PAN OS WebInterfaceRef 61 Spanish

Palo Alto Networks
Gua de referencia de interfaz web

Versin 6.1
Informacin de contacto
Sede de la empresa:
Gua del administrador
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta gua

Esta gua describe el cortafuegos de ltima generacin de Palo Alto Networks y las interfaces web de Panorama.
Proporciona informacin sobre cmo usar la interfaz web e informacin de referencia para rellenar campos de
la interfaz:
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisin: noviembre 14, 2014
noviembre 26, 2014 - Palo Alto Networks CONFIDENCIAL DE EMPRESA
Contenido
Captulo 1
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Caractersticas y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Preparacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Configuracin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Uso de la interfaz web del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Compilacin de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Navegacin a pginas de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de tablas en pginas de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Campos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
20
20
20
21
21
Obtencin de ayuda para la configuracin del cortafuegos . . . . . . . . . . . 22
Cmo obtener ms informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . . . . . .
Definicin de la configuracin de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de mdulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . .
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de ID de contenido (content-id) . . . . . . . . . . . . . . .
Configuracin de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tiempos de espera de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajustes de descifrado: Comprobacin de revocacin de certificado . . . . . . .
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy.
Palo Alto Networks
23
24
24
38
42
45
46
50
52
53
54
55
57
58
Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Instalacin de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Definicin de orgenes de informacin de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Instalacin de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Actualizacin de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 68
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Definicin de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Definicin de perfiles de contrasea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Requisitos de nombre de usuario y contrasea . . . . . . . . . . . . . . . . . . . . . . . . 74
Creacin de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Especificacin de dominios de acceso para administradores . . . . . . . . . . . . . . . . 77
Configuracin de perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Creacin de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 80
Cmo aadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuracin de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuracin de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuracin de ajustes de Kerberos (autenticacin nativa de Active Directory) . . 83
Configuracin de una secuencia de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . 84
Programacin de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Definicin de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Definicin de la configuracin del log Configuracin . . . . . . . . . . . . . . . . . . . . . . 87
Definicin de la configuracin del log Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Definicin de la configuracin de log Coincidencias HIP . . . . . . . . . . . . . . . . . . . 88
Definicin de la configuracin del log Alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestin de configuracin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuracin de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuracin de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Descripcin de los campos personalizados de Syslog . . . . . . . . . . . . . . . . . . 95
Configuracin de ajustes de notificaciones por correo electrnico . . . . . . . . . . . 103
Configuracin de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gestin de certificados de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gestin de entidades de certificacin de confianza predeterminadas . . . . 109
Creacin un perfil de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Cmo aadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Cifrado de claves privadas y contraseas del cortafuegos . . . . . . . . . . . . . . . . 112
Habilitacin de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Definicin de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Configuracin de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 127
Definicin de pginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 128
Visualizacin de informacin de asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . 130
Captulo 4
Configuracin de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
Definicin de cables virtuales (Virtual Wire) . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una subinterfaz Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de cable virtual (Virtual Wire) . . . . . . . . . . . .
Configuracin de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . .
Configuracin de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
131
132
132
141
148
149
150
151
Palo Alto Networks
Configuracin de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . .

Configuracin de los grupos de interfaces de agregacin . . . . . . . . . . . . .
Configuracin de una interfaz Ethernet de agregacin. . . . . . . . . . . . . . . .
Configuracin de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de loopback . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Perfiles de redistribucin . . . . . . . . . . . . . . . .
Configuracin de la pestaa RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servidor y retransmisin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de gestin de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de supervisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin contra inundaciones . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin de ataque basada en paquetes . . . . . . . .
151
152
155
157
157
161
163
165
166
166
167
168
171
176
182
191
195
196
197
199
201
202
202
204
205
206
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de definicin de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de usuarios y aplicaciones para las polticas . . . . . . . . . . . .
Definicin de polticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinacin de configuracin de zona en NAT y poltica de seguridad. .
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de poltica NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
212
214
215
217
218
219
219
221
221
222
223
225
227
227
228
228
229
233
234
234
235
237
Palo Alto Networks
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino/aplicacin/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de application override . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Protocolo/Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Accin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opcin/Proteccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pgina de perfil de antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definicin de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabajo con etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categoras de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . .
Definicin de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
237
238
239
239
240
241
241
242
243
243
244
245
245
246
246
247
247
248
248
248
249
249
250
251
252
252
253
254
255
255
256
256
259
263
269
274
276
278
279
280
282
284
288
291
291
292
293
294
295
296
297
298
298
Palo Alto Networks
Definicin de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 299

Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
309
Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

Centro de comando de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Visualizacin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Visualizacin de la informacin del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 329
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Configuracin del informe de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Gestin de informes de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Gestin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 334
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Programacin de informes para entrega de correos electrnicos . . . . . . . 335
Visualizacin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Captulo 7
Configuracin del cortafuegos para la identificacin de usuarios . . . .
341
Configuracin del cortafuegos para la identificacin de usuarios . . . . . . . . . . . 341

Pestaa Asignacin de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Pestaa Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Pestaa Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Pestaa Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Pestaa Configuracin de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Captulo 8
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
357
Definicin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

Pestaa General de puerta de enlace de IKE. . . . . . . . . . . . . . . . . . . . . . . . 358
Pestaa Opciones de fase 1 avanzadas de puertas de enlace de IKE . . . . 358
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Pestaa General del tnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Pestaa Identificador proxy de Tnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . 362
Visualizacin del estado del tnel de IPSec en el cortafuegos . . . . . . . . . . . 362
Palo Alto Networks
Definicin de perfiles criptogrficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Definicin de perfiles criptogrficos de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
365
Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Pestaa Configuracin de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Pestaa Configuracin clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Pestaa Configuracin Satlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Configuracin de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . 376
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Pestaa Configuracin clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Pestaa Configuracin Satlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Configuracin del acceso de la puerta de enlace a un gestor de
seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Creacin de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Pestaa Dispositivo mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Pestaa Administracin de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Pestaa Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Pestaa Antispyware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Pestaa Copia de seguridad de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Pestaa Cifrado de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Pestaa Prevencin de prdida de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Pestaa Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Configuracin de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuracin y activacin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . 396
Configuracin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . .
399
Configuracin de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 399
Definicin de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

Definicin de polticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Visualizacin de estadsticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Captulo 11
Gestin centralizada del dispositivo mediante Panorama . . . . . . . . . . .
409
Pestaa Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cmo aadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . .
411
414
414
415
418
421
Palo Alto Networks
Definicin de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

Objetos y polticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Aplicacin de polticas a un dispositivo especfico de un grupo
de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Definicin de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 424
Creacin de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . . 425
Especificacin de dominios de acceso de Panorama para administradores . . . . 428
Compilacin de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 428
Plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Cancelacin de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Eliminacin de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Gestin de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Cmo aadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Instalacin de una actualizacin de software en un recopilador . . . . . . . . . 438
Definicin de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Generacin de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . . . . . . 441
Visualizacin de la informacin de implementacin del cortafuegos . . . . . . . . . 442
Programacin de actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Programacin de exportaciones de configuracin . . . . . . . . . . . . . . . . . . . . . . . 444
Actualizacin del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Habilitacin del reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Registro del cortafuegos de la serie VM como servicio en el administrador NSX . 450
Actualizacin de informacin del administrador de servicios VMware . . . . . 452
Apndice A
Pginas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
453
Pgina de bloqueo de antivirus y antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . 454

Pgina de bloqueo de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Pgina de bloqueo de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Pgina de exclusin de descifrado de SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Pgina de confort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Pgina de inicio de sesin de VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Pgina de notificacin de certificado SSL revocado . . . . . . . . . . . . . . . . . . . . . . 458
Pgina de bloqueo de coincidencia de categora y filtro de URL . . . . . . . . . . . 458
Pgina de continuacin y cancelacin de filtrado de URL . . . . . . . . . . . . . . . . . . 459
Pgina de bloqueo de aplicacin de bsqueda segura de filtro de URL . . . . . . 460
Apndice B
Categoras, subcategoras, tecnologas y caractersticas de
la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
461
Categoras y subcategoras de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . 461

Tecnologas de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Caractersticas de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Palo Alto Networks
Apndice C
Compatibilidad con los estndares federales de procesamiento de
la informacin/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
465
Activacin del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Apndice D
Licencias de cdigo abierto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
467
Licencia artstica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . .
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
468
469
470
475
482
482
486
487
488
Apndice E
Acceso de los cortafuegos a recursos web externos . . . . . . . . . . . . . . . .
489
Base de datos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Base de datos de amenazas/antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de datos de filtrado de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . .
Base de datos de filtrado de URL de Brightcloud . . . . . . . . . . . . . . . . . . .
WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
490
490
490
490
490
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
493
10
Palo Alto Networks
Captulo 1
Introduccin
Esta seccin proporciona una descripcin general del cortafuegos:
Descripcin general del cortafuegos
Caractersticas y ventajas
Interfaces de gestin
Descripcin general del cortafuegos

El cortafuegos de Palo Alto Networks le permite especificar polticas de seguridad basadas
en la identificacin precisa de cada una de las aplicaciones que quieran acceder a su red.
A diferencia de los cortafuegos tradicionales que nicamente identifican las aplicaciones por
su protocolo y nmero de puerto, este cortafuegos utiliza la inspeccin de paquetes y una
biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y
puertos idnticos, as como para identificar aplicaciones potencialmente malintencionadas
que no utilicen puertos estndar.
Por ejemplo, puede definir polticas de seguridad para aplicaciones especficas, en lugar de
basarse en una nica poltica para todas las conexiones al puerto 80. Puede especificar una
poltica de seguridad para cada aplicacin identificada con el fin de bloquear o permitir el
trfico basndose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cada
poltica de seguridad puede especificar perfiles de seguridad como proteccin frente a virus,
spyware y otras amenazas.
Palo Alto Networks
Introduccin 11
El cortafuegos ofrece un control detallado del trfico que tiene permiso para acceder a su red.
Las principales caractersticas y ventajas incluyen las siguientes:
Cumplimiento de polticas basadas en aplicaciones: El control de acceso segn

aplicaciones es mucho ms eficaz cuando la identificacin de las aplicaciones no se basa
nicamente en el protocolo y el nmero de puerto. Se pueden bloquear las aplicaciones
de alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos.
El trfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse e
inspeccionarse.
Identificacin de usuarios (ID de usuarios): La identificacin de usuarios (User-ID)

permite que los administradores configuren y apliquen polticas de cortafuegos basadas
en usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o adems de
estas. El cortafuegos puede comunicarse con numerosos servidores de directorio, como
Microsoft Active Directory, eDirectory, SunOne, OpenLDAP y la mayora de los otros
servidores de directorio basados en LDAP para la informacin de usuarios y grupos
proporcionada al cortafuegos. A continuacin, esta informacin puede utilizarse para
ofrecer un inestimable mtodo con el que permitir una habilitacin de aplicaciones segura
que puede definirse por usuario o grupo. Por ejemplo, el administrador podra permitir
que una organizacin utilizara una aplicacin basada en Internet y que ninguna otra
organizacin de la empresa pudiera utilizarla. Tambin puede configurar un control
detallado de determinados componentes de una aplicacin basndose en usuarios y
grupos. Consulte Configuracin del cortafuegos para la identificacin de usuarios.
Prevencin de amenazas: Los servicios de prevencin de amenazas que protegen la red

frente a virus, gusanos, spyware y otro trfico malintencionado pueden variar segn la
aplicacin y el origen del trfico (consulte Perfiles de seguridad).
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL).
Visibilidad del trfico: Los extensos informes, registros y mecanismos de notificacin

ofrecen una visibilidad detallada del trfico de aplicaciones y los eventos de seguridad
en la red. El centro de comando de aplicacin (ACC) de la interfaz web identifica las
aplicaciones con mayor trfico y el ms alto riesgo de seguridad (consulte Informes y
logs).
Versatilidad de red y velocidad: El cortafuegos puede aadirse o sustituir a su

cortafuegos existente, y puede instalarse de manera transparente en cualquier red o
configurarse para permitir un entorno conmutado o enrutado. Las velocidades de varios
gigabits y la arquitectura de un nico paso ofrecen todos los servicios sin apenas afectar a
la latencia de red.
GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores porttiles,

que se utilizan a nivel de campo permitiendo iniciar sesin de manera fcil y segura
desde cualquier parte del mundo.
Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece una

tolerancia a fallos automtica en el caso de cualquier interrupcin en el hardware o el
software (consulte Habilitacin de HA en el cortafuegos).
12 Introduccin
Palo Alto Networks
Elaboracin de anlisis e informes sobre software malintencionado: WildFire

proporciona anlisis e informes detallados sobre el software malintencionado que
pasa por el cortafuegos.
Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada

para su uso en un entorno de centro de datos virtual y adaptada especialmente para
implementaciones en nubes privadas y pblicas. Se instala en cualquier dispositivo
x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware
de Palo Alto Networks.
Gestin y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva
o una interfaz de lnea de comandos (CLI). Del mismo modo, todos los dispositivos
pueden gestionarse de manera centralizada mediante el sistema de gestin centralizado
de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.
El cortafuegos admite las siguientes interfaces de gestin. Consulte Exploradores
compatibles para obtener una lista de los exploradores compatibles.
Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS

desde un explorador web.
CLI: La configuracin y la supervisin basadas en texto se realizan a travs de Telnet,

Secure Shell (SSH) o el puerto de la consola (consulte la Gua de referencia de la interfaz de
lnea de comandos de PAN-OS).
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos.
La interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye
funciones de gestin adicionales. Consulte Gestin centralizada del dispositivo
mediante Panorama para obtener informacin sobre Panorama.
Protocolo de gestin de red simple (SNMP): Los productos de Palo Alto Networks
son compatibles con SNMPv2c y SNMPv3, acceso de solo lectura a travs de SNMP y
compatibilidad con TRAPS. Consulte Configuracin de destinos de traps SNMP.
Syslog: Permite la generacin de mensajes para uno o ms servidores Syslog remotos

(consulte Configuracin de servidores Syslog).
API XML: Proporciona una interfaz basada en la transferencia de estado representacional

(REST) para acceder a la configuracin de dispositivos, el estado de funcionamiento,
informes y capturas de paquetes desde el cortafuegos. Hay disponible un explorador
de API en el cortafuegos en https://cortafuegos/api, donde cortafuegos es el nombre de host
o la direccin IP del cortafuegos. Este enlace proporciona ayuda sobre los parmetros
necesarios para cada tipo de llamada de la API. Hay disponible una gua de uso de la API
XML en la comunidad en lnea del centro de desarrollo en http://live.paloaltonetworks.com.
Palo Alto Networks
Introduccin 13
14 Introduccin
Palo Alto Networks
Captulo 2
Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar el cortafuegos:
Preparacin del cortafuegos
Configuracin del cortafuegos
Uso de la interfaz web del cortafuegos
Obtencin de ayuda para la configuracin del cortafuegos
Preparacin del cortafuegos

Realice las siguientes tareas para preparar el cortafuegos para la configuracin:
1.
Monte el cortafuegos en un rack y encindalo como se indica en la Gua de referencia

de hardware.
2.
Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las ltimas

actualizaciones de software y de identificacin de aplicaciones (App-ID) as como activar
las suscripciones y asistencia con los cdigos de autorizacin enviados a su cuenta de
correo electrnico.
3.
Obtenga una direccin IP de su administrador de redes para configurar el puerto de

gestin en el cortafuegos.

Para llevar a cabo la configuracin inicial del cortafuegos:
1.
Conecte su equipo al puerto de gestin (MGT) en el cortafuegos utilizando un cable

Ethernet RJ-45.
2.
Encienda su equipo. Asigne una direccin IP esttica a su equipo en la red 192.168.1.0

(por ejemplo, 192.168.1.5) con una mscara de red de 255.255.255.0.
3.
Inicie un explorador web compatible e introduzca https://192.168.1.1.

El explorador abre la pgina de inicio de sesin de Palo Alto Networks automticamente.
Palo Alto Networks
Primeros pasos 15
4.
Introduzca admin en los campos Nombre y Contrasea y haga clic en Inicio de sesin.
El sistema presenta una advertencia para cambiar la contrasea predeterminada.
Haga clic en ACEPTAR para continuar.
5.
En la pestaa Dispositivo, seleccione Configuracin y configure lo siguiente (para

obtener instrucciones generales acerca de los ajustes de configuracin en la interfaz web,
consulte Uso de la interfaz web del cortafuegos):
En la pestaa Administracin en Configuracin de interfaz de gestin, introduzca la
direccin IP, la mscara de red y la puerta de enlace predeterminada del cortafuegos.
En la pestaa Servicios, introduzca la direccin IP del servidor DNS (Domain Name
System). Introduzca la direccin IP o el nombre de dominio o de host del servidor de
protocolo de tiempo de red (NTP) y seleccione su zona horaria.
Haga clic en Asistencia en el men lateral.
Si se trata del primer cortafuegos de Palo Alto Networks para su empresa, haga clic en
Registrar dispositivo para registrar el cortafuegos. (Si ya ha registrado un cortafuegos,
ha recibido un nombre de usuario y contrasea.)
Haga clic en el enlace Activar soporte mediante cdigo de autorizacin e introduzca
los cdigos de autorizacin recibidos para cualquier funcin adicional. Utilice un
espacio para separar varios cdigos de autorizacin.
6.
Haga clic en Administradores bajo la pestaa Dispositivos.
7.
Haga clic en admin.
8.
En los campos Nueva contrasea y Confirmar nueva contrasea, introduzca y confirme

una contrasea que distingue entre maysculas y minsculas (hasta 15 caracteres).
9.
Haga clic en ACEPTAR para enviar la nueva contrasea.
10. Compile la configuracin para activar estos ajustes. Una vez compile los cambios, el
cortafuegos ser alcanzable a travs de la direccin IP asignada en Paso 5. Para obtener
informacin acerca de la compilacin de cambios, consulte Compilacin de cambios.
La configuracin predeterminada de fbrica del cortafuegos o despus de realizar
un restablecimiento de fbrica es un cable virtual (Virtual Wire) entre los puertos
Ethernet 1 y 2 con una poltica predeterminada para denegar todo el trfico
entrante y seguir todo el trfico saliente.
16 Primeros pasos
Palo Alto Networks

