Escolar Documentos
Profissional Documentos
Cultura Documentos
Contenido
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Captulo 1
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Captulo 4
Configuracin de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Directrices de definicin de polticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Especificacin de usuarios y aplicaciones para las polticas. . . . . . . . . . . . . 202
Polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Definicin de polticas de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Determinacin de configuracin de zona en
NAT y poltica de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . . 210
Ejemplos de poltica NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
Reglas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Definicin de aplicacin personalizada con cancelacin de aplicacin . . . . 222
Definicin de polticas de cancelacin de aplicacin . . . . . . . . . . . . . . . . . . 222
Polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Definicin de polticas de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Polticas de proteccin DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Direcciones y grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Definicin de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Definicin de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Definicin de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Definicin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Aplicaciones personalizadas con firmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Definicin de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Filtros de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Categoras de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Listas de bloqueos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . . 263
Definicin de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Captulo 7
Configuracin del cortafuegos para la identificacin de usuarios . . . . 307
Captulo 8
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . 389
Captulo 11
Configuracin de un Cortafuegos de la serie VM . . . . . . . . . . . . . . . . 399
Captulo 12
Configuracin de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Captulo 13
Gestin centralizada del dispositivo mediante Panorama. . . . . . . . . . . 419
Captulo 14
Configuracin de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Apndice A
Pginas personalizadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Pgina de respuesta antivirus predeterminada . . . . . . . . . . . . . . . . . . . . . . . . . 471
Pgina de bloque de aplicacin predeterminada . . . . . . . . . . . . . . . . . . . . . . . 473
Pgina de bloque de bloqueo de archivo predeterminado . . . . . . . . . . . . . . . . 473
Pgina de respuesta de filtrado de URL predeterminada . . . . . . . . . . . . . . . . . 474
Pgina de respuesta de la descarga de antispyware predeterminada . . . . . . 475
Pgina de respuesta de exclusin de descifrado predeterminada . . . . . . . . . . 476
Apndice B
Categoras, subcategoras, tecnologas y caractersticas
de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Apndice C
Compatibilidad con los estndares federales de
procesamiento de la informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483
Apndice D
Licencias de cdigo abierto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Licencia artstica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Licencia pblica general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489
Licencia pblica general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . . 494
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Prefacio
Este prefacio contiene las siguientes secciones:
Acerca de esta gua en la seccin siguiente
Organizacin en la pgina 13
Organizacin
Esta gua est organizada de la siguiente forma:
Captulo 1, Introduccin: proporciona una descripcin general del cortafuegos.
Captulo 13, Gestin centralizada del dispositivo mediante Panorama: describe cmo
utilizar Panorama para gestionar varios cortafuegos.
Captulo 14, Configuracin de WildFire: describe cmo utilizar WildFire para elaborar
anlisis e informes sobre el software malintencionado que pase por el cortafuegos.
Convenciones tipogrficas
En esta gua se utilizan las siguientes convenciones tipogrficas para trminos e instrucciones
especiales.
Notas y precauciones
En esta gua se utilizan los siguientes smbolos para notas y precauciones.
Smbolo Descripcin
NOTA
Indica sugerencias tiles o informacin complementaria.
PRECAUCIN
Indica acciones que podran provocar prdidas de datos.
Documentacin relacionada
La siguiente documentacin adicional se incluye con el cortafuegos:
Gua de inicio rpido
Caractersticas y ventajas
El cortafuegos ofrece un control detallado del trfico que tiene permiso para acceder a su red.
Las principales caractersticas y ventajas incluyen las siguientes:
Cumplimiento de polticas basadas en aplicaciones: El control de acceso segn
aplicaciones es mucho ms eficaz cuando la identificacin de las aplicaciones no se basa
nicamente en el protocolo y el nmero de puerto. Se pueden bloquear las aplicaciones de
alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos. El
trfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse e
inspeccionarse.
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL en la pgina 235).
Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada para
su uso en un entorno de centro de datos virtual y adaptada especialmente para
implementaciones en nubes privadas y pblicas. Se instala en cualquier dispositivo x86
que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware de Palo
Alto Networks.
Gestin y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva o
una interfaz de lnea de comandos (CLI). Del mismo modo, todos los dispositivos pueden
gestionarse de manera centralizada mediante el sistema de gestin centralizado de
Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.
Interfaces de gestin
El cortafuegos admite las siguientes interfaces de gestin. Consulte Exploradores
compatibles en la pgina 28 para obtener una lista de los exploradores compatibles.
Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS
desde un explorador web.
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos. La
interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye funciones
de gestin adicionales. Consulte Configuracin de Panorama en la pgina 407 para
obtener instrucciones sobre cmo instalar Panorama y Gestin centralizada del
dispositivo mediante Panorama en la pgina 419 para obtener informacin sobre cmo
utilizar Panorama.
Protocolo simple de administracin de red (SNMP): Admite RFC 1213 (MIB-II) y RFC
2665 (interfaces Ethernet) para una supervisin remota y genera traps SNMP para uno o
ms destinos de traps (trap sinks) (consulte Configuracin de destinos de traps SNMP
en la pgina 83).
2. Encienda su equipo. Asigne una direccin IP esttica a su equipo en la red 192.168.1.0 (por
ejemplo, 192.168.1.5) con una mscara de red de 255.255.255.0.
4. Introduzca admin en los campos Nombre y Contrasea y haga clic en Inicio de sesin. El
sistema presenta una advertencia para cambiar la contrasea predeterminada. Haga clic
en ACEPTAR para continuar.
10. Compile la configuracin para activar estos ajustes. Una vez compile los cambios, el
cortafuegos ser alcanzable a travs de la direccin IP asignada en Paso 5. Para obtener
informacin acerca de la compilacin de cambios, consulte Compilacin de cambios en
la pgina 26.
Para mostrar los elementos del men secundario, haga clic en el icono a la izquierda
de un elemento. Para ocultar elementos del men secundario, haga clic en el icono a
la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un
nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en
Eliminar. En la mayora de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminacin haciendo clic en Cancelar.
Para visualizar informacin de ayuda en una pgina, haga clic en el icono Ayuda en el
rea superior derecha de la pgina.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la pgina. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina
Configuracin en la pestaa Dispositivos), haga clic en el icono en la esquina superior
derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuracin
actual de candidato.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de dilogo
compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuracin de objetos y polticas en la operacin de compilacin.
Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuracin del candidato en
comparacin con la configuracin actualmente en ejecucin. Puede seleccionar el
nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los cambios
estn indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La funcin Auditora de configuraciones > del dispositivo realiza la misma funcin,
consulte Comparacin de archivos de configuracin en la pgina 53.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarilla claro. Cuando pasa el ratn o hace
clic en el rea de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de
configuracin o compilacin de informacin por otro administrador hasta que se elimine el
bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin: Bloquea la realizacin de cambios en la configuracin por
otros administradores. Se puede establecer este tipo de bloqueo de forma general o para
un sistema virtual. Solo puede eliminarse por el administrador que lo configur o por un
superusuario del sistema.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que estn bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado en la barra superior
para abrir el cuadro de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado en la barra superior
para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo que desea eliminar y
haga clic en S para confirmar. Haga clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica
seleccionando la casilla de verificacin Adquirir bloqueo de compilacin automticamente
en el rea de administracin de la pgina Configuracin de dispositivo. Consulte
Configuracin del sistema, configuracin y gestin de licencias en la pgina 32.
Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web
para acceder al sistema de ayuda en lnea.
Asistencia tcnica
Para acceder a la asistencia tcnica, utilice uno de los mtodos siguientes:
Vaya a la comunidad de asistencia tcnica en lnea de KnowledgePoint en
http://live.paloaltonetworks.com.
Vaya a https://support.paloaltonetworks.com.
Este captulo describe cmo realizar la configuracin del sistema y el mantenimiento del
cortafuegos a un nivel bsico e incluye descripciones generales de los sistemas virtuales, la
alta disponibilidad y las funciones de log:
Configuracin del sistema, configuracin y gestin de licencias en la seccin siguiente
SNMP en la pgina 51
Comprobacin del Indique al cortafuegos que deber crear mensajes de advertencia cuando
vencimiento del se acerque la fecha de vencimiento de los certificados integrados.
certificado
Capacidad de Para habilitar el uso de varios sistemas virtuales (si el modelo de
cortafuegos virtuales cortafuegos lo permite), haga clic en Editar en Capacidad de cortafuegos
virtuales cerca de la parte superior de la pgina Configuracin.
Seleccione la casilla de verificacin y haga clic en ACEPTAR. Para
obtener ms informacin acerca de los sistemas virtuales, consulte
Sistemas virtuales en la pgina 121.
Configuracin de
autenticacin
Perfil de autenticacin Seleccione el perfil de autenticacin que debe utilizar el administrador
para acceder al cortafuegos. Para obtener instrucciones sobre cmo
configurar perfiles de autenticacin, consulte Configuracin de perfiles
de autenticacin en la pgina 68.
Ajustes de Panorama
Servidor de Panorama Introduzca la direccin IP de Panorama, el sistema de gestin
centralizado de Palo Alto Networks (si la hubiera). La direccin del
servidor es necesaria para gestionar el dispositivo a travs de Panorama.
Nota: Para eliminar las polticas que Panorama pueda propagar a los
cortafuegos gestionados, haga clic en el enlace Deshabilitar poltica y objetos
de Panorama. Para guardar una copia local de las polticas y los objetos de su
dispositivo antes de eliminarlos de Panorama, haga clic en la casilla de
verificacin Importar poltica y objetos de Panorama antes de
deshabilitarlos del cuadro de dilogo que se abra. Haga clic en ACEPTAR.
Configuracin de
interfaz de gestin
Velocidad de interfaz de Configure una tasa de datos y una opcin de dplex para la interfaz de
gestin gestin. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que el cortafuegos determine la velocidad de
interfaz.
Este ajuste debera coincidir con la configuracin de los puertos del
equipo de red vecino.
Direccin IP de interfaz Introduzca la direccin IP del puerto de gestin. Tambin puede utilizar
de gestin la direccin IP de una interfaz de loopback para la gestin de dispositivos.
Esta direccin se utiliza como direccin de origen para el log remoto.
Mscara de red Introduzca la mscara de red de la direccin IP, como 255.255.255.0.
Puerta de enlace Introduzca la direccin IP del enrutador predeterminado (debe
predeterminada encontrarse en la misma subred que el puerto de gestin).
Direccin IPv6 de (Opcional) Introduzca la direccin IPv6 del puerto de gestin. Se necesita
interfaz de gestin especificar la longitud del prefijo de IPv6 para indicar la mscara de red;
por ejemplo, 2001:400:f00::1/64.
Puerta de enlace IPv6 Introduzca la direccin IPv6 del enrutador predeterminado (debe
predeterminada encontrarse en la misma subred que el puerto de gestin) si ha asignado
una direccin IPv6 al puerto de gestin.
Servicios de interfaz de Seleccione los servicios habilitados en la direccin de interfaz de gestin
gestin especificada: HTTP, HTTPS, Telnet, Secure Shell (SSH) y/o ping.
Configuracin de log
e informes
Almacenamiento de log Especifique el porcentaje de espacio asignado a cada tipo de log en el
disco duro.
Al cambiar un valor de porcentaje, la asignacin de disco asociada cambia
automticamente. Si el total de todos los valores supera el 100%,
aparecer un mensaje en la pgina de color rojo y se mostrar un mensaje
de error cuando intente guardar la configuracin. Si esto sucede, reajuste
los porcentajes de modo que el total quede por debajo del lmite del 100%.
Haga clic en ACEPTAR para guardar la configuracin y en Restablecer
valores predeterminados para restablecer todos los ajustes
predeterminados.
Nota: Cuando un log alcanza su tamao mximo, empieza a sobrescribirse
empezando por las entradas ms antiguas. Si ajusta el tamao de un log existente
para que sea ms pequeo que ahora, el cortafuegos empezar inmediatamente a
recortar el log cuando compile los cambios, eliminando primero los logs ms
antiguos.
Mx. de filas en informe Introduzca el nmero mximo de filas que se admite para los informes de
de actividad de usuario actividad de usuario detallada (1-1.048.576; valor predeterminado: 65.535).
Introduzca el nmero mximo de filas que aparecern en los informes
Mx. de filas en
CSV generados desde el icono Exportar a CSV de la vista de logs de
exportacin CSV
trfico (rango: 1-1.048.576; valor predeterminado: 65.535).
Nmero de versiones Introduzca el nmero de versiones de auditora de configuraciones que se
para auditora de guardarn antes de descartar las ms antiguas (valor predeterminado: 100).
configuraciones
Nmero de versiones (nicamente en Panorama) Introduzca el nmero de copias de seguridad
para Configurar copias de configuraciones que se guardarn antes de descartar las ms antiguas
de seguridad (valor predeterminado: 100).
Operaciones de
dispositivo
Reiniciar dispositivo Para reiniciar el cortafuegos, haga clic en Reiniciar dispositivo. Cerrar
sesin y se volvern a cargar el software PAN-OS y la configuracin
activa. Las sesiones existentes tambin se cerrarn y registrarn.
Asimismo, se crear una entrada de log de sistema que mostrar el
nombre del administrador que inici el apagado. Todos los cambios de
configuracin que no se hayan guardado o compilado se perdern
(consulte Definicin de la configuracin de operaciones en la
pgina 39).
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart system. Consulte la Gua de referencia de la interfaz de
lnea de comandos de PAN-OS para obtener informacin detallada.
Utilice la pestaa Servicios para definir los ajustes del sistema de nombres de dominio (DNS),
el protocolo de tiempo de red (NTP), los servidores de actualizaciones, los servidores proxy y
la configuracin de ruta de servicios.
Utilice la pestaa Inspeccin de contenidos para definir la configuracin del filtrado de URL,
la proteccin de datos y las pginas contenedoras.
La pestaa Sesin le permite configurar los tiempos de vencimiento de las sesiones y ajustes
globales relacionados con las sesiones, como aplicar cortafuegos al trfico IPv6 y volver a
hacer coincidir la poltica de seguridad con las sesiones existentes cuando cambia la poltica.
Caractersticas de
sesin
Configuracin de Seleccione este ajuste para configurar las opciones de gestin de
revocacin de certificados del cortafuegos.
certificados de
descifrado
Habilitar Seleccione la casilla de verificacin para utilizar listas de revocacin de
certificados (CRL) para comprobar la validez de los certificados SSL.
Todas las entidades de certificacin (CA) fiables cuentan con CRL para
determinar si un certificado SSL es vlido (no est revocado) para el
descifrado de SSL. Tambin se puede utilizar el protocolo de estado de
certificado en lnea (OCSP) para comprobar dinmicamente el estado de
revocacin de un certificado. Para obtener ms informacin sobre el
descifrado de SSL, consulte Polticas de descifrado en la pgina 219.
Tiempo de espera de Especifique el intervalo tras el cual vence la solicitud de CRL y se
recepcin determina que es estado es desconocido (1-60 segundos).
Habilitar OCSP Seleccione la casilla de verificacin para utilizar OCSP para comprobar la
validez de los certificados SSL.
Tiempo de espera de Especifique el intervalo tras el cual vencen las solicitudes de OCSP y se
recepcin determina que es estado es desconocido (1-60 segundos).
Bloquear sesin con Seleccione la casilla de verificacin si desea bloquear los certificados que no
estado de certificado se pueden validar.
desconocido
Bloquear sesin tras el Seleccione la casilla de verificacin si desea bloquear los certificados
tiempo de espera de cuando pase el tiempo de espera de solicitud de informacin de certificado.
comprobacin del
estado del certificado
Tiempo de espera del Especifique el intervalo tras el cual vencen las solicitudes de estado de
estado del certificado certificado (1-60 segundos).
SNMP
Dispositivo > Configuracin > Operaciones
Utilice esta pgina para definir el acceso a bases de informacin de gestin (MIB) SNMP para
SNMPv2c y SNMPv3. Haga clic en Configuracin de SNMP en la pgina Configuracin y
especifique los siguientes ajustes.
Un mdulo de MIB define todos los traps SNMP generados por el sistema. Cada log de
eventos del sistema se define como un trap SNMP independiente con un ID de objeto (OID)
propio. Los campos individuales de un log de eventos se definen como una lista de enlace de
variables (varbind).
Servicio de estadsticas
Dispositivo > Configuracin > Operaciones
Puede permitir que el cortafuegos enve cualquiera de los siguientes tipos de informacin:
Informes de aplicacin y amenazas
Informes de URL
Para ver una muestra del contenido de un informe estadstico que se enviar, haga clic en el
icono de informe . Se abrir la pestaa Muestra de informe para mostrar el cdigo del
informe. Para ver un informe, haga clic en la casilla de verificacin que aparece junto al
informe deseado y, a continuacin, haga clic en la pestaa Muestra de informe.
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.
Al adquirir una suscripcin de Palo Alto Networks, recibir un cdigo de autorizacin para
activar una o ms claves de licencia.
Para activar una licencia de proveedor de URL para el filtrado de URL, debe instalar la
licencia, descargue la base de datos y haga clic en Activar.
Las siguientes funciones estn disponibles en la pgina Licencias:
Para habilitar licencias para el filtrado de URL, haga clic en Activar.
c. Haga clic en Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Aspectos importantes que hay que tener en cuenta al instalar una licencia
Si no puede activar el filtro de URL mediante la interfaz web, hay disponibles comandos de la
CLI. Consulte la Gua de referencia de la interfaz de lnea de comandos de PAN-OS para obtener
ms informacin.
Para actualizar a una nueva versin del software PAN-OS, puede ver las versiones ms
recientes del software PAN-OS disponibles en Palo Alto Networks, leer las notas de versin
de cada versin y, a continuacin, seleccionar la versin que desee descargar e instalar (se
requiere una licencia de asistencia tcnica).
Realice cualquiera de las siguientes funciones en esta pgina Software:
Haga clic en Actualizar para ver las versiones ms recientes del software disponibles en
Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios de una versin y
la ruta de migracin para instalar el software.
No puede saltar una versin con caractersticas y debe tener una imagen base descargada
antes de actualizar desde una versin con caractersticas a una versin de mantenimiento
en una versin con caractersticas posterior. Esto se debe al hecho de que la versin de
mantenimiento no contiene la totalidad del software, nicamente los cambios realizados
desde la versin de la imagen base, de modo que se necesita la imagen base para la
actualizacin. Por ejemplo, si actualiza desde 4.0.12 a 4.1.7, deber descargar (no instalar)
la imagen base 4.1.0 para que la actualizacin de la versin de mantenimiento 4.1.7 pueda
acceder a los archivos de la imagen base 4.1.0. Si desea actualizar desde una versin a una
versin con caractersticas que se encuentra dos niveles por encima, deber actualizar a
cada versin con caractersticas. Por ejemplo, si desea actualizar desde 4.0 a 5.0, debe
actualizar desde 4.0 a 4.1 y, a continuacin, desde 4.1 a 5.0.
Puede eliminar los archivos de la imagen base al finalizar la actualizacin, pero no es
recomendable, ya que necesitar la imagen base al actualizar a la siguiente versin de
mantenimiento. nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando 4.1,
probablemente no necesitar las imgenes base de 3.1 y 4.0, a menos que tenga la
intencin de desactualizar el software a dichas versiones.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Cuando actualice a una versin con caractersticas (en la que cambie el primero o el
segundo dgito de la versin de PAN-OS; p. ej., de 4.0 a 4.1. o de 4.1 a 5.0), ver un
mensaje cuando haga clic en Instalar que le indicar que est a punto de actualizar una
versin con caractersticas. Debera asegurarse de que realiza una copia de seguridad de
su configuracin actual, ya que una versin con caractersticas puede migrar
determinadas configuraciones para admitir nuevas caractersticas. Consulte
Desactualizacin del software PAN-OS en la pgina 57.
Haga clic en Cargar para instalar una versin que ha almacenado anteriormente en su
equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde archivo.
Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en ACEPTAR
para instalar la imagen.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 4.0 a
4.1. o de 4.1 a 5.0), puede que se migre la configuracin para admitir nuevas
caractersticas. Si est habilitada la sincronizacin de sesiones, las sesiones no se
sincronizarn si un dispositivo del clster tiene una versin con caractersticas de PAN-
OS diferente.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del cortafuegos no est actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
Para actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas:
6. Verifique que el dispositivo activo pasa trfico visualizando Supervisar > Explorador de
sesin o ejecutando show session all desde la CLI.
Tambin puede comprobar el estado de la alta disponibilidad (HA) en el dispositivo
ejecutando show high-availability all | match reason. Si se trata de una
configuracin activa/activa, compruebe que ambos dispositivos pasan trfico.
Para comprobar la sincronizacin de sesiones, ejecute show high-availability
interface ha2. En la tabla Contadores de la interfaz de hardware ledos desde la CPU
compruebe que los contadores van aumentando. En una configuracin activa/pasiva, el
dispositivo activo nicamente mostrar paquetes transmitidos y el dispositivo pasivo
nicamente mostrar paquetes recibidos. En el modo activo/activo, ver paquetes
recibidos y paquetes transmitidos de ambos dispositivos.
Si tiene algn problema con una desactualizacin, puede que deba entrar en
el modo de mantenimiento y restablecer el dispositivo a los valores
predeterminados de fbrica y, a continuacin, restablecer la configuracin
del archivo de configuracin original que se export antes de la
actualizacin.
2. Desplcese hasta Dispositivo > Software y ver la pgina de software que enumera todas
las versiones de PAN-OS que se pueden descargar o que ya se han descargado.
1. Guarde una copia de seguridad del archivo de configuracin actual desplazndose hasta
la pestaa Dispositivo > Configuracin > Operaciones y seleccione Exportar
instantnea de configuracin con nombre, seleccione running-config.xml y, a
continuacin, haga clic en ACEPTAR para guardar el archivo de configuracin. Esta copia
de seguridad se puede utilizar para restablecer la configuracin si tiene problemas con la
desactualizacin y necesita realizar un restablecimiento de fbrica.
2. Para desactualizar a una versin con caractersticas anterior, deber ubicar la versin con
caractersticas anterior desplazndose hasta Dispositivo > Software y explorando la
pgina que contiene la versin. Consulte Ilustracin 2.
4. Ver un mensaje que le permitir seleccionar una configuracin que se utilizar tras
reiniciar el dispositivo. En la mayora de los casos, como se trata de una desactualizacin
de la versin con caractersticas, querr seleccionar la configuracin guardada
automticamente que se cre cuando el dispositivo se actualiz a la siguiente versin con
caractersticas. Por ejemplo, si est ejecutando PAN-OS 5.0 y desea desactualizar a PAN-
OS 4.1, haga clic en Instalar en la columna Accin y, a continuacin, en la lista
desplegable Seleccionar un archivo de configuracin para desactualizacin, seleccione
Almacenamiento automtico de 4.1.0, como se muestra en la Ilustracin 2.
Haga clic en Revertir para que una versin vuelva a dicha versin.
Haga clic en Notas de versin para ver una descripcin de una actualizacin.
Cuando crea una cuenta administrativa, debe especificar autenticacin local o certificado de
cliente (sin perfil de autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP,
Kerberos o autenticacin de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticacin del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta de
administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:
Para obtener instrucciones sobre cmo configurar perfiles de autenticacin, consulte
Configuracin de perfiles de autenticacin en la pgina 68.
Para obtener informacin sobre redes privadas virtuales (VPN) SSL, consulte
Configuracin de GlobalProtect en la pgina 367.
Para obtener instrucciones sobre cmo definir dominios de sistemas virtuales para
administradores, consulte Especificacin de dominios de acceso para administradores
en la pgina 67.
Los perfiles de contrasea le permiten establecer requisitos de contrasea bsicos para una
cuenta local individual. Si habilita Complejidad de contrasea mnima, que proporciona
requisitos de contrasea para todas las cuentas locales, este perfil de contrasea cancelar esos
ajustes. Consulte Complejidad de contrasea mnima en la pgina 38 para obtener ms
informacin y consulte Requisitos de nombre de usuario y contrasea en la pgina 61 para
obtener informacin sobre los caracteres vlidos que se pueden utilizar para las cuentas.
Para aplicar un perfil de contrasea a una cuenta, vaya a Dispositivo > Administradores,
seleccione una cuenta y, a continuacin, seleccione el perfil en la lista desplegable Perfil de la
contrasea.
Autenticacin con clave pblica (SSH): El usuario puede generar un par de claves pblica
y privada en la mquina que requiere acceso al cortafuegos y, a continuacin, cargar la
clave pblica en el cortafuegos para permitir un acceso seguro sin exigir que el usuario
introduzca un nombre de usuario y una contrasea.
Utilice la pgina Dominio de acceso para especificar dominios para el acceso del
administrador al cortafuegos. El dominio de acceso est vinculado a atributos especficos del
proveedor (VSA) RADIUS y nicamente se admite si se utiliza un servidor RADIUS para la
autenticacin del administrador. Para obtener informacin sobre la configuracin de RADIUS,
consulte Configuracin de ajustes de servidor RADIUS en la pgina 71.
Cuando un administrador intenta iniciar sesin en el cortafuegos, este consulta al servidor
RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en el
servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales
definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza
RADIUS, los ajustes de dominio de acceso de esta pgina se ignorarn. Para obtener
informacin sobre los dominios de acceso de Panorama, consulte Especificacin de dominios
de acceso de Panorama para administradores en la pgina 431.
Perfiles de autenticacin
Los perfiles de autenticacin especifican ajustes de base de datos local, RADIUS, LDAP o
Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo.
Cuando un administrador intenta iniciar sesin en el cortafuegos directamente o a travs de
una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticacin que est
asignado a la cuenta y autentica al usuario basndose en la configuracin de autenticacin.
Si el usuario no tiene una cuenta de administrador local, el perfil de autenticacin que se
especifica en la pgina Configuracin del dispositivo determina el modo en que el usuario se
autentica (consulte Definicin de configuracin de gestin en la pgina 32):
Si especifica ajustes de autenticacin RADIUS en la pgina Configuracin y el usuario no
tiene una cuenta local en el cortafuegos, entonces el cortafuegos solicitar informacin de
autenticacin del usuario (incluida la funcin) al servidor RADIUS. El archivo de
diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las diversas
funciones est disponible en el sitio web de asistencia tcnica en https://
live.paloaltonetworks.com/docs/DOC-3189.
Utilice la pgina Perfil de autenticacin para configurar ajustes de autenticacin que podrn
aplicarse a cuentas para gestionar el acceso al cortafuegos.
seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una poltica
desde Polticas > Portal cautivo. Para obtener ms informacin, consulte Portales cautivos
en la pgina 311.
Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Utilice la pgina Grupos de usuarios locales para aadir informacin de grupo de usuarios a
la base de datos local.
Utilice la pgina RADIUS para configurar los ajustes de los servidores RADIUS identificados
en perfiles de autenticacin. Consulte Perfiles de autenticacin en la pgina 67.
Utilice la pgina LDAP para configurar los ajustes que los servidores LDAP deben utilizar
para la autenticacin mediante perfiles de autenticacin. Consulte Perfiles de autenticacin
en la pgina 67.
Utilice la pgina Kerberos para configurar la autenticacin de Active Directory sin exigir que
los clientes inicien el servicio de autenticacin de Internet (IAS) para admitir RADIUS. La
configuracin de un servidor Kerberos permite que los usuarios autentiquen de forma nativa
a un controlador de dominio.
Despus de configurar los ajustes de Kerberos, Kerberos pasa a estar disponible como opcin
al definir perfiles de autenticacin. Consulte Perfiles de autenticacin en la pgina 67.
Puede configurar los ajustes de Kerberos para que reconozcan una cuenta de usuario con
cualquiera de los formatos siguientes, en los que el dominio y el territorio se especifican como
parte de la configuracin del servidor Kerberos:
dominio\nombre de usuario
nombreusuario@territorio
nombre de usuario
Secuencia de autenticacin
En algunos entornos, las cuentas de usuario residen en varios directorios. Las cuentas de
invitados o de otro tipo tambin se pueden almacenar en directorios diferentes. Una secuencia
de autenticacin es un conjunto de perfiles de autenticacin que se aplican por orden cuando
un usuario intenta iniciar sesin en el cortafuegos. El cortafuegos siempre probar primero en
la base de datos local y, a continuacin, con cada perfil de la secuencia hasta identificar al
usuario. El acceso al cortafuegos se deniega nicamente si falla la autenticacin de alguno de
los perfiles de la secuencia de autenticacin.
Por ejemplo, despus de comprobar la base de datos local, puede configurar una secuencia de
autenticacin para, a continuacin, probar con RADIUS, seguido de la autenticacin LDAP.
El cortafuegos proporciona logs que registran cambios de configuracin, eventos del sistema,
amenazas de seguridad y flujos de trafico. En el caso de cada log, puede habilitar logs remotos
a un servidor de Panorama y generar traps SNMP, mensajes de Syslog y notificaciones por
correo electrnico.
La siguiente tabla describe los logs y las opciones de logs.
Configuracin de logs
Puede configurar el cortafuegos para que enve entradas de logs a un sistema de gestin
centralizado de Panorama, destinos de traps (trap sinks) SNMP, servidores Syslog y
direcciones de correo electrnico.
La siguiente tabla describe los destinos de logs remotos.
La configuracin del log Configuracin especifica las entradas del log Configuracin que se
registran de manera remota con Panorama y se envan como mensajes de Syslog y/o
notificaciones por correo electrnico.
La configuracin del log Sistema especifica los niveles de gravedad de las entradas del log
Sistema que se registran de manera remota con Panorama y se envan como traps SNMP,
mensajes de Syslog y/o notificaciones por correo electrnico. El log Sistema muestra eventos
del sistema, como fallos de HA, cambios de estado de enlaces e inicios de sesin y cierres de
sesin de administradores.
La configuracin del log Coincidencias HIP (perfil de informacin de host) se utiliza para
proporcionar informacin sobre las polticas de seguridad que se aplican a clientes de
GlobalProtect. Para obtener ms informacin, consulte Descripcin general en la
pgina 367.
Utilice la pgina Alarmas para configurar las notificaciones que se envan cuando se
incumplen reglas de seguridad (o grupos de reglas) repetidas veces en un perodo de tiempo
establecido.
Haga clic en los enlaces de esta pgina para borrar los logs indicados.
Para generar traps SNMP para logs Sistema, Trfico o Amenaza, debe especificar uno o ms
destinos de traps SNMP. Despus de definir los destinos de traps, podr utilizarlos para
entradas del log Sistema (consulte Definicin de la configuracin del log Sistema en la
pgina 80).
Nota: No elimine un destino que se utilice en algn ajuste del log Sistema o algn
perfil de logs.
MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:
SNMPv2-MIB
DISMAN-EVENT-MIB
IF-MIB
HOST-RESOURCES-MIB
ENTITY-SENSOR-MIB
PAN-COMMON-MIB
PAN-TRAPS-MIB
Para generar mensajes de Syslog para logs Sistema, Configuracin, Trfico, Amenaza o
Coincidencias HIP, debe especificar uno o ms servidores Syslog. Despus de definir los
servidores Syslog, podr utilizarlos para entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema en la pgina 80).
Pestaa Servidores
Nombre Haga clic en Aadir e introduzca un nombre para el servidor Syslog (de
hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.
Servidor Introduzca la direccin IP del servidor Syslog.
Pestaa Formato de
log personalizado
Tipo de log Haga clic en el tipo de log para abrir un cuadro de dilogo que le
permitir especificar un formato de log personalizado. En el cuadro de
dilogo, haga clic en un campo para aadirlo al rea Formato de log.
Otras cadenas de texto se pueden editar directamente en el rea Formato
de log. Haga clic en ACEPTAR para guardar la configuracin.
Para obtener informacin detallada sobre los campos que se pueden
utilizar para logs personalizados, consulte Descripcin de los campos
personalizados de Syslog en la pgina 85.
Escape Especifique secuencias de escape. Utilice el cuadro Caracteres de escape
para enumerar todos los caracteres que se escaparn sin espacios.
Nota: No puede eliminar un servidor que se utilice en algn ajuste del log
Sistema o Configuracin o algn perfil de logs.
Para generar mensajes de correo electrnico para logs, debe configurar un perfil de correo
electrnico. Despus de definir la configuracin de correo electrnico, podr habilitar las
notificaciones por correo electrnico para entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema en la pgina 80). Para obtener
informacin sobre cmo programar la entrega de informes por correo electrnico, consulte
Programacin de informes para entrega de correos electrnicos en la pgina 297.
Pestaa Servidores
Servidor Introduzca un nombre para identificar el servidor (1-31 caracteres). Este
campo es solamente una etiqueta y no tiene que ser el nombre de host de un
servidor SMTP existente.
Mostrar nombre Introduzca el nombre mostrado en el campo De del correo electrnico.
De Introduzca la direccin de correo electrnico del remitente, como
alerta_seguridad@empresa.com.
Para Introduzca la direccin de correo electrnico del destinatario.
Destinatarios adicionales Tambin puede introducir la direccin de correo electrnico de otro
destinatario.
Puerta de enlace Introduzca la direccin IP o el nombre de host del servidor Simple Mail
Transport Protocol (SMTP) utilizado para enviar el correo electrnico.
Pestaa Formato de
log personalizado
Tipo de log Haga clic en el tipo de log para abrir un cuadro de dilogo que le permitir
especificar un formato de log personalizado. En el cuadro de dilogo, haga
clic en un campo para aadirlo al rea Formato de log. Haga clic en
ACEPTAR para guardar la configuracin.
