de QoS
Calidad de servicio 357

Descripción general de QoS Calidad de servicio
Descripción general de QoS

Utilice la QoS para establecer la prioridad y ajustar los aspectos de calidad del tráfico de red. Puede asignar el
orden en el que se gestionan los paquetes y adjudicar el ancho de banda, garantizando que el tratamiento
preferido y los niveles óptimos de rendimiento se permiten para el tráfico, las aplicaciones y los usuarios
seleccionados.
Las medidas de calidad de servicio sujetas a una implementación de QoS son el ancho de banda (tasa de
transferencia máxima), el rendimiento (tasa de transferencia real), la latencia (retraso) y la vibración (varianza en
latencia). La capacidad de moldear o controlar estas medidas de calidad de servicio hace que QoS sea de especial
importancia para el ancho de banda alto, el tráfico en tiempo real como la voz sobre IP (VoIP), las
videoconferencias y el vídeo a petición con una alta sensibilidad a la latencia y la vibración. Asimismo, utilice
QoS para lograr resultados como los siguientes:
 Establezca la prioridad del tráfico de red y aplicaciones, garantizando una alta prioridad para el tráfico
importante o limitando el tráfico no esencial.
 Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
 Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al tráfico de carga
como al de descarga o solamente al tráfico de carga o al de descarga.
 Garantice una baja latencia para el tráfico generador de ingresos y de clientes en un entorno empresarial.
 Realice la generación de perfiles de tráfico de aplicaciones para garantizar el uso del ancho de banda.
Cada modelo de cortafuegos admite un número máximo de puertos que se puede configurar con QoS. Consulte
la hoja de especificaciones de su modelo de cortafuegos.
Para obtener más información sobre la QoS en un cortafuegos de Palo Alto Networks, consulte los siguientes
temas:
 Implementación de QoS
 Conceptos de QoS
Implementación de QoS
La implementación de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuración principales que admiten una solución completa de QoS:
 Perfil de QoS
 Política de QoS
 QoS en la interfaz física

Cada una de estas opciones de la tarea de configuración de QoS facilita un proceso más amplio que optimiza y
establece la prioridad del flujo de tráfico y asigna y garantiza el ancho de banda de acuerdo con los parámetros
configurables.
La Ilustración: flujo de tráfico de QoS muestra el tráfico a medida que se desplaza desde el origen, es moldeado
por el cortafuegos con la QoS habilitada y, por último, recibe su prioridad y se entrega en su destino.
358 Calidad de servicio

Calidad de servicio Descripción general de QoS
Ilustración: flujo de tráfico de QoS
Las opciones de configuración de QoS le permiten controlar el flujo de tráfico y definirlo en puntos diferentes
del flujo. La Ilustración: flujo de tráfico de QoS indica en qué lugar las opciones configurables definen el flujo
de tráfico. Utilice el perfil de QoS para definir clases de QoS y utilice la política de QoS para asociar clases de
QoS al tráfico seleccionado. Habilite el perfil de QoS en una interfaz física para moldear el tráfico de acuerdo
con la configuración de QoS a medida que se desplaza por la red.
Puede configurar un perfil de QoS y una política de QoS individualmente o en cualquier orden, de acuerdo con
sus preferencias. Cada una de las opciones de configuración de QoS tiene componentes que influyen en la
definición de las otras opciones. Además, las opciones de configuración de QoS se pueden utilizar para crear
una política de QoS completa y detallada o se pueden utilizar con moderación con un mínimo de acciones del
administrador.
Conceptos de QoS
Utilice los siguientes temas para obtener información sobre los diferentes componentes y mecanismos de una
configuración de QoS en un cortafuegos de Palo Alto Networks:
 QoS para aplicaciones y usuarios
 Perfil de QoS
 Clases de QoS
 Política de QoS
 Interfaz de salida de QoS
 Tráfico de texto claro y de túnel de QoS
QoS para aplicaciones y usuarios
Un cortafuegos de Palo Alto Networks proporciona una QoS básica, que controla el tráfico que sale del
cortafuegos de acuerdo con la red o la subred y amplía la capacidad de la QoS para también clasificar y moldear
el tráfico de acuerdo con la aplicación y el usuario. El cortafuegos de Palo Alto Networks ofrece esta capacidad

integrando las funciones App-ID y User-ID con la configuración de QoS. Las entradas de App-ID y User-ID
que existen para identificar aplicaciones y usuarios específicos de su red están disponibles en la configuración
de QoS para que pueda especificar fácilmente aplicaciones y usuarios a los que aplicar la QoS.
Puede utilizar una política de QoS en la interfaz web (Políticas > QoS) para aplicar la QoS específicamente al
tráfico de una aplicación:
O al tráfico de un usuario:
Consulte App-ID y User-ID para obtener más información sobre estas funciones.

Perfil de QoS
Utilice un perfil de QoS para definir los valores de hasta ocho clases de QoS incluidas en ese perfil individual
(Red > Perfiles de red > Perfil de QoS):
QoS se habilita aplicando un perfil de QoS a la interfaz de salida para el tráfico de red, aplicación o usuario
(o, específicamente, para el tráfico de texto claro o de túnel). Una interfaz configurada con QoS moldea el tráfico
de acuerdo con las definiciones de clases del perfil de QoS y el tráfico asociado a dichas clases en la política de
QoS.
Hay un perfil de QoS predeterminado disponible en el cortafuegos. El perfil predeterminado y las clases
definidas en el perfil no tienen límites de ancho de banda garantizado o máximo predefinidos.
Puede establecer límites de ancho de banda para un perfil de QoS y/o establecer límites para clases de QoS
individuales dentro del perfil de QoS. Los límites de ancho de banda garantizados totales de las ocho clases de
QoS de un perfil de QoS no pueden superar el ancho de banda total asignado a dicho perfil de QoS. La
habilitación de QoS en una interfaz física incluye el establecimiento del ancho de banda máximo para el tráfico
que sale del cortafuegos a través de esta interfaz. El ancho de banda garantizado de un perfil de QoS (el campo
Salida garantizada) no debería superar el ancho de banda asignado a la interfaz física en el que está habilitada la
QoS.
Si desea información detallada, consulte Cree un perfil de QoS.

Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del tráfico al que está asignada. En la interfaz web,
utilice el perfil de QoS para definir clases de QoS (Red > Perfiles de red > Perfil de QoS):
La definición de una clase de QoS incluye el establecimiento de la prioridad de la clase, el ancho de banda
máximo (Máximo de salida) y el ancho de banda garantizado (Salida garantizada).
La prioridad en tiempo real suele utilizarse para aplicaciones que son especialmente sensibles a
la latencia, como las aplicaciones de voz y vídeo.
Utilice la política de QoS para asignar una clase de QoS al tráfico especificado (Políticas > QoS):
Hay hasta ocho clases de QoS definibles en un único perfil de QoS. A menos que esté configurado de otra
forma, al tráfico que no coincida con una clase de QoS se le asignará la clase 4.

El establecimiento de colas de prioridad y la gestión del ancho de banda de QoS, los mecanismos fundamentales
de una configuración de QoS, se configuran dentro de la definición de la clase de QoS (consulte el Paso 3). El
establecimiento de colas de prioridad se determina por la prioridad establecida para una clase de QoS. La gestión
del ancho de banda se determina según los anchos de banda máximo y garantizado establecidos para una clase
de QoS.
Los mecanismos de establecimiento de colas y gestión del ancho de banda determinan el orden del tráfico y el
modo en que se gestiona el tráfico al entrar o salir de una red:
 Prioridad de QoS: Se puede definir una de las cuatro prioridades de QoS siguientes en una clase de QoS:
en tiempo real, alta, media y baja. Cuando una clase de QoS se asocia a un tráfico específico, la prioridad
definida en esa clase de QoS se asigna al tráfico. A continuación, los paquetes del flujo de tráfico se ponen
en cola según su prioridad hasta que la red esté lista para procesarlos. Este método de establecimiento de
colas de prioridad proporciona la capacidad de garantizar que el tráfico, las aplicaciones o los usuarios
importantes tengan prioridad.
 Gestión del ancho de banda de clase de QoS: La gestión del ancho de banda de clase de QoS proporciona
la capacidad de controlar los flujos de tráfico de una red para que el tráfico no supere la capacidad de la red,
lo que provocaría la congestión de la red, o asignar límites de ancho de banda específicos para el tráfico,
aplicaciones o usuarios. Puede establecer límites generales en el ancho de banda utilizando el perfil de QoS
o establecer límites para clases de QoS individuales. Un perfil de QoS y las clases de QoS del perfil tienen
límites de ancho de banda garantizado y máximo. El límite de ancho de banda garantizado (Salida
garantizada) asegura que se procesará cualquier cantidad de tráfico hasta ese límite de ancho de banda
establecido. El límite de ancho de banda máximo (Máximo de salida) establece el límite total del ancho de
banda asignado al perfil de QoS o a la clase de QoS. El tráfico que supere el límite de ancho de banda máximo
se descartará. Los límites de ancho de banda total y límites de ancho de banda garantizado de las clases de
QoS de un perfil de QoS no pueden superar el límite de ancho de banda del perfil de QoS.

Política de QoS
En una configuración de QoS, la política de QoS identifica el tráfico que requiere un tratamiento de QoS (ya sea
un tratamiento preferente o una limitación del ancho de banda) mediante un parámetro definido o varios
parámetros y le asigna una clase.
Utilice la política de QoS, parecida a una política de seguridad, para establecer los criterios que identifican el
tráfico:
 Aplicaciones y grupos de aplicaciones.
 Zonas de origen, direcciones de origen y usuarios de origen.

 Zonas de destino y direcciones de destino.
 Servicios y grupos de servicios limitados a números de puertos TCP y/o UDP concretos.
 Categorías de URL, incluidas categorías de URL personalizadas.

La política de QoS de la interfaz web (Políticas > QoS) le permite asociar los criterios utilizados para especificar
el tráfico con una clase de QoS.
Interfaz de salida de QoS
La habilitación de un perfil de QoS en la interfaz de salida del tráfico identificado para el tratamiento de QoS
finaliza una configuración de QoS. La interfaz de entrada del tráfico de QoS es la interfaz por la que el tráfico
entra en el cortafuegos. La interfaz de salida del tráfico de QoS es la interfaz por la que el tráfico sale del
cortafuegos. La QoS siempre está habilitada e implementada en la interfaz de salida de un flujo de tráfico. La
interfaz de salida de una configuración de QoS puede ser la interfaz de orientación externa o de orientación
interna del cortafuegos, dependiendo del flujo de tráfico que reciba el tratamiento de QoS.
Por ejemplo, en una red empresarial, si está limitando el tráfico de descarga de los empleados en un sitio web
específico, la interfaz de salida de la configuración de QoS es la interfaz interna del cortafuegos, dado que el
flujo de tráfico proviene de Internet, pasa por el cortafuegos y se dirige a su red empresarial. De manera
alternativa, al limitar el tráfico de carga de los empleados en el mismo sitio web, la interfaz de salida de la
configuración de QoS es la interfaz externa del cortafuegos, dado que el tráfico que está limitando se desplaza
desde su red empresarial, pasando por el cortafuegos, hasta Internet.

Consulte el Paso 3 para saber cómo Identifique la interfaz de salida para las aplicaciones que identifique que
necesitan un tratamiento de QoS.
Tráfico de texto claro y de túnel de QoS
Dentro de la configuración de la interfaz física de QoS, puede proporcionar ajustes de QoS más detallados para
el tráfico de texto claro y el tráfico de túnel que sale a través de la interfaz. A las interfaces de túnel individuales
se les puede asignar diferentes perfiles de QoS. Al tráfico de texto claro se les pueden asignar diferentes perfiles
de QoS según la interfaz de origen y la subred de origen del tráfico. En este caso, se pueden asociar una interfaz
de origen y una subred de origen a un perfil de QoS. Si decide no seleccionar tráfico de texto claro o de túnel
para el tratamiento de QoS exclusivo, la habilitación de QoS en una interfaz requiere la selección de un perfil de
QoS predeterminado para determinar cómo moldear el tráfico para interfaces de túnel específicas o, en el caso
de tráfico de texto claro, interfaces de origen y subredes de origen.
En los cortafuegos de Palo Alto Networks, el término “tráfico de túnel” hace referencia al tráfico
de interfaz de túnel, específicamente el tráfico de IPSec en el modo de túnel.

Configuración de QoS Calidad de servicio
Configuración de QoS
Utilice la siguiente tarea para configurar la calidad de servicio (QoS), incluido cómo crear un perfil de QoS, crear
una política de QoS y habilitar QoS en una interfaz.
Configuración de QoS
Paso 1 Seleccione ACC para ver la página Centro de control de aplicaciones.
Identifique el tráfico al que aplicar la QoS.
Utilice los ajustes y los gráficos de la página ACC para ver tendencias y el
Este ejemplo muestra cómo utilizar la QoS
tráfico relacionado con aplicaciones, filtrado de URL, prevención de
para limitar la exploración web.
amenazas, filtrado de datos y coincidencias HIP.
Haga clic en cualquier nombre de aplicación para mostrar información
de aplicación detallada.
Paso 2 Identifique la interfaz de salida para las Seleccione Supervisar > Logs > Tráfico para ver los logs de tráfico del
aplicaciones que identifique que necesitan dispositivo.
un tratamiento de QoS. Para filtrar y mostrar únicamente los logs de una aplicación específica:
Consejo: La interfaz de salida del tráfico • Si se muestra una entrada para la aplicación, haga clic en el enlace
depende del flujo de tráfico. Si está subrayado de la columna Aplicación y, a continuación, haga clic en el
moldeando el tráfico entrante, la interfaz de icono de envío .
salida es la interfaz de orientación interna. Si
• Si una entrada no se muestra para la aplicación, haga clic en el icono
está moldeando el tráfico saliente, la interfaz
Añadir log y busque la aplicación .
de salida es la interfaz de orientación
externa. La Interfaz de salida de los logs de tráfico muestra la interfaz de salida
de cada aplicación. Para mostrar la columna Interfaz de salida si no
aparece de manera predeterminada:
• Haga clic en cualquier encabezado de columna para añadir una
columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada

para mostrar un log detallado que incluye la interfaz de salida de la
aplicación indicada en la sección Destino:
En este ejemplo, la interfaz de salida para el tráfico de exploración web

es Ethernet 1/1.

Calidad de servicio Configuración de QoS
Configuración de QoS (Continuación)

Paso 3 Cree un perfil de QoS. 1. Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Añadir para abrir el cuadro de diálogo Perfil de QoS.
Puede editar cualquier perfil de QoS
existente, incluido el valor predeterminado, 2. Introduzca un Nombre de perfil descriptivo.
haciendo clic en el nombre del perfil 3. Introduzca un Máximo de salida para establecer la asignación del
de QoS. ancho de banda total para el perfil de QoS.
4. Introduzca una Salida garantizada para establecer el ancho de
banda garantizado para el perfil de QoS.
Nota Todo el tráfico que supere el límite garantizado de salida
del perfil de QoS será la mejor opción pero no estará
garantizado.
5. En la sección Clases, especifique cómo tratar hasta ocho clases de
QoS individuales:
a. Haga clic en Añadir para añadir una clase al perfil de QoS.
b. Seleccione la Prioridad de la clase.
c. Introduzca un Máximo de salida para la clase para establecer el
límite de ancho de banda total para esa clase individual.
d. Introduzca una Salida garantizada para la clase para establecer
el ancho de banda garantizado para esa clase individual.
6. Haga clic en ACEPTAR para guardar el perfil de QoS.
En el siguiente ejemplo, el perfil de QoS denominado Limit Web
Browsing limita el tráfico identificado como tráfico de clase 2 a un ancho
de banda máximo de 50 Mbps y un ancho de banda garantizado de
2 Mbps. Cualquier tráfico asociado a la clase 2 en la política de QoS
(Paso 4) estará sujeto a estos límites.


Paso 4 Cree una política de QoS. 1. Seleccione Políticas > QoS y haga clic en Añadir para abrir el
cuadro de diálogo Regla de política de QoS.
2. En la pestaña General, otorgue a la regla de política de QoS un
Nombre descriptivo.
3. Especifique el tráfico al que se aplicará la regla de política de QoS.
Utilice las pestañas Origen, Destino, Aplicación y Categoría de
URL/servicio para definir los parámetros de coincidencia para
identificar el tráfico.
Por ejemplo, seleccione la pestaña Aplicación, haga clic en Añadir
y seleccione la exploración web para aplicar la regla de política de
QoS a esa aplicación:
(Opcional) Defina parámetros adicionales. Por ejemplo, en la

pestaña Origen, haga clic en Añadir para limitar la exploración web
de un usuario específico, en este caso, user1:
4. En la pestaña Otros ajustes, seleccione una clase de QoS que

asignar a la regla de política de QoS. Por ejemplo, asigne la clase 2 al
tráfico de exploración web de user1:
5. Haga clic en ACEPTAR para guardar la regla de política de QoS.

Calidad de servicio Configuración de QoS

Paso 5 Habilite el perfil de QoS en una interfaz 1. Seleccione Red > QoS y haga clic en Añadir para abrir el cuadro de
física. diálogo Interfaz de QoS.
Puede configurar los ajustes para 2. Habilite QoS en la interfaz física:
seleccionar tráfico de texto claro y de túnel a. En la pestaña Interfaz física, seleccione el Nombre de interfaz
para el tratamiento de QoS exclusivo, de la interfaz a la que se aplicará el perfil de QoS.
además de la configuración de QoS en la
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico
interfaz física:
de exploración web (consulte el Paso 2).
• Para configurar ajustes específicos para el
tráfico de texto claro mediante la interfaz b. Seleccione Activar la función QoS en esta interfaz.
de origen y la subred de origen del tráfico 3. En la pestaña Interfaz física, seleccione un perfil de QoS que debe
como criterios para la identificación y el aplicarse de manera predeterminada a todo el tráfico de tipo Tráfico
tratamiento de QoS, realice el paso 5 - 4. en claro.
• Para aplicar un perfil de QoS a una (Opcional) Utilice el campo Interfaz de túnel para aplicar un perfil
interfaz de túnel específica, realice el de QoS de manera predeterminada a todo el tráfico de túnel.
paso 5 - 5
Por ejemplo, habilite QoS en Ethernet 1/1 y aplique el perfil de QoS
Para obtener más información, consulte denominado Limit Web Browsing como el perfil de QoS
Tráfico de texto claro y de túnel de QoS. predeterminado para el tráfico de texto claro.
Nota La práctica recomendada es definir
siempre el valor de Máximo de
salida para una interfaz de QoS.
4. (Opcional) En la pestaña Tráfico en claro, configure ajustes de QoS

más detallados para el tráfico de texto claro:
• Establezca los anchos de banda de Salida garantizada y
Máximo de salida para el tráfico de texto claro.
• Haga clic en Añadir para aplicar un perfil de QoS al tráfico de texto
claro seleccionado, seleccionando el tráfico para el tratamiento
de QoS de acuerdo con la interfaz de origen y la subred de origen
(creando un nodo de QoS).
5. (Opcional) En la pestaña Tráfico de túnel, configure ajustes de
QoS más detallados para interfaces de túnel:
Máximo de salida para el tráfico de túnel.
• Haga clic en Añadir para asociar una interfaz de túnel seleccionada a
un perfil de QoS.
7. Confirme los cambios para habilitar el perfil de QoS en la interfaz.


Paso 6 Verifique la configuración de QoS. Seleccione Red > QoS para ver la página Políticas de QoS y haga clic en
el enlace Estadísticas para ver el ancho de banda de QoS, las sesiones
activas de un nodo o una clase de QoS que haya seleccionado y las
aplicaciones activas del nodo o la clase de QoS que haya seleccionado.
Por ejemplo, vea las estadísticas de Ethernet 1/1 con la QoS habilitada:
Tráfico de clase 2 limitado a 2 Mbps de ancho de banda garantizado y un

ancho de banda máximo de 50 Mbps.
Siga haciendo clic en las pestañas para mostrar más información relativa
a las aplicaciones, los usuarios de origen, los usuarios de destino, las
reglas de seguridad y las reglas de QoS.
Nota Los límites de ancho de banda que se muestran en la ventana
Estadísticas de QoS incluyen un factor de ajuste de hardware.

Calidad de servicio Configuración de QoS para un sistema virtual
Configuración de QoS para un sistema virtual

La QoS se puede configurar para uno o varios sistemas virtuales en un cortafuegos de Palo Alto Networks.
Como un sistema virtual es un cortafuegos independiente, la QoS debe configurarse independientemente para
que un único sistema virtual aplique una configuración de QoS solamente a ese sistema virtual.
La configuración de QoS para un sistema virtual es similar a configurar QoS en un cortafuegos físico, a
excepción de que configurar QoS para un sistema virtual requiere la especificación de las zonas de origen y
destino y las interfaces de origen y destino del flujo de tráfico. Dado que un sistema virtual existe sin límites
físicos establecidos (como una interfaz física) a través de los cuales pase el tráfico, la especificación de zonas e
interfaces de origen y destino de un flujo de tráfico le permite controlar y moldear el tráfico de ese sistema virtual
específicamente, dado que un flujo de tráfico abarca más de un sistema virtual en un entorno virtual.
El ejemplo siguiente muestra dos sistemas virtuales configurados en un cortafuegos. VSYS 1 (púrpura) y
VSYS 2 (rojo) han configurado QoS para establecer la prioridad o limitar dos flujos de tráfico distintos,
indicados por sus correspondientes líneas púrpura (VSYS 1) y roja (VSYS 2). Los nodos de QoS indican los
puntos en los que el tráfico de QoS se identifica y, a continuación, se moldea en cada sistema virtual.
Consulte Virtual Systems (VSYS) tech note (en inglés) para obtener información sobre los sistemas virtuales y
sobre cómo configurarlos.

Configuración de QoS para un sistema virtual Calidad de servicio
Configuración de QoS en un entorno de sistema virtual
Paso 1 Confirme que las interfaces, los • Para ver interfaces configuradas, seleccione Red > Interfaz.
enrutadores virtuales y las zonas de
• Para ver zonas configuradas, seleccione Red > Zonas.
seguridad adecuados están asociados a
cada sistema virtual. • Para ver información sobre enrutadores virtuales definidos,
seleccione Red > Enrutadores virtuales.
Paso 2 Identifique el tráfico al que aplicar la QoS. Seleccione ACC para ver la página Centro de control de
aplicaciones. Utilice los ajustes y los gráficos de la página ACC para
ver tendencias y el tráfico relacionado con aplicaciones, filtrado de
URL, prevención de amenazas, filtrado de datos y coincidencias HIP.
Para ver información de un sistema virtual específico, seleccione el
sistema virtual en el menú desplegable Sistema virtual:
Haga clic en cualquier nombre de aplicación para mostrar

información de aplicación detallada.

Configuración de QoS en un entorno de sistema virtual (Continuación)
Paso 3 Identifique la interfaz de salida para las Seleccione Supervisar > Logs > Tráfico para ver los logs de tráfico
aplicaciones que identifique que necesitan del dispositivo. Cada entrada tiene la opción de mostrar columnas
un tratamiento de QoS. con información necesaria para configurar QoS en un entorno de
sistema virtual:
En un entorno de sistema virtual, la QoS
se aplica al tráfico del punto de salida del • sistema virtual
tráfico en el sistema virtual. Dependiendo • interfaz de salida
de la configuración del sistema virtual y la
• interfaz de entrada
política de QoS, el punto de salida del
tráfico de QoS podría asociarse a una • zona de origen
interfaz física o podría ser una zona
• zona de destino
configurada.
Para mostrar una columna si no aparece de manera predeterminada:
Este ejemplo muestra cómo limitar el
• Haga clic en cualquier encabezado de columna para añadir una
tráfico de exploración web en VSYS 1.
columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada

para mostrar un log detallado que incluye la interfaz de salida de
la aplicación, así como zonas de origen y destino, en las secciones
Origen y Destino:
Por ejemplo, para el tráfico de exploración web desde VSYS 1, la interfaz

de entrada es Ethernet 1/2, la interfaz de salida es Ethernet1/1, la zona
de origen es fiable y la zona de destino es no fiable.

Paso 4 Cree un perfil de QoS. 1. Seleccione Red > Perfiles de red > Perfil de QoS y haga clic en
Añadir para abrir el cuadro de diálogo Perfil de QoS.
Puede editar cualquier perfil de QoS
existente, incluido el valor 2. Introduzca un Nombre de perfil descriptivo.
predeterminado, haciendo clic en el 3. Introduzca un Máximo de salida para establecer la asignación
nombre del perfil. del ancho de banda total para el perfil de QoS.
4. Introduzca una Salida garantizada para establecer el ancho de
banda garantizado para el perfil de QoS.
Nota Todo el tráfico que supere el límite garantizado de
salida del perfil de QoS será la mejor opción pero no
estará garantizado.
5. En la sección Clases del Perfil de QoS, especifique cómo tratar
hasta ocho clases de QoS individuales:
a. Haga clic en Añadir para añadir una clase al perfil de QoS.
b. Seleccione la Prioridad de la clase.
c. Introduzca un Máximo de salida para la clase para establecer
el límite de ancho de banda total para esa clase individual.
d. Introduzca una Salida garantizada para la clase para
establecer el ancho de banda garantizado para esa clase
individual.

Paso 5 Cree una política de QoS. 1. Seleccione Políticas > QoS y haga clic en Añadir para abrir el
cuadro de diálogo Regla de política de QoS.
En un entorno de VSYS múltiple, el
tráfico puede abarcar más de un sistema 2. En la pestaña General, otorgue a la regla de política de QoS un
virtual antes del punto de entrada del Nombre descriptivo.
sistema virtual para el que está 3. Especifique el tráfico al que se aplicará la regla de política de
configurando QoS. La especificación de QoS. Utilice las pestañas Origen, Destino, Aplicación y
zonas de origen y destino para el tráfico Categoría de URL/servicio para definir los parámetros de
de QoS garantiza que el tráfico se coincidencia para identificar el tráfico.
identifique correctamente a medida que Por ejemplo, seleccione la pestaña Aplicación, haga clic en
pase por el sistema virtual específico (en Añadir y seleccione la exploración web para aplicar la regla de
este ejemplo, VSYS 1) y que la QoS se política de QoS a esa aplicación:
aplique solamente al tráfico de ese sistema
virtual designado (y no se aplique al
tráfico de otros sistemas virtuales
configurados).
4. En la pestaña Origen, haga clic en Añadir para seleccionar la

zona de origen del tráfico de exploración web de VSYS 1.
5. En la pestaña Destino, haga clic en Añadir para seleccionar la

zona de destino del tráfico de exploración web de VSYS 1.
6. En la pestaña Otros ajustes, seleccione una Clase de QoS que

asignar a la regla de política de QoS. Por ejemplo, asigne la clase
2 al tráfico de exploración web de VSYS 1:
7. Haga clic en ACEPTAR para guardar la regla de política de QoS.

Paso 6 Habilite el perfil de QoS en una interfaz 1. Seleccione Red > QoS y haga clic en Añadir para abrir el cuadro
física. de diálogo Interfaz de QoS.
Nota La práctica recomendada es definir 2. Habilite QoS en la interfaz física:
siempre el valor de Máximo de a. En la pestaña Interfaz física, seleccione el Nombre de
salida para una interfaz de QoS. interfaz de la interfaz a la que se aplicará el perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el
tráfico de exploración web de VSYS 1 (consulte el Paso 2).
b. Seleccione Activar la función QoS en esta interfaz.