Se aplican las siguientes convenciones cuando utilice la interfaz del cortafuegos.
Para mostrar los elementos del men para una categora de funciones general, haga clic
en la pestaa, como Objetos o Dispositivo, junto a la parte superior de la ventana del
explorador.
Haga clic en un elemento en el men lateral para mostrar un panel.
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda
de un elemento. Para ocultar elementos del men secundario, haga clic en el icono
la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un
nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en
Eliminar. En la mayora de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminacin haciendo clic en Cancelar.
En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de

un elemento y hacer clic en Duplicar para crear un nuevo elemento con la misma
informacin que el elemento seleccionado.
Palo Alto Networks
Primeros pasos 17
Para modificar un elemento, haga clic en su enlace subrayado.
Para visualizar informacin de ayuda en una pgina, haga clic en el icono Ayuda en el
rea superior derecha de la pgina.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la pgina. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.
Si no se define una preferencia de idioma, el idioma de la interfaz web estar controlado

por el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que
utiliza para gestionar el cortafuegos tiene como idioma establecido el espaol, cuando
inicia sesin en el cortafuegos, la interfaz web estar en espaol.
Para especificar un idioma que se utilizar siempre para una cuenta dada en lugar del
idioma del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la
pgina y se abrir la ventana Preferencia de idioma. Haga clic en la lista desplegable
para seleccionar el idioma que desee y haga clic en ACEPTAR para guardar los cambios.
18 Primeros pasos
Palo Alto Networks
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina
Configuracin en la pestaa Dispositivos), haga clic en el icono en la esquina superior
derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuracin
actual de candidato.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de
dilogo compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales)
Incluir los cambios de configuracin de objetos compartidos en la operacin de
compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuracin de objetos y polticas en la operacin de compilacin.
Palo Alto Networks
Primeros pasos 19
Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Para obtener ms informacin acerca de la compilacin de cambios, consulte
Definicin de la configuracin de operaciones.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuracin del candidato en
comparacin con la configuracin actualmente en ejecucin. Puede seleccionar el
nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los cambios
estn indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La funcin Dispositivo > Auditora de configuraciones realiza la misma funcin,
consulte Comparacin de archivos de configuracin.
Navegacin a pginas de configuracin

Cada seccin de configuracin en la gua muestra la ruta del men a la pgina de
configuracin. Por ejemplo, para llegar a la pgina Proteccin de vulnerabilidades,
seleccione la pestaa Objetos y luego seleccione Proteccin de vulnerabilidades en
Perfiles de seguridad del men lateral. Eso est indicado en esta gua con la siguiente ruta:
Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades
Uso de tablas en pginas de configuracin

Las tablas en las pginas de configuracin incluyen opciones para escoger columnas y orden.
Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo
para cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccione
casillas de verificacin para elegir qu columnas mostrar.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratn o
hace clic en el rea de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.
20 Primeros pasos
Palo Alto Networks
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios
de configuracin o compilacin de informacin por otro administrador hasta que se elimine
el bloqueo. Se permiten los siguientes tipos de bloqueo:
Bloqueo de configuracin: Bloquea la realizacin de cambios en la configuracin por

otros administradores. Se puede establecer este tipo de bloqueo de forma general o para
un sistema virtual. Solo puede eliminarse por el administrador que lo configur o por un
superusuario del sistema.
Bloqueo de compilacin: Bloquea los cambios de compilacin por parte de otros

administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita
enfrentamientos que se pueden producir cuando dos administradores estn realizando
cambios a la vez y el primer administrador finaliza y compila cambios antes de que
finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios
actuales por el administrador que aplic el bloqueo o de forma manual.
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que estn bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado
en la barra superior
para abrir el cuadro de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el nmero de elementos bloqueados en las parntesis.
Para desbloquear una transaccin, haga clic en el icono bloqueado

en la barra superior
para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo
que desea eliminar y
haga clic en S para confirmar. Haga clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica
seleccionando la casilla de verificacin Adquirir bloqueo de compilacin automticamente
en el rea de administracin de la pgina Configuracin de dispositivo. Consulte
Configuracin del sistema, configuracin y gestin de licencias.
Palo Alto Networks
Primeros pasos 21
Obtencin de ayuda para la configuracin del cortafuegos
Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Obtencin de ayuda para la configuracin del

cortafuegos
Utilice la informacin que aparece en esta seccin para obtener ayuda acerca del uso
del cortafuegos.
Cmo obtener ms informacin

Para obtener ms informacin acerca del cortafuegos, consulte:
Informacin general: Visite http://www.paloaltonetworks.com.
Documentacin: Para obtener informacin sobre funciones adicionales e

instrucciones sobre cmo configurar las funciones en el cortafuegos, consulte
https://www.paloaltonetworks.com/documentation.
Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz

web para acceder al sistema de ayuda en lnea.
Base de conocimientos: Para acceder a la base de conocimientos, rea de

colaboracin para la interaccin cliente/socio, foros foros de debate y vdeos,
vaya a https://live.paloaltonetworks.com.
Asistencia tcnica
Para obtener asistencia tcnica, informacin sobre los programas de asistencia tcnica o
gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.
22 Primeros pasos
Palo Alto Networks
Captulo 3
Gestin de dispositivos
Utilice las siguientes secciones para obtener referencia de campo sobre la configuracin de
sistema bsica y tareas de mantenimiento en el cortafuegos:
Configuracin del sistema, configuracin y gestin de licencias
Definicin de orgenes de informacin de VM
Instalacin de software
Actualizacin de definiciones de aplicaciones y amenazas
Funciones, perfiles y cuentas de administrador
Configuracin de perfiles de autenticacin
Configuracin de una secuencia de autenticacin
Creacin un perfil de certificados
Programacin de exportaciones de logs
Definicin de destinos de logs
Definicin de la configuracin del log Alarma
Configuracin de ajustes de flujo de red
Uso de certificados
Cifrado de claves privadas y contraseas del cortafuegos
Habilitacin de HA en el cortafuegos
Definicin de sistemas virtuales
Definicin de pginas de respuesta personalizadas
Visualizacin de informacin de asistencia tcnica
Palo Alto Networks
Gestin de dispositivos 23
Configuracin del sistema, configuracin y gestin de licencias

En las siguientes secciones se describe cmo definir la configuracin de red para el acceso de
gestin (el cual define las rutas de servicio y los servicios), y cmo gestionar las opciones de
configuracin (como los tiempos de espera de sesin globales, identificacin de contenido,
anlisis e informes de software malintencionado de WildFire):
Definicin de la configuracin de gestin
Definicin de la configuracin de operaciones
Definicin de mdulos de seguridad de hardware
SNMP
Definicin de la configuracin de servicios
Definicin de la configuracin de ID de contenido (content-id)
Configuracin de ajustes de WildFire
Definicin de la configuracin de sesin
Comparacin de archivos de configuracin
Instalacin de una licencia
Definicin de la configuracin de gestin

Dispositivo > Configuracin > Gestin
Panorama > Configuracin > Gestin
En un cortafuegos, utilice la pestaa Dispositivo > Configuracin > Gestin para configurar
la configuracin de gestin.
En Panorama, utilice la pestaa Dispositivo > Configuracin > Gestin para configurar los
cortafuegos usando plantillas de Panorama. Utilice la pestaa Panorama > Configuracin >
Gestin para configurar los ajustes de Panorama.
Para la gestin de cortafuegos, de forma optativa tambin puede utilizar la
direccin IP de una interfaz de loopback para el puerto de gestin
(consulte Configuracin de una interfaz de loopback).
24 Gestin de dispositivos
Palo Alto Networks
Tabla 1. Configuracin de gestin

Elemento
Descripcin
Configuracin general
Nombre de host
Introduzca un nombre de host (de hasta 31 caracteres). El nombre

hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.
Dominio
Introduzca el nombre de dominio completo (FQDN) del cortafuegos

(de hasta 31 caracteres).
Titular de inicio de sesin
Introduzca el texto personalizado que aparecer en la pgina de inicio

de sesin del cortafuegos. El texto se muestra debajo de los campos
Nombre y Contrasea.
Zona horaria
Seleccione la zona horaria del cortafuegos.
Configuracin regional
Seleccione un idioma para los informes en PDF de la lista desplegable.

Consulte Gestin de informes de resumen en PDF.
Aunque haya establecido una preferencia de idioma especfica para
la interfaz web, los informes en PDF seguirn utilizando el idioma
especificado en este ajuste de configuracin regional. Consulte las
preferencias de idioma en Uso de la interfaz web del cortafuegos.
Fecha y hora
Nmero de serie (solo

mquinas virtuales)
Para establecer la fecha y la hora del cortafuegos, haga clic en Establecer

fecha y hora. Introduzca la fecha actual en (AAAA/MM/DD) o haga
clic en el icono de calendario
para seleccionar un mes y un da.
Introduzca la hora actual con el formato de 24 horas (HH:MM:SS).
Tambin puede definir un servidor NTP desde Dispositivo >
Configuracin > Servicios.
Introduzca el nmero de serie del cortafuegos/Panorama. Busque el
nmero de serie en el correo electrnico de ejecucin de pedido que se le
ha enviado.
Ubicacin geogrfica
Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0)

del cortafuegos.
Adquirir bloqueo
de compilacin
automticamente
Aplique automticamente un bloqueo de compilacin cuando cambie

la configuracin candidata. Para obtener ms informacin, consulte
Bloqueo de transacciones.
Comprobacin del
vencimiento del
certificado
Indique al cortafuegos que deber crear mensajes de advertencia cuando

se acerque la fecha de vencimiento de los certificados integrados.
Capacidad de cortafuegos
virtuales
Activa el uso de varios sistemas virtuales (si el modelo de cortafuegos

admite esa funcin). Para obtener ms informacin, consulte Definicin
de sistemas virtuales.
Configuracin de autenticacin
Perfil de autenticacin
Seleccione el perfil de autenticacin que debe utilizar el administrador

para acceder al cortafuegos. Para obtener instrucciones sobre cmo
configurar perfiles de autenticacin, consulte Configuracin de perfiles
de autenticacin.
Perfil del certificado
Seleccione el perfil del certificado que debe utilizar el administrador

para acceder al cortafuegos. Para obtener instrucciones sobre cmo
configurar perfiles de autenticacin, consulte Creacin un perfil de
certificados.
Palo Alto Networks
Tabla 1. Configuracin de gestin (Continuacin)

Elemento
Descripcin
Tiempo de espera de
inactividad
Introduzca el intervalo de tiempo de espera en minutos (0-1440). Si el

valor es 0, la sesin de gestin, web o de CLI no presenta ningn tiempo
de espera.
N. de intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos (0-10,

predeterminado 0) que PAN-OS permite para la interfaz web y la CLI
antes de bloquear la cuenta. Un valor de 0 significa que el nmero de
intentos es ilimitado.
Tiempo de bloqueo
Introduzca el nmero de minutos (0-60) que PAN-OS bloquea a un

usuario si se alcanza el lmite de N. de intentos fallidos. El valor
predeterminado de 0 significa que el nmero de intentos es ilimitado.
Ajustes de Panorama: Dispositivo > Configuracin > Gestin

Si usa Panorama para gestionar el cortafuegos, configure los siguientes ajustes en el cortafuegos o en
una plantilla de Panorama. Estos ajustes establecen una conexin entre el cortafuegos y Panorama y
determinan los tiempos de espera de la conexin. Si edita la configuracin en un cortafuegos (no en
una plantilla en Panorama), tambin puede activar o desactivar la propagacin de polticas, objetos,
grupos de dispositivos e informacin de plantilla desde Panorama al cortafuegos.
Nota: Tambin debe configurar los tiempos de espera y los ajustes de uso compartido del objeto en Panorama:
consulte Ajustes de Panorama: Panorama > Configuracin > Gestin.
Servidores de Panorama
Introduzca la direccin IP del servidor de Panorama. Si Panorama tiene

una configuracin de alta disponibilidad (HA), introduzca la direccin
IP del servidor secundario de Panorama en el segundo campo
Servidores de Panorama.
Tiempo de espera de
recepcin para conexin
a Panorama
Introduzca el tiempo de espera para recibir mensajes de TCP de

Panorama (1-240 segundos; valor predeterminado: 240).
Tiempo de espera de
envo para conexin a
Panorama
Introduzca el tiempo de espera para enviar mensajes de TCP a

Panorama (1-240 segundos; valor predeterminado: 240).
Reintentar recuento de
envos SSL a Panorama
Introduzca el nmero de reintentos para enviar mensajes de capa de

sockets seguros (SSL) a Panorama (1-64; valor predeterminado: 25).
Palo Alto Networks

Elemento
Descripcin
Deshabilitar/Habilitar
objetos y poltica de
Panorama
Este botn aparece cuando edita los Ajustes de Panorama en

un cortafuegos (no en una plantilla en Panorama). De forma
predeterminada, Panorama propaga las polticas y objetos que se
definen para un grupo de dispositivos a los cortafuegos asignados a
ese grupo. Si hace clic en Desactivar poltica y objetos de Panorama,
se desactiva esa propagacin. De forma predeterminada, esta operacin
tambin elimina estas polticas y objetos del cortafuegos.
Para conservar una copia local de las polticas y objetos del grupo de
dispositivos del cortafuegos antes de desactivar la propagacin, en el
cuadro de dilogo que abre el botn, seleccione la casilla de verificacin
Importar poltica y objetos de Panorama antes de desactivar. En ese
momento, cuando hace clic en Aceptar, PAN-OS copia las polticas y
objetos en la configuracin candidata actual. Despus de realizar
una compilacin, las polticas y objetos pasan a formar parte de la
configuracin del cortafuegos: Panorama deja de gestionarlos.
En condiciones normales de funcionamiento, desactivar la gestin de
Panorama es innecesario y podra complicar el mantenimiento y la
configuracin del cortafuegos. Esta opcin suele aplicarse a situaciones
en las que el cortafuegos necesita reglas y valores de objeto distintos a
los definidos en el grupo de dispositivos. Un ejemplo de situacin es
cuando saca un cortafuegos de la produccin y lo introduce en un
entorno de laboratorio para realizar pruebas.
Para invertir la poltica de cortafuegos y la gestin de objetos en
Panorama, haga clic en Habilitar objetos y poltica de Panorama.
Deshabilitar/habilitar
plantilla de dispositivo
y red
Este botn aparece cuando edita los Ajustes de Panorama en un

cortafuegos (no en una plantilla en Panorama). De forma predeterminada,
Panorama propaga las configuraciones de dispositivo y red definidas
para una plantilla a los cortafuegos asignados a esa plantilla. Si hace
clic en Deshabilitar plantilla de dispositivo y red, desactivar la
propagacin. De forma predeterminada, esta operacin tambin elimina
la informacin de plantilla del cortafuegos.
Para conservar una copia local de la informacin de plantilla del
cortafuegos antes de desactivar la propagacin, en el cuadro de dilogo
que se abre al hacer clic en el botn, seleccione la casilla de verificacin
Importar plantillas de dispositivos y red antes de deshabilitarlas.
En ese momento, cuando hace clic en Aceptar, PAN-OS copia la
informacin definida en la plantilla en la configuracin candidata
actualgdel cortafuegos. Despus de realizar una compilacin, la
informacin de la plantilla pasa a formar parte de la configuracin
del cortafuegos: Panorama deja de gestionar esa informacin.
En condiciones normales de funcionamiento, desactivar la gestin de
Panorama es innecesario y podra complicar el mantenimiento y la
configuracin del cortafuegos. Esta opcin suele aplicarse a situaciones
en las que el cortafuegos necesita reglas y valores de objeto distintos a
los definidos en el grupo de dispositivos. Un ejemplo de situacin es
cuando saca un cortafuegos de la produccin y lo introduce en un
entorno de laboratorio para realizar pruebas.
Para que el cortafuegos deje de aceptar plantillas, haga clic en Habilitar
plantilla de dispositivo y red.
Palo Alto Networks

Elemento
Descripcin
Ajustes de Panorama: Panorama > Configuracin > Gestin

Si usa Panorama para gestionar los cortafuegos, configure los siguientes ajustes en Panorama. Estos
ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones entre
Panorama y los cortafuegos gestionados, as como los parmetros de uso compartido de los objetos.
Nota: Tambin debe configurar los ajustes de conexin de Panorama en el cortafuegos o en una plantilla en
Panorama: consulte Ajustes de Panorama: Dispositivo > Configuracin > Gestin.
Tiempo de espera de
recepcin para conexin
a dispositivo
Introduzca el tiempo de espera para recibir mensajes de TCP de todos

los cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).
Enviar tiempo de espera

de conexin a dispositivo
Introduzca el tiempo de espera para enviar mensajes de TCP a todos los

cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).
Reintentar recuento de
envo SSL a dispositivo
Introduzca el nmero de reintentos para enviar mensajes de capa de

sockets seguros (SSL) a los cortafuegos gestionados (1-64; valor
predeterminado: 25).
Compartir direccin sin

utilizar y objetos de
servicio con dispositivos
Seleccione esta casilla de verificacin para compartir todos los objetos

compartidos de Panorama y los objetos especficos de grupos de
dispositivos con cortafuegos gestionados. Este ajuste est deshabilitado
de manera predeterminada.
Si desactiva la casilla de verificacin, PAN-OS busca en las polticas de
Panorama referencias a direcciones, grupos de direcciones, servicios y
objetos de grupo de servicio y no comparte ningn objeto sin referencia.
Esta opcin reduce el recuento total de objetos asegurndose de que
PAN-OS solo enva los objetos necesarios a cortafuegos gestionados.
Los objetos compartidos

tienen prioridad
Seleccione la casilla de verificacin para especificar que los objetos

compartidos preceden a los objetos de grupos de dispositivos. En este
caso, los objetos de grupos de dispositivos no pueden cancelar los
objetos correspondientes con el mismo nombre de una ubicacin
compartida; PAN-OS descarta cualquier objeto de un grupo de
dispositivos con el mismo nombre que un objeto compartido.
De forma predeterminada, se desactiva este ajuste del sistema:
los grupos de dispositivos cancelan los objetos correspondientes
que tengan el mismo nombre.
Palo Alto Networks

Elemento
Descripcin
Configuracin de interfaz de gestin

Esta interfaz se aplica al cortafuegos, dispositivo M-100 de Panorama o dispositivo virtual de
Panorama.
De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestin (MGT) para
configuracin, recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo,
si configura Eth1 o Eth2 para la recopilacin de logs o comunicacin de grupos del recopilador,
se recomienda definir una subred distinta para la interfaz MGT que sea ms privada que las subredes
Eth1 o Eth2. Defina la subred de la Mscara de red (para IPv4) o el campo Direccin IPv6/longitud de
prefijo (para IPv6). El dispositivo virtual de Panorama no admite interfaces separadas.
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara de
red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos que compile
una configuracin completa.
Direccin IP (IPv4)
Si la red utiliza IPv4, asigne una direccin IPv4 al puerto de gestin.