Escape Incluya los caracteres de escape y especifique el carcter o los caracteres de
escape.
Visualizacin de alarmas
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opcin Alarma est
configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas
del log de alarmas actual. Para reconocer alarmas, seleccione sus casillas de verificacin y
haga clic en Reconocer. Esta accin pasa las alarmas a la lista Alarmas de reconocimiento. La
ventana Alarmas tambin incluye controles de pginas, orden de columnas y actualizacin.
El botn Alarmas nicamente est visible cuando se selecciona la casilla de verificacin
Habilitar alarmas en la pgina Dispositivo > Configuracin de log > Alarmas >
Configuracin de alarma.
Servidores
Nombre Especifique un nombre para identificar el servidor (de hasta
31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.
Servidor Especifique el nombre de host o la direccin IP del servidor. Puede aadir
un mximo de dos servidores por perfil.
Puerto Especifique el nmero de puerto para el acceso al servidor (valor
predeterminado: 2.055).
Certificados
Dispositivo > Gestin de certificados > Certificados
Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificacin para
un certificado, el cortafuegos utilizar este certificado para todas las sesiones de gestin
basadas en web futuras tras la prxima operacin de compilacin.
Tambin puede hacer clic en un certificado existente y hacer clic en el icono Revocar.
d. Haga clic en la casilla de verificacin Importar clave privada para cargar la clave
privada e introducir la frase de contrasea dos veces. Si utiliza PKCS #12, el archivo
de clave se seleccion anteriormente. Si utiliza PEM, explore hasta el archivo de clave
privada cifrada (por lo general, denominado *.key).
Haga clic en Guardar y seleccione una ubicacin de su equipo local en la que copiar el
archivo. Para generar un certificado:
Para importar claves para alta disponibilidad (HA), haga clic en Importar clave de HA y
explore para especificar el archivo de clave que se importar. Para exportar claves para
HA, haga clic en Exportar clave de HA y especifique una ubicacin en la que guardar el
archivo. Las claves de HA deben intercambiarse entre los dos cortafuegos. Dicho de otro
modo, la clave del cortafuegos 1 debe exportarse y, a continuacin, importarse al
cortafuegos 2 y viceversa.
Utilice esta pgina para controlar las entidades de certificacin (CA) en las que confiar el
cortafuegos. Puede deshabilitar y habilitar las CA segn sea necesario.
Respondedor OCSP
Dispositivo > Gestin de certificados > OCSP responder
Utilice la pgina Clave maestra y diagnstico para especificar una clave maestra con la que
cifrar claves privadas en el cortafuegos. Las claves privadas se almacenan con un formato
cifrado de manera predeterminada aunque no se especifique una nueva clave maestra. Si el
cortafuegos est en el modo Criterios comunes, habr disponibles varias capacidades de
diagnstico criptogrfico. Estos diagnsticos le permiten ejecutar pruebas automticas
criptogrficas programadas y pruebas automticas a peticin.
Para crear una nueva clave maestra, introduzca una cadena de 16 caracteres en el campo
Nueva clave principal y, a continuacin, confirme la clave. Introduzca un valor para duracin
y recordatorio y, a continuacin, haga clic en ACEPTAR. Deber actualizar la clave maestra
antes de su vencimiento. Para obtener informacin sobre cmo actualizar claves maestras,
consulte Actualizacin de claves maestras en la pgina 100.
4. Actualice la clave maestra del dispositivo B con la misma clave maestra y compile la
configuracin.
5. Ahora las claves maestras deberan estar sincronizadas. Compruebe los logs para
asegurarse de que no hay ningn log Sistema crtico relacionado con la clave maestra.
4. Actualice la clave maestra del dispositivo B con la misma clave maestra y compile la
configuracin.
6. Ahora las claves maestras deberan estar sincronizadas. Compruebe los logs para
asegurarse de que no hay ningn log Sistema crtico relacionado con la clave maestra.
Alta disponibilidad
PAN-OS admite la alta disponibilidad (HA) activa/pasiva y activa/activa.
Nota: En un par de HA, los dos cortafuegos deben tener el mismo modelo y las mismas
licencias. Si est habilitada la sincronizacin de estado, las sesiones existentes continan
despus de un intercambio; sin embargo, las funciones de prevencin de amenazas no
continan. La proteccin de amenazas se aplicar a nuevas sesiones.
HA activa/pasiva
En la configuracin activa/pasiva, dos dispositivos forman un grupo de HA para
proporcionar redundancia. Los dos cortafuegos presentan la misma configuracin. Si el
cortafuegos activo falla por cualquier motivo, el cortafuegos pasivo se convierte en activo
automticamente sin ninguna prdida de servicio. Tambin se puede producir una
conmutacin por error si fallan los enlaces Ethernet seleccionados o si el cortafuegos activo no
puede llegar a uno o ms de los destinos especificados. Desde la perspectiva de procesamiento
de trfico, como mximo un dispositivo recibe paquetes en un momento dado.
Las siguientes reglas se aplican al funcionamiento y la conmutacin por error de HA:
El cortafuegos activo sincroniza continuamente su informacin de configuracin y sesin
con el cortafuegos pasivo a travs de las interfaces de HA.
HA activa/activa
La alta disponibilidad activa/activa permite que ambos dispositivos de un par de HA pasen
trfico simultneamente y se implementa principalmente en entornos enrutados
asimtricamente en los que se exige compatibilidad con ID de aplicacin e inspeccin de
contenidos. La inspeccin de capa 7 para ID de aplicacin e inspeccin de contenidos se
realiza en un nico dispositivo para cada sesin (ese dispositivo se conoce como propietario
de sesin). PAN-OS utiliza el reenvo de paquetes (a travs del enlace de HA3), donde sea
necesario, para enviar paquetes al propietario de sesin designado para su procesamiento.
Los dispositivos activos/activos pueden implementarse con interfaces de capa 3 o de cable virtual.
En implementaciones de capa 3, el propietario de sesin puede reenviar directamente los paquetes
examinados tras su procesamiento. En implementaciones de cable virtual, los paquetes
examinados deben devolverse al cortafuegos de destino para conservar la ruta de reenvo. Si el
propietario de sesin recibe el paquete inicialmente, el enlace de HA3 no se utiliza. Las sesiones
Uso compartido de carga de ARP: Este modo se utiliza para distribuir la carga del trfico de
host entre los dos cortafuegos utilizando el protocolo de resolucin de direcciones (ARP).
Para consultar un debate en mayor profundidad sobres estas tres opciones, consulte el debate
que se incluye ms adelante en esta seccin.
Flujo de paquetes
El flujo de paquetes funciona de la manera siguiente en una configuracin activa/activa:
El propietario de sesin es responsable de todo el procesamiento de paquetes para ID de
aplicacin e inspeccin de contenidos. El propietario de sesin puede configurarse para
que sea: (1) el primer dispositivo que recibe un paquete para la sesin o (2) el dispositivo
principal. Si la opcin de configuracin se establece como Dispositivo principal, todas
las sesiones se configurarn en el dispositivo principal.
Si llegan paquetes al propietario de sesin, el paquete se examina por si tiene amenazas (si
est configurado en la poltica de seguridad) y se reenva de acuerdo con la configuracin
de red del dispositivo. Si llegan paquetes al peer de HA, una bsqueda de la tabla de
sesin identifica si la sesin es propiedad del otro dispositivo, tras lo que el paquete
puede reenviarse a travs de HA3 al propietario de sesin. Si no se requiere la inspeccin
de capa 7 para la sesin, el dispositivo de destino puede hacer coincidir la sesin con una
entrada de la tabla de sesin existente y reenviar el paquete a su destino definitivo.
Opciones de implementacin
La HA activa/activa admite el uso simultneo de interfaces de cable virtual y de capa 3. Todas
las opciones de implementacin activas/activas se admiten en entornos IPv6, incluida la
supervisin de rutas IPv6.
Nota: No puede hacer ping ni realizar ningn servicio de gestin en una direccin
IP de uso compartido de carga de ARP en el modo activo/activo.
Consideraciones de NAT
En el modo activo/activo, es necesario definir un enlace de dispositivos activos/activos en
todas las reglas de NAT. El enlace de dispositivos activos/activos est disponible en la
interfaz web cuando el modo de HA se cambia a activo/activo. Cuando se crea una nueva
sesin, el enlace de dispositivos determina qu reglas de NAT coinciden con el cortafuegos (el
enlace de dispositivos debe incluir el dispositivo propietario de sesin para producir una
coincidencia). Aunque la coincidencia de la poltica NAT se realiza mediante el dispositivo de
configuracin de sesin, las reglas de NAT se evalan desde la perspectiva del propietario de
sesin. La sesin se traduce de acuerdo con las reglas de NAT que estn enlazadas con el
dispositivo propietario de sesin. En el caso de reglas especficas de dispositivo, un
cortafuegos salta todas las reglas de NAT que no estn enlazadas con el propietario de sesin
cuando se realiza una coincidencia de la poltica NAT.
Por ejemplo, supongamos que el dispositivo 1 es el propietario de sesin y tambin el
responsable de configurar la sesin. Cuando el dispositivo 1 intenta que la sesin coincida con
una regla de NAT, saltar todas las reglas con un enlace de dispositivos del dispositivo 0.
Las opciones de enlace de dispositivos de NAT incluyen las siguientes:
Dispositivo 0 y dispositivo 1: La traduccin se realiza de acuerdo con enlaces especficos
de dispositivo solamente si el propietario de sesin y el ID de dispositivo de la regla de
NAT coinciden. Las reglas de NAT especficas de dispositivo se suelen utilizar cuando los
dos cortafuegos utilizan direcciones IP pblicas exclusivas para la traduccin.
Ambos: Esta opcin permite que cualquiera de los dispositivos haga que las nuevas
sesiones coincidan con la regla de NAT y suele utilizarse para NAT de destino.
Principal: Esta opcin nicamente permite que el dispositivo principal activo haga que
las nuevas sesiones coincidan con la regla de NAT. Este ajuste se utiliza principalmente
para una NAT esttica entrante, en la que nicamente un cortafuegos debe responder a
las solicitudes de ARP. A diferencia de los enlaces de dispositivos 0/1, un enlace de
dispositivo principal puede desplazarse entre dispositivos cuando se transfiere la funcin
principal.
Enrutador ISP
1.1.1.254/24
1.1.1.1/24 1.1.1.2/24
Dispositivo Dispositivo
con ID 0 con ID 1
Red privada
1.1.1.1/24 2.2.2.1/24
Dispositivo con ID 1
Red privada
1.1.1.1/24 2.2.2.1/24
Dispositivo Dispositivo
con ID 0 con ID 1
Configuracin de HA
Para configurar HA, realice los siguientes pasos:
1. Utilice dos cortafuegos con el mismo nmero de modelo.
3. Conecte cada cortafuegos a su red e Internet a travs de los mismos puertos fsicos.
4. Mediante dos cables Ethernet RJ-45 cruzados, conecte los puertos HA1 y HA2 de cada
cortafuegos a los mismos puertos del otro cortafuegos, o bien conecte los puertos de
ambos cortafuegos a un conmutador. HA1 se corresponde con el enlace de control y HA2
se corresponde con el enlace de datos. En el caso de una configuracin activa/activa,
realice una conexin fsica adicional, HA3, entre los dos cortafuegos. Se recomiendan los
grupos de agregacin de enlaces para la redundancia de enlaces en HA3 cuando el
cortafuegos admite la agregacin de Ethernet.
5. Abra la pestaa Red y verifique que los enlaces de HA estn operativos. Configure cada
una de ellos para que sean del tipo HA.
Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Comandos de operacin
Suspender Ponga el dispositivo de HA en el modo de suspensin, que deshabilita
dispositivo local temporalmente las prestaciones de HA en el cortafuegos. Si suspende el
cortafuegos activo actual, el cortafuegos secundario tomar el control.
La opcin Preferencia debe estar habilitada en ambos dispositivos para que el cortafuegos
de mayor prioridad reanude el funcionamiento activo tras recuperarse de un fallo.
La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.
Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del clster se
sincronicen.
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
Para comprobar la conmutacin por error, tire de un cable del dispositivo activo o ponga
el dispositivo activo en un estado suspendido emitiendo el comando de la CLI request
high-availability state suspend. Tambin puede suspender el dispositivo activo
pulsando el enlace Suspender de la esquina superior derecha de la pgina de
configuracin Alta disponibilidad de la pestaa Dispositivo.
Para ver informacin detallada de HA acerca del cortafuegos local, utilice el comando de
la CLI show high-availability all.
Para seguir el estado de la carga, utilice el comando de la CLI show jobs processed.
HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva
que no incluye ninguna sincronizacin de sesiones. HA Lite permite la sincronizacin de la
configuracin y la sincronizacin de algunos elementos de tiempo de ejecucin. Tambin
admite la conmutacin por error de tneles de IPSec (las sesiones deben volver a establecerse),
informacin de concesin de servidor DHCP, informacin de concesin de cliente DHCP,
informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos cuando est
configurado en el modo de capa 3.
Sistemas virtuales
Un sistema virtual especifica un conjunto de interfaces de cortafuegos fsicas y lgicas
(incluidas VLAN y cables virtuales) y zonas de seguridad. (Para obtener ms informacin
sobre las zonas de seguridad, consulte Definicin de zonas de seguridad en la pgina 163.)
Los sistemas virtuales le permiten segmentar la administracin de todas las polticas
(seguridad, NAT, QoS, etc.), as como todas las funciones de informes y visibilidad
proporcionadas por el cortafuegos.
Por lo general, los sistemas virtuales funcionan en las prestaciones de seguridad del
cortafuegos. Los sistemas virtuales no controlan las funciones de red, que incluyen el
enrutamiento esttico y dinmico. Si desea una segmentacin de enrutamiento para cada
sistema virtual, deber crear un enrutador virtual adicional.
Nota: Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas
virtuales. Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios
sistemas virtuales si se instala la licencia adecuada. Los cortafuegos PA-500 y PA-
200 no admiten sistemas virtuales.
Por ejemplo, si desea personalizar las caractersticas de seguridad para el trfico asociado al
departamento financiero, puede definir un sistema virtual financiero y, a continuacin, definir
polticas de seguridad que se apliquen nicamente a ese departamento.
La Ilustracin 7 muestra la relacin entre las polticas y los sistemas virtuales del cortafuegos.
Las polticas se asocian a sistemas virtuales individuales, a diferencia de las funciones de nivel
de dispositivo y red, que se aplican a todo el cortafuegos.
Internet
Administrador
de dispositivo
Las zonas son objetos dentro de sistemas virtuales. Antes de definir una poltica o un
objeto de las polticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaa Polticas u Objetos.
Las interfaces, las VLAN, los cables virtuales y los enrutadores virtuales pueden asignarse
a sistemas virtuales. Consulte Definicin de sistemas virtuales en la pgina 124.
Los destinos de logs remotos (SNMP, Syslog y correo electrnico), as como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.
Internet
Internet
Las puertas de enlace compartidas permiten que los sistemas virtuales compartan una interfaz
comn para las comunicaciones externas. Esto es de especial ayuda en implementaciones en
las que el ISP nicamente proporcione una sola direccin IP. El resto de sistemas virtuales se
comunican con el mundo exterior a travs de la interfaz fsica mediante una nica direccin IP
(consulte la Ilustracin 10). Se utiliza un nico enrutador virtual para enrutar el trfico de
todos los sistemas virtuales a travs de la puerta de enlace compartida.
Internet
x.x.x.x
Todas las reglas de polticas se gestionan en el nivel de sistema virtual. Puede crear reglas de
reenvo basadas en polticas y NAT a travs de la puerta de enlace compartida, si es necesario,
seleccionando la puerta de enlace compartida desde la lista desplegable Sistema virtual de la
pantalla Poltica.
Para definir sistemas virtuales, primero debe habilitar la definicin de varios sistemas
virtuales. Para ello, abra la pgina Dispositivo > Configuracin, haga clic en el enlace Editar
bajo Configuracin general en la pestaa Gestin y seleccione la casilla de verificacin
Capacidad de cortafuegos virtuales. Esto aadir el enlace Sistemas virtuales al men
lateral.
Ahora podr abrir la pgina Sistemas virtuales, hacer clic en Aadir y especificar la
informacin siguiente.
Despus de definir los sistemas virtuales, puede realizar cualquiera de las siguientes tareas
adicionales:
Para cambiar un sistema virtual, haga clic en el nombre del sistema virtual o el nombre de
la interfaz, VLAN, cable virtual, enrutador virtual o sistemas virtuales visibles que desee
cambiar, realice los cambios pertinentes y haga clic en ACEPTAR.
Para definir zonas de seguridad para el nuevo sistema virtual, seleccione Red > Zonas y
defina zonas de seguridad para cada sistema virtual nuevo (consulte Definicin de
zonas de seguridad en la pgina 163). Cuando defina una nueva zona, podr seleccionar
un sistema virtual.
Haga clic en Red > Interfaces y verifique que cada interfaz tiene un sistema virtual y una
zona de seguridad.
Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mnimo, una interfaz
de capa 3 debe configurarse como puerta de enlace compartida. Consulte Configuracin de
interfaces de capa 3 en la pgina 138.
Las pginas de respuesta personalizadas son las pginas web que se muestran cuando un
usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado que
se descargar y mostrar en lugar del archivo o la pgina web que ha solicitado.
Cada sistema virtual puede tener sus propias pginas de respuesta personalizadas.
La siguiente tabla describe los tipos de pginas de respuesta personalizadas que admiten
mensajes del cliente.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
La pgina Asistencia tcnica le permite acceder a alertas de seguridad y productos desde Palo
Alto Networks, basndose en el nmero de serie de su cortafuegos. Tambin puede ver una
base de conocimientos tcnicos y crear y visualizar vales para solicitudes de asistencia
tcnica.
Realice cualquiera de las siguientes funciones en esta pgina:
Para ver la informacin detallada de una alerta, haga clic en el nombre de la alerta.
Para ir a la pgina de asistencia tcnica de Palo Alto Networks, haga clic en Asistencia
tcnica.
Para introducir una solicitud de asistencia tcnica o para ver el estado de las solicitudes
existentes, haga clic en Gestionar casos.
Para generar un archivo de sistema que ayude a la asistencia tcnica de Palo Alto
Networks en la resolucin de problemas, haga clic en el archivo Generar asistencia
tcnica. Cuando se genere el archivo, haga clic en Descargar archivo de asistencia tcnica
para descargar el archivo en su equipo.
Implementacin de cortafuegos
El cortafuegos puede sustituir a su cortafuegos actual si se instala entre un enrutador de
extremo (o cualquier otro dispositivo con conexin a Internet) y un conmutador o enrutador
que le conecte a la red interna. El cortafuegos admite una amplia gama de opciones de
implementacin y tipos de interfaces que se pueden utilizar simultneamente en diferentes
interfaces fsicas. Se describen en las siguientes secciones:
Implementaciones de cable virtual en la seccin siguiente
Las subinterfaces de cable virtual pueden proporcionar una gran flexibilidad si gestiona varias
redes en las que se necesita separar el trfico y establecer diferentes polticas. Puede utilizar
subinterfaces de cable virtual para clasificar el trfico en diferentes zonas y sistemas virtuales
basados en sus etiquetas VLAN, IP (direccin, intervalo o subred) o una combinacin de ambas.
Internet
Implementaciones de capa 2
En una implementacin de capa 2, el cortafuegos permite cambiar entre dos o ms redes. Cada
grupo de interfaces se debe asignar a un objeto VLAN para que el cortafuegos pueda alternar
entre ellas. El cortafuegos ejecutar el cambio de etiqueta VLAN cuando se adjunten
subinterfaces de capa 2 a un objeto VLAN comn. Seleccione esta opcin cuando necesite
poder alternar (Ilustracin 13).
Implementaciones de capa 3
En una implementacin de capa 3, el cortafuegos enruta el trfico entre mltiples puertos. Se
debe asignar una direccin IP a cada interfaz y definir un enrutador virtual para enrutar el
trfico. Seleccione esta opcin cuando necesite enrutamiento (Ilustracin 14).
Cambio entre
dos redes
10.1.2.1/24 10.1.1.1/24
Cliente DHCP
Puede configurar la interfaz del cortafuegos para que funcione como un cliente DHCP y
recibir una direccin IP asignada dinmicamente. El cortafuegos tambin permite propagar
los ajustes recibidos mediante la interfaz del cliente DHCP en un servidor DHCP que funciona
mediante cortafuegos. Esta opcin se suele utilizar para propagar los ajustes del servidor DNS
desde un proveedor de servicios de Internet a las mquinas cliente de la red que estn
protegidas por el cortafuegos.
Utilice esta pgina para definir cables virtuales despus de especificar dos interfaces de cable
virtual en el cortafuegos. Para ver una descripcin general de implementaciones de cable
virtual, consulte Implementaciones de cable virtual en la pgina 130. Para obtener
instrucciones sobre cmo especificar interfaces como cable virtual, consulte Configuracin de
interfaces de cable virtual en la pgina 148.
Para cambiar el nombre de un cable virtual o de las etiquetas permitidas, haga clic en el
nombre del cable virtual en la pgina Cables virtuales, cambie los ajustes y haga clic en
ACEPTAR. Los cables virtuales tambin se pueden cambiar desde la pgina Interfaces
(consulte Configuracin de interfaces de cable virtual en la pgina 148).
Para eliminar uno o ms cables virtuales, seleccione la casilla de verificacin junto a los
nombres de los cables virtuales y haga clic en Eliminar. Tenga en cuenta que si elimina un
cable virtual, lo eliminar de las interfaces asociadas de cable virtual que se muestran en la
pgina Interfaces.
La modificacin del DiffServ Code Point (DSCP) o de las precedencias de IP de las marcas
QoS se puede configurar en la seccin Acciones de cada regla de seguridad.
La pgina Interfaces muestra el tipo de interfaz, estado de enlace y zona de seguridad de cada
interfaz configurada, junto con la direccin IP, enrutador virtual, etiqueta VLAN y nombre de
VLAN o cable virtual (segn el caso).
De forma predefinida, las interfaces se muestran por nombre.
El siguiente icono se utiliza en la pgina Interfaces:
Indica que el enlace est activado (verde), desactivado (rojo) o tiene un estado
desconocido (gris).
Puede configurar uno o ms puertos Ethernet como interfaces de capa 2 para el trfico VLAN
sin etiquetar. Para cada interfaz principal de capa 2, puede definir mltiples subinterfaces de
capa 2 para el trfico con etiquetas VLAN especficas (consulte Configuracin de
subinterfaces de capa 2 en la pgina 137). Las interfaces VLAN tambin se pueden utilizar en
implementaciones de capa 2 para proporciona un enrutamiento o servicios de puerta de
enlace al trfico en el dominio de capa 2 (consulte Configuracin de interfaces VLAN en la
pgina 152). Para ello se debe crear una interfaz VLAN y asignarla como la puerta de enlace
predeterminada para hosts conectados a la interfaz de capa 2 del cortafuegos.
Para configurar una interfaz Ethernet de capa 2, haga clic en el enlace de la interfaz en la
pestaa Ethernet y configure los siguientes parmetros.
Pestaa Configuracin
VLAN Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Compatibilidad de VLAN en la pgina 164). Ninguno
elimina la configuracin de la interfaz. Se debe configurar un objeto
VLAN para permitir cambiar entre interfaces de capa 2 o para permitir el
enrutamiento mediante una interfaz VLAN.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
En cada puerto Ethernet configurado como una interfaz de capa 2, puede definir una interfaz
de capa 2 lgica adicional (subinterfaz) para cada etiqueta VLAN que se utiliza en el trfico
que recibe el puerto. Para configurar las interfaces principales de capa 2, consulte
Configuracin de interfaces de capa 2 en la pgina 136. Para permitir el intercambio entre
subinterfaces de capa 2, solo tiene que enlazar esas subinterfaces al mismo objeto VLAN.
Para aadir una subinterfaz Ethernet de capa 2, seleccione la interfaz fsica asociada y haga
clic en Aadir subinterfaz para especificar la siguiente informacin.
Asignar interfaz a
VLAN Para una interfaz de capa 2 permite seleccionar VLAN o hacer clic en
Nuevo para definir una nueva VLAN (consulte Perfiles de red en la
pgina 190). Ninguno elimina la configuracin de la interfaz. Se debe
configurar un objeto VLAN para permitir cambiar entre interfaces de
capa 2 o para permitir el enrutamiento mediante una interfaz VLAN.
Puede configurar uno o ms puertos Ethernet como interfaces de capa 3 para el trfico
enrutado sin etiquetar. Puede definir subinterfaces de capa 3 para el trfico con etiquetas
VLAN especficas (consulte Configuracin de subinterfaces de capa 3 en la pgina 144) si
conecta el cortafuegos a un dispositivo vecino mediante un enlace troncal. Para obtener
informacin sobre configuracin de interfaces de capa 3 para PPPoE, consulte Protocolo
punto a punto sobre Ethernet en la pgina 132.
Las interfaces de capa 3 tambin pueden actuar como un cliente DHCP para recibir su
configuracin de un servidor DHCP externo.
Para configurar una interfaz Ethernet de capa 3, haga clic en el enlace de la interfaz en la
pestaa Ethernet y configure los siguientes parmetros.
Pestaa Configuracin
Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte Enrutadores virtuales y protocolos de
enrutamiento en la pgina 164). Ninguno elimina la configuracin de la
interfaz.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa IPv6
Habilitar IPv6 en la Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en esta
interfaz interfaz.
ID de interfaz Introduzca el identificador nico extendido de 64 bits en formato
hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz se
deja en blanco, el cortafuegos utilizar la EUI-64 generada a partir de la
direccin MAC de la interfaz fsica. El ID de interfaz se utiliza como la parte
del host de una direccin de interfaz cuando se habilita la opcin Usar ID de
interfaz como parte de host.
Pestaa Avanzada
Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo
automtico.
Dplex de enlace Seleccione si el modo de transmisin de la interfaz es dplex completo
(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automticamente (Auto).
Otra informacin Especifique la siguiente informacin en la pestaa secundaria Otra
informacin:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz de capa 3 (512 a 1500, opcin
predefinida 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD), el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Este ajuste soluciona la situacin en la que un tnel en la red
requiere un MSS menor. Si un paquete no se ajusta a MSS sin
fragmentarlo, este parmetro permite realizar un ajuste.
Subinterfaz no etiquetada: Especifica que todas las interfaces que
pertenecen a esta interfaz de capa 3 no se etiqueten.
PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de
salida basada en el destino del paquete. Si un paquete tiene una
direccin IP de subinterfaz no etiquetada como destino, se asignar a la
subinterfaz. Esto tambin significa que un paquete que va en direccin
inversa debe tener su direccin de origen traducida a la direccin IP de
la interfaz de la subinterfaz sin etiquetar. Otra variable de esta forma de
clasificacin es que todos los paquetes de multicast y difusin se
asignarn a la interfaz de base en lugar de a cualquiera de las
subinterfaces. Como OSPF utiliza multicast, no es compatible con
subinterfaces sin etiquetar.
Entradas ARP/Interfaz Para aadir una o ms entradas ARP estticas, haga clic en Aadir e
introduzca una direccin IP y la direccin (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la direccin del
hardware.
Entradas de ND Haga clic en Aadir para introducir la direccin IPv6 y MAC de los
vecinos que se aadirn al descubrimiento.
En cada puerto Ethernet configurado como una interfaz de capa 3, puede definir una interfaz
de capa 3 lgica adicional (subinterfaz) para cada etiqueta VLAN que se utiliza en el trfico
que recibe el puerto. Para configurar las interfaces principales de capa 3, consulte
Configuracin de interfaces de capa 3 en la pgina 138.
Las subinterfaces de capa 3 sin etiquetar tambin se pueden utilizar si la opcin principal de
subinterfaz no etiquetada de subinterfaz de capa 3 est habilitada. Las subinterfaces sin
etiquetar se utilizan en entornos de mltiples inquilinos, donde el trfico de cada inquilino
debe salir del cortafuegos sin etiquetas VLAN.
Supongamos un ejemplo en el que el trfico de cada inquilino sale del cortafuegos y el
siguiente salto es un enrutador de un ISP. No siempre es posible aplicar una etiqueta VLAN
en el trfico de retorno para que el cortafuegos lo clasifique correctamente en un sistema
virtual. En estos casos, puede utilizar una subinterfaz sin etiquetar en el lado del enrutador
del ISP. Cada una de las subinterfaces sin etiquetar tendr una direccin IP y todo el trfico
saliente debe tener su direccin de origen traducida a esa direccin IP de la interfaz. Se debe
crear una regla NAT explcita para que esta caracterstica funcione. Las subinterfaces sin
etiquetar necesitan NAT de origen porque el cortafuegos utilizar la direccin IP de destino en
los paquete entrantes (ruta de retorno) para seleccionar el sistema virtual correcto de
bsqueda de polticas. El trfico que se recibe en la interfaz principal que no es el destinado a
ninguna de las IP de la subinterfaz sin etiquetar lo gestionarn el sistema virtual y el
enrutador virtual asignado a esa interfaz principal.
Para aadir una subinterfaz Ethernet de capa 3, seleccione la interfaz asociada y haga clic en
Aadir subinterfaz para especificar la siguiente informacin.
Pestaa Configuracin
Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte Enrutadores virtuales y protocolos de
enrutamiento en la pgina 164). Ninguno elimina la configuracin de la
interfaz.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Pestaa IPv4
Tipo Seleccione cmo se especificar la informacin de la direccin IP (Esttico,
PPPoE, o cliente DHCP), tal y como se describe a continuacin.
Esttico Introduzca una direccin IP y una mscara de red para la interfaz con
formato direccin_ip/mscara y haga clic en Aadir. Puede introducir
mltiples direcciones IP para la interfaz. Para eliminar una direccin IP,
seleccione la direccin y haga clic en Eliminar.
Cliente DHCP Seleccione Cliente DHCP para permitir que la interfaz acte como un
cliente DHCP y reciba una direccin IP asignada dinmicamente.
Especifique lo siguiente:
Habilitar: seleccione la casilla de verificacin para activar el cliente
DHCP en la interfaz.
Crear automticamente ruta predeterminada que apunte a la puerta
de enlace predeterminada proporcionada por el servidor: Seleccione la
casilla de verificacin para que se cree automticamente una ruta
predefinida que apunte al servidor DHCP cuando se conecte.
Mtrica de ruta predeterminada: Especifique la mtrica de ruta
asociada con la ruta predefinida que se utilizar para seleccionar la ruta
(opcional, intervalo 1-65535).
Mostrar informacin de tiempo de ejecucin de cliente DHCP:
Seleccione esta opcin para abrir una ventana que muestre todos los
ajustes recibidos del servidor DHCP, incluyendo el estado de concesin
de DHCP, la asignacin de IP dinmica, la mscara de subred, la puerta
de enlace, la configuracin del servidor (DNS, NTP, dominio, WINS,
NIS, POP3 y SMTP).
Pestaa IPv6
Habilitar IPv6 en la Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en
interfaz esta interfaz.
ID de interfaz Introduzca el identificador nico extendido de 64 bits en formato
hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz se
deja en blanco, el cortafuegos utilizar la EUI-64 generada a partir de la
direccin MAC de la interfaz fsica.
Direccin Haga clic en Aadir e introduzca una direccin IPv6 y una longitud de
prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte del host de la direccin.
Seleccione Difusin por proximidad para incluir el enrutado mediante el
nodo ms cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a
la interfaz ser la que especifique completamente en el cuadro de texto de
la direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta direccin IP. Tambin puede configurar
que se enve la marca Autnomo y definir la opcin Enlace activo. Debe
habilitar la opcin Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar RA para una direccin IP concreta.
Pestaa Avanzada
Otra informacin Especifique la siguiente informacin en la pestaa secundaria Otra
informacin:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz de capa 3 (512 a 1500, opcin
predefinida 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD), el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Este ajuste soluciona la situacin en la que un tnel en la red
requiere un MSS menor. Si un paquete no se ajusta a MSS sin
fragmentarlo, este parmetro permite realizar un ajuste.
Entradas de ARP Para aadir una o ms entradas del protocolo de resolucin de direccin
(ARP, introduzca una direccin IP y su hardware asociado (Media Access
Control o MAC) y haga clic en Aadir. Para eliminar una entrada esttica,
seleccione la entrada y haga clic en Eliminar. Las entradas ARP estticas
reducen el procesamiento ARP e impiden los ataques de man in the
middle de las direcciones especificadas.
Entradas de ND Haga clic en Aadir para introducir la direccin IP y MAC de los vecinos
que se aadirn al descubrimiento.
Para crear un cable virtual, debe conectar dos puertos Ethernet, lo que permitir que todo el
trfico pase entre los puertos o bien, nicamente el trfico con las etiquetas VLAN
seleccionadas (sin ningn otro servicio de intercambio o enrutamiento disponible). Tambin
puede crear subinterfaces y clasificar el trfico en funcin de una direccin o intervalo IP, o
una subred. Un cable virtual no requiere ningn tipo de cambio en los dispositivos de red
adyacentes. Para ver una descripcin general de implementaciones de cable virtual, consulte
Implementaciones de cable virtual en la pgina 130.
Para configurar un cable virtual en el cortafuegos, primero debe definir las interfaces de cable
virtual, tal y como se describe en el siguiente procedimiento. A continuacin puede crear el
cable virtual utilizando las interfaces que ha creado.