3. En la pestaña Interfaz física, seleccione el perfil de QoS
predeterminado que debe aplicarse a todo el tráfico de tipo
Tráfico en claro.
(Opcional) Utilice el campo Interfaz de túnel para aplicar un
perfil de QoS predeterminado a todo el tráfico de túnel.
4. (Opcional) En la pestaña Tráfico en claro, configure ajustes de
QoS adicionales para el tráfico de texto claro:
Máximo de salida para el tráfico de texto claro.
• Haga clic en Añadir para aplicar un perfil de QoS al tráfico de
texto claro seleccionado, seleccionando el tráfico para el
tratamiento de QoS de acuerdo con la interfaz de origen y la
subred de origen (creando un nodo de QoS).
5. (Opcional) En la pestaña Tráfico de túnel, configure ajustes de
QoS adicionales para interfaces de túnel:
Máximo de salida para el tráfico de túnel.
• Haga clic en Añadir para asociar una interfaz de túnel
seleccionada a un perfil de QoS.
6. Haga clic en ACEPTAR para guardar los cambios.

Paso 7 Verifique la configuración de QoS. • Seleccione Red > QoS para ver la página Políticas de QoS. La página
Políticas de QoS verifica que QoS está habilitada e incluye el enlace
Estadísticas. Haga clic en el enlace Estadísticas para ver el ancho
de banda de QoS, las sesiones activas de un nodo o una clase de
QoS que haya seleccionado y las aplicaciones activas del nodo o la
clase de QoS que haya seleccionado.
• En un entorno de VSYS múltiple, las sesiones no pueden abarcar
varios sistemas. Se crean varias sesiones para un flujo de tráfico si
el tráfico pasa por más de un sistema virtual. Para examinar las
sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS
y las clases de QoS aplicadas, seleccione Supervisar > Explorador
de sesión.

Ejemplos de casos de uso de QoS Calidad de servicio
Ejemplos de casos de uso de QoS

Los siguientes casos de uso demuestran cómo utilizar QoS en situaciones frecuentes:
 QoS para un único usuario
 QoS para aplicaciones de voz y vídeo
QoS para un único usuario
Una directora ejecutiva observa que durante los períodos en los que la red se utiliza mucho, no puede acceder a
aplicaciones empresariales ni responder de manera eficaz a comunicaciones empresariales clave. El
administrador de TI quiere asegurarse de que todo el tráfico hacia y desde la directora ejecutiva recibe un
tratamiento preferente frente al tráfico de otros empleados, de manera que tenga garantizado, no solamente el
acceso, sino un alto rendimiento de los recursos de red clave.
Aplicación de QoS para un único usuario
Paso 1 El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el tráfico originado en la
directora ejecutiva se tratará y moldeará a medida que salga de la red empresarial:
El administrador asigna un ancho de banda garantizado (Salida garantizada) de 50 Mbps para garantizar que la
directora ejecutiva disponga de esa cantidad de ancho de banda garantizado en todo momento (más de lo que
necesitaría utilizar), independientemente de la congestión de la red.
El administrador sigue designando el tráfico de clase 1 como alta prioridad y establece el uso del ancho de banda
máximo del perfil (Máximo de salida) como 1000 Mbps, el mismo ancho de banda máximo para la interfaz en
el que el administrador habilitará QoS. El administrador ha decidido no restringir el uso del ancho de banda de
la directora ejecutiva de ningún modo.
Nota La práctica recomendada es cumplimentar el campo Máximo de salida para un perfil de QoS, aunque el
ancho de banda máximo del perfil coincida con el ancho de banda máximo de la interfaz. El ancho de
banda máximo del perfil de QoS nunca debería superar el ancho de banda máximo de la interfaz en la que
tenga la intención de habilitar QoS.

Calidad de servicio Ejemplos de casos de uso de QoS
Aplicación de QoS para un único usuario (Continuación)
Paso 2 El administrador crea una política de QoS para identificar el tráfico de la directora ejecutiva (Políticas > QoS) y
asignarle la clase que definió en el perfil de QoS (consulte el Paso 1). Como se ha configurado User-ID, el
administrador utiliza la pestaña Origen de la política de QoS para identificar de manera exclusiva el tráfico de la
directora ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podría Añadirla dirección IP de la directora ejecutiva bajo Dirección de origen. Consulte
User-ID.):
El administrador asocia el tráfico de la directora ejecutiva a la clase 1 (pestaña Otros ajustes) y, a continuación,
sigue cumplimentando los campos obligatorios restantes de la política; el administrador otorga a la política un
Nombre descriptivo (pestaña General) y selecciona Cualquiera para la Zona de origen (pestaña Origen) y Zona
de destino (pestaña Destino):
Paso 3 Ahora que la clase 1 está asociada al tráfico de la directora ejecutiva, el administrador habilita QoS seleccionando
Activar la función QoS en esta interfaz y seleccionando la interfaz de salida del flujo de tráfico. La interfaz de
salida del flujo de tráfico de la directora ejecutiva es la interfaz de orientación externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el tráfico originado en la directora ejecutiva está
garantizado por el perfil de QoS y la política de QoS asociada que creó, selecciona CEO_traffic para aplicarlo al
tráfico de tipo Tráfico en claro que se desplaza desde Ethernet 1/2.

Aplicación de QoS para un único usuario (Continuación)
Paso 4 Después de confirmar la configuración de QoS, el administrador se desplaza a la página Red > QoS para
confirmar que CEO_traffic del perfil de QoS está habilitado en la interfaz de orientación externa, Ethernet 1/2:
Hace clic en Estadísticas para ver cómo se está moldeando el tráfico originado en la directora ejecutiva (clase 1)
a medida que se desplaza desde Ethernet 1/2:
Nota Este caso demuestra cómo aplicar QoS a tráfico originado en un único usuario de origen. Sin embargo, si
también quisiera garantizar o moldear el tráfico para un usuario de destino, podría realizar una configuración de
QoS similar. En lugar o además de este flujo de trabajo, cree una política de QoS que especifique la dirección IP
del usuario como la Dirección de destino en la página Políticas > QoS (en lugar de especificar la información de
origen del usuario, como se muestra en el Paso 2) y, a continuación, habilite QoS en la interfaz de orientación
interna de la red en la página Red > QoS (en lugar de la interfaz de orientación externa, como se muestra en el
Paso 3).

QoS para aplicaciones de voz y vídeo
El tráfico de voz y vídeo es especialmente sensible a las mediciones que la función QoS moldea y controla,
especialmente la latencia y la vibración. Para que las transmisiones de voz y vídeo sean audibles y claras, los
paquetes de voz y vídeo no se pueden descartar, retrasar ni entregar de manera incoherente. La práctica
recomendada para aplicaciones de voz y vídeo, además de garantizar el ancho de banda, es garantizar la prioridad
del tráfico de voz y vídeo. En este ejemplo, los empleados de una sucursal de la empresa están teniendo
dificultades y experimentan una falta de fiabilidad al utilizar tecnologías de videoconferencia y voz sobre IP
(VoIP) para realizar comunicaciones empresariales con otras sucursales, socios y clientes. Un administrador de
TI tiene la intención de implementar QoS para solucionar estos problemas y garantizar una comunicación
empresarial eficaz y fiable para los empleados de la sucursal. Como el administrador quiere garantizar QoS tanto
para el tráfico de red entrante como saliente, habilitará QoS tanto en la interfaz de orientación interna como en
el de orientación externa del cortafuegos.
Garantía de calidad para aplicaciones de voz y vídeo
Paso 1 El administrador crea un perfil de QoS, definiendo la clase 2 para que todo el tráfico asociado a la clase 2 reciba
una prioridad en tiempo real y, en una interfaz con un ancho de banda máximo de 1000 Mbps, se garantice un
ancho de banda de 250 Mbps en todo momento, incluidos los períodos en los que más se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de especial
utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vídeo.
En la página Red > Perfiles de red > Perfil de QoS, el administrador hace clic en Añadir, introduce el Nombre
de perfil ensure voip-video traffic y define el tráfico de clase 2.

Garantía de calidad para aplicaciones de voz y vídeo (Continuación)
Paso 2 El administrador crea una política de QoS para identificar el tráfico de voz y vídeo. Como la empresa no tiene
una aplicación de voz y vídeo estándar, el administrador quiere asegurarse de que la QoS se aplica en un par de
aplicaciones utilizadas ampliamente y con frecuencia por los empleados para comunicarse con otras oficinas,
socios y clientes. En la pestaña Políticas > QoS > Regla de política de QoS > Aplicaciones, el administrador hace
clic en Añadir y abre la ventana Filtro de aplicación. El administrador sigue seleccionando criterios para filtrar
las aplicaciones en las que quiere aplicar la QoS, seleccionando la Subcategoría voip-video y restringiéndola al
especificar únicamente aplicaciones de VoIP y vídeo que tengan un riesgo bajo y que se utilicen ampliamente.
El filtro de aplicación es una herramienta dinámica que, cuando se utiliza para filtrar aplicaciones en la política
de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vídeo, riesgo bajo y
ampliamente utilizado en cualquier momento.
El administrador asigna al Filtro de aplicación el nombre voip-video-low-risk y lo incluye en la política de QoS:
El administrador asigna a la política de QoS el nombre Voice-Video y asocia el filtro de aplicación voip-video-low-risk
al tráfico de clase 2 (como lo definió en el Paso 1). Va a utilizar la política de QoS Voice-Video tanto para el tráfico
de QoS entrante como el saliente, así que establece la información de Origen y Destino como Cualquiera:

Garantía de calidad para aplicaciones de voz y vídeo (Continuación)
Paso 3 Como el administrador quiere garantizar la QoS tanto para comunicaciones de voz y vídeo entrantes como
salientes, habilita QoS en la interfaz de orientación externa de la red (para aplicar QoS a comunicaciones
salientes) y en la interfaz de orientación interna (para aplicar QoS a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que creó en el Paso 1, ensure voice-video traffic (la clase 1 de
este perfil está asociada a la política creada en el Paso 2, Voice-Video) en la interfaz de orientación externa, en este
caso, Ethernet 1/2.
A continuación, habilita el mismo perfil de QoS, ensure voip-video traffic, en la interfaz de orientación interna, en
este caso,
Ethernet 1/1.
Paso 4 El administrador confirma que la QoS se ha habilitado tanto para el tráfico de voz y vídeo entrante como para
el saliente:
El administrador ha habilitado la QoS correctamente tanto en la interfaz de orientación interna de la red como en la
externa. Ahora se garantiza la prioridad en tiempo real para el tráfico de aplicaciones de voz y vídeo a medida que se
desplaza hacia adentro y hacia afuera de la red, garantizando que estas comunicaciones, que son especialmente sensibles
a la latencia y la vibración, puedan utilizarse de manera fiable y eficaz para realizar comunicaciones empresariales tanto
internas como externas.


VPN
Las redes privadas virtuales (VPN) crean túneles que permiten que los usuarios o sistemas se conecten de
manera segura a través de una red pública como si se estuvieran conectando a través de una red de área local
(LAN). Para configurar un túnel VPN, hacen falta dos dispositivos que puedan autenticarse mutuamente y cifrar
el flujo de información entre ellos. Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto
Networks, o bien un cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad
para VPN.
 Implementaciones de VPN
 VPN de sitio a sitio
 Configuración de VPN de sitio a sitio
 Configuraciones rápidas de VPN de sitio a sitio
Redes privadas virtuales 385

Implementaciones de VPN VPN
Implementaciones de VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
 VPN de sitio a sitio: Una sencilla VPN que se conecta a un sitio central y a un sitio remoto, o bien una VPN
de concentrador y radio que se conecta a un sitio central con múltiples sitios remotos. El cortafuegos usa
conjunto de protocolos de Seguridad IP (IPSec) para configurar un túnel seguro entre los dos sitios. Consulte
VPN de sitio a sitio.
 VPN de usuario remoto a sitio: Una solución que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexión segura a través del cortafuegos. Esta solución usa SSL e IPSec para
establecer una conexión segura entre el usuario y el sitio. Consulte la Guía del administrador de
GlobalProtect.
 VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN de concentrador y radio con un máximo de 1024 oficinas
satélite. Esta solución requiere que haya cortafuegos de Palo Alto Networks implementados en el concentrador
y en todos los radios. Usa certificados para la autenticación de dispositivos, SSL para la protección entre todos
los componentes e IPSec para proteger los datos. Consulte VPN a gran escala (LSVPN).
La siguiente ilustración muestra cómo se usan conjuntamente las diferentes implementaciones de VPN para
proteger una empresa:
386 Redes privadas virtuales

VPN VPN de sitio a sitio
VPN de sitio a sitio

Una conexión VPN que permita conectar dos redes de área local (LAN) se llama VPN de sitio a sitio. Puede
configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en dos ubicaciones, o bien
conectar cortafuegos de Palo Alto Networks a dispositivos de seguridad de terceros en otras ubicaciones.
El cortafuegos también puede interoperar con dispositivos VPN basados en políticas de terceros; el cortafuegos
de Palo Alto Networks es compatible con VPN basado en rutas.
 Descripción general
 Conceptos de VPN de sitio a sitio
Descripción general
El cortafuegos de Palo Alto Networks configura una VPN basada en rutas, donde el cortafuegos toma una
decisión de enrutamiento basada en la dirección IP de destino. Si el tráfico se enruta a un destino específico a
través de un túnel de VPN, se cifrará como tráfico VPN.
El conjunto de protocolos de seguridad IP (IPSec) se utiliza para configurar un túnel seguro para el tráfico VPN.
Asimismo, la información de los paquetes de TCP/IP está protegida (y cifrada si el tipo de túnel es ESP).
El paquete IP (encabezado y carga) está incrustado en otra carga de IP, se aplica un nuevo encabezado y se envía
a través del túnel IPSec. La dirección IP de origen en el nuevo encabezado es la del peer VPN local y la dirección
IP de destino es la del peer VPN del otro extremo del túnel. Cuando el paquete llega al peer VPN remoto (el
cortafuegos en el otro extremo del túnel), el encabezado exterior se elimina y se envía el paquete original a su
destino.
Para configurar el túnel VPN, primero deben autenticarse los peers. Tras autenticarse correctamente, los peers
negocian los algoritmos y el mecanismo de cifrado para proteger la comunicación. El proceso de Intercambio
de claves por red (IKE) se usa para autenticar a los peers VPN, y las asociaciones de seguridad (SA) IPSec se
definen en cada extremo del túnel para proteger la comunicación VPN. IKE usa certificados digitales o claves
previamente compartidas, así como las claves Diffie Hellman, para configurar las SA para el túnel IPSec. Las SA
especifican todos los parámetros necesarios para un cifrado de transmisión seguro (incluyendo el índice de
parámetros de seguridad [SPI], el protocolo de seguridad, claves criptográficas y la dirección IP de destino IP),
autenticación de datos, integridad de datos y autenticación de extremo.
La siguiente ilustración muestra un túnel de VPN entre dos sitios. Cuando un cliente que está protegido por el
peer A de la VPN necesita contenido de un servidor ubicado en el otro sitio, el peer A de la VPN inicia una
solicitud de conexión al peer B de la VPN. Si la política de seguridad permite la conexión, el peer A de la VPN
usa los parámetros del perfil criptográfico de IKE (IKE de fase 1) para establecer una conexión segura y
autenticar al peer B de la VPN. A continuación, el peer A de la VPN establece el túnel VPN usando el perfil
criptográfico IPSec, que define los parámetros del IKE de fase 2 para permitir la transferencia segura de datos
entre los dos sitios.

VPN de sitio a sitio VPN
VPN de sitio a sitio
Conceptos de VPN de sitio a sitio
Una conexión VPN ofrece acceso seguro a la información entre dos o más sitios. Para proporcionar acceso
seguro a los recursos y una conectividad fiable, una conexión VPN necesita los siguientes componentes:
 Puertas de enlace de IKE
 Interfaces de túnel
 Supervisión de túnel
 Intercambio de claves por red (IKE) para VPN
Puertas de enlace de IKE
Los cortafuegos Palo Alto Networks o un cortafuegos y otro dispositivo de seguridad que inicien y terminen
conexiones VPN entre dos redes se llaman puertas de enlace de IKE. Para configurar el túnel VPN y enviar
tráfico entre las puertas de enlace de IKE, cada peer debe tener una dirección IP (estática o dinámica) o FQDN.
Los peers VPN usan claves previamente compartidas o certificados para autenticarse mutuamente.
Los peers también deben negociar el modo (principal o agresivo) para configurar la duración del túnel VPN y
la SA en IKE de fase 1. El modo principal protege la identidad de los peers y es más seguro porque se
intercambian más paquetes al configurar el túnel. Si ambos peers lo admiten, el modo principal es el
recomendado para la negociación IKE. El modo agresivo usa menos paquetes para configurar el túnel VPN,
por lo que es una opción más rápida, aunque menos segura, de configurar el túnel VPN.
Interfaces de túnel
Para configurar un túnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de túnel lógica para
que el cortafuegos se conecte y establezca un túnel VPN. Una interfaz de túnel es una interfaz (virtual) lógica
que se usa para enviar tráfico entre dos extremos. Cada interfaz de túnel puede tener un máximo de 10 túneles
IPSec; lo que significa que se pueden asociar hasta 10 redes con la misma interfaz de túnel en el cortafuegos.
La interfaz de túnel debe pertenecer a una zona de seguridad para aplicar una política; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de túnel y la interfaz física estén asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una búsqueda de rutas y determinar el mejor túnel que puede usar.

Normalmente, la interfaz de capa 3 a la que está vinculada la interfaz de túnel pertenece a una zona externa, por
ejemplo, la zona no fiable. Aunque la interfaz de túnel también puede estar en la misma zona de seguridad que
la interfaz física, puede crear una zona separada la para la interfaz de túnel con el fin de lograr una mayor
seguridad y mejor visibilidad. Si crea una zona separada para la interfaz de túnel (p. ej., una zona VPN),
necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable.
Para enrutar tráfico entre los sitios, una interfaz de túnel no necesita una dirección IP. Solo es necesaria una
dirección IP si quiere habilitar la supervisión de túneles o si está usando un protocolo de enrutamiento dinámico
para enrutar tráfico a través del túnel. Con enrutamiento dinámico, la dirección IP del túnel funciona como
dirección IP de próximo salto para el enrutamiento de tráfico al túnel VPN.
Si está configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada en
políticas, debe configurar un ID de proxy local y remoto cuando configure el túnel IPSec. Cada peer compara
los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir una
negociación IKE de fase 2 correcta. Si se requieren varios túneles, configure ID de proxy exclusivos para cada
interfaz de túnel; una interfaz de túnel puede tener un máximo de 250 ID de proxy. Cada ID de proxy se tendrá
en cuenta a la hora de calcular la capacidad del túnel VPN de IPSec del cortafuegos, y la capacidad del túnel
varía en función del modelo de cortafuegos.
Supervisión de túnel
Para un túnel VPN, puede comprobar la conectividad con una dirección IP de destino a través del túnel. El perfil
de supervisión de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una dirección
IP de destino o un próximo salto en el intervalo de sondeo especificado, así como especificar una acción o fallo
para acceder a la dirección IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere el
túnel o configurar una conmutación por error a otro túnel. En cada caso, el cortafuegos genera un log de sistema
que le alerta de un fallo del túnel y renegocia las claves de IPSec para acelerar la recuperación.
El perfil de supervisión predeterminado está configurado para esperar a que el túnel se recupere; el intervalo de
sondeo es de 3 segundos y el umbral de fallo es 5.
Intercambio de claves por red (IKE) para VPN
El proceso IKE permite a los peers VPN en ambos extremos del túnel cifrar y descifrar paquetes usando claves
o certificados acordados mutuamente y un método de cifrado. El proceso IKE se realiza en dos fases: IKE de
fase 1 e IKE de fase 2. Cada una de estas fases usa claves y algoritmos de cifrado que se definen usando perfiles
criptográficos (perfil criptográfico IKE y perfil criptográfico IPSec), y el resultado de la negociación IKE es una
asociación de seguridad (SA). Una SA es un conjunto de claves y algoritmos acordados mutuamente que serán
usados por ambos peers VPN para permitir el flujo de datos a través del túnel VPN. La siguiente ilustración
muestra el proceso de intercambio de claves para configurar un túnel VPN:

IKE de fase 1
En esta fase, los cortafuegos usan los parámetros definidos en la configuración de la puerta de enlace de IKE y
el perfil criptográfico de IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es
compatible con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de
clave públicas, PKI) para la autenticación mutua de los peers VPN. Las claves previamente compartidas son una
solución sencilla para proteger redes pequeñas, ya que no necesitan ser compatibles con una infraestructura PKI.
Los certificados digitales pueden ser más adecuados para redes o implementaciones de mayor tamaño que
requieren de mayor seguridad para la autenticación.
Al usar certificados, asegúrese de que la CA que emite el certificado es de confianza para ambos peers de la
puerta de enlace y que la longitud máxima de la cadena de certificados es 5 o menos. Con la fragmentación IKE
habilitada, el cortafuegos puede volver a juntar mensajes de IKE con hasta 5 certificados en la cadena de
certificados y establecer correctamente el túnel VPN.
El perfil criptográfico de IKE define las siguientes opciones que se usan en la negociación de SA de IKE:
 Grupo Diffie-Hellman (DH) para la generación de claves simétricas para IKE. El algoritmo Diffie Hellman
usa la clave privada de una parte y la clave pública de la otra para crear un secreto compartido, que es una
clave cifrada compartida por ambos peers del túnel VPN. Los grupos DH compatibles con el cortafuegos
son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5: 1536 bits; grupo 14: 2048 bits.
 Opciones de autenticación: sha1; sha 256; sha 384; sha 512; md5
 Algoritmos de cifrado: 3des; aes128; aes192; aes256
IKE de fase 2
Una vez protegido y autenticado el túnel, en la fase 2 se aumenta la protección del canal para la transferencia de
datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del proceso y el perfil
criptográfico de IPSec, que define los protocolos y las claves IPSec usadas para la SA en el IKE de fase 2.
IPSEC usa los siguientes protocolos para habilitar una comunicación segura:

 Carga de seguridad encapsulada (ESP): Le permite cifrar el paquete de IP completo, así como autenticar la
fuente y verificar la integridad de los datos. Aunque que ESP necesita que cifre y autentique el paquete, puede
elegir solo cifrar o solo autenticar definiendo la opción de cifrado como Null; no se recomienda usar cifrado
sin autenticación.
 Encabezado de autenticación (AH): Autentica el origen del paquete y verifica la integridad de datos. AH no
cifra la carga de datos y se desaconseja su uso en implementaciones en las que es importante la privacidad
de los datos. AH se suele usar cuando el principal objetivo es verificar la legitimidad del peer y no se requiere
privacidad de datos.
Algoritmos compatibles con cifrado y autenticación IPSEC
ESP AH
Opciones de Diffie Hellman Exchange compatibles
• Grupo 1: 768 bits

• Grupo 2: 1024 bits (predeterminado)
• Grupo 5: 1536 bits
• Grupo 14: 2048 bits.
• no-pfs: Predeterminado, secreto perfecto hacia adelante (pfs) está habilitado. Si PFS está habilitado, se
genera una nueva clave DH en IKE de fase 2 usando uno de los grupos enumerados anteriormente; esta
clave es independiente de las claves intercambiadas en el IKE de fase 1 y, por lo tanto, permite una
transferencia de datos más segura.
No-pfs implica que la clave DH creada en la fase 1 no se renueva y que se usa una única clave para las
negociaciones con la SA de IPSEC. Ambos peers VPN deben estar habilitados o deshabilitados para el
secreto perfecto hacia adelante.
Algoritmos de cifrado compatibles
• 3des
• aes128
• aes192
• aes256
• aes128ccm16
• null
Algoritmos de autenticación compatibles
• md5 • md5
• sha 1 • sha 1
• sha 256 • sha 256
• sha 384 • sha 384
• sha512 • sha 512
• ninguno

Métodos de protección de túneles VPN de IPSec (IKE de fase 2)
Los túneles VPN de IPSec se pueden proteger usando claves manuales o automáticas. Asimismo, las opciones
de configuración de IPSec incluyen un grupo Diffie-Hellman para acordar claves o un algoritmo de cifrado y
un hash para la autenticación de mensajes.
 Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks está estableciendo un
túnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generación de claves de sesión. Si
usa claves manuales, debe configurarse la misma en ambos peers.
Las claves manuales no son recomendables para establecer un túnel VPN porque las claves de sesión pueden
verse comprometidas cuando transmitan la información de claves entre peers; si las claves ven
comprometida su seguridad, la transferencia de datos deja de ser segura.
 Clave automática: La clave automática le permite generar claves automáticamente para configurar y
mantener el túnel IPSec basado en algoritmos definidos en el perfil criptográfico de IPSec.

VPN Configuración de VPN de sitio a sitio
Configuración de VPN de sitio a sitio

Para configurar VPN de sitio a sitio:
1. Asegúrese de que sus interfaces Ethernet, enrutadores virtuales y zonas están configurados correctamente. Para
obtener más información, consulte Configuración de interfaces y zonas.
2. Cree sus interfaces de túnel. Lo ideal sería colocar las interfaces de túnel en una zona separada para que el tráfico de
túnel pueda utilizar políticas diferentes.
3. Configure rutas estáticas o asigne protocolos de enrutamiento para redirigir el tráfico a los túneles VPN. Para admitir
el enrutamiento dinámico (son compatibles OSPF, BGP, RIP), debe asignar una dirección IP a la interfaz del túnel.
4. Defina puertas de enlace de IKE para establecer comunicación entre peers a cada lado del túnel VPN; defina también
el perfil criptográfico que especifica los protocolos y algoritmos para identificación, autenticación y cifrado que se
usarán para configurar túneles VPN en IKEv1 de fase 1. Consulte Configuración de una puerta de enlace de IKE y
Definición de perfiles criptográficos de IKE.
5. Configure los parámetros necesarios para establecer la conexión IPSec para transferencia de datos a través del túnel
VPN; consulte Configuración de un túnel de IPSec. Para IKEv1 de fase 2, consulte Definición de perfiles
criptográficos de IPSec.
6. (Opcional) Especifique el modo en que el cortafuegos supervisará los túneles de IPSec. Consulte Configuración de la
supervisión de túnel.
7. Defina políticas de seguridad para filtrar e inspeccionar el tráfico.
Si hay una regla de denegación en el extremo de la base de reglas de seguridad, el tráfico
intrazona se bloquea a menos que se permita de otro modo. Las reglas para permitir aplicaciones
de IKE e IPSec deben incluirse de manera explícita por encima de la regla de denegación.
Cuando haya terminado estas tareas, el túnel estará listo para su uso. El tráfico destinado a zonas/direcciones
definidas en la política se enruta automáticamente correctamente basándose en la ruta de destino de la tabla de
enrutamiento y se gestiona como tráfico VPN. Para ver algunos ejemplos de VPN de sitio a sitio, consulte
Configuraciones rápidas de VPN de sitio a sitio.
Configuración de una puerta de enlace de IKE
Para configurar un túnel VPN, los peers o puertas de enlace VPN debe autenticarse mutuamente usando claves
previamente compartidas o certificados digitales y establecer un canal seguro en el que negociar la asociación de
seguridad (SA) de IPSec que se usará para proteger el tráfico entre los hosts en ambos lados.
Configuración de una puerta de enlace de IKE
Paso 1 Defina la nueva puerta de enlace 1. Seleccione Red > Perfiles de red > Puerta de enlace de IKE e
introduzca un Nombre para la nueva configuración de la puerta
de enlace.
2. Seleccione la Interfaz saliente en el cortafuegos.
3. Desde la lista desplegable Dirección IP local, seleccione la
dirección IP que se usará como extremo para la conexión VPN.
Esta es la interfaz externa con una dirección IP enrutable
públicamente en el cortafuegos.