De forma alternativa, puede asignar la direccin IP de una interfaz de
loopback para la gestin de dispositivos.
De manera predeterminada, esta es la direccin de origen para el
reenvo de logs.
Mscara de red (IPv4)
Si ha asignado una direccin IPv4 al puerto de gestin, introduzca una

mscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 al puerto de gestin, asigne una

direccin IPv4 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestin).
Direccin IPv6/longitud
de prefijo
Si la red utiliza IPv6, asigne una direccin IPv6 al puerto de gestin.

Para indicar la mscara de red, introduzca una longitud de prefijo para
IPv6 (por ejemplo 2001:400:f00::1/64).
Puerta de enlace IPv6

predeterminada

Velocidad
Configure una tasa de datos y una opcin de dplex para la interfaz

de gestin. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con
dplex completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que el dispositivo (Panorama o el cortafuegos)
determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuracin de los puertos del equipo
de red vecino.
MTU
Introduzca la unidad mxima de transmisin (MTU) en bytes para

los paquetes enviados en esta interfaz (intervalo 576-1500, opcin
predeterminada 1500).
Servicios
Seleccione los servicios que quiere que se habiliten en la direccin de

interfaz de gestin especificada: HTTP, OCSP de HTTP, HTTPS, Telnet,
SSH (Secure Shell), Ping, SNMP, ID de usuario (User-ID), SSL de
escucha de Syslog de ID de usuario, UDP de escucha de Syslog de ID
de usuario.
Palo Alto Networks

Elemento
Descripcin
Direcciones IP permitidas
Introduzca la lista de direcciones IP desde las que se permite la gestin

de cortafuegos. Cuando utilice esta opcin para el dispositivo M-100 de
Panorama, agregue la direccin IP de cada cortafuegos gestionado o,
de lo contrario, el cortafuegos no podr conectar ni reenviar logs a
Panorama, ni recibir actualizaciones de configuracin.
Ajustes de la interfaz Eth1

Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama
ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestin para
si habilita Eth1, puede configurarlo para la recopilacin de logs o comunicacin de grupos de
recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).
Nota: No puede compilar la configuracin de Eth1 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth1
Seleccione esta casilla de verificacin para activar la interfaz Eth1.
Direccin IP (IPv4)
Si la red utiliza IPv4, asigne una direccin IPv4 al puerto Eth1.
Si ha asignado una direccin IPv4 al puerto, introduzca una mscara

de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 al puerto, asigne una direccin IPv4

al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth1).
de prefijo

Para indicar la mscara de red, introduzca una longitud de prefijo
para IPv6 (por ejemplo 2001:400:f00::1/64).

predeterminada

puerto Eth1).
Velocidad

Eth1. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que Panorama determine la velocidad de interfaz.
de red vecino.
MTU

Servicios
Seleccione Ping si desea activar ese servicio en la interfaz Eth1.

de Eth1.
Ajustes de la interfaz Eth2

Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama
ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestin para
si habilita Eth2, puede configurarlo para la recopilacin de logs o comunicacin de grupos de
recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).
Eth2
Seleccione esta casilla de verificacin para activar la interfaz Eth2.
Palo Alto Networks

Elemento
Descripcin
Direccin IP (IPv4)
Si ha asignado una direccin IPv4 al puerto, introduzca una mscara de

red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada

puerto Eth2).
de prefijo

Para indicar la mscara de red, introduzca una longitud de prefijo
para IPv6 (por ejemplo 2001:400:f00::1/64).

predeterminada
Si ha especificado una direccin IPv6 al puerto, asigne una direccin

IPv6 al enrutador predeterminado (debe estar en la misma subred que
el puerto Eth2).
Velocidad

Eth2. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica predeterminado para que Panorama determine la velocidad de interfaz.
de red vecino.
MTU

Servicios
Seleccione Ping si desea activar ese servicio en la interfaz Eth2.

de Eth2.
Palo Alto Networks

Elemento
Descripcin
Configuracin de log e informes

Utilice esta seccin de la interfaz para modificar para modificar las siguientes opciones:
Cuotas de almacenamiento de logs para el cortafuegos (Dispositivo > Configuracin > Gestin).
Cuotas de almacenamiento de logs para una mquina virtual de Panorama VM o en un dispositivo
M-100 en modo Panorama (Panorama > Configuracin > Gestin).
Nota: Para configurar las cuotas para cada tipo de log en un dispositivo M-100 en modo de recopilador de logs,
seleccione Panorama > Grupos de recopiladores > General y seleccione el enlace Almacenamiento de log.
Consulte Instalacin de una actualizacin de software en un recopilador.
Atributos para calcular y exportar informes de actividad de usuarios.
Informes predefinidos creados en el cortafuegos/Panorama.
Palo Alto Networks

Elemento
Descripcin
Pestaa secundaria
Almacenamiento de log
Especifique el porcentaje de espacio asignado a cada tipo de log en el

disco duro.
(El cortafuegos PA-7050

tiene Almacenamiento
de tarjeta de log y
Almacenamiento de
tarjeta de gestin)
Al cambiar un valor de porcentaje, la asignacin de disco asociada

cambia automticamente. Si el total de todos los valores supera el 100%,
aparecer un mensaje en la pgina de color rojo y un mensaje de error
cuando intente guardar la configuracin. Si esto sucede, reajuste los
porcentajes de modo que el total quede por debajo del lmite del 100%.
Haga clic en ACEPTAR para guardar la configuracin y en Restablecer
valores predeterminados para restablecer todos los ajustes predeterminados.
El cortafuegos PA-7050 almacena los logs en la tarjeta de procesamiento
de logs (LPC) y en la tarjeta de gestin de conmutadores (SMC) y de
esta forma divide las cuotas de registro en estas dos reas. La pestaa
Almacenamiento de log tiene la configuracin de la cuota para el trfico
del tipo de datos en la LPC (por ejemplo, logs de trfico y amenazas).
El almacenamiento de la tarjeta de gestin tiene configuracin de cuota
para el trfico de tipo de gestin almacenado en la SMC (por ejemplo, los
logs de configuracin, los logs del sistema y logs de alarmas).
Nota: Cuando un log alcanza el tamao mximo, el cortafuegos empieza a
sustituir las entradas del log ms antiguas por las nuevas. Si reduce el tamao
de un log, el cortafuegos elimina los logs ms antiguos cuando compila los
cambios.
Palo Alto Networks

Elemento
Descripcin
Pestaa secundaria
Exportacin e informes
de log
Nmero de versiones para auditora de configuraciones: Introduzca el

nmero de versiones de configuracin que se deben guardar antes de
descartar las ms antiguas (valor predeterminado: 100). Puede utilizar
estas versiones guardadas para auditar y comparar cambios en la
configuracin.
Mx. de filas en exportacin CSV: Introduzca el nmero mximo de
filas que aparecern en los informes CSV generados desde el icono
Exportar a CSV de la vista de logs de trfico (rango 1-1048576, valor
predeterminado: 5000).
Mx. de filas en informe de actividad de usuario: Introduzca el nmero
mximo de filas que se admite para los informes de actividad de usuario
detallada (1-1048576; valor predeterminado: 65535).
Nmero de versiones para Configurar copias de seguridad:
(Solo Panorama) Introduzca el nmero de copias de seguridad de
configuraciones que se deben guardar antes de descartar las ms
antiguas (valor predeterminado: 100).
Tiempo medio de exploracin (seg): Configure esta variable para
ajustar cmo se calcula el tiempo de exploracin en el informe de
actividad de usuario.
El clculo ignorar los sitios categorizados como anuncios web y redes
de entrega de contenido. El clculo del tiempo de exploracin se basa
en las pginas contenedoras registradas en los logs de filtrado de URL.
Las pginas contenedoras se utilizan como base para este clculo debido
a que muchos sitios cargan contenido de sitios externos que no debera
considerarse. Para obtener ms informacin sobre la pgina contenedora,
consulte Pginas contenedoras.
El ajuste de tiempo medio de exploracin es el tiempo medio que el
administrador considera que tardar un usuario en explorar una pgina
web. Cualquier solicitud realizada despus de que haya transcurrido el
tiempo medio de exploracin se considerar una nueva actividad de
exploracin. El clculo ignorar las pginas web nuevas que se carguen
entre el momento de la primera solicitud (hora de inicio) y el tiempo
medio de exploracin. Este comportamiento se ha diseado para excluir
los sitios externos que se carguen dentro de la pgina web de inters
Ejemplo: si el tiempo medio de exploracin es de 2 minutos y un usuario
abre una pgina web y visualiza dicha pgina durante 5 minutos, el
tiempo de exploracin de dicha pgina seguir siendo de 2 minutos.
Esto es as porque no hay forma de determinar durante cunto tiempo
un usuario visualiza una pgina concreta.
(Rango: 0-300 segundos; valor predeterminado: 60 segundos)
Umbral de carga de pgina (seg): Esta opcin le permite ajustar el
tiempo previsto que tardan los elementos de una pgina en cargarse en
la pgina. Cualquier solicitud que se produzca entre la primera carga
de la pgina y el umbral de carga de pgina se considerar que son
elementos de la pgina. Cualquier solicitud que se produzca fuera del
umbral de carga de pgina se considerar que es el usuario haciendo clic
en un enlace de la pgina. El umbral de carga de pgina tambin se
utiliza en los clculos para el informe de actividad de usuario.
(Rango: 0-60 segundos; valor predeterminado: 20 segundos)
Formato de nombre de host de Syslog: Seleccione si desea utilizar el
nombre de dominio completo (FQDN), el nombre de host, la direccin
IP (v4 o V6) en el encabezado del mensaje de Syslog; este encabezado
identifica el cortafuegos/Panorama desde el que se origina el mensaje.
Palo Alto Networks

Elemento
Descripcin
Detener trfico cuando LogDb est lleno: Seleccione la casilla de
verificacin si desea que se detenga el trfico a travs del cortafuegos
cuando la base de datos de logs est llena (desactivada de manera
predeterminada).
Habilitar log con carga alta: Seleccione esta casilla de verificacin si
desea que se genere una entrada de log del sistema cuando la carga de
procesamiento del paquete del cortafuegos est al 100% de la utilizacin
de la CPU.
Una carga alta de CPU puede degradar el funcionamiento porque la
CPU no tiene suficientes ciclos para procesar todos los paquetes. El log
del sistema le avisa sobre este problema (se genera una entrada de log
cada minuto) y le permite investigar la posible causa.
De forma predeterminada, esta opcin est deshabilitada.
(Solo en Panorama)
Reenvo de log en bfer desde dispositivo: Permite al cortafuegos

almacenar en bfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexin con Panorama. Cuando se
restaura la conexin con Panorama, la entradas de log se reenvan a la
aplicacin; el espacio en disco disponible para el almacenamiento en
bfer depende de la cuota de almacenamiento de logs para la plataforma
y el volumen de los logs que quedan por ejecutar. Si se consume el
espacio, las entradas ms antiguas se eliminarn para permitir el registro
de nuevos eventos.
De forma predeterminada, esta opcin est habilitada.
Obtener nicamente nuevos logs al convertir a principal:
Esta opcin solo es aplicable cuando Panorama escribe logs en un
recurso compartido de archivos de red (NFS). Con los logs de NFS solo
se monta la instancia principal de Panorama en el NFS. Por lo tanto, los
cortafuegos solo envan logs en la instancia activa principal de Panorama.
Esta opcin permite que un administrador configure los cortafuegos
gestionados para que solo enven los logs recin generados a Panorama
cuando se produce un error de HA y la instancia secundaria de Panorama
contina creando logs para el NFS (despus de promocionarse como
principal).
Este comportamiento suele habilitarse para impedir que los cortafuegos
enven grandes volmenes de logs almacenados en bfer cuando se
restablezca la conexin con Panorama despus de un perodo de tiempo
significativo.
Solo logs principales activos al disco local: le permite configurar solo la
instancia principal activa para guardar logs en el disco local.
Esta opcin es vlida para una mquina virtual de Panorama con un
disco virtual y para el dispositivo M-100 en modo Panorama.
Palo Alto Networks

Elemento
Descripcin
Informes predefinidos: Hay informes predefinidos para aplicacin,
trfico, amenazas y filtrado de URL disponibles en el cortafuegos y en
Panorama. De forma predeterminada, estos informes predefinidos estn
habilitados.
Debido a que los cortafuegos consumen recursos de memoria para
generar resultados cada hora (y enviarlos a Panorama cuando se agrega
y se compila para visualizacin), puede deshabilitar los informes que no
sean relevantes, reduciendo as el uso de memoria; para deshabilitar un
informe, quite la marca de la casilla de verificacin de los mismos.
Utilice las opciones Seleccionar todo o Anular seleccin para habilitar o
deshabilitar completamente la generacin de los informes predefinidos.
Nota: Antes deshabilitar un informe, asegrese de que no se incluye en ningn
informe de grupos o informe PDF. Si un informe predefinido forma parte de un
conjunto de de informes y se deshabilita, el conjunto de informes al completo
dejar de contener datos.
Complejidad de contrasea mnima

Habilitado
Habilite los requisitos de contrasea mnimos para cuentas locales.

Con esta funcin, puede garantizar que las cuentas de administrador
locales del cortafuegos cumplan un conjunto definido de requisitos de
contrasea.
Tambin puede crear un perfil de contrasea con un subconjunto de
estas opciones que cancelar estos ajustes y que puede aplicarse a
cuentas especficas. Para obtener ms informacin, consulte Definicin
de perfiles de contrasea. Consulte Definicin de funciones de
administrador para obtener informacin sobre los caracteres vlidos
que pueden utilizarse en las cuentas.
Note: La longitud de contrasea mxima que puede introducirse es

de 31 caracteres. Al ajustar los requisitos, asegrese de no crear una
combinacin que no pueda aceptarse. Por ejemplo, no puede establecer
un requisito de 10 maysculas, 10 minsculas, 10 nmeros y 10
caracteres especiales, ya que esto excedera la longitud mxima de 31.
Note: Si tiene configurada la alta disponibilidad (HA), utilice siempre
el dispositivo principal cuando configure opciones de complejidad de
contrasea y compile lo antes posible despus de realizar cambios.
Longitud mnima
Exija una longitud mnima de 1-15 caracteres.
Letras en mayscula
mnimas
Exija un nmero mnimo de letras en mayscula de 0-15 caracteres.
Letras en minscula
mnimas
Exija un nmero mnimo de letras en minscula de 0-15 caracteres.
Letras numricas
mnimas
Exija un nmero mnimo de letras numricas de 0-15 nmeros.
Caracteres especiales
mnimos
Exija un nmero mnimo de caracteres especiales (no alfanumricos)

de 0-15 caracteres.
Bloquear caracteres
repetidos
No permita caracteres repetidos basndose en el valor especificado.

Por ejemplo, si el valor se establece como 4, la contrasea prueba2222
no se aceptar, pero prueba222 s se aceptar (rango: 2-15).
Palo Alto Networks

Elemento
Descripcin
Bloquear inclusin de
nombre de usuario
(incluida su inversin)
Seleccione esta casilla de verificacin para impedir que el nombre de

usuario de la cuenta (o la versin invertida del nombre) se utilice en la
contrasea.
La nueva contrasea
difiere por caracteres
Cuando los administradores cambien sus contraseas, los caracteres

deben diferir segn el valor especificado.
Es necesario cambiar la
contrasea al iniciar
sesin por primera vez.
Seleccione esta casilla de verificacin para pedir a los administradores

que cambien sus contraseas la primera vez que inicien sesin en el
dispositivo.
Evitar lmite de
reutilizacin de
contrasea
Exija que no se reutilice una contrasea anterior basndose en el

recuento especificado. Por ejemplo, si el valor se establece como 4, no
podr reutilizar ninguna de sus ltimas 4 contraseas (rango: 0-50).
Bloquear perodo de
cambio de contrasea
(das)
El usuario no podr cambiar sus contraseas hasta que no se haya

alcanzado el nmero de das especificado (rango: 0-365 das).
Perodo necesario para el

cambio de contrasea
(das)
Exija que los administradores cambien su contrasea con la regularidad

especificada por el nmero de das establecido, de 0 a 365 das. Por
ejemplo, si el valor se establece como 90, se pedir a los administradores
que cambien su contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das
y especificar un perodo de gracia.
Perodo de advertencia de
vencimiento (das)
Si se establece un perodo necesario para el cambio de contrasea, este

ajuste puede utilizarse para pedir al usuario que cambie su contrasea
cada vez que inicie sesin a medida que se acerque la fecha obligatoria
de cambio de contrasea (rango: 0-30 das).
Inicio de sesin de
administrador caducado
permitido (recuento)
Permita que el administrador inicie sesin el nmero de veces especificado despus de que la cuenta haya vencido. Por ejemplo, si el valor
se ha establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3
veces ms antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).
Perodo de gracia
posterior al vencimiento
(das)
Permita que el administrador inicie sesin el nmero de das especificado despus de que la cuenta haya vencido (rango: 0-30 das).
Palo Alto Networks
Definicin de la configuracin de operaciones

Dispositivo > Configuracin > Operaciones
Cuando cambia un ajuste de configuracin y hace clic en ACEPTAR, se actualiza la
configuracin candidata actual, no la configuracin activa. Al hacer clic en Compilar en
la parte superior de la pgina, se aplica la configuracin candidata a la configuracin activa,
lo que activa todos los cambios de configuracin desde la ltima compilacin.
Este mtodo le permite revisar la configuracin antes de activarla. Si activa varios cambios
simultneamente, ayudar a evitar estados de configuracin no vlidos que pueden
producirse cuando se aplican cambios en tiempo real.
Puede guardar y restablecer la configuracin candidata con la frecuencia que sea necesario y
tambin cargar, validar, importar y exportar configuraciones. Si pulsa Guardar, se crear una
copia de la configuracin candidata actual, mientras que si selecciona Compilar, actualizar la
configuracin activa con el contenido de la configuracin candidata.
Es conveniente guardar peridicamente los ajustes de configuracin que haya introducido
haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla.
Para gestionar configuraciones, seleccione las funciones de gestin de configuracin
adecuadas que se describen en la tabla siguiente.
Tabla 2. Funciones de gestin de configuracin

Funcin
Descripcin
Gestin de configuracin
Validar configuracin
candidata
Comprueba si la configuracin candidata tiene errores.
Volver a la ltima
configuracin guardada
Restablece la ltima configuracin candidata guardada desde la unidad

local. La configuracin candidata actual se sobrescribir. Se producir un
error si no se ha guardado la configuracin candidata.
Volver a la configuracin
en ejecucin
Restablece la ltima configuracin en ejecucin. La configuracin en

ejecucin actual se sobrescribir.
Guardar instantnea
de configuracin con
nombre
Guarda la configuracin candidata en un archivo. Introduzca un nombre

de archivo o seleccione un archivo existente para sobrescribirlo. Tenga en
cuenta que el archivo de configuracin activa actual (running-config.xml)
no puede sobrescribirse.
Guardar configuracin
candidata
Guarda la configuracin candidata en la memoria flash (del mismo modo

que si hiciera clic en Guardar en la parte superior de la pgina).
Cargar instantnea de
configuracin con
nombre
Carga una configuracin candidata desde la configuracin activa

(running-config.xml) o desde una configuracin guardada o importada
anteriormente. Seleccione el archivo de configuracin que debe cargarse.
La configuracin candidata actual se sobrescribir.
Cargar versin de
configuracin
Carga una versin especificada de la configuracin.
Exportar instantnea
de configuracin con
nombre
Exporta la configuracin activa (running-config.xml) o una configuracin

guardada o importada anteriormente. Seleccione el archivo de configuracin que debe exportarse. Puede abrir el archivo y/o guardarlo en
cualquier ubicacin de red.
Palo Alto Networks
Tabla 2. Funciones de gestin de configuracin (Continuacin)

Funcin
Descripcin
Exportar versin de
configuracin
Exporta una versin especificada de la configuracin.
Exportar estado de
dispositivo
Esta funcin se utiliza para exportar la informacin dinmica y de

configuracin de un cortafuegos configurado como portal de GlobalProtect
con la funcin de VPN a gran escala activada. Si el portal tiene un fallo,
se puede importar el archivo exportado para restablecer la informacin
dinmica y de configuracin del portal.
La exportacin incluye una lista de todos los dispositivos satlite
gestionados por el portal, la configuracin en ejecucin en el momento
de la exportacin y toda la informacin de los certificados (certificados de
CA raz, servidor y satlite).
Importante: Debe realizar manualmente la exportacin del estado del
dispositivo o crear una secuencia de comandos programada de la API
XML para exportar el archivo a un servidor remoto. Esto debe hacerse
con regularidad, ya que puede que los certificados de satlite cambien
a menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, en el
modo de configuracin, ejecute save device state.
El archivo se denominar device_state_cfg.tgz y se guardar en /opt/
pancfg/mgmt/device-state. El comando de operacin para exportar el
archivo de estado del dispositivo es scp export device-state
(tambin puede utilizar tftp export device-state).
Para obtener informacin sobre cmo utilizar la API XML, consulte
el documento PAN-OS XML-Based Rest API Usage Guide
(Gua de uso de la API Rest basada en XML de PAN-OS, en ingls)
en http://www.paloaltonetworks.com/documentation.
Importar instantnea
de configuracin con
nombre
Importa un archivo de configuracin desde cualquier ubicacin de red.