Para configurar cada una de las interfaces de cable virtuales, realice estos pasos:
1. Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
Pestaa Configuracin
Cable virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte Definicin de cables virtuales en la
pgina 133). Ninguno elimina la configuracin de la interfaz.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa Avanzada
Velocidad de enlace Especifique la velocidad de la interfaz. Si la interfaz seleccionada es una
interfaz de 10 Gbps, la nica opcin es Auto. En el resto de casos, las
opciones son: 10, 100, 1000 o Auto.
Dplex de enlace Seleccione si el modo de transmisin de la interfaz es dplex completo
(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automticamente (Auto).
Si desea cambiar una interfaz de cable virtual a otro tipo de interfaz, haga clic en el nombre del
cable virtual que aparece en la columna VLAN/Cable virtual, seleccione Ninguno y haga clic
en ACEPTAR.
En cada puerto Ethernet configurado como una interfaz de cable virtual, puede definir una
interfaz de cable virtual lgica adicional (subinterfaz) para cada etiqueta VLAN que se utiliza
en el trfico que recibe el puerto. Adems, las subinterfaces de cable virtual se pueden definir
segn una combinacin de etiquetas VLAN y direcciones IP, o bien mediante su direccin IP
nicamente si el trfico est sin etiquetar. La clasificacin IP se utiliza para asignar el trfico a
una zona o sistema virtual concreto. La clasificacin IP solo se puede utilizar en un lado de un
cable virtual. El trfico que entra en una subinterfaz de cable virtual en la que se define la
clasificacin IP, se clasificar segn su direccin IP de origen. Para el trfico de retorno que
entra por el otro extremo del cable virtual, la clasificacin se basa en la direccin IP de destino.
Cuando configura subinterfaces de cable virtual, debe asegurarse de que la lista Tags
permitidos del cable virtual principal no incluye ninguna de las etiquetas VLAN asociadas
con las subinterfaces de cable virtual.
Cuando configure subinterfaces de cable virtual que utilizan una combinacin de etiqueta
VLAN y clasificacin basada en IP, tambin debe definir una subinterfaz que utilice la misma
etiqueta VLAN y ninguna clasificacin de IP. Estas subinterfaces son obligatorias.
Para configurar las interfaces de cable virtual principales, consulte Configuracin de
interfaces de cable virtual en la pgina 148.
Para aadir una subinterfaz de cable virtual, haga clic en Aadir subinterfaz de cable virtual
y especifique la siguiente informacin.
Asignar interfaz a
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Los enlaces de 1 Gbps de un grupo deben ser del mismo tipo (todos de cobre o todos de
fibra).
Todos los miembros de un grupo de agregacin deben ser del mismo tipo. Se valida
durante la operacin de compilacin.
Asignar interfaz a
Asignar interfaz a La asignacin de la interfaz depende del tipo de interfaz, de la siguiente
forma:
Capa 2: Especifique VLAN y zona.
Capa 3: Especifique un enrutador virtual VLAN y zona.
Cable virtual: Especifique un cable virtual y zona.
Nota: Si el tipo es HA, no necesita especificar ninguna opcin en esta
seccin.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Pestaa Configuracin
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa Avanzada
Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automtico.
Dplex de enlace Seleccione si el modo de transmisin de la interfaz es dplex completo
(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automticamente (Auto).
En cada puerto Ethernet configurado como interfaz de capa 2, puede definir una interfaz
VLAN para permitir en enrutamiento del trfico VLAN a destinos de capa 3 fuera de VLAN.
Para configurar las interfaces principales de capa 2, consulte Configuracin de interfaces de
capa 2 en la pgina 136.
Para definir una interfaz VLAN, abra la pestaa VLAN, haga clic en Aadir y especifique los
siguientes ajustes.
Pestaa Configuracin
VLAN Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Perfiles de red en la pgina 190). Ninguno elimina la
configuracin de la interfaz.
Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte Enrutadores virtuales y protocolos de
enrutamiento en la pgina 164). Ninguno elimina la configuracin de la
interfaz.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa IPv4
Esttico Seleccione Esttico para asignar direcciones IP estticas. Haga clic en
Aadir e introduzca una direccin IP y una mscara de red para la
interfaz con formato direccin_ip/mscara. Puede introducir mltiples
direcciones IP para la interfaz.
Pestaa IPv6
Habilitar IPv6 en la Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en
interfaz la subinterfaz.
ID de interfaz Introduzca el identificador nico extendido de 64 bits en formato
hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz se
deja en blanco, el cortafuegos utilizar la EUI-64 generada a partir de la
direccin MAC de la interfaz fsica.
Direccin Haga clic en Aadir e introduzca una direccin IPv6 y una longitud de
prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte del host de la direccin.
Seleccione Difusin por proximidad para incluir el enrutado mediante el
nodo ms cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a
la interfaz ser la que especifique completamente en el cuadro de texto de
la direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta direccin IP. Tambin puede configurar
que se enve la marca Autnomo y definir la opcin Enlace activo. Debe
habilitar la opcin Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar anuncio de enrutador para una direccin
IP concreta.
Pestaa Avanzada
Otra informacin Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se
devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Este ajuste soluciona la situacin en la que un tnel en la red
requiere un MSS menor. Si un paquete no se ajusta a MSS sin
fragmentarlo, este parmetro permite realizar un ajuste.
Entradas ARP/Interfaz Para aadir una o ms entradas ARP estticas, haga clic en Aadir e
introduzca una direccin IP y la direccin (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la direccin del
hardware.
Entradas de ND Haga clic en Aadir para introducir la direccin IP y MAC de los vecinos
que se aadirn al descubrimiento.
Puede definir una o ms interfaces de loopback de capa 3, segn sea necesario. Por ejemplo,
puede definir una interfaz de loopback para gestionar el cortafuegos en lugar de utilizar el
puerto de gestin.
Para definir una interfaz de loopback, abra la pestaa Loopback, haga clic en Aadir y
especifique los siguientes ajustes.
Pestaa Configuracin
Enrutador virtual Seleccione un enrutador virtual o haga clic en Nuevo para definir un
nuevo enrutador virtual (consulte Enrutadores virtuales y protocolos de
enrutamiento en la pgina 164). Ninguno elimina la configuracin de la
interfaz.
Sistema virtual Seleccione el sistema virtual de una interfaz. Ninguno elimina la
configuracin de la interfaz.
Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa IPv4
Direccin IP Haga clic en Aadir para introducir una direccin IP y mscaras de red
para la interfaz.
Pestaa IPv6
Habilitar IPv6 en la Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en
interfaz la subinterfaz.
ID de interfaz Especifique el identificador hexadecimal de 64 bits de la subinterfaz.
Direccin Introduzca la direccin IPv6. Seleccione Usar ID de interfaz como parte
de host para asignar una direccin IPv6 a la interfaz que utilizar el ID de
interfaz como la parte de host de la direccin. Seleccione Difusin por
proximidad para incluir el enrutado mediante el nodo ms cercano.
Para definir las interfaces de tnel, abra la pestaa Tnel, haga clic en Aadir y especifique
los siguientes ajustes.
Pestaa
Configuracin
Enrutador virtual Seleccione un enrutador virtual para esta interfaz. Tambin puede hacer
clic en Nuevo para configurar un nuevo enrutador virtual. Consulte
Enrutadores virtuales y protocolos de enrutamiento en la pgina 164.
Ninguno elimina la configuracin de la interfaz.
Seleccione el sistema virtual de una interfaz. Ninguno elimina la
Sistema virtual
configuracin de la interfaz.
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
Zona de seguridad
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa IPv4
Direccin IP Haga clic en Aadir para introducir una direccin IP y mscaras de red
para la interfaz.
Pestaa Avanzada
Otra informacin Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos, si
existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU se
devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Nota: El cortafuegos considera de forma automtica la sobrecarga del tnel al
ejecutar la fragmentacin de IP y tambin ajusta el tamao mximo del segmento
(MSS) segn sea necesario.
Puede definir las interfaces Tap que sean necesarias para permitir la conexin a un puerto
espejo (span) en un conmutador para supervisar el trfico nicamente (consulte
Implementaciones de modo tap en la pgina 133).
Para configurar interfaces Tap, haga clic en el nombre de la interfaz de la pestaa Ethernet y
especifique la siguiente informacin.
.
Pestaa Configuracin
Sistema virtual Seleccione un sistema virtual. Ninguno elimina la configuracin de la
interfaz.
Zona Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo
para definir una nueva zona (consulte Definicin de zonas de
seguridad en la pgina 163). Ninguno elimina la configuracin de la
interfaz.
Pestaa Avanzada
Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automtico.
Dplex de enlace Seleccione si el modo de transmisin de la interfaz es dplex completo
(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automticamente (Auto).
Configuracin de interfaces HA
Cada interfaz HA tiene una funcin especfica: una interfaz se utiliza para la sincronizacin de
la configuracin y latidos y la otra interfaz se utiliza para la sincronizacin del estado. Si se
activa la opcin de alta disponibilidad, se puede utilizar una tercera interfaz HA para reenviar
paquetes.
Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente
informacin.
Pestaa Avanzada
Velocidad de enlace Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo
automtico.
Dplex de enlace Seleccione si el modo de transmisin de la interfaz es dplex completo
(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace Seleccione si el estado de la interfaz es habilitado (Activado),
deshabilitado (Desactivado) o determinado automticamente (Auto).
Zonas de seguridad
Una zona de seguridad identifica una o ms interfaces de origen o destino en el cortafuegos.
Cuando define una regla de poltica de seguridad, debe especificar las zonas de seguridad de
origen y destino del trfico. Por ejemplo, una interfaz conectada a Internet est en una zona de
seguridad no fiable, mientras que una interfaz conectada a la red interna est en una zona
de seguridad fiable.
Es necesario crear zonas diferentes para cada tipo de interfaz (capa 2, capa 3, tap o cable
virtual), y cada interfaz se debe asignar a una zona para que pueda procesar el trfico. Las
polticas de seguridad solo se pueden definir entre zonas del mismo tipo. Sin embargo, si crea
una interfaz VLAN para una o ms redes VLAN, la aplicacin de polticas de seguridad entre
la zona de interfaz VLAN y una zona de interfaz de capa 3 (Ilustracin 15) tiene el mismo
efecto que aplicar polticas entre las zonas de interfaz de capa 2 y capa 3.
Puerto Ethernet L3
Para que la interfaz de un cortafuegos pueda procesar el trfico, se debe asignar a una zona de
seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente
informacin:
Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN. Adems, tambin puede especificar una interfaz VLAN que puede enrutar el
trfico a destinos de capa 3 fuera de la red VLAN.
Protocolo RIP
RIP se ha diseado para redes IP de pequeo tamao y se basa en el recuento de saltos para
determinar las rutas; las mejores rutas tienen el menor nmero de saltos. RIP se basa en UDP y
utiliza el puerto 520 para las actualizaciones de rutas. Al limitar las rutas a un mximo de
15 saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, adems de
limitar el tamao de red admitido. Si se requieren ms de 15 saltos, el trfico no se enruta. RIP
tambin puede tardar ms en converger que OSPF y otros protocolos de enrutamiento. El
cortafuegos admite RIP v2.
Protocolo OSPF
OSPF determina las rutas de forma dinmica obteniendo la informacin de otros enrutadores
y anunciando las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El
enrutador mantiene la informacin sobre los enlaces entre l y el destino y puede realizar
decisiones de enrutamiento de gran eficacia. Se asigna un coste a cada interfaz de enrutador y
las mejores rutas son aquellas con menor coste, despus de sumar todas las interfaces de
enrutador saliente detectadas y la interfaz que recibe los LSA.
Las tcnicas jerrquicas se utilizan para limitar el nmero de rutas que se deben anunciar y los
LSA asociados. Como OSPF procesa dinmicamente una cantidad considerable de
informacin de enrutamiento, tiene mayores requisitos de procesador y memoria que RIP.
Protocolo BGP
BGP es el principal protocolo de enrutamiento de Internet. BGP determina el alcance de la red
en funcin de los prefijos IP que estn disponibles en sistemas autnomos (AS), donde un
sistema autnomo es un conjunto de prefijos IP que un proveedor de red ha designado para
formar parte de una poltica de enrutamiento simple.
En el proceso de enrutamiento, las conexiones se establecen entre pares BGP (o vecinos). Si la
poltica permite una ruta, se guarda en la base de informacin de enrutamiento (RIB). Cada
vez que se actualiza la RIB del cortafuegos local, el cortafuegos determina las rutas ptimas y
enva una actualizacin a la RIB externa, si se activa la exportacin.
Los anuncios condicionales se utilizan para controlar la forma en que se anuncian las rutas
BGP. Las rutas BGP deben cumplir las normas de anuncios condicionales para poder
anunciarse a los peers.
BGP admite la especificacin de agregados, que combinan mltiples rutas en una ruta nica.
Durante el proceso de agregacin, el primer paso es encontrar la regla de agregacin
correspondiente ejecutando la correspondencia ms larga que compare la ruta entrante con
los valores de prefijo de otras reglas de agregacin.
El cortafuegos proporciona una implementacin completa de BGP que incluye las siguientes
funciones:
Especificacin de una instancia de enrutamiento BGP por enrutador virtual.
Poltica de enrutamiento, que especifica conjuntos de reglas que peers y grupos de peers
utilizan para implementar las importaciones, exportaciones, anuncios condicionales y
controles de agregacin de direccin.
Enrutamiento multicast
La funcin de enrutamiento multicast permite al cortafuegos enrutar secuencias de multicast
utilizando PIM-SM (Protocol Independent Multicast Sparse Mode) y PIM-SSM (PIM Source
Specific Multicast) para aplicaciones como difusin de medios (radio y vdeo) con PIMv2. El
cortafuegos ejecuta consultas de Protocolo de administracin de grupos de Internet (IGMP) en
hosts que estn en la misma red que la interfaz en la que se configura IGMP. PIM-SM e IGMP
se pueden activar en interfaces de capa 3. IGMP v1, v2 y v3 son compatibles. PIM e IGMP
deben estar habilitados en las interfaces del lado del host.
PAN-OS proporciona seguridad de multicast completa mientras acta como un enrutador
designado PIM (DR), punto de encuentro PIM (RP), enrutador PIM intermedio o solicitante
IGMP. El cortafuegos se puede implementar en entornos en los que RP est configurado de
forma esttica o elegido de forma dinmica. La funcin del enrutador de arranque (BSR) no es
compatible. La implementacin en tneles de IPSec es totalmente compatible entre
cortafuegos de Palo Alto Networks. La encapsulacin GRE en IPSec no es compatible
actualmente.
Poltica de seguridad
PAN-OS proporciona dos mtodos de aplicar medidas de seguridad en suscripciones de
multicast. Los grupos de multicast se pueden filtrar en los ajustes de permiso de grupo IGMP
y PIM especificados a nivel de interfaz. El trfico de multicast tambin debe estar
explcitamente permitido por poltica de seguridad. Se ha aadido una zona de destino
especial conocida como Multicast y se debe especificar para controlar el trfico de multicast
en reglas de proteccin de seguridad, QoS y DoS. En contraste a la poltica de seguridad de
unidifusin, las polticas de seguridad de multicast se deben crear explcitamente si las
interfaces de origen y destino estn en la misma zona. Los perfiles de seguridad son
compatibles en entornos de multicast que requieren funciones de prevencin de amenazas.
Logging
Cada una de las sesiones de multicast que pasa por el cortafuegos crea una nica entrada de
log de trfico (incluso si el cortafuegos replica paquetes para la distribucin en mltiples
interfaces). Los logs de trfico indican el nmero de bytes entrantes en el cortafuegos en lugar
del nmero de bytes distribuidos como parte de la suscripcin de multicast.
Pestaa General
Seleccione las interfaces que se incluirn en el enrutador virtual y aada las rutas estticas.
Consulte la tabla siguiente.
Pestaa RIP
Especifique los parmetros que utilizar el protocolo RIP en las interfaces seleccionadas.
Aunque es posible configurar los protocolos RIP y OSPF, por lo general es recomendable
elegir nicamente uno de estos protocolos. Consulte la tabla siguiente.
Interfaces
Interfaz Seleccione la interfaz que ejecuta el protocolo RIP.
Habilitar Seleccione esta opcin para habilitar estos ajustes.
Anunciar Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica Especifique un valor mtrico para el anuncio del enrutador. Este campo
solo es visible si se ha seleccionado la casilla de verificacin Anunciar.
Perfil de autenticacin Seleccione el perfil.
Modo Seleccione Normal, Pasivo o Enviar nicamente.
Temporizadores
Segundos del intervalo Defina la duracin del intervalo de tiempo en segundos. Esta duracin se
(seg) utiliza para el resto de los campos de temporizacin de RIP (1 - 60).
Intervalo de Introduzca el nmero de intervalos entre los anuncios de actualizacin de
actualizaciones rutas (1 - 3600).
Intervalos de Introduzca el nmero de intervalos entre la ltima hora de actualizacin
vencimiento de la ruta hasta su vencimiento (1- 3600).
Intervalo de eliminacin Introduzca el nmero de intervalos entre la hora de vencimiento de la
ruta hasta su eliminacin (1- 3600).
Perfiles de
autenticacin
Nombre de perfil Introduzca un nombre para el perfil de autenticacin para autenticar los
mensajes RIP. Para autenticar mensajes RIP, primero defina los perfiles de
autenticacin y a continuacin, aplquelos a las interfaces en la pestaa
RIP.
Tipo de contrasea Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca y confirme la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin, haga
clic en ACEPTAR. Para especificar la clave que se debe utilizar para
autenticar el mensaje saliente, seleccione la opcin Preferido.
Pestaa OSPF
Especifique los parmetros que utilizar el protocolo Open Shortest Path First (OSPFv2) en las
interfaces seleccionadas. Aunque es posible configurar los protocolos RIP y OSPF, por lo
general es recomendable elegir nicamente un protocolo IGP. Consulte la tabla
siguiente.Pestaa BGP
reas
ID de rea Configure el rea en el que los parmetros OSPF se pueden aplicar.
Introduzca un identificador del rea en formato x.x.x.x. Es el identificador
que cada vecino debe aceptar para formar parte de la misma rea.
Perfiles de
autenticacin
Nombre de perfil Introduzca un nombre para el perfil de autenticacin. Para autenticar
mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.
Reglas de
exportacin
Permitir redistribucin Seleccione la casilla de verificacin para permitir la redistribucin de las
de ruta predeterminada rutas predeterminadas mediante OSPF.
Nombre Seleccione el nombre del perfil de redistribucin.
Nuevo tipo de ruta Seleccione el tipo de mtrica que se aplicar.
Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Avanzado
Compatibilidad RFC Selecciona la casilla de verificacin para garantizar la compatibilidad con
1583 RFC 1583.
Temporizadores Retraso de clculo SPF (seg): Esta opcin es un temporizador que le
permite definir el retraso de tiempo entre la recepcin de nueva
informacin de topologa y ejecutar un clculo SPF. Los valores
menores permiten una reconvergencia OSPF ms rpida. Los
enrutadores que se emparejan con el cortafuegos se deben configurar de
manera similar para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es equivalente a MinLSInterval en
RFC 2328. Los valores menores se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios de topologa.
Pestaa BGP
Especifique los parmetros que utilizar el protocolo BGP en las interfaces seleccionadas.
Consulte la tabla siguiente.
Pestaa General
Rechazar ruta por Seleccione la casilla de verificacin para ignorar todas las rutas
defecto predeterminadas anunciadas por peers BGP.
Pestaa Avanzada
Reinicio correcto Active la opcin de reinicio correcto.
Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede
permanecer inhabilitada (intervalo 1-3600 segundos; opcin
predefinida 120 segundos).
Hora de reinicio local: Especifique el tiempo que el dispositivo local
tarda en reiniciar. Este valor se le comunica a los peers (intervalo
1-3600 segundos; opcin predefinida 120 segundos).
Mx. de hora de reinicio del peer: Especifique el tiempo mximo que el
dispositivo local acepta como perodo de gracia para reiniciar los
dispositivos peer (intervalo 1-3600 segundos; opcin predefinida
120 segundos).
ID de clster reflector Especifique un identificador IPv4 para representar el clster reflector.
AS de miembro de Especifique el identificador de la confederacin AS que se presentar
confederacin como un AS nico a los peers BGP externos.
Pestaas Importar
reglas/Exportar
reglas
Importar reglas/Exportar Haga clic en la pestaa secundaria de BGP Importar reglas o Exportar reglas.
reglas Para agregar una nueva regla, haga clic en Aadir y configure los siguientes
ajustes:
Pestaa secundaria General:
Nombre: Especifique un nombre para identificar la regla.
Habilitar: Seleccione para activar la regla.
Utilizada por: Seleccione los grupos de peer que utilizarn esta regla.
Pestaa secundaria Coincidencia:
Expresin regular de ruta AS: Especifique una expresin regular para el
filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
Prefijo de direccin: Especifique direcciones o prefijos IP para el filtrado
de rutas.
MED: Especifique un valor de MED para el filtrado de rutas.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Pestaa secundaria Accin:
Accin: Especifique una accin (Permitir o Denegar) que se realizar
cuando se cumplan las condiciones especificadas.
Preferencia local: Especifique un valor de preferencia local nicamente
si la accin es Permitir.
MED: Especifique un valor de MED, nicamente si la accin es Permitir
(0- 65535).
Peso: Especifique un valor de de peso, nicamente si la accin es
Permitir.
(0- 65535).
Siguiente salto: Especifique un enrutador de siguiente salto,
nicamente si la accin es Permitir.
Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta,
nicamente si la accin es Permitir.
Lmite de ruta AS: Especifique un lmite de ruta AS, nicamente si la
accin es Permitir.
Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder,
Eliminar y preceder, nicamente si la accin es Permitir.
Comunidad: Especifique una opcin de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, nicamente si la
accin es Permitir.
Pestaa Anuncio La funcin de anuncio condicional BGP permite controlar la ruta que se
condicional anunciar en caso de que no exista ninguna ruta diferente en la tabla de
enrutamiento BGP local (LocRIB), indicando un fallo de peering o
alcance. Esta funcin es muy til si desea probar y forzar rutas de un AS a
otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea enrutar
el trfico a un nico proveedor, en lugar de a los otros, salvo que se
produzca una prdida de conectividad con el proveedor preferido. Con la
funcin de anuncio condicional, puede configurar un filtro no existente
que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta
coincidente con el filtro no existente en la tabla de enrutamiento BGP
local, solo entonces el dispositivo permitir el anuncio de la ruta
alternativa (la ruta al otro proveedor no preferido) tal y como se
especifica en su filtro de anuncio. Para configurar el anuncio condicional,
seleccione la pestaa Anuncio condicional y haga clic en Aadir. A
continuacin se describe cmo se configuran los valores en los campos.
Poltica Especifique el nombre de la poltica para esta regla de anuncio
condicional.
Habilitar Seleccione la casilla de verificacin para activar el anuncio condicional de
BGP.
Utilizado por Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Pestaa secundaria Utilice esta pestaa para especificar el prefijo de la ruta preferida.
Filtros no existentes Especifica la ruta que desea anunciar, si est disponible en la tabla de ruta
de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no
existente, el anuncio se suprimir.
Haga clic en Aadir para crear un filtro no existente.
Filtros no existentes: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
MED: Especifique un valor de MED para el filtrado de rutas.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto de la ruta preferida.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Pestaa Agregar
Agregar filtros Para agregar una nueva regla, haga clic en Aadir para mostrar los
siguientes ajustes: Configure los parmetros de las pestaas secundarias
Suprimir filtros, Anunciar filtros y Agregar atributos de ruta, y haga clic
en Listo para aadir la regla a la lista de direcciones. Los parmetros de
esta tabla se han descrito anteriormente en las pestaas Importar reglas y
Exportar reglas.
Haga clic en el icono para eliminar una regla.
Pestaa Reglas de
redistr.
Permitir redistribucin Seleccione la casilla de verificacin para permitir que el cortafuegos
de ruta predeterminada redistribuya su ruta predefinida a los peers BGP.
Reglas de redistr. Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla se han
descrito anteriormente en las pestaas Importar reglas y Exportar reglas.
Haga clic en el icono para eliminar una regla.
Pestaa Multicast
Especifique los ajustes de enrutamiento multicast en la siguiente tabla.
Pestaa secundaria
Punto de encuentro
Tipo de RP Seleccione el tipo de Punto de encuentro (RP) que se ejecutar en este
enrutador virtual. Se debe configurar un RP esttico de forma explcita en
otros enrutadores PIM, mientras que se elige automticamente un RP
candidato.
Ninguno: Seleccione esta opcin si no hay ningn RP ejecutndose en
este enrutador virtual.
Esttico: Especifique una direccin IP esttica para el RP y seleccione las
opciones de Interfaz de RP y Direccin de RP en las listas desplegables.
Active la casilla de verificacin Cancelar RP obtenido para el mismo
grupo si desea utilizar el RP especificado del RP elegido para este
grupo.
Candidato:: Especifique la siguiente informacin para el candidato del
RP que se ejecuta en este enrutador virtual:
Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de
interfaz vlidos incluyen loopback, L3, VLAN, Ethernet agregada y
tnel.
Direccin de RP: Seleccione una direccin IP para el RP.
Prioridad: Especifique una prioridad para los mensajes de RP
candidato (opcin predefinida 192).
Intervalo de anuncio: Especifique un intervalo entre anuncios para
mensajes RP candidatos.
Lista de grupos: Si selecciona Esttico o Candidato, haga clic en Aadir
para especificar una lista de grupos en los que este RP candidato se
propone para ser el RP.
Punto de encuentro Haga clic en Aadir y especifique la siguiente informacin:
remoto Direccin IP: Especifique la direccin IP del RP.
Cancelar RP obtenido para el mismo grupo: Active esta casilla de
verificacin si desea utilizar el RP especificado del RP elegido para este
grupo.
Grupo: Especifique una lista de grupos en los que la direccin
especificada actuar como RP.
Pestaa secundaria
Interfaces
Nombre Introduzca un nombre para identificar un grupo de interfaces.
Descripcin Introduzca una descripcin opcional.
Interfaz Haga clic en Aadir para especificar una o ms interfaces de cortafuegos.
Pestaa secundaria
Umbral SPT
Nombre El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en
kbps) a la que el enrutamiento multicast cambiar desde la distribucin
del rbol compartido (con origen en el punto de encuentro) a la
distribucin del rbol de origen.
Haga clic en Aadir para especificar los siguientes ajustes de SPT:
Grupo/prefijo de multicast: Especifique la direccin/prefijo IP para el
que SPT se cambiar a la distribucin del rbol de origen cuando el
rendimiento alcance los umbrales deseados (kbps).
Umbral: Especifique el rendimiento al que se cambiar desde la
distribucin del rbol compartido a la distribucin del rbol de origen.
Pestaa secundaria
Espacio de direccin
especfico de origen
Nombre Define los grupos de multicast a los que el cortafuegos proporcionar
servicios de multicast de origen especfico (SSM).
Haga clic en Aadir para especificar los siguientes ajustes de direcciones
de origen especfico:
Nombre: Introduzca un nombre para identificar este grupo de ajustes.
Grupo: Especifique los grupos del espacio de direccin SSM.
Incluido: Active esta casilla de verificacin para incluir los grupos
especificados en el espacio de direccin SSM.
Pestaa
Retransmisin DHCP
Interfaz Seleccione la interfaz del cortafuegos.
IPv4 Active la casilla de verificacin IPv4 para utilizar direcciones IPv4 para
retransmisiones DHCP y especifique direcciones IPv4 para hasta cuatro
servidores DHCP.
IPv6 Active la casilla de verificacin IPv6 para utilizar direcciones IPv6 para
retransmisiones DHCP y especifique direcciones IPv6 para hasta cuatro
servidores DHCP. Especifique una interfaz de salida si utiliza una
direccin de multicast IPv6 para su servidor.
Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
Si el nombre de dominio no es encuentra en la cach proxy de DNS, el nombre de dominio se
busca segn la configuracin de las entradas e el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.
Perfiles de red
Los perfiles de red capturan la informacin de configuracin que el cortafuegos puede utilizar
para establecer conexiones de red e implementar polticas. Se permiten los siguientes tipos de
perfiles de red:
Puertas de enlace de IKE, perfiles criptogrficos de IPSec e IKE: Estos perfiles admiten
la configuracin y funcionamiento de VPN de IPSec. Para obtener ms informacin sobre
los siguientes tipos de perfiles, consulte Configuracin de tneles de IPSec en la
pgina 337.
Perfiles de supervisor: Estos perfiles se utilizan para supervisar las reglas de reenvo
basado en polticas (PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos
casos, el perfil de supervisin se utiliza para especificar la medida que se adoptar
cuando un recurso (tnel de IPSec o dispositivo de siguiente salto) no est disponible.
Consulte Configuracin de supervisin en la pgina 192.
Perfiles de gestin de interfaz: Estos perfiles especifican los protocolos que se pueden
utilizar para gestionar el cortafuegos de interfaces de capa 3, incluyendo interfaces VLAN
y loopback. Consulte Definicin de perfiles de gestin de interfaz en la pgina 191.
Proteccin contra inundaciones: Protege contra SYN, ICMP, UDP y otros ataques de
inundacin basados en IP.
Perfiles QoS: Estos perfiles determinan como se tratan las clases de trfico QoS. Puede
establecer lmites generales en el ancho de banda independientemente de la clase y
tambin establecer lmites para clases individuales. Tambin puede asignar
prioridades a diferentes clases. Las prioridades determinan cmo se trata el trfico en
presencia de conflictos. Consulte Definicin de perfiles de QoS en la pgina 392.
Utilice esta pgina para especificar los protocolos que se utilizan para gestionar el cortafuegos.
Para asignar perfiles de gestin a cada interfaz, consulte Configuracin de interfaces de capa 3
en la pgina 138 y Configuracin de subinterfaces de capa 3 en la pgina 144. Para ver una
descripcin general de las interfaces del cortafuegos, consulte Interfaces del cortafuegos en la
pgina 135.
Un perfil de supervisor se utiliza para supervisar las reglas de reenvo basado en polticas
(PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de
supervisin se utiliza para especificar la medida que se adoptar cuando un recurso (tnel de
IPSec o dispositivo de siguiente salto) no est disponible. Los perfiles de supervisin son
opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para
garantizar el cumplimiento de las reglas PBF.
Despus de crear un perfil de supervisin, puede aplicarlo a un perfil de tnel de IPSec en la
pestaa General , activar la casilla de verificacin Mostrar opciones avanzadas, la casilla de
verificacin Monitor de tnel y seleccionando el perfil que desee de la lista desplegable. En
una regla PBF, haga clic en la pestaa Reenvo, active la casilla de verificacin Supervisar y
seleccione el perfil que desee en la lista desplegable.
En el ejemplo de un tnel de IPSec, el cortafuegos controla la direccin IP especificada
mediante el tnel para determinar si el tnel funciona correctamente de acuerdo con el perfil
de supervisin definido. Si la direccin IP de supervisin del tnel no es accesible, la accin se
adoptar en funcin de los ajustes que seleccione que se definen en Configuracin de
supervisin en la pgina 192.
En el caso de perfiles de supervisin utilizados en una regla PBF, se supervisa una direccin IP
remota. Si la direccin IP remota no es accesible, se adopta una de las siguientes medidas.
Si la accin es Esperar recuperacin, los paquetes continuarn envindose, de acuerdo
con la regla PBF.
Utilice esta pgina para determinar la forma en la que el cortafuegos responde a los ataques de
las zonas de seguridad especificadas. El mismo perfil se puede asignar a mltiples zonas. Para
ver una descripcin general de las zonas de seguridad, consulte Zonas de seguridad en la
pgina 162. La proteccin contra inundaciones se aplica a los paquetes que no pertenecen a
una sesin actual.
Pestaa secundaria
Descarte de ICMP
ID de 0 de ping de ICMP Descarta paquetes si el paquete de ping de ICMP tiene un identificador
con el valor de 0.
Fragmento de ICMP Descarta paquetes formados con fragmentos ICMP.
Paquete de ICMP de Descarta paquetes ICMP con un tamao mayor de 1024 bytes.
gran tamao (>1024)
Suprimir error caducado Detiene el envo de mensajes caducados ICMP TTL.
ICMP TTL
Suprimir fragmento de Detiene el envo de mensajes necesarios por la fragmentacin ICMP en
ICMP necesario respuesta a paquetes que exceden la interfaz MTU y tienen el bit no
fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que
ejecutan los hosts tras el cortafuegos.
Pestaa secundaria
Descarte de IPv6
Encabezado de Descarta paquetes con encabezado de enrutamiento de tipo 0.
enrutamiento tipo 0
Direcciones compatibles Descarta paquetes con direcciones IPv4 compatibles.
de IPv4
Direccin de fuente de Colocar paquetes con una direccin de origen de difusin por
difusin por proximidad proximidad.