Configuración de VPN de sitio a sitio VPN
Configuración de una puerta de enlace de IKE (Continuación)
Paso 2 Defina la configuración del peer en el 1. Seleccione si el peer usa una IP estática o dinámica en Tipo de
extremo del túnel. IP de peer.
2. Si la Dirección IP del peer es estática, introduzca la dirección IP
del peer.
Paso 3 Seleccione el método de autenticación del • Para configurar una clave previamente compartida, consulte el
peer. Paso 4.
Esto es necesario tanto para peers • Para configurar certificados digitales, consulte el Paso 5.
estáticos como dinámicos.
Paso 4 Configure una clave previamente 1. Introduzca una clave de seguridad que se utilizará para la
compartida autenticación a través del túnel. Esta clave debe ser idéntica para
ambos peers.
Genere una clave que sea difícil de averiguar con ataques por
diccionario; use un generador de claves previamente
compartidas en caso necesario.
2. Continúe con el Paso 6.
Paso 5 Configure la autenticación basada en 1. Seleccione Certificado para el método de Autenticación y el

certificados. certificado firmado en el menú desplegable Certificado local.
Nota Los requisitos previos para la En el caso de que su dispositivo esté habilitado para sistemas
autenticación basada en certificados son: virtuales múltiples, si el certificado pertenece a un sistema
– Obtener un certificado de firmado: virtual, debe estar en el mismo sistema virtual que la interfaz
Consulte Generación de un certificado en usada para la puerta de enlace de IKE.
el cortafuegos u Obtención de un 2. Desde la lista desplegable Identificación local, seleccione uno
certificado de una CA externa. de los siguientes tipos e introduzca el valor: dirección IP, FQDN
(nombre de host), FQDN de usuario (dirección de correo
– Configurar el perfil del certificado: El
electrónico), nombre distintivo (asunto).
perfil del certificado proporciona la
configuración que usa la puerta de enlace 3. Desde la lista desplegable Identificación del peer, seleccione
de IKE para negociar y validar la uno de los siguientes tipos e introduzca el valor: dirección IP,
autenticación del certificado con su peer. FQDN (nombre de host), FQDN de usuario (dirección de
Consulte Configuración de un perfil de correo electrónico), nombre distintivo (asunto).
certificado. 4. Seleccione el Perfil del certificado que va a usar.
5. Continúe con el Paso 6.

Configuración de una puerta de enlace de IKE (Continuación)
Paso 6 Configure los parámetros adicionales para 1. Seleccione Red > Perfiles de red> Puertas de enlace de IKE y
las negociaciones del IKE de fase 1: seleccione la pestaña Opciones de fase 1 avanzadas.
modo de intercambio, perfil criptográfico, 2. Seleccione automático, agresivo o principal para Modo de
fragmentación IKE, detección de fallo intercambio.
del peer.
Cuando se establece que un dispositivo utilice el modo de
intercambio Automático, puede aceptar solicitudes de
negociación tanto del modo principal como del modo agresivo;
sin embargo, siempre que sea posible, inicia la negociación y
permite intercambios en el modo principal.
Nota Si no se ha definido en automático el modo de intercambio,
debe configurar ambos peers de la VPN con el mismo
modo de intercambio para permitir que acepten las
solicitudes de negociación.
3. Seleccione un perfil existente o mantenga el perfil
predeterminado del menú desplegable Perfil criptográfico de
IKE. Para obtener detalles sobre cómo definir un perfil
criptográfico de IKE, consulte Definición de perfiles
criptográficos de IKE.
4. Seleccione Modo pasivo si quiere que el cortafuegos solamente
responda a las conexiones de IKE y que nunca las inicie.
5. Seleccione NAT transversal para utilizar la encapsulación UDP
en los protocolos IKE y UDP, permitiéndoles pasar a través de
dispositivos de NAT intermedios.
6. (Solo si utiliza autenticación basada en certificados y el modo de
intercambio no está definido en agresivo) Seleccione Habilitar
fragmentación para habilitar que el cortafuegos opere con
fragmentación IKE.
7. Marque la casilla de verificación Detección de fallo del peer e
introduzca un intervalo (2 - 100 segundos); en Reintentar,
defina el tiempo de espera (2 - 100 segundos) antes de volver a
comprobar la disponibilidad.
La detección de fallo del peer identifica peers de IKE inactivos
o no disponibles enviando una carga de notificación de IKE de
fase 1 al peer y esperando a que la reconozca.
Paso 7 Guarde los cambios. Haga clic en ACEPTAR y Confirmar.
Definición de perfiles criptográficos
Un perfil criptográfico especifica las cifras usadas para autenticación o cifrado entre dos peers IKE y la duración
de esta clave. El período entre cada negociación se conoce como duración; cuando el tiempo especificado vence,
el cortafuegos vuelve a negociar un nuevo conjunto de claves.

Para proteger las comunicaciones a través del túnel VPN, el cortafuegos requiere perfiles criptográficos de IKE
e IPSec para completar las negociaciones del IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye
un perfil criptográfico predeterminado de IKE y un perfil criptográfico predeterminado de IPSec que está listo para
usarse.
 Definición de perfiles criptográficos de IKE
 Definición de perfiles criptográficos de IPSec
Definición de perfiles criptográficos de IKE
El perfil criptográfico de IKE se usa para configurar algoritmos de cifrado y autenticación que sirven para el
proceso de intercambio de claves en IKE de fase 1, y una duración de las claves que especifica el tiempo que
serán validas. Para invocar un perfil, debe vincularlo a la configuración de puerta de enlace de IKE.
Todas las puertas de enlace de IKE configuradas en la misma interfaz o dirección IP local deben
usar el mismo perfil criptográfico.
Definición de un perfil criptográfico de IKE
Paso 1 Creación de un nuevo perfil de IKE. 1. Seleccione Red > Perfiles de red > Criptográfico de IKE y
seleccione Añadir.
2. Introduzca un Nombre para el nuevo perfil.
Paso 2 Seleccione el grupo DH que usará para Haga clic en Añadir y seleccione el nivel de la clave que quiere usar
configurar el intercambio de claves. para el grupo DH.
Seleccione más de un grupo DH si no sabe con seguridad cuál es
compatible con el peer VPN. Priorice la lista de cifras por nivel para
que se use la cifra de mayor nivel al configurar el túnel.
Paso 3 Seleccione el algoritmo de cifrado y la Haga clic en Añadir y seleccione los algoritmos de cifrado y la
autenticación. autenticación que quiere usar para la comunicación entre peers del
IKE.
Si selecciona varios algoritmos, los peers pueden usar la
cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 4 Especifique la duración de la validez de la Seleccione la duración de la clave. El período entre cada negociación
clave. se conoce como duración; cuando el tiempo especificado vence, el
cortafuegos vuelve a negociar un nuevo conjunto de claves.
Paso 5 Guarde su perfil criptográfico de IKE. Haga clic en ACEPTAR y en Confirmar.
Paso 6 Adjunte el perfil criptográfico de IKE y la Consulte el Paso 6 en Configuración de una puerta de enlace de IKE.
configuración de la puerta de enlace de
IKE.

Definición de perfiles criptográficos de IPSec
El perfil criptográfico de IPSec se invoca en el IKE de fase 2. Especifica el modo en que se protegen los datos
dentro del túnel cuando se usa IKE de clave automática para generar claves automáticamente para las SA del
IKE.
Definición del perfil criptográfico de IPSec
Paso 1 Cree un nuevo perfil de IPSec. 1. Seleccione Red > Perfiles de red > Criptográfico de IPSec y
seleccione Añadir.
2. Introduzca un Nombre para el nuevo perfil.
3. Seleccione el protocolo de IPSec (ESP o AH) que quiere aplicar
para proteger los datos cuando atraviesan el túnel.
4. Haga clic en Añadir y seleccione la autenticación y los
algoritmos de cifrado para ESP, así como los algoritmos de
autenticación para AH, de modo que los peers de IKE puedan
negociar las claves para proteger la transferencia de datos a
través del túnel.
Si selecciona varios algoritmos, los peers pueden usar la
cifra/algoritmo de mayor nivel compatible con ambos peers.
Paso 2 Seleccione el grupo DH para usar las 1. Seleccione el nivel de la clave que quiere usar para el grupo DH
negociaciones de SA de IPSec en el IKE en el menú desplegable.
de fase 2. Seleccione más de un grupo DH si no sabe con seguridad qué
nivel de clave admite el peer en el otro extremo. Se usará la cifra
de mayor nivel para la configuración del túnel.
2. Seleccione no-pfs, si no quiere renovar la clave que se creó en la
fase 1, la clave actual se vuelve a utilizar para las negociaciones
de SA de IPSEC.
Paso 3 Especifique la duración de la clave Usar una combinación de tiempo y volumen del tráfico le permite
(tiempo y volumen del tráfico). garantizar la seguridad de los datos.
Seleccione la duración o el período de tiempo de validez de la clave.
Cuando vence el tiempo especificado, el cortafuegos vuelve a
negociar un nuevo conjunto de claves.
Seleccione la duración o el volumen de datos que establecerán
cuándo han de volver a negociarse las claves.
Paso 4 Guarde su perfil de IPSec. Haga clic en ACEPTAR y en Confirmar.
Paso 5 Adjunte el perfil de IPSec a una Consulte el Paso 4 en

configuración de túnel de IPSec.

Configuración de un túnel de IPSec
La configuración del túnel de IPSec le permite autenticar o cifrar los datos (paquete de IP) cuando cruzan el
túnel.
Si está configurando un cortafuegos de Palo Alto Networks para trabajar con un peer compatible con VPN
basada en políticas, debe definir ID de proxy. Los dispositivos compatibles con VPN basadas en políticas usan
reglas/políticas o listas de acceso de seguridad específicas (direcciones de origen, direcciones de destino y
puertos) para permitir el tráfico interesante a través de un túnel IPSec. Se hace referencia a estas reglas durante
la negociación de IKE de fase 2/modo rápido y se intercambian como ID de proxy en el primer o segundo
mensaje del proceso. Por lo tanto, si está configurando el cortafuegos Palo Alto Networks para trabajar con un
peer de VPN basada en políticas, para una negociación de fase 2 correcta debe definir el ID de proxy, de modo
ambos peers tenga en el mismo ajuste. Si el ID de proxy no está configurado, porque el cortafuegos de Palo Alto
Networks es compatible con VPN basadas en rutas, los valores predeterminados usados por el ID de proxy son
ip de origen: 0.0.0.0/0, ip de destino: 0.0.0.0/0 y aplicación: cualquiera; y cuando estos valores se intercambian
con el peer, se produce un fallo al configurar la conexión VPN.
Configuración de un túnel de IPSec
Paso 1 Seleccione Red > Túneles de IPSec > General e introduzca un Nombre para el nuevo túnel.
Paso 2 Seleccione la interfaz de túnel que se usará para configurar el túnel de IPSec.
– Para crear una nueva interfaz de túnel:
1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir.
2. En el campo Nombre de interfaz, especifique un sufijo numérico, como .2.
3. En la pestaña Configurar, amplíe el menú desplegable Zona de seguridad para definir la zona del siguiente
modo:
• Para usar una zona fiable como punto de finalización del túnel, seleccione la zona del menú desplegable.
Asociar la interfaz del túnel con la misma zona (y enrutador virtual) que la interfaz externa por la que entran
los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas.
• (Recomendado) Para crear una zona separada para terminación del túnel de VPN, haga clic en Nueva zona.
En el cuadro de diálogo Zona, defina un Nombre para una nueva zona, por ejemplo vn-corp, y haga clic en
Aceptar.
4. En el menú desplegable Enrutador virtual, seleccione predeterminado.
5. (Opcional) Si quiere asignar una dirección IPv4 a la interfaz de túnel, seleccione la pestaña IPv4, haga clic en
Añadir en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo: 10.31.32.1/32.
6. Si quiere asignar una dirección IPv6 a la interfaz de túnel, consulte el Paso 3.

Configuración de un túnel de IPSec (Continuación)
Paso 3 (Opcional) Habilite IPv6 en la interfaz de 1. Seleccione la pestaña IPv6 en Red > Interfaces > Túnel > IPv6.
túnel. 2. Seleccione la casilla de verificación para habilitar las
direcciones IPv6 en la interfaz.
Esta opción permite enrutar el tráfico IPv6 en un túnel IPv4
IPSec y ofrece confidencialidad entre redes IPv6. El tráfico IPv6
se encapsula mediante IPv4 y, a continuación, mediante ESP.
Para enrutar tráfico IPv6 al túnel, puede usar una ruta estática al
túnel, OSPFv3 o una regla de reenvío basado en políticas (PBF)
para dirigir tráfico al túnel.
3. Introduzca el ID de interfaz exclusivo ampliado de 64 bits en
formato hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29.
De manera predeterminada, el cortafuegos utilizará el EUI-64
generado desde la dirección MAC de la interfaz física.
4. Para introducir una dirección IPv6, haga clic en Añadir e
introduzca una dirección IPv6 y la longitud del prefijo, por
ejemplo 2001:400:f00::1/64. Si no se selecciona Prefijo, la
dirección IPv6 asignada a la interfaz será la que especifique
completamente en el cuadro de texto de la dirección.
a. Seleccione Usar ID de interfaz como parte de host para
asignar una dirección IPv6 a la interfaz que utilizará el ID de
interfaz como la parte de host de la dirección.
b. Seleccione Difusión por proximidad para incluir el enrutado
mediante el nodo más cercano.
Paso 4 Seleccione el tipo de clave que se usará para proteger el túnel IPSec: Para clave automática o clave manual, siga
las instrucciones que correspondan en el siguiente paso.
a. Configure el intercambio de clave 1. Seleccione la puerta de enlace de IKE. Para configurar una
automática. puerta de enlace de IKE, consulte Configuración de una puerta
de enlace de IKE.
2. (Opcional) Seleccione el perfil criptográfico de IPSec
predeterminado. Para crear un nuevo perfil de IPSec, consulte
Definición de perfiles criptográficos de IPSec.

b. Configure el intercambio de clave manual. 1. Configure los parámetros para el cortafuegos local:
a. Especifique el SPI para el cortafuegos local: SPI es un índice
hexadecimal de 32 bits que se añade al encabezado de
tunelización de IPSec para ayudar a diferenciar los distintos
flujos de tráfico de IPSec; se usa para crear la SA requerida a
fin de establecer un túnel de VPN.
b. Seleccione la interfaz que constituirá el extremo del túnel y,
de manera opcional, seleccione la dirección IP para la interfaz
local que es el extremo del túnel.
c. Seleccione el protocolo que se usará: AH o ESP.
d. Para AH, seleccione el método de autenticación del menú
desplegable, introduzca una clave y, a continuación,
confirme la clave.
e. Para ESP, seleccione el método de autenticación del menú
desplegable, introduzca una clave y, a continuación,
confirme la clave. A continuación, seleccione el método de
cifrado, introduzca una clave y, a continuación, confirme la
clave, en caso necesario.
2. Configure los parámetros relativos al peer VPN remoto.
a. Especifique el SPI para el peer remoto.
b. Introduzca la dirección remota, la dirección IP y el peer
remoto.
Paso 5 Protección contra un ataque de Marque la casilla de verificación Mostrar opciones avanzadas,
reproducción. seleccione Habilitar protección de reproducción para detectar y
neutralizar ataques de reproducción.
Un ataque de reproducción consiste en
interceptar un paquete de forma
malintencionada y retransmitirlo.
Paso 6 Conserve el encabezado Tipo de servicio En la sección Mostrar opciones avanzadas, seleccione Copiar
para la prioridad o el tratamiento de encabezado de TOS. De este modo se copia el encabezado de TOS
paquetes de IP. (Tipo de servicio) desde el encabezado IP interno en el encabezado
IP externo de los paquetes resumidos con el fin de preservar la
información original de TOS.
Paso 7 Habilite la supervisión de túnel. Para alertar al administrador de dispositivo de los fallos del túnel y
Nota Deberá asignar una dirección IP a la proporcionar una conmutación por error automática a otra interfaz:
interfaz de túnel para su supervisión. 1. Especifique una IP de destino en el otro lado del túnel que el
supervisor de túnel utilizará para determinar si el túnel funciona
correctamente.
2. Seleccione un perfil para determinar la acción cuando falla un
túnel. Para crear un nuevo perfil, consulte Definición de un
perfil de supervisión de túnel.

Paso 8 (Requerido solo si el peer VPN usa una 1. Seleccione Red > Túneles de IPSec > ID de proxy.
VPN basada en políticas). Cree un ID de 2. Haga clic en Añadir e introduzca una dirección IP para los peers
proxy para identificar a los peers de VPN.
de la puerta de enlace de VPN.
Paso 9 Guarde los cambios. Haga clic en ACEPTAR y Confirmar.
Configuración de la supervisión de túnel
Para ofrecer un servicio VPN ininterrumpido, puede usar la capacidad Detección de fallo del peer junto con la
capacidad de supervisión del túnel en el cortafuegos. También puede supervisar el estado del túnel. Para obtener
más información, consulte:
 Definición de un perfil de supervisión de túnel
 Visualización del estado de los túneles
Definición de un perfil de supervisión de túnel
Un perfil de supervisión de túnel le permite verificar la conectividad entre los peers VPN; puede configurar la
interfaz de túnel para hacer ping a una dirección IP de destino con un intervalo determinado y especificar la
acción si la comunicación a través del túnel está cortada.
Definición de un perfil de supervisión de túnel
Paso 1 Seleccione Red > Perfiles de red > Supervisar. Hay un perfil de supervisión de túnel disponible para su uso.
Paso 2 Haga clic en Añadir e introduzca un Nombre para el perfil.
Paso 3 Seleccione la acción si no es posible alcanzar la dirección IP de destino.

• Esperar recuperación: El cortafuegos espera a que el túnel se recupere. Continúa usando la interfaz del túnel
para las decisiones de enrutamiento como si el túnel siguiera activo.
• Conmutación por error: Desvía el tráfico a una ruta alternativa si hay alguna disponible. El cortafuegos
deshabilita la interfaz del túnel y, por lo tanto, deshabilita cualquier ruta en la tabla de rutas que use la interfaz.
En ambos casos, el cortafuegos intenta acelerar la recuperación negociando nuevas claves IPSec.
Paso 4 Especifique el intervalo y el umbral para iniciar la acción especificada.

El umbral especifica el número de latidos de espera antes de iniciar la acción especificada. Puede tomar valores
de 2 a 100 y es de 5 latidos de forma predeterminada.
El intervalo mide el tiempo entre latidos. Puede tomar valores de 2 a 10 y es de 3 segundos de forma
predeterminada.

Definición de un perfil de supervisión de túnel (Continuación)
Paso 5 Adjunte el perfil de supervisión a una configuración de túnel de IPSec. Consulte Habilite la supervisión de túnel.
Visualización del estado de los túneles
El estado del túnel informa de si se han establecido SA de IKE de fase 1 y de fase 2 válidas, y de si está operativa
la interfaz del túnel para el paso de tráfico.
Dado que la interfaz del túnel es una interfaz lógica, no puede indicar el estado del enlace físico. Por lo tanto,
debe habilitar la supervisión de túnel para que la interfaz del túnel pueda verificar la conectividad a una dirección
IP y determinar si la ruta sigue siendo utilizable. Si no se puede alcanzar la dirección IP, el cortafuegos esperará
a la recuperación del túnel o una conmutación por error. Cuando se produce una conmutación por error, se
anula el túnel existente y se inician cambios de enrutamiento para establecer un nuevo túnel y redirigir el tráfico.
Visualización del estado de túnel
1. Seleccione Red > Túneles de IPSec.

2. Visualización del estado de túnel
• El color verde indica que el túnel de SA de IPSec es válido.
• El color rojo indica que las SA de IPSec no están disponibles o han vencido.
3. Vea el estado de la puerta de enlace de IKE.
• El color verde indica que la SA del IKE de fase 1 es válida.
• El color rojo indica que la SA de IKE de fase 1 no está disponibles o ha vencido.
4. Vea el estado de la interfaz del túnel
• El color verde indica que la interfaz del túnel está activa.
• El color rojo indica que la interfaz de túnel no está activa porque la supervisión del túnel está habilitada y el estado
es desactivado.
Para solucionar problemas de un túnel VPN que aún no esté activo, consulte Interpretación de mensajes de error
de VPN.

Prueba de conectividad VPN
Prueba de conectividad
• Inicie el IKE de fase 1 haciendo un ping a un host a través del túnel o usando el siguiente comando de la CLI:
test vpn ike-sa gateway gateway_name
• A continuación, introduzca el siguiente comando para probar si el IKE de fase 1 está configurado:
show vpn ike-sa gateway gateway_name
En el resultado, compruebe si se muestra la asociación de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
• Inicie el IKE de fase 2 haciendo un ping a un host desde el túnel o usando el siguiente comando de la CLI:
test vpn ipsec-sa tunnel tunnel_name
• A continuación, introduzca el siguiente comando para probar si el IKE de fase 1 está configurado:
show vpn ipsec-sa tunnel tunnel_name
En el resultado, compruebe si se muestra la asociación de seguridad. De lo contrario, revise los mensajes del log del
sistema para interpretar el motivo del fallo.
• Para ver la información del flujo de tráfico VPN, use el siguiente comando:
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured: 1
filter - type IPSec, state any
total IPSec tunnel configured: 1

total IPSec tunnel shown: 1
name id state local-ip peer-ip tunnel-i/f

-----------------------------------------------------------------------------
vpn-to-siteB 5 active 100.1.1.1 200.1.1.1 tunnel.41
Interpretación de mensajes de error de VPN
La siguiente tabla enumera algunos de los mensajes de error de VPN más comunes que se registran en el log del
sistema.
Mensajes de error de Syslog para problemas de VPN
Si el error es: Pruebe a:

Mensajes de error de Syslog para problemas de VPN
IKE phase-1 negotiation • Verificar si la dirección IP pública de cada peer VPN es precisa en la configuración
is failed as initiator, de la puerta de enlace de IKE.
main mode. Failed SA:
x.x.x.x[500]-y.y.y.y[50 • Verificar si se puede hacer ping a las direcciones IP y que los problemas de
0] enrutamiento no están provocando el fallo de conexión.
cookie:84222f276c2fa2e9
:0000000000000000 due to
timeout.
o
IKE phase 1 negotiation
is failed. Couldn’t find
configuration for IKE
phase-1 request for peer
IP x.x.x.x[1929]
Received unencrypted Comprobar el perfil criptográfico de IKE para verificar que las propuestas en ambos
notify payload (no lados tienen un cifrado, autenticación y propuesta de grupo DH comunes.
proposal chosen) from IP
x.x.x.x[500] to
y.y.y.y[500],ignored...
o
IKE phase-1 negotiation

is failed. Unable to
process peer’s SA
payload.
pfs group mismatched:my: Comprobar la configuración del perfil criptográfico de IPSec para verificar que
2peer: 0
• los dos peers VPN tienen el mismo valor de pfs: habilitado o deshabilitado
o
• los grupos DH propuestos por cada peer tienen al menos un grupo DH en común
IKE phase-2 negotiation
failed when processing
SA payload. No suitable
proposal found in peer’s
SA payload.
IKE phase-2 negotiation El peer VPN de un extremo está usando una VPN basada en políticas. Debe configurar
failed when processing un ID de proxy en el cortafuegos de Palo Alto Networks. Consulte Paso 8.
Proxy ID. Received local
id x.x.x.x/x type IPv4
address protocol 0 port
0, received remote id
y.y.y.y/y type IPv4
address protocol 0 port
0.

VPN Configuraciones rápidas de VPN de sitio a sitio
Configuraciones rápidas de VPN de sitio a sitio

En las siguientes secciones se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de VPN:
 VPN de sitio a sitio con rutas estáticas
 VPN de sitio a sitio con OSPF
 VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico
VPN de sitio a sitio con rutas estáticas
Los siguientes ejemplos muestran una conexión VPN entre dos sitios que usan rutas estáticas. Sin enrutamiento
dinámico, las interfaces de túnel en el peer A de VPN y el peer B de VPN no necesitan una dirección IP porque
el cortafuegos usa automáticamente la interfaz del túnel como el próximo salto para el enrutamiento de tráfico
a través de los sitios. Sin embargo, para habilitar la supervisión del túnel, se ha asignado una dirección IP estática
a cada interfaz de túnel.

Configuraciones rápidas de VPN de sitio a sitio VPN
Configuración rápida: VPN de sitio a sitio con rutas estáticas
Paso 1 Configure una interfaz de capa 3. 1. Seleccione Red > Interfaces> Ethernet y, a continuación,
seleccione la interfaz que quiera configurar para la VPN.
Esta interfaz se usa para el túnel IKE de
fase 1. 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
3. En la pestaña Configurar, seleccione la Zona de seguridad a la
que pertenezca la interfaz:
• La interfaz debe ser accesible desde una zona de fuera de su
red fiable. Considere la posibilidad de crear una zona de VPN
específica para lograr la visibilidad y el control necesarios del
tráfico de su VPN.
• Si todavía no ha creado la zona, seleccione Nueva zona en el
menú desplegable Zona de seguridad, defina un Nombre
para la nueva zona y, a continuación, haga clic en ACEPTAR.
4. Seleccione el Enrutador virtual que debe utilizarse.
ejemplo, 192.168.210.26/24.
Aceptar.
En este ejemplo, la configuración para el peer A de VPN es:
• Interfaz: ethernet1/7
• Zona de seguridad: no fiable
• Enrutador virtual: predeterminado
• IPv4: 192.168.210.26/24
La configuración para el peer B de VPN es:
• IPv4: 192.168.210.120/24

Configuración rápida: VPN de sitio a sitio con rutas estáticas (Continuación)
Paso 2 Cree una interfaz de túnel y vincúlela a un 1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir.
enrutador virtual y una zona de seguridad. 2. En el campo Nombre de interfaz, especifique un sufijo
numérico, como .1.
seguridad para definir la zona del siguiente modo:
• Para usar una zona fiable como punto de finalización del
túnel, seleccione la zona del menú desplegable.
• (Recomendado) Si quiere crear una zona separada para la
finalización del túnel de VPN, haga clic en Nueva zona. En
el cuadro de diálogo Zona, defina un Nombre para una nueva
zona, por ejemplo vpn-tun, y haga clic en Aceptar.
4. Seleccione el Enrutador virtual.
5. (Opcional) Asigne una dirección IP a la interfaz de túnel,
seleccione la pestaña IPv4 o IPv6, haga clic en Añadir en la
sección IP e introduzca la dirección IP y la máscara de red para
asignarlas a la interfaz.
Con rutas estáticas, la interfaz de túnel no necesita una dirección
IP. Para el tráfico destinado a una subred/dirección IP
específica, la interfaz de túnel se convertirá automáticamente en
el próximo salto. Plantéese añadir una dirección IP si quiere
habilitar la supervisión de túnel.
Aceptar.
• Interfaz: túnel.11
• Zona de seguridad: vpn_tun
• IPv4: 172.19.9.2/24
• IPv4: 192.168.69.2/24
Paso 3 Configure una ruta estática, en el servidor 1. Seleccione Red > Enrutador virtual y haga clic en el enrutador
virtual, a la subred de destino. que ha definido en el paso 4 más arriba.
2. Seleccione Ruta estática, haga clic en Añadir e introduzca una
nueva ruta para acceder a la subred que se encuentra en el otro
extremo del túnel.
• Destino: 192.168.69.0/24
• Destino: 172.19.9.0/24

Paso 4 Configure los perfiles criptográficos 1. Seleccione Red > Perfiles de red > Criptográfico de IKE. En
(perfil criptográfico IKE para 1 y perfil este ejemplo, hemos usado el perfil predeterminado.
criptográfico IPSec para fase 2).
Complete esta tarea en ambos peers y
asegúrese de definir valores idénticos.
2. Seleccione Red > Perfiles de red > Criptográfico de IPSec. En
este ejemplo, hemos usado el perfil predeterminado.
Paso 5 Configure la puerta de enlace de IKE 1. Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
2. Haga clic en Añadir y configure las opciones en la pestaña
General.
• Dirección IP local: 192.168.210.26/24
• Tipo/Dirección IP del peer: estática/192.168.210.120
• Claves previamente compartidas: introduzca un valor
• Identificación local: ninguna; significa que la dirección
IP local se utilizará como el valor de identificación local.
• Tipo/Dirección IP del peer: estática/192.168.210.26
• Claves previamente compartidas: introduzca el mismo
valor que el del peer A
• Identificación local: ninguna
3. Seleccione Opciones de fase 1 avanzadas y seleccione el perfil
criptográfico de IKE que ha creado anteriormente para usar
IKE de fase 1.