Haga clic en Examinar y seleccione el archivo de configuracin que debe
importarse.
Importar estado de
dispositivo
Importa la informacin de estado del dispositivo que se export mediante

la opcin Exportar estado de dispositivo. Esto incluye la configuracin en
ejecucin actual, plantillas de Panorama y polticas compartidas. Si el
dispositivo es un portal de GlobalProtect, la exportacin incluir la
informacin de la Entidad de certificacin (CA) y la lista de los
dispositivos satlite con su informacin de autenticacin.
Operaciones de dispositivo
Reiniciar
Para reiniciar el cortafuegos/Panorama, haga clic en Reiniciar

dispositivo. Cerrar sesin y se volvern a cargar el software PAN-OS y
la configuracin activa. Las sesiones existentes tambin se cerrarn y
registrarn. Asimismo, se crear una entrada de log de sistema que
mostrar el nombre del administrador que inici el apagado. Todos los
cambios de configuracin que no se hayan guardado o compilado se
perdern (consulte Definicin de la configuracin de operaciones).
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart system. Consulte la Gua de referencia de la interfaz
de lnea de comandos de PAN-OS para obtener informacin detallada.
Palo Alto Networks

Funcin
Descripcin
Apagar
Para realizar un apagado correcto del cortafuegos/Panorama, haga clic

en Apagar dispositivo o Apagar Panorama y, a continuacin, haga clic en
S en el mensaje de confirmacin. Todos los cambios de configuracin
que no se hayan guardado o compilado se perdern. Todos los administradores cerrarn sesin y se producirn los siguientes procesos:
Se cerrarn todas las sesiones de inicio de sesin.
Se deshabilitarn las interfaces.
Se detendrn todos los procesos del sistema.
Se cerrarn y registrarn las sesiones existentes.
Se crearn logs del sistema que mostrarn el nombre del administrador
que inici el apagado. Si no se puede crear esta entrada de log, aparecer una advertencia y el sistema no se apagar.
Ahora podr desmontar de manera limpia las unidades de disco y el
dispositivo dejar de recibir alimentacin.
Deber desenchufar la fuente de alimentacin y volver a enchufarla antes
de poder activar el dispositivo.
Note: Si la interfaz web no est disponible, utilice el comando de la CLI
request shutdown system . Consulte la Gua de referencia de la interfaz
de lnea de comandos de PAN-OS para obtener informacin detallada.
Reiniciar plano de datos
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga
clic en Reiniciar plano de datos. Esta opcin no est disponible en el modelo
PA-200 y Panorama.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane. Consulte la Gua de referencia de la
interfaz de lnea de comandos de PAN-OS para obtener informacin detallada.
Palo Alto Networks

Funcin
Descripcin
Varios
Logotipos
personalizados
Utilice esta opcin para personalizar cualquiera de los siguientes

elementos:
Imagen de fondo de la pantalla de inicio de sesin
Imagen de encabezado de la interfaz de usuario principal
Imagen de la pgina de ttulo del informe en PDF. Consulte Gestin de
informes de resumen en PDF.
Imagen de pie de pgina del informe en PDF
Haga clic en
para cargar un archivo de imagen, en
para obtener
una vista previa o en
para eliminar una imagen cargada anteriormente.
Tenga en cuenta lo siguiente:
Los tipos de archivos admitidos son png, gif y jpg.
Los archivos de imagen con un canal alfa no son compatibles y, cuando se

utilizan en informes en PDF, los informes no se generan correctamente.
Puede que tenga que ponerse en contacto con el creador de la imagen para
eliminar los canales alfa de la imagen o asegurarse de que el software de
grficos que est utilizando no guarda los archivos con la funcin de
canal alfa.
Para volver al logotipo predeterminado, elimine su entrada y realice
una compilacin.
El tamao de imagen mximo para cualquier imagen de logotipo es de
128 KB.
En el caso de las opciones de la pantalla de inicio de sesin y de la
interfaz de usuario principal, al hacer clic en
, la imagen se mostrar
del modo en que se visualizar. Si es necesario, se recortar la imagen
para ajustarla. En el caso de informes en PDF, el tamao de las imgenes
se ajustar automticamente sin recortarlas. En todos los casos, la vista
previa muestra las dimensiones de imagen recomendadas.
Para obtener informacin sobre cmo generar informes en PDF, consulte
Gestin de informes de resumen en PDF.
Configuracin de SNMP
Palo Alto Networks
Especifique parmetros de SNMP. Consulte SNMP.

Funcin
Descripcin
Configuracin del
servicio de estadsticas
La funcin Servicio de estadsticas permite que el cortafuegos enve

informacin de aplicaciones annimas, amenazas y bloqueos al equipo de
investigacin de Palo Alto Networks. La informacin recopilada permite
que el equipo de investigacin mejore continuamente la eficacia de los
productos de Palo Alto Networks basndose en informacin del mundo
real. Este servicio est deshabilitado de manera predeterminada y, una
vez habilitado, se cargar informacin cada 4 horas.
Puede permitir que el cortafuegos enve cualquiera de los siguientes tipos
de informacin:
Informes de aplicacin y amenazas
Informes de aplicaciones desconocidas
Informes de URL
Seguimientos de bloqueos de dispositivos
Para ver una muestra del contenido de un informe estadstico que se
enviar, haga clic en el icono de informe
. Se abrir la pestaa Muestra
de informe para mostrar el cdigo del informe. Para ver un informe, haga
clic en la casilla de verificacin que aparece junto al informe deseado y, a
continuacin, haga clic en la pestaa Muestra de informe.
Definicin de mdulos de seguridad de hardware

Dispositivo > Configuracin > HSM
La pestaa HSM le permite ver el estado y configurar un mdulo de seguridad de
hardware (HSM).
La siguiente configuracin de estado aparece en la seccin del proveedor de mdulo de
seguridad de hardware.
Tabla 3. Configuracin de estado del proveedor de mdulo HSM

Campo
Descripcin
Proveedor configurado
Especifica una de las siguientes opciones:

Ninguno: No se ha configurado ningn HSM para el cortafuegos.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Alta disponibilidad
Si se selecciona, se configura la alta disponibilidad del HSM. Solo Luna SA

de Safenet.
Nombre de grupo de
alta disponibilidad.
Nombre de grupo configurado en el cortafuegos para la alta disponibilidad

del HSM. Solo Luna SA de Safenet.
Direccin de origen de
cortafuegos
Direccin del puerto utilizado para el servicio HSM. De forma predeterminada, se trata de la direccin del puerto de gestin. Sin embargo, se
puede especificar como un puerto diferente a travs de la opcin Configuracin de ruta de servicios en Dispositivo > Configuracin > Servicios.
Clave maestra
asegurada por HSM
Si se activa, la clave maestra se asegura en el HSM.
Palo Alto Networks
Tabla 3. Configuracin de estado del proveedor de mdulo HSM

Campo
Descripcin
Estado
Consulte Configuracin del estado del mdulo de seguridad de hardware

de Luna SA de Safenet o Configuracin del estado del mdulo de
seguridad de hardware de Thales Nshield Connect como corresponda.
Para configurar un mdulo de seguridad de hardware (HSM) en el cortafuegos, haga clic en el

icono Editar de la seccin Proveedor de mdulo de seguridad de hardware y configure los
siguientes ajustes.
Tabla 4. Ajustes de configuracin de HSM

Campo
Proveedor configurado
Descripcin
Ninguno: No se ha configurado ningn HSM para el cortafuegos. No se
necesita otra configuracin.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Nombre de mdulo
Especifique un nombre de mdulo para el HSM. Puede ser cualquier

cadena ASCII con una longitud de hasta 31 caracteres. Cree varios nombres
de mdulos si est definiendo una configuracin de alta disponibilidad
del HSM.
Direccin de servidor
Especifique una direccin de IPv4 para cualquier mdulo HSM que est
configurando.
Alta disponibilidad
Solo Luna SA de
Safenet
Seleccione esta casilla de verificacin si est definiendo mdulos HSM en

una configuracin de alta disponibilidad. Se debe configurar el nombre del
mdulo y la direccin del servidor de todos los mdulos HSM.
Reintento de
recuperacin
automtica
Especifique el nmero de intentos que debe realizar el cortafuegos para

recuperar la conexin con HSM antes de conmutarse por error a otro HSM
en una configuracin de alta disponibilidad del HSM. Rango 0 -500.
Solo Luna SA de
Safenet
Nombre de grupo de
alta disponibilidad.
Solo Luna SA de
Safenet
Especifique el nombre de grupo que se debe utilizar para el grupo de alta

disponibilidad del HSM. Este nombre lo utiliza el cortafuegos de forma
interna. Puede ser cualquier cadena ASCII con una longitud de hasta 31
caracteres.
Direccin de sistema
de archivos remoto
Configure la direccin IPv4 del sistema de archivos remoto utilizado en la

configuracin de HSM de Thales Nshield Connect.
Solo Thales Nshield

Connect
Seleccione Configurar mdulo de seguridad de hardware y configure los siguientes ajustes

para autenticar el cortafuegos en el HSM.
Palo Alto Networks
Tabla 5. Ajustes de Configurar mdulo de seguridad de hardware

Campo
Descripcin
Nombre de servidor
Seleccione un nombre de servidor HSM en el cuadro desplegable.
Contrasea de
administrador
Introduzca la contrasea del administrador de HSM para autenticar el

cortafuegos en el HSM.
La seccin Estado de mdulo de seguridad de hardware proporciona la siguiente

informacin sobre los HSM que se han autenticado correctamente. La pantalla mostrar
opciones diferentes dependiendo el proveedor HSM configurado.
Tabla 6. Configuracin del estado del mdulo de seguridad de hardware de Luna SA

de Safenet
Campo
Descripcin
Nmero de serie
Se muestra el nmero de serie de la particin del HSM si la particin de

HSM se ha autenticado correctamente.
Particin
Nombre de la particin en el HSM que se asign en el cortafuegos.
Estado de mdulo
Estado de funcionamiento actual del HSM. Este ajuste tendr el valor

Autenticado si el HSM aparece en esta tabla.
Tabla 7. Configuracin del estado del mdulo de seguridad de hardware de Thales

Nshield Connect
Campo
Descripcin
Nombre
Nombre del servidor del HSM.
Direccin IP
Direccin IP del HSM que se asign en el cortafuegos.
Estado de mdulo
Estado de funcionamiento actual del HSM.

Autenticado
No autenticado
Palo Alto Networks
SNMP
Dispositivo > Configuracin > Operaciones
SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la
supervisin de los dispositivos de su red. Utilice esta pgina para configurar el cortafuegos
de forma que utilice la versin de SNMP (SNMPv2c y SNMPv3) admitida por su estacin de
gestin de red.
Para configurar el perfil del servidor que habilita el cortafuegos para comunicarse con los
destinos de trap SNMP de su red, consulte Configuracin de destinos de traps SNMP.
El mdulo de bases de informacin de gestin SNMP define todos los traps SNMP generados
por el sistema. El trap SNMP identifica un evento con un ID de objeto nico (OID) y los
campos individuales se definen como una lista de enlaces de variables (varbind).
Haga clic en Configuracin de SNMP en la pgina Configuracin y especifique los siguientes
ajustes para permitir las solicitudes GET SNMP desde su estacin de gestin de red:
Tabla 8. Configuracin de SNMP

Campo
Descripcin
Ubicacin fsica
Especifique la ubicacin fsica del cortafuegos. Cuando se genera un log o

trap, esta informacin le permite identificar el dispositivo que ha generado
la notificacin.
Contacto
Introduzca el nombre o la direccin de correo electrnico de la persona

responsable del mantenimiento del cortafuegos Este ajuste se indica en la
MIB de informacin del sistema estndar.
Utilizar definiciones
de traps especficas
Seleccione la casilla de verificacin para utilizar un OID exclusivo para cada trap
SNMP basndose en el tipo de evento (est seleccionado el valor predeterminado).
Palo Alto Networks
Tabla 8. Configuracin de SNMP (Continuacin)

Campo
Descripcin
Versin
Seleccione la versin de SNMP (V2c o V3). Este ajuste controla el acceso a la

informacin de la MIB. De manera predeterminada, se selecciona V2c con la
cadena de comunidad pblica.
En el caso de V2c, configure el siguiente ajuste:
Cadena de comunidad SNMP: Introduzca la cadena de comunidad SNMP
para el acceso al cortafuegos (valor predeterminado: pblico). Son necesarias
las cadenas de comunidad SNMP para SNMPv2c. SNMPv3 utiliza una autenticacin de nombre de usuario/contrasea, junto con una clave de cifrado.
En el caso de V3, configure los siguientes ajustes:
Vistas: Las vistas le permiten limitar los objetos MIB a los que puede acceder
un gestor SNMP. Haga clic en Aadir y configure los siguientes ajustes:
Nombre: Especifique un nombre para un grupo de vistas.
Ver: Especifique un nombre para una vista.
OID: Especifique el identificador de objeto (OID) (por ejemplo, 1.2.3.4).
Opcin: Seleccione si el OID debe incluirse en la vista o excluirse de ella.
Mscara: Especifique un valor de mscara para un filtro del OID en formato
hexadecimal (por ejemplo, 0xf0).
Usuarios: Haga clic en Aadir y configure los siguientes ajustes:
Usuarios: Especifique un nombre de usuario.
Ver: Especifique el grupo de vistas del usuario.
Contrasea de autenticacin: Especifique la contrasea de autenticacin
del usuario (8 caracteres como mnimo, 256 caracteres como mximo y sin
restricciones de caracteres). (Se permiten todos los caracteres.) nicamente se
admite el algoritmo de hash seguro (SHA).
Contrasea priv.: Especifique la contrasea de cifrado del usuario (8 caracteres como mnimo, 256 caracteres como mximo y sin restricciones de caracteres). nicamente se admite el estndar de cifrado avanzado (AES).
Definicin de la configuracin de servicios

Dispositivo > Configuracin > Servicios
La pestaa Servicios muestra secciones para Servicios y Caractersticas de servicios.
Utilice estas secciones para configurar los servicios que utiliza el cortafuegos para funcionar
de forma eficaz:
Utilice la seccin Servicios para definir la configuracin del sistema de nombre de

dominio (DNS), de los servidores de actualizacin y servidores proxy. Utilice la pestaa
NTP especfica en la seccin Servicios para configurar los ajustes del protocolo de tiempo
de red (NTP). Consulte la Tabla 9 para conocer descripciones de los campos de las
opciones disponibles en la seccin Servicios.
Utilice la seccin Caractersticas de servicios para seleccionar o personalizar una configuracin de ruta de servicios. Especifique el modo en que el cortafuegos se comunicar
con otros servidores/dispositivos para la comunicacin de servicios, como DNS, correo
electrnico, actualizaciones de Palo Alto y NTP. Haga clic en Configuracin de ruta de
servicios en los ajustes de Caractersticas de servicios para seleccionar una de las opciones
descritas en Tabla 10.
Palo Alto Networks
Tabla 9. Configuracin de servicios

Funcin
Descripcin
Servicios
DNS
Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las
consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos
de direccin FQDN, logs y la gestin de dispositivos. Las opciones incluyen
las siguientes:
Servidores DNS principal y secundario para la resolucin de nombres
de dominio
Proxy de DNS configurado en el cortafuegos
Servidor DNS
principal
Introduzca la direccin IP del servidor DNS primario. El servidor se utiliza

para las consultas de DNS del cortafuegos; por ejemplo, para buscar el
servidor de actualizaciones, para resolver entradas de DNS en logs o para
objetos de direccin basados en FDQN.
Servidor de DNS
secundario
Introduzca la direccin IP de un servidor DNS secundario que deber

utilizarse si el servidor principal no est disponible (opcional).
Actualizar servidor
Este ajuste representa la direccin IP o el nombre de host del servidor

utilizado para descargar actualizaciones de Palo Alto Networks. El valor
actual es updates.paloaltonetworks.com. No cambie el nombre del servidor
a menos que se lo indique la asistencia tcnica.
Verificar identidad
del servidor de
actualizacin
Si se habilita esta opcin, el cortafuegos o Panorama verificarn que el

servidor desde el que se descarga el software o el paquete de contenidos
cuenta con un certificado SSL firmado por una autoridad fiable. Esta opcin
aade un nivel de seguridad adicional para la comunicacin entre el servidor
del cortafuegos/Panorama y el servidor de actualizacin.
Seccin Servidor proxy