Encabezado de Descarta paquetes con encabezado de fragmento innecesario.
fragmento innecesario
Pestaa secundaria
ICMPv6
Destino ICMPv6 no Requiere una bsqueda de poltica de seguridad explcita para errores de
alcanzable: requiere destinos ICMPv6 no alcanzables incluso con una sesin existente.
coincidencia de regla de
seguridad explcita
Paquete ICMPv6 Requiere una bsqueda de poltica de seguridad explcita para errores de
demasiado grande: paquetes ICMPv6 demasiado grandes incluso con una sesin existente.
requiere coincidencia de
regla de seguridad
explcita
Tiempo de ICMPv6 Requiere una bsqueda de poltica de seguridad explcita para errores de
superado: requiere tiempo de ICMPv6 superado incluso con una sesin existente.
coincidencia de regla de
seguridad explcita
Problema de parmetro Requiere una bsqueda de poltica de seguridad explcita para errores de
de ICMPv6: requiere problema de parmetro de ICMPv6 incluso con una sesin existente.
coincidencia de regla de
seguridad explcita
Redireccionamiento de Requiere una bsqueda de poltica de seguridad explcita para errores de
ICMPv6: requiere redireccionamiento de ICMPv6 incluso con una sesin existente.
coincidencia de regla de
seguridad explcita
Polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automtica. Se admiten los siguientes tipos de
polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en la
aplicacin, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces fsicas o lgicas que envan o reciben
trfico. Consulte Polticas de seguridad en la pgina 203.
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de proteccin en respuesta que coincidan con las reglas. Consulte Polticas de
proteccin DoS en la pgina 225.
Para ver informacin sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice polticas de seguridad, PBF o QoS, coloque el ratn sobre el objeto en la
columna Aplicacin, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener
que desplazarse a las pestaas de objetos.
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, regla n se inserta debajo de la regla seleccionada, donde
n es el siguiente nmero entero disponible que hace que el nombre de la regla sea
nico.
El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el trfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si mover la regla que ha seleccionado,
para reordenar antes o despus de esta regla.
Para mostrar las reglas que no se estn utilizando actualmente, seleccione la casilla de
verificacin Resaltar reglas no utilizadas.
Para mostrar el log de la poltica, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.
En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos
elementos directamente desde el men de la columna.
Si tiene un gran de polticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una poltica basada en el nombre del objeto o en la direccin IP.
La bsqueda tambin incluir los objetos incrustados para buscar una direccin en un
objeto de direccin o en un grupo de direcciones. En la siguiente captura de pantalla, la
direccin IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la poltica
aaa. Esa poltica utiliza un objeto de grupo de direccin denominado aaagroup, que
contiene la direccin IP.
Barra de filtros
Resultados de filtros
Puede restringir polticas de seguridad a los usuarios o aplicaciones que seleccione haciendo clic
en el enlace del usuario o de la aplicacin en la pgina de reglas de dispositivo Seguridad o
Descripcin. Para obtener ms informacin sobre cmo restringir las reglas segn la aplicacin,
consulte Definicin de aplicaciones en la pgina 251.
Para restringir una poltica a los usuarios seleccionados, realice los siguientes pasos:
1. En la pgina Seguridad o Descifrado de reglas del dispositivo, haga clic en el enlace
subrayado del usuario de origen o destino para abrir la ventana de seleccin.
4. Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo Usuario
y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir usuario. Tambin
puede introducir los nombres de usuarios individuales en el rea Ms usuarios.
5. Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripcin.
Polticas de seguridad
Las polticas de seguridad determinan si se bloquear o permitir una nueva sesin de red en
funcin de los atributos de trfico, como la aplicacin, zonas de seguridad y direcciones de
origen y destino, y el servicio de aplicacin (como HTTP). Las zonas de seguridad se utilizan
para agrupar interfaces segn el riesgo relativo del trfico que soporten. Por ejemplo, una
interfaz conectada a Internet est en una zona no fiable, mientras que una interfaz
conectada a la red interna est una zona fiable.
El trfico entre zonas est permitido de manera predeterminada y requiere una regla de
bloqueo explcita. Si se aade una regla de denegacin general como la ltima regla en
la poltica, el trfico entre zonas estar bloqueado, hasta que se indique lo contrario.
Las polticas de seguridad pueden ser tan generales o especficas como sea necesario. Las
reglas de poltica se comparan con el trfico entrante en secuencia y al aplicar la primera regla
que coincida con el trfico, las reglas ms especficas deben anteceder a las reglas ms
generales. Por ejemplo, una regla de una aplicacin simple debe anteceder a una regla para
todas las aplicaciones si el resto de configuraciones de trfico son las mismas.
Utilice la pgina Seguridad para definir reglas de poltica de seguridad. Para obtener
informacin sobre las directrices de configuracin, consulte Directrices de definicin de
polticas en la pgina 200.
Pestaa Categora
de URL/servicio
Servicio Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados por
Palo Alto Networks. Esta opcin es la recomendada para polticas de
permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios en la pgina 258 y Grupos de servicios
en la pgina 259.
Categora de URL Seleccione las categoras URL de la regla de seguridad.
Seleccione Cualquiera para permitir o denegar todas las sesiones, con
independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Categoras de
URL personalizadas en la pgina 261 para obtener ms informacin
sobre cmo definir categoras personalizadas.
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de
direccin de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirn entre pblicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones pblicas en el trfico enviado desde una zona interna (fiable) a
una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrn resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe
configurar una poltica de seguridad para permitir el trfico NAT. La poltica de seguridad se
basar en la direccin de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas
direcciones IP pblicas con diferentes nmeros de puerto de origen. Las reglas de IP
dinmica/NAT de puerto permiten traducir una direccin IP nica, un intervalo de
direcciones IP, una subred o una combinacin de todas ellas. Si una interfaz de salida
tiene una direccin IP asignada dinmicamente, puede ser de utilidad especificar la
interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin
adquirida por la interfaz para subsiguientes traducciones.
Nota: Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el
cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a
las direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT, el
servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. Para
especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la poltica NAT. Para definir
una poltica no NAT, especifique todos los criterios coincidentes y seleccione Sin traduccin
de origen en la columna de traduccin de origen.
Las reglas de traduccin NAT se basan en las zonas de origen y destino, en las direcciones de
origen y destino, y en el servicio de aplicacin (como HTTP). Al igual que las polticas de
seguridad, las reglas de poltica NAT se comparan con el trfico entrante en secuencia, y se
aplica la primera regla que coincida.
A medida que sea necesario, aada rutas estticas al enrutador local para enrutar el trfico a
todas las direcciones pblicas hacia el cortafuegos. Es posible que tambin necesite aadir
reglas estticas a la interfaz de destino en el cortafuegos para reducir el trfico en la direccin
privada (consulte Interfaces del cortafuegos en la pgina 135). Para obtener informacin
sobre las directrices de configuracin, consulte Directrices de definicin de polticas en la
pgina 200.
Paquete original
Zona de origen Seleccione una o ms zonas de origen y destino para el paquete original
Zona de destino (no NAT). (El valor predeterminado es cualquiera.) Las zonas deben ser
del mismo tipo (capa 2, capa 3 o de cable virtual). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
puede configurar los ajustes para que mltiples direcciones NAT internas
se dirijan a la misma direccin IP externa.
Interfaz de destino Especifique el tipo de interfaz de traduccin. La interfaz de destino se
puede utilizar para traducir direcciones IP de manera diferente en caso de
que la red est conectada a dos proveedores de Internet con grupos
diferentes de direcciones IP.
Direccin de origen Especifique una combinacin de direcciones de origen y destino para las
Direccin de destino que las direcciones de origen y destino se deben traducir.
Servicio Especifique los servicios para los que las direcciones de origen y destino
se traducen. Para definir nuevos grupos de servicio, consulte Grupos de
servicios en la pgina 259.
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e
IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4 acceder a
servidores IPv6. Existen tres mecanismos principales de transicin definidos por IETF: pila doble,
tneles y transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicacin, debe utilizar
la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga de
una solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin NAT.
No requiere que conserve un grupo de direcciones IPv4 especficamente para NAT64. Por
lo tanto, puede utilizar una direccin IP simple para NAT44 y NAT64.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Host IPv6
Tabla 79.
Traduccin de
IP de origen IP de destino Traduccin de destino
origen
Cualquier Prefijo NAT64 IP dinmica y modo Ninguna
direccin IPv6 con mscara de puerto (usar
(Extrada de las direcciones IPv6 de
IPv6 de red compatible direcciones IPv4)
con RFC6052 destino)
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Host IPv4
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignacin de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de tnel sin punto de finalizacin porque este tipo de
interfaz actuar como un puerto de loopback y aceptar otras mscaras de subred adems de
/128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para garantizar que el
trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
Pestaa Destino/
aplicacin/servicio
Direccin de destino Haga clic en Aadir para aadir las direcciones, direcciones de grupos o
regiones de destino (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.
Aplicacin Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir
nuevas aplicaciones, consulte Definicin de aplicaciones en la
pgina 251. Para definir grupos de aplicaciones, consulte Definicin de
grupos de aplicaciones en la pgina 257.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la
regla de PFB, podr ver los detalles de estos objetos al pasar el
ratn por encima del objeto en la columna Aplicacin, haciendo
clic en la flecha hacia abajo y seleccionando Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente
desde la poltica, sin tener que ir hasta las pestaas de objetos.
Servicio Especifique los servicios para los que las direcciones de origen y destino
se traducen. Para definir nuevos grupos de servicio, consulte Grupos de
servicios en la pgina 259.
Pestaa Reenvo
Accin Seleccione una de las siguientes opciones:
Reenviar: Especifique la direccin IP del prximo salto y la interfaz de
salida (la interfaz que toma el paquete para el siguiente salto
especificado).
Reenviar a VSYS: Seleccione el sistema virtual de reenvo en la lista
desplegable.
Descartar: descarta el paquete.
No hay ningn PBF: No altera la ruta que tomar el paquete.
Debe tener en cuenta los siguientes aspectos cuando utilice esta funcin:
Si una interfaz tiene mltiples funciones PBF, solo una regla puede
aplicar el retorno simtrico.
Puede utilizar esta opcin en todas las interfaces L3, excepto en las de
loopback. Tambin puede utilizar interfaces con la direccin IP
asignada dinmicamente (DHCP y PPoE).
El origen debe ser una interfaz, no una zona.
La lista de direcciones del salto siguiente no es compatible con tneles
ni con interfaces PPoE.
Puede definir hasta 8 direcciones de salto siguiente por cada regla PBF.
Programacin Para limitar los das y horas en los que la regla est en vigor, seleccione
una programacin de la lista desplegable. Para definir nuevas
programaciones, consulte Programaciones en la pgina 271.
Polticas de descifrado
Polticas > Descifrado
Nota: Consulte la nota tcnica de Palo Alto Networks, Controlling SSL Decryption
(Control de descifrado SSL, en ingls) para obtener instrucciones sobre cmo gestionar los
certificados SSL para evitar errores de coincidencia de certificados, y para obtener
instrucciones sobre cmo desarrollar las polticas para gestionar implementaciones SSL
no estndar.
Pestaa Origen
Zona de origen Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen Haga clic en Aadir para aadir las direcciones, direcciones de grupos o
regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.
Usuario de origen Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de
origen sometidos a la poltica.
Pestaa Destino
Zona de destino Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de destino Haga clic en Aadir para aadir las direcciones, direcciones de grupos o
regiones de destino (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.
Pestaa Opciones
Accin Seleccione Descifrar o No descifrar para el trfico.
Tipo Seleccione el tipo de trfico para descifrar de la lista desplegable:
Proxy SSL de reenvo: Especifique que la poltica descifrar el trfico
del cliente destinado a un servidor externo.
Proxy SSH: Especifique que la poltica descifrar el trfico SSH. Esta
opcin permite controlar los tneles SSH en polticas, especificando el
ID de aplicacin de tnel ssh.
Inspeccin de entrada SSL: Especifique que la poltica descifrar el
trfico de inspeccin entrante SSL.
Perfil de descifrado Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte
Perfiles de descifrado en la pgina 269.
Una vez haya creado una nueva regla, configrela haciendo clic en los valores de campo
actual y especificando la informacin adecuada, tal y como se describe en la siguiente tabla.
Pestaa Origen
Zona de origen Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad en la pgina 163.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo, si
tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen Haga clic en Aadir para aadir las direcciones, direcciones de grupos o
regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.
Pestaa Protocolo/
Aplicacin
Protocolo Seleccione el protocolo por el que la aplicacin se puede cancelar.
Puerto Introduzca el nmero de puerto (0 a 65535) o el intervalo de nmeros de
puerto (puerto1-puerto2) de las direcciones de origen especificadas. Si
especifica varios puertos o intervalos, deben estar separados por comas.
Aplicacin Seleccione la aplicacin de cancelacin de los flujos de trfico que
coincidan con los criterios de la regla anterior. Si cancela una aplicacin
personalizada, no se realizar una inspeccin de amenazas. La excepcin
es si cancela una aplicacin predeterminada que admite la inspeccin de
amenazas.
Para definir nuevas aplicaciones, consulte Definicin de aplicaciones en
la pgina 251.
Antes de definir polticas de portal cautivo, habilite las funciones y configure los ajustes de
portal cautivo en la pgina Identificacin de usuarios, tal y como se describe en
Configuracin del cortafuegos para la identificacin de usuarios en la pgina 312.
Posteriormente, puede configurar las polticas de portal cautivo especificando la siguiente
informacin.
Pestaa Origen
Origen Especifique la siguiente informacin:
Seleccione una zona de origen si necesita aplicar la poltica al trfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica del portal cautivo desde las direcciones de origen especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Pestaa Destino
Destino Especifique la siguiente informacin:
Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para
especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica del portal cautivo desde las direcciones de destino especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Pestaa Servicio/
Accin
Configuracin de accin Seleccione la accin que se realizar:
portal cautivo: Abre una pgina de portal cautivo en la que el usuario
puede introducir las credenciales de autenticacin.
portal no cautivo: Permite el paso del trfico sin abrir una pgina de
portal cautivo para su autenticacin.
ntlm-auth: Abre una solicitud de autenticacin NT LAN Manager
(NTLM) en el explorador web del usuario. El explorador web
responder utilizando las credenciales de inicio de sesin actuales del
usuario.
Utilice esta pgina para definir las reglas DoS para las polticas.
Pestaa Origen
Origen Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica DoS desde las direcciones de origen especficas. Seleccione la
casilla de verificacin Negar para seleccionar cualquier direccin
excepto las configuradas. Haga clic en Aadir para especificar mltiples
interfaces o zonas.
Especifique el parmetro Usuario de origen que se aplicar a la poltica
DoS para el trfico procedente de los usuarios especficos. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Pestaa Destino
Destino Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica DoS para el trfico a las direcciones de destino especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Perfiles de seguridad
Cada una de las polticas de seguridad puede incluir especificaciones de uno o ms perfiles de
seguridad, lo que proporciona an ms nivel de proteccin y control.
Tambin puede aadir excepciones de amenazas a los perfiles de Anti Spyware y
Vulnerabilidades. Con objeto de facilitar an ms la gestin de amenazas, puede aadir
excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. Para
aadir una excepcin de amenaza a un perfil, busque la amenaza en el log y haga clic en el
nombre de la amenaza. Se abrir el cuadro de dilogo Detalles de amenaza, seleccione uno o
ms perfiles en el panel de la izquierda y haga clic en ACEPTAR. De esta forma se aadir una
excepcin de amenazas para esa firma en los perfiles de amenazas seleccionados con la accin
permitida. Para aadir una excepcin de amenaza a la direccin IP concreta, aada las
direcciones IP del panel de la derecha, y haga clic en ACEPTAR. De esta forma se aadir una
excepcin de amenaza con las direcciones IP agregadas como un filtro en la excepcin de la
amenaza.
Perfiles de antispyware para bloquear intentos de acceso a la red por parte de spyware.
Consulte Perfiles de antispyware en la pgina 230.
Perfiles de filtrado de URL para restringir el acceso a sitios web especficos y a categoras
de sitios web. Consulte Perfiles de filtrado de URL en la pgina 235.
Perfiles de filtrado de datos que ayudan a evitar que informacin confidencial, como
nmeros de tarjetas de crdito o nmeros de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte Perfiles de filtrado de datos en la pgina 241.
Adems de los perfiles individuales, puede crear grupos para combinar los perfiles que se
apliquen con frecuencia conjuntamente.
Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.
Predeterminado: Realiza la accin predeterminada especificada internamente en la firma
de cada amenaza.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Puede elegir entre las siguientes acciones cuando define polticas de vulnerabilidad:
Ninguna: no realiza ninguna accin.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Colocar todos los paquetes: Evita que todos los paquetes salgan del cortafuegos.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
Pestaa Antivirus
Captura de paquetes Seleccione la casilla de verificacin para capturar paquetes identificados.
Descodificadores y Para cada tipo de trfico en el que desee buscar virus, seleccione una
Acciones accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire. Para obtener
ms informacin sobre WildFire, consulte Acerca de WildFire en la
pgina 463.
Pestaa Excepcin de
virus
ID de amenaza Utilice esta pestaa si desea que el sistema ignore amenazas concretas.
Aparecern las excepciones ya especificadas. Puede aadir amenazas
adicionales introduciendo el ID de amenaza y haciendo clic en Aadir.
Los ID de amenaza se presentan como parte de la informacin del log de
amenaza. Consulte Visualizacin de los logs en la pgina 288.
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una poltica de seguridad puede incluir informacin de un perfil antispyware para detectar
llamada a casa (deteccin del trfico del spyware instalado). El perfil antispyware
predeterminado detecta la proteccin de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antispyware
para el trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico
recibido de zonas no fiables, como Internet, as como el trfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts
infectados en una red. Estas firmas detectan bsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Adems, los hosts que realizan consultas DNS en dominios malware aparecern en
el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms
columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submen Columnas.
Para obtener ms informacin, consulte Uso de tablas en pginas de configuracin en la
pgina 27.
Pestaa Reglas
Nombre de regla Especifique el nombre de la regla.
Nombre de amenaza Introduzca Cualquiera para buscar todas las firmas o introduzca el texto
para buscar cualquier firma con el texto indicado como parte del nombre
de la firma.
Gravedad Seleccione un nivel de gravedad (crtico, alto, medio, bajo o
informativo).
Accin Seleccione una accin (Predeterminada, Alerta, Permitir o Colocar) para
cada amenaza.
Captura de paquetes Seleccione la casilla de verificacin para capturar paquetes identificados.
Pestaa Excepciones
Excepciones Seleccione la casilla de verificacin Habilitar para cada amenaza a la que
desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.
Pestaa firma DNS
Firma DNS de host Seleccione la medida que se adoptar cuando se realicen bsquedas DNS
infectado en sitios conocidos de malware (Alertar, Permitir o predeterminada
(Bloquear)).
Captura de paquetes Seleccione la casilla de verificacin para capturar paquetes identificados.
ID de amenaza Introduzca manualmente excepciones de firma DNS (intervalo
4000000-4999999).
Pestaa Reglas
Nombre de regla Especifique un nombre para identificar la regla.
Nombre de amenaza Especifique una cadena de texto para buscar. El cortafuegos aplica un
conjunto de firmas a la regla buscando nombres de firmas para esta
cadena de texto.
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de una URL
que bloquee el acceso a sitios y a categoras de sitios web especficas, o que genere una alerta
cuando se accede a sitios web concretos (se requiere una licencia de filtrado URL). Tambin
puede definir una lista de bloqueo de sitios web que est siempre bloqueada (o que generen
alertas) y una lista de permiso de sitios web que est siempre permitida. Las dos categoras
estn predefinidas por Palo Alto Networks.
Para aplicar los perfiles de filtrado de URL a las polticas de seguridad, consulte Polticas de
seguridad en la pgina 203. Para crear categoras URL personalizadas con sus propias listas
de URL, consulte Categoras de URL personalizadas en la pgina 261.
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de datos que
ayuda a identificar informacin confidencial como nmeros de tarjetas de crdito o de la
seguridad social y que evita que dicha informacin salga del rea protegida por el
cortafuegos.
Para aplicar los perfiles de filtrado de datos a las polticas de seguridad, consulte Polticas de
seguridad en la pgina 203.
Para aadir un patrn de datos, haga clic en Aadir y especifique la siguiente informacin.
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Una poltica de seguridad DoS puede incluir especificaciones de un perfil DoS que protegen
contra ataques DoS y toman las medidas de proteccin en respuesta a las coincidencias de la
regla. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia.
Para aplicar perfiles DoS a polticas DoS, consulte Polticas de proteccin DoS en la
pgina 225.
Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios
en la pgina 258.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte Categoras de URL personalizadas en
la pgina 261.
Para definir polticas de seguridad para direcciones de origen o destino especficas, primero
debe definir las direcciones y los intervalos de direcciones. Las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones para simplificar la
creacin de polticas (consulte Definicin de grupos de direcciones en la pgina 248).
Identificador
Esta funcin del objeto de direccin dinmica es muy til en entornos en los
que las direcciones IP del host cambian frecuentemente; como en entornos
virtuales en los que los hosts se suelen aadir y eliminar con frecuencia y
donde se pueden producir fallos que requieren cambiar las direcciones IP. Al
utilizar el nombre del objeto de la direccin dinmica de la poltica
coincidente en lugar de las direcciones IP estticas o redes, las direcciones se
pueden actualizar dinmicamente sin modificar la configuracin del
cortafuegos.
Cada objeto de direccin dinmica puede contener hasta 256 direcciones IP.
Para simplificar la creacin de polticas de seguridad, las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones.
Definicin de regiones
Objetos > Regiones
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categora, a continuacin los filtros de
subcategora, riesgos y, finalmente, los filtros de caractersticas.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualiza automticamente, tal y como se muestra en la siguiente ilustracin. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicacin.
Una bsqueda incluye cadenas parciales. Cuando defina polticas de seguridad, puede
escribir reglas que se aplicarn a todas las aplicaciones que coincidan con un filtro
guardado. Estas reglas se actualizan dinmicamente cuando se aade una nueva
aplicacin mediante una actualizacin de contenido que coincida con el filtro.
Haga clic en el nombre de una aplicacin para ver ms detalles sobre la aplicacin, tal y
como se describe en la siguiente tabla. Tambin puede personalizar los valores de riesgo y
tiempo de espera, tal y como se describe en la siguiente tabla.
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir nuevas aplicaciones a la evaluacin del cortafuegos
cuando aplique polticas.
Pestaa Avanzada
Puerto Si el protocolo que utiliza la aplicacin es TCP y/o UDP, seleccione
Puerto e introduzca una o ms combinaciones del protocolo y nmero de
puerto (una entrada por lnea). El formato general es:
<protocolo>/<puerto>
donde <puerto> es un nmero de puerto nico; o dinmica para una
asignacin dinmica de puertos.
Ejemplos: TCP/dinmica o UDP/32.
Este ajuste se aplica si utiliza app-default en la columna Service de una
regla de seguridad.
Protocolo IP Especifique un protocolo IP diferente a TCP o UDP, seleccionando
Protocolo IP e introduciendo el nmero del protocolo (1 a 255).
Tipo de ICMP Especifique un tipo de protocolo de mensajes de control de Internet
versin 4 (ICMP), seleccionando Tipo de ICMP e introduciendo el
nmero (intervalo 0-255).
Tipo de ICMP6 Especifique un tipo de protocolo de mensajes de control de Internet
versin 6 (ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el
nmero (intervalo 0-255).
Ninguna Especifique firmas independientes de protocolo, seleccionando Ninguno.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el
sistema virtual de destino en la lista desplegable Destino.
Para exportar la aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
Host: www.sitioespecificado.com
sitioespecificado {
category collaboration;
subcategory social-networking;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
and-condition {
o1 {
context http-req-host-header;
pattern www\.sitioespecificado\.com;
}
}
}
}
}
}
}
El campo host incluye el patrn blogespecificado.com. Sin embargo, si se escribe una firma con
ese valor en el host, incluir todo el trfico entrante en blogespecificado.com, incluyendo el
trfico de publicaciones y de visualizacin. Por lo tanto, es necesario buscar ms patrones.
Una forma de hacerlo es buscar los patrones post_title y post-author en los parmetros de la
publicacin. La firma resultante detecta las publicaciones en el sitio web:
nombreusuario@nombrehost# show application blogespecificado_blog_posting
blogespecificado_blog_posting {
category collaboration;
subcategory web-posting;
technology browser-based;
decoder http;
signature {
s1 {
and-condition {
a1 {
and-condition {
o1 {
context http-req-host-header;
pattern blogespecificado\.com;
method POST;
}
}
}
a2 {
and-condition {
o2 {
context http-req-host-header;
pattern post_title;
method POST;
}
}
}
a3 {
and-condition {
o3 {
context http-req-host-header;
pattern post_author;
method POST;
}
}
}
}
}
}
}
Para simplificar la creacin de polticas de seguridad, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones. Para definir
nuevas aplicaciones, consulte Definicin de aplicaciones en la pgina 251.
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e
introduzca el nombre del filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas
de verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros de categora, a
continuacin los filtros de subcategora, tecnologa, riesgos y, finalmente, los filtros de
caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de elegir una categora, subcategora
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Technology se restringe
automticamente a las tecnologas que cumplen los requisitos de la categora y subcategoras
seleccionadas, aunque no se haya aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Servicios
Objetos > Servicios
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
Servicios en la pgina 258.
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo configurar patrones de datos, consulte Listas de bloqueos
dinmicos en la pgina 262.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos
generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes, pero
no menos.
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
.*(Trinidad)
La funcin de categoras URL personalizadas permite crear sus propias listas de URL que
puede seleccionar en cualquier perfil de filtrado de URL. Cada una de las categoras se puede
controlar de forma independiente y tendr una accin asociada en cada perfil de filtrado URL
(permitir, bloquear, continuar, cancelar o alertar).
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL.
Para ello, cree un archivo de texto con las URL que se incluirn, con una URL por lnea. Cada
una de las URL puede tener el formato www.ejemplo.com y contener un * como comodn,
como en el caso de *.ejemplo.com. Para obtener ms informacin acerca de comodines,
consulte la descripcin de Lista de bloqueo en Tabla 90 en la pgina 235.
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles
de filtrado de URL en la pgina 235.
Utilice la pgina Listas de bloqueos dinmicos para crear un objeto de direccin basado en
una lista importada de direcciones IP. El origen de la lista debe ser un archivo de texto y se
debe encontrar en un servidor web. Puede definir la opcin Repetir para que actualice
automticamente la lista de dispositivos cada hora, da, semana o mes. Una vez haya creado
un objeto de lista de bloqueo dinmico, puede utilizar el objeto de la direccin en los campos
de origen y destino en las polticas de seguridad. Cada lista importada puede contener hasta
5.000 direcciones IP (IPv4 y/o IPv6), intervalos de IP o subredes.
La lista debe contener una direccin IP, intervalo o subred por lnea, por ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas las direcciones
desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un
intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22
Utilice la pgina Patrones de datos para definir las categoras de informacin confidencial que
desea someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo definir perfiles de filtrado de datos, consulte Perfiles de filtrado de
datos en la pgina 241.
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que
se pueden tratar como una unidad y aadirse posteriormente a las polticas de seguridad. Por
ejemplo, puede crear un grupo de perfil de seguridad amenazas que incluya perfiles de
antivirus, antispyware y vulnerabilidades y crear una poltica de seguridad que incluya el
perfil amenazas.
Los perfiles de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y bloqueo
de archivos que se suelen asignar juntos pueden combinarse en grupos de perfiles para
simplificar la creacin de las polticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte Definicin de polticas de seguridad en
la pgina 203.
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si las
entradas de log de trfico y amenazas se registran de forma remota con Panorama, y/o se
envan como traps SNMP, mensajes de Syslog o notificaciones por correo electrnico. De
forma predefinida, solo se realizan logs locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de
amenazas registran las amenazas o problemas con el trfico de la red, como la deteccin de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y proteccin de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a polticas de seguridad, consulte
Polticas de seguridad en la pgina 203.
Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvo, inspeccin entrante SSL y trfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una poltica de descifrado.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms
informacin, consulte Entidades de certificacin de confianza en la pgina 97.
Bloquear sesiones si Finalice las sesiones si los recursos del sistema no estn disponibles para
no hay recursos procesar el descifrado.
disponibles
Nota: En el caso de modos no compatibles y de fallos, la informacin de la
sesin se guarda en cach durante 12 horas, por lo que las futuras sesiones
entre los mismos pares de hosts y servidor no se descifran. En su lugar,
utilice las casillas de verificacin para bloquear esas sesiones.
Pestaa Inspeccin
de entrada SSL
Comprobaciones de Proporciona opciones de seleccin de control de sesiones si se
modo no compatible detectan modos no compatibles en el trfico SSL.
Bloquear sesiones Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible
con versiones no con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
compatibles TLS1.0 y TLS1.1.
Bloquear sesiones Finalice la sesin si el conjunto de cifrado utilizado no es compatible con
con conjuntos de PAN-OS.
cifrado no
compatibles
Comprobaciones de Seleccione la accin que se adoptar si los recursos del sistema no estn
fallos disponibles.
Bloquear sesiones si Finalice las sesiones si los recursos del sistema no estn disponibles para
no hay recursos procesar el descifrado.
disponibles
Pestaa SSH
Proporciona opciones de seleccin de control de sesiones si se
Comprobaciones de
detectan modos no compatibles en el trfico SSH. La versin SSH
modo no compatible
compatible es la versin 2.
Bloquear sesiones Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible
con versiones no con PAN-OS.
compatibles
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas y
horas. Para limitar una poltica de seguridad a una hora concreta, puede definir
programaciones y aplicarlas a las polticas correctas. Para cada programacin puede
especificar una fecha y un intervalo horario fijo, o bien una programacin diaria o semanal
recurrente. Para aplicar las programaciones a las polticas de seguridad, consulte Polticas de
seguridad en la pgina 203.
Este captulo describe cmo visualizar los informes y logs proporcionados con el cortafuegos:
Uso del panel en la seccin siguiente
La pgina Panel muestra informacin general del dispositivo, como la versin de software, el
estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 de las entradas ms
recientes en los logs Sistema, Configuracin y Amenaza. Todos los grficos disponibles
aparecen de forma predeterminada, pero cada usuario puede eliminar y agregar grficos
individuales segn sea necesario.
Haga clic en Actualizar para actualizar el Panel. Para cambiar el intervalo de actualizacin
automtica, seleccione un intervalo de la lista desplegable (1 min, 2 min, 5 min o Manual).
Para agregar un widget al panel, haga clic en el cuadro desplegable Widget, seleccione una
categora y luego el nombre de widget. Para eliminar un widget, haga clic en en la barra de
ttulos.
Revise la siguiente informacin en cada grfico.
La pgina Centro de comando de aplicacin (ACC) muestra el nivel de riesgo general para su
trfico de red, los niveles de riesgo y el nmero de amenazas detectadas para las aplicaciones
ms activas y con mayor riesgo en su red y el nmero de amenazas detectadas desde las
categoras de aplicacin ms activas y desde todas las aplicaciones con cualquier nivel de
riesgo. Se puede visualizar el ACC para la hora, el da o la semana anterior o cualquier
perodo de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=ms bajo a 5=ms alto) indica el riesgo de seguridad relativo de la
aplicacin dependiendo de criterios como si la aplicacin puede compartir archivos, es
proclive al uso indebido o intenta esquivar los cortafuegos.
Para ver el Centro de comando de aplicacin:
1. En la pestaa ACC, cambie uno o varios ajustes a continuacin en la parte superior de la
pgina y haga clic en Ir:
2. Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces de
logs en la esquina inferior derecha de la pgina, como se muestra a continuacin. El
contexto de los logs coincide con la informacin que aparece en la pgina.
3. Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Despus de
agregar los filtros deseados, haga clic en el icono Aplicar filtro.
4. Selecciona una vista desde la lista desplegable del rea de su inters, como se describe en
la siguiente tabla.
5. Utilice las listas desplegables para Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.
6. Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrir una pgina
de detalles para mostrar informacin acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.
Uso de Appscope
Supervisar > Appscope
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Informe de resumen
El informe de resumen(Ilustracin 23) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios y
orgenes.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico.
Este informe contiene los siguientes botones y las siguientes opciones.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para agregar
el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Nota: Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que
ha definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en
la lnea Filtro de la pgina de log.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar
filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier
filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificacin si desea continuar utilizando la
misma opcin. Haga clic en ACEPTAR.
Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.
Abra la pgina Explorador de sesin para explorar y filtrar sesiones actualmente en ejecucin
en el cortafuegos. Para obtener informacin acerca de las opciones de filtrado en esta pgina,
consulte Visualizacin de los logs en la pgina 288.
Utilice estos ajustes para especificar tipos de trfico sospechoso (trfico que puede indicar
actividad de botnet). Para configurar los ajustes, haga clic en el botn Configuracin en el
lado derecho de la pgina Botnet.
Puede especificar consultas de informes y luego generar y ver informes de anlisis de botnet. Los
informes estn basados en los ajustes de configuracin de botnet (consulteConfiguracin del
informe de Botnet en la pgina 292). Puede incluir o excluir direcciones IP de origen o destino,
usuarios, zonas, interfaces, regiones o pases.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar
informes a peticin haciendo clic en Ejecutar ahora en la ventana donde define las consultas de
informe. El informe generado aparece en la pgina Botnet.
Para gestionar informes de botnet, haga clic en el botn Ajuste de informe en el lado derecho de la
pgina Botnet.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo de
informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Utilice esta pgina para crear informes que resumen la actividad de usuarios individuales.
Haga clic en Nuevo y especifique la siguiente informacin.
Para ejecutar el informe a peticin, seleccione el informe y haga clic en Editar y luego haga clic
en Ejecutar.
Los grupos de informes le permiten crear conjuntos de informes que un sistema puede
recopilar y enviar como un informe agregado en PDF nico con una pgina de ttulo opcional
y todos los informes constituyentes incluidos.