Paso 6 Configure el túnel de IPSec 1. Seleccione Red > Túneles de IPSec.

General.
• Interfaz de túnel: túnel.11
• Tipo: clave automática
• Puerta de enlace de IKE: seleccione la puerta de enlace
de IKE definida más arriba.
• Perfil criptográfico de IPSec: seleccione el perfil
criptográfico de IPSec definido en el Paso 4.
• Perfil criptográfico de IPSec: seleccione el
Criptográfico de IPSec definido en el Paso 4.
3. (Opcional) Seleccione Mostrar opciones avanzadas, seleccione
Supervisor de túnel y especifique una dirección IP de destino
para hacer ping para verificar la conectividad. Normalmente, se
usa la dirección IP de la interfaz de túnel del peer de VPN.
4. (Opcional) Para definir la acción que se realizará si no es posible
establecer conectividad, consulte Definición de un perfil de
supervisión de túnel.
Paso 7 Cree políticas para permitir el tráfico 1. Seleccione Políticas > Seguridad.
entre los sitios (subredes). 2. Cree reglas para permitir el trafico entre la zona no fiable y la
zona vpn-tun y la zona vpn-tun y la zona no fiable para tráfico
que se origine desde el origen especificado y las direcciones IP
de destino.
Paso 8 Guarde cualquier cambio de Haga clic en Confirmar.

configuración pendiente.
Paso 9 Pruebe la conectividad VPN. Consulte Visualización del estado de los túneles.

VPN de sitio a sitio con OSPF
En este ejemplo, cada sitio usa OSPF para enrutamiento o tráfico dinámicos. La dirección IP del túnel en
cada peer de VPN se asigna estáticamente y sirve como el próximo salto para el enrutamiento de tráfico entre
dos sitios.

Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF
Paso 1 Configure las interfaces de capa 3 en cada 1. Seleccione Red > Interfaces> Ethernet y, a continuación,
cortafuegos. seleccione la interfaz que quiera configurar para la VPN.
2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
tráfico de su VPN.
ejemplo, 192.168.210.26/24.
Aceptar.
• IPv4: 100.1.1.1/24
• IPv4: 200.1.1.1/24

Configuración rápida: VPN de sitio a sitio con enrutamiento dinámico usando OSPF (Continuación)
numérico, p. ej., .11.
5. Asigne una dirección IP a la interfaz de túnel, seleccione la
pestaña IPv4 o IPv6, haga clic en Añadir en la sección IP e
introduzca la dirección IP y la máscara de red para asignarlas a
la interfaz, por ejemplo, 172.19.9.2/24.
Esta dirección IP se usará como dirección IP de próximo salto
para enrutar el tráfico al túnel y también puede usarse para
supervisar el estado del túnel.
Aceptar.
• IPv4: 2.1.1.141/24
• IPv4: 2.1.1.140/24

Paso 4 Establezca la configuración OSPF en el 1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual y adjunte las áreas OSPF enrutador predeterminado o añada uno nuevo.
con las interfaces apropiadas en el 2. Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione
cortafuegos. Habilitar.
Para obtener más información sobre las 3. En este ejemplo, la configuración OSPF para el peer A de VPN es:
opciones OSPF disponibles en el – ID del enrutador: 192.168.100.141
cortafuegos, consulte Configuración de
OSPF. – ID de área: 0.0.0.0 que se asigna a la interfaz del túnel.1 con
el tipo de enlace: p2p
– ID de área: 0.0.0.10 que se asigna a la interfaz Ethernet1/1
Use Difusión como el tipo de enlace con el tipo de enlace: Difusión
cuando haya más de dos enrutadores
La configuración OSPF para el peer B de VPN es:
OSPF que necesiten intercambiar
información de enrutamiento. – ID del enrutador: 192.168.100.140
– ID de área: 0.0.0.0 que se asigna a la interfaz del túnel.1 con
el tipo de enlace: p2p
– ID de área: 0.0.0.20 que se asigna a la interfaz
Ethernet1/15 con el tipo de enlace: Difusión
Paso 5 Configure la puerta de enlace de IKE 1. Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
General.
Estos ejemplos usan direcciones IP • Interfaz: ethernet1/7
estáticas para ambos peers VPN. • Dirección IP local: 100.1.1.1/24
Normalmente, la sede usa una dirección
• Dirección IP del peer: 200.1.1.1/24
IP configurada estáticamente y la sucursal
puede usar una dirección IP dinámica; las
direcciones IP dinámicas no son las más La configuración para el peer B de VPN es:
indicadas para configurar servicios • Interfaz: ethernet1/11
estables como VPN. • Dirección IP local: 200.1.1.1/24
• Dirección IP del peer: 100.1.1.1/24
valor que el del peer A
3. Seleccione el perfil criptográfico de IKE que ha creado
anteriormente para usar IKE de fase 1.

Paso 6 Configure el túnel de IPSec 1. Seleccione Red > Túneles de IPSec.

General.
• Perfil criptográfico de IPSec: seleccione la puerta de
enlace de IKE definida en más arriba.
3. Seleccione Mostrar opciones avanzadas, seleccione
para hacer ping para verificar la conectividad.
4. Para definir la acción que se realizará si no es posible establecer
conectividad, consulte Definición de un perfil de supervisión de
túnel.
de destino.

Paso 8 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre sí con estado
desde la CLI. completo. Confirme además la dirección IP de la interfaz del túnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
• show routing protocol ospf neighbor
• show routing route type ospf
Paso 9 Pruebe la conectividad VPN. Consulte Configuración de la supervisión de túnel y Visualización

del estado de los túneles.

VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico
En este ejemplo, un sitio usa rutas estáticas y el otro sitio usa OSPF. Cuando el protocolo de enrutamiento no
es el mismo entre ubicaciones, la interfaz del túnel en cada cortafuegos debe estar configurada con una dirección
IP estática. A continuación, permita el intercambio de información de enrutamiento, el cortafuegos que
participa tanto en el proceso de enrutamiento estático como el dinámico debe configurarse con un Perfil de
redistribución. Configurar el perfil de redistribución habilita al enrutador virtual para redistribuir y filtrar rutas
entre protocolos (rutas estáticas, rutas conectadas y hosts) desde el sistema autónomo estático al sistema
autónomo OSPF. Sin este perfil de redistribución, cada protocolo funciona por su cuenta y no intercambia
ninguna información de ruta con otros protocolos que se ejecutan en el mismo enrutador virtual.
En este ejemplo, la oficina satélite tiene rutas estáticas y todo el tráfico destinado a la red 192.168.x.x se enruta
al túnel .41. El enrutador virtual del peer B de VPN participa tanto en el proceso de enrutamiento dinámico
como el estático y está configurado como un perfil de redistribución para propagar (exportar) las rutas estáticas
al sistema autónomo OSPF.

Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico
Paso 1 Configure las interfaces de capa 3 en cada 1. Seleccione Red > Interfaces> Ethernet y, a continuación,
cortafuegos. seleccione la interfaz que quiera configurar para la VPN.
2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
tráfico de su VPN.
ejemplo, 192.168.210.26/24.
Aceptar.
• IPv4: 100.1.1.1/24
• IPv4: 200.1.1.1/24

Configuración rápida: VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico (Continuación)
Paso 3 Configure la puerta de enlace de IKE. 1. Seleccione Red > Perfiles de red > Puerta de enlace de IKE.
General.
• Tipo de IP de peer: dinámica
Con claves compartidas previamente,
para añadir el escrutinio de autenticación
al configurar el túnel IKE de fase 1, puede • Identificación local: seleccione FQDN(nombre de host)
configurar atributos de identificación de e introduzca un valor para el peer A de VPN.
peer y local, y un valor correspondiente • Identificación del peer: seleccione FQDN(nombre de
con el que coincide en el proceso de host) e introduzca un valor para el peer B de VPN.
negociación. La configuración para el peer B de VPN es:
• Dirección IP de peer: dinámica
valor que el del peer A.
• Identificación local: seleccione FQDN(nombre de host)
e introduzca un valor para el peer B de VPN.
• Identificación del peer: seleccione FQDN(nombre de
host) e introduzca un valor para el peer A de VPN.
3. Seleccione el perfil criptográfico de IKE que ha creado
anteriormente para usar IKE de fase 1.

numérico, p. ej., .41.
5. Asigne una dirección IP a la interfaz de túnel, seleccione la
pestaña IPv4 o IPv6, haga clic en Añadir en la sección IP e
introduzca la dirección IP y la máscara de red para asignarlas a
la interfaz, por ejemplo, 172.19.9.2/24.
Esta dirección IP se usará para enrutar el tráfico al túnel y
supervisar el estado del túnel.
Aceptar.
• IPv4: 2.1.1.141/24
• IPv4: 2.1.1.140/24
Paso 5 Especifique la interfaz para enruta el 1. En el peer A de VPN, seleccione el enrutador virtual.
tráfico a un destino en la red 192.168.x.x. 2. Seleccione Rutas estáticas y añada túnel.41 como la interfaz
para el enrutamiento de tráfico con un Destino en la red
192.168.x.x.

Paso 6 Establezca la ruta estática y la 1. En el peer B de VPN, seleccione Red > Enrutadores virtuales
configuración OSPF en el enrutador y seleccione el enrutador predeterminado o añada uno nuevo.
virtual y adjunte las áreas OSPF con las 2. Seleccione Rutas estáticas y Añada la dirección IP del túnel
interfaces apropiadas en el cortafuegos. como el próximo salto para el tráfico en la red 172.168.x.x.
Asigne la métrica de ruta deseada; usando un valor bajo se
aumenta la prioridad para la selección de ruta en la tabla de
reenvíos.
3. Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione
Habilitar.
4. En este ejemplo, la configuración OSPF para el peer B de
VPN es:
• ID del enrutador: 192.168.100.140
• ID de área: 0.0.0.0 se asigna a la interfaz Ethernet1/12 con el
tipo de enlace: Difusión
• ID de área: 0.0.0.10 que se asigna a la interfaz Ethernet1/1
con el tipo de enlace: Difusión
• ID de área: 0.0.0.20 se asigna a la interfaz Ethernet1/15 con
el tipo de enlace: Difusión
Paso 7 Cree un perfil de redistribución para 1. Cree un perfil de redistribución en el peer B de VPN.
inyectar las rutas estáticas en el sistema a. Seleccione Red > Enrutadores virtuales y seleccione el
autónomo OSPF. enrutador que ha usado más arriba.
b. Seleccione Perfiles de redistribución y haga clic en Añadir.
c. Introduzca un nombre para el perfil, seleccione Redistr. y
asigne un valor de Prioridad. Si ha configurado múltiples
perfiles, coincidirá primero el perfil con el valor de propiedad
más bajo.
d. Defina Tipo de origen como estático y haga clic en Aceptar.
Se usará la ruta estática definida en el Paso 6-2 para la
redistribución.
2. Inyecte rutas estáticas en el sistema OSPF.
a. Seleccione OSPF> Exportar reglas (para IPv4) o OSPFv3>
Exportar reglas (para IPv6).
b. Haga clic en Añadir y seleccione el perfil de redistribución
que acaba de crear.
c. Seleccione cómo se llevan las rutas externas al sistema OSPF.
La opción predeterminada, Ext2, calcula el coste total de la
ruta usando solo métricas externas. Para usar métricas OSPF
tanto internas como externas, use Ext1.
d. Asigne una métrica (valor de coste) a las rutas inyectadas en
el sistema OSPF. Esta opción le permite cambiar la métrica
para la ruta inyectada al entrar en el sistema OSPF.
e. Haga clic en ACEPTAR para guardar los cambios.

Paso 8 Configure el túnel de IPSec. 1. Seleccione Red > Túneles de IPSec.

General.
3. Seleccione Mostrar opciones avanzadas, seleccione
para hacer ping para verificar la conectividad.
4. Para definir la acción que se realizará si no es posible establecer
conectividad, consulte Definición de un perfil de supervisión de
túnel.
de destino.

Paso 10 Verifique las adyacencias OSPF y las rutas Verifique que ambos cortafuegos puedan verse entre sí con estado
desde la CLI. completo. Confirme además la dirección IP de la interfaz del túnel
del peer de VPN y el ID del enrutador de OSPF. Use los siguientes
comandos de la CLI con cada peer de VPN:
• show routing protocol ospf neighbor
• show routing route

A continuación se muestra un ejemplo de salida en cada peer
de VPN.
Paso 11 Pruebe la conectividad VPN. Consulte Configuración de la supervisión de túnel y Visualización

del estado de los túneles.

VPN a gran escala (LSVPN)
La función VPN a gran escala (LSVPN) de GlobalProtect de cortafuegos de próxima generación de Palo Alto
Networks simplifica la implementación de VPN de concentrador y radio tradicionales, lo que le permite
implementar rápidamente redes empresariales con varias sucursales con una cantidad mínima de configuración
obligatoria en los dispositivos satélite remotos. Esta solución utiliza certificados para la autenticación de
dispositivos e IPSec para proteger datos.
LSVPN habilita VPN de sitio a sitio entre cortafuegos de Palo Alto Networks. Para configurar una
VPN de sitio a sitio entre un cortafuegos de Palo Alto Networks y otro dispositivo, consulte VPN.
Los siguientes temas describen los componentes de LSVPN y cómo configurarlos para habilitar servicios de
VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
 Creación de interfaces y zonas para la LSVPN
 Habilitación de SSL entre componentes de LSVPN de GlobalProtect
 Configuración del portal para autenticar satélites
 Configuración de puertas de enlace de GlobalProtect para LSVPN
 Configuración del portal de GlobalProtect para LSVPN
 Preparación del dispositivo satélite para unirse a la LSVPN
 Verificación de la configuración de LSVPN
 Configuraciones rápidas de LSVPN
VPN a gran escala 423

Componentes de LSVPN VPN a gran escala (LSVPN)
Componentes de LSVPN
GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos corporativos
desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
 Portal de GlobalProtect: Proporciona las funciones de gestión necesarias para su infraestructura de

LSVPN de GlobalProtect. Cada satélite que participa en la LSVPN de GlobalProtect recibe información de
configuración del portal, incluida información de configuración para permitir que los satélites (los radios) se
conecten a las puertas de enlace (los concentradores). El portal se configura en una interfaz de cualquier
cortafuegos de última generación de Palo Alto Networks.
 Puertas de enlace de GlobalProtect: Cortafuegos de Palo Alto Networks que proporciona el extremo del
túnel para conexiones de satélites. Los recursos a los que acceden los satélites están protegidos por la política
de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace separados; un
único cortafuegos puede actuar tanto de portal como de puerta de enlace.
 Satélite de GlobalProtect: Cortafuegos de Palo Alto Networks en una ubicación remota que establece
túneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos centralizados.
La configuración del cortafuegos del satélite es mínima, lo que le permite ajustar rápida y fácilmente su VPN
a medida que añada nuevas ubicaciones.
El siguiente diagrama muestra cómo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
424 VPN a gran escala

VPN a gran escala (LSVPN) Creación de interfaces y zonas para la LSVPN
Creación de interfaces y zonas para la LSVPN

Debe configurar las siguientes interfaces y zonas para su infraestructura de LSVPN:
 Portal de GlobalProtect: Requiere una interfaz de capa 3 para que se conecten los satélites de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
 Puertas de enlace de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satélites remotos, una interfaz interna en la zona fiable que se conecta con los recursos
protegidos y una interfaz de túnel lógica para finalizar los túneles de VPN desde los satélites. A diferencia de
otras soluciones de VPN de sitio a sitio, la puerta de enlace de GlobalProtect solamente requiere una única
interfaz de túnel, que utilizará para las conexiones de túnel con todos sus satélites remotos (punto a
multipunto). Si tiene la intención de utilizar el enrutamiento dinámico, deberá asignar una dirección IP a la
interfaz de túnel.
 Satélite de GlobalProtect: Requiere una única interfaz de túnel para establecer una VPN con las puertas
de enlace remotas (hasta un máximo de 25 puertas de enlace). Si tiene la intención de utilizar el enrutamiento
dinámico, deberá asignar una dirección IP a la interfaz de túnel.
Si desea más información sobre portales, puertas de enlace y satélites, consulte Componentes de LSVPN.
Configuración de interfaces y zonas para la LSVPN de GlobalProtect
Paso 1 Configure una interfaz de capa 3. 1. Seleccione Red > Interfaces> Ethernet y, a continuación,
seleccione la interfaz que quiera configurar para la LSVPN de
El portal, cada puerta de enlace y cada
GlobalProtect.
satélite requieren una interfaz de capa 3
para permitir que el tráfico se enrute entre 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
las distintas ubicaciones. 3. En la pestaña Configurar, seleccione la Zona de seguridad a la
Si la puerta de enlace y el portal se
encuentran en el mismo cortafuegos, • La interfaz debe ser accesible desde una zona de fuera de su
puede utilizar una única interfaz para red fiable. Considere la posibilidad de crear una zona de VPN
ambos componentes. específica para lograr la visibilidad y el control necesarios del
tráfico de su VPN.
Nota Las direcciones IPv6 no son compatibles
con LSVPN. • Si todavía no ha creado la zona, seleccione Nueva zona en el
ejemplo, 203.0.11.100/24.
Aceptar.

Creación de interfaces y zonas para la LSVPN VPN a gran escala (LSVPN)
Configuración de interfaces y zonas para la LSVPN de GlobalProtect (Continuación)
Paso 2 En los cortafuegos donde se alojen 1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir.
puertas de enlace de GlobalProtect, 2. En el campo Nombre de interfaz, especifique un sufijo
configure la interfaz de túnel lógica que numérico, como .2.
finalizará los túneles de VPN establecidos
por los satélites de GlobalProtect.
Nota No se requieren direcciones IP en la
interfaz de túnel a menos que tenga la
intención de utilizar el enrutamiento
dinámico. Sin embargo, asignar una • (Recomendado) Si quiere crear una zona separada para la
dirección IP a la interfaz de túnel puede finalización del túnel de VPN, haga clic en Nueva zona. En
resultar útil para solucionar problemas de el cuadro de diálogo Zona, defina un Nombre para la nueva
conexión. zona (por ejemplo, lsvpn-tun), seleccione la casilla de
verificación Habilitar identificación de usuarios y, a
Nota Asegúrese de habilitar User-ID en la zona
donde finalizan los túneles de VPN.
5. (Opcional) Si quiere asignar una dirección IP a la interfaz de
túnel, seleccione la pestaña IPv4, haga clic en Añadir en la
asignarlas a la interfaz, por ejemplo: 203.0.11.33/24.
Aceptar.
Paso 3 Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una política de
seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable. Por ejemplo, la siguiente regla de
política habilita el tráfico entre la zona lsvpn-tun y la zona L3-Trust.

VPN a gran escala (LSVPN) Habilitación de SSL entre componentes de LSVPN de GlobalProtect
Habilitación de SSL entre componentes de LSVPN de

GlobalProtect
Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL. Por lo tanto,
debe generar y/o instalar los certificados necesarios antes de configurar cada componente, de modo que pueda
hacer referencia a los certificados y/o perfiles de certificados adecuados en las configuraciones de cada
componente. En las siguientes secciones se describen los métodos compatibles de implementación de certificados,
las descripciones y las directrices de recomendaciones para los diversos certificados de GlobalProtect, además de
ofrecer instrucciones para la generación e implementación de los certificados necesarios.
 Acerca de la implementación de certificados
 Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect
Acerca de la implementación de certificados
Hay dos métodos básicos para implementar certificados para LSVPN de GlobalProtect:
 Autoridad de certificación empresarial: Si ya cuenta con su propia entidad de certificación empresarial,

puede utilizar esta CA interna para emitir un certificado de CA intermedio para el portal de GlobalProtect
para habilitarlo con el fin de que emita certificados para las puertas de enlace y los satélites de GlobalProtect.
 Certificados autofirmados: Puede generar un certificado de CA raíz autofirmado en el cortafuegos y
usarlo para emitir certificados de servidor para el portal, las puertas de enlace y los satélites. La práctica
recomendada es crear un certificado de CA raíz autofirmado en el portal y utilizarlo para emitir certificados
de servidor para las puertas de enlace y los satélites. De este modo, la clave privada utilizada para la firma del
certificado permanece en el portal.
Implementación de certificados de servidor en los componentes de LSVPN

de GlobalProtect
Los componentes de LSVPN de GlobalProtect utilizan SSL/TLS para autenticarse mutuamente. Antes de
implementar el LSVPN, debe emitir certificados de servidor en el portal y las puertas de enlace. No necesita
crear certificados de servidor para los dispositivos satélite debido a que el portal emitirá un certificado de
servidor para cada satélite durante la primera conexión.
Además, debe importar el certificado de CA raíz utilizado para emitir los certificados de servidor en cada
cortafuegos que tenga la intención de alojar como puerta de enlace o satélite. Por último, en cada puerta de
enlace y satélite que participe en la LSVPN, deberá configurar un perfil de certificado que los habilitará para
establecer una conexión SSL/TLS mediante la autenticación mutua.
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de LSVPN de GlobalProtect:
No necesita emitir certificados de servidor para los dispositivos satélite debido a que el portal los
emitirá como parte del proceso de registro de satélites.

Habilitación de SSL entre componentes de LSVPN de GlobalProtect VPN a gran escala (LSVPN)
Implementación de certificados de servidores SSL en los componentes de GlobalProtect
Paso 1 En el cortafuegos que aloja el portal, cree Para usar certificados autofirmados, primero debe crear un
el certificado de CA raíz para la emisión certificado de CA raíz que servirá para firmar los certificados de
de certificados autofirmados para los componentes de GlobalProtect del siguiente modo:
componentes de GlobalProtect. 1. Para crear un certificado de CA raíz, seleccione Dispositivo >
Gestión de certificados > Certificados > Certificados de
dispositivos y, a continuación, haga clic en Generar.
2. Introduzca un Nombre de certificado, como LSVPN_CA. El
nombre de certificado no puede puede contener espacios.
3. No seleccione ningún valor en el campo Firmado por (esto es
lo que indica que está autofirmado).
4. Seleccione la casilla de verificación Autoridad del certificado y,
a continuación, haga clic en Aceptar para generar el certificado.
Paso 2 Genere certificados de servidor para el Utilice la CA raíz en el portal para generar certificados de servidor
portal y las puertas de enlace de para cada puerta de enlace que tenga la intención de implementar:
GlobalProtect. 1. Seleccione Dispositivo > Gestión de certificados > Certificados
> Certificados de dispositivos y, a continuación, haga clic en
Debe emitir un certificado de servidor
Generar.
autofirmado exclusivo para el portal y
para cada puerta de enlace de 2. Introduzca un nombre de certificado. El nombre de certificado
GlobalProtect. La práctica recomendada no puede puede contener espacios.
es emitir todos los certificados necesarios 3. Introduzca el FQDN (recomendado) o la dirección IP de la
en el portal, para que el certificado de interfaz donde pretende configurar la puerta de enlace en el
firma (con la clave privada) no tenga que campo Nombre común.
exportarse. 4. En el campo Firmado por, seleccione LSVPN_CA, que creó en
Nota Si el portal y la puerta de enlace de el paso anterior.
GlobalProtect se encuentran en la misma 5. En la sección Atributos del certificado, haga clic en Añadir y
interfaz del cortafuegos, puede utilizar el defina los atributos para identificar de forma exclusiva la puerta
mismo certificado de servidor para ambos de enlace. Tenga en cuenta que si añade un atributo Nombre de
componentes. host (que cumplimenta el campo SAN del certificado), debe
coincidir exactamente con el valor que haya definido en el
campo Nombre común.
6. Seleccione Generar el certificado.

VPN a gran escala (LSVPN) Habilitación de SSL entre componentes de LSVPN de GlobalProtect
Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)
Paso 3 Implemente los certificados de servidor 1. En el portal, seleccione Dispositivo > Gestión de certificados >
autofirmados en las puertas de enlace. Certificados > Certificados de dispositivos, seleccione el
certificado de puerta de enlace que quiere implementar y haga
Prácticas recomendadas:
clic en Exportar.
• Exporte los certificados de servidor
2. Seleccione Clave privada cifrada y certificado (PKCS12) en el
autofirmados emitidos por la CA raíz
menú desplegable Formato de archivo.
desde el portal e impórtelos en las
puertas de enlace. 3. Introduzca dos veces una Frase de contraseña para cifrar la
• Asegúrese de emitir un único clave privada asociada al certificado y, a continuación, haga clic
certificado de servidor para cada en ACEPTAR para descargar el archivo PKCS12 en su
puerta de enlace. ordenador.
• El campo de nombre común (CN) y, si 4. En la puerta de enlace, seleccione Dispositivo > Gestión de
es aplicable, de nombre alternativo del certificados > Certificados > Certificados de dispositivo y
asunto (SAN) del certificado deben haga clic en Importar.
coincidir con la dirección IP o con el 5. Introduzca un nombre de certificado.
nombre de dominio completo 6. Introduzca la ruta y el nombre en el archivo de certificado que
(FQDN) de la interfaz donde acaba de descargar del portal o seleccione Examinar para buscar
configure la puerta de enlace. el archivo.
7. Seleccione Clave privada cifrada y certificado (PKCS12) como
Formato de archivo.
8. Introduzca la ruta y nombre en el archivo PKCS#12 en el
campo Archivo de clave o seleccione Examinar para
encontrarla.
9. Vuelva a introducir la frase de contraseña que se usó para cifrar
la clave privada y después haga clic en ACEPTAR para importar
el certificado y la clave.

Habilitación de SSL entre componentes de LSVPN de GlobalProtect VPN a gran escala (LSVPN)
Implementación de certificados de servidores SSL en los componentes de GlobalProtect (Continuación)
Paso 4 Importe el certificado de CA raíz utilizado 1. Descargue el certificado de CA raíz del portal.
para la emisión de certificados de servidor a. Seleccione Dispositivo > Gestión de certificados >
para los componentes de LSVPN. Certificados > Certificados de dispositivos.
Debe importar el certificado de CA raíz b. Seleccione el certificado de CA raíz utilizado para la emisión
en todas las puertas de enlace y los de certificados para los componentes de LSVPN y haga clic
satélites. Por motivos de seguridad, en Exportar.
asegúrese de exportar únicamente el
certificado, no la clave privada asociada. c. Seleccione Certificado codificado en Base64 (PEM) en la
lista desplegable Formato de archivo y haga clic en ACEPTAR
para descargar el certificado. (No exporte la clave privada).
2. En los cortafuegos que alojan las puertas de enlace y los
satélites, importe el certificado de CA raíz.
a. Seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
en Aceptar.
g. Confirme los cambios.
Paso 5 Cree un perfil de certificado. 1. Seleccione Dispositivo > Certificados > Gestión de certificados
> Perfil del certificado, haga clic en Añadir e introduzca un
El portal y cada puerta de enlace de
Nombre de perfil.
LSVPN de GlobalProtect requieren un
perfil de certificado que especifique qué 2. Asegúrese de establecer Campo de nombre de usuario como
certificado utilizar para autenticar los Ninguno.
satélites. 3. En el campo Certificados de CA, haga clic en Añadir y
seleccione el certificado de CA raíz de confianza que importó en
el Paso 4.
4. (Opcional pero recomendado) Habilite el uso de CRL y/o
OCSP para habilitar la verificación del estado de certificado.