Servidor
Si el dispositivo necesita utilizar un servidor proxy para acceder a los

servicios de actualizacin de Palo Alto Networks, introduzca la direccin
IP o el nombre de host del servidor.
Puerto
Introduzca el puerto para el servidor proxy.
Usuario
Introduzca el nombre de usuario para acceder al servidor.
Contrasea/
Confirmar
contrasea
Introduzca y confirme la contrasea para que el usuario acceda al servidor

proxy.
Palo Alto Networks
Tabla 9. Configuracin de servicios (Continuacin)

Funcin
Descripcin
NTP
Direccin de
servidor NTP
Introduzca la direccin IP o el nombre de host del servidor NTP que dese

usar para sincronizar el reloj del cortafuegos. De forma optativa, introduzca
la direccin IP o nombre de host de un segundo servidor NTP con el que
sincronizar el reloj del cortafuegos si el servidor primario no est disponible.
Puede activar el cortafuegos para autenticar las actualizaciones de hora
desde un servidor NTP. Para cada servidor NTP, seleccione el tipo de
autenticacin que debe utilizar el cortafuegos:
Ninguno: Seleccione esta opcin para desactivar la autenticacin del NTP
(predeterminado).
Tipo de
autenticacin
Clave simtrica: Seleccione esta opcin para que el cortafuegos utilice

intercambio de clave simtrica (secretos compartidos) para autenticar
las actualizaciones temporales del servidor NTP. Si selecciona la clave
simtrica, contine introduciendo los siguientes campos:
ID de clave: Introduzca el ID de clave (1- 65534).
Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticacin del NTP (MD5 o SHA1).
Clave de autenticacin/Confirmar clave de autenticacin: Introduzca
y confirme la clave de autenticacin del algoritmo de autenticacin.
Clave automtica: Seleccione esta opcin para que el cortafuegos utilice la
clave automtica (criptografa de clave pblica) para autenticar las actualizaciones de hora del servidor NTP.
Tabla 10. Caractersticas de servicios

Funcin:
Descripcin
Configuracin de ruta de servicios

Utilizar interfaz de
gestin para todos
Esta opcin forzar todas las comunicaciones de servicios de cortafuegos con

servidores externos a travs de la interfaz de gestin (MGT). Si se selecciona
esta opcin, deber configurar la interfaz de gestin para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan
servicios. Para configurar la interfaz de gestin, desplcese hasta la pestaa
Dispositivo > Configuracin > Gestin y edite la seccin Configuracin de
interfaz de gestin.
Palo Alto Networks
Tabla 10. Caractersticas de servicios (Continuacin)

Funcin:
Descripcin
Personalizar
Seleccione esta opcin para configurar un control detallado de la comunicacin del servicio utilizando una interfaz de origen y direccin IP especficas.
Por ejemplo, puede configurar una IP/interfaz de origen especfica para toda
la comunicacin por correo electrnico entre el cortafuegos y un servidor
de correo electrnico y utilizar una interfaz/IP de origen diferente para las
actualizaciones de Palo Alto.
IPv4/IPv6: En las pestaas IPv4 o IPv6, seleccione en la lista desplegable
de servicios disponibles la interfaz de origen y la direccin de origen.
La direccin de origen muestra la direccin IPv4 o IPv6 asignada a la
interfaz seleccionada; la direccin IP seleccionada ser el origen del trfico
de servicios. No tiene que definir la direccin de destino, ya que el destino
se configura al configurar el servicio en cuestin. Por ejemplo, cuando
defina sus servidores DNS en la pestaa Dispositivo > Configuracin >
Servicios, dicha accin establecer el destino de las consultas de DNS.
Destino: Puede definir la interfaz y la direccin de origen que utilizar el
servicio que desea enviar, pero que no aparece en la columna Servicio,
Los servicios no enumerados incluyen elementos como Kerberos, LDAP y
comunicaciones de recopilador de logs de Panorama. No necesita introducir
la subred de la direccin de destino.
En entornos multiempresa, se exigirn rutas de servicios basadas en IP de
destino, mientras que los servicios comunes requerirn una direccin de
origen diferente. Por ejemplo, si dos empresas necesitan utilizar RADIUS.
Es importante que las rutas y polticas se establezcan correctamente para la
interfaz que se utilizar para enviar el servicio. Por ejemplo, si desea enviar
solicitudes de autenticacin de Kerberos en una interfaz que no sea el
puerto de gestin (MGT), deber configurar IP Destino y Direccin de
origen en la seccin de la derecha de la ventana Configuracin de ruta de
servicios, ya que Kerberos no se enumera en la columna Servicio predeterminada. Por ejemplo, puede tener la direccin IP de origen 192.168.2.1 en
Ethernet1/3 y, a continuacin, el destino 10.0.0.240 para un servidor
Kerberos. Deber aadir Ethernet1/3 a un enrutador virtual existente con
una ruta predeterminada. Asimismo, puede crear un nuevo enrutador
virtual desde Red > Enrutadores virtuales y aadir las rutas estticas que
sea necesario. Esto garantizar que todo el trfico de la interfaz se enviar
a travs del enrutador virtual para llegar a sus correspondientes destinos.
En este caso, la direccin de destino es 10.0.0.240 y la interfaz Ethernet1/3
tiene la IP de origen 192.168.2.1/24.
El resultado de la CLI para IP Destino y Direccin de origen tendra el
siguiente aspecto:
PA-200-Test# show route
destination {
10.0.0.240 {
source address 192.168.2.1/24
}
Con esta configuracin, todo el trfico de la interfaz Ethernet1/3 utilizar
la ruta predeterminada definida en el enrutador virtual y se enviar a
10.0.0.240.
Palo Alto Networks
Definicin de la configuracin de ID de contenido (content-id)

Dispositivo > Configuracin > ID de contenido
Utilice la pestaa ID de contenido (Content-ID) para definir la configuracin del filtrado de
URL, la proteccin de datos y las pginas contenedoras.
Tabla 11. Configuracin de inspeccin de contenidos (Content-ID)

Funcin
Descripcin
Filtrado de URL
Tiempo de espera de
cach de URL dinmica
Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor
se utiliza en el filtrado de URL dinmica para determinar la cantidad de
tiempo que una entrada permanece en la cach despus de ser devuelta
por el servicio de filtrado de URL. Esta opcin nicamente es aplicable
al filtrado de URL que utilice la base de datos de BrightCloud. Si desea
ms informacin sobre el filtrado de URL, consulte Perfiles de filtrado
de URL.
Tiempo de espera de
cach de URL dinmica
Especifique el intervalo que transcurre desde una accin de continuacin

por parte del usuario hasta el momento en que el usuario debe volver a
pulsar el botn de continuacin para las URL de la misma categora
(rango: 1-86.400 minutos; valor predeterminado: 15 minutos).
Tiempo de espera
de cancelacin de
administrador de URL
Especifique el intervalo que transcurre desde que el usuario introduce

la contrasea de cancelacin de administrador hasta que el usuario
debe volver a introducir la contrasea de cancelacin de administrador
para las URL de la misma categora (rango: 1-86.400 minutos; valor
predeterminado: 900 minutos).
Tiempo de espera de
bloqueo de administrador de URL
Especifique el perodo de tiempo que un usuario est bloqueado y

no puede utilizar la contrasea de cancelacin de administrador de
URL despus de tres intentos incorrectos (1-86.400 minutos; valor
predeterminado: 1.800 minutos).
x-forwarded-for
Incluya el encabezado x-forwarded-for que contiene la direccin IP de

origen. Cuando se selecciona esta opcin, el cortafuegos examina los
encabezados HTTP en busca del encabezado x-forwarded-for, que un
proxy puede utilizar para almacenar la direccin IP de origen del usuario
original.
El sistema toma el valor e introduce Src: x.x.x.x en el campo Usuario de
origen de los logs de URL (donde x.x.x.x es la direccin IP leda en el
encabezado).
Quitar x-forwarded-for
Elimine el encabezado x-forwarded-for que contiene la direccin IP de

origen. Cuando esta opcin est seleccionada, el cortafuegos borra el
valor del encabezado antes de reenviar la solicitud y los paquetes
reenviados no contienen informacin de IP de origen interna.
Permitir reenvo de
contenido descifrado
Seleccione la casilla de verificacin para permitir que el cortafuegos

reenve contenido descifrado a un servicio externo. Por ejemplo, cuando
se establece esta opcin, el cortafuegos puede enviar contenido descifrado
a WildFire para su anlisis. En el caso de configuraciones de VSYS
mltiple, esta opcin depende de VSYS.
Palo Alto Networks
Tabla 11. Configuracin de inspeccin de contenidos (Content-ID) (Continuacin)

Funcin
Descripcin
Cancelacin de administrador de URL

Configuracin de
la cancelacin de
administrador de URL
Especifique la configuracin que se utiliza cuando se bloquea una pgina

con el perfil de filtrado de URL y se especifica la accin Cancelar.
Consulte Perfiles de filtrado de URL.
Haga clic en Aadir y configure los siguientes ajustes para todos los
sistemas virtuales en los que desee configurar una cancelacin de
administrador de URL.
Ubicacin: Seleccione el sistema virtual en la lista desplegable
(nicamente dispositivos de VSYS mltiple).
Contrasea/Confirmar contrasea: Introduzca la contrasea que el
usuario debe introducir para cancelar la pgina de bloque.
Certificado de servidor: Seleccione el certificado de servidor que se
utilizar con comunicaciones SSL al redirigir a travs del servidor
especificado.
Modo: Determina si la pgina de bloque se entrega de manera transparente (parece originarse en el sitio web bloqueado) o se redirige al
usuario al servidor especificado. Si selecciona Redirigir, introduzca la
direccin IP para el redireccionamiento.
Haga clic en
Gestionar proteccin
de datos
para eliminar una entrada.
Aumente la proteccin para acceder a logs que puedan incluir

informacin confidencial, como nmeros de tarjetas de crdito o
nmeros de la Seguridad Social.
Haga clic en Gestionar proteccin de datos y configure lo siguiente:
Para establecer una nueva contrasea si todava no se ha establecido
una, haga clic en Establecer contrasea. Introduzca y confirme la
contrasea.
Para cambiar la contrasea, haga clic en Cambiar contrasea.
Introduzca la contrasea anterior y, a continuacin, introduzca y
confirme la nueva contrasea.
Para eliminar la contrasea y los datos que se han protegido, haga clic
en Eliminar contrasea.
Pginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain
y text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida, se
utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de contenido
asociados a un sistema virtual, se utilizar la lista predeterminada de
tipos de contenido.
Configuracin de ID de contenidos
Longitud de captura de
paquetes extendida
Palo Alto Networks
Establezca el nmero de paquetes que se deben capturar cuando la

opcin de captura extendida se habilita en perfiles de antispyware y
vulnerabilidad. El rango es 1-50 y el valor predeterminado es 5.
Configuracin de ajustes de WildFire

Dispositivo > Configuracin > WildFire
Utilice la pestaa WildFire para configurar los ajustes de WildFire en el cortafuegos.
Estos ajustes determinarn si los archivos se enviarn a la nube de WildFire o al dispositivo
WildFire. Tambin puede establecer los lmites de tamao de archivo y la informacin de
sesin sobre la que se informar.
Para reenviar contenido descifrado a WildFire, deber seleccionar la casilla de
verificacin Permitir reenvo de contenido descifrado del cuadro Configuracin
de Dispositivo > Configuracin > ID de contenido > Filtrado de URL.
Tabla 12. Ajustes de WildFire en el cortafuegos

Campo
Descripcin
Configuracin general
Servidor de WildFire
Especifique la direccin IP o FQDN de un dispositivo WildFire o

especifique el valor wildfire-default-cloud para utilizar la nube de
WildFire.
Los servidores de nube de WildFire disponibles cuentan de forma
predeterminada con la nube de WildFire alojada en EE. UU. y
wildfire.paloaltonetworks.jp con la nube de WildFire alojada en Japn.
Puede que desee utilizar el servidor japons si no desea que se enven
archivos benignos a los servidores de nube estadounidenses. Si se
determina que un archivo enviado a la nube de Japn es malintencionado,
este se reenviar a los servidores de EE. UU., donde se volver a analizar y
se generarn las firmas. Si se encuentra en la regin de Japn, puede que
tambin experimente una respuesta ms rpida en los envos de muestras
y la generacin de informes. Tambin se puede configurar Panorama para
la nube de Japn. En Panorama, el nombre del servidor de EE. UU. es
wildfire-public-cloud y el de japn es wildfire.paloaltonetworks.jp.
Tamao de archivo
mximo (MB)
Especifique el tamao de archivo mximo que se reenviar al servidor

WildFire. Los rangos disponibles son:
flash (Adobe Flash): 1-10 MB, 5 MB de forma predeterminada
apk (aplicaciones para Android): 1-50 MB, 10 MB de forma predeterminada
pdf (Portable Document Format) 100 KB-1000 KB, 200 KB de forma
predeterminada
jar (archivo de clase de Java empaquetado): 1-10 MB, 1 MB de forma
predeterminada
pe (Portable Executable): 1-10 MB, 2 MB de forma predeterminada
ms-office (Microsoft Office): 200 KB-10000 KB, 500 KB de forma
predeterminada
Nota: Los valores anteriores pueden variar segn la versin de PAN-OS o la
versin de contenido instalada. Para ver los intervalos vlidos, haga clic en el
campo Lmite de tamao y aparecer un mensaje emergente que mostrar el
intervalo disponible y el valor predeterminado.
Palo Alto Networks
Tabla 12. Ajustes de WildFire en el cortafuegos (Continuacin)

Campo
Descripcin
Informar de archivos
benignos
Cuando esta opcin est activada (desactivada de forma predeterminada),

los archivos analizados por WildFire indicados como benignos aparecern
en el log Supervisar > Envos de WildFire.
Nota: Incluso si esta opcin est activada en el cortafuegos, los enlaces de correo
electrnico que WildFire considera benignos no se registrarn debido a la cantidad
potencial de enlaces procesados.
Ajustes de informacin de sesin

Configuracin
Especifique la informacin que se reenviar al servidor WildFire.

De manera predeterminada, todo est seleccionado:
IP de origen: Direccin IP de origen que envi el archivo sospechoso.
Puerto de origen: Puerto de origen que envi el archivo sospechoso.
IP de destino: Direccin IP de destino del archivo sospechoso.
Puerto de destino: Puerto de destino del archivo sospechoso.
Vsys: Sistema virtual del cortafuegos que identific al posible software
malintencionado.
Aplicacin: Aplicacin de usuario que se utiliz para transmitir el
archivo.
Usuario: Usuario de destino.
URL: URL asociada al archivo sospechoso.
Nombre de archivo: Nombre del archivo que se envi.
Remitente de correo electrnico: Proporciona el nombre del remitente
en los logs de WildFire e informes de WildFire detallados cuando se
detecta un enlace de correo electrnico malicioso en el trfico del SMTP
y POP3.
Destinatario de correo electrnico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrnico malicioso en el trfico del SMTP y POP3.
Asunto de correo electrnico: Proporciona el asunto del correo electrnico en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrnico malicioso en el trfico del SMTP y POP3.
Definicin de la configuracin de sesin

Dispositivo > Configuracin > Sesin
Utilice la pestaa Sesin para configurar los tiempos de vencimiento de las sesiones,
la configuracin de certificados de descifrado y los ajustes globales relacionados con las
sesiones, como aplicar cortafuegos al trfico IPv6 y volver a hacer coincidir la poltica de
seguridad con las sesiones existentes cuando cambia la poltica. La pestaa presenta las
siguientes secciones:
Configuracin de sesin
Tiempos de espera de sesin
Ajustes de descifrado: Comprobacin de revocacin de certificado
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
Palo Alto Networks
Configuracin de sesin
Tabla 13. Configuracin de sesin
Campo
Descripcin
Reanalizar sesiones
establecidas
Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que

el cortafuegos aplique las polticas de seguridad recin configuradas a las
sesiones que ya estn en curso. Esta capacidad est habilitada de manera
predeterminada. Si este ajuste est deshabilitado, cualquier cambio de
poltica se aplica solo a las sesiones iniciadas despus de que se haya
compilado un cambio de poltica.
Por ejemplo, si se ha iniciado una sesin de Telnet mientras haba
configurada una poltica que permita Telnet y, en consecuencia, ha
compilado un cambio de poltica para denegar Telnet, el cortafuegos
aplica la poltica revisada a la sesin actual y la bloquea.
Tamao de depsito de
testigo de ICMPv6
Introduzca el tamao de depsito para la limitacin de tasa de mensajes de

error de ICMPv6. El tamao de depsito de testigo es un parmetro del
algoritmo de depsito de testigo que controla la intensidad de las rfagas
de transmisin de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).
Tasa de paquetes de
error de ICMPv6
Introduzca el nmero medio de paquetes de error de ICMPv6 por segundo

que se permiten globalmente a travs del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depsito de testigo
de ICMPv6 se utiliza para activar la limitacin de mensajes de error de
ICMPv6.
Habilitar cortafuegos
IPv6
Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y

seleccione la casilla de verificacin Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarn si IPv6 no se
habilita. Incluso si IPv6 est activado para una interfaz, el ajuste
Cortafuegos IPv6 tambin debe estar activado para que IPv6 funcione.
Trama gigante
MTU global
Seleccione esta opcin para habilitar la compatibilidad con tramas

gigantes en interfaces de Ethernet. Las tramas gigantes tienen una
unidad de transmisin mxima (MTU) de 9192 bytes y estn disponibles
en determinadas plataformas.
Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no est
especficamente configurada, estas interfaces heredarn automticamente
el tamao de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor.
Tamao mnimo de
MTU para NAT64
en IPv6
Introduzca la MTU global para el trfico IPv6 traducido. El valor

predeterminado de 1280 bytes se basa en la MTU mnima estndar
para el trfico IPv6.
Palo Alto Networks
Tabla 13. Configuracin de sesin (Continuacin)

Campo
Descripcin
Ratio de sobresuscripcin NAT
Seleccione la velocidad de sobresuscripcin NAT, es decir, el nmero de

ocasiones en las que el mismo par de direccin IP y puerto traducido
se pueden usar de forma simultnea. La reduccin de la velocidad de
sobresuscripcin disminuir el nmero de traducciones de dispositivo
origen, pero proporcionar ms capacidades de regla de NAT.
Valor predeterminado de plataforma: La configuracin explcita
de la velocidad de sobresuscripcin est desactivada; se aplica la
velocidad de sobresuscripcin predeterminada para la plataforma.
Consulte las velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
1x: 1 vez Esto significa que no existe ninguna sobresuscripcin; cada par
de direccin IP y puerto traducido se puede utilizar solo una vez en cada
ocasin.
2x: 2 veces
4x: 4 veces
8x: 8 veces
Vencimiento acelerado
Activa el vencimiento acelerado de las sesiones inactivas.