Visualizacin de informes
Supervisar > informes
Logs de trfico detallados: Puede utilizar los logs de trfico detallados para localizar
aplicaciones desconocidas. Si se activa los logs para la sesin de inicio y finalizacin, el
log de trfico proporcionar informacin especfica acerca del inicio y la finalizacin de
una sesin desconocida. Utilice la opcin de filtro para restringir la visualizacin de
entradas que coinciden tcp desconocido, como aparece en la siguiente ilustracin.
Toma de medidas
Puede llevar a cabo las siguientes acciones para tratar aplicaciones desconocidas:
Utilice la definicin de aplicaciones personalizadas con la cancelacin de aplicacin
(consulte Definicin de aplicacin personalizada con cancelacin de aplicacin en la
pgina 222).
Las polticas se pueden tambin establecer para controlar aplicaciones desconocidas por TCP
desconocido, UDP desconocido o por una combinacin de zona de origen, zona de destino y
direcciones IP. Consulte Polticas de cancelacin de aplicacin en la pgina 221.
Este captulo describe cmo configurar el cortafuegos para identificar a los usuarios que
intenten acceder a la red.
Descripcin general de la identificacin de usuarios en la seccin siguiente
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 307
Descripcin general de la identificacin de usuarios
Sondeo de cliente
En un entorno de Microsoft Windows, el sistema cliente puede proporcionar informacin
acerca de los usuarios registrados mediante Windows Management Instrumentation
(WMI) para servicios y usuarios autorizados. El sondeo de clientes de Microsoft Windows
a peticin proporciona informacin acerca de usuarios registrados en un equipo cliente.
API XML
Otros mtodos de identificacin no son directamente compatibles por opciones y
funciones del ID de usuario. En estos casos, una interfaz XML sobre SSL est disponible,
permitindo que las soluciones personalizadas registren usuarios vlidos y su direccin
de cliente correspondiente en la red con el ID de usuario.
Portal cautivo
Si el usuario no se puede identificar segn la informacin de inicio de sesin, una sesin
establecida o sondeo de cliente, el cortafuegos puede volver a dirigir cualquier solicitud
saliente de HTTP y volver a dirigir el usuario a un formato web. El formato web puede
autenticar el usuario de forma transparente mediante un desafo NTLM, que se evala y
se responde automticamente por el explorador web o mediante una pgina de inicio de
sesin explcita.
Equipos compartidos
Los equipos compartidos, como servidores de terminal de Microsoft, son problemticos
para la mayora de implementaciones porque un nmero de usuarios comparte el mismo
sistema y por lo tanto la misma direccin de red. En este caso, un Agente se puede instalar
en el servidor de terminal, que asociar luego no solo a la direccin de red, sino tambin a
los intervalos de puerto asignados a los usuarios registrados.
308 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Descripcin general de la identificacin de usuarios
Agente de ID de usuarios
Los agentes del ID de usuarios identifican el usuario en la red utilizando uno o todos los
mecanismos indicados anteriormente en este captulo.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 309
Agente de identificacin de usuarios
Para Active Directory, se requiere una conexin directa a todos los controladores de
dominio para supervisar la actividad de sesin del usuario y determinar las direcciones IP
del usuario.
310 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Agente de identificacin de usuarios
Portales cautivos
Si el agente de ID de usuarios no puede asociar un usuario con una direccin IP, un portal
cautivo puede tomar las riendas y autenticar el usuario con un formato web o un desafo NT
LAN Manager (NTLM).
Para recibir el formato web, los usuarios deben utilizar un explorador web y encontrarse en el
proceso de conexin. Encima de realizar una autenticacin correcta, los usuarios se dirigen
automticamente al sitio web solicitado inicialmente. El cortafuegos puede ahora ejecutar
polticas basadas en la informacin del usuario para cualquier aplicacin pasando a travs del
cortafuegos, no solo para aplicaciones que utilizan un explorador web.
Se aplican las siguientes reglas para portales cautivos:
Las reglas del portal cautivo funciona para el trfico web HTTP y HTTPS.
Si la accin para la regla es formato web, se presenta un formato web al usuario para
solicitar una contrasea.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 311
Agente de identificacin de usuarios
Si no se aplican las reglas del portal cautivo mencionado anteriormente porque el trfico no es
HTTP o no existen coincidencias de regla, el cortafuegos aplica sus polticas de seguridad
basadas en IP (ay no las polticas de seguridad basadas en el usuario).
Pestaa Portal cautivo: Especifique ajustes para admitir el uso de un portal cautivo para
la identificacin de usuarios. Consulte Portales cautivos en la pgina 311.
312 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Agente de identificacin de usuarios
Pestaa Sondeo de Habilitar sondeo: Seleccione esta casilla de verificacin para habilitar el
cliente sondeo WMI/NetBIOS para cada PC cliente identificado por el proceso
de asignacin del usuario. El sondeo ayudar a garantizar que el mismo
usuario est an registrado en el PC cliente con el fin de proporcionar
informacin precisa de usuario a IP.
Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC
cliente (valor predeterminado 20 minutos, intervalo 1-1440 minutos).
En implementaciones de gran tamao, es importante establecer el
intervalo de sondeo correctamente para proporcionar tiempo para
sondear cada cliente identificado. Por ejemplo, si dispone de 6.000
usuarios y un intervalo de 10 minutos, puede necesitar 10 consultas WMI
por segundo de cada cliente.
Nota: Para que el sondeo de WMI funcione de forma eficaz, se debe
configurar el perfil Asignacin de usuario con una cuenta de
administrador de dominio, y cada PC cliente sondeado debe tener una
excepcin de administracin remota configurada en el cortafuegos de
Windows. Para que el sondeo de NetBIOS funcione de forma efectiva,
cada PC cliente sondeado debe proporcionar un puerto 139 en el
cortafuegos de Windows y debe tener los servicios de uso compartido de
archivos e impresoras activados.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 313
Agente de identificacin de usuarios
314 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Agente de identificacin de usuarios
Pestaa Agentes de
ID de usuarios
Nombre Introduzca un nombre para identificar al agente de ID de usuarios (hasta
31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.
Sistema virtual Seleccione el sistema virtual de la lista desplegable (si es compatible con
el modelo del cortafuegos).
Direccin IP Introduzca la direccin IP del PC de Windows en el que est instalado el
agente de ID de usuarios.
Puerto Introduzca el nmero de puerto en el que est configurado el Agente de
ID de servicio en el host remoto.
Si utiliza un cortafuegos de PAN-OS como punto de redistribucin para
la informacin de asignacin del usuario y configura el agente de ID de
usuarios para conectar a ese dispositivo, debe utilizar el puerto 5007.
Nombre del recopilador Introduzca el nombre del recopilador desde el que se arrastrar el agente
de ID de usuarios para obtener informacin de asignacin del usuario.
Consulte Pestaa Asignacin de usuario en la pgina 312.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 315
Agente de identificacin de usuarios
Pestaa Agente de
servicios de terminal
Nombre Introduzca un nombre para identificar el agente de TS (de hasta
31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.
Sistema virtual Seleccione el sistema virtual de la lista desplegable (si es compatible con
el modelo del cortafuegos).
Host Introduzca la direccin IP del PC de Windows en el que se instalar el
agente de TS. Tambin puede especificar direcciones IP alternativas
(consulte la ltima entrada en esta tabla).
Puerto Introduzca el nmero de puerto en el que est configurado el Agente de
ID de servicio en el host remoto.
Direcciones IP Introduzca direcciones IP adicionales, si el servidor cuenta con varias
alternativas direcciones IP que pueden aparecer como la direccin IP de origen para el
trfico saliente.
316 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Agente de identificacin de usuarios
Pestaa
Configuracin de
portal cautivo
Habilitar portal cautivo Seleccionar activar la opcin de portal cautivo para la autenticacin.
Ubicacin Seleccione el sistema virtual de la lista desplegable (si es compatible con
el modelo del cortafuegos).
Temporizador de Introduzca el perodo de tiempo despus del que vence la pgina del
inactividad portal cautivo.
(1-1440 minutos, valor predeterminado 15 minutos).
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 317
Agente de identificacin de usuarios
318 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin de Asignacin de usuario de PAN-OS
Perfil de servidor LDAP: Este perfil se utiliza para definir la informacin del servidor de
controlador de dominio que utilizar el cortafuegos para realizar consultas para reunir
informacin de asignacin de grupo y usuario.
Esto perfila los pasos bsicos a seguir para configurar la Asignacin de usuario de PAN-OS:
1. Obtener una contrasea y una cuenta de inicio de sesin que cuenta con permisos para los
servidores y los host que utilizar para recuperar informacin de la asignacin de usuario. Los
permisos necesarios estn basados en los mtodos que habilitar para reunir la informacin
de asignacin de usuario, que puede ser de servidores de Microsoft Active Directory,
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 319
Configuracin de Asignacin de usuario de PAN-OS
3. Haga clic en el icono Editar en el lado superior derecho de la ventana Configuracin del
gente de ID de usuario de Palo Alto Networks. En esta pgina, defina los ajustes que se
utilizarn al recopilar informacin de asignacin de usuario a IP en los servidores
definidos en la lista Supervisin de servidor. Cumplimente cada pestaa basada en sus
requisitos. Consulte Pestaa Asignacin de usuario en la pgina 312 para obtener
descripciones de cada uno de los ajustes de asignacin de usuario. La pestaa
Redistribucin solo se utiliza si piensa utilizar este cortafuegos para distribuir
informacin de asignacin de usuario a otros dispositivos.
320 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin de Asignacin de usuario de PAN-OS
7. Para especificar redes que se incluirn o excluirn en los datos de asignacin del usuario,
haga clic en el icono Aadir en la seccin Incluir/Excluir y defina las redes que desea
filtrar. Eso le permitir enviar datos de asignacin de usuario filtrados a otros cortafuegos
de su red que utiliza este dispositivo para arrastrar informacin de asignacin de usuario.
Nota: Tambin puede excluir una lista de cuentas de usuario del proceso
de asignacin creando una lista ignorar usuario. Cuando utilice la funcin
Asignacin de usuario de Palo Alto Networks, se crea la lista de cuentas de
usuario a excluir en la CLI utilizando el comando establecer valor
recopilador de id de usuario ignora usuario < >.
Ahora que el agente de ID de usuarios est configurado, debe configurar un perfil de LDAP.
2. Enumere los servidores de directorio que desea que el cortafuegos utilice en la lista de
servidor. Debe proporcionar al menos un servidor, se recomiendan dos o ms en caso de
fallos. El puerto LDAP estndar para esta configuracin es 389.
3. Deje el campo Dominio vaco, a menos que desee configurar varios directorios
independientes.
5. Introduzca la base del directorio LDAP en el campo Base. Por ejemplo, si su dominio de
Active Directory Domain es paloaltonetworks.local, su base ser
dc=paloaltonetworks, dc=local, salvo que desee hacer uso de un catlogo global de
Active Directory. En el campo Enlazar DN, introduzca un nombre de usuario con los
permisos suficientes para leer el rbol de LDAP. En un entorno de Active Directory, un
nombre de usuario para esta entrada podra ser el Nombre principal del usuario, por
ejemplo, administrator@paloaltonetworks.local pero tambin el nombre distintivo de
usuarios, por ejemplo, cn=Administrator,cn=Users,dc=paloaltonetworks,dc=local.
Si desea crear polticas basadas en grupos de directorio, debe configurar Asignacin de grupo.
Esta configuracin define cmo se recuperan los grupos y los usuarios del directorio y qu
grupos de usuarios se deben incluir para su uso en polticas.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 321
Configuracin de Asignacin de usuario de PAN-OS
5. El panel izquierdo mostrar Grupos disponibles, desplcese al grupo que desee o busque
grupos que desea incluir en sus consultas. Puede utilizar los asteriscos (*) para realizar
coincidencias de patrones en sus bsquedas.
6. Seleccione los grupos que desea y haga clic en el smbolo para agregar los grupos al
panel Grupos incluidos.
FW1
Redistribucin FW2
Cortafuegos
Servidor de dominio
FW...
2. Haga clic en el icono Editar en el lado superior derecho de la ventana Configuracin del
gente de ID de usuario de Palo Alto Networks y luego haga clic en la pestaa
Redistribucin.
322 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin de Asignacin de usuario de PAN-OS
5. Desplcese a Red > Perfiles de red > Gestin de interfaz para activar el servicio del
agente de ID de usuarios.
El cortafuegos est ahora listo para redistribuir informacin de asignacin de usuario a otros
cortafuegos.
2. Haga clic en Aadir e introduzca un Nombre para el perfil del Agente de identificacin
de usuarios y luego cumplimente los siguientes campos:
b. Puerto: Introduzca 5007 para el nmero de puerto. Este es el puerto designado utilizado
para este servicio y no se puede modificar.
f. Utilizar para autenticacin NTLM: Seleccione esta casilla de verificacin para utilizar el
cortafuegos para comprobar la autenticacin de cliente NTLM desde el portal cautivo con el
dominio de Active Directory.
Si aparece un icono rojo, compruebe los logs de trfico para determinar por qu las
comunicaciones no funcionan correctamente. Tambin puede comprobar si se han
recibido datos de asignacin de usuario ejecutando el comando de operacin mostrar al
usuario la asignacin de ip al usuario para ver informacin de asignacin de usuario en
el plano de datos o mostrar al usuario la asignacin de ip al usuario para ver
asignaciones en el plano de gestin.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 323
Configuracin del agente de ID de usuarios
324 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin del agente de ID de usuarios
Equipos host
Microsoft Windows XP/Vista/7
Servidores de directorio
Microsoft Exchange
2003 (6.5)
2007 (8.0)
2010 (14.0)
2003
2003r2
2008
2008r2
Cada PC incluido para la identificacin de usuarios debe formar parte del dominio de
autenticacin. Para equipos que no forman parte del dominio, puede utilizar la funcin del
portal cautivo para visualizar usuarios y comprobar nombres de usuarios y contraseas.
Consulte estas secciones para obtener informacin adicional:
Configuracin del cortafuegos para la identificacin de usuarios en la pgina 312
Describe cmo configurar el cortafuegos para comunicarse con los agentes de ID de
usuarios y admitir portales cautivos.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 325
Configuracin del agente de ID de usuarios
Para instalar el agente de ID de usuarios, abra el archivo de instalador y siga las instrucciones
que aparecen en pantalla.
326 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin del agente de ID de usuarios
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 327
Configuracin del agente de ID de usuarios
Nota: Para que el sondeo de WMI funcione de forma eficaz, se debe configurar el
servicio de Agente Pan con una cuenta de administrador de dominio, y cada PC
cliente sondeado debe tener una excepcin de administracin remota configurada
en el cortafuegos de Windows.
Nota: Para que el sondeo de NetBIOS funcione de forma efectiva, cada PC cliente
sondeado debe proporcionar un puerto 139 en el cortafuegos de Windows y debe
tener los servicios de uso compartido de archivos e impresoras activados.
328 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin del agente de ID de usuarios
Segn PAN-OS 4.1 y posterior, el nmero de cuentas que se pueden agregar a esas
listas es ilimitado. En PAN-OS 4.0 y anterior, el lmite era de 100 usuarios.
Especifique una lista de control de acceso para redes. Haga clic en Aadir o Editar en las
Incluir/excluir rea de redes configurada , seleccione la opcin incluir o excluir y
especifique el nombre y la direccin de red. Tambin puede duplicar y luego modificar
una entrada existente.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 329
Configuracin del agente de servicios de terminal
4. Siga las instrucciones del instalador para especificar una ubicacin de la instalacin y
completar la instalacin.
330 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin del agente de servicios de terminal
El cuadro de lista de conexiones muestra todos los dispositivos de Palo Alto Networks
conectado al agente de TS. La columna IP de dispositivo muestra el puerta y la IP del
dispositivo y la columna Estado de conexin indica si el estado es Conectado,
Desconectado o Conectando. Los elementos desconectados se eliminan del cuadro Lista
de conexiones cuando cierra y vuelve a abrir la ventana de configuracin del agente
de TS.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 331
Configuracin del agente de servicios de terminal
5. Configure los ajustes como se indica en la siguiente tabla y haga clic en Guardar.
332 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin del agente de servicios de terminal
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 333
Configuracin del agente de servicios de terminal
6. Haga clic en Supervisar para mostrar la informacin de asignacin de puertos a todos los
usuarios del servidor de terminal.
7. Vea la informacin mostrada. Para obtener una descripcin del tipo de informacin
mostrado, consulte la siguiente tabla.
334 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Configuracin del agente de servicios de terminal
8. Haga clic en el botn Actualizar recuento de puertos para actualizar el campo Recuento
de puertos de forma manual, o seleccione la casilla de verificacin Actualizar intervalo y
configure un intervalo de actualizacin para actualizar ese campo de forma automtica.
La siguiente tabla enumera las opciones de men disponibles en la ventana de aplicacin del
agente de TS.
Palo Alto Networks Configuracin del cortafuegos para la identificacin de usuarios 335
Configuracin del agente de servicios de terminal
336 Configuracin del cortafuegos para la identificacin de usuarios Palo Alto Networks
Captulo 8
Configuracin de tneles de IPSec
Este captulo describe la tecnologa de red privada virtual (VPN) bsica y proporciona
informacin detallada sobre la configuracin de VPN de seguridad de IP (IPSec) en
cortafuegos de Palo Alto Networks.
Consulte las siguientes secciones:
Redes privadas virtuales en la seccin siguiente
Nota: Adems de las VPN de IPSec, el cortafuegos tambin admite las VPN del
tipo Secure Sockets Layer (SSL), que permiten que los usuarios remotos
establezcan conexiones de VPN a travs del cortafuegos. Consulte el Captulo 9,
Configuracin de GlobalProtect para obtener ms informacin.
Tnel de IPSec
Red Red
local local
Puede configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en
ubicaciones centrales y remotas, o bien conectar cortafuegos de Palo Alto Networks a
dispositivos de seguridad de terceros en otras ubicaciones. Con VPN basadas en rutas, el
cortafuegos toma una decisin de enrutamiento basada en la direccin IP de destino. Si el
trfico se enruta a un destino especfico a travs de un tnel de VPN, se cifrar como trfico de
VPN. No es necesario definir reglas especiales o hacer referencia de manera explcita a un
tnel de VPN; las decisiones de enrutamiento y cifrado nicamente dependen de la direccin
IP de destino.
El cortafuegos tambin puede interoperar con dispositivos de VPN basados en polticas de
terceros. Para conectar con una VPN basada en polticas, configure el ID de proxy del tnel. Si
se requieren varios tneles de fase 2, configure diferentes ID de proxy en cada uno de ellos.
Consulte Configuracin de tneles de IPSec en la pgina 344.
Para la conexin de IPSec entre los cortafuegos, el paquete de IP completo (encabezado y
carga) se incrusta en otra carga de IP y se aplica un nuevo encabezado. El nuevo encabezado
utiliza la direccin IP de la interfaz del cortafuegos saliente como la direccin IP de origen y la
interfaz del cortafuegos entrante del extremo ms alejado del tnel como la direccin IP de
destino. Cuando el paquete alcanza el cortafuegos del extremo ms alejado del tnel, el
paquete original se descifra y se enva al host de destino real.
Se definen asociaciones de seguridad (SA) de IPSec en cada extremo del tnel de IPSec para
aplicar todos los parmetros necesarios para una transmisin segura, incluido el ndice de
parmetros de seguridad (SPI), el protocolo de seguridad, las claves criptogrficas y la
direccin IP de destino. Las asociaciones de seguridad de IPSec proporcionan el cifrado, la
autenticacin de datos, la integridad de datos y la autenticacin de extremo.
Tneles de VPN
Para configurar VPN, es importante comprender la topologa de su red y ser capaz de
determinar el nmero necesario de tneles. Por ejemplo:
Un nico tnel de VPN puede ser suficiente para la conexin entre una nica ubicacin
central y una ubicacin remota.
Las conexiones entre una ubicacin central y varias ubicaciones remotas requieren tneles
de VPN para cada par de ubicaciones central/remota.
Cada tnel est vinculado a una interfaz de tnel. Es necesario asignar la interfaz de tnel al
mismo enrutador virtual que el del trfico (en claro) entrante. De este modo, cuando un
paquete llega al cortafuegos, la funcin de bsqueda de ruta puede determinar el tnel ms
adecuado que debe utilizarse. La interfaz de tnel aparece en el sistema como una interfaz
normal, por lo que puede aplicarse la infraestructura de enrutamiento existente.
Cada interfaz de tnel puede tener un mximo de 10 tneles de IPSec. Esto le permite
configurar tneles de IPSec para redes individuales que estn asociadas a la misma interfaz de
tnel del cortafuegos.
IPSec e IKE
Hay dos formas de proteger los tneles de VPN de IPSec:
Configure el tnel utilizando claves de seguridad manuales. Este mtodo no es
recomendable.
Debe aplicarse el mismo mtodo a ambos extremos del tnel de IPSec. En el caso de las claves
manuales, la misma clave se introduce en ambos extremos; en el caso de IKE, los mismos
mtodos y atributos se aplican en ambos extremos.
El IKE proporciona un mecanismo estndar para generar y mantener claves de seguridad:
Identificacin: El proceso de identificacin implica el reconocimiento de los peers en
ambos extremos del tnel de IPSec. Cada peer se identifica mediante una direccin IP o
un ID de peer (incluido en la carga del paquete de IP). El cortafuegos u otro dispositivo de
seguridad de cada extremo del tnel aade la identificacin del peer del otro extremo a su
configuracin local.
Puede definir perfiles criptogrficos de IPSec e IKE que determinen los protocolos y
algoritmos utilizados para negociar las SA de IPSec e IKE.
Opciones para las SA de IKE:
Grupo Diffie-Hellman (DH): Seleccione los grupos DH que se utilizarn al generar
claves pblicas para IKE.
Grupo Diffie-Hellman (DH) de secreto perfecto hacia adelante (PFS): Seleccione los
grupos DH que se utilizarn al generar claves independientes para IPSec.
Para obtener informacin detallada sobre los protocolos y algoritmos especficos admitidos
para los perfiles criptogrficos de IPSec e IKE, consulte Definicin de perfiles criptogrficos
de IKE en la pgina 348 y Definicin de perfiles criptogrficos de IPSec en la pgina 349.
4. Configure los parmetros que sean necesarios para establecer tneles de VPN de IPSec.
Consulte Configuracin de tneles de IPSec en la pgina 344.
Trfico saliente que entra en el tnel: En el caso de origen, utilice la zona en claro. En
el caso de destino, utilice la zona de interfaz de tnel.
Trfico entrante que sale del tnel: En el caso de origen, utilice la zona de interfaz de
tnel. En el caso de destino, utilice la zona en claro.
Tras definir las zonas para la regla de poltica de seguridad, establezca las direcciones de
origen y destino, las aplicaciones, los servicios y los perfiles de seguridad para que
controlen el acceso por el tnel de VPN.
Cuando haya terminado estas tareas, el tnel estar listo para su uso. El trfico destinado a las
direcciones definidas para los tneles se enruta automticamente de la manera adecuada y se
cifra como trfico de VPN basndose en la ruta de destino especfica aadida a la tabla de
enrutamiento.
El protocolo IKE se activar cuando sea necesario (por ejemplo, cuando se enrute el
trfico a un tnel de IPSec sin claves o con claves vencidas).
Utilice la pgina Puertas de enlace de IKE para definir puertas de enlace que incluyan la
informacin de configuracin necesaria para realizar la negociacin del protocolo IKE con
puertas de enlace del peer.
Nota: Los siguientes campos avanzados estn visibles si selecciona la casilla de verificacin del enlace Mostrar
opciones de fase 1 avanzadas.
Identificacin local Seleccione entre los siguientes tipos e introduzca el valor: Direccin IP,
FQDN (nombre de host), FQDN de usuario (direccin de correo
electrnico) y KEYID (cadena de ID de formato binario en hexadecimal).
Si no se especifica ningn valor, la direccin IP local se utilizar como el
valor de identificacin local.
Identificacin del peer Seleccione entre los siguientes tipos e introduzca el valor: Direccin IP,
FQDN (nombre de host), FQDN de usuario (direccin de correo
electrnico) y KEYID (cadena de ID de formato binario en hexadecimal).
Si no se especifica ningn valor, la direccin IP del peer se utilizar como
el valor de identificacin del peer.
Modo de intercambio Seleccione Automtico, Agresivo o Principal.
Habilitar modo pasivo Seleccione esta opcin para que el cortafuegos nicamente responda a las
conexiones de IKE y nunca las inicie.
Habilitar NAT Seleccione esta opcin para utilizar la encapsulacin UDP en los
transversal protocolos IKE y UDP, permitindoles pasar a travs de dispositivos de
NAT intermedios.
La NAT transversal se utiliza cuando se han establecido direcciones de
NAT entre los puntos de finalizacin de VPN de IPSec.
Deteccin de fallo del Seleccione la casilla de verificacin para habilitar e introducir un intervalo
peer (2-100 segundos) y un retraso antes de volver a intentarlo
(2-100 segundos). La deteccin de fallo del peer identifica peers de IKE
inactivos o no disponibles a travs de un ping ICMP y puede ayudar a
restablecer recursos que se pierden cuando un peer no est disponible.
Debe configurar el dispositivo del peer con el modo de intercambio coincidente para
permitir que acepte solicitudes de negociacin iniciadas desde el primer dispositivo.
Utilice la pgina Tneles de IPSec para configurar los parmetros necesarios para establecer
tneles de VPN de IPSec entre cortafuegos.
Pestaa Identificador
proxy
Identificador proxy Haga clic en Aadir e introduzca un nombre para identificar el proxy.
Local Introduzca una subred o direccin IP con el formato direccin_ip/
mscara (por ejemplo, 10.1.2.1/24).
Remoto Si el peer lo requiere, introduzca una subred o direccin IP con el formato
direccin_ip/mscara (por ejemplo, 10.1.1.1/24).
Aspectos importantes que hay que tener en cuenta al configurar VPN de IPSec
Tenga en cuenta lo siguiente cuando configure VPN de IPSec:
Tiene que existir una ruta hacia la red remota que se est tunelando.
Utilice la pgina Perfiles criptogrficos de IKE para especificar protocolos y algoritmos para
la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec (IKEv1 de fase 1). Consulte Redes privadas virtuales en la pgina 338 para
obtener ms informacin.
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione el elemento y, a
continuacin, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden
determina la primera opcin cuando se negocian los ajustes con un peer remoto. En primer
lugar se intenta el ajuste de la parte superior de la lista, continuando hacia abajo en la lista
hasta que un intento tiene xito.
Para ver el estado de los tneles de VPN de IPSec definidos actualmente, abra la pgina
Tneles de IPSec. En la pgina se indica la siguiente informacin de estado:
Estado del tnel (primera columna de estado): El color verde indica un tnel de SA de
IPSec. El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE
vlidas. El color rojo indica que las SA de fase 1 de IKE no estn disponibles o han
vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO). El color rojo indica que la interfaz de tnel est desactivada porque
el supervisor de tnel est habilitado y el estado es DESACTIVADO.
Topologa existente
Sede:
La IP pblica del cortafuegos es 61.1.1.1, en una interfaz Ethernet1/1, que est en la zona
ISP, enrutador virtual sede.
Sucursal:
La IP pblica del cortafuegos es 202.101.1.1, en una interfaz Ethernet1/2, que est en la
zona sucursal de ISP, enrutador virtual sucursal.
Hay una poltica de seguridad que permite el trfico de la zona sucursal a la zona
sucursal de ISP para el acceso a Internet desde la red del PC.
10.100.0.0/16
Granja de
servidores
Nueva topologa
Sede:
Cree una nueva zona de seguridad: vpn de sucursal.
Aada una interfaz de tnel (tnel.1) a la zona vpn de sucursal y asigne una
direccin IP de un rango privado (por ejemplo, 172.254.254.1/24).
Aada una ruta esttica para dirigir el trfico a 192.168.20.0/24 (la red de la sucursal) a la
interfaz de tnel tnel.1.
Aada una poltica de seguridad para permitir el trfico de la zona vpn de sucursal a la
zona servidor.
Sucursal:
Cree una nueva zona de seguridad: vpn central.
Aada una interfaz de tnel (tnel.2) a la zona vpn central y asigne una direccin
IP de un rango privado (por ejemplo, 172.254.254.20/24).
Aada una ruta esttica para dirigir el trfico a 10.100.0.0/16 (la red de la granja de
servidores) a la interfaz de tnel tnel.2.
Cortafuegos de Cortafuegos de
la sucursal la sede
192.168.20.0/24
Internet Red del PC
eth1/1 eth1/2 eth1/10
61.1.1.1 202.101.1.1 192.168.20.1/24
Zona: ISP Zona: sucursal de ISP Zona: sucursal
eth1/5
Enrutador virtual: sede Enrutador virtual: sucursal Enrutador virtual: sucursal
10.100.0.1/16
______________
Zona: servidor
Interfaz de tnel: tnel.2
Enrutador virtual: sede
172.254.254.20/24
_________________
Zona: vpn central
Interfaz de tnel: tnel.1
10.100.0.0/16 Enrutador virtual: sucursal
Granja de Zona: vpn de sucursal
servidores Enrutador virtual: sede
Sucursal:
Cree una puerta de enlace de IKE puerta de enlace central con estos parmetros:
Notas de configuracin:
Si 202.101.1.1 se configura como el parmetro de direccin del peer en puerta de enlace
de sucursal 1 en la ubicacin central, el ajuste de los parmetros de ID local e ID del peer
deja de ser necesario (el campo puede dejarse vaco). Tenga en cuenta que el tratamiento
de estos dos parmetros debe ser el mismo, ya que estos dos campos deben coincidir
durante la negociacin IKE.
El ID de proxy se deja vaco para las VPN basadas en rutas como esta.
5. En la ubicacin de la sucursal, utilice los comandos de la CLI test vpn ike-sa gateway
central-gw y show vpn ike-sa gateway central-gw para verificar que se pueden crear SA
de fase 1 de IKE desde la sucursal.
7. En la ubicacin de la sucursal, utilice los comandos de la CLI test vpn ipsec-sa tunnel
central-vpn y show vpn ipsec-sa tunnel central-vpn para verificar que se pueden crear
SA de fase 2 de IKE desde la sucursal.
10. Para comprobar el ajuste de enrutamiento, ejecute el comando traceroute desde cualquier
PC de la red de la sucursal, donde el destino es uno de los servidores de la granja de
servidores.
11. Ejecute la utilidad ping desde cualquier PC de la red de la sucursal, donde el destino es
uno de los servidores de la granja de servidores. Compruebe los contadores de cifrado y
descifrado que se muestran en la salida del comando de la CLI show vpn flow. Verifique
que estos contadores van aumentando y que no aumenta ninguno de los contadores de
errores.
12. Examine los mensajes de error detallados para la negociacin IKE en Syslog o utilice el
comando debug ike pcap para capturar paquetes de IKE con el formato PCAP.
Descripcin general
La implementacin de redes de VPN a gran escala puede ser un proceso muy complicado que
requiera mucho tiempo. Algunos retos son la planificacin, los requisitos de autenticacin, la
configuracin de tnel, la planificacin de enrutamiento y el suministro y la retirada de
componentes y servicios. Con los cortafuegos de Palo Alto Networks, este proceso se ha
simplificado ampliamente aprovechando los mtodos de implementacin y gestin utilizados
en la funcin de VPN de GlobalProtect, que antes nicamente se ha utilizado para el acceso
remoto de PC clientes.
La imagen de la Ilustracin 43 muestra que cada satlite se conecta al portal para obtener un
certificado para la autenticacin y, a continuacin, descarga una configuracin de VPN inicial.
Una vez se ha completado la configuracin inicial, el dispositivo satlite establece una VPN
para todas las puertas de enlace configuradas definidas en el portal utilizando el mismo
certificado fiable, creando as una VPN de concentrador y radio. A continuacin se comparte
la informacin de red y enrutamiento entre la puerta de enlace y los dispositivos satlite para
crear varias rutas y as garantizar que siempre se mantendr la conectividad entre la sede y las
sucursales.
Portal de GlobalProtect
y puertas de enlace
Puerta de enlace Puerta de enlace
portal.paloaltonetworks.com
de GlobalProtect de GlobalProtect
La siguiente seccin describe los componentes y los pasos bsicos necesarios para
implementar una VPN a gran escala mediante GlobalProtect.
Certificados y el respondedor OCSP en la pgina 356
Configuracin de puerta de enlace de GlobalProtect en la pgina 359
El respondedor OCSP debe configurarse primero, ya que se utilizar al crear certificados para
los dispositivos satlite y de puerta de enlace.
Este perfil se utiliza para permitir que los dispositivos satlite y de puerta de enlace se
conecten al portal para solicitudes de OCSP a travs de HTTP.
3. Seleccione la casilla de verificacin OCSP de HTTP. Puede que tambin desee habilitar
ping con fines de prueba.
5. Asigne el nuevo perfil de gestin a la interfaz de entrada del portal desplazndose hasta
Red > Interfaces.
6. Seleccione la interfaz que se utilizar como interfaz de entrada para los dispositivos de
VPN y haga clic en la pestaa Avanzado.
La CA raz del portal firmar y emitir certificados para los dispositivos satlite y de puerta de
enlace para proporcionar una autenticacin mutua para dispositivos que formen parte de la
VPN a gran escala. La puerta de enlace tambin tendr un perfil de certificado con la CA raz
del portal para permitir la autenticacin desde los dispositivos satlite.