VPN a gran escala (LSVPN) Configuración del portal para autenticar satélites
Configuración del portal para autenticar satélites

Para registrarse en la LSVPN, cada satélite debe establecer una conexión SSL/TLS con el portal. Tras establecer
la conexión, el portal autentica el dispositivo satélite para asegurarse de que está autorizado para unirse a la
LSVPN. Después de autenticar correctamente el satélite, el portal emitirá un certificado de servidor para el
satélite y enviará la configuración de LSVPN que especifica las puertas de enlace a las que puede conectarse el
satélite y el certificado de CA raíz necesario para establecer una conexión SSL con las puertas de enlace.
Hay dos formas en las que el satélite puede autenticar en el portal durante su conexión inicial:
 Número de serie: Puede configurar el portal con el número de serie de los cortafuegos satélite autorizados
para unirse a la LSVPN. Durante la conexión inicial del satélite al portal, el satélite presenta su número de
serie al portal y, si el portal tiene el número de serie en su configuración, el satélite se autenticará
correctamente. Los números de serie de los satélites autorizados se añaden al configurar el portal. Consulte
Configuración del portal.
 Nombre de usuario y contraseña: Si prefiere proporcionar sus satélites sin introducir manualmente los
números de serie de los dispositivos satélite en la configuración de portal, puede solicitar al administrador
de satélites que los autentique al establecer la conexión inicial con el portal. Aunque el portal siempre buscará
el número de serie en la solicitud inicial del satélite, si no puede identificar el número de serie, el
administrador de satélites deberá proporcionar un nombre de usuario y una contraseña para autenticarlo en
el portal. Debido a que el portal siempre retrocederá a esta forma de autenticación, debe crear un perfil de
autenticación para confirmar la configuración del portal. Esto requiere que configure un perfil de
autenticación para la configuración de LSVPN del portal, aunque tenga la intención de autenticar los satélites
mediante el número de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticación de satélites mediante
un servicio de autenticación existente. LSVPN de GlobalProtect admite la autenticación externa mediante una
base de datos local, LDAP (incluido Active Directory), Kerberos o RADIUS.

Configuración del portal para autenticar satélites VPN a gran escala (LSVPN)
Configuración de la autenticación de satélites
Paso 1 Cree un perfil de servidor en el portal. 1. Seleccione Dispositivo > Perfiles de servidor y seleccione el
tipo de perfil (LDAP, Kerberos o RADIUS).
El perfil de servidor indica al cortafuegos
cómo conectar con un servicio de 2. Haga clic en Añadir e introduzca un Nombre para el perfil,
autenticación externo para validar las como LSVPN-Auth.
credenciales de autenticación 3. (Solo LDAP) Seleccione el Tipo de servidor LDAP al que se esté
proporcionadas por el administrador de conectando.
satélites. 4. Haga clic en Añadir en la sección Servidores e introduzca la
Si está utilizando la autenticación local, información requerida para el servicio de autenticación, incluido
puede omitir este paso y, en su lugar, el Nombre, Dirección IP (o FQDN) y Puerto del servidor.
añadir una configuración de usuario local 5. (Solo RADIUS y LDAP) Especifique la configuración para
para autenticar el administrador de habilitar la autenticación del cortafuegos en el servicio de
satélites. autenticación del siguiente modo:
Nota Si está usando LDAP para conectarse a • RADIUS: Introduzca el Secreto compartido al añadir la
Active Directory (AD), debe crear un entrada del servidor.
perfil de servidor LDAP diferente para • LDAP: Introduzca el valor de Enlazar DN y Enlazar
cada dominio de AD. contraseña.
6. (Únicamente LDAP y Kerberos) Especifique dónde buscar las
credenciales en el servicio del directorio:
• LDAP: DN de Base especifica el punto en el árbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo
debería cumplimentarse automáticamente al introducir el
puerto y la dirección del servidor. De no ser así, compruebe
la ruta del servicio al servidor LDAP.
• Kerberos: Introduzca el nombre del Dominio de Kerberos.
7. Especifique el nombre del Dominio (sin puntos, por ejemplo
acme, no acme.com).
Paso 2 Cree un perfil de autenticación. 1. Seleccione Dispositivo > Perfil de autenticación y haga clic en
Añadir.
El perfil de autenticación especifica qué
perfil de servidor debe utilizarse para 2. Introduzca un Nombre para el perfil y, a continuación,
autenticar satélites. seleccione el tipo de Autenticación (Base de datos local, LDAP,
Kerberos o RADIUS).
3. Seleccione el Perfil de servidor que creó en el Paso 1.
4. (LDAP AD) Introduzca sAMAccountName como el Atributo
de inicio de sesión.

VPN a gran escala (LSVPN) Configuración de puertas de enlace de GlobalProtect para LSVPN
Configuración de puertas de enlace de GlobalProtect para

LSVPN
Puesto que la configuración de GlobalProtect que el portal entrega a los satélites incluye la lista de puertas de
enlace a las que puede conectarse el satélite, es recomendable configurar las puertas de enlace antes de configurar
el portal.
Tareas previamente necesarias
Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
 Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Debe
configurar tanto la interfaz física como la interfaz de túnel virtual. Consulte Creación de interfaces y zonas
para la LSVPN.
 Configure los certificados de servidor de puerta de enlace y el perfil de certificado necesario para habilitar
el satélite y la puerta de enlace de GlobalProtect para que establezcan una conexión SSL/TLS mutua.
Consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect.
Configuración de la puerta de enlace
Una vez completadas las Tareas previamente necesarias, configure cada puerta de enlace de GlobalProtect para
que participe en la LSVPN de la manera siguiente:
Configuración de la puerta de enlace para LSVPN
Paso 1 Añada una plantilla. 1. Seleccione Red > GlobalProtect > Puertas de enlace y haga clic
en Añadir.
2. En la pestaña General, introduzca un Nombre para la puerta de
enlace. El nombre de la puerta de enlace no debería contener
espacios y la práctica recomendada es que debería incluir la
ubicación u otra información descriptiva que ayude a identificar
la puerta de enlace.
3. (Opcional) Seleccione el sistema virtual al que pertenece esta
puerta de enlace en el campo Ubicación.

Configuración de puertas de enlace de GlobalProtect para LSVPN VPN a gran escala (LSVPN)
Configuración de la puerta de enlace para LSVPN (Continuación)
Paso 2 Especifique la información de red que 1. Seleccione la Interfaz que utilizarán los satélites para acceder a
permita a los satélites conectarse a la la puerta de enlace.
puerta de enlace. 2. Seleccione la Dirección IP para el acceso a la puerta de enlace.
Si aún no ha creado la interfaz de red para 3. Seleccione el Certificado de servidor para la puerta de enlace en
la puerta de enlace, consulte las el menú desplegable.
instrucciones de Creación de interfaces y
zonas para la LSVPN. Si aún no ha creado
un certificado de servidor para la puerta
de enlace, consulte Implementación de
certificados de servidor en los
componentes de LSVPN de
GlobalProtect.
Paso 3 Seleccione el perfil de certificado que Seleccione el Perfil del certificado que creó para la comunicación
debe utilizar la puerta de enlace para SSL entre los componentes de LSVPN.
autenticar satélites que intenten establecer
túneles.
Si no ha configurado aún el perfil de
certificado, consulte las instrucciones de
Habilitación de SSL entre componentes
de LSVPN de GlobalProtect.
Paso 4 Configure los parámetros del túnel y 1. En el cuadro de diálogo Puerta de enlace de GlobalProtect,
habilite la tunelización. seleccione Configuración Satélite > Ajustes de túnel.
2. Seleccione la casilla de verificación Configuración de túnel para
habilitar la tunelización.
3. Seleccione la Interfaz de túnel que definió en el Paso 2 en
Creación de interfaces y zonas para la LSVPN.
4. (Opcional) Si desea conservar la información de tipo de servicio
(ToS) en los paquetes resumidos, seleccione la casilla de
verificación Copiar TOS.
Paso 5 (Opcional) Habilite la supervisión de 1. Seleccione la casilla de verificación Supervisión de túnel.

túnel. 2. Especifique la dirección IP de destino que los dispositivos
La supervisión de túnel habilita los satélite deberían utilizar para determinar si la puerta de enlace
dispositivos satélites para que supervisen está activa. De forma alternativa, si ha configurado una
su conexión de túnel de puerta de enlace, dirección IP para la interfaz de túnel, puede dejar este campo en
lo que permite realizar una conmutación blanco y, en su lugar, el monitor de túnel utilizará la interfaz de
por error a una puerta de enlace de túnel para determinar si la conexión está activa.
reserva si falla la conexión. La 3. Seleccione Conmutación por error en el menú desplegable
conmutación por error a otra puerta de Perfil de monitor de túnel (este es el único perfil de monitor de
enlace es el único tipo de perfil de túnel admitido para LSVPN).
supervisión de túnel permitido con
LSVPN.

Paso 6 Seleccione el perfil criptográfico que debe Seleccione predeterminado en el menú desplegable Perfil
utilizarse al establecer conexiones de criptográfico de IPSec u, opcionalmente, seleccione Nuevo perfil
túnel. criptográfico de IPSec para definir un nuevo perfil. Si desea
información detallada sobre las opciones de autenticación y cifrado
El perfil criptográfico especifica el tipo de
en el perfil criptográfico, consulte la ayuda en línea.
cifrado de IPSec y/o el método de
autenticación para proteger los datos que
atraviesen el túnel. Dado que ambos
extremos del túnel de una LSVPN son
cortafuegos fiables de su organización,
por lo general puede utilizar el perfil
predeterminado, que utiliza cifrado
ESP-DH group2-AES 128 con SHA-1.
Sin embargo, si requiere una mezcla
diferente de mecanismos de cifrado y
autenticación, puede crear opcionalmente
un perfil criptográfico de IPSec
personalizado.

Configuración de puertas de enlace de GlobalProtect para LSVPN VPN a gran escala (LSVPN)
Paso 7 Configure los ajustes de red para asignar 1. En el cuadro de diálogo Puerta de enlace de GlobalProtect,
los satélites durante el establecimiento del seleccione Configuración Satélite > Configuración de red.
túnel de IPSec. 2. (Opcional) Si los clientes locales del dispositivo satélite
necesitan resolver FQDN en la red corporativa, configure la
Nota También puede configurar el dispositivo puerta de enlace para que envíe la configuración DNS a los
satélite para que envíe la configuración satélites de una de las maneras siguientes:
DNS a sus clientes locales configurando • Defina manualmente los ajustes DNS principal, DNS
un servidor DHCP en el cortafuegos que secundario y Sufijo DNS para enviarlos a los satélites.
aloja el satélite. En esta configuración, el • Si la puerta de enlace tiene una interfaz configurada como
satélite enviará la configuración DNS que cliente DHCP, puede establecer el Origen de herencia en esa
obtenga de la puerta de enlace a los interfaz y a los satélites de GlobalProtect se les asignarán los
clientes DHCP. mismos ajustes que haya recibido el cliente DHCP.
3. Para especificar el Grupo de IP de direcciones para asignar la
interfaz de túnel en los dispositivos satélite cuando se establezca
la VPN, haga clic en Añadir y, a continuación, especifique los
intervalos de direcciones IP que deben utilizarse. Si está
utilizando el enrutamiento dinámico, asegúrese de que el grupo
de direcciones IP que designe a los satélites no se solape con las
direcciones IP que asignó manualmente a las interfaces de túnel
de sus puertas de enlace y satélites.
4. Para definir a qué subredes de destino enrutar a través del túnel,
haga clic en Añadir en el área de Acceder a ruta y, a
continuación, introduzca las rutas del siguiente modo:
• Si desea enrutar todo el tráfico desde los satélites a través del
túnel, deje este campo en blanco.
• Para enrutar únicamente parte del tráfico a través de la puerta
de enlace (lo que se denomina túneles divididos), especifique las
subredes de destino que deberán tunelizarse. En este caso, el
satélite enrutará el tráfico no destinado a una ruta de acceso
especificada mediante su propia tabla de rutas. Por ejemplo,
puede decidir tunelizar únicamente el tráfico destinado a su
red corporativa y utilizar el satélite local para permitir el
acceso a Internet de forma segura.
• Si desea habilitar el enrutamiento entre satélites, introduzca la
ruta de resumen para la red protegida por cada satélite.

Paso 8 (Opcional) Defina qué rutas, si las 1. Para habilitar la puerta de enlace para que acepte rutas
hubiera, aceptará la puerta de enlace de anunciadas por satélites, seleccione Configuración Satélite >
los satélites. Filtro de ruta.
De manera predeterminada, la puerta de 2. Seleccione la casilla de verificación Aceptar rutas publicadas.
enlace no añadirá ninguna ruta que los 3. Para filtrar cuáles de las rutas anunciadas por los satélites deben
satélites anuncien en su tabla de rutas. Si añadirse a la tabla de rutas de la puerta de enlace, haga clic en
no desea que la puerta de enlace acepte Añadir y, a continuación, defina las subredes que hay que incluir.
rutas de puertas de enlace, no necesita Por ejemplo, si todos los satélites están configurados con la
realizar este paso. subred 192.168.x.0/24 en el extremo de la LAN, configurando
una ruta permitida de 192.168.0.0/16 para habilitar la puerta de
enlace con el fin de que solamente acepte rutas del satélite si está
en la subred 192.168.0.0/16.
Paso 9 Guarde la configuración de puerta de 1. Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro
enlace. de diálogo de la puerta de enlace de GlobalProtect.

Configuración del portal de GlobalProtect para LSVPN VPN a gran escala (LSVPN)
Configuración del portal de GlobalProtect para LSVPN

El portal de GlobalProtect proporciona las funciones de gestión para su LSVPN de GlobalProtect. Todos los
sistemas satélite que participan en la LSVPN reciben información de configuración desde el portal, incluida
información sobre las puertas de enlace disponibles, así como el certificados que necesitan para conectarse a las
puertas de enlace.
Las siguientes secciones describen los procedimientos para configurar el portal:
 Tareas previamente necesarias
 Configuración del portal
 Definición de las configuraciones de satélites
Tareas previamente necesarias
Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:
 Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creación de interfaces y zonas para la LSVPN.
 Emitir el certificado de servidor del portal y certificados de servidor de la puerta de enlace, así como
configurar el portal para emitir certificados de servidor para los satélites. Consulte Habilitación de SSL
entre componentes de LSVPN de GlobalProtect.
 Definir el perfil de autenticación que se utilizará para autenticar satélites de GlobalProtect en el caso de
que el número de serie no esté disponible. Consulte Configuración del portal para autenticar satélites.
 Configurar las puertas de enlace de GlobalProtect Consulte Configuración de puertas de enlace de
GlobalProtect para LSVPN.

VPN a gran escala (LSVPN) Configuración del portal de GlobalProtect para LSVPN
Configuración del portal
Una vez completadas las Tareas previamente necesarias, configure el portal de GlobalProtect del siguiente
modo:
Configuración del portal para LSVPN
Paso 1 Añada el portal. 1. Seleccione Red > GlobalProtect > Portales y haga clic en
Añadir.
2. En la pestaña Configuración portal, introduzca un Nombre
para el portal. El nombre del portal no debe contener espacios.
3. (Opcional) Seleccione el sistema virtual al que pertenece este
portal en el campo Ubicación.
Paso 2 Especifique la información de red que 1. Seleccione la Interfaz que utilizarán los satélites para acceder al
permita a los satélites conectarse al portal. portal.
Si aún no ha creado la interfaz de red para 2. Seleccione la Dirección IP para que los satélites accedan al
el portal, consulte las instrucciones de portal.
Creación de interfaces y zonas para la 3. Seleccione el Certificado de servidor que generó para habilitar
LSVPN. Si aún no ha creado un el satélite con el fin de que establezca una conexión SSL con el
certificado de servidor para la puerta de portal.
enlace ni emitido certificados de puerta de
enlace, consulte Implementación de
certificados de servidor en los
componentes de LSVPN de
GlobalProtect.
Paso 3 Especifique un perfil de autenticación • Seleccione el Perfil de autenticación que definió para autenticar
para autenticar dispositivos satélite. satélites.
Nota Aunque tenga la intención de configurar • Si no ha configurado aún el perfil de autenticación, seleccione
manualmente el portal con los números Nuevo perfil de autenticación para crear uno ahora. Consulte
de serie de los satélites, debe definir un Configuración del portal para autenticar satélites para obtener
perfil de autenticación o no podrá guardar instrucciones. Si el portal no puede validar el número de serie de
la configuración. un satélite que se esté conectando, retrocederá al perfil de
autenticación y, por lo tanto, deberá configurar un perfil de
autenticación para guardar la configuración del portal.
Paso 4 Siga definiendo las configuraciones que Haga clic en ACEPTAR para guardar la configuración de portal o vaya
deben enviarse a los satélites o, si ya ha a Definición de las configuraciones de satélites.
creado las configuraciones de los satélites,
guarde la configuración del portal.

Definición de las configuraciones de satélites
Cuando un satélite de GlobalProtect se conecta y autentica correctamente en el portal de GlobalProtect, el

portal proporciona una configuración de satélite, que especifica a qué puertas de enlace puede conectarse el
satélite. Si todos sus satélites van a utilizar las mismas configuraciones de puerta de enlace y certificado, puede
crear una única configuración de satélite para proporcionarla a todos los satélites tras una autenticación correcta.
Sin embargo, si requiere diferentes configuraciones de satélites (por ejemplo, si desea que un grupo de satélites
se conecte a una puerta de enlace y otro grupo de satélite se conecte a una puerta de enlace diferente), puede
crear una configuración de satélite separada para cada uno. El portal utilizará entonces el nombre de
usuario/nombre de grupo de inscripción o el número de serie del dispositivo satélite para determinar qué
configuración de satélite debe implementarse. Como con la evaluación de reglas de seguridad, el portal busca
una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia, proporciona
la configuración correspondiente al satélite.
Por ejemplo, la siguiente ilustración muestra una red en la que determinadas sucursales requieren un acceso de
tipo VPN a las aplicaciones corporativas protegidas por sus cortafuegos de perímetro y otra ubicación necesita
un acceso de tipo VPN al centro de datos.
Utilice el siguiente procedimiento para crear una o más configuraciones de satélites.

VPN a gran escala (LSVPN) Configuración del portal de GlobalProtect para LSVPN
Creación de una configuración de satélite de GlobalProtect

Paso 1 Especifique los certificados necesarios para 1. Seleccione Red > GlobalProtect > Portales y seleccione la
habilitar satélites con el fin de que participen en configuración de portal para la que quiera añadir una
la LSVPN. configuración de satélite y, a continuación, seleccione la pestaña
Configuración Satélite.
2. En el campo CA raíz de confianza, haga clic en Añadir y, a
continuación, seleccione el certificado de CA utilizado para
emitir los certificados de servidor de la puerta de enlace. El
portal implementará los certificados de CA raíz que añada aquí
a todos los satélites como parte de la configuración para
habilitar el satélite con el fin de que pueda establecer una
conexión SSL con las puertas de enlace. Se recomienda usar el
mismo emisor para todas las puertas de enlace.
Nota Si el certificado de CA raíz utilizado para emitir sus
certificados de servidor de la puerta de enlace no está en el
portal, haga clic en Importar para importarlo ahora.
Consulte Habilitación de SSL entre componentes de
LSVPN de GlobalProtect para obtener información
detallada sobre cómo importar un certificado de CA raíz.
3. Seleccione el certificado de CA raíz que el portal utilizará para
emitir certificados para satélites tras autenticarlos
correctamente desde el menú desplegable Emisor del
certificado. Si todavía no ha importado un certificado de firma
ni generado un certificado de CA raíz autofirmado, consulte
Habilitación de SSL entre componentes de LSVPN de
GlobalProtect para obtener información detallada.
Paso 2 Añada una configuración de satélite. En la sección Configuración Satélite, haga clic en Añadir e
introduzca un Nombre para la configuración.
La configuración de satélite especifica los ajustes
de configuración de LSVPN de GlobalProtect Si pretende crear múltiples configuraciones, asegúrese de que el
que deberán implementarse en los satélites que nombre que defina para cada una sea suficientemente descriptivo
se conecten. Debe definir al menos una para distinguirlas.
configuración de satélite.

Creación de una configuración de satélite de GlobalProtect (Continuación)

Paso 3 Especifique en qué satélites desea implementar Especifique los criterios de coincidencia para la configuración de
esta configuración. Hay dos formas de satélite de la manera siguiente:
especificar qué satélites recibirán la • Para restringir esta configuración a dispositivos satélite con
configuración: por nombre de usuario/grupo números de serie específicos, seleccione la pestaña Dispositivos,
de inscripción y/o mediante el número de serie haga clic en Añadir e introduzca un número de serie (no necesita
de los dispositivos satélite. introducir el nombre de host de satélite; se añadirá
El portal utiliza los ajustes Usuario de automáticamente cuando el satélite se conecte). Repita este paso
inscripción/Grupo de usuarios y/o los para cada satélite que quiera que reciba esta configuración.
números de serie de Dispositivos para hacer • Seleccione la pestaña Usuario de inscripción/Grupo de
coincidir un satélite con una configuración. Por usuarios, haga clic en Añadir y, a continuación, seleccione el
lo tanto, si tiene múltiples configuraciones, usuario o grupo que quiera que reciba esta configuración. Los
asegúrese de ordenarlas correctamente. En satélites que no coinciden en el número de serie deberán
cuanto el portal encuentre una coincidencia, autenticarse como un usuario especificado aquí (bien como un
distribuirá la configuración. Así, las usuario individual, bien como un miembro de grupo).
configuraciones más específicas deberán
preceder a las más generales. Consulte el Paso 6 Nota Antes de poder restringir la configuración a grupos
las instrucciones sobre cómo ordenar la lista de específicos, debe asignar a los usuarios a grupos, como se
configuraciones de satélites. describe en Asignación de usuarios a grupos.
Paso 4 Especifique las puertas de enlace con las que los 1. En la pestaña Puertas de enlace, haga clic en Añadir.
satélites con esta configuración podrán 2. Introduzca un Nombre descriptivo para la puerta de enlace. El
establecer túneles de VPN. nombre que introduzca aquí debería coincidir con el nombre
Nota Las rutas publicadas por la puerta de enlace se que definió al configurar la puerta de enlace y debería ser lo
instalan en el satélite como rutas estáticas. La suficientemente descriptivo para identificar la ubicación de la
medida para la ruta estática es 10 veces la puerta de enlace.
prioridad de enrutamiento. Si tiene más de una 3. Introduzca el FQDN o la dirección IP de la interfaz donde está
puerta de enlace, asegúrese también de configurada la puerta de enlace en el campo Puertas de enlace.
establecer la prioridad de enrutamiento para La dirección que especifique debe coincidir exactamente con el
garantizar que las rutas anunciadas por puertas nombre común (CN) en el certificado del servidor de la puerta
de enlace de reserva tienen medidas más altas en de enlace.
comparación con las mismas rutas anunciadas
4. (Opcional) Si está añadiendo dos o más puertas de enlace a la
por puertas de enlace principales. Por ejemplo, si
configuración, la Prioridad del enrutador ayuda al satélite a
establece la prioridad de enrutamiento para la
seleccionar la puerta de enlace preferida. Introduzca un valor de
puerta de enlace principal y la puerta de enlace
entre 1 y 25; cuanto menor sea el número, mayor será la
de reserva como 1 y 10 respectivamente, el
prioridad (es decir, la puerta de enlace a la que se conectará el
satélite utilizará 10 como medida para la puerta
satélite si todas las puertas de enlace están disponibles). El
de enlace principal y 100 como medida para la
satélite multiplicará la prioridad de enrutamiento por 10 para
puerta de enlace de reserva.
determinar la medida de enrutamiento.
Paso 5 Guarde la configuración de satélite. 1. Haga clic en ACEPTAR para guardar la configuración de satélite.
2. Si quiere añadir otra configuración de satélite, repita del Paso 2
al Paso 5.
Paso 6 Prepare las configuraciones de satélites para que • Para subir una configuración de satélite en la lista de
se implemente la configuración correcta en cada configuraciones, selecciónela y haga clic en Mover hacia arriba.
satélite.
• Para bajar una configuración de satélite en la lista de
configuraciones, selecciónela y haga clic en Mover hacia abajo.
Paso 7 Guarde la configuración del portal. 1. Haga clic en ACEPTAR para guardar los ajustes y cerrar el
cuadro de diálogo Portal de GlobalProtect.

VPN a gran escala (LSVPN) Preparación del dispositivo satélite para unirse a la LSVPN
Preparación del dispositivo satélite para unirse a la LSVPN

Para participar en la LSVPN, los dispositivos satélite necesitan una cantidad mínima de configuración. Ya que
la configuración exigida es mínima, puede preconfigurar los dispositivos antes de enviarlos a sus sucursales para
su instalación.
Preparación del dispositivo satélite para unirse a la LSVPN de GlobalProtect
Paso 1 Configure una interfaz de capa 3. Esta es la interfaz física que el satélite utilizará para conectarse al
portal y la puerta de enlace. Esta interfaz debe estar en una zona que
permita el acceso fuera de la red fiable local. La práctica
recomendada es crear una zona específica para conexiones de VPN
con el fin de lograr visibilidad y control sobre el tráfico destinado a
las puertas de enlace corporativas.
Paso 2 Configure la interfaz de túnel lógica para 1. Seleccione Red > Interfaces > Túnel y haga clic en Añadir.
el túnel que deberá utilizarse para 2. En el campo Nombre de interfaz, especifique un sufijo
establecer túneles de VPN con las puertas numérico, como .2.
de enlace de GlobalProtect.
3. En la pestaña Configuración, amplíe el menú desplegable Zona
Nota No se requieren direcciones IP en la de seguridad y seleccione una zona existente o cree una zona
interfaz de túnel a menos que tenga la separada para el tráfico de túnel de VPN haciendo clic en Nueva
intención de utilizar el enrutamiento zona y definiendo un Nombre para la nueva zona (por ejemplo,
dinámico. Sin embargo, asignar una lsvpnsat).
dirección IP a la interfaz de túnel puede
resultar útil para solucionar problemas de
predeterminado.
conexión.
5. (Opcional) Si quiere asignar una dirección IP a la interfaz de
túnel, seleccione la pestaña IPv4, haga clic en Añadir en la
asignarlas a la interfaz, por ejemplo: 2.2.2.11/24.
Aceptar.