Seleccione la casilla de verificacin para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesin alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado
a los clculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces ms rpida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera ms rpido
(la mitad). Para calcular el vencimiento acelerado de la sesin, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesin)
entre el factor de escala para determinar un tiempo de espera ms corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesin que por lo
general vencera despus de 3600 segundos lo har 10 veces ms rpido
(en 1/10 del tiempo), es decir, 360 segundos.
Tiempos de espera de sesin

El tiempo de espera de una sesin define la duracin para la que PAN-OS mantiene una
sesin en el cortafuegos despus de la inactividad en esa sesin. De forma predeterminada,
cuando la sesin agota su tiempo de espera para el protocolo, PAN-OS cierra la sesin.
En el cortafuegos, puede definir un nmero de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesin. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Adems de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicacin en la pestaa Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicacin aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicacin a una aplicacin que est en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicacin anulan los tiempos de espera globales de la sesin TCP o UDP.
Palo Alto Networks
Utilice las opciones de esta seccin para configurar los ajustes de los tiempos de espera
globales: especficamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de
sesiones.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn
las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la
deteccin de errores.
Tabla 14. Tiempos de espera de sesin

Campo
Descripcin
Valor predeterminado
Tiempo mximo que una sesin que no es TCP/UDP ni ICMP se puede

abrir sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Descartar tiempo de
espera
Descartar valor
predeterminado
Descartar TCP
PAN-OS aplica el tiempo de espera de descarte cuando se deniega una

sesin debido a las polticas de seguridad configuradas en el cortafuegos.
Solo se aplica al trfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999
segundos.
Se aplica al trfico de TCP.
segundos.
Descartar UDP
Se aplica al trfico de UDP.

segundos.
ICMP
Tiempo mximo que una sesin ICMP puede permanecer abierta sin una
respuesta de ICMP.
Analizar
Tiempo mximo que cualquier sesin puede permanecer abierta despus

de ser considerada inactiva. PAN-OS considera inactiva una aplicacin
cuando supera el umbral de generacin definido para la misma.
TCP
Tiempo mximo que una sesin TCP permanece abierta sin una respuesta
despus de que una sesin TCP active el estado Establecido (despus de
que se complete el protocolo o la transmisin de datos haya comenzado).
segundos.
Protocolo de enlace
TCP
Tiempo mximo entre la recepcin de SYN-ACK y la siguiente ACK para

establecer completamente la sesin.
Inicializacin de TCP
Tiempo mximo entre la recepcin de SYN y SYN-ACK antes de iniciar el

temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; el intervalo es 1-60 segundos
TCP semicerrado
Tiempo mximo entre la recepcin del primer FIN y la recepcin del

segundo FIN o RST.
Palo Alto Networks
Tabla 14. Tiempos de espera de sesin (Continuacin)

Campo
Descripcin
Tiempo de espera TCP
Tiempo mximo despus de recibir el segundo FIN o RST.

RST sin verificar
Tiempo mximo despus de recibir un RST que no se puede verificar

(el RST est dentro de la ventana TCP pero tiene un nmero de secuencia
inesperado o el RST procede de una ruta asimtrica).
UDP
Tiempo mximo que una sesin UDP permanece abierta sin una respuesta
de UDP.
Portal cautivo
Tiempo de espera de la sesin de autenticacin para el formato web

del portal cautivo. Para acceder al contenido solicitado, el usuario debe
introducir las credenciales de autenticacin en este formato y autenticarse
correctamente.
Para definir otros tiempos de espera del portal cautivo, como el temporizador de inactividad y el tiempo que debe pasar para volver a autenticar
al usuario, utilice la pestaa Dispositivo > Identificacin de usuario >
Configuracin de portal cautivo. Consulte Pestaa Configuracin de
portal cautivo.
Ajustes de descifrado: Comprobacin de revocacin de certificado

En la pestaa Sesin, seccin Ajustes de descifrado, seleccione Comprobacin de revocacin
de certificado para establecer los parmetros descritos en la siguiente tabla.
Tabla 15. Caractersticas de sesin: Comprobacin de revocacin de certificado

Campo
Descripcin
Habilitar: CRL
Seleccione esta casilla de verificacin para utilizar el mtodo de la lista de

revocacin de certificados (CRL) y verificar el estado de revocacin de los
certificados.
Si tambin activa el protocolo de estado de certificado en lnea (OCSP), el
cortafuegos primero prueba con l; si el servidor OCSP no est disponible,
entonces el cortafuegos intenta utilizar el mtodo CRL.
Para obtener ms informacin sobre los certificados de descifrado, consulte
Polticas de descifrado.
Tiempo de espera de
recepcin: CRL
Si ha activado el mtodo CLR para verificar el estado de revocacin

de certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) despus del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.
Habilitar: OCSP
Seleccione la casilla de verificacin para utilizar OCSP y verificar el estado

de revocacin de los certificados.
Tiempo de espera de
recepcin: OCSP
Si ha activado el mtodo OCSP para verificar el estado de revocacin

de certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) despus del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.
Palo Alto Networks
Tabla 15. Caractersticas de sesin: Comprobacin de revocacin de certificado (ContiCampo
Descripcin
Bloquear sesin con

estado de certificado
desconocido
Seleccione la casilla de verificacin para bloquear sesiones SSL/TLS

cuando el servicio OCSP o CRL devuelva un estado de revocacin de
certificados desconocido. De lo contrario, el cortafuegos continuar con
la sesin.
Bloquear sesin al
agotar el tiempo
de espera de
comprobacin de
estado de certificado
Seleccione la casilla de verificacin para bloquear sesiones SSL/TLS

despus de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuar con la sesin.
Tiempo de espera del

estado del certificado
Especifique el intervalo en segundos (1-60 segundos, 5 de forma

predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lgica de bloqueo
de sesin que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepcin de OCSP/
CRL de la manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo
de espera de solicitud despus de que pase el menor de dos intervalos:
el valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de CRL.
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy

En la pestaa Sesin, seccin Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamao de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvo SSL/TLS. La siguiente tabla describe los parmetros.
Palo Alto Networks
Tabla 16. Caractersticas de sesin: Reenviar los ajustes de certificados del servidor proxy
Campo
Descripcin
Definido por el host

de destino
Seleccione esta opcin si desea que PAN-OS genere certificados basados en

la clave que utiliza el servidor de destino.
Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS
genera un certificado con ese tamao de clave y un algoritmo de hash
SHA-1.
Si el servidor de destino utiliza un tamao de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.
RSA de 1024 bits
Seleccione esta opcin si desea que PAN-OS genere certificados que

utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamao de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificacin pblicas
(CA) y navegadores ms populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
segn su configuracin de seguridad, cuando el navegador presente
dichas claves, el usuario podra recibir un aviso o se podra bloquear
completamente la sesin SSL/TLS.
RSA de 2048 bits
Seleccione esta opcin si desea que PAN-OS genere certificados que

utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamao de clave que utiliza el servidor de
destino. Las CA pblicas y los navegadores ms populares admiten
claves de 2048 bits, que proporcionan ms seguridad que las claves de
1024 bits.
Comparacin de archivos de configuracin

Dispositivo > Auditora de configuraciones
Puede ver y comparar archivos de configuracin utilizando la pgina Auditora de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el nmero de lneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente
ilustracin.
La pgina tambin incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuracin consecutivas. Haga clic en
para cambiar las configuraciones que se estn comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se estn
comparando por el conjunto siguiente de configuraciones guardadas.
Palo Alto Networks
Ilustracin 1. Comparacin de configuraciones
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.
Instalacin de una licencia

Dispositivo > Licencias
Al adquirir una suscripcin de Palo Alto Networks, recibir un cdigo de autorizacin para
activar una o ms claves de licencia.
Las siguientes acciones estn disponibles en la pgina Licencias:
Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones

adquiridas que requieren un cdigo de autorizacin y que se han activado en el portal de
asistencia tcnica, haga clic en Recuperar claves de licencia del servidor de licencias.
Activar caracterstica mediante cdigo de autorizacin: Para habilitar suscripciones

adquiridas que requieren un cdigo de autorizacin y que no se han activado
anteriormente en el portal de asistencia tcnica, haga clic en Activar caracterstica
mediante cdigo de autorizacin. Introduzca su cdigo de autorizacin y haga clic
en ACEPTAR.
Palo Alto Networks
Clave de licencia de carga manual: Si el cortafuegos no tiene conexin con el servidor de

licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:
a. Descargue el archivo de clave de licencia en http://support.paloaltonetworks.com y

gurdelo localmente.
b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PANDB for URL Filtering), tendr que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuacin, hacer clic en Activar.
Tambin puede ejecutar el comando de CLI "request url-filtering download
paloaltonetworks region <region name>".
Si vence la suscripcin de prevencin de amenazas en el cortafuegos, ocurrir lo siguiente:
Una entrada de log aparecer en el log del sistema indicando que se ha cancelado la
suscripcin.
Todas las funciones de prevencin de amenazas continuarn funcionado con las firmas
que se instalaron en el momento en que caduc la licencia.
Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
vlida. De igual forma, la capacidad de restablecimiento a una versin anterior de las
firmas no es compatible si la licencia ha caducado.
Las firmas de App-ID personalizadas continuarn funcionando y se pueden modificar.
La licencia de derechos de soporte tcnico no est vinculada a la suscripcin de la prevencin

de amenazas. Si la licencia de soporte caduca, la prevencin de amenazas y sus
actualizaciones continuarn funcionando normalmente. Si los derechos de soporte caducan,
las actualizaciones de software del sistema dejarn de funcionar. Deber renovar su licencia
para continuar teniendo acceso a las actualizaciones de software e interactuar con el grupo
de soporte tcnico. Pngase en contacto con el equipo de operaciones y ventas de Palo Alto
Networks para obtener informacin sobre cmo renovar sus licencias o suscripciones.
Definicin de orgenes de informacin de VM

Dispositivo > Orgenes de informacin de VM
Utilice esta pestaa para registrar cambios activamente en las mquinas virtuales (VM)
implementadas en cualquier de estos orgenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orgenes de informacin de VM.
Palo Alto Networks
El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de

VMware y los entornos AWS-VPC, as como y recuperar cambios conforme realiza
el abastecimiento o modifica los invitados en estos orgenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orgenes.
Si sus cortafuegos estn configurados con alta disponibilidad:
En una configuracin activa/pasiva, solo el cortafuegos activo supervisa los orgenes
de la informacin de la mquina virtual.
En una configuracin activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orgenes de la mquina virtual.
Para obtener informacin sobre cmo funcionan de forma sincronizada los orgenes de
informacin de la VM y los grupos de direcciones dinmicas, y poder supervisar los
cambios en el el entorno virtual, consulte la Gua de implementacin de la serie VM.
Para la direccin IP de la identificacin de usuario, puede configurar los orgenes de

la informacin de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme
realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orgenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecucin. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.
Palo Alto Networks
Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos.
Atributos supervisados en un origen de VMware
Atributos supervisados en el AWS-VPC
UUID
Arquitectura
Nombre
Sistema operativo invitado
Sistema operativo invitado
ID de imagen
Estado de mquina virtual: el estado de

alimentacin es apagado, encendido, en
espera y desconocido.
ID de instancia
Estado de instancia
Anotacin
Tipo de instancia
Versin
Nombre de clave
Red: nombre del conmutador virtual, nombre

del grupo de puerto e ID de VLAN
Colocacin: arrendamiento, nombre de

grupo, zona de disponibilidad
Nombre del contenedor: nombre de vCenter,

nombre del objeto del centro de datos, nombre
del grupo de recursos, nombre del clster, host,
direccin IP del host.
Nombre de DNS privado
Nombre de DNS pblico
ID de subred
Etiqueta (clave, valor) (se admiten hasta

5 etiquetas por instancia)
ID de VPC
Aadir: para aadir un nuevo origen para la supervisin de VM, haga clic en Aadir y, a
continuacin, complete los detalles basados en el origen que se est supervisando:
Para el servidor ESXi de VMware o vCenter, consulte Activacin de los orgenes de

informacin de la VM para los servidores ESXi de VMware o vCenter.
Para AWS-VPC, consulte Activacin de los orgenes de informacin de la VM para

AWS VPC.
Actualizar conectados: Haga clic para actualizar el estado de la conexin; se actualiza la

visualizacin en pantalla. Este botn no actualiza la conexin entre el cortafuegos y los
orgenes supervisados.
Eliminar: Seleccione un origen de informacin de mquina virtual configurado y haga clic
para eliminar el origen configurado.
Palo Alto Networks
Tabla 17. Activacin de los orgenes de informacin de la VM para los servidores

ESXi de VMware o vCenter
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el origen supervisado (de hasta 31

caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.
Tipo
Seleccione si el host/origen que se est supervisando es un servidor ESXi

o vCenter.
Descripcin
(Optativo) Aada una etiqueta para identificar la ubicacin o funcin

del origen.
Puerto
Especifique el puerto en el que est escuchando el host/origen.

(puerto predeterminado 443).
Habilitado
De forma predeterminada, la comunicacin entre el cortafuegos y el

origen configurado est activada.
El estado de conexin entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:
Conectado
Desconectado
Pendiente; el estado de la conexin tambin aparece en amarillo

cuando se deshabilita el origen supervisado.
Quite la marca de la casilla de verificacin correspondiente para

deshabilitar la comunicacin entre el host y el cortafuegos.
Tiempo de espera
Introduzca el intervalo en horas despus del cual se cierra la conexin al

origen supervisado, si el host no responde. (de forma predeterminada:
2 horas, rango de 2-10 horas)
(Optativo) Para cambiar el valor predeterminado, seleccione la casilla
de verificacin Habilitar el tiempo de espera cuando el origen est
desconectado y especifique el valor. Cuando se alcanza el lmite
especificado o si no se puede acceder al host o este no responde, el
cortafuegos cerrar la conexin al origen.
IP Origen
Introduzca el FQDN o la direccin IP del host/origen que se est

supervisando.
Nombre de usuario
Especifique el nombre de usuario necesario para autenticar para el origen.
Contrasea
Introduzca la contrasea y confirme la entrada.
Intervalo de
actualizacin
Especifique el intervalo en el que el cortafuegos recupera informacin

del origen. (de forma predeterminada, 5 segundos, el rango es de
5-600 segundos)
Palo Alto Networks
Tabla 18. Activacin de los orgenes de informacin de la VM para AWS VPC

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el origen supervisado (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.
Tipo
Seleccione VPC de AWS.
Descripcin
(Optativo) Aada una etiqueta para identificar la ubicacin o funcin

del origen.
Habilitado
De forma predeterminada, la comunicacin entre el cortafuegos y el

origen configurado est activada.
El estado de conexin entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:
Conectado
Desconectado
Pendiente; El estado de la conexin tambin aparece en

amarillo cuando se deshabilita el origen supervisado.
Quite la marca de la casilla de verificacin correspondiente para

deshabilitar la comunicacin entre el host y el cortafuegos.
IP Origen
Aada la URI en la que reside la Virtual Private Cloud. Por ejemplo,

ec2.us-west-1.amazonaws.com.
La sintaxis es: ec2.<su_regin_AWS>.amazonaws.com
Introduzca la cadena de texto alfanumrico que identifica de forma
exclusiva al usuario propietario o con autorizacin de acceso a la cuenta
de AWS.
ID de clave de acceso
Esta informacin es una parte de las credenciales de seguridad de AWS.

El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de
acceso secreto) para firmar digitalmente las llamadas de API realizadas a
los servicios de AWS.
Clave de acceso secreto
Introduzca la contrasea y confirme la entrada.
Intervalo de actualizacin
Especifique el intervalo en el que el cortafuegos recupera informacin

del origen. (de forma predeterminada, 60 segundos, el rango es de
60-1200 segundos)
Tiempo de espera
Intervalo en horas despus del cual se cierra la conexin al origen

supervisado, si el host no responde. (valor predeterminado 2 horas)
(Optativo) Seleccione la casilla de verificacin Habilitar el tiempo de
espera cuando el origen est desconectado. Cuando se alcanza el lmite
especificado o si no se puede acceder al origen o este no responde, el
cortafuegos cerrar la conexin al origen.
ID de VPC
Introduzca el ID del AWS-VPC para supervisar, por ejemplo, vpc1a2b3c4d. Solo se supervisan las instancias de EC2 implementadas en
este VPC.
Si su cuenta se configura para usar un VPC predeterminado, el ID del
VPC predeterminado aparecer en los atributos de cuenta de AWS.
Palo Alto Networks
Instalacin de software
Dispositivo > Software
Utilice esta pgina para instalar una versin del software: vea las versiones disponibles,
seleccione la versin que desea descargar e instalar (se necesita una licencia de asistencia
tcnica), acceda y lea las notas de la versin concreta y actualice o desactualice la versin.
Siga estas recomendaciones antes de actualizar o desactualizar la versin de software:
Lea las notas de la versin para ver una descripcin de los cambios de una versin y la
ruta de migracin para instalar el software.
Realice una copia de seguridad de su configuracin actual, ya que una versin con
caractersticas puede migrar determinadas configuraciones para admitir nuevas
caractersticas. (Haga clic en la pestaa Dispositivo > Configuracin > Operaciones y
seleccione Exportar instantnea de configuracin con nombre, seleccione runningconfig.xml y, a continuacin, haga clic en ACEPTAR para guardar el archivo de
configuracin en su ordenador.)
Cuando realice una desactualizacin, se recomienda que lo haga a una configuracin que
coincida con la versin del software.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 4.1. o
5.0 a 6.0), puede que se migre la configuracin para admitir nuevas caractersticas. Si est
habilitada la sincronizacin de sesiones, las sesiones no se sincronizarn si un dispositivo
del clster tiene una versin con caractersticas de PAN-OS diferente.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del cortafuegos no est actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
En la siguiente tabla se proporciona ayuda para utilizar esta pantalla.
Tabla 19. Opciones de software

Campo
Descripcin
Versin
Muestra las versiones de software que estn disponibles actualmente en

el servidor de actualizaciones de Palo Alto Networks. Para comprobar si
hay una nueva versin de software disponible en Palo Alto Networks,
haga clic en Comprobar ahora. El cortafuegos utiliza la ruta del servicios
para conectar al servidor de actualizaciones y comprueba la existencia
de nuevas versiones. Si hay actualizaciones disponibles, las muestra al
principio de la lista.
Tamao
Tamao de la imagen del software.
Fecha de versin
Fecha y hora en la que Palo Alto Networks public la versin.
Descargado
Una marca de verificacin en esta columna indica que se ha descargado la

versin correspondiente de la imagen de software en el cortafuegos.
Instalado actualmente
Una marca de verificacin en esta columna indica que se ha activado o se

est ejecutando actualmente la versin correspondiente de la imagen de
software en el cortafuegos.
Palo Alto Networks
Tabla 19. Opciones de software (Continuacin)