5. En el campo OCSP responder, introduzca el nombre del respondedor OCSP que cre
anteriormente.
Este certificado se utiliza para autenticar dispositivos satlite y para permitir consultas OCSP
desde satlites y puertas de enlace.
Cada puerta de enlace que participe en la VPN debe tener un certificado de servidor firmado
por la CA raz del portal de GlobalProtect. Asimismo, el certificado de CA raz del portal debe
importarse a cada puerta de enlace. Esto permitir que las puertas de enlace se comuniquen
con el portal y permitir que los dispositivos satlite se conecten a la puerta de enlace para
establecer la conectividad de VPN.
En los pasos siguientes, tambin podr exportar la CA raz desde el portal a la puerta de
enlace y, a continuacin, generar el certificado de puerta de enlace directamente en la puerta
de enlace mediante la CA raz importada para firmar el certificado.
8. Haga clic en Importar, introduzca un Nombre del certificado y, a continuacin, haga clic
en Examinar y seleccione el certificado de servidor de puerta de enlace que export
anteriormente.
1. Desplcese hasta Dispositivo > Gestin de certificados > Perfil del certificado.
2. Haga clic en Aadir e indique un nombre para el perfil. Campo de nombre de usuario y
Dominio son opcionales cuando nicamente dispositivos de Palo Alto Networks se
conecten a la puerta de enlace. Deber configurar estas opciones si tiene clientes de VPN
externos que se conecten a la puerta de enlace, como por ejemplo con dispositivos iOS y
Android.
Si tiene otro dispositivo que tambin puede gestionar solicitudes de OCSP, puede aadir
un certificado para ese perfil en la lista desplegable Verificacin de certificado CA con
OCSP.
6. En la ventana Perfil del certificado, haga clic en la casilla de verificacin Utilizar OCSP.
portal Una vez realizada la configuracin y cuando se haya establecido la VPN, la informacin
de enrutamiento tambin se comparte dinmicamente entre los dispositivos satlite y de
puerta de enlace.
2. Cree una interfaz de tnel que sea una interfaz lgica utilizada para finalizar tneles de
VPN. Puede utilizar la interfaz de tnel predefinida o crear una nueva. La interfaz
tambin debe estar vinculada al enrutador virtual y ubicada en una zona de seguridad.
Se recomienda que cree una nueva zona, de modo que pueda controlar las polticas entre
la sucursal y la zona que contiene sus recursos protegidos. Puede ubicar la interfaz de
tnel en la misma zona que los recursos protegidos, lo que permitir que los dispositivos
satlite accedan a los recursos. Sin embargo, esta accin no le dar un control detallado de
las polticas para las redes de satlites.
Consulte Configuracin de interfaces de tnel en la pgina 158.
12. En la lista desplegable Perfil de monitor de tnel, configure un nuevo perfil y asegrese
de que la accin es Conmutacin por error.
15. Introduzca la informacin deseada de Acceder a ruta que deseara introducir en los
dispositivos satlite. Por ejemplo, puede proporcionar rutas de acceso para implementar
tneles divididos, de manera que el trfico de Internet de la sucursal no pase a travs de
la VPN. Si no se proporcionan rutas de acceso, todo el trfico pasar a travs del tnel.
16. Haga clic en la pestaa Filtro de ruta y deje esta opcin sin seleccionar para aceptar todas
las rutas enviadas por el satlite o haga clic en Aceptar rutas publicadas y proporcione
una lista de subredes, que filtrar todas las otras rutas y las descartar. Si est utilizando
la NAT, que utilizar la IP de interfaz de tnel, no necesita filtrar, ya que no es necesario
publicar ninguna ruta en la puerta de enlace.
Tambin puede aadir el nmero de serie del dispositivo satlite segn se describe en
Configuracin del portal de GlobalProtect en la pgina 362. No obstante, en ambos casos
deber definir un perfil de autenticacin para poder compilar su configuracin. Si aade un
nmero de serie de dispositivo manualmente a la configuracin del portal, el perfil de
autenticacin no se utilizar, pero seguir siendo obligatorio.
Configure el perfil de autenticacin:
1. Para utilizar una cuenta local para la autenticacin, en el portal desplcese hasta
Dispositivo > Base de datos de usuario local > Usuarios y haga clic en Aadir.
3. Seleccione la interfaz que actuar como interfaz de entrada para los dispositivos satlite y,
a continuacin, seleccione la direccin IP accesible a travs de Internet en la lista
desplegable.
9. Haga clic en la pestaa Configuracin Satlite que definir opciones para los
dispositivos satlite que se conecten al portal.
10. Haga clic en Aadir e indique un nombre para Satlite de GlobalProtect. Este perfil
definir los dispositivos satlite, el mtodo de inscripcin y la lista de puertas de enlace
que utilizarn los satlites en el entorno de VPN.
13. El portal se puede configurar para permitir dos tipos de mtodos de autenticacin para la
inscripcin inicial (puede configurar las dos opciones siguientes):
15. Haga clic en ACEPTAR para guardar los cambios y, a continuacin, bajo CA raz de
confianza, haga clic en Aadir y seleccione la CA raz del portal.
16. En la lista desplegable Emisor del certificado, seleccione tambin la CA raz del portal.
Este es el certificado que se utilizar para generar certificados automticamente para los
dispositivos satlite durante la inscripcin.
18. En la lista desplegable OCSP responder, seleccione el respondedor OCSP del portal que
cre anteriormente y, a continuacin, haga clic en ACEPTAR para guardar los cambios.
1. En los dispositivos del portal ya debera haber introducido el nmero de serie del
dispositivo satlite que est configurando o haber creado un nombre de usuario y nombre
de inicio de sesin que puedan utilizarse para la configuracin inicial. Consulte
Configuracin del portal de GlobalProtect en la pgina 362.
Ahora podr comprobar la conectividad entre los dispositivos satlite y las puertas de enlace.
Para ver el estado de la VPN en el dispositivo satlite, desplcese hasta Red > Tneles de
IPSec. Debera ver un indicador de estado de color verde en la columna Estado.
Importante: Debe realizar manualmente la exportacin del estado del dispositivo desde
Dispositivo > Configuracin > Operaciones haciendo clic en la opcin Exportar estado de
dispositivo o puede crear una secuencia de comandos programada de la API XML para
exportar el archivo a un servidor remoto. Esto debe hacerse con regularidad, ya que puede
que los certificados de satlite cambien a menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, ejecute save device
state.
El archivo se denominar device_state_cfg.tgz y se guardar en /opt/pancfg/mgmt/device-
state. El comando de operacin para exportar el archivo de estado del dispositivo es scp
export device-state (tambin puede utilizar tftp device-state export).
Para obtener informacin sobre cmo utilizar la API XML, consulte el documento PAN-OS
XML-Based Rest API Usage Guide (Gua de uso de la API Rest basada en XML de PAN-OS,
en ingls) en https://live.paloaltonetworks.com/community/documentation.
Este captulo describe GlobalProtect, que permite que sistemas cliente de cualquier parte del
mundo inicien sesin de manera segura:
Descripcin general en la seccin siguiente
Descripcin general
GlobalProtect protege los sistemas cliente, como ordenadores porttiles, que se utilizan a nivel
de campo permitiendo iniciar sesin de manera fcil y segura desde cualquier parte del
mundo. Con GlobalProtect, los usuarios estn protegidos de cualquier amenaza, incluso
cuando no estn en la red de la empresa, enviando su trfico a travs de un cortafuegos de
Palo Alto Networks en un rea geogrfica cerrada. El nivel de acceso del usuario est
determinado con un perfil de informacin de host (HIP) que notifica la configuracin local del
usuario al cortafuegos. La informacin HIP se puede utilizar para un control de acceso
granular basado en los programas de seguridad en ejecucin en el host, los valores de registro
y muchas mas comprobaciones si el host tiene el cifrado de disco activado.
El agente de GlobalProtect tambin puede ser un dispositivo satlite de Palo Alto Networks
(cortafuegos), pero en lugar de descargar el software de agente, solo se requiere el certificado
necesario para la autenticacin y configuracin de VPN. Para obtener informacin acerca de
los dispositivos satlite, consulte Implementacin de VPN a gran escala de GlobalProtect en
la pgina 354.
Los elementos a continuacin se utilizan para proporcionar las prestaciones de GlobalProtect:
Portal: Cortafuegos de Palo Alto Networks que proporciona una administracin
centralizada para el sistema de GlobalProtect.
Puertas de enlace: Cortafuegos de Palo Alto Networks que proporcionan una aplicacin
de seguridad para el trfico de agentes de GlobalProtect.
2. El agente realiza una bsqueda inversa del DNS (Domain Name System) para determinar
si el sistema cliente se encuentra en la red interna de la empresa o en una red externa.
3. Si la conexin se realiza a una red externa, el agente intenta realizar conexiones SSL a
todas las puertas de enlace externas y luego selecciona la mejor puerta de enlace.
Autenticacin de GlobalProtect
La conectividad entre todas las partes de la infraestructura de GlobalProtect se autentica
utilizando certificados de SSL. El portal puede actuar como entidad de certificacin (CA) para
el sistema (utilizando un emisor de certificado secundario importado o autofirmado en el
portal), o los clientes pueden generar certificados utilizando sus propios CA. Es recomendable
(pero no obligatorio) que los agentes de software de GlobalProtect, el portal y las puertas de
enlace utilicen certificados firmados por la misma CA. Antes de transferir cualquier
informacin, los agentes comprueban el certificado del servidor del portal. Si el certificado
presentado por el portal no est firmado por una CA de confianza, el agente muestra un
cuadro de dilogo de advertencia y espera la respuesta del usuario para continuar o cancelar.
Como parte del lote de configuracin enviado al cliente, el portal incluye el certificado pblico
de la CA as como la clave y el certificado necesarios del cliente. Las puertas de enlace de
GlobalProtect utilizan el certificado de cliente para autenticar e identificar al cliente.
Si se utiliza una CA interna, el certificado se genera de forma automtica y no requiere la
interaccin del usuario. El portal puede exportar la clave y el certificado de servidor
necesarios para las puertas de enlace. Si se utiliza una CA externa, se proporciona asistencia
para importar el certificado de CA junto con una clave y un certificado de servidor para el
portal as como las puertas de enlace, la clave y el certificado de cliente para los clientes.
Para obtener ms informacin acerca de la autenticacin, consulte Perfiles de autenticacin
en la pgina 67 y Secuencia de autenticacin en la pgina 73.
Configuracin de GlobalProtect
La configuracin de GlobalProtect en el cortafuegos incluye las siguientes tareas:
1. Definir objetos de HIP, como se indica en Configuracin de objetos de HIP en la
pgina 370.
5. Definir polticas de seguridad que incluyen perfiles de HIP, como se indica en Definicin
de polticas de seguridad en la pgina 203.
Utilice esta pgina para definir ajustes para utilizar en perfiles de HIP para GlobalProtect.
Cada objeto de HIP define un conjunto de criterios para el sistema cliente considerado como
una unidad al definir perfiles de HIP.
Pestaa
Administracin de
parches
Administracin de Seleccione la casilla de verificacin para incluir la administracin de
parches parches del software en el HIP. Cuando la casilla de verificacin est
seleccionada, se activan los ajustes. A continuacin, puede definir
proveedores de administracin de parches, como Microsoft, y autorizar
nicamente los clientes con algunos niveles de parche instalados.
Criterios Especifique los siguientes ajustes en esta pestaa secundaria:
Activado: Seleccione si los ajustes de esta pestaa estn activados (s),
desactivados (no) o no estn disponibles.
Instalado: Seleccione la casilla de verificacin si los parches estn
instalados.
Gravedad: Seleccione el nivel de importancia de los parches que faltan.
Comprobacin: Seleccione cmo el sistema debe comprobar los
parches.
Parches: Haga clic en Aadir e introduzca los nombres de archivo de
parches.
Proveedor Haga clic en Aadir para especificar productos de administracin de
parches. Seleccione un proveedor de la lista desplegable y luego haga clic
en Aadir para elegir un producto especfico. Haga clic en ACEPTAR
para guardar los ajustes y vuelva a la pestaa Administracin de
parches.
Pestaa Antivirus
Antivirus Seleccione la casilla de verificacin para activar esta pestaa y luego
especifique los siguientes ajustes:
Proteccin en tiempo real: Seleccione si requerir proteccin en tiempo
real (si disponible).
Instalada: Seleccione una versin de la lista desplegable.
Versin de definicin de virus: Seleccione en la lista desplegable. Si
selecciona Dentro o Fuera, especifique el nmero de das o versiones
que deben coincidir.
Versin del producto: Seleccione un operador de la lista desplegable y
especifique una cadena asociada.
ltima hora de anlisis: Seleccione en la lista desplegable. Si selecciona
Dentro o Fuera, especifique el nmero de das o versiones que deben
coincidir.
Proveedor y producto: Haga clic en Aadir para especificar productos
antivirus. Seleccione un proveedor de la lista desplegable y luego haga
clic en Aadir para elegir un producto especfico. Haga clic en
ACEPTAR para guardar los ajustes y vuelva a la pestaa Antivirus.
Excluir proveedor: Seleccione la casilla de verificacin si desea excluir
los proveedores y productos indicados en lugar de aadirlos.
Pestaa Copia de
seguridad de disco
Copia de seguridad de Seleccione la casilla de verificacin para activar esta pestaa y luego
disco especifique los siguientes ajustes:
Instalada: Seleccione una versin de la lista desplegable.
ltima fecha de copia de seguridad: Seleccione en la lista desplegable.
Si selecciona Dentro o Fuera, especifique el nmero de das o versiones
que deben coincidir.
Proveedor y producto: Haga clic en Aadir para especificar productos
de copia de seguridad del disco. Seleccione un proveedor de la lista
desplegable y luego haga clic en Aadir para elegir un producto
especfico. Haga clic en ACEPTAR para guardar los ajustes y vuelva a
la pestaa Copia de seguridad del disco.
Excluir proveedor: Seleccione la casilla de verificacin si desea excluir
los proveedores y productos indicados en lugar de aadirlos.
Pestaa Cifrado de
disco
Cifrado de disco Seleccione la casilla de verificacin para activar esta pestaa y luego
especifique los siguientes ajustes:
Pestaa
Comprobaciones
personalizadas
Lista de procesos Haga clic en Aadir para especificar la lista de procesos para comprobar
en el sistema cliente para ver si se estn ejecutando. Por ejemplo, para
determinar si una aplicacin de software se est ejecutando, agregue el
nombre del archivo ejecutable a la lista de procesos.
Clave de registro Haga clic en Aadir para especificar si una clave de registro particular
est presente o tiene un valor especfico.
Plist Los plists son archivos preferibles en MacOS. Defina la ruta para un
archivo plist especfico. Tambin puede incluir claves y valores de
preferencia para comprobar el archivo.
Configuracin de red
Interfaz Seleccione la interfaz del cortafuegos que se utilizar como entrada para
clientes/cortafuegos remotos.
Direccin IP Especifique la direccin IP en la que se ejecutar el servicio web del portal de
GlobalProtect.
Certificado de servidor Seleccione el certificado SSL para el portal de GlobalProtect.
Autenticacin
Perfil de autenticacin Seleccione un perfil de autenticacin para autenticar el acceso al portal.
Consulte Perfiles de autenticacin en la pgina 67.
Certificado de cliente Seleccione el certificado que utilizar el cliente para conectarse a las puertas
de enlace.
Perfil del certificado Seleccione el perfil del certificado utilizado para autenticar los usuarios de
tarjetas inteligentes en el portal.
Apariencia
Pgina de inicio de sesin Seleccione una pgina de inicio de sesin personalizada opcional para el
personalizada acceso de usuario al portal.
Pgina de ayuda Seleccione una pgina de ayuda personalizada opcional para asistir al
personalizada usuario con el acceso al portal.
Utilice esta pgina para configurar puertas de enlace de GlobalProtect. La puerta de enlace se
puede utilizar para proporcionar conexiones de VPN para equipos PC de cliente o
dispositivos satlite de GlobalProtect.
Pestaa Configuracin
de cliente
Pestaa secundaria
Configuracin del tnel
WINS principal Introduzca las direcciones IP de los servidores principal y secundario que
WINS secundario proporcionan Windows Internet Naming Service (WINS) a los clientes.
Comprobar estado del Haga clic en el enlace para ver la configuracin del servidor asignada
origen de herencia actualmente a las interfaces del cliente.
Sufijo DNS Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar de
forma local cuando se introduce un nombre de host sin restricciones que no
puede resolver.
Los sufijos se utilizan en el orden en el que aparecen. Para cambiar el orden
en el que aparecen los sufijos, seleccione una entrada y haga clic en los
botones Mover hacia arriba y Mover hacia abajo. Para eliminar una entrada,
seleccinela y haga clic en Eliminar.
Heredar sufijos DNS Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Grupo de IP Haga clic en Aadir para especificar la configuracin del grupo de IP.
Utilice esta seccin para crear una gama de direcciones IP para asignar a los
usuarios remotos. Cuando se establece el tnel, se crea una interfaz en el
equipo del usuario remoto con una direccin de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el usuario. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los clientes una direccin IP que no entra en
conflicto con otras interfaces en el cliente.
Pestaa Configuracin
Satlite
Pestaa secundaria
Configuracin del tnel
Configuracin de tnel Seleccione la casilla de verificacin Configuracin de tnel y seleccione una
interfaz de tnel existente o haga clic en Nueva interfaz de tnel. Para
obtener informacin acerca de la creacin de una interfaz de tnel, consulte
Configuracin de interfaces de tnel en la pgina 158.
Reproducir deteccin de ataques:Proteger frente a reproduccin de ataques.
Copiar TOS: Copie el encabezado de TOS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes
resumidos con el fin de preservar la informacin original de TOS.
Intervalo de actualizacin de la configuracin (horas): Especifique la
frecuencia con la que los dispositivos satlite deben comprobar el portal para
actualizaciones de la configuracin (valor predeterminado 24 horas, intervalo
entre 148 y 48 horas).
Supervisin de tnel Seleccione la casilla de verificacin Supervisin de tnel para activar la
supervisin de los tneles de VPN entre el dispositivo satlite y las puertas
de enlace. Se recomienda permitir errores si una de las puertas de enlace no
consigue comunicarse con el satlite.
IP de destino:Especifique una direccin IP en otro lado del tnel que el
supervisor de tnel utilizar para determinar si el tnel funciona
correctamente.
Perfil de monitor de tnel: Seleccione el perfil de monitor predeterminado o
cree un nuevo perfil. Se utiliza un perfil de monitor para realizar una
tolerancia a fallos automtica en otro tnel. Consulte Definicin de perfiles
de supervisin en la pgina 192.
Perfiles criptogrficos Seleccione un Perfil criptogrfico de IPSec o cree un nuevo perfil. Eso
determinar los protocolos y algoritmos para la identificacin, la
autenticacin y el cifrado de los tneles de VPN. Consulte Definicin de
perfiles criptogrficos de IPSec en la pgina 349.
Sufijo DNS Haga clic en Aadir para introducir un sufijo que el satlite puede utilizar de
forma local cuando se introduce un nombre de host sin restricciones que no
puede resolver.
Los sufijos se utilizan en el orden en el que aparecen. Para cambiar el orden
en el que aparecen los sufijos, seleccione una entrada y haga clic en los
botones Mover hacia arriba y Mover hacia abajo. Para eliminar una entrada,
seleccinela y haga clic en Eliminar.
Heredar sufijo DNS Seleccione esta casilla de verificacin para enviar el sufijo de DNS a los
dispositivos de satlite para uso local cuando se introduce un nombre de host
sin restricciones que no puede resolver.
Grupo de IP Haga clic en Aadir para especificar la configuracin del grupo de IP.
Utilice esta seccin para crear una gama de direcciones IP para asignar a los
dispositivos satlite. Cuando se establece el tnel, se crea una interfaz en el
dispositivo satlite con una direccin de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el satlite. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los satlites una direccin IP que no entra en
conflicto con otras interfaces en el dispositivo.
2. Para activar una versin descargada, haga clic en el enlace Activar de la versin. Si ya se
ha descargado y activado una versin existente del software cliente, aparece un mensaje
emergente indicando que se descargar la nueva versin en la siguiente conexin del
cliente.
3. Para activar el cliente instalado anteriormente a travs del botn Cargar, haga clic en el
botn Activar desde archivo. Se abre una ventana emergente. Seleccione el archivo de la
lista desplegable y haga clic en ACEPTAR.
4. Para eliminar una versin descargada del software cliente del cortafuegos, haga clic en el
icono Eliminar en la columna ms a la derecha.
Para instalar el agente, abra el archivo de instalador y siga las instrucciones que aparecen en
pantalla.
Para configurar el agente:
1. Seleccione Iniciar > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Logs: le permite mostrar logs del agente y el servicio de GlobalProtect (PanGP Agent),
(PanGP Service). Seleccione el tipo de log y el nivel de depuracin. Haga clic en Iniciar
para comenzar los logs y Detener para finalizar los logs.
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases
de trfico de QoS. Puede establecer lmites generales en el ancho de banda
independientemente de la clase y tambin establecer lmites para clases individuales.
Tambin puede asignar prioridades a diferentes clases. Las prioridades determinan cmo
se trata el trfico cuando se produce un conflicto. Consulte Definicin de perfiles de
QoS en la pgina 392.
Utilice la pgina > QoS de polticas para configurar polticas con el fin de configurar
restricciones de QoS. Consulte Definicin de polticas de QoS en la pgina 393.
Utilice la pgina QoS para configurar los lmites del ancho de banda para las interfaces del
cortafuegos.
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases de
trfico de QoS. Puede establecer lmites generales en el ancho de banda independientemente
de la clase y tambin establecer lmites para clases individuales. Tambin puede asignar
prioridades a diferentes clases. Las prioridades determinan cmo se trata el trfico en
presencia de conflictos.
Las polticas de QoS determinan la forma en la que se clasifica el trfico para su tratamiento,
cuando pasa por una interfaz con QoS activado. Para cada regla, especifique una de ocho
clases. Tambin puede asignar un programa para especificar qu regla est activa. El trfico
sin clasificar se asigna automticamente a clase 4.
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de la
lista desplegable Sistema virtual y haga clic en Ir. Para aplicar un filtro a la lista, seleccinelo
de la lista desplegable Reglas de filtro. Para ver nicamente las reglas para zonas especficas,
seleccione una zona de las listas desplegables Zona de origen y/o Zona de destino y haga clic
en Filtrar por zona.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina. Se agrega una nueva regla con la
configuracin predeterminada a la parte inferior de la lista y se proporciona al siguiente
nmero de regla ms elevado.
Haga clic con el botn derecho del ratn sobre el nmero de una regla que quiera copiar y
seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco de
la regla y seleccione Duplicar en la parte inferior de la pgina (una regla seleccionada
tiene el fondo de color amarillo). La regla copiada se inserta debajo de la regla
seleccionada y se renumeran las reglas siguientes.
Pestaa Destino
Zona de destino Seleccione una o ms zonas de origen (el valor predeterminado es
cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable
virtual). Para definir nuevas zonas, consulte Definicin de zonas de
seguridad en la pgina 163.
Pestaa Aplicacin
Aplicacin Seleccione aplicaciones especficas para la regla de QoS. Para definir
nuevas aplicaciones, consulte Definicin de aplicaciones en la
pgina 251. Para definir grupos de aplicaciones, consulte Definicin de
grupos de aplicaciones en la pgina 257.
Si una aplicacin tiene mltiples funciones, puede seleccionar una
aplicacin general o aplicaciones individuales. Si selecciona una
aplicacin general se incluirn todas las funciones y la definicin de la
aplicacin se actualizar automticamente a medida que se aadan
futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
QoS, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podr ver fcilmente miembros de
la aplicacin directamente desde la poltica, sin tener que ir hasta las
pestaas de objetos.
Pestaa Otra
configuracin
Clase Seleccione la clase de QoS para asignar a la regla y haga clic en
ACEPTAR. Las caractersticas de clase se definen en el perfil de QoS.
Consulte Definicin de perfiles de QoS en la pgina 392 para obtener
informacin acerca de la configuracin de ajustes para clases de QoS.
Programacin Seleccione el icono de calendario para establecer un programa de la
poltica de QoS para aplicar.
La tabla en la pgina Polticas de QoS indica cuando QoS est activada e incluye un enlace
para mostrar estadsticas de QoS. Aparece un ejemplo en la siguiente ilustracin.
El panel izquierdo muestra la tabla de rbol de QoS y el panel derecho muestra datos en las
siguientes pestaas:
Ancho de banda de QoS: Muestra los grficos de ancho de banda en tiempo real para el
nodo y las clases seleccionados. La informacin se actualiza cada dos segundos.
Explorador de sesin: Enumera las sesiones activas del nodo y/o clase seleccionados.
Vista de aplicacin: Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Descripcin general
El cortafuegos de la serie VM de Palo Alto Networks es una instancia virtual de PAN-OS. Est situada
para su uso en un entorno de centro de datos virtual y se adapta especialmente para implementaciones
en nubes privadas y pblicas. Al utilizar la tecnologa de mquina virtual, puede instalar esta solucin
en cualquier dispositivo x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar
hardware de Palo Alto Networks.
El cortafuegos de la serie VM tiene muchas caractersticas en comn con los cortafuegos de hardware
de Palo Alto Networks, incluidas interfaces de gestin y funciones comunes. La principal diferencia se
encuentra en los mtodos de implementacin utilizados en un entorno virtual para ajustarse a sus
necesidades. Una vez instalado el cortafuegos virtual, deber utilizarlo y gestionarlo de una manera muy
parecida a como lo hace con los cortafuegos de hardware.
El cortafuegos de la serie VM se distribuye mediante el formato abierto de virtualizacin (OVF), que es
un mtodo estndar de empaquetar e implementar mquinas virtuales.
Nota: Esta seccin cubre los pasos bsicos de instalacin necesarios para implementar un cortafuegos
de la serie VM. Para obtener informacin ms detallada y conocer casos de uso, consulte la nota tcnica
del cortafuegos de la serie VM en https://live.paloaltonetworks.com/community/documentation.
Requisitos
El cortafuegos de la serie VM tiene los siguientes requisitos:
VMware ESX(i) con vSphere 4.1 y 5.0.
Un mnimo de dos vCPU por cada cortafuegos de la serie VM. Una se utilizar para el plano
de gestin y la otra para el plano de datos. Puede aadir hasta ocho vCPU adicionales para el
plano de datos aumentando su nmero de la manera siguiente: 2, 4 u 8 vCPU.
Un mnimo de dos interfaces de red (vmNIC). Una ser una vmNIC especfica para la interfaz
de gestin y la otra para el puerto de datos. A continuacin, podr aadir hasta ocho vmNIC
ms para el trfico de datos.
El cortafuegos de la serie VM requiere que el modo promiscuo se establezca como Aceptar
en el grupo de puertos del conmutador virtual utilizado por el cortafuegos o los puertos de
datos del conmutador virtual individuales que se utilizarn.
Limitaciones
Las prestaciones del cortafuegos de la serie VM son muy parecidas a las de los cortafuegos de
hardware de Palo Alto Networks, pero con las siguientes limitaciones:
nicamente se admite la versin lite de alta disponibilidad (HA) (activo/pasivo sin
conmutacin por error con estado).
Se puede configurar un total de 10 puertos. Se utilizar uno para la gestin y hasta 9 para
datos. Esto es una limitacin de VMware.
No se admite vMotion.
Despus de que el cortafuegos de la serie VM est instalado, tambin puede adquirir licencias
adicionales del mismo modo que con cortafuegos de hardware, lo que incluye: Prevencin de
amenazas, Filtrado de URL, GlobalProtect y WildFire.
Extensin OVF: El archivo descriptivo de OVF que contiene todos los metadatos sobre
el paquete y su contenido.
Extensin MF: El archivo de manifiesto de OVF que contiene los resmenes de SHA-1
de los archivos individuales del paquete.
Extensin VMDK: El archivo de imagen de disco que contiene la versin virtual del
cortafuegos de PAN-OS.
b. Haga clic en la pestaa Configuracin y, bajo Hardware, haga clic en Redes. Para cada
conmutador virtual conectado al cortafuegos de la serie VM, haga clic en Propiedades.
a. Desplcese hasta Inicio > Inventario > Redes. Resalte el Grupo de puertos
distribuidos que desee editar y seleccione la pestaa Resumen.
h. Seleccione las redes que se utilizarn para las dos vmNIC iniciales. La primera vmNIC
se utilizar para la interfaz de gestin y la segunda vmNIC para el primer puerto de
datos. Asegrese de que las Redes de origen se asignan a las Redes de destino
correctas.
4. Para realizar la configuracin inicial del cortafuegos de la serie VM, realice los siguientes
pasos:
c. Establezca la IP, mscara de red, puerta de enlace e IP de DNS que desee. Ejemplo:
set deviceconfig system ip-address 10.1.1.5 netmask
255.255.255.0 default-gateway 10.1.1.1 dns-setting servers
primary 10.0.0.245
a. Desde la interfaz web, desplcese hasta Dispositivo > Licencias y asegrese de que
tiene la licencia correcta para el cortafuegos de la serie VM y que la licencia est
activada.
b. Para actualizar el software PAN-OS del cortafuegos de la serie VM, desplcese hasta
Dispositivo > Software.
c. Haga clic en Actualizar para ver la versin de software ms reciente; asimismo, revise
Notas de versin para ver una descripcin de los cambios de una versin y la ruta de
migracin para instalar el software.
Solucin de problemas
Muchos de los pasos de solucin de problemas para el cortafuegos de la serie VM son muy
parecidos a los de las versiones de hardware de PAN-OS. Si se produce algn problema,
debera comprobar los contadores de la interfaz y archivos de log de sistema y, si es necesario,
utilizar la depuracin para crear capturas. Para obtener informacin ms detallada sobre la
solucin de problemas de PAN-OS, consulte la nota tcnica de solucin de problemas basada
en paquetes en https://live.paloaltonetworks.com/community/documentation.
Parecido a un entorno fsico, a veces resulta de utilidad tener un cliente de solucin de
problemas independiente para capturar el trfico del entorno virtual. Puede que sea til crear
un sistema operativo nuevo desde cero con herramientas de solucin de problemas comunes
instaladas, como las siguientes: tcpdump, nmap, hping, traceroute, iperf, tcpedit, netcat, etc.
Hacia adelante, cada vez que sea necesario, el cliente de solucin de problemas puede
implementarse rpidamente en los conmutadores virtuales en cuestin y utilizarse para aislar
problemas de redes.
Nota: Para obtener informacin sobre cmo utilizar Panorama, consulte Gestin
centralizada del dispositivo mediante Panorama en la pgina 419.
Descripcin general
Panorama es el sistema de gestin centralizado para la familia de cortafuegos de prxima
generacin de Palo Alto Networks, el cual est disponible como plataforma de hardware
especfica y como dispositivo virtual de VMware que cumple con sus necesidades de
consolidacin de servidor.
Panorama proporciona una visibilidad y una gestin centralizadas de todos los dispositivos
de su red. Dado que Panorama comparte el mismo aspecto basado en Internet que la interfaz
de los dispositivos individuales, puede pasar sin problemas a gestionar los dispositivos de
manera centralizada y reducir los esfuerzos administrativos para gestionar varios
dispositivos.
Para obtener informacin sobre cmo instalar Panorama en VMware ESX(i) 3.5 o posterior,
consulte Configuracin de Panorama como dispositivo virtual en la pgina 408
Para obtener informacin sobre cmo configurar el dispositivo de gestin M-100 basado en
hardware, consulte Configuracin de Panorama en un dispositivo de la serie M en la
pgina 412.
CPU a 2 GHz
34 GB de espacio en disco
Utilice el nmero de serie asignado para registrar Panorama en el sitio web de asistencia
tcnica en
https://support.paloaltonetworks.com y descargue el archivo zip de imagen base de
Panorama ms reciente en el servidor en el que instalar Panorama.
Instalacin de Panorama
Siga estos pasos para instalar Panorama en su servidor ESX(i):
1. Descomprima el archivo zip de Panorama para localizar el archivo de plantilla panorama-
esx.ovf y realizar la instalacin.
7. Seleccione una ubicacin del almacn de datos para instalar la imagen de Panorama y
haga clic en Siguiente.
9. Confirme las opciones que ha seleccionado y, ha continuacin, haga clic en Finalizar para
comenzar el proceso de instalacin.
10. Cuando la instalacin finalice, seleccione la imagen de Panorama recin instalada y haga
clic en el botn Activar.
Asegrese de que puede hacer ping de manera correcta en la puerta de enlace e Internet.
Pasos siguientes
Para iniciar sesin en Panorama y cambiar la contrasea predeterminada, consulte Inicio
de sesin en Panorama en la pgina 413.
Para verificar que todos los dispositivos gestionados estn configurados con la
direccin IP del servidor de Panorama, consulte Configuracin del sistema,
configuracin y gestin de licencias en la pgina 32.
La primera vez que inicie la mquina tras aadir el nuevo disco, Panorama inicializar el
nuevo disco para su uso. Este proceso puede tardar entre varios minutos y un par de
horas, dependiendo del tamao del disco recin aadido.
Despus de que el sistema se inicie con el nuevo disco, los logs existentes del disco
predeterminado se desplazarn al nuevo disco virtual y todas las entradas de log futuras se
escribirn en el nuevo disco. Si se elimina el disco virtual, Panorama vuelve automticamente
a almacenar los logs en el disco interno predeterminado de 10 GB.