Preparación del dispositivo satélite para unirse a la LSVPN VPN a gran escala (LSVPN)
Preparación del dispositivo satélite para unirse a la LSVPN de GlobalProtect (Continuación)
Paso 3 Si generó el certificado de servidor del 1. Descargue el certificado de CA que se utilizó para generar los
portal mediante una CA raíz que no es de certificados de servidor del portal. Si está utilizando certificados
confianza para los satélites (por ejemplo, autofirmados, exporte el certificado de CA raíz desde el portal
si utilizó certificados autofirmados), de la manera siguiente:
importe el certificado de CA raíz utilizado a. Seleccione Dispositivo > Gestión de certificados >
para emitir el certificado de servidor del Certificados > Certificados de dispositivos.
portal.
b. Seleccione el certificado de CA y haga clic en Exportar.
El certificado de CA raíz es obligatorio
para habilitar el dispositivo satélite con el c. Seleccione Certificado codificado en Base64 (PEM) en la
fin de que establezca la conexión inicial lista desplegable Formato de archivo y haga clic en ACEPTAR
con el portal para obtener la para descargar el certificado. (No necesita exportar la clave
configuración de LSVPN. privada.)
2. Importe el certificado de CA raíz que acaba de exportar en cada
satélite de la manera siguiente.
a. Seleccione Dispositivo > Gestión de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
en Aceptar.
Paso 4 Realice la configuración de túnel de IPSec. 1. Seleccione Red > Túneles de IPSec y haga clic en Añadir.
2. En la pestaña General, introduzca un Nombre para la
configuración de IPSec.
3. Seleccione la Interfaz de túnel que creó para el satélite.
4. Seleccione Satélite de GlobalProtect como el Tipo.
5. Introduzca la dirección IP o el FQDN del portal como la
Dirección IP del portal.
6. Seleccione la Interfaz de capa 3 que configuró para el satélite.
7. Seleccione la Dirección IP local que debe utilizarse en la interfaz
seleccionada.

VPN a gran escala (LSVPN) Preparación del dispositivo satélite para unirse a la LSVPN
Preparación del dispositivo satélite para unirse a la LSVPN de GlobalProtect (Continuación)
Paso 5 (Opcional) Configure el satélite para 1. Para permitir que el satélite envíe rutas a la puerta de enlace, en
publicar rutas locales en la puerta de la pestaña Avanzado, seleccione Publicar todas las rutas
enlace. estáticas y conectadas a la puerta de enlace.
Enviar rutas a la puerta de enlace permite 2. (Opcional) Si solamente desea enviar rutas para subredes
el tráfico de las subredes locales al satélite específicas en lugar de a todas las rutas, haga clic en Añadir en
a través de la puerta de enlace. Sin la sección Subred y especifique qué rutas de subredes deben
embargo, la puerta de enlace también publicarse.
debe configurarse para aceptar las rutas.
Paso 6 Guarde la configuración de satélite. 1. Haga clic en ACEPTAR para guardar la configuración de túneles
de IPSec.
2. Haga clic en Confirmar.
Paso 7 Si se le pide, proporcione las credenciales 1. Seleccione Red > Túneles de IPSec y haga clic en el enlace IP de
para permitir que el satélite se autentique puerta de enlace en la columna Estado de la configuración de
en el portal. túnel que creó para la LSVPN.
Este paso solamente es obligatorio si el 2. Haga clic en el enlace introducir credenciales del campo
portal no ha podido encontrar un número Estado del portal e introduzca el nombre de usuario y la
de serie coincidente en su configuración o contraseña necesarios para autenticar el satélite en el portal.
si el número de serie no ha funcionado. Después de que el satélite se autentique correctamente en el
En este caso, el satélite no podrá portal, recibirá su certificado firmado y su configuración, que
establecer el túnel con las puertas de deberá utilizar para conectarse a las puertas de enlace. Debería
enlace. ver cómo se establece el túnel y cómo cambia el Estado a Activo.

Verificación de la configuración de LSVPN VPN a gran escala (LSVPN)
Verificación de la configuración de LSVPN

Después de configurar el portal, las puertas de enlace y los dispositivos satélite, verifique que los satélites pueden
conectarse al portal y la puerta de enlace y establecer túneles de VPN con las puertas de enlace.
Verificación de la configuración de LSVPN
Paso 1 Verifique la conectividad del satélite con Desde el cortafuegos que aloje el portal, verifique que los satélites se
el portal. estén conectando correctamente seleccionando Red > GlobalProtect >
Portales y haciendo clic en Información de satélite en la columna
Información de la entrada de configuración del portal.
Paso 1 Verifique la conectividad del satélite con En cada cortafuegos que aloje una puerta de enlace, verifique que los
las puertas de enlace. satélites pueden establecer túneles de VPN seleccionando Red >
GlobalProtect > Puertas de enlace y haciendo clic en Información
de satélite en la columna Información de la entrada de
configuración de la puerta de enlace. Los satélites que hayan
establecido túneles correctamente con la puerta de enlace aparecerán
en la pestaña Activar satélites.
Paso 1 Verifique el estado del túnel de LSVPN En cada cortafuegos que aloje un satélite, verifique el estado del túnel
en el satélite. seleccionando Red > Túneles de IPSec y verifique que tiene un
estado activo, lo cual está indicado por un icono verde.

VPN a gran escala (LSVPN) Configuraciones rápidas de LSVPN
Configuraciones rápidas de LSVPN

Las siguientes secciones proporcionan instrucciones detalladas para configurar algunas implementaciones
comunes de LSVPN de GlobalProtect:
 Configuración básica de LSVPN con rutas estáticas
 Configuración avanzada de LSVPN con enrutamiento dinámico

Configuración básica de LSVPN con rutas estáticas VPN a gran escala (LSVPN)
Configuración básica de LSVPN con rutas estáticas

Esta configuración rápida muestra la forma más rápida de empezar a utilizar la LSVPN. En este ejemplo, un
único cortafuegos de la ubicación de la sede de la empresa se configura como portal y como puerta de enlace.
Los dispositivos satélite pueden implementarse rápida y fácilmente con una configuración mínima para una
escalabilidad optimizada.
El siguiente flujo de trabajo muestra los pasos para establecer esta configuración básica:
Configuración rápida: básica de LSVPN con rutas estáticas
Paso 1 Configure una interfaz de capa 3. En este ejemplo, la interfaz de capa 3 del portal/puerta de enlace
requiere la siguiente configuración:
• Zona de seguridad: lsvpn-unt
• IPv4: 203.0.113.11/24
Paso 2 En los cortafuegos donde se alojen En este ejemplo, la interfaz de túnel del portal/puerta de enlace
puertas de enlace de GlobalProtect, requiere la siguiente configuración:
configure la interfaz de túnel lógica que • Interfaz: túnel.1
finalizará los túneles de VPN establecidos
por los satélites de GlobalProtect. • Zona de seguridad: lsvpn-tun
Nota Para permitir la visibilidad de los usuarios

y grupos que se conecten a través de la
VPN, habilite User-ID en la zona donde
finalicen los túneles de VPN.
Paso 3 Cree la regla de política de seguridad para habilitar el flujo de tráfico entre la zona de la VPN donde finaliza el
túnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas (L3-Trust).

VPN a gran escala (LSVPN) Configuración básica de LSVPN con rutas estáticas
Configuración rápida: básica de LSVPN con rutas estáticas (Continuación)
Paso 4 Emita un certificado de servidor 1. En el cortafuegos que aloja el portal, cree el certificado de CA
autofirmado para el portal/puerta de raíz para la emisión de certificados autofirmados para los
enlace. componentes de GlobalProtect. En este ejemplo, el certificado
de CA raíz, lsvpn-CA, se utilizará para emitir el certificado de
El nombre de asunto del certificado debe
servidor para el portal/puerta de enlace. Además, el portal
coincidir con el FQDN o la dirección IP
utilizará este certificado de CA raíz para firmar las CSR de los
de la interfaz de capa 3 que cree para el
dispositivos satélite.
portal/puerta de enlace.
2. Genere certificados de servidor para el portal y las puertas de
enlace de GlobalProtect.
Como el portal y la puerta de enlace estarán en la misma interfaz
en este ejemplo, pueden compartir un certificado de servidor.
En este ejemplo, el certificado de servidor se denomina
lsvpnserver.
Paso 5 Cree un perfil de certificado. En este ejemplo, el perfil del certificado, lsvpn-profile, hace referencia
al certificado de CA raíz lsvpn-CA. La puerta de enlace utilizará este
perfil de certificado para autenticar satélites que intenten establecer
túneles de VPN.
Paso 6 Configure un perfil de autenticación para 1. Cree un perfil de servidor en el portal.

que lo utilice el portal si el número de 2. Cree un perfil de autenticación. En este ejemplo, el perfil
serie del satélite no está disponible. lsvpn-sat se utiliza para autenticar satélites.
Paso 7 Configuración de la puerta de enlace para Seleccione Red > GlobalProtect > Puertas de enlace y haga clic en
LSVPN. Añadir para añadir una configuración. Este ejemplo requiere la
siguiente configuración de puerta de enlace:
• Dirección IP: 203.0.113.11/24
• Certificado de servidor: lsvpnserver
• Perfil del certificado: lsvpn-profile
• DNS principal/DNS secundario: 4.2.2.1/4.2.2.2
• Grupo de IP: 2.2.2.111-2.2.2.120
• Acceder a ruta: 10.2.10.0/24
Paso 8 Configuración del portal para LSVPN. Seleccione Red > GlobalProtect > Portales y haga clic en Añadir
para añadir una configuración. Este ejemplo requiere la siguiente
configuración de portal:
• Dirección IP: 203.0.113.11/24
• Certificado de servidor: lsvpnserver
• Perfil de autenticación: lsvpn-sat

Configuración básica de LSVPN con rutas estáticas VPN a gran escala (LSVPN)
Configuración rápida: básica de LSVPN con rutas estáticas (Continuación)
Paso 9 Creación de una configuración de satélite En la pestaña Configuración Satélite de la configuración del portal,
de GlobalProtect. haga clic en Añadir para añadir una configuración de satélite y una
CA raíz de confianza y especifique la CA que utilizará el portal para
emitir certificados para los satélites. En este ejemplo, los ajustes
obligatorios son los siguientes:
• Puerta de enlace: 203.0.113.11
• Emisor del certificado: lsvpn-CA
• CA raíz de confianza: lsvpn-CA
Paso 10 Preparación del dispositivo satélite para La configuración de satélite de este ejemplo requiere los siguientes
unirse a la LSVPN. ajustes:
Configuración de interfaz
• Interfaz de capa 3: ethernet1/1, 203.0.113.13/24
• Zona: lsvpnsat
Certificado de CA raíz del portal

• lsvpn-CA
Configuración de túnel de IPSec

• Dirección IP del portal: 203.0.113.11
• Publicar todas las rutas estáticas y conectadas a puerta de
enlace: habilitado

VPN a gran escala (LSVPN) Configuración avanzada de LSVPN con enrutamiento dinámico
Configuración avanzada de LSVPN con enrutamiento

dinámico
En implementaciones de LSVPN de mayor tamaño con varias puertas de enlace y varios satélites, invertir algo
más de tiempo en la configuración inicial para establecer el enrutamiento dinámico simplificará el
mantenimiento de las configuraciones de puertas de enlace, ya que las rutas de acceso se actualizarán
dinámicamente. La siguiente configuración de ejemplo muestra cómo ampliar la configuración básica de
LSVPN para configurar OSPF como el protocolo de enrutamiento dinámico.
El establecimiento de una LSVPN para utilizar OSPF para el enrutamiento dinámico requiere los siguientes
pasos adicionales en las puertas de enlace y los satélites:
 Asignación manual de direcciones IP a interfaces de túnel en todas las puertas de enlace y todos los satélites.
 Configuración de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todas las puertas de enlace
y todos los satélites. Además, como parte de la configuración de OSPF de cada puerta de enlace, debe definir
manualmente la dirección IP de túnel de cada satélite como un vecino OSPF. Del mismo modo, en cada
satélite, debe definir manualmente la dirección IP de túnel de cada puerta de enlace como un vecino OSPF.
Aunque el enrutamiento dinámico requiere una configuración adicional durante la configuración inicial de la
LSVPN, reduce las tareas de mantenimiento asociadas a la actualización de las rutas a medida que se producen
cambios de topología en su red.
La siguiente ilustración muestra una configuración de enrutamiento dinámico de LSVPN. Este ejemplo muestra
cómo configurar OSPF como el protocolo de enrutamiento dinámico para la VPN.
Para realizar una configuración básica de una LSVPN, siga los pasos de Configuración básica de LSVPN con
rutas estáticas. A continuación, podrá realizar los pasos del siguiente flujo de trabajo para ampliar la
configuración con el fin de utilizar el enrutamiento dinámico en lugar de rutas estáticas.

Configuración avanzada de LSVPN con enrutamiento dinámico VPN a gran escala (LSVPN)
Configuración rápida: LSVPN con enrutamiento dinámico
Paso 1 Añada una dirección IP a la Realice los siguientes pasos en cada puerta de enlace y cada satélite:
configuración de interfaz de túnel en 1. Seleccione Red > Interfaces > Túnel y seleccione la
cada puerta de enlace y cada satélite. configuración de túnel que creó para la LSVPN para abrir el
Importante: cuadro de diálogo Interfaz de túnel.
Si todavía no ha creado la interfaz de túnel, consulte el Paso 2 en
Las direcciones IP que asigne a las Configuración rápida: básica de LSVPN con rutas estáticas.
interfaces de túnel de satélite deben estar
en subredes separadas de las direcciones 2. En la pestaña IPv4, haga clic en Añadir y, a continuación,
IP que asigne a las interfaces de túnel de introduzca una dirección IP y una máscara de subred. Por
puerta de enlace. Además, las direcciones ejemplo, para añadir una dirección IP para la interfaz de túnel de
IP que asigne a satélites no deben puerta de enlace, debería introducir 2.2.2.100/24.
solaparse con el grupo de IP designado 3. Haga clic en ACEPTAR para guardar la configuración.
definido en la configuración de puerta de
enlace o los dispositivos no podrán
establecer adyacencias.
Paso 2 Configure el protocolo de enrutamiento Para configurar OSPF en la puerta de enlace:

dinámico en la puerta de enlace. 1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual asociado a sus interfaces de VPN.
2. En la pestaña Áreas, haga clic en Añadir para crear el área
troncal, o bien, si ya está configurada, haga clic en el ID de área
para editarlo.
3. Si está creando una nueva área, introduzca un ID de área en la
pestaña Tipo.
4. En la pestaña Interfaz, haga clic en Añadir y seleccione la
Interfaz de túnel que creó para la LSVPN.
5. Seleccione p2mp como Tipo de enlace.
6. Haga clic en Añadir en la sección Vecinos e introduzca la
dirección IP de la interfaz de túnel de cada dispositivo satélite,
por ejemplo, 2.2.2.111.
7. Haga clic en ACEPTAR dos veces para guardar la configuración
del enrutador virtual y, a continuación, haga clic en Confirmar
para confirmar los cambios en la puerta de enlace.
8. Repita este paso cada vez que añada un nuevo satélite a la
LSVPN.

VPN a gran escala (LSVPN) Configuración avanzada de LSVPN con enrutamiento dinámico
Configuración rápida: LSVPN con enrutamiento dinámico (Continuación)
Paso 3 Configure el protocolo de enrutamiento Para configurar OSPF en el satélite:

dinámico en el satélite. 1. Seleccione Red > Enrutadores virtuales y seleccione el
enrutador virtual asociado a sus interfaces de VPN.
2. En la pestaña Áreas, haga clic en Añadir para crear el área
troncal, o bien, si ya está configurada, haga clic en el ID de área
para editarlo.
3. Si está creando una nueva área, introduzca un ID de área en la
pestaña Tipo.
4. En la pestaña Interfaz, haga clic en Añadir y seleccione la
Interfaz de túnel que creó para la LSVPN.
5. Seleccione p2mp como Tipo de enlace.
6. Haga clic en Añadir en la sección Vecinos e introduzca la
dirección IP de la interfaz de túnel de cada puerta de enlace de
GlobalProtect, por ejemplo, 2.2.2.100.
7. Haga clic en ACEPTAR dos veces para guardar la configuración
del enrutador virtual y, a continuación, haga clic en Confirmar
para confirmar los cambios en la puerta de enlace.
8. Repita este paso cada vez que añada una nueva puerta de enlace.

Configuración avanzada de LSVPN con enrutamiento dinámico VPN a gran escala (LSVPN)
Configuración rápida: LSVPN con enrutamiento dinámico (Continuación)
Paso 4 Verifique que las puertas de enlace y los satélites pueden formar adyacencias de enrutador.
• En cada satélite y cada puerta de enlace, confirme que se han formado adyacencias de peer y que se han creado
entradas de tabla de rutas para los peers (es decir, que los satélites tienen rutas hacia las puertas de enlace y las
puertas de enlace tienen rutas hacia los satélites). Seleccione Red > Enrutador virtual y haga clic en el enlace
Más estadísticas de tiempo de ejecución para el enrutador virtual que esté utilizando para la LSVPN. En la
pestaña Enrutamiento, verifique que el peer de la LSVPN tiene una ruta.
• En la pestaña OSPF > Interfaz, verifique que el Tipo es p2mp.
• En la pestaña OSPF > Vecino, verifique que los cortafuegos que alojan a sus puertas de enlace han establecido
adyacencias de enrutador con los cortafuegos que alojan a sus satélites y viceversa. Verifique también que el
Estado es Completo, lo que indica que se han establecido adyacencias completas.

Redes
Todos los cortafuegos de próxima generación de Palo Alto Networks proporcionan una arquitectura de red
flexible que incluye la compatibilidad con el enrutamiento dinámico, la conmutación y la conectividad de VPN,
lo que le permite implementar el cortafuegos en prácticamente cualquier entorno de red. Al configurar los
puertos Ethernet en su cortafuegos, podrá elegir entre una implementación de interfaz de cable virtual, capa 2
o capa 3. Además, para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos
de interfaces en diferentes puertos. Las secciones siguientes ofrecen información básica sobre cada tipo de
implementación. Si desea información de implementación más detallada, consulte Designing Networks with Palo
Alto Networks cortafuegos (en inglés); si desea información sobre la distribución de rutas, consulte Understanding
Route Redistribution and Filtering (en inglés).
Los siguientes temas describen cómo integrar cortafuegos de próxima generación de Palo Alto Networks en
su red.
 Implementaciones de cortafuegos
 Configuración de un enrutador virtual
 Configuración de rutas estáticas
 Configuración de RIP
 Configuración de OSPF
 Configuración de BGP
Integración en la red 455

Implementaciones de cortafuegos Redes
Implementaciones de cortafuegos
 Implementaciones de cable virtual
 Implementaciones de modo tap
Implementaciones de cable virtual
En una implementación de Virtual Wire, el cortafuegos se instala de manera transparente en un segmento de

red uniendo dos puertos y únicamente debería utilizarse cuando no se necesite conmutación o enrutamiento.
Una implementación de Virtual Wire permite las siguientes mejoras:
 Simplifica la instalación y la configuración.
 No requiere ningún cambio de configuración en los dispositivos de red adyacentes o que se encuentren
alrededor.
El “default-vwire” que se entrega como configuración predeterminada de fábrica, conecta los puertos Ethernet
1 y 2 y permite todo el tráfico sin etiquetar. No obstante, puede utilizar un Virtual Wire para conectar dos
puertos cualquiera y configurarlo para que bloquee o permita el tráfico basándose en las etiquetas de la LAN
virtual (VLAN); la etiqueta “0” de la VLAN indica el tráfico sin etiquetar. También puede crear varias
subinterfaces, añadirlas a diferentes zonas y, a continuación, clasificar el tráfico de acuerdo con una etiqueta de
la VLAN, o una combinación de una etiqueta de la VLAN con clasificadores IP (dirección, intervalo o subred)
para aplicar un control detallado de las políticas para etiquetas específicas de la VLAN o para etiquetas de la
VLAN de una dirección IP de origen, intervalo o subred en concreto.
Ilustración: Implementación de cable virtual
No se ha realizado
enrutamiento ni cambio
Red de usuario Internet
Subinterfaces de Virtual Wire
Las subinterfaces de Virtual Wire ofrecen flexibilidad a la hora de aplicar distintas políticas cuando necesita
gestionar el tráfico de varias redes de clientes. Le permite separar y clasificar el tráfico en diferentes zonas (las
zonas pueden pertenecer a sistemas virtuales separados, si es necesario) utilizando los siguientes criterios:
456 Integración en la red

Redes Implementaciones de cortafuegos
 Etiquetas de la VLAN: El ejemplo de Ilustración: Implementación de Virtual Wire con subinterfaces

(únicamente etiquetas de la VLAN) muestra un proveedor de servicios de Internet (ISP) utilizando
subinterfaces de Virtual Wire con etiquetas de la VLAN para separar el tráfico para dos clientes diferentes.
 Etiquetas de la VLAN junto con clasificadores IP (dirección, intervalo o subred): El siguiente

ejemplo muestra un proveedor de servicios de Internet (ISP) con dos sistemas virtuales separados en un
cortafuegos que gestiona el tráfico de dos clientes diferentes. En cada sistema virtual, el ejemplo ilustra cómo
se utilizan las subinterfaces de Virtual Wire con etiquetas de la VLAN y clasificadores IP para clasificar el
tráfico en zonas separadas y aplicar la política relevante para los clientes de cada red.
Flujo de trabajo de subinterfaces de Virtual Wire
Paso 1 Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
Paso 2 Cree subinterfaces en el Virtual Wire principal para separar el tráfico del cliente A del cliente B. Asegúrese de
que las etiquetas de la VLAN definidas en cada par de subinterfaces configuradas como Virtual Wire sean
idénticas. Esto es esencial, porque un Virtual Wire no conmuta etiquetas de la VLAN.
Paso 3 Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria si desea
añadir subinterfaces adicionales con clasificadores IP para gestionar aun más el tráfico de un cliente basándose
en la combinación de etiquetas de la VLAN y una dirección IP de origen, intervalo o subred en concreto.
También puede utilizar clasificadores IP para gestionar el tráfico sin etiquetar. Para ello, debe crear una
subinterfaz con la etiqueta “0” de la VLAN y definir subinterfaces con clasificadores IP para gestionar el tráfico
sin etiquetar mediante clasificadores IP.
La clasificación de IP solamente puede utilizarse en las subinterfaces asociadas con un lado del
Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire deben utilizar
la misma etiqueta de la VLAN, pero no deben incluir un clasificador IP.
Ilustración: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas de la VLAN)
Cable virtual con subinterfaces

Etiquetas permitidas: 1-99; 101-199; 201-4094
Cliente A Cable virtual Cable virtual

VLAN100 Ethernet 1/1 (entrada) Ethernet 1/2 (salida)
Internet
Cliente B Cliente A en VLAN100 Cliente A en VLAN100
Subinterfaz e1/1.1 Subinterfaz e1/2.1
VLAN200 Zona 1 Zona 2
Cliente B en VLAN200 Cliente B en VLAN200
Subinterfaz e1/1.2 Subinterfaz e1/2.2
Zona 3 Zona 4
Ilustración: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas de la VLAN) muestra al
cliente A y al cliente B conectados al cortafuegos mediante una interfaz física, Ethernet 1/1, configurada como
Virtual Wire, que es la interfaz de entrada. Una segunda interfaz física, Ethernet 1/2, también forma parte del
Virtual Wire y se utiliza como la interfaz de salida que proporciona acceso a Internet. Para el cliente A, también
tiene las subinterfaces Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el cliente B, tiene las subinterfaces

Ethernet 1/1.2 (entrada) y Ethernet 1/2.2 (salida). Cuando configure las subinterfaces, debe asignar la etiqueta
de la VLAN y la zona correctas para aplicar las políticas a cada uno de los clientes. En este ejemplo, las políticas
del cliente A se crean entre la zona 1 y la zona 2, y las políticas del cliente B se crean entre la zona 3 y la zona 4.
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deberá coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
ejemplo, una subinterfaz simple coincide con la etiqueta de la VLAN en el paquete entrante, por lo que se
seleccionará esa subinterfaz. Las políticas definidas para la zona se evalúan y aplican antes de que el paquete
salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
Ilustración: Implementación de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
muestra al cliente A y al cliente B conectados a un cortafuegos físico que tiene dos sistemas virtuales (vsys),
además del sistema virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente
que se gestiona por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de
seguridad que se gestionan de manera independiente.
Ilustración: Implementación de Virtual Wire con subinterfaces (etiquetas de la VLAN y clasificadores IP)
Subinterfaz e1/1.1 y e1/2.1 etiquetada para VLAN 100
e1/1.1 en la zona 3 y e1/2.1 en la zona 4

para la subred IP 192.1.0.0/16 e1/1.2
en la zona 5 y e1/2.2 en la zona 6
Subinterfaz e1/1.3 de entrada (ingress) y e1/2.3 etiquetada

para VLAN 100 para la subred IP 192.2.0.0/16 e1/1.3
en la zona 7 y e1/2.3 en la zona 8
VLAN 100 del
cliente A
Zona 1
e1/1
Vsys2 Zona 2
VLAN 200 del
cliente B
Vsys
1
e1/2
Internet
Vsys3

e1/1.1 en la zona 9 y e1/2.1 en la zona 10
Vsys1 está configurado para utilizar las interfaces físicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso a
Internet. Este Virtual Wire está configurado para aceptar todo el tráfico etiquetado y sin etiquetar a excepción
de las etiquetas 100 y 200 de la VLAN que están asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de vwire con las etiquetas de la VLAN y las zonas adecuadas para aplicar las medidas incluidas en
las políticas.

Cliente Vsys Subinterfaces Zona Etiqueta de la Clasificador IP

de Vwire VLAN
A 2 e1/1.1 (entrada) Zona 3 100 Ninguna

e1/2.1 (salida) Zona 4 100
2 e1/1.2 (entrada) Zona 5 100 Subred IP

e1/2.2 (salida) Zona 6 100 192.1.0.0/16
2 e1/1.3 (entrada) Zona 7 100 Subred IP

e1/2.3 (salida) Zona 8 100 192.2.0.0/16
B 3 e1/1.4 (entrada) Zona 9 200 Ninguna
e1/2.4 (salida) Zona 10 200
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta de la VLAN del paquete
entrante primero deberá coincidir con la etiqueta de la VLAN definida en las subinterfaces de entrada. En este
caso, para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta de la VLAN. De este modo, el
cortafuegos primero acota la clasificación a una subinterfaz basándose en la dirección IP de origen del paquete.
Las políticas definidas para la zona se evalúan y aplican antes de que el paquete salga de la subinterfaz
correspondiente.
Para el tráfico de ruta de retorno, el cortafuegos compara la dirección IP de destino del modo definido en el
clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el tráfico a través
de la subinterfaz precisa.
No debe definirse la misma etiqueta de la VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas de la VLAN definidas en la lista Etiquetas permitidas de
la interfaz de Virtual Wire principal (Red > Cables virtuales) no se incluyen en una subinterfaz.
En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más redes. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar entre ellas. El cortafuegos
ejecutará el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN común.
Seleccione esta opción cuando necesite poder alternar.
Ilustración: Implementación de capa 2
Cambio entre
dos redes

En una implementación de capa 3, el cortafuegos enruta el tráfico entre múltiples puertos. Se debe asignar una
dirección IP a cada interfaz y definir un enrutador virtual para enrutar el tráfico. Seleccione esta opción cuando
necesite enrutamiento.
Ilustración: Implementación de capa 3
Enrutamiento entre
dos redes
10.1.2.1/24 10.1.1.1/24
Además, dado que el cortafuegos debe enrutar tráfico en una implementación de capa 3, deberá configurar un
enrutador virtual. Consulte Configuración de un enrutador virtual.
Compatibilidad con protocolo punto a punto sobre Ethernet
Puede configurar el cortafuegos para que sea un punto de finalización del protocolo punto a punto sobre
Ethernet (PPPoE) con el fin de permitir la conectividad en un entorno de línea de suscripción digital (DSL) en
el que existe un módem DSL, pero ningún otro dispositivo PPPoE que finalice la conexión.
Puede seleccionar la opción PPPoE y configurar los parámetros asociados si se define una interfaz como
interfaz de capa 3.
PPPoE no es compatible en modo HA activo/activo.
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y recibir una dirección
IP asignada dinámicamente. El cortafuegos también permite propagar los ajustes recibidos mediante la interfaz
del cliente DHCP en un servidor DHCP que funciona mediante cortafuegos. Esta opción se suele utilizar para
propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las máquinas cliente de la
red que están protegidas por el cortafuegos.
El cliente DHCP no es compatible en modo HA activo/activo.