Campo
Descripcin
Accin
Indica la accin actual que puede realizar para la imagen de software

correspondiente de la siguiente forma:
Descargar: la versin de software correspondiente est disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en
el enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio
Actualizar software para buscar y Descargar la versin de software en
su ordenador local. A continuacin, haga clic en el botn Cargar para
cargar manualmente la imagen de software en el cortafuegos.
Instalar: Se ha descargado la versin de software correspondiente en el
cortafuegos. Haga clic en el enlace para instalar el software. Se necesita
reiniciar para completar el proceso de actualizacin.
Reinstalar: se ha instalado la versin de software correspondiente.
Para volver a instalar la misma versin, haga clic en el enlace.
Notas de versin
Proporciona un enlace a las notas de la versin de la versin

correspondiente.
Elimine la imagen de software descargada anteriormente del cortafuegos.
nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando
5.1, probablemente no necesitar las imgenes base de 5.0 y 4.0, a menos
que tenga la intencin de desactualizar el software a dichas versiones.
Palo Alto Networks
Actualizacin de definiciones de aplicaciones y amenazas

Dispositivo > Actualizaciones dinmicas
Panorama > Actualizaciones dinmicas
Palo Alto Networks publica peridicamente actualizaciones para la deteccin de aplicaciones,
proteccin frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones
dinmicas para las siguientes funciones:
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas

descubiertas por el servicio en la nube WildFire. Debe contar con una suscripcin a
prevencin de amenazas para obtener estas actualizaciones. Se publican nuevas firmas
de antivirus todos los das.
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no

requiere suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en
vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y

actualizadas. Esta actualizacin est disponible si cuenta con una suscripcin de
prevencin de amenazas (y la obtiene en lugar de la actualizacin de aplicaciones).
Todas las semanas se publican nuevas aplicaciones y amenazas.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor

para definir y evaluar los datos del perfil de informacin del host (HIP) proporcionados
por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de
GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Adems, debe
crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de

datos de filtrado de URL de BrightCloud. Debe contar con una suscripcin a BrightCloud
para obtener estas actualizaciones. Todos los das se publican nuevas actualizaciones de la
base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones
programadas no son necesarias ya que los dispositivos permanecen sincronizados con los
servidores de forma automtica.
WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real

como consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la
suscripcin, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de
la actualizacin de aplicaciones y amenazas.
WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo

real como consecuencia del anlisis realizado por un dispositivo de WildFire (WF-500).
Para recibir actualizaciones de contenido procedentes de un WF-500, el cortafuegos y
el dispositivo se deben ejecutar en PAN-OS 6.1 o superior y el cortafuegos debe estar
configurado para el uso del dispositivo de WildFire para el anlisis de enlaces de correo
electrnico/archivos.
Puede ver las actualizaciones ms recientes, leer las notas de versin de cada actualizacin y,
a continuacin, seleccionar la actualizacin que desee descargar e instalar. Tambin puede
revertir a una versin de una actualizacin instalada anteriormente.
Si est administrando sus cortafuegos con Panorama y desea programar actualizaciones dinmicas para
uno o varios cortafuegos, consulte Programacin de actualizaciones dinmicas.
Palo Alto Networks
En la siguiente tabla se proporciona ayuda para utilizar esta pgina.
Tabla 20. Opciones de las actualizaciones dinmicas

Campo
Descripcin
Versin
Muestra las versiones disponibles actualmente en el servidor de

actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva
versin de software disponible en Palo Alto Networks, haga clic en
Comprobar ahora. El cortafuegos utiliza la ruta del servicios para
conectar al servidor de actualizaciones y comprueba la existencia de
nuevas versiones. Si hay actualizaciones disponibles, las muestra al
ltima comprobacin
Muestra la fecha y hora en la que el cortafuegos se conect por ltima vez

al servidor de actualizaciones y comprob si haba alguna actualizacin
disponible.
Programacin
Le permite programar la frecuencia de recuperacin de actualizaciones.
Defina la frecuencia y el momento para la descarga de software

(da o fecha y hora), ya sea solo para la descarga de las actualizaciones o para la descarga e instalacin de estas en el cortafuegos.
Cuando programa una descarga, puede especificar el tiempo de espera
antes de la actualizacin de contenidos, si desea retrasar la instalacin
de nuevas actualizaciones hasta que haya transcurrido un determinado
nmero de horas desde su publicacin. Para ello, introduzca el nmero
de horas que debe esperarse en el campo Umbral (Horas).
Nombre de archivo
Muestra el nombre de archivo; incluye informacin de la versin de

contenido.
Tipo
Indica si la descarga es una actualizacin completa o una actualizacin

incremental.
Tamao
Muestra el tamao de la imagen del software.
Fecha de versin
Descargado

versin correspondiente de la imagen de software en el cortafuegos.
Instalado actualmente
Una marca de verificacin en esta columna indica que se ha activado o se

est ejecutando actualmente la versin correspondiente de la imagen de
software en el cortafuegos.
Accin
Indica la accin actual que puede realizar para la imagen de software

correspondiente de la siguiente forma:
el servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Actualizar software para buscar y descargar la versin de software en
su ordenador local. A continuacin, haga clic en el botn Cargar para
cargar manualmente la imagen de software en el cortafuegos.
Instalar: Se ha descargado la versin de software correspondiente en el
cortafuegos. Haga clic en el enlace para instalar el software. Se necesita
reiniciar para completar el proceso de actualizacin.
Revertir: Anteriormente se ha descargado la versin de software
correspondiente. Para volver a instalar la misma versin, haga clic en
el enlace.
Palo Alto Networks
Tabla 20. Opciones de las actualizaciones dinmicas (Continuacin)

Campo
Descripcin
Notas de versin
Proporciona un enlace a las notas de la versin de la versin

correspondiente.
Elimine la imagen de software descargada anteriormente del cortafuegos.
nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando
5.1, probablemente no necesitar las imgenes base de 5.0 y 4.0, a menos
que tenga la intencin de desactualizar el software a dichas versiones.
Funciones, perfiles y cuentas de administrador

El cortafuegos admite las siguientes opciones para autenticar a usuarios administrativos
que intentan iniciar sesin en el cortafuegos:
Base de datos local: La informacin de inicio de sesin y contrasea de usuario se

introduce directamente en la base de datos del cortafuegos.
RADIUS: Se utilizan servidores Remote Authentication Dial In User Service (RADIUS)

existentes para autenticar a los usuarios.
LDAP: Se utilizan servidores Lightweight Directory Access Protocol (LDAP) existentes

para autenticar a los usuarios.
Kerberos: Se utilizan servidores Kerberos existentes para autenticar a los usuarios.
Certificado de cliente: Se utilizan certificados de cliente existentes para autenticar a

los usuarios.
Cuando crea una cuenta administrativa, debe especificar autenticacin local o certificado
de cliente (sin perfil de autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP,
Kerberos o autenticacin de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticacin del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta
de administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:
Para obtener instrucciones sobre cmo configurar perfiles de autenticacin, consulte

Configuracin de perfiles de autenticacin.
Para obtener instrucciones sobre cmo configurar perfiles de funciones, consulte

Definicin de funciones de administrador.
Para obtener instrucciones sobre cmo configurar cuentas, consulte Creacin de cuentas
administrativas.
Para obtener informacin sobre redes privadas virtuales (VPN) SSL, consulte
Configuracin de GlobalProtect.
Palo Alto Networks
Para obtener instrucciones sobre cmo definir dominios de sistemas virtuales para
administradores, consulte Especificacin de dominios de acceso para administradores.
Para obtener instrucciones sobre cmo definir perfiles de certificado para

administradores, consulte Creacin un perfil de certificados.
Definicin de funciones de administrador

Dispositivo > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cmo aadir cuentas de administrador, consulte Creacin
de cuentas administrativas.
Tambin hay tres funciones de administrador predefinidas que se pueden utilizar con fines de
criterios comunes. Primero utiliza la funcin Superusuario para la configuracin inicial del
dispositivo y para crear las cuentas de administrador para el administrador de seguridad,
el administrador de auditora y el administrador criptogrfico. Una vez se hayan creado las
cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas,
podr iniciar sesin utilizando esas cuentas. La cuenta Superusuario predeterminada en el
modo CC o FIPS es admin y la contrasea predeterminada es paloalto. En el modo de
funcionamiento estndar, la contrasea predeterminada de admin es admin. Las funciones
de administrador predefinidas se han creado donde las capacidades no se solapan, excepto en
que todas tienen un acceso de solo lectura a la traza de auditora (excepto el administrador de
auditora con acceso de lectura/eliminacin completo). Estas funciones de administrador no
se pueden modificar y se definen de la manera siguiente:
Administrador de auditora: El administrador de auditora es responsable de la revisin

regular de los datos de auditora del cortafuegos.
Administrador criptogrfico: El administrador criptogrfico es responsable de la

configuracin y el mantenimiento de los elementos criptogrficos relacionados con el
establecimiento de conexiones seguras con el cortafuegos.
Administrador de seguridad: El administrador de seguridad es responsable del resto de

tareas administrativas (p. ej., la creacin de la poltica de seguridad del cortafuegos) no
asumidas por las otras dos funciones administrativas.
Palo Alto Networks
Para aadir una funcin de administrador, haga clic en Aadir y especifique la siguiente
informacin.
Tabla 21. Configuracin de funciones de administrador

Campo
Descripcin
Nombre
Introduzca un nombre para identificar esta funcin de administrador

(de hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.
Descripcin
Introduzca una descripcin opcional de la funcin (de hasta 255

caracteres).
Funcin
Seleccione el mbito de responsabilidad administrativa: dispositivo o

sistema virtual (para dispositivos habilitados para sistemas virtuales
mltiples).
Interfaz de usuario web
Haga clic en los iconos de reas especificadas para indicar el tipo de

acceso permitido
para la interfaz web:
Habilitar: acceso de lectura/escritura a la pestaa seleccionada.
Solo lectura: acceso de solo lectura a la pestaa seleccionada.
Deshabilitar: sin acceso a la pestaa seleccionada.
API XML

acceso permitido
para la API XML.
Lnea de comandos
Seleccione el tipo de funcin para el acceso a la CLI:

Ninguno: El acceso a la CLI del dispositivo no est permitido.
Superusuario: El acceso al dispositivo actual es completo.
Superlector: El acceso al dispositivo actual es de solo lectura.
Deviceadmin: El acceso a un dispositivo seleccionado es completo,
excepto al definir nuevas cuentas o sistemas virtuales.
Devicereader: El acceso a un dispositivo seleccionado es de solo lectura.
Definicin de perfiles de contrasea

Dispositivo > Perfiles de contrasea y Panorama > Perfiles de contrasea
Los perfiles de contrasea le permiten establecer requisitos de contrasea bsicos para
una cuenta local individual. Si habilita Complejidad de contrasea mnima (consulte
Complejidad de contrasea mnima), que proporciona requisitos de contrasea para
todas las cuentas locales, este perfil de contrasea cancelar esos ajustes.
Palo Alto Networks
Para crear un perfil de contrasea, haga clic en Aadir y especifique la siguiente informacin.
Tabla 22. Configuracin de perfil de contrasea

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil de contrasea (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Perodo necesario
para el cambio de
contrasea (das)
Perodo de
advertencia de
vencimiento (das)
Exija que los administradores cambien su contrasea con la regularidad

especificada por el nmero de das establecido, de 0 a 365 das. Por ejemplo,
si el valor se establece como 90, se pedir a los administradores que cambien
su contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das y
especificar un perodo de gracia.
Si se establece un perodo necesario para el cambio de contrasea, este ajuste
puede utilizarse para pedir al usuario que cambie su contrasea cada vez
que inicie sesin a medida que se acerque la fecha obligatoria de cambio de
contrasea (rango: 0-30 das).
Recuento de inicio
de sesin de
administrador
posterior al
vencimiento
Permita que el administrador inicie sesin el nmero de veces especificado

despus de que su cuenta haya vencido. Por ejemplo, si el valor se ha
establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3 veces
ms antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).
Perodo de gracia
posterior al
vencimiento (das)
Permita que el administrador inicie sesin el nmero de das especificado

despus de que su cuenta haya vencido (rango: 0-30 das).
Para aplicar un perfil de contrasea a una cuenta, seleccione Dispositivo > Administradores
(para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuacin,
seleccione el perfil en la lista desplegable Perfil de la contrasea.
Palo Alto Networks
Requisitos de nombre de usuario y contrasea

La tabla siguiente enumera los caracteres vlidos que se pueden utilizar en nombres de
usuario y contraseas para cuentas de PAN-OS y Panorama.
Tabla 23. Caracteres vlidos para nombres de usuario y contraseas

Tipo de cuenta
Restricciones
Conjunto de caracteres de
contrasea
No hay ninguna restriccin en los conjuntos de caracteres de los campos

de contrasea.
Administrador remoto, VPN

SSL o portal cautivo
Los siguientes caracteres no estn permitidos para el nombre de usuario:

Acento grave (`)
Corchetes angulares (< y >)
Y comercial (&)
Asterisco (*)
Arroba (@)
Signos de interrogacin ( y ?)
Barra vertical (|)
Comilla simple ()
Punto y coma (;)
Comillas ( y )
Signo del dlar ($)
Parntesis (( y ))
Dos puntos (:)
Cuentas de administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario locales:
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Nota: Los nombres de inicio de sesin no pueden empezar por guin (-).
Creacin de cuentas administrativas

Dispositivo > Administradores
Panorama > Administradores
Las cuentas de administrador controlan el acceso a los dispositivos. Un administrador de
cortafuegos (Dispositivo > Administradores) puede tener acceso completo o de solo lectura a
un nico cortafuegos o a un sistema virtual en un nico cortafuegos. Un administrador de
Panorama (Panorama > Administradores) puede tener acceso completo o de solo lectura a
Panorama y a todos los cortafuegos que gestiona. Para obtener ms informacin especfica de
Panorama, consulte Creacin de cuentas administrativas de Panorama. Tanto Panorama
como los cortafuegos individuales tienen una cuenta de administrador predefinida con acceso
completo.
Palo Alto Networks
Se admiten las siguientes opciones de autenticacin:
Autenticacin con contrasea: El administrador introduce un nombre de usuario y una

contrasea para iniciar sesin. No se necesitan certificados. Puede utilizar este mtodo
junto con los perfiles de autenticacin o para la autenticacin de base de datos local.
Autenticacin con certificado de cliente (web): Esta autenticacin no necesita nombre de

usuario o contrasea; el certificado ser suficiente para autenticar el acceso al dispositivo.
Autenticacin con clave pblica (SSH): El administrador genera un par de claves

pblica y privada en la mquina que requiere acceso al dispositivo y, a continuacin,
carga la clave pblica en el dispositivo para permitir un acceso seguro sin exigir que el
administrador introduzca un nombre de usuario y una contrasea.
Para garantizar la seguridad de la interfaz de gestin del dispositivo, se recomienda cambiar

peridicamente las contraseas administrativas utilizando una mezcla de minsculas, maysculas
y nmeros. Tambin puede aplicar Complejidad de contrasea mnima desde Configuracin >
Gestin.
Para aadir un administrador, haga clic en Aadir y especifique la siguiente informacin.
Tabla 24.
Configuracin de cuentas de administrador
Campo
Descripcin
Nombre
Introduzca un nombre de inicio de sesin para el administrador (de

hasta 15 caracteres). El nombre hace distincin entre maysculas y
guiones, puntos y guiones bajos.
Los nombres de inicio de sesin no pueden empezar por guin (-).

Seleccione un perfil de autenticacin para la autenticacin del

administrador. Este ajuste se puede utilizar para RADIUS, LDAP,
Kerberos o la autenticacin de base de datos local.
Si desea informacin ms detallada, consulte Configuracin de
perfiles de autenticacin.
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Seleccione la casilla de verificacin para utilizar la autenticacin

con certificado de cliente para el acceso web. Si selecciona esta
casilla de verificacin, no es necesario ni el nombre de usuario ni
la contrasea; el certificado es suficiente para autenticar el acceso
al dispositivo.
Nueva contrasea
Confirmar nueva contrasea
Introduzca y confirme una contrasea que haga distincin entre

maysculas y minsculas para el administrador (de hasta 15
caracteres). Tambin puede aplicar Contrasea mnima desde
Configuracin > Gestin.