Si ya ha aadido un disco virtual y desea sustituirlo por otro mayor o por un disco virtual
distinto, primero deber eliminar el disco virtual instalado. Sin embargo, si elimina el primer
disco virtual, ya no podr acceder a los logs de dicho disco.
Configuracin inicial
La configuracin inicial le permite utilizar la direccin IP predeterminada para acceder a la consola
de gestin de Panorama y, a continuacin, asignar una direccin IP en la interfaz de gestin para
que pueda gestionar el dispositivo a travs de su red.
Para realizar la configuracin inicial:
1. Conecte su equipo al puerto de gestin (MGT) utilizando un cable Ethernet RJ-45 (incluido).
2. Encienda su equipo.
4. Haga clic en Panorama > Configuracin. Haga clic en el icono de engranaje pequeo
(Editar...) de la tabla Configuracin de interfaz de gestin.
6. Compile sus cambios en el dispositivo. Haga clic en Compilar y seleccione Panorama como
Compilar tipo; a continuacin, haga clic en ACEPTAR.
8. Conecte el puerto MGT del panel frontal del dispositivo M-100 a la red de gestin
empresarial. Su dispositivo ya est configurado para acceder a su red.
Pasos siguientes:
Para iniciar sesin y verificar el acceso a la consola de gestin de Panorama, consulte Inicio
de sesin en Panorama en la pgina 413.
4. Reinicie S2.
Este captulo describe cmo utilizar el sistema de gestin centralizada Panorama para
gestionar mltiples cortafuegos:
Acceso a la interfaz web de Panorama en la seccin siguiente
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 419
Acceso a la interfaz web de Panorama
2. Utilice la interfaz de Panorama para aadir los dispositivos. Consulte Funciones, perfiles
y cuentas de administrador de Panorama en la pgina 426.
420 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Uso de la interfaz de Panorama
Pestaa Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al dispositivo Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 421
Uso de la interfaz de Panorama
Nota: Los recopiladores de logs se componen del software recopilador (parte del
paquete de software de Panorama) y de la plataforma de hardware M-100. M-100 se
puede configurar como un gestor de Panorama, un recopilador de logs, o ambos. El
comando operativo para cambiar el modo de M-100 es request system
logger-mode [panorama | logger]. Para ver el modo actual, ejecute show
system info | match logger_mode.
Si M-100 est en modo de recopilador de logs, nicamente CLI est disponible para
gestin.
422 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Uso de la interfaz de Panorama
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 423
Cmo aadir dispositivos
La pgina Dispositivos gestionados permite crear una lista de los dispositivos que se
gestionarn de forma centralizada.
Si los dispositivos forman parte de un par de HA, debe aadir ambos dispositivos o sistemas
virtuales de peers (si est en modo de sistema multi-virtual system mode) al mismo grupo de
dispositivos, y Panorama debe implementar la configuracin en ambos dispositivos peer de
HA al mismo tiempo. Si define una regla a cortafuegos especficos en una configuracin de
HA, asegrese de incluir ambos cortafuegos en la seleccin del destino.
3. Introduzca el nmero de serie del dispositivo que se va a aadir y haga clic en Aadir.
424 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Cmo aadir dispositivos
7. Seleccione la casilla de verificacin HA del peer de grupo para agrupar los dispositivos
con el modo de alta disponibilidad (HA) juntos.
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Los grupos de dispositivos se utilizan para gestionar polticas y objetos compartidos. Puede
definir grupos de dispositivos que se componen de cortafuegos y/o sistemas virtuales que
desea gestionar como grupo, como los cortafuegos que gestionan un grupo de sucursales o
departamentos individuales de una empresa. Cada grupo se considera una nica unidad al
aplicar polticas en Panorama.
Puede aadir cada dispositivo como mucho a un grupo de dispositivos. Como los sistemas
virtuales se consideran entidades independientes en Panorama, puede asignar sistemas
virtuales en un dispositivo a diferentes grupos de dispositivos.
La pgina Grupos de dispositivos muestra los grupos de dispositivos junto con su
informacin en la tabla siguiente.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 425
Funciones, perfiles y cuentas de administrador de Panorama
426 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Funciones, perfiles y cuentas de administrador de Panorama
Cuando crea una cuenta administrativa, debe especificar el certificado de cliente (sin perfil de
autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP, Kerberos o autenticacin de
base de datos local). Este ajuste determina el modo en que se comprueba la autenticacin de la
contrasea. Si no especifica ningn perfil, la cuenta utilizar autenticacin local.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 427
Funciones, perfiles y cuentas de administrador de Panorama
428 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Funciones, perfiles y cuentas de administrador de Panorama
Autenticacin con clave pblica (SSH): El usuario puede generar un par de claves pblica
y privada en la mquina que requiere acceso al cortafuegos y, a continuacin, cargar la
clave pblica en el cortafuegos para permitir un acceso seguro sin exigir que el usuario
introduzca un nombre de usuario y una contrasea.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 429
Funciones, perfiles y cuentas de administrador de Panorama
430 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Especificacin de dominios de acceso de Panorama para administradores
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 431
Grupos de dispositivos
Grupos de dispositivos
Los grupos de dispositivos de Panorama permiten agrupar dispositivos de cortafuegos y
definir polticas y objetos que se pueden compartir en esos grupos de dispositivos.
Las siguientes secciones describen cmo definir polticas y objetos para grupos de
dispositivos:
Trabajo con polticas en la seccin siguiente
Panorama permite definir polticas que se comparten en los cortafuegos gestionados. Puede
aplicar reglas previas y posteriores que se aplicarn a un grupo de dispositivos y puede
aadir reglas previas y posteriores globales que se aplicarn a todos los grupos de
dispositivos. Se crea un mtodo de capa de aplicacin de polticas a los dispositivos
gestionados. La primera capa son las reglas de nivel del dispositivo que son locales.
Posteriormente puede aplicar reglas previas y posteriores a los grupos de dispositivos y
puede aadir otra capa de reglas globales previas y posteriores aplicables a todos los grupos
de dispositivos en la instancia de Panorama, tal y como se muestra en Ilustracin 46.
432 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Grupos de dispositivos
Reglas especficas del cortafuegos: Defina reglas para un cortafuegos concreto para crear
polticas especficas de sitios.
Reglas previas globales: Las reglas previas globales se evalan antes que las reglas
especficas del cortafuegos o las de grupo de dispositivos y se aplican a todos los
dispositivos en los grupos de dispositivos gestionados.
Reglas previas posteriores: Utilice estas reglas para especificar qu le suceder al trfico
no cubierto por reglas previas de grupo de dispositivos y reglas especficas del
cortafuegos. Estas reglas se evalan en ltimo lugar y solo despus de las reglas previas
de grupo de dispositivos.
Las reglas compartidas globales solo las puede crear y modificar el administrador o
superusuario de Panorama. Estas reglas se pueden utilizar para aplicar polticas antes y
despus de cualquier regla aplicada por los administradores de grupos de dispositivos.
Tambin puede especificar que los objetos compartidos tengan preferencia sobre los
objetos del grupo de dispositivos, seleccionando la casilla de verificacin Precedencia de
objetos compartidos en Panorama > Configuracin > Gestin > Ajustes de Panorama.
Esta opcin es un ajuste de todo el sistema y est desactivada de manera predeterminada.
Cuando esta opcin est desactivada, los grupos de dispositivos cancelan los objetos
correspondientes que tengan el mismo nombre. Si la opcin est activada (seleccionada),
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 433
Grupos de dispositivos
los objetos de grupos de dispositivos no pueden cancelar los objetos correspondientes con
el mismo nombre de una ubicacin compartida y cualquier objeto de un grupo de
dispositivos con el mismo nombre que un objeto compartido se cancelar.
Las zonas no se crean en Panorama, pero puede seleccionar zonas en funcin de los
nombres que se recopilan de cualquier plantilla que se asigne a los mismos dispositivos
que los incluidos en un grupo de dispositivos. Si no hay ninguna zona disponible en las
plantillas, introduzca manualmente el nombre de una zona cuando cree una regla por
primera vez. En las reglas subsiguientes puede introducir nuevas zonas o seleccionarlas
de las que ha introducido anteriormente.
Nota: La recopilacin de objetos de plantillas no solo se aplica a las zonas, sino que
tambin se aplica a todos los objetos a los que se puede hacer referencia en la
pestaa Poltica/Objetos, procedente de las pestaas Dispositivos/Red. Se incluyen:
zonas, interfaces, certificados, Perfiles de red > Supervisar, perfiles de servidor
(Syslog, Correo electrnico, traps SNMP), sistemas virtuales en reglas PBF y las
bases de datos de usuario local de usuarios/grupos.
Cada tipo de poltica enumerada en el men lateral incluye pginas para definir reglas
previas y posteriores, as como reglas compartidas globales que se aplican previamente a
las reglas de grupo de dispositivos y a las reglas posteriores. Consulte pgina 432 para
obtener ms informacin acerca de las prcticas recomendadas para el uso de polticas.
434 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Grupos de dispositivos
Nota: Todos los objetos personalizados deben tener nombres exclusivos y se deben evitar
nombres predefinidos como cualquiera o predeterminado. En concreto, el uso de los
mismos nombres de objeto con grupos de diferentes dispositivos puede causar confusin
en los dispositivos y en Panorama.
Todos los objetos en la pestaa Objetos y algunos objetos en la pestaa Dispositivo se pueden
gestionar de forma centralizada. Los objetos de la pestaa Dispositivo se gestionan en la
pestaa Panorama e incluyen: certificados, pginas de respuesta, perfiles del servidor (trap
SNMP, syslog, correo electrnico, RADIUS, LDAP y Kerberos), perfiles de autenticacin y
secuencias, y perfiles de certificados. Estos objetos tienen un campo Ubicacin que permite
seleccionar si el objeto debe existir en la implementacin (por ejemplo, prueba de grupo de
dispositivos). La tabla siguiente explica las opciones disponibles de asignacin de objetos y
colaboracin del campo Ubicacin.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 435
Grupos de dispositivos
436 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Trabajo con dispositivos
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 437
Trabajo con dispositivos
Incluir plantillas de dispositivo y red: Esta opcin est disponible si compila un Grupo de
dispositivos de Panorama y es una operacin combinada que incluye los cambios en el
dispositivo y en la plantilla de red. La plantilla que se aplicar al dispositivo es la plantilla a
la que ste pertenece, segn se define en Panorama > Plantillas. Tambin puede seleccionar
Compilar tipo Plantilla para compilar plantillas a dispositivos.
Forzar valores de plantilla: Si realiza una compilacin de plantilla, puede seleccionar esta
opcin para eliminar objetos en los dispositivos o sistemas virtuales seleccionados que se
hayan omitido por la configuracin local. Si realiza una compilacin de grupo de
dispositivos, tambin deber activar la casilla de verificacin Incluir plantillas de
dispositivo y red, ya que la cancelacin solo puede realizarse en opciones de
configuracin de plantilla. De esta forma, los objetos cancelados heredarn los ajustes de la
plantilla. Consulte Cancelacin de ajustes de plantilla en la pgina 442.
Combinar con configuracin de candidato: Seleccione esta opcin para que el dispositivo
incluya su configuracin candidata local cuando Panorama solicite una compilacin. Si
esta opcin no est activada, la configuracin candidata local del dispositivo no se incluye.
438 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Trabajo con dispositivos
Es importante dejar esta opcin sin seleccionar si tiene administradores locales que
realizan cambios en un dispositivo y no desea incluir estos cambios en la configuracin de
Panorama.
Vista previa de cambios: Haga clic en este botn para devolver una ventana de auditora
de configuraciones que muestra los cambios propuestos en la configuracin del candidato
en comparacin con la configuracin actualmente en ejecucin. Puede elegir el nmero de
lneas de contexto que se mostrarn o mostrar todas las lneas en funcin de los elementos
que se aaden, modifican o eliminan. Esta opcin est disponible si utiliza la compilacin
de grupo de dispositivos, de plantilla o Panorama.
Tambin puede ver el estado de compilacin de los dispositivos en Panorama >
Dispositivos gestionados y visualizando la columna ltimo estado de compilacin.
La funcin Auditora de configuraciones > del dispositivo realiza la misma funcin,
consulte Comparacin de archivos de configuracin en la pgina 53.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 439
Plantillas
Plantillas
Panorama > Plantillas
La pgina Panorama Plantillas permite crear plantillas que se pueden utilizar para gestionar las
opciones de configuracin en funcin de las pestaas Dispositivo y Red, lo que le permiten implementar
plantillas en mltiples dispositivos con configuraciones similares. Tambin puede implementar una
configuracin de base, y, si fuera necesario, cancelar ajustes especficos del dispositivo. Por ejemplo,
puede implementar una configuracin bsica a un grupo de dispositivos global, pero configurar ajustes
especficos de zonas horarias directamente en los dispositivos en funcin de su ubicacin.
Si gestiona configuraciones de dispositivos con Panorama, puede utilizar una combinacin de ajustes de
configuracin de Grupo de dispositivos y Plantillas, pero estas funciones se gestionan de forma
independiente debido a las diferencias de los elementos que se pueden configurar. La funcin de
plantilla permite aplicar ajustes de dispositivo y de red, mientras que los grupos de dispositivos se
utilizan para gestionar polticas y objetos compartidos. Para obtener ms informacin sobre cmo aadir
y configurar plantillas de Panorama, consulte Configuracin de plantillas de Panorama en la
pgina 441.
440 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Plantillas
Para configurar las plantillas de Panorama, primero debe crear la plantilla y, a continuacin, aadirle los
dispositivos. Despus de crear la primera plantilla, ver el men desplegable Plantilla en las pestaas
Dispositivo y Red. Seleccione la plantilla que desee del men desplegable Plantilla y configure los
ajustes de red y dispositivo de la misma forma que si gestionara un dispositivo, si bien todas las
opciones que se definan se aplicarn nicamente a la plantilla seleccionada. Una vez haya configurado la
plantilla, puede realizar una compilacin desde Panorama que solo se aplique a las plantillas.
Para crear y configurar una plantilla, realice los pasos siguientes:
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 441
Plantillas
3. En el campo Dispositivos, ver una lista de todos los dispositivos gestionados por
Panorama. Haga clic en la casilla de verificacin junto a cada elemento para aadirlo a la
nueva plantilla. Si selecciona un grupo de dispositivos, se seleccionarn todos los
dispositivos de ese grupo.
2. Haga clic en el men desplegable Plantilla y seleccione la plantilla que desea configurar.
3. Haga clic en la pestaa Dispositivo o Red y defina las opciones de configuracin que
desee para la plantilla.
4. Una vez haya realizado todos los cambios en la configuracin, haga clic en Compilar y en
el men desplegable Compilar tipo seleccione Plantilla. Tambin puede utilizar la opcin
de compilacin Grupo de dispositivos y seleccionar las casillas de verificacin Incluir
plantillas de dispositivo y Red para incluir las plantillas en un grupo de dispositivos.
5. Haga clic en la casilla de verificacin junto a cada plantilla que desee compilar y, a
continuacin, haga clic en ACEPTAR. Tambin puede ver una presentacin preliminar de
sus cambios en la ventana Compilar haciendo clic en el botn Vista previa de cambios. Se
abrir una ventana emergente mostrando los estados de compilacin.
442 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
El icono verde indica que se ha aplicado una plantilla y que no hay cancelaciones. El icono
verde y naranja indica que se ha aplicado una plantilla y que se han cancelado algunos
ajustes.
Eliminacin de plantillas
Para eliminar una plantilla, debe desactivar la plantilla en el dispositivo local. En el
dispositivo gestionado, desplcese hasta la pestaa Dispositivo > Configuracin > Gestin,
edite la pgina Ajustes de Panorama y haga clic en el botn Deshabilitar plantilla de
dispositivo y red. Si elimina el dispositivo de la configuracin en Panorama > Plantillas no se
eliminarn los valores de la plantilla en el dispositivo local.
Logs
Panorama ejecuta dos funciones: gestin de dispositivos y recopilacin de logs Para facilitar la
adaptacin a implementaciones de mayores dimensiones, puede utilizar el dispositivo M-100
para separar las funciones de gestin y recopilacin de logs de Panorama.
Las siguientes secciones describen las opciones disponibles para la recopilacin de logs:
Logs e informes en la seccin siguiente
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 443
Logs
Logs e informes
Los logs e informes de Panorama proporcionan informacin sobe la actividad del usuario en
la red gestionada. Las estadsticas de informes se obtienen cada 15 minutos para su uso en
informes predefinidos programadas y personalizadas y en estadsticas que se envan a
Panorama cada hora. Si se activa el reenvo de logs, se envan cuando se generen en el
dispositivo.
La pestaa ACC de Panorama muestra informacin de los cortafuegos conectados; no
requieren un reenvo de logs explcito. El reenvo de logs es necesario para el almacenamiento
de logs a largo plazo y para generar informes de los logs guardados localmente en Panorama.
En la pestaa ACC, todas las tablas obtienen informacin dinmicamente de los cortafuegos.
El informe de actividad de usuario de Panorama resume la actividad del usuario en todos los
cortafuegos gestionados. Se basa en los datos del cortafuegos que se han enviado a Panorama.
Consulte Gestin de informes de actividad del usuario en la pgina 296 para obtener
informacin general sobre cmo crear informes de actividad de usuario.
Si M-100 est en modo de recopilador de logs, la nica CLI disponible es para gestin.
Si desea utilizar diferentes dispositivos para las funciones de gestin y recopilacin de
logs de Panorama, los cortafuegos de su red deben ejecutar PAN-OS 5.0.
444 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 445
Logs
Recopiladores de logs
Cortafuegos gestionados
2. Compruebe que el dispositivo est en modo logger ejecutando show system info
| match logger_mode. Si el dispositivo est en modo Panorama, ejecute request
system logger-mode logger. Responda S para confirmar el cambio y el dispositivo se
reiniciar.
Nota: Si M-100 est en modo recopilador de logs, la nica CLI disponible ser
para la gestin. La mayora de la configuracin se ejecuta en el administrador de
Panorama.
446 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
6. Escriba commit para activar el cambio y exit para salir del modo de configuracin. Si
estaba conectado al puerto de gestin, perder la conectividad ya que la direccin IP se ha
modificado.
Una vez que el recopilador de logs tiene las configuraciones bsicas necesarias, complete la
configuracin del servidor de gestin de Panorama. Consulte Configuracin del servidor de
Panorama para la gestin del recopilador de logs en la seccin siguiente.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 447
Logs
5. La pestaa Gestin se utiliza para configurar el puerto de gestin del recopilador de logs
y tiene la etiqueta MGT delante de M-100. Puede definir la MTU y otros ajustes de
interfaz, los servicios permitidos, y definir una lista de direcciones IP con permiso para
gestionar el recopilador de logs. La mayora de estos ajustes se deben haber configurado
al realizar la configuracin inicial del recopilador de logs para aadir el dispositivo a la
red.
El puerto MGT se utilizar para todas las comunicaciones entre el recopilador de logs y
los dispositivos gestionados.
Consulte Definicin de grupos de recopiladores de logs en la pgina 452.
448 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 449
Logs
450 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 451
Logs
4. Haga clic en la pestaa Supervisin e introduzca los ajustes de SNMP de su entorno para
gestionar sus dispositivos mediante una solucin de gestin del sistema.
6. Configure la asignacin que define los dispositivos que se reenviarn a una lista de
recopiladores preferidos en orden de preferencia. En la pestaa Reenvo de logs, haga clic
en Aadir en las ventanas de lista Dispositivos y Recolectores y aparecer la ventana
Dispositivos.
452 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
Cuando los logs del cortafuegos se envan a los recopiladores de logs, puede utilizar las
funciones de ACC de Panorama, Informes en PDF y el visor de logs para consultar la
informacin recopilada de todos sus cortafuegos gestionados. ACC consultar los datos
directamente de los recopiladores de logs, lo que significa que ACC consulta los datos
reenviados desde el cortafuegos. Si implementa M-100 como gestor de Panorama y
recopilador de logs, ACC tambin consultar los datos reenviados al recopilador de logs
que, en este caso, est en el mismo dispositivo.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 453
Logs
454 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Logs
Para obtener informacin sobre la sustitucin fsica de unidades de M-100, consulte la Gua de
referencia de hardware de M-100.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 455
Logs
Nota: La matriz de discos RAID 1 de M-100 requiere que cada par de discos reflejado se
instale en las bahas correctas. El dispositivo se entrega con las unidades A1/A2 instaladas y
reflejadas. Para aadir ms discos, instale el siguiente par de discos en las bahas correctas, es
decir, B1/B2, C1/C2 y D1/D2. No puede instalar los nuevos discos en las bahas B1 y C1 por
ejemplo, y tratar de reflejarlas.
2. No es necesario que apague el recopilador de logs para agregar las nuevas unidades. Si
prefiere apagar el dispositivo, ejecute request shutdown system desde la CLI.
3. Retire las bahas vacas B1/B2 e instale las unidades en las bahas del par de discos B.
5. En CLI, desplcese hasta el recopilador de logs y ejecute request system raid add
B1. La unidad B1 se inicializar y se formatear.
Nota: El tiempo necesario para reflejar los datos en la unidad puede variar entre
algunos minutos a horas, dependiendo de la cantidad de datos almacenados en la
unidad.
Utilice el comando show system raid detail para supervisar el progreso de la
configuracin RAID.
7. Vaya al servidor de Panorama que gestione este recopilador de logs, vaya a Panorama >
Gestionar recopiladores y haga clic en el recopilador para abrir la ventana Recopilador.
Seleccione la pestaa Discos.
Para ver la capacidad del disco de un grupo o de un recopilador de logs individual, vaya a la
interfaz web del servidor de gestin de Panorama, desplcese a Panorama > Grupos de
recopiladores, haga clic en un nombre de grupo y, a continuacin, en la pestaa General.
Junto a Almacenamiento de log, ver un enlace que muestra la informacin de
almacenamiento total y disponible. Si hace clic en este enlace, se abrir la ventana
Configuracin de almacenamiento de logs, donde puede asignar el almacenamiento de
diferentes funciones.
456 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Visualizacin de la informacin de implementacin del cortafuegos
Realice cualquiera de las siguientes funciones en las pginas Software, SSL VPN o
GlobalProtect:
Haga clic en Actualizar para ver las versiones ms recientes del software disponibles en
Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios en la versin.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 457
Copia de seguridad de las configuraciones del cortafuegos
Haga clic en Cargar para instalar o activar una versin que ha almacenado anteriormente
en su equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde
archivo. Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en
ACEPTAR para instalar la imagen.
Panorama guarda una copia de seguridad de las configuraciones que se ejecutan de todos los
dispositivos gestionados adems de sus propias configuraciones. Utilice la pgina
Exportacin de configuracin programada para recopilar las configuraciones ejecutadas de
todos los dispositivos gestionados, organcelas en un archivo gzip y programe el paquete para
su envo diario a un servidor FTP o SCP (Secure Copy) para transferir los datos de forma
segura a un remoto. Los archivos tienen formato XML y los nombres de archivo se basan en
los nmeros de serie de los dispositivos.
Utilice esta pgina para configurar una programacin para la recopilacin y exportacin de
las configuraciones de los dispositivos gestionados.
458 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Programacin de configuracin de exportaciones
Palo Alto Networks Gestin centralizada del dispositivo mediante Panorama 459
Actualizacin del software de Panorama
Para actualizar a una nueva versin del software de Panorama, puede ver las versiones ms
recientes del software de Panorama disponibles en Palo Alto Networks, leer las notas de
versin de cada versin y, a continuacin, seleccionar la versin que desee descargar e instalar
(se requiere una licencia de asistencia tcnica).
Para actualizar el software de Panorama, haga clic en Actualizar para ver las versiones ms
recientes del software disponibles en Palo Alto Networks. Para ver una descripcin de los
cambios de una versin, haga clic en Notas de versin junto a la versin.
a. Haga clic en Descargar junto a la versin que se instalar. Cuando la descarga haya
finalizado, se mostrar una marca de verificacin en la columna Descargado.
b. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
sistema Panorama.
Nota: El software se elimina para dejar espacio libre para la descarga de nuevas
versiones. Esto ocurre de forma automtica y no se puede controlar manualmente.
460 Gestin centralizada del dispositivo mediante Panorama Palo Alto Networks
Captulo 14
Configuracin de WildFire
Este captulo describe cmo utilizar WildFire para elaborar anlisis e informes sobre el
software malintencionado que pase por el cortafuegos:
Acerca de WildFire en la seccin siguiente
Acerca de WildFire
WildFire permite que los usuarios enven archivos al entorno virtual seguro basado en la nube
de Palo Alto Networks, donde se analizan automticamente en busca de actividades
malintencionadas. El sistema WildFire permite que el archivo se ejecute en un entorno
vulnerable y busca numerosos comportamientos y tcnicas malintencionados especficos,
como la modificacin de archivos de sistema, la deshabilitacin de caractersticas de
seguridad o el uso de una variedad de mtodos para evadir la deteccin.
Los tipos de archivos admitidos incluyen los archivos Win32 Portable Executable (PE) (p. ej.,
exe, dll y scr). Al seleccionar los tipos de archivos en el perfil de objetos, puede seleccionar PE
para cubrir todos los tipos de archivos Win32 PE.
Los tipos de archivos pueden analizarse aunque estn comprimidos (zip, gzip) o a travs de
SSL si el descifrado est habilitado en la poltica. Para los tipos de archivos PE, los archivos
tambin se examinan de manera previa directamente en el dispositivo para buscar contenido
de alto riesgo antes de reenviarlos a WildFire.
Los resultados del anlisis detallado de los archivos enviados tambin estn disponibles a
travs del portal de WildFire; adems, puede ver esta informacin sin ninguna suscripcin.
Puede utilizar el portal de WildFire para ver qu usuarios son el destino, las aplicaciones que
se utilizaron y el comportamiento malintencionado que se observ. Tambin puede
configurar el portal de WildFire para enviar notificaciones por correo electrnico cuando haya
resultados disponibles para su revisin. Consulte Uso del portal de WildFire en la
pgina 468.
3. Incorpore las propiedades de bloqueo de archivos en una poltica de seguridad, igual que
hara con cualquier otro perfil de bloqueo de archivos. Consulte Polticas de seguridad
en la pgina 203.
4. Acceda al portal de WildFire y configure los ajustes opcionales. Consulte Uso del portal
de WildFire en la pgina 468.
Ahora podr acceder al portal de WildFire para ver informes. Consulte Visualizacin de
informes de WildFire en la pgina 469.
Utilice la pestaa WildFire para controlar la informacin que se enviar al servidor WildFire.
2. Haga clic en Aadir para aadir un nuevo perfil e introduzca un Nombre y una
Descripcin.
3. Haga clic en Aadir en la ventana Perfil de bloqueo de archivo. Haga clic en el campo
Nombres e introduzca un nombre de regla.
4. Seleccione las Aplicaciones que se identificarn para este perfil. Por ejemplo, si selecciona
la aplicacin navegacin web, el perfil identificar los archivos descargados cuando el
usuario descargue archivos desde una pgina web.
5. En el campo Tipo de archivo seleccione los tipos de archivos que deseara reenviar para
su anlisis.
7. En el campo Accin, seleccione Reenviar. Esto har que todos los archivos identificados
se reenven al sistema WildFire, se realizar un anlisis y, a continuacin, el archivo se
entregar al usuario. Si selecciona Continuar y reenviar, el usuario ver una pgina que le
preguntar si desea continuar antes de que se produzca la descarga.
2. Haga clic en Aadir para crear una nueva poltica o seleccione una poltica existente.
3. Haga clic en la pestaa Acciones y, bajo Ajuste de perfil, haga clic en la lista desplegable
ubicada junto a Bloqueo de archivo y seleccione el perfil de seguridad que cre.
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Esto es una prueba</title>
<style>
<!--
</head>
<body lang=EN-US>
<div class=Section1>
</div>
</body>
</html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Esto es una prueba</title>
<style>
<!--
/* Definiciones de tipo de letra */
@font-face
{font-family:"Microsoft Sans Serif";
panose-1:2 11 6 4 2 2 2 2 2 4;}
/* Definiciones de estilo */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
h4
{margin-top:12.0pt;
margin-right:0in;
margin-bottom:3.0pt;
margin-left:0in;
page-break-after:avoid;
font-size:14.0pt;
font-family:"Times New Roman";}
p.SanSerifName, li.SanSerifName, div.SanSerifName
{margin:0in;
margin-bottom:.0001pt;
text-autospace:none;
font-size:10.0pt;
font-family:"Microsoft Sans Serif";
font-weight:bold;}
p.BoldNormal, li.BoldNormal, div.BoldNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";
font-weight:bold;}
</head>
<body lang=EN-US>
<div class=Section1>
</div>
</body>
</html>
<pan_form/>
<hr>
<p id="continueText">Si cree que esta pgina se ha bloqueado de forma
incorrecta, puede hacer clic en Continuar para ir a la pgina. Sin embargo,
esta accin se registrar.</p>
<div id="formdiv">
<pan_form/>
</div>
<a href="#" onclick="history.back();return false;">Volver a la pgina
anterior</a>
</div>
</body>
</html>
</style>
</HEAD>
<BODY bgcolor="#F2F6FA">
<table style="background-color: white; width:100%; height:45px; border-
bottom: 2px solid #888888;">
<tr style="background-image:url(/images/logo_pan_158.gif); background-
repeat: no-repeat">
<td align="left"> </td>
</tr>
</table>
<div align="center">
<h1>Palo Alto Networks: Portal de VPN SSL</h1>
</div>
<div id="formdiv">
<pan_form/>
</div>
</BODY>
</HTML>
<head>
<title>Error de certificado</title>
<style>
#content{border:3px solid#aaa;background-
color:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sans-
serif;font-size:12px;}
h1{font-size:20px;font-weight:bold;color:#196390;}
b{font-weight:bold;color:#196390;}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Error de certificado</h1>
</div>
</body>
</html>
servicio de autenticacin
base de datos
erp-crm
empresa general
gestin
programas de oficina
actualizacin de software
colaboracin
correo electrnico
mensajera instantnea
empresas sociales
utilidad de internet
redes sociales
vdeo voip
web-posting
internet general
utilidad de internet
multimedia
transmisin de audio
juegos
fotos y vdeos
redes
tnel cifrado
infraestructura
protocolo IP
proxy
acceso remoto
enrutamiento
desconocido
Tecnologas de la aplicacin
Se admiten las siguientes tecnologas de la aplicacin.
Caractersticas de la aplicacin
Se admiten las siguientes caractersticas de la aplicacin.
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Las cuentas se bloquean despus del nmero de intentos fallidos configurado en lapgina
Dispositivo > Configuracin > Gestin. Si el cortafuegos no est en modo FIPS, se puede
configurar de forma que no se bloquee nunca; incluso en modo FIPS, y si se requiere un
tiempo de bloqueo.
La autenticacin basada en claves de SSH debe utilizar claves pblicas de RSA con 2048
bits o ms.
BSD
Los siguientes propietarios de los derechos de autor proporcionan software de acuerdo con la
licencia BSD:
Julian Steward
Nick Mathewson
Niels Provos
Dug Song
Todd C. Miller
University of Cambridge
Licencia artstica
Este documento es una versin libre de Artistic License, distribuido como parte del kit Perl
v4.0 de Larry Wall, que est disponible desde la mayora de los principales sitios web de
archivos.
El objetivo de este documento es indicar las condiciones segn las cuales estos Paquetes
(consulte la definicin a continuacin), es decir, Crack, el descifrador de contraseas de
Unix, y CrackLib, la biblioteca de comprobacin de contraseas de Unix, cuyos derechos de
autor pertenecen a Alec David Edward Muffett, podrn copiarse, de manera que el
Propietario de los derechos de autor mantenga cierto control artstico sobre el desarrollo de
los Paquetes, al tiempo que se conceda a los usuarios del Paquete el derecho a utilizar y
distribuir el Paquete del modo que sea habitual, as como el derecho a realizar modificaciones
razonables.
Definiciones:
Un Paquete hace referencia al conjunto de los archivos distribuidos por el Propietario de los
derechos de autor y los elementos derivados de dicho conjunto de archivos creados mediante
una modificacin del texto o los segmentos de los mismos.
Una Versin estndar hace referencia a un Paquete si no se ha modificado o si se ha
modificado de acuerdo con los deseos del Propietario de los derechos de autor.
El Propietario de los derechos de autor es aquel que se indique en los derechos de autor del
Paquete.
Usted es un usuario que est considerando la idea de copiar o distribuir este Paquete.
Una Tasa de copia razonable es lo que pueda justificar basndose en los costes de los
soportes, los gastos de duplicacin, el tiempo empleado por las personas implicadas, etc. (No
ser necesario que lo justifique al Propietario de los derechos de autor, nicamente a la
comunidad informtica en general en calidad de mercado que deber afrontar la tasa.)
Disponible de manera gratuita significa que no se carga ninguna tasa por el artculo en s
mismo, aunque puede que existan tasas relacionadas con la manipulacin del artculo.
Tambin significa que los destinatarios del artculo podrn redistribuirlo de acuerdo con las
mismas condiciones en las que lo recibieron.
1. Podr realizar y entregar copias literales del formato de cdigo fuente de la Versin
estndar de este Paquete sin restricciones, siempre que duplique todos los avisos de derechos
de autor originales, as como los descargos de responsabilidad asociados.