Implementaciones de modo tap
Un tap de red es un dispositivo que proporciona acceso al flujo de datos de un equipo de la red. La
implementación de modo tap permite supervisar de forma pasiva los flujos de datos de una red mediante un
conmutador SPAN o un puerto espejo.
El puerto SPAN o de espejo permite copiar el tráfico de otros puertos en el conmutador. Al configurar una
interfaz del cortafuegos como interfaz de modo tap y conectarla con un puerto SPAN de conmutación, este
puerto proporciona al cortafuegos un reflejo del tráfico. De esta forma es posible visualizar la aplicación en la
red sin necesidad de estar en el flujo del tráfico de red.
En una implementación de modo tap, el cortafuegos no puede realizar ninguna acción como
bloquear el tráfico o aplicar controles QoS.

Configuración de un enrutador virtual Redes
Configuración de un enrutador virtual

El cortafuegos utiliza enrutadores virtuales para obtener rutas a otras subredes definiendo manualmente una
ruta (rutas estáticas) o mediante la participación en protocolos de enrutamiento de capa 3 (rutas dinámicas). Las
mejores rutas obtenidas a través de estos métodos se utilizan para cumplimentar la tabla de rutas IP del
cortafuegos. Cuando un paquete esté destinado a una subred diferente, el enrutador virtual obtendrá la mejor
ruta a partir de esta tabla de rutas IP y reenviará el paquete al siguiente enrutador de salto definido en la tabla.
Las interfaces Ethernet y VLAN definidas en el cortafuegos reciben y reenvían el tráfico de capa 3. La zona de
destino se deriva de la interfaz de salida basada en los criterios de reenvío y se consultas las normativas para
identificar las políticas de seguridad aplicadas. Además de enrutar a otros dispositivos de red, los enrutadores
virtuales pueden enrutar a otros enrutadores virtuales en el mismo cortafuegos si se especifica un siguiente salto
que señale a otro enrutador virtual.
Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinámico (BGP, OSPF o
RIP), así como añadir rutas estáticas. También puede crear varios enrutadores virtuales, cada uno de los cuales
mantendrá un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le permitirá
configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
Todas las interfaces de capa 3, de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un
enrutador virtual. Si bien cada interfaz únicamente puede pertenecer a un enrutador virtual, se pueden
configurar varios protocolos de enrutamiento y rutas estáticas para un enrutador virtual. Independientemente
de las rutas estáticas y los protocolos de enrutamiento dinámico configurados para un enrutador virtual, es
necesario contar con una configuración general común. El cortafuegos utiliza la conmutación de Ethernet para
leer otros dispositivos de la misma subred IP.
Los siguientes protocolos de enrutamiento de capa 3 son compatibles desde enrutadores virtuales:
 RIP
 OSPF
 OSPFv3
 BGP
Definición de una configuración general de enrutador virtual
Paso 1 Obtenga la información necesaria de su • Interfaces que quiere enrutar

administrador de red.
• Distancias administrativas para rutas estáticas, internas de OSFP,
externas de OSPF, IBGP, EBGP y RIP
Paso 2 Cree el enrutador virtual y asígnele un 1. Seleccione Red > Enrutadores virtuales.
nombre. 2. Haga clic en Añadir e introduzca un nombre para el enrutador
virtual.
3. Seleccione las interfaces que deben aplicarse al enrutador
virtual.

Redes Configuración de un enrutador virtual
Definición de una configuración general de enrutador virtual (Continuación)
Paso 3 Seleccione las interfaces que deben 1. Haga clic en Añadir en el cuadro Interfaces.
aplicarse al enrutador virtual. 2. Seleccione una interfaz ya definida en el menú desplegable.
3. Repita el paso 2 para todas las interfaces que quiera añadir al
enrutador virtual.
Paso 4 Establezca las distancias administrativas 1. Establezca las distancias administrativas según sea necesario.
para las rutas estáticas y el enrutamiento • Estático: Intervalo: 10-240, Valor predeterminado: 10
dinámico.
• Interna de OSPF: Intervalo: 10-240, Valor
predeterminado: 30
• Externa de OSPF: Intervalo: 10-240, Valor
predeterminado: 110
• IBGP: Intervalo: 10-240, Valor predeterminado: 200
• EBGP: Intervalo: 10-240, Valor predeterminado: 20
• RIP: Intervalo: 10-240, Valor predeterminado: 120
Paso 5 Guarde la configuración general del Haga clic en Aceptar para guardar la configuración.
enrutador virtual.
Paso 6 Compile los cambios. Haga clic en Confirmar. El dispositivo puede tardar hasta 90
segundos en guardar sus cambios.

Configuración de rutas estáticas Redes
Configuración de rutas estáticas

El siguiente procedimiento muestra cómo integrar el cortafuegos en la red mediante rutas estáticas.
Paso 1 Configure una ruta predeterminada hacia 1. Seleccione Red > Enrutador virtual y, a continuación, seleccione
su enrutador de Internet. el enlace predeterminado para abrir el cuadro de diálogo
Enrutador virtual.
2. Seleccione la pestaña Rutas estáticas y haga clic en Añadir.
Introduzca un Nombre para la ruta e introduzca la ruta en el
campo Destino (por ejemplo, 0.0.0.0/0).
3. Seleccione el botón de opción Dirección IP en el campo
Siguiente salto y, a continuación, introduzca la dirección IP y la
máscara de red para su puerta de enlace de Internet (por ejemplo,
208.80.56.1).
4. Haga clic en Aceptar dos veces para guardar la configuración de
enrutador virtual.
Paso 2 Configure la interfaz externa (la interfaz 1. Seleccione Red > Interfaces y, a continuación, seleccione la
que se conecta a Internet). interfaz que quiera configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2. Seleccione el Tipo de interfaz. Aunque su decisión aquí depende
de la topología de su red, este ejemplo muestra los pasos para
Capa 3.
predeterminado.
4. En la pestaña Configuración, seleccione Nueva zona en el menú
desplegable Zona de seguridad. En el cuadro de diálogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable y,
a continuación, haga clic en Aceptar.
IPv4 y el botón de opción Estático. Haga clic en Añadir en la
sección IP e introduzca la dirección IP y la máscara de red que
debe asignarse a la interfaz; por ejemplo, 208.80.56.100/24.
6. Para que pueda hacer ping en la interfaz, seleccione Avanzada >
Otra información, amplíe el menú desplegable Perfil de gestión
y seleccione Nuevo perfil de gestión. Introduzca un Nombre
para el perfil, seleccione Ping y, a continuación, haga clic en
Aceptar.

Redes Configuración de rutas estáticas
Configuración de interfaces y zonas (Continuación)
Paso 3 Configure la interfaz que se conecta a su 1. Seleccione Red > Interfaces y seleccione la interfaz que desee
red interna. configurar. En este ejemplo, estamos configurando Ethernet1/4
Nota En este ejemplo, la interfaz se conecta a un como la interfaz interna.
segmento de red que utiliza direcciones IP 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz.
privadas. Dado que las direcciones IP 3. En la pestaña Configurar, amplíe el menú desplegable Zona de
privadas no se pueden enrutar seguridad y seleccione Nueva zona. En el cuadro de diálogo
externamente, deberá configurar NAT. Zona, defina un Nombre para una nueva zona, por ejemplo
Consulte Configuración de políticas de Fiable y, a continuación, haga clic en Aceptar.
NAT para obtener información detallada.
4. Seleccione el mismo enrutador virtual que utilizó en el Paso 2; en
este ejemplo, el predeterminado.
IPv4 y el botón de opción Estático, haga clic en Añadir en la
Paso 4 Configure la interfaz que se conecta 1. Seleccione la interfaz que desee configurar.
a DMZ. 2. Seleccione Capa 3 en el menú desplegable Tipo de interfaz. En
este ejemplo, estamos configurando Ethernet1/13 como la
interfaz de DMZ.
seguridad y seleccione Nueva zona. En el cuadro de diálogo
Zona, defina un Nombre para una nueva zona, por ejemplo DMZ
y, a continuación, haga clic en Aceptar.
4. Seleccione el enrutador virtual que utilizó en el Paso 2; en este
ejemplo, el predeterminado.
IPv4 y el botón de opción Estático, haga clic en Añadir en la
Paso 5 Guarde la configuración de la interfaz. Haga clic en Confirmar.
Paso 6 Conecte los cables del cortafuegos. Conecte cables directos desde las interfaces que ha configurado al
conmutador o enrutador de cada segmento de red.
Paso 7 Verifique que las interfaces estén activas. Desde la interfaz web, seleccione Red > Interfaces y verifique que el
icono de la columna Estado de enlace es de color verde. También
puede supervisar el estado de enlace desde el widget Interfaces en el
Panel.

Configuración de RIP Redes
Configuración de RIP
RIP se ha diseñado para redes IP de pequeño tamaño y se basa en el recuento de saltos para determinar las rutas;
las mejores rutas tienen el menor número de saltos. RIP se basa en UDP y utiliza el puerto 520 para las
actualizaciones de rutas. Al limitar las rutas a un máximo de 15 saltos, el protocolo ayuda a evitar el desarrollo
de bucles de enrutamiento, además de limitar el tamaño de red admitido. Si se requieren más de 15 saltos, el
tráfico no se enruta. RIP también puede tardar más en converger que OSPF y otros protocolos de enrutamiento.
El cortafuegos admite RIP v2.
Configuración de RIP
Paso 1 Configure los ajustes de configuración Consulte Configuración de un enrutador virtual para obtener
general de enrutador virtual. información detallada.
Paso 2 Configure los ajustes de configuración 1. Seleccione la pestaña RIP.

general de RIP. 2. Seleccione la casilla de verificación Habilitar para habilitar el
protocolo RIP.
3. Seleccione la casilla Rechazar ruta por defecto si no desea conocer
ninguna ruta predeterminada a través de RIP. Este es el ajuste
predeterminado recomendado.
4. Cancele la selección de la casilla de verificación Rechazar ruta por
defecto si desea permitir la redistribución de rutas
predeterminadas a través de RIP.
Paso 3 Configure interfaces para el 1. Seleccione la pestaña secundaria Interfaces.

protocolo RIP. 2. Seleccione una interfaz del menú desplegable en el cuadro de
configuración Interfaz.
3. Seleccione una interfaz ya definida en el menú desplegable.
4. Seleccione la casilla de verificación Habilitar.
5. Seleccione la casilla de verificación Anunciar para anunciar una
ruta predeterminada a peers de RIP con el valor de medida
especificado.
6. Opcionalmente, puede seleccionar un perfil del menú desplegable
Perfil de autenticación. Consulte el Paso 5 para obtener más
detalles.
7. En el menú desplegable Modo, seleccione Normal, Pasivo o Enviar
únicamente.

Redes Configuración de RIP
Configuración de RIP (Continuación)
Paso 4 Configure los temporizadores de RIP. 1. Seleccione la pestaña secundaria Temporizadores.

2. Introduzca un valor en el cuadro Segundos del intervalo (seg),
que define la duración del intervalo del temporizador en segundos.
Esta duración se utiliza para el resto de los campos de
temporización de RIP. Valor predeterminado: 1. Intervalo: 1 - 60.
3. Introduzca un valor en el cuadro Intervalo de actualizaciones,
que define el número de intervalos entre los anuncios de
actualización de rutas. Valor predeterminado: 30.
Intervalo: 1 - 3600.
4. Introduzca un valor en el cuadro Intervalo de eliminación, que
define el número de intervalos entre el momento en el que vence la
ruta y su eliminación. Valor predeterminado: 180.
Intervalo: 1 - 3600.
5. Introduzca un valor en el cuadro Intervalos de vencimiento, que
define el número de intervalos entre el momento de la última
actualización de la ruta hasta su vencimiento. Valor
predeterminado: 120. Intervalo: 1 - 3600.
Paso 5 (Opcional) Configure perfiles de De manera predeterminada, el cortafuegos no utiliza autenticación de

autenticación. RIP para el intercambio entre vecinos de RIP. Opcionalmente, puede
configurar una autenticación de RIP entre vecinos de RIP mediante una
contraseña simple o mediante la autenticación MD5.
Autenticación de contraseña simple de RIP
1. Seleccione la pestaña secundaria Perfiles de autenticación.
2. Haga clic en Añadir.
3. Introduzca un nombre para el perfil de autenticación para
autenticar los mensajes RIP.
4. Seleccione Contraseña simple como Tipo de contraseña.
5. Introduzca una contraseña simple y, a continuación, confírmela.
Autenticación MD5 de RIP
autenticar los mensajes RIP.
4. Seleccione MD5 como Tipo de contraseña.
6. Introduzca una o más entradas de contraseña, incluidos:
• ID de clave, intervalo 0-255
• Clave
7. Opcionalmente, puede seleccionar el estado Preferido.
8. Haga clic en ACEPTAR para especificar la clave que deberá
utilizarse para autenticar el mensaje saliente.
9. Vuelva a hacer clic en ACEPTAR en el cuadro de configuración
Enrutador virtual - RIP - Perfil de autenticación.

Configuración de OSPF Redes
Configuración de OSPF
Open Shortest Path First (OSPF) es un protocolo de puerta de enlace interior (IGP) que suele utilizarse la
mayoría de las veces para gestionar dinámicamente rutas de red en redes de empresas de gran tamaño.
Determina las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando las rutas
a otros enrutadores mediante anuncios de estado de enlaces (LSA). La información recopilada de los LSA se
utiliza para construir un mapa de topología de la red. Este mapa de topología se comparte entre los enrutadores
de la red y se utiliza para cumplimentar la tabla de rutas de IP con rutas disponibles.
Los cambios en la topología de la red se detectan dinámicamente y se utilizan para generar un nuevo mapa de
topología en cuestión de segundos. Se calcula un árbol con la ruta más corta de cada ruta. Se utilizan las medidas
asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia, rendimiento de
red, disponibilidad de enlaces, etc. Además, estas medidas pueden configurarse de manera estática para dirigir el
resultado del mapa de topología de OSPF.
La implementación de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
 RFC 2328 (para IPv4)
 RFC 5340 (para IPv6)

Los siguientes temas ofrecen más información sobre el OSPF y los procedimientos para configurar OSPF en el
cortafuegos:
 Conceptos de OSPF
 Configuración de OSPF
 Configuración de OSPFv3
 Configuración del reinicio correcto de OSPF
 Confirmación del funcionamiento de OSPF
Consulte también How to Configure OSPF Tech Note (en inglés).
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que deberá comprender para configurar el cortafuegos
con el fin de que participe en la red de OSPF:
 OSPFv3
 Vecinos OSPF
 Áreas OSPF
 Tipos de enrutadores de OSPF

Redes Configuración de OSPF
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como tal,
permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuación se indican algunas de las
adiciones y los cambios en OSPFv3:
 Compatibilidad con varias instancias por enlace: Con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a través de un único enlace. Esto se consigue al asignar un número de ID de instancia de
OSPFv3. Una interfaz que esté asignada a una ID de instancia descartará paquetes que contengan un ID
diferente.
 Procesamiento de protocolos por enlace: OSPFv3 funciona según enlace en lugar de hacerlo según
subred IP como en OSPFv2.
 Cambios en las direcciones: Las direcciones IPv6 no están presentes en paquetes OSPFv3, excepto en el
caso de cargas de LSA en paquetes de actualización de estado de enlace. Los enrutadores vecinos se
identifican mediante el ID de enrutador.
 Cambios de autenticación: OSPFv3 no incluye ninguna capacidad de autenticación. Para configurar
OSPFv3 en un cortafuegos, es necesario un perfil de autenticación que especifique una carga de seguridad
encapsulada (ESP) o un encabezado de autenticación (AH) de IPv6. El procedimiento de nueva asignación
de claves especificado en el RFC 4552 no se admite en esta versión.
 Compatibilidad con varias instancias por enlace: Cada instancia se corresponde con un ID de instancia
incluido en el encabezado de paquete OSPFv3.
 Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intraárea.
Todos los cambios adicionales se describen de manera detallada en el RFC 5340.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red común y en la misma área OSPF que forman una relación
son vecinos OSPF. La conexión entre estos enrutadores puede ser a través de un dominio de difusión común o
mediante una conexión de punto a punto. Esta conexión se realiza a través del intercambio de paquetes de
saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para intercambiar actualizaciones de
enrutamiento entre enrutadores.
Áreas OSPF
OSPF funciona en un único sistema autónomo (AS). No obstante, las redes de dentro de este AS único pueden
dividirse en distintas áreas. De manera predeterminada, se crea el área 0. El área 0 puede funcionar por sí sola
o actuar como la red troncal de OSPF para un mayor número de áreas. Cada área OSPF recibe un nombre que
es un identificador de 32 bits, el cual, en la mayoría de los casos, se escribe en la misma notación decimal con
puntos que una dirección IP4. Por ejemplo, el área 0 suele escribirse como 0.0.0.0.

La topología de un área se mantiene en su propia base de datos de estados de enlaces y se oculta de otras áreas,
lo que reduce la cantidad de tráfico de enrutamiento que necesita OSPF. A continuación, la topología se
comparte de manera resumida entre áreas mediante un enrutador de conexión.
Tipos de áreas OSPF
Área troncal: El área 0 es el núcleo de una red de OSPF. El resto de las áreas se conectan a ella y todo el tráfico
entre las áreas debe atravesarla. Todo el enrutamiento entre las áreas se distribuye a través del área troncal. Si
bien el resto de las áreas OSPF debe conectarse al área troncal, esta conexión no tiene que ser directa y puede
realizarse a través de un enlace virtual.
Área OSPF normal: En un área OSPF normal, no hay restricciones; el área puede aceptar todo tipo de rutas.
Área OSPF de código auxiliar: Un área de código auxiliar no recibe rutas de otros sistemas autónomos. El
enrutamiento desde el área de código auxiliar se realiza a través de la ruta predeterminada hasta el área troncal.
Área de NSSA: Not So Stubby Area (NSSA) es un tipo de área de código auxiliar que puede importar rutas
externas con algunas excepciones limitadas.
Tipos de enrutadores de OSPF
Dentro de un área OSPF, los enrutadores se dividen en las siguientes categorías.

Enrutador interno: Enrutador que solamente tiene relaciones de vecino OSPF con los dispositivos de la misma
área.
Enrutador de borde de área (ABR): Enrutador que tiene relaciones de vecino OSPF con los dispositivos de
varias áreas. Los ABR recopilan información de topología de sus áreas adjuntas y la distribuyen al área troncal.
Enrutador troncal: Cualquier enrutador de OSPF adjunto a la red troncal de OSPF. Como los ABR siempre
están conectados a la red troncal, siempre se clasifican como enrutadores troncales.
Enrutador de límite de sistema autónomo (ASBR): Enrutador que se conecta a más de un protocolo de
enrutamiento e intercambia información de enrutamiento entre ellos.
OSPF determina las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando las
rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la información
sobre los enlaces entre él y el destino y puede realizar decisiones de enrutamiento de gran eficacia. Se asigna un
coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste, después de sumar todas las
interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las técnicas jerárquicas se utilizan para limitar el número de rutas que se deben anunciar y los LSA asociados.
Como OSPF procesa dinámicamente una cantidad considerable de información de enrutamiento, tiene mayores
requisitos de procesador y memoria que RIP.

Paso 1 Configure los ajustes de Consulte Configuración de un enrutador virtual para obtener información
configuración general de detallada.
enrutador virtual.
Paso 2 Configure los ajustes de 1. Seleccione la pestaña OSPF.

configuración general de OSPF. 2. Seleccione la casilla de verificación Habilitar para habilitar el protocolo
OSPF.
3. Seleccione la casilla Rechazar ruta por defecto si no desea conocer
ninguna ruta predeterminada a través de OSPF. Este es el ajuste
predeterminado recomendado.
4. Cancele la selección de la casilla de verificación Rechazar ruta por
defecto si desea permitir la redistribución de rutas predeterminadas a
través de OSPF.

Configuración de OSPF (Continuación)
Paso 3 Configure el tipo de áreas para el 1. Seleccione la pestaña secundaria Áreas y haga clic en Añadir.
protocolo OSPF. 2. Introduzca un identificador de área en formato x.x.x.x. Es el
identificador que cada vecino debe aceptar para formar parte de la
misma área.
3. Seleccione la pestaña secundaria Tipo.
4. Seleccione una de las siguientes opciones en el cuadro desplegable Tipo
de área:
• Normal: No hay restricciones; el área puede aceptar todos los tipos
de rutas.
• Código auxiliar: No hay salida desde el área. Para acceder a un
destino fuera del área, es necesario atravesar el límite, que conecta con
el resto de áreas. Si selecciona esta opción, configure lo siguiente:
– Aceptar resumen: Los anuncios de estado de enlaces (LSA) se
aceptan desde otras áreas. Si esta opción de un área de código
auxiliar de la interfaz de enrutador de borde de área (ABR) está
desactivada, el área OSPF se comportará como un área totalmente
de código auxiliar (TSA) y ABR no propagará ninguno de los LSA
de resumen.
– Anunciar ruta predeterminada: Los LSA de ruta predeterminada
se incluirán en los anuncios al área de código auxiliar junto con un
valor de medida configurado dentro del siguiente intervalo
configurado: 1-255.
• NSSA (Not-So-Stubby Area, área no totalmente de código auxiliar):
El cortafuegos solamente puede salir del área por rutas que no sean
rutas de OSPF. Si está seleccionado, configure Aceptar resumen y
Anunciar ruta predeterminada como se describe para Código
auxiliar. Si selecciona esta opción, configure lo siguiente:
– Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA
predeterminado.
– Intervalos extendidos: Haga clic en Añadir en la sección para
introducir intervalos de rutas externas para los que quiera habilitar
o suprimir los anuncios.
5. Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Es la
prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) según el protocolo OSPF. Si el valor es cero, el enrutador
no se designará como DR ni BDR.
• Perfil de autenticación: Seleccione un perfil de autenticación
definido previamente.
• Sincronización: Es recomendable que mantenga sincronizada su
configuración temporal predefinida.
• Vecinos: En interfaces p2pmp, introduzca la dirección IP de todos
los vecinos accesibles mediante esta interfaz.
6. Seleccione Normal, Pasivo o Enviar únicamente como el Modo.

Paso 4 Configure el intervalo de áreas 1. Seleccione la pestaña secundaria Intervalo.

para el protocolo OSPF. 2. Haga clic en Añadir para añadir direcciones de destino LSA en el área en
subredes.
3. Seleccione Anunciar o Suprimir los anuncios de LSA que coincidan con
la subred y haga clic en ACEPTAR. Repita esta acción para añadir
intervalos adicionales.
Paso 5 Configure las interfaces de áreas 1. Seleccione la pestaña secundaria Interfaz.

para el protocolo OSPF. 2. Haga clic en Añadir e introduzca la siguiente información para cada
interfaz que se incluirá en el área y haga clic en ACEPTAR.
• Interfaz: Seleccione una interfaz en el cuadro desplegable.
• Habilitar: Al seleccionar esta opción, la configuración de la interfaz
OSPF surte efecto.
• Pasivo: Seleccione la casilla de verificación si no desea que la interfaz
OSPF envíe o reciba paquetes OSPF. Aunque los paquetes OSPF no
se envían ni reciben, si selecciona esta opción, la interfaz se incluirá en
la base de datos de LSA.
• Tipo de enlace: Seleccione Difusión si desea poder acceder a todos
los vecinos mediante la interfaz y poder descubrirlos
automáticamente por mensajes de tipo hello de multicast OSPF,
como una interfaz Ethernet. Seleccione p2p (punto a punto) para
descubrir al vecino automáticamente. Seleccione p2mp (punto a
multipunto) si los vecinos se deben definir manualmente. La
definición manual de vecino solo se permite en modo p2mp.
• Métrica: Introduzca una medida de OSPF para esta interfaz. Valor
predeterminado: 10. Intervalo: 0-65535.
• Prioridad: Introduzca una prioridad de OSPF para esta interfaz. Es
la prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR). Valor predeterminado: 1. Intervalo: 0 - 255. Si el valor
se configura como cero, el enrutador no se designará como DR ni
BDR.
• Sincronización: Los siguientes ajustes de sincronización de OSPF se
pueden establecer aquí: Intervalo de saludo, Recuentos fallidos,
Intervalo de retransmisión y Retraso de tránsito. Palo Alto Networks
recomienda que mantenga los ajustes de sincronización
predeterminados.
• Si se selecciona p2mp como Tipo de enlace, introduzca las
direcciones IP de todos los vecinos a los que se pueda acceder a través
de esta interfaz.

Paso 6 Configure enlaces virtuales de 1. Seleccione la pestaña secundaria Enlace virtual.

áreas. 2. Haga clic en Añadir e introduzca la siguiente información para cada
enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR:
• Nombre: Introduzca un nombre para el enlace virtual.
• ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado
del enlace virtual.
• Área de tránsito: Introduzca el ID del área de tránsito que contenga
físicamente el enlace virtual.
• Habilitar: Selecciónelo para habilitar el enlace virtual.
• Sincronización: Es recomendable que mantenga su configuración
temporal predeterminada.
Paso 7 (Opcional) Configure perfiles de De manera predeterminada, el cortafuegos no utiliza autenticación de OSPF
autenticación. para el intercambio entre vecinos de OSPF. Opcionalmente, puede
configurar una autenticación de OSPF entre vecinos de OSPF mediante una
contraseña simple o mediante la autenticación MD5.
Autenticación de contraseña simple de OSPF
3. Introduzca un nombre para el perfil de autenticación para autenticar los
mensajes OSPF.
4. Seleccione Contraseña simple como Tipo de contraseña.
5. Introduzca una contraseña simple y, a continuación, confírmela.
Autenticación MD5 de OSPF
3. Introduzca un nombre para el perfil de autenticación para autenticar los
mensajes OSPF.
4. Seleccione MD5 como Tipo de contraseña.
6. Introduzca una o más entradas de contraseña, incluidos:
• ID de clave, intervalo 0-255
• Clave
• Seleccione la opción Preferido para especificar que la clave debe
utilizarse para autenticar mensajes salientes.
8. Vuelva a hacer clic en ACEPTAR en el cuadro de configuración
Enrutador virtual - OSPF - Perfil de autenticación.

Paso 8 Configure las opciones 1. Seleccione la pestaña secundaria Avanzado.

avanzadas de OSPF. 2. Seleccione la casilla de verificación Compatibilidad RFC 1583 para
garantizar la compatibilidad con RFC 1583.
3. Configure un valor para el temporizador Retraso de cálculo SPF (seg).
Este temporizador le permite definir el retraso de tiempo entre la
recepción de nueva información de topología y ejecutar un cálculo SPF.
Los valores menores permiten una reconvergencia OSPF más rápida.
Los enrutadores que se emparejan con el cortafuegos se deben
configurar de manera similar para optimizar los tiempos de
convergencia.
4. Configure un valor para el tiempo Intervalo LSA (seg). Este
temporizador especifica el tiempo mínimo entre las transmisiones de dos
instancias del mismo LSA (mismo enrutador, mismo tipo, mismo ID de
LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores
más bajos se pueden utilizar para reducir los tiempos de reconvergencia
cuando se producen cambios en la tipología.
Configuración de OSPFv3
Configuración de OSPFv3
Paso 2 Configure los ajustes de configuración 1. Seleccione la pestaña OSPF.

general de OSPF. 2. Seleccione la casilla de verificación Habilitar para habilitar el
protocolo OSPF.
3. Seleccione la casilla Rechazar ruta por defecto si no desea
conocer ninguna ruta predeterminada a través de OSPF. Este es
el ajuste predeterminado recomendado.
4. Cancele la selección de la casilla de verificación Rechazar ruta
por defecto si desea permitir la redistribución de rutas
predeterminadas a través de OSPF.
Paso 3 Configure los ajustes de configuración 1. Seleccione la pestaña OSPFv3.

general de OSPFv3. 2. Seleccione la casilla de verificación Habilitar para habilitar el
protocolo OSPF.
3. Seleccione la casilla Rechazar ruta por defecto si no desea
conocer ninguna ruta predeterminada a través de OSPFv3. Este
es el ajuste predeterminado recomendado.
Cancele la selección de la casilla de verificación Rechazar ruta
por defecto si desea permitir la redistribución de rutas
predeterminadas a través de OSPFv3.