2. Podr aplicar soluciones de problemas, soluciones de portabilidad y otras modificaciones
derivadas del Dominio pblico o del Propietario de los derechos de autor. Un Paquete
modificado de ese modo se seguir considerando la Versin estndar.
3. Podr modificar su copia de este Paquete de cualquier otro modo, siempre que incluya un
aviso destacado en cada archivo modificado indicando cmo, cundo y POR QU ha
modificado ese archivo y siempre que realice como mnimo UNA de las acciones siguientes:
a) Coloque sus modificaciones en el Dominio pblico o haga que estn Disponibles de manera
gratuita de cualquier otro modo, como por ejemplo, publicando dichas modificaciones en
Usenet o un medio equivalente, o colocando las modificaciones en un sitio web de archivos
principal, como uunet.uu.net, o permitiendo que el Propietario de los derechos de autor
incluya sus modificaciones en la Versin estndar del Paquete.
b) Utilice el Paquete modificado nicamente dentro de su corporacin u organizacin.
c) Cambie el nombre de los archivos ejecutables no estndar, de manera que los nombres no
entren en conflicto con los archivos ejecutables estndar, que tambin deben proporcionarse.
Asimismo, proporcione documentacin independiente para cada archivo ejecutable no
estndar que indique claramente en qu se diferencia de la Versin estndar.
Programa o cualquier obra derivada de acuerdo con la ley de derechos de autor, es decir, una
obra que contenga el Programa o parte del mismo, ya sea de manera literal o con
modificaciones, y/o que est traducido a otro idioma. (En lo sucesivo, la traduccin se incluye
sin limitaciones en el trmino modificacin.) En este documento, al hablar de usted, se
estar haciendo referencia a cada titular de la Licencia.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar el Programa no est
restringida y los resultados del Programa nicamente estn cubiertos si su contenido
constituye una obra basada en el Programa (independientemente de si se ha creado
ejecutando el Programa). Su veracidad depender de lo que haga el Programa.
1. Podr copiar y distribuir copias literales del cdigo fuente del Programa cuando lo reciba, a
travs de cualquier medio, siempre que: publique de manera destacada y adecuada en cada
copia un aviso de derechos de autor y un descargo de responsabilidad de garanta adecuados;
mantenga intactos todos los avisos que hagan referencia a esta Licencia y a la ausencia de
cualquier tipo de garanta; y proporcione a todos los destinatarios del Programa una copia de
esta Licencia junto con el Programa.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias del Programa o cualquier parte del mismo, creando de este
modo una obra basada en el Programa, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
a) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
b) Deber encargarse de que para cualquier obra que distribuya o publique que, en su
totalidad o en parte, contenga o se haya derivado del Programa o cualquier parte del mismo
se ofrezca una licencia completa sin cargos para terceros de acuerdo con las condiciones de
esta Licencia.
c) Si el programa modificado lee comandos de manera interactiva al ejecutarse de manera
normal, deber encargarse de que, cuando empiece a ejecutarse para dicho uso interactivo del
modo habitual, imprima o muestre un anuncio que incluya un aviso de derechos de autor
adecuado y un aviso de que no existe ninguna garanta (o, de lo contrario, que indique que
proporciona una garanta) y de que los usuarios podrn redistribuir el programa de acuerdo
con estas condiciones, indicando al usuario cmo ver una copia de esta Licencia. (Excepcin:
si el propio Programa es interactivo pero por lo general no imprime dicho anuncio, su obra
basada en el Programa no deber imprimir un anuncio.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan del Programa y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en el Programa, la distribucin de la obra completa deber realizarse de acuerdo con
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan la
totalidad de la obra, incluyendo todas y cada una de las partes independientemente de su
autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos sobre
obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar la
distribucin de obras basadas en el Programa que se hayan derivado del mismo o que sean
colectivas.
Adems, la mera adicin de otra obra no basada en el Programa junto con el Programa (o una
obra basada en el Programa) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Podr copiar y distribuir el Programa (o una obra basada en el Programa, de acuerdo con la
Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las condiciones de
las Secciones 1 y 2 anteriores, siempre que tambin realice una de las acciones siguientes:
a) Deber adjuntarle el cdigo fuente legible por mquina correspondiente completo, que
deber distribuirse de acuerdo con las condiciones de las Secciones 1 y 2 anteriores en un
medio utilizado habitualmente para el intercambio de software;
b) Deber adjuntarle una oferta por escrito, vlida como mnimo durante tres aos, segn la
cual proporcionar a cualquier tercero, por un coste que no sea superior al coste que le
suponga realizar fsicamente la distribucin del cdigo fuente, una copia legible por mquina
completa del cdigo fuente correspondiente, la cual deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software; o
c) Deber adjuntarle la informacin que recibi relativa a la oferta para distribuir el cdigo
fuente correspondiente. (Esta alternativa nicamente est permitida para una distribucin no
comercial y solamente si ha recibido el Programa en formato de cdigo objeto o formato
ejecutable con dicha oferta, de acuerdo con la Subseccin b anterior.)
El cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una obra ejecutable, el cdigo fuente completo
significa todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de
definicin de interfaz asociados y las secuencias de comandos utilizadas para controlar la
compilacin y la instalacin del archivo ejecutable. Sin embargo, como excepcin especial, el
cdigo fuente distribuido no necesita incluir nada que se distribuya de manera habitual (en
formato de cdigo fuente o binario) con los componentes principales (compilador, kernel, etc.)
del sistema operativo en el que se ejecute el archivo ejecutable, a menos que el propio
componente acompae al archivo ejecutable.
Si la distribucin de archivos ejecutables o cdigo objeto se realiza permitiendo el acceso para
su copia desde una ubicacin designada, la oferta de un acceso equivalente para copiar el
cdigo fuente desde la misma ubicacin constituir una distribucin del cdigo fuente,
aunque no se obligue a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
4. No podr copiar, modificar, sublicenciar ni distribuir el Programa de manera distinta a la
indicada de manera explcita en esta Licencia. Cualquier intento de copiar, modificar,
sublicenciar o distribuir el Programa de otro modo ser nulo y cancelar automticamente sus
derechos de acuerdo con esta Licencia. Sin embargo, las licencias de las partes a las que haya
proporcionado copias o derechos de acuerdo con esta Licencia no vencern, siempre que
dichas partes cumplan todas las condiciones indicadas.
5. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir el Programa o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto, al
modificar o distribuir el Programa (o cualquier obra basada en el Programa), indica su
aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar el Programa o las obras basadas en el Programa.
6. Cada vez que redistribuya el Programa (o cualquier obra basada en el Programa), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir o modificar el Programa de acuerdo con estas condiciones. No podr imponer ms
restricciones en el ejercicio por parte de los destinatarios de los derechos concedidos en la
presente. No es responsable de garantizar el cumplimiento de esta Licencia por parte de
terceros.
La mayora del software de GNU, incluidas algunas bibliotecas, est cubierta por la Licencia
pblica general de GNU comn. Esta licencia, la Licencia pblica general reducida de GNU,
se aplica a determinadas bibliotecas designadas y es bastante diferente de la Licencia pblica
general comn. Utilizamos esta licencia para determinadas bibliotecas con el fin de permitir la
vinculacin de dichas bibliotecas a programas que no sean libres.
Cuando un programa est vinculado a una biblioteca, ya sea estadsticamente o mediante una
biblioteca compartida, la combinacin de ambos es en trminos legales una obra combinada,
es decir, una obra derivada de la biblioteca original. Por lo tanto, la Licencia pblica general
comn permite dicha vinculacin nicamente si la totalidad de la combinacin se ajusta a sus
criterios de libertad de uso. La Licencia pblica general reducida permite criterios ms
relajados para la vinculacin de otro cdigo a la biblioteca.
Esta Licencia se denomina Licencia pblica general reducida porque reduce la proteccin
de la libertad del usuario en comparacin con la Licencia pblica general comn. Tambin
reduce la ventaja de otros desarrolladores de software libre sobre programas que no sean
libres de la competencia. Estas desventajas son el motivo por el que utilizamos la Licencia
pblica general comn para muchas bibliotecas. Sin embargo, la Licencia pblica general
reducida ofrece ventajas en determinadas circunstancias especiales.
Por ejemplo, en ocasiones poco frecuentes, puede que exista la necesidad especial de fomentar
el uso ms extendido posible de una determinada biblioteca, de modo que se convierta en un
estndar de facto. Para lograrlo, se debe permitir que los programas que no sean libres utilicen
la biblioteca. Un caso ms frecuente es que una biblioteca libre haga el mismo trabajo que
bibliotecas que no sean libres ampliamente utilizadas. En este caso, al limitar la biblioteca libre
nicamente a software libre las ventajas son mnimas, de modo que utilizamos la Licencia
pblica general reducida.
En otros casos, el permiso para utilizar una biblioteca especfica en programas que no sean
libres permite que un mayor nmero de personas utilice un gran cuerpo de software libre. Por
ejemplo, el permiso para utilizar la biblioteca GNU C en programas que no sean libres permite
que muchas ms personas utilicen todo el sistema operativo GNU, as como su variante, el
sistema operativo GNU/Linux.
Aunque la Licencia pblica general reducida reduce la proteccin de la libertad de los
usuarios, garantiza que el usuario de un programa vinculado a la biblioteca tenga la libertad y
los medios para ejecutar ese programa utilizando una versin modificada de la biblioteca.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
Preste especial atencin a la diferencia entre una obra basada en la biblioteca y una obra
que utiliza la biblioteca. La primera incluye cdigo derivado de la biblioteca, mientras que la
segunda debe combinarse con la biblioteca para funcionar.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Este Contrato de licencia se aplica a cualquier biblioteca de software u otro programa que
incluya un aviso introducido por el propietario de los derechos de autor u otra parte
autorizada que indique que puede distribuirse de acuerdo con las condiciones de esta Licencia
pblica general reducida (tambin denominada esta Licencia). En este documento, al hablar
de usted, se estar haciendo referencia a cada titular de la Licencia.
Una biblioteca significa un conjunto de funciones y/o datos de software preparados de
modo que se puedan vincular de manera conveniente a programas (que utilizan algunos de
esos datos y funciones) para generar archivos ejecutables.
La Biblioteca, que aparece a continuacin, hace referencia a cualquier biblioteca de software
u obra que se haya distribuido de acuerdo con estas condiciones. Una obra basada en la
Biblioteca significa la Biblioteca o cualquier obra derivada de acuerdo con la ley de derechos
de autor, es decir, una obra que contenga la Biblioteca o parte de la misma, ya sea de manera
literal o con modificaciones, y/o que est traducida de manera directa a otro idioma. (En lo
sucesivo, la traduccin se incluye sin limitaciones en el trmino modificacin.)
El Cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una biblioteca, el cdigo fuente completo significa
todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de definicin
de interfaz asociados y las secuencias de comandos utilizadas para controlar la compilacin y
la instalacin de la biblioteca.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar un programa utilizando la
Biblioteca no est restringida y los resultados de dicho programa nicamente estn cubiertos
si su contenido constituye una obra basada en la Biblioteca (independientemente del uso de la
Biblioteca en una herramienta para su creacin). Su veracidad depender de lo que hagan la
Biblioteca y el programa que utiliza la Biblioteca.
1. Podr copiar y distribuir copias literales del cdigo fuente completo de la Biblioteca cuando
lo reciba, a travs de cualquier medio, siempre que: publique de manera destacada y
adecuada en cada copia un aviso de derechos de autor y un descargo de responsabilidad de
garanta adecuados; mantenga intactos todos los avisos que hagan referencia a esta Licencia y
a la ausencia de cualquier tipo de garanta; y distribuya una copia de esta Licencia junto con la
Biblioteca.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias de la Biblioteca o cualquier parte de la misma, creando de este
modo una obra basada en la Biblioteca, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
* a) La obra modificada deber ser ella misma una biblioteca de software.
* b) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
* c) Deber encargarse de que se ofrezca una licencia de la totalidad de la obra sin cargos
para terceros de acuerdo con las condiciones de esta Licencia.
* d) Si unas instalaciones de la Biblioteca modificada hacen referencia a una funcin o una
tabla de datos que deber proporcionar un programa que utilice las instalaciones, que no sea
como argumento transmitido cuando se solicitan las instalaciones, deber encargarse de
buena fe de garantizar que, en el caso de que una aplicacin no proporcione dicha funcin o
tabla, las instalaciones sigan funcionando y lleven a cabo la parte de sus objetivos que sigan
teniendo sentido.
(Por ejemplo, una funcin de una biblioteca para calcular races cuadradas tiene un
objetivo que est bien definido en su totalidad, independientemente de la aplicacin. Por lo
tanto, la Subseccin 2d requiere que cualquier funcin proporcionada por una aplicacin o
cualquier tabla que utilice esta funcin sea opcional: si la aplicacin no la proporciona, la
funcin de races cuadradas seguir calculando races cuadradas.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan de la Biblioteca y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en la Biblioteca, la distribucin de la obra completa deber realizarse de acuerdo con
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan la
totalidad de la obra, incluyendo todas y cada una de las partes independientemente de su
autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos sobre
obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar la
distribucin de obras basadas en la Biblioteca que se hayan derivado de la misma o que sean
colectivas.
Adems, la mera adicin de otra obra no basada en la Biblioteca junto con la Biblioteca (o una
obra basada en la Biblioteca) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Puede decidir aplicar las condiciones de la Licencia pblica general de GNU comn en
lugar de las de esta Licencia a una copia especfica de la Biblioteca. Para ello, deber modificar
todos los avisos que hacen referencia a esta Licencia para que hagan referencia a la Licencia
pblica general de GNU comn, versin 2, en lugar de a esta Licencia. (Si existe una versin
ms reciente que la versin 2 de la Licencia pblica general de GNU comn, podr especificar
esa versin si lo desea.) No realice ninguna otra modificacin en estos avisos.
Una vez realizada esta modificacin en una copia especfica, ser irreversible para dicha
copia, de modo que la Licencia pblica general de GNU comn se aplicar a todas las copias
posteriores y las obras derivadas de dicha copia.
Esta opcin resulta de utilidad cuando desea copiar parte del cdigo de la Biblioteca en un
programa que no es una biblioteca.
4. Podr copiar y distribuir la Biblioteca (o una parte o una obra derivada de la misma, de
acuerdo con la Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores, siempre que le adjunte el cdigo fuente legible
por mquina correspondiente completo, que deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software.
Si la distribucin de cdigo objeto se realiza permitiendo el acceso para su copia desde una
ubicacin designada, la oferta de un acceso equivalente para copiar el cdigo fuente desde la
misma ubicacin satisfar el requisito de distribucin del cdigo fuente, aunque no se obligue
a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
5. Un programa que no contenga obras derivadas de ninguna parte de la Biblioteca pero que
est diseado para funcionar con la Biblioteca tras su compilacin o vinculacin a la misma se
denomina una obra que utiliza la Biblioteca. Dicha obra, por s sola, no es una obra derivada
de la Biblioteca y, por lo tanto, queda fuera del mbito de esta Licencia.
Sin embargo, la vinculacin de una obra que utiliza la Biblioteca a la Biblioteca crea un
archivo ejecutable que es una obra derivada de la Biblioteca (porque contiene partes de la
Biblioteca), en lugar de una obra que utiliza la Biblioteca. Por lo tanto, el archivo ejecutable
est cubierto por esta Licencia. La Seccin 6 indica las condiciones para la distribucin de
dichos archivos ejecutables.
Cuando una obra que utiliza la Biblioteca utiliza material de un archivo de encabezado que
forma parte de la Biblioteca, el cdigo objeto de la obra puede ser una obra derivada de la
Biblioteca aunque el cdigo fuente no lo sea. Su veracidad es especialmente significativa si la
obra puede vincularse sin la Biblioteca o si la obra es en s misma una biblioteca. El umbral de
veracidad no est definido de manera precisa segn la ley.
Si un archivo objeto de este tipo utiliza nicamente parmetros numricos, diseos de
estructuras de datos y descriptores de acceso y macros pequeas y funciones en lnea
pequeas (de diez lneas o menos de longitud), el uso del archivo objeto no estar restringido,
independientemente de si es legalmente una obra derivada. (Los archivos ejecutables que
incluyan este cdigo objeto y partes de la Biblioteca seguirn rigindose por la Seccin 6.)
Si, por el contrario, la obra es una obra derivada de la Biblioteca, podr distribuir el cdigo
objeto de la obra de acuerdo con las condiciones de la Seccin 6. Cualquier archivo ejecutable
que contenga esa obra tambin se regir por la Seccin 6, est o no vinculado directamente a la
propia Biblioteca.
6. Como excepcin a las Secciones anteriores, tambin puede combinar o vincular una obra
que utiliza la Biblioteca a la Biblioteca para producir una obra que contenga partes de la
Biblioteca y distribuir dicha obra de acuerdo con las condiciones que elija, siempre que las
condiciones permitan la modificacin de la obra para su uso por parte del cliente y la
ingeniera inversa para la depuracin de dichas modificaciones.
Deber incluir un aviso destacado en cada copia de la obra que indique que se utiliza la
Biblioteca en ella y que la Biblioteca y su uso estn cubiertos por esta Licencia. Deber
proporcionar una copia de esta Licencia. Si durante su ejecucin la obra muestra avisos de
derechos de autor, deber incluir el aviso de derechos de autor de la Biblioteca entre ellos, as
como una referencia que enve al usuario a la copia de esta Licencia. Adems, deber realizar
una de las acciones siguientes:
* a) Deber adjuntar a la obra el cdigo fuente legible por mquina correspondiente
completo de la Biblioteca incluyendo las modificaciones que se hayan utilizado en la obra (que
deber distribuirse de acuerdo con las Secciones 1 y 2 anteriores) y, si la obra es un archivo
ejecutable vinculado a la Biblioteca, la obra que utiliza la Biblioteca legible por mquina
completa, como cdigo objeto y/o cdigo fuente, de modo que el usuario pueda modificar la
Biblioteca y, a continuacin, volver a vincularla para producir un archivo ejecutable
modificado que contenga la Biblioteca modificada. (Se da por hecho que el usuario que
cambie el contenido de los archivos de definicin de la Biblioteca no tiene necesariamente que
ser capaz de volver a compilar la aplicacin para utilizar las definiciones modificadas.)
* b) Utilice un mecanismo de biblioteca compartida adecuado para realizar la vinculacin a
la Biblioteca. Un mecanismo adecuado es uno que: (1) en el tiempo de ejecucin, utilice una
copia de la biblioteca que ya est presente en el sistema informtico del usuario, en lugar de
copiar funciones de biblioteca en el archivo ejecutable; y (2) funcione correctamente con una
versin modificada de la biblioteca, si el usuario instala una, siempre que la versin
modificada sea compatible con la interfaz de la versin con la que se haya creado la obra.
* c) Deber adjuntar a la obra una oferta por escrito, vlida como mnimo durante tres aos,
segn la cual proporcionar al mismo usuario los materiales especificados en la Subseccin 6a
anterior, por un coste que no sea superior al coste que le suponga realizar esta distribucin.
* d) Si la distribucin de la obra se realiza permitiendo el acceso para su copia desde una
ubicacin designada, ofrezca un acceso equivalente para copiar los materiales especificados
anteriormente desde la misma ubicacin.
* e) Verifique que el usuario ya ha recibido una copia de estos materiales o que ya enviado
una copia a este usuario.
En el caso de un archivo ejecutable, el formato obligatorio de la obra que utiliza la Biblioteca
debe incluir los datos y las utilidades necesarios para reproducir el archivo ejecutable a partir
de la misma. Sin embargo, como excepcin especial, los materiales que deben distribuirse no
necesitan incluir nada que se distribuya de manera habitual (en formato de cdigo fuente o
binario) con los componentes principales (compilador, kernel, etc.) del sistema operativo en el
que se ejecute el archivo ejecutable, a menos que el propio componente acompae al archivo
ejecutable.
Puede suceder que este requisito contradiga las restricciones de licencia de otras bibliotecas
patentadas que normalmente no acompaan al sistema operativo. Dicha contradiccin
significa que no podr utilizarlas junto con la Biblioteca en un archivo ejecutable que
distribuya.
7. Puede introducir instalaciones de biblioteca que sean una obra basada en la Biblioteca unas
junto a otras en una nica biblioteca junto con otras instalaciones de biblioteca no cubiertas
por esta Licencia y distribuir dicha biblioteca combinada, siempre que se permita de cualquier
otro modo la distribucin separada de la obra basada en la Biblioteca y las otras instalaciones
de biblioteca y siempre que realice las dos acciones siguientes:
limitacin de distribucin geogrfica explcita que excluya dichos pases, de modo que la
distribucin est permitida nicamente en o entre pases que no estn excluidos por este
motivo. En este caso, esta Licencia incorpora la limitacin como si estuviera escrita en el
cuerpo de esta Licencia.
13. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general reducida cuando resulte oportuno. Dichas versiones nuevas sern
equivalentes en esencia a la versin actual, pero podrn diferir en detalles para responder a
nuevos problemas o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si la Biblioteca especifica un
nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si la Biblioteca no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas por
Free Software Foundation.
14. Si desea incorporar partes de la Biblioteca en otros programas libres cuyas condiciones de
distribucin sean incompatibles con estas, pngase en contacto con el autor para solicitarle
permiso. En el caso de software cuyos derechos de autor sean de Free Software Foundation,
pngase en contacto con Free Software Foundation; a veces hacemos excepciones en estos
casos. Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los
elementos derivados de nuestro software libre y promover el uso compartido y la
reutilizacin del software en general.
AUSENCIA DE GARANTA
15. DADO QUE LA LICENCIA DE LA BIBLIOTECA SE PROPORCIONA DE MANERA
GRATUITA, LA BIBLIOTECA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN LA BIBLIOTECA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DE LA BIBLIOTECA. SI LA BIBLIOTECA RESULTARA
SER DEFECTUOSA, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
16. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA LA BIBLIOTECA DEL
MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA CON
USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O LA
IMPOSIBILIDAD DE UTILIZAR LA BIBLIOTECA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DE LA BIBLIOTECA DE FUNCIONAR
CON OTRO SOFTWARE), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U
OTRA PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Todos los derechos reservados.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard. Todos los
derechos reservados.
Copyright (C) 1998 Bjorn Reese y Daniel Stenberg.
Copyright (C) 2000 Gary Pennington y Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>.
Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>.
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>.
Por la presente se concede permiso, de manera gratuita, a cualquier persona que obtenga una
copia de este software y los archivos de documentacin asociados (el Software) para
comercializar el Software sin restricciones, lo cual incluye, entre otros, el derecho a utilizar,
copiar, modificar, combinar, publicar, distribuir, sublicenciar y/o vender copias del Software,
as como para permitir a las personas a las que se proporcione el Software que realicen dichas
acciones, siempre que se cumplan las siguientes condiciones:
El aviso de derechos de autor anterior y este aviso de permiso debern incluirse en todas las
copias o partes considerables del Software.
EL SOFTWARE SE PROPORCIONA TAL CUAL, SIN GARANTAS DE NINGN TIPO,
YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
DE COMERCIABILIDAD, ADECUACIN A UN FIN ESPECFICO Y CUMPLIMIENTO. LOS
AUTORES O LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR NO SERN
RESPONSABLES EN NINGN CASO DE NINGUNA RECLAMACIN, DAOS Y
PERJUICIOS O CUALQUIER OTRA OBLIGACIN, YA SEA EN UNA ACCIN
CONTRACTUAL, DE INCUMPLIMIENTO CONTRACTUAL O DE OTRO TIPO,
DERIVADOS O RELACIONADOS CON EL SOFTWARE O EL USO U OTRAS ACCIONES
REALIZADAS CON EL SOFTWARE.
OpenSSH
Este archivo forma parte del software OpenSSH.
Las licencias que se aplican a los componentes de este software son las siguientes. En primer
lugar, haremos un resumen e indicaremos todos los componentes que se incluyen en una
licencia BSD o una licencia que sea ms libre que esta.
OpenSSH no contiene cdigo GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo (Finlandia).
Todos los derechos reservados.
En lo que a m respecta, el cdigo que he escrito para este software puede utilizarse libremente
con cualquier fin. Cualquier versin derivada de este software debe marcarse claramente
como tal. Si la obra derivada es incompatible con la descripcin del protocolo en el archivo
RFC, deber tener un nombre que no sea ssh o Secure Shell.
[Tatu contina]
Sin embargo, con ello no doy a entender que se otorgarn licencias a patentes o derechos de
autor que sean propiedad de terceros. Asimismo, el software incluye partes que no estn bajo
mi control directo. Por lo que yo s, todo el cdigo fuente incluido se utiliza de acuerdo con
los contratos de licencia relevantes y puede utilizarse libremente con cualquier fin (siendo la
licencia de GNU la ms restrictiva); consulte a continuacin para obtener informacin
detallada.
[Sin embargo, ninguna de esas condiciones es relevante en este momento. Todos estos
componentes de software con licencia restringida de los que habla se han eliminado de
OpenSSH:
-RSA ya no se incluye y se encuentra en la biblioteca OpenSSL.
-IDEA ya no se incluye y su uso se ha descartado.
-DES ahora es externo y se encuentra en la biblioteca OpenSSL.
-GMP ya no se utiliza y, en su lugar, solicitamos cdigo BN de OpenSSL.
-Zlib ahora es externo y se encuentra en una biblioteca.
-La secuencia de comandos make-ssh-known-hosts ya no se incluye.
-TSS se ha eliminado.
-MD5 ahora es externo y se encuentra en la biblioteca OpenSSL.
-La compatibilidad con RC4 se ha sustituido por la compatibilidad con ARC4 de OpenSSL.
-Blowfish ahora es externo y se encuentra en la biblioteca OpenSSL.]
[La licencia contina]
Tenga en cuenta que toda la informacin y los algoritmos criptogrficos utilizados en este
software estn disponibles de manera pblica en Internet y en cualquier librera principal,
librera cientfica y oficina de patentes de todo el mundo. Podr encontrar ms informacin en
http://www.cs.hut.fi/english.html (en ingls).
El estado legal de este programa es una combinacin de todos estos permisos y restricciones.
Utilcelo nicamente bajo su propia responsabilidad. Usted ser el responsable de cualquier
consecuencia legal; no afirmo de ningn modo que la posesin o el uso de este elemento sea
legal o no en su pas y no asumo ningn tipo de responsabilidad en su nombre.
AUSENCIA DE GARANTA
DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA SER
DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA DEL
MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA CON
USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O LA
IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON
OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
PSF
1. Este CONTRATO DE LICENCIA se suscribe entre Python Software Foundation (PSF) y el
individuo o la organizacin (Titular de la licencia) que acceda y utilice de cualquier otro
modo el software Python 2.3 en formato de cdigo fuente o binario y su documentacin
asociada.
2. De acuerdo con las condiciones de este Contrato de licencia, PSF concede por la presente al
Titular de la licencia una licencia mundial, sin pago de derechos de autor y no exclusiva para
reproducir, analizar, comprobar, ejecutar y/o mostrar pblicamente, preparar obras
derivadas, distribuir y utilizar de cualquier otro modo Python 2.3 en solitario o en cualquier
versin derivada, siempre que se mantengan el Contrato de licencia de PSF y el aviso de
derechos de autor de PSF (Copyright (c) 2001, 2002, 2003 Python Software Foundation. Todos
los derechos reservados.) en Python 2.3 en solitario o en cualquier versin derivada
preparada por el Titular de la licencia.
3. En el caso de que el Titular de la licencia prepare una obra derivada basada o que incorpore
Python 2.3 o cualquier parte del mismo y desee que la obra derivada est disponible para
otros como se indica en la presente, el Titular de la licencia acepta por la presente incluir en
dicha obra un breve resumen de los cambios realizados en Python 2.3.
4. PSF pone Python 2.3 a disposicin del Titular de la licencia TAL CUAL. PSF NO OFRECE
GARANTAS DE NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS. COMO EJEMPLO
Y SIN QUE SEA UNA LIMITACIN, PSF NO OFRECE Y RENUNCIA A CUALQUIER
GARANTA DE COMERCIABILIDAD O ADECUACIN A UN FIN ESPECFICO O QUE
AFIRME QUE EL USO DE PYTHON 2.3 NO INFRINGIR DERECHOS DE TERCEROS.
5. PSF NO SER RESPONSABLE PARA CON EL TITULAR DE LA LICENCIA O
CUALQUIER OTRO USUARIO DE PYTHON 2.3 POR DAOS Y PERJUICIOS
IMPREVISTOS, ESPECIALES O RESULTANTES O POR PRDIDAS COMO RESULTADO
DE MODIFICAR, DISTRIBUIR O UTILIZAR DE OTRO MODO PYTHON 2.3 O CUALQUIER
OBRA DERIVADA DEL MISMO, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD
DE LOS MISMOS.
6. Este Contrato de licencia se resolver automticamente si se produce un incumplimiento
grave de sus condiciones.
7. Ningn elemento de este Contrato de licencia se considerar que crea ningn tipo de
relacin de agencia, asociacin o empresa conjunta entre PSF y el Titular de la licencia. Este
Contrato de licencia no concede permiso para utilizar marcas comerciales de PSF o su nombre
comercial con el significado de marca comercial para aprobar o promocionar productos o
servicios del Titular de la licencia o de terceros.
8. Al copiar, instalar o utilizar de otro modo Python 2.3, el Titular de la licencia acepta estar
vinculado a las condiciones de este Contrato de licencia.
PHP
Licencia PHP, versin 3.01.
Copyright (c) 1999 - 2009 The PHP Group. Todos los derechos reservados.
La redistribucin y el uso en formato de cdigo fuente y binario, con o sin modificaciones,
estn permitidos siempre que se cumplan las siguientes condiciones:
1. Las redistribuciones del cdigo fuente deben mantener el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad.
2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre PHP no podr utilizarse para aprobar o promocionar productos derivados de
este software sin un previo consentimiento por escrito. Para obtener un consentimiento por
escrito, pngase en contacto con group@php.net.
4. Los productos derivados de este software no podrn denominarse PHP ni podrn incluir
PHP en su nombre sin un previo consentimiento por escrito de group@php.net. Podr
indicar que su software funciona junto con PHP denominndolo X para PHP, en lugar de
denominarlo X de PHP o X_php.
5. The PHP Group podr publicar versiones revisadas y/o nuevas de la licencia cuando
resulte oportuno. Se proporcionar un nmero de versin distintivo a cada versin. Una vez
que se haya publicado el cdigo cubierto de acuerdo con una versin especfica de la licencia,
podr seguir utilizndolo de acuerdo con las condiciones de esa versin. Tambin puede
decidir utilizar dicho cdigo cubierto de acuerdo con las condiciones de cualquier versin
posterior de la licencia publicada por The PHP Group. nicamente The PHP Group tiene
derecho a modificar las condiciones aplicables al cdigo cubierto creado de acuerdo con esta
licencia.
6. Las redistribuciones de cualquier tipo debern mantener la siguiente declaracin: Este
producto incluye software PHP, disponible de manera gratuita en
<http://www.php.net/software/>.
EL EQUIPO DE DESARROLLO DE PHP PROPORCIONA ESTE SOFTWARE TAL CUAL
Y RENUNCIA A CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE
INCLUYEN LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A
UN FIN ESPECFICO. EL EQUIPO DE DESARROLLO DE PHP NO SER RESPONSABLE
EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS,
IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE
INCLUYEN EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE
USO, DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL),
SEA CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA
SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO
CONTRACTUAL (INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE
CUALQUIER MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LE HAYA AVISADO
DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Este software se compone de contribuciones voluntarias realizadas por numerosos individuos
en nombre de The PHP Group.
Puede ponerse en contacto con The PHP Group enviando un correo electrnico a
group@php.net.
Para obtener ms informacin sobre The PHP Group y el proyecto PHP, consulte
<http://www.php.net> (en ingls).
PHP incluye el motor Zend, disponible de manera gratuita en <http://www.zend.com>.
Zlib
Copyright (C) 1995-2005 Jean-Loup Gailly y Mark Adler.
Este software se proporciona tal cual, sin ninguna garanta explcita o implcita. Los autores
no sern responsables en ningn caso de los daos y perjuicios derivados del uso de este
software.
Se concede permiso a cualquier persona para utilizar este software con cualquier fin, incluidas
aplicaciones comerciales, y para modificarlo y redistribuirlo libremente, respetando las
siguientes restricciones:
1.El origen de este software no debe falsearse; usted no puede afirmar que cre el software
original. Si utiliza este software en un producto, puede incluir un reconocimiento en la
documentacin del producto, pero no es necesario.
2.Las versiones cuyo cdigo fuente est modificado deben indicarse claramente como tales y
no deben presentarse falsamente como si fueran el software original.
3.Este aviso no puede eliminarse ni modificarse en ninguna distribucin de cdigo fuente.
Jean-Loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu
W
WildFire
acerca de 463
configuracin de ajustes de cortafuegos 465
configuracin de ajustes en el portal 469
configuracin del reenvo 466
descripciones del log 467
panel 468
suscripcin 464
tareas de configuracin 465
tipos de archivos admitidos 464
uso del portal 468
visualizacin de informes 470
Z
zonas
definicin 163
en polticas de seguridad 204
en polticas NAT 210
perfiles de proteccin 193, 392
zonas de seguridad
acerca de 162
definicin 163
en polticas de seguridad 204
en polticas NAT 210
interfaces 162