Configuración de OSPFv3 (Continuación)
Paso 4 Configure el perfil de autenticación para Al configurar un perfil de autenticación, debe utilizar una carga de
el protocolo OSFPv3. seguridad encapsulada (ESP) o un encabezado de autenticación (AH)
de IPv6.
OSPFv3 no incluye ninguna capacidad de
autenticación propia; por el contrario, se Autenticación de ESP OSPFv3
basa completamente en IPSec para 1. Seleccione la pestaña secundaria Perfiles de autenticación.
proteger las comunicaciones entre 2. Haga clic en Añadir.
vecinos.
autenticar los mensajes OSPFv3.
4. Especifique un índice de política de seguridad (SPI). El SPI debe
coincidir entre ambos extremos de la adyacencia de OSPFv3. El
número del SPI debe ser un valor hexadecimal entre 00000000
y FFFFFFFF.
5. Seleccione ESP como Protocolo.
6. Seleccione un Algoritmo criptográfico del cuadro desplegable.
Puede no seleccionar ninguno o uno de los siguientes
algoritmos: SHA1, SHA256, SHA384, SHA512 o MD5.
7. Si en lugar de no seleccionar ningún valor, selecciona uno de
estos valores para el Algoritmo criptográfico, introduzca un
valor para Clave y, a continuación, confírmelo.
Autenticación de AH OSPFv3
autenticar los mensajes OSPFv3.
4. Especifique un índice de política de seguridad (SPI). El SPI debe
coincidir entre ambos extremos de la adyacencia de OSPFv3. El
número del SPI debe ser un valor hexadecimal entre 00000000
y FFFFFFFF.
5. Seleccione AH como Protocolo.
6. Seleccione un Algoritmo criptográfico del menú desplegable.
Debe introducir uno de los siguientes algoritmos: SHA1,
SHA256, SHA384, SHA512 o MD5.
7. Introduzca un valor para Clave y, a continuación, confírmelo.
9. Vuelva a hacer clic en ACEPTAR en el cuadro de diálogo
Enrutador virtual - OSPF - Perfil de autenticación.

Paso 5 Configure el tipo de áreas para el

1. Seleccione la pestaña secundaria Áreas.
protocolo OSPF.
3. Introduzca un ID de área. Es el identificador que cada vecino
debe aceptar para formar parte de la misma área.
4. Seleccione la pestaña secundaria General.
5. Seleccione una de las siguientes opciones en el menú
desplegable Tipo de área:
• Normal: No hay restricciones; el área puede aceptar todos los
tipos de rutas.
• Código auxiliar: No hay salida desde el área. Para acceder a
un destino fuera del área, es necesario atravesar el límite, que
conecta con el resto de áreas. Si selecciona esta opción,
configure lo siguiente:
– Aceptar resumen: Los anuncios de estado de enlaces
(LSA) se aceptan desde otras áreas. Si esta opción de un
área de código auxiliar de la interfaz de enrutador de borde
de área (ABR) está desactivada, el área OSPF se comportará
como un área totalmente de código auxiliar (TSA) y ABR
no propagará ninguno de los LSA de resumen.
– Anunciar ruta predeterminada: Los LSA de ruta
predeterminada se incluirán en los anuncios al área de
código auxiliar junto con un valor de medida configurado
dentro del siguiente intervalo configurado: 1-255.
• NSSA (Not-So-Stubby Area, área no totalmente de código
auxiliar): El cortafuegos solamente puede salir del área por
rutas que no sean rutas de OSPF. Si está seleccionado,
configure Aceptar resumen y Anunciar ruta
predeterminada como se describe para Código auxiliar. Si
selecciona esta opción, configure lo siguiente:
– Tipo: Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar
el LSA predeterminado.
– Intervalos extendidos: Haga clic en Añadir en la sección
para introducir intervalos de rutas externas para los que
quiera habilitar o suprimir los anuncios.

Paso 6 Asocie un perfil de autenticación OSPFv3 Para un área

a un área o una interfaz. 1. Seleccione la pestaña secundaria Áreas.
2. Seleccione un área existente de la tabla.
3. Seleccione un Perfil de autenticación definido previamente del
menú desplegable Autenticación de la pestaña secundaria
General.
Para una interfaz
1. Seleccione la pestaña secundaria Áreas.
2. Seleccione un área existente de la tabla.
3. Seleccione la pestaña secundaria Interfaz y haga clic en Añadir.
4. Seleccione el perfil de autenticación que desee asociar a la
interfaz OSPF desde el menú desplegable Perfil de
autenticación.
Paso 7 (Opcional) Configure reglas de 1. Seleccione la pestaña secundaria Exportar.

exportación. 2. Haga clic en Añadir.
3. Seleccione la casilla de verificación Permitir redistribución de
ruta predeterminada para permitir la redistribución de rutas
predeterminadas a través de OSPFv3.
4. Seleccione el nombre del perfil de redistribución. El valor debe
ser una subred IP o un nombre de perfil de redistribución válido.
5. Seleccione una medida que debe aplicarse al Nuevo tipo de ruta.
6. Especifique una Nueva etiqueta para la ruta coincidente que
tenga un valor de 32 bits.
7. Asigne una medida para la nueva regla.
El valor puede ser: 1 - 65535.

Paso 8 Configure las opciones avanzadas de 1. Seleccione la pestaña secundaria Avanzado.

OSPFv3. 2. Seleccione la casilla de verificación Deshabilitar enrutamiento
de tránsito para el cálculo de SPF si quiere que el cortafuegos
participe en la distribución de la topología de OSPF sin ser
utilizado para reenviar tráfico de tránsito.
3. Configure un valor para el temporizador Retraso de cálculo
SPF (seg).
Este temporizador le permite definir el retraso de tiempo entre
la recepción de nueva información de topología y ejecutar un
cálculo SPF. Los valores menores permiten una reconvergencia
OSPF más rápida. Los enrutadores que se emparejan con el
cortafuegos se deben configurar de manera similar para
optimizar los tiempos de convergencia.
4. Configure un valor para el tiempo Intervalo LSA (seg). Este
temporizador especifica el tiempo mínimo entre las
transmisiones de dos instancias del mismo LSA (mismo
enrutador, mismo tipo, mismo ID de LSA). Es un equivalente
de MinLSInterval en RFC 2328. Los valores más bajos se
pueden utilizar para reducir los tiempos de reconvergencia
cuando se producen cambios en la tipología.
5. Configure la sección Reinicio correcto como se describe en
Configuración del reinicio correcto de OSPF.
Configuración del reinicio correcto de OSPF
Reinicio correcto de OSPF dirige a los vecinos OSPF para que sigan utilizando rutas a través de un dispositivo
durante una breve transición cuando esté fuera de servicio. Esto aumenta la estabilidad de red reduciendo la
frecuencia de reconfiguración de la tabla de rutas y los flaps de ruta relacionados que pueden producirse durante
breves tiempos de inactividad periódicos.
Para un cortafuegos de Palo Alto Networks, esto implica las siguientes operaciones:
 Cortafuegos como dispositivo de reinicio: En una situación en la que el cortafuegos vaya a estar inactivo
durante un breve período de tiempo o no esté disponible durante intervalos breves, enviará LSA de gracia a
sus vecinos OSPF. Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio
correcto. En el modo auxiliar, los vecinos reciben los LSA de gracia que le informan que el cortafuegos
realizará un reinicio correcto en un período de tiempo especificado definido como el Período de gracia.
Durante el período de gracia, el vecino sigue reenviando rutas a través del cortafuegos y enviando LSA que
anuncian rutas a través del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que venza el
período de gracia, el reenvío de tráfico seguirá como antes sin ninguna interrupción de la red. Si el
cortafuegos no reanuda su funcionamiento después de que venza el período de gracia, los vecinos saldrán
del modo auxiliar y reanudarán el funcionamiento normal, lo que implicará la reconfiguración de la tabla de
rutas para eludir el cortafuegos.

 Cortafuegos como auxiliar de reinicio correcto: En una situación en la que los enrutadores vecinos
puedan estar inactivos durante breves períodos de tiempo, se puede configurar el cortafuegos para que
funcione en el modo auxiliar de reinicio correcto. Si se configura con este modo, el cortafuegos se
configurará con un Máx. de hora de reinicio del mismo nivel. Cuando el cortafuegos reciba los LSA de
gracia de su vecino OSFP, seguirá enrutando tráfico al vecino y anunciando rutas a través del vecino hasta
que venza el período de gracia o el máximo de hora de reinicio del mismo nivel. Si ninguno de los dos vence
antes de que el vecino vuelva a estar en funcionamiento, el reenvío de tráfico continuará como antes sin
ninguna interrupción de la red. Si ninguno de los dos períodos vence antes de que el vecino vuelva a estar
en funcionamiento, el cortafuegos saldrá del modo auxiliar y reanudará el funcionamiento normal, que
implicará la reconfiguración de la tabla de rutas para eludir el vecino.
Configuración del reinicio correcto de OSPF
Paso 1 Seleccione Red > Enrutadores virtuales y seleccione el enrutador virtual que quiera configurar.
Paso 2 Seleccione OSPF > Avanzado.
Paso 3 Verifique que las siguientes casillas de verificación están seleccionadas (están habilitadas de manera
predeterminada).
Seleccione Habilitar reinicio correcto, Habilitar modo auxiliar y Habilitar comprobación de LSA estricta.
Las tres opciones deberían permanecer seleccionadas a menos que su topología lo requiera.
Paso 4 Configure un Período de gracia en segundos.
Paso 5 Configure un Máx. de hora de reinicio del mismo nivel en segundos.
Confirmación del funcionamiento de OSPF
Una vez se haya compilado una configuración de OSPF, podrá utilizar cualquiera de las operaciones siguientes
para confirmar que OSPF está funcionando:
 Visualización de la tabla de rutas
 Confirmación de adyacencias de OSPF
 Confirmación de que se han establecido conexiones de OSPF
Visualización de la tabla de rutas
Al visualizar la tabla de rutas, puede ver si se han establecido rutas de OSPF. Se puede acceder a la tabla de rutas
desde la interfaz web o la CLI. Si está utilizando la CLI, utilice los siguientes comandos:
 show routing route
 show routing fib

El siguiente procedimiento describe cómo utilizar la interfaz web para ver la tabla de rutas.

Visualización de la tabla de rutas
Paso 1 Seleccione Red > Enrutadores virtuales.
Paso 2 Seleccione la pestaña Enrutamiento y examine la columna Marcas de la tabla de rutas para determinar qué rutas
ha obtenido OSPF.
Confirmación de adyacencias de OSPF
Visualizando la pestaña Vecino como se describe en el procedimiento siguiente, puede confirmar que las
adyacencias de OSPF se han establecido.
Visualización de la pestaña Vecino para confirmar adyacencias de OSPF
Paso 1 Seleccione Red > Enrutadores virtuales.

Visualización de la pestaña Vecino para confirmar adyacencias de OSPF (Continuación)
Paso 2 Seleccione OSPF > Vecino y examine la columna Estado para determinar si se han establecido adyacencias de
OSPF.
Confirmación de que se han establecido conexiones de OSPF
Al visualizar el log de sistema, puede confirmar que se han establecido conexiones de OSPF según se describe
en el procedimiento siguiente:
Examen del log de sistema
Paso 1 Seleccione Supervisar > Sistema y busque mensajes que confirmen que se han establecido adyacencias de
OSPF.
Paso 2 Seleccione la pestaña secundaria OSPF > Vecino y examine la columna Estado para determinar si se han
establecido adyacencias de OSPF.

Redes Configuración de BGP
Configuración de BGP
El protocolo de puerta de enlace de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP
determina el alcance de la red en función de los prefijos IP que están disponibles en sistemas autónomos (AS),
donde un sistema autónomo es un conjunto de prefijos IP que un proveedor de red ha designado para formar
parte de una política de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la política permite
una ruta, se guarda en la base de información de enrutamiento (RIB). Cada vez que se actualiza la RIB del
cortafuegos local, el cortafuegos determina las rutas óptimas y envía una actualización a la RIB externa, si se
activa la exportación.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas BGP. Las rutas BGP
deben cumplir las normas de anuncios condicionales para poder anunciarse a los peers.
BGP admite la especificación de agregados, que combinan múltiples rutas en una ruta única. Durante el proceso
de agregación, el primer paso es encontrar la regla de agregación correspondiente ejecutando la correspondencia
más larga que compare la ruta entrante con los valores de prefijo de otras reglas de agregación.
Para obtener más información sobre BGP, consulte How to Configure BGP Tech Note (Nota técnica sobre
cómo configurar BGP).
El cortafuegos proporciona una implementación completa de BGP que incluye las siguientes funciones:
 Especificación de una instancia de enrutamiento BGP por enrutador virtual.
 Políticas de enrutamiento basadas en asignaciones de rutas para controlar los procesos de importación,
exportación y anuncios, filtrado basado en prefijos y agregación de direcciones.
 Funciones BGP avanzadas que incluyen un reflector de ruta, confederación de AS, amortiguación de flap de
ruta y reinicio correcto.
 Interacción IGP-BGP para introducir rutas en BGP utilizando perfiles de redistribución.

La configuración BGP se compone de los siguientes elementos:
 Configuraciones por instancia de enrutamiento, que incluyen parámetros básicos como opciones avanzadas
de ID de ruta local y AS local como selección de ruta, reflector de ruta, confederación AS, flap de ruta y
perfiles de amortiguación.
 Perfiles de autenticación que especifican la clave de autenticación MD5 para conexiones BGP.
 Ajustes de vecino y grupos de peers, que incluyen opciones avanzadas de direcciones de vecino y AS como
atributos y conexiones de vecino.
 Política de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers utilizan para
implementar las importaciones, exportaciones, anuncios condicionales y controles de agregación de
dirección.
Configuración de BGP

Configuración de BGP Redes
Configuración de BGP (Continuación)
Paso 2 Configure los ajustes de configuración 1. Seleccione la pestaña BGP.

general de BGP. 2. Seleccione la casilla de verificación Habilitar para habilitar el
protocolo BGP.
3. Asigne una dirección IP al enrutador virtual en el cuadro ID del
enrutador.
4. Introduzca el número del AS al que pertenece el enrutador virtual
en el cuadro Número AS, basándose en el ID del enrutador.
Intervalo: 1-4294967295
Paso 3 Configure los ajustes de configuración 1. Seleccione BGP > General.

general de BGP. 2. Seleccione la casilla de verificación Rechazar ruta por defecto
para ignorar todas las rutas predeterminadas anunciadas por peers
BGP.
3. Seleccione la casilla de verificación Instalar ruta para instalar rutas
BGP en la tabla de rutas global.
4. Seleccione la casilla de verificación Agregar MED para habilitar la
agregación de rutas, incluso cuando las rutas tengan valores
diferentes de discriminador de salida múltiple (MED).
5. Introduzca un valor para la Preferencia local predeterminada
que especifique un valor que puede utilizarse para determinar las
preferencias entre diferentes rutas.
6. Seleccione uno de los siguientes valores para el formato AS con
fines de interoperabilidad:
• 2 bytes (valor predeterminado)
• 4 bytes
7. Habilite o deshabilite cada uno de los siguientes valores de
Selección de rutas:
• Comparar siempre MED: Habilite esta comparación para elegir
rutas de vecinos en diferentes sistemas autónomos.
• Comparación determinista de MED: Habilite esta comparación
para elegir entre rutas anunciadas por peers IBGP (peers BGP
en el mismo sistema autónomo).
8. Haga clic en Añadir para incluir un nuevo perfil de autenticación y
configurar los siguientes ajustes:
• Nombre del perfil: Introduzca un nombre para identificar el
perfil.
• Secreto/Confirmar secreto: Introduzca y confirme la
contraseña para comunicaciones de peer BGP.

Paso 4 Configure los ajustes avanzados de 1. En la pestaña secundaria Avanzado, seleccione Reinicio correcto
BGP (opcional). y configure los siguientes temporizadores:
• Tiempo de ruta obsoleto (seg): Especifica la cantidad de
tiempo en segundos que una ruta puede permanecer en el
estado obsoleto. Intervalo: 1 - 3600 segundos. Valor
predeterminado: 120 segundos.
• Hora de reinicio local (seg): Especifica la cantidad de tiempo
en segundos que el dispositivo local tarda en reiniciar. Este valor
se anuncia a los peers. Intervalo: 1 - 3600 segundos. Valor
predeterminado: 120 segundos.
• Máx. de hora de reinicio del peer (seg): Especifica el tiempo
máximo en segundos que el dispositivo local acepta como
período de gracia para reiniciar los dispositivos peer. Intervalo:
1 - 3600 segundos. Valor predeterminado: 120 segundos.
2. Especifique un identificador IPv4 que represente el clúster
reflector en el cuadro ID de clúster reflector.
3. Especifique el identificador de la confederación AS que se
presentará como un AS único a los peers BGP externos en el
cuadro AS de miembro de confederación.
4. Haga clic en Añadir e introduzca la siguiente información para
cada perfil de amortiguación que quiera configurar, seleccione
Habilitar y haga clic en ACEPTAR:
• Nombre del perfil: Introduzca un nombre para identificar el
perfil.
• Corte: Especifique un umbral de retirada de ruta por encima del
cual se suprime un anuncio de ruta. Intervalo: 0,0-1000,0. Valor
predeterminado: 1,25.
• Reutilizar: Especifique un umbral de retirada de ruta por
debajo del cual una ruta suprimida se vuelve a utilizar. Intervalo:
0,0-1000,0. Valor predeterminado: 5.
• Máx. de tiempo de espera (seg): Especifique el tiempo
máximo en segundos durante el que una ruta se puede suprimir,
con independencia de su inestabilidad. Intervalo: 0-3600
segundos. Valor predeterminado: 900 segundos.
• Media vida de disminución alcanzable (seg): Especifique el
tiempo en segundos después del cual la métrica de estabilidad de
una ruta se divide entre dos si la ruta se considera alcanzable.
Intervalo: 0-3600 segundos. Valor predeterminado: 300
segundos.
• Media vida de disminución no alcanzable (seg): Especifique el
tiempo en segundos después del cual la métrica de estabilidad de
una ruta se divide entre dos si la ruta se considera no alcanzable.
Intervalo: 0 - 3600 segundos. Valor predeterminado: 300
segundos.

Paso 5 Configure el grupo del peer BGP. 1. Seleccione la pestaña secundaria Grupo del peer y haga clic en
Añadir.
2. Introduzca un Nombre para el grupo del peer y seleccione
Habilitar.
3. Seleccione la casilla de verificación Agregar ruta AS confederada
para incluir una ruta a la AS de confederación agregada
configurada.
4. Seleccione la casilla de verificación Restablecimiento parcial con
información almacenada para ejecutar un restablecimiento parcial
del cortafuegos después de actualizar los ajustes de peer.
5. Especifique el tipo o grupo de peer en el cuadro desplegable Tipo
y configure los ajustes asociados (consulte la tabla siguiente para
ver las descripciones de Importar siguiente salto y Exportar
siguiente salto).
• IBGP: Exportar siguiente salto: Especifique Original o
Utilizar automático.
• EBGP confederado: Exportar siguiente salto: Especifique
Original o Utilizar automático.
• EBGP confederado: Exportar siguiente salto: Especifique
Original o Utilizar automático.
• EBGP: Importar siguiente salto: Especifique Original o
Utilizar automático, Exportar siguiente salto: Especifique
Resolver o Utilizar automático. Seleccione Eliminar AS
privado si desea forzar que BGP elimine números AS privados.

Paso 6 Configure reglas de importación y 1. Seleccione la pestaña Importar y, a continuación, haga clic en
exportación. Añadir e introduzca un nombre en el campo Reglas y seleccione
la casilla de verificación Habilitar.
Las reglas de importación/exportación
se utilizan para importar/exportar 2. Haga clic en Añadir y seleccione el Grupo del peer desde el que se
rutas desde/hacia otros enrutadores. importarán las rutas.
Por ejemplo, puede importar la ruta 3. Haga clic en la pestaña Coincidencia y defina las opciones
predeterminada desde su proveedor de utilizadas para filtrar la información de enrutamiento. También
servicios de Internet. puede definir el valor de discriminador de salida múltiple (MED) y
un valor de siguiente salto como enrutadores o subredes para el
filtrado de rutas. La opción MED es una medida externa que
permite que los vecinos sepan cuál es la ruta preferida de un AS. Se
prefiere un valor más bajo antes que un valor más alto.
4. Haga clic en la pestaña Acción y defina la acción que debería
producirse (permitir/denegar) basándose en las opciones de
filtrado definidas en la pestaña Coincidencia. Si se selecciona
Denegar, no será necesario definir más opciones. Si se selecciona
la acción Permitir, defina los otros atributos.
5. Haga clic en la pestaña Exportar y defina atributos de exportación,
que son similares a los ajustes de Importar, pero que se utilizan
para controlar la información de rutas que se exporta desde el
cortafuegos a los vecinos.
Paso 7 Configure los anuncios condicionales, 1. Seleccione la pestaña Anuncio condicional, haga clic en Añadir e
que le permiten controlar la ruta que se introduzca un nombre en el campo Política.
anunciará en caso de que no exista 2. Seleccione la casilla de verificación Habilitar.
ninguna ruta diferente en la tabla de
3. Haga clic en Añadir y, en la sección Utilizado por, introduzca los
rutas BGP local (LocRIB), indicando
grupos del que utilizarán la política de anuncios condicionales.
un fallo de peering o alcance. Esta
función es muy útil si desea probar y 4. Seleccione la pestaña Filtro no existente y defina los prefijos de
forzar rutas de un AS a otro, por red de la ruta preferida. Especifica la ruta que desea anunciar, si
ejemplo, si tiene enlaces a Internet con está disponible en la tabla de ruta de BGP local. Si un prefijo se va
varios ISP y desea enrutar el tráfico a a anunciar y coincide con un filtro no existente, el anuncio se
un único proveedor, en lugar de a los suprimirá.
otros, salvo que se produzca una 5. Seleccione la pestaña Anunciar filtros y defina los prefijos de la
pérdida de conectividad con el ruta de la tabla de rutas Local-RIB que se debería anunciar en caso
proveedor preferido. de que la ruta del filtro no existente no esté disponible en la tabla
de rutas local. Si un prefijo se va a anunciar y no coincide con un
filtro no existente, el anuncio se producirá.

Paso 8 Configure opciones agregadas para 1. Seleccione la pestaña Agregado, haga clic en Añadir e introduzca
rutas de resúmenes en la configuración un nombre para la dirección agregada.
de BGP. 2. En el campo Prefijo, introduzca el prefijo de red que será el prefijo
La agregación de rutas de BGP se principal de los prefijos agregados.
utiliza para controlar el modo en que 3. Seleccione la pestaña Suprimir filtros y defina los atributos que
BGP agrega direcciones. Cada entrada harán que las rutas coincidentes se supriman.
de la tabla da como resultado la 4. Seleccione la pestaña Anunciar filtros y defina los atributos que
creación de una dirección agregada. El harán que las rutas coincidentes se anuncien siempre a los peers.
resultado será una entrada agregada en
la tabla de rutas cuando se obtiene al
menos una o más rutas específicas que
coinciden con la dirección especificada.
Paso 9 Configure las reglas de redistribución. 1. Seleccione la pestaña Reglas de redistr. y haga clic en Añadir.
Esta regla se utiliza para redistribuir las 2. En el campo Nombre, introduzca una subred IP o seleccione un
rutas de host y las rutas desconocidas perfil de redistribución. También puede configurar un nuevo perfil
que no se encuentran en la RIB local de de redistribución desde el menú desplegable si es necesario.
los enrutadores de peers. 3. Haga clic en la casilla de verificación Habilitar para habilitar la
regla.
4. En el campo Medida, introduzca la medida de la ruta que se
utilizará para la regla.
5. En el menú desplegable Establecer origen, seleccione
Incompleto, IGP o EGP.
6. Opcionalmente, establezca MED, preferencia local, límite de ruta
AS y valores de comunidad.

Guia de Administracion FW Palo Alto PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guia de Administracion FW Palo Alto PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Palo Alto Networks®

Guía del administrador de PAN-OS

Acerca de esta guía

 Para obtener instrucciones de principio a fin sobre cómo configurar un nuevo

 Para acceder al conjunto completo de documentación técnica, vaya a

 Para acceder a la base de conocimientos y los foros de debate, vaya a

Palo Alto Networks, Inc.

Gestión de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

Guía del administrador de PAN-OS i

Alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

ii Guía del administrador de PAN-OS

Guía del administrador de PAN-OS iii

Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

iv Guía del administrador de PAN-OS

Calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

VPN a gran escala (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

Guía del administrador de PAN-OS v

vi Guía del administrador de PAN-OS

Integración del cortafuegos en su red de gestión

Configuración del acceso a la gestión del cortafuegos

Determinación de la estrategia de gestión

 Reducir la complejidad y la carga administrativa en la configuración de la gestión, políticas, software y cargas

Realización de la configuración inicial

De forma predeterminada, la dirección IP del cortafuegos es 192.168.1.1 y el nombre de usuario/contraseña es

Configuración del acceso de red al cortafuegos

Paso 1 Obtenga la información necesaria de su • Dirección IP para el puerto MGT

Configuración del acceso de red al cortafuegos (Continuación)

Configuración del acceso de red al cortafuegos (Continuación)

Paso 9 Conecte el cortafuegos a su red. 1. Desconecte el cortafuegos de su ordenador.

Establecimiento de acceso a la red para servicios externos

Establecimiento de un puerto de datos para acceder a servicios externos

Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)

Paso 3 (Opcional) El cortafuegos viene Debe eliminar la configuración en el siguiente orden:

Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)

Establecimiento de un puerto de datos para acceder a servicios externos (Continuación)

3. Si usa una dirección IP

Activación de servicios de cortafuegos

Registro en Palo Alto Networks

Registro del cortafuegos

Gestión de la actualización de contenidos

Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en

 Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no requiere

 Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta

Si su cortafuegos no tiene acceso a Internet desde el puerto de gestión, puede descargar

Descarga de las bases de datos más recientes

Paso 3 Compruebe las actualizaciones más recientes.

Descarga de las bases de datos más recientes (Continuación)

Paso 5 Programe cada actualización. 1. Establezca la programación de cada tipo de actualización

Instalación de actualizaciones de software

Paso 4 Instale la actualización. 1. Haga clic en Instalar.

• Si no se le pide que reinicie, seleccione Dispositivo >

Creación del perímetro de seguridad

Descripción general del perímetro de seguridad

Implementaciones de cortafuegos básicas

Implementaciones de cable virtual

Acerca de la traducción de direcciones de red (NAT)

Acerca de las políticas de seguridad

Componentes de una política de seguridad

Zona de origen Zona en la que se origina el tráfico.

Campo Descripción (Continuación)

Campo Descripción (Continuación)