Utilizar autenticacin de clave
pblica (SSH)
Seleccione la casilla de verificacin para utilizar la autenticacin

con clave pblica SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pblica. La clave cargada se muestra
en el rea de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits)
y RSA (768-4096 bits).
Nota: Si falla la autenticacin con clave pblica, se mostrar un mensaje
de nombre de usuario y contrasea para el administrador.
Palo Alto Networks
Tabla 24.
Configuracin de cuentas de administrador (Continuacin)
Campo
Descripcin
Funcin
Asigne una funcin a este administrador. La funcin determina lo

que el administrador puede ver y modificar.
Si elige Basado en funcin, seleccione un perfil de funcin
personalizado en la lista desplegable. Si desea informacin ms
detallada, consulte Definicin de funciones de administrador o
Definicin de funciones de administrador de Panorama.
Si selecciona la opcin de dinmica, las funciones preconfigurados
que puede seleccionar en la lista desplegable dependern de la
plataforma:
Cortafuegos:
Superusuario: El acceso al cortafuegos actual es completo.
Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual.
Administrador de dispositivo: El acceso a un cortafuegos
seleccionado es completo, excepto al definir nuevas cuentas
o sistemas virtuales.
Administrador de dispositivo (solo lectura): El acceso a un
cortafuegos seleccionado es de solo lectura.
Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos especfico (si hay varios sistemas
virtuales habilitados) es completo.
Administrador de Vsys (solo lectura): El acceso a un sistema
virtual seleccionado en un cortafuegos especfico es de solo
lectura.
Panorama:
Superusuario: Acceso completo a Panorama y a todos los
grupos de dispositivos, plantillas y cortafuegos gestionados.
Superusuario (solo lectura): Acceso de solo lectura a
Panorama y a todos los grupos de dispositivos, plantillas y
cortafuegos gestionados.
Administrador de Panorama: Acceso completo a Panorama
(excepto a las cuentas y funciones de administrador) y todos los
grupos de dispositivos y plantillas. Sin acceso a los cortafuegos
gestionados.
Sistema virtual
(Solo para una funcin de
administrador de sistema
virtual del cortafuegos)
Perfil de la contrasea
Haga clic en Aadir para seleccionar los sistemas virtuales a los que
puede acceder el administrador.
Seleccione el perfil de contrasea, si es aplicable. Para crear un

nuevo perfil de contrasea, consulte Definicin de perfiles de
contrasea.
En la pgina Administradores de Panorama para Superusuario, se muestra

un icono de bloqueo en la columna de la derecha si una cuenta est bloqueada.
El administrador puede hacer clic en el icono para desbloquear la cuenta.
Palo Alto Networks
Especificacin de dominios de acceso para administradores

Dispositivo > Dominio de acceso
Panorama > Dominio de acceso
Utilice la pgina Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. El dominio de acceso est vinculado a atributos especficos
del proveedor (VSA) RADIUS y nicamente se admite si se utiliza un servidor RADIUS para
la autenticacin del administrador. Si desea ms informacin sobre cmo configurar RADIUS,
consulte Configuracin de ajustes de servidor RADIUS. Para informacin sobre los dominios
de acceso especficos de Panorama, consulte Especificacin de dominios de acceso de
Panorama para administradores.
Cuando un administrador intenta iniciar sesin en el cortafuegos, este consulta al servidor
RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en
el servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales
definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza
RADIUS, los ajustes de dominio de acceso de esta pgina se ignorarn.
Tabla 25.
Configuracin de dominio de acceso
Campo
Descripcin
Nombre
Introduzca un nombre para el dominio de acceso (de hasta 31

caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, guiones y guiones bajos.
Sistemas virtuales
Seleccione sistemas virtuales en la columna Disponibles y haga

clic en Aadir para seleccionarlos.
Los dominios de acceso nicamente son compatibles en dispositivos que
admiten sistemas virtuales.
Configuracin de perfiles de autenticacin

Dispositivo > Perfil de autenticacin
Panorama > Perfil de autenticacin
Utilice la pgina Perfil de autenticacin para configurar ajustes de autenticacin que podrn
aplicarse a cuentas para gestionar el acceso al cortafuegos o Panorama.
Los perfiles de autenticacin especifican ajustes de base de datos local, RADIUS, LDAP o
Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo.
Cuando un administrador intenta iniciar sesin en el cortafuegos directamente o a travs de
una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticacin que est
asignado a la cuenta y autentica al usuario basndose en la configuracin de autenticacin.
Si el usuario no tiene una cuenta de administrador local, el perfil de autenticacin que se
especifica en la pgina Configuracin del dispositivo determina el modo en que el usuario se
autentica (consulte Definicin de la configuracin de gestin):
Palo Alto Networks
Si especifica ajustes de autenticacin RADIUS en la pgina Configuracin y el usuario

no tiene una cuenta local en el cortafuegos, entonces el cortafuegos solicitar informacin
de autenticacin del usuario (incluida la funcin) al servidor RADIUS. El archivo de
diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las
diversas funciones est disponible en el sitio web de asistencia tcnica en
https://live.paloaltonetworks.com/docs/DOC-3189.
Si se especifica Ninguna como perfil de autenticacin en la pgina Configuracin,

entonces el cortafuegos deber autenticar localmente al usuario de acuerdo con el perfil
de autenticacin especificado para el usuario.
Tabla 26. Configuracin de perfiles de autenticacin

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).

El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Compartido
Si el cortafuegos est en modo de Sistema virtual mltiple, seleccione esta

casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.
Tiempo de bloqueo
Introduzca el nmero de minutos que se bloquea a un usuario si se alcanza

el nmero de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo continuar mientras que no se desbloquee
manualmente.
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos que se

permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningn lmite.
Lista de permitidas
Especifique a los usuarios y grupos que tienen permiso explcito para

autenticar. Haga clic en Editar lista de permitidos y realice cualquiera de
las siguientes acciones:
Seleccione la casilla de verificacin junto al usuario o grupo de usuarios
en la columna Disponibles y haga clic en Aadir para aadir sus selecciones a la columna Seleccionados.
Utilice la casilla de verificacin Todos para aplicarlo a todos los usuarios.
Introduzca los primeros caracteres de un nombre en el campo Bsqueda
para enumerar a todos los usuarios y grupos de usuarios que comienzan
por esos caracteres. Al seleccionar un elemento de la lista, se establece la
casilla de verificacin en la columna Disponibles. Repita este proceso
tantas veces como sean necesarias y luego haga clic en Aadir.
Para eliminar usuarios o grupos de usuarios, seleccione las casillas de
verificacin adecuadas en la columna Seleccionados y haga clic en
Eliminar o seleccione Cualquiera para borrar a todos los usuarios.
Autenticacin
Seleccione el tipo de autenticacin:

Ninguna: No utilice ninguna autenticacin del cortafuegos.
Base de datos local: Utilice la base de datos de autenticacin del
cortafuegos.
RADIUS: Utilice un servidor RADIUS para la autenticacin.
LDAP: Utilice LDAP como mtodo de autenticacin.
Kerberos: Utilice Kerberos como mtodo de autenticacin.
Palo Alto Networks
Tabla 26. Configuracin de perfiles de autenticacin (Continuacin)

Campo
Descripcin
Perfil de servidor
Si selecciona RADIUS, LDAP o Kerberos como mtodo de autenticacin,

elija el servidor de autenticacin en la lista desplegable. Los servidores
se configuran en las pginas Servidor. Consulte Configuracin de ajustes
de servidor RADIUS, Configuracin de ajustes de servidor LDAP y
Configuracin de ajustes de Kerberos (autenticacin nativa de Active
Directory).
Atributo de inicio
de sesin
Si ha seleccionado LDAP como mtodo de autenticacin, introduzca el

atributo de directorio LDAP que identifica de manera exclusiva al usuario.
Aviso de caducidad
de contrasea
Si crea un perfil de autenticacin que se usar para autenticar a los

usuarios de GlobalProtect y ha seleccionado LDAP como mtodo de
autenticacin, introduzca el nmero de das previos a la caducidad de la
contrasea para empezar a mostrar mensajes de notificacin a los usuarios
y alertarlos de que sus contraseas caducan en x nmero de das. De forma
predeterminada, los mensajes de notificacin se mostrarn 7 das antes de
la caducidad de la contrasea (de 1-255 das). Los usuarios no podrn
acceder a la VPN si las contraseas caducan.
Consejo: Se recomienda configurar los agentes para que utilicen el mtodo de
conexin anterior al inicio de sesin. Esto permitir a los usuarios conectarse
al dominio para cambiar sus contraseas incluso aunque la contrasea haya
caducado.
Consejo: Si los usuarios dejan caducar sus contraseas, el administrador
puede asignar una contrasea de LDAP temporal que permita a los usuarios
iniciar sesin en la VPN. En este flujo de trabajo, se recomienda establecer
el modificador de autenticacin en la configuracin del portal para la
autenticacin de cookies para la actualizacin de configuracin (de lo
contrario, la contrasea temporal se utilizar para autenticarse en el portal, pero
el inicio de sesin de la puerta de enlace fallar, lo que evitar el acceso a la VPN).
Consulte Configuracin de GlobalProtectpara obtener ms informacin
sobre la autenticacin de cookies y la conexin anterior al inicio de sesin.
Palo Alto Networks
Creacin de una base de datos de usuario local

Dispositivo > Base de datos de usuario local > Usuarios
Puede establecer una base de datos local en el cortafuegos para almacenar informacin de
autenticacin para usuarios con acceso remoto, administradores de dispositivos y usuarios
de portal cautivo. No se requiere ningn servidor de autenticacin externo con esta configuracin, de modo que toda la gestin de cuentas se realiza en el cortafuegos o desde Panorama.
Tabla 27. Configuracin de usuario local

Campo
Descripcin
Nombre de usuario
local
Introduzca un nombre para identificar al usuario (de hasta 31 caracteres).

guiones bajos.
Ubicacin
Seleccione un sistema virtual o seleccione Compartido para que el

certificado est disponible para todos los sistemas virtuales.
Modo
Utilice este campo para especificar la opcin de autenticacin:

Contrasea: Introduzca y confirme una contrasea para el usuario.
Hash de la contrasea: Introduzca una cadena de contrasea con hash.
Habilitar
Seleccione la casilla de verificacin para activar la cuenta de usuario.
Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Al configurar el portal cautivo, primero debe crear la cuenta local, aadirla a un grupo de
usuarios y crear un perfil de autenticacin utilizando el nuevo grupo. A continuacin, debe
habilitar el portal cautivo desde Dispositivo > Autenticacin de usuario > Portal cautivo
y seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una
poltica desde Polticas > Portal cautivo. Consulte Configuracin del cortafuegos para la
identificacin de usuarios para obtener ms informacin.
Palo Alto Networks
Cmo aadir grupos de usuarios locales

Dispositivo > Base de datos de usuario local > Grupos de usuarios
Utilice la pgina Grupos de usuarios para aadir informacin de grupo de usuarios a la base
de datos local.
Tabla 28. Configuracin de grupo de usuarios local

Campo
Descripcin
Nombre de grupo de
usuarios local
Introduzca un nombre para identificar el grupo (de hasta 31 caracteres).

guiones bajos.
Ubicacin
Seleccione un sistema virtual o seleccione Compartido para permitir

el acceso de usuario a todos los sistemas virtuales disponibles.
Todos los usuarios

locales
Haga clic en Aadir para seleccionar a los usuarios que desee aadir
al grupo.
Configuracin de ajustes de servidor RADIUS

Dispositivo > Perfiles de servidor > RADIUS
Panorama > Perfiles de servidor > RADIUS
Utilice la pgina RADIUS para configurar los ajustes de los servidores RADIUS identificados
en perfiles de autenticacin. Consulte Configuracin de perfiles de autenticacin.
Tabla 29. Configuracin de servidor RADIUS

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).

guiones bajos.
Ubicacin
Seleccione un sistema virtual o seleccione Compartido para que el perfil

est disponible para todos los sistemas virtuales.
nicamente uso de
administrador
Utilice este perfil de servidor nicamente para la autenticacin del

administrador.
Dominio
Introduzca el dominio del servidor RADIUS. El ajuste de dominio se utiliza

si el usuario no especifica un dominio al iniciar sesin.
Tiempo de espera
Introduzca un intervalo tras el cual vence una solicitud de autenticacin

(1-30 segundos; valor predeterminado: 3 segundos).
Reintentos
Introduzca el nmero de reintentos automticos tras un tiempo de espera

antes de que falle la solicitud (1-5; valor predeterminado: 3).
Obtener grupo de
usuarios
Seleccione la casilla de verificacin para utilizar VSA RADIUS para definir

el grupo que ha accedido al cortafuegos.
Palo Alto Networks
Tabla 29. Configuracin de servidor RADIUS (Continuacin)

Campo
Descripcin
Servidores
Configure informacin para cada servidor en el orden preferido.

Nombre: Introduzca un nombre para identificar el servidor.
Direccin IP: Introduzca la direccin IP del servidor.
Puerto: Introduzca el puerto del servidor para solicitudes de autenticacin.
Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar
y cifrar la conexin entre el cortafuegos y el servidor RADIUS.
Configuracin de ajustes de servidor LDAP

Dispositivo > Perfiles de servidor > LDAP
Panorama > Perfiles de servidor > LDAP
Utilice la pgina LDAP para configurar los ajustes que los servidores LDAP deben utilizar
para la autenticacin mediante perfiles de autenticacin. Consulte Configuracin de perfiles
de autenticacin.
Tabla 30. Configuracin de servidor LDAP

Campo
Descripcin
Nombre

guiones bajos.
Ubicacin

nicamente uso de
administrador

administrador.
Servidores
Especifique los nombres de host, las direcciones IP y los puertos los

servidores LDAP.
Dominio
Introduzca el nombre de dominio del servidor. Este nombre de dominio

debe ser el nombre NetBIOS del dominio y se aadir al nombre de
usuario cuando se realice la autenticacin. Por ejemplo, si su dominio es
paloaltonetworks.com, nicamente necesita introducir paloaltonetworks.
Tipo
Seleccione el tipo de servidor de la lista desplegable.
Base
Especifique el contexto raz del servidor de directorio para acotar la

bsqueda de informacin de usuario o grupo.
Enlazar DN
Especifique el nombre de inicio de sesin (nombre distintivo) del servidor

de directorio.
Enlazar contrasea/
Confirmar contrasea
de enlace
Especifique la contrasea de la cuenta de enlace. El agente guardar la

contrasea cifrada en el archivo de configuracin.
SSL
Seleccione esta opcin para utilizar comunicaciones SSL o Transport Layer

Security (TLS) seguras entre el dispositivo de Palo Alto Networks y el
servidor de directorio.
Palo Alto Networks
Tabla 30. Configuracin de servidor LDAP (Continuacin)

Campo
Descripcin
Lmite de tiempo
Especifique el lmite de tiempo impuesto al realizar bsquedas de

directorio (1-30 segundos; valor predeterminado: 30 segundos).
Enlazar lmite de
tiempo
Especifique el lmite de tiempo impuesto al conectar con el servidor de

directorio (1-30 segundos; valor predeterminado: 30 segundos).
Intervalo de reintento
Especifique el intervalo tras el cual el sistema intentar conectarse al

servidor LDAP despus de un intento fallido anterior (1-3.600 segundos).
Configuracin de ajustes de Kerberos (autenticacin nativa de

Active Directory)
Dispositivo > Perfiles de servidor > Kerberos
Panorama > Perfiles de servidor > Kerberos
Utilice la pgina Kerberos para configurar la autenticacin de Active Directory sin exigir
que los clientes inicien el servicio de autenticacin de Internet (IAS) para admitir RADIUS.
La configuracin de un servidor Kerberos permite que los usuarios autentiquen de forma
nativa a un controlador de dominio.
Despus de configurar los ajustes de Kerberos, Kerberos pasa a estar disponible como opcin
al definir perfiles de autenticacin. Consulte Configuracin de perfiles de autenticacin.
Puede configurar los ajustes de Kerberos para que reconozcan una cuenta de usuario con
cualquiera de los formatos siguientes, en los que el dominio y el territorio se especifican como
parte de la configuracin del servidor Kerberos:
dominio\nombre de usuario
nombreusuario@territorio
nombre de usuario
Palo Alto Networks
Tabla 31. Configuracin de servidor Kerberos

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).

guiones bajos.
Ubicacin

nicamente uso de
administrador

administrador.
Dominio
Especifique la parte del nombre de host del nombre de inicio de sesin del
usuario (de hasta 127 caracteres)
Ejemplo: El nombre de cuenta de usuario usuario@ejemplo.local tiene el
territorio ejemplo.local.
Dominio
Especifique el dominio de la cuenta de usuario (de hasta 63 caracteres).
Servidores
En el caso de cada servidor Kerberos, haga clic en Aadir y especifique los

siguientes ajustes:
Servidor: Introduzca la direccin IP del servidor.

Host: Introduzca el FQDN del servidor.
Puerto: Introduzca un nmero de puerto opcional para la comunicacin
con el servidor.
Configuracin de una secuencia de autenticacin

Dispositivo > Secuencia de autenticacin
Panorama > Secuencia de autenticacin
En algunos entornos, las cuentas de usuario residen en varios directorios (base de datos local,
LDAP, RADIUS, por ejemplo). Una secuencia de autenticacin es un conjunto de perfiles
de autenticacin que se aplican por orden cuando un usuario intenta iniciar sesin en el
dispositivo (cortafuegos o Panorama). El dispositivo siempre prueba primero la base de datos
local y, a continuacin, cada perfil en secuencia hasta que identifica el usuario. El acceso al
dispositivo se deniega nicamente si falla la autenticacin de alguno de los perfiles de la
secuencia de autenticacin.
Utilice la pgina Secuencia de autenticacin para configurar conjuntos de perfiles de
autenticacin que se prueban por orden cuando un usuario solicita acceder al dispositivo.
Se conceder acceso al usuario si la autenticacin se realiza correctamente mediante cualquiera
de los perfiles de autenticacin de la secuencia. Para obtener ms informacin, consulte
Palo Alto Networks
Tabla 32. Configuracin de secuencias de autenticacin

Campo
Descripcin
Nombre de perfil

guiones bajos.
Compartido
Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta

casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.
Tiempo de bloqueo
Introduzca el nmero de minutos que se bloquea a un usuario si se alcanza

el nmero de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo continuar mientras que no se desbloquee
manualmente.
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos que se

permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningn lmite.
Lista de perfiles
Seleccione los perfiles de autenticacin que deben incluirse en la secuencia

de autenticacin. Para cambiar el orden de la lista, seleccione una entrada y
haga clic en Mover hacia arriba o Mover hacia abajo.
Programacin de exportaciones de logs

Dispositivo > Programacin de la exportacin de logs
Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol
(FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura
entre el dispositivo y un host remoto. Los perfiles de logs contienen la informacin de
programacin y servidor FTP. Por ejemplo, puede que un perfil especifique la recogida de
los logs del da anterior cada da a las 3:00 y su almacenamiento en un servidor FTP especfico.
Haga clic en Aadir y especifique los siguientes ajustes:
Tabla 33. Configuracin de la programacin de la exportacin de logs

Campo
Descripcin
Nombre

guiones bajos.
No podr cambiar el nombre despus de crear el perfil.
Descripcin
Introduzca una descripcin opcional (de hasta 255 caracteres).
Habilitado
Seleccione la casilla de verificacin para habilitar la programacin de

exportaciones de logs.
Tipo de log
Seleccione el tipo de log (Trfico, Amenaza, URL, Datos o Coincidencia

HIP). El valor predeterminado es Trfico.
Hora de inicio
de exportacin
programada (a diario)
Introduzca la hora del da (hh:mm) a la que comenzar la exportacin en el

formato de 24 horas (00:00 - 23:59).
Palo Alto Networks
Tabla 33. Configuracin de la programacin de la exportacin de logs (Continuacin)

Campo
Descripcin
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde el

cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de
manera segura o puede utilizar FTP, que no es un protocolo seguro.
Si est utilizando SCP, deber hacer clic en el botn Conexin de servidor
SCP de prueba para probar la conectividad entre el cortafuegos y el
servidor SCP. Adems, deber verificar y aceptar la clave de host del
servidor SCP.
Nombre de host
Introduzca el nombre de host o direccin IP del servidor FTP que se

utilizar para la exportacin.
Puerto
Introduzca el nmero de puerto que utilizar el servidor FTP. El valor

predeterminado es 21.
Ruta
Especifique la ruta ubicada en el servidor FTP que se utilizar para

almacenar la informacin exportada.
Habilitar modo pasivo

de FTP
Seleccione la casilla de verificacin para utilizar el modo pasivo para la

exportacin. De manera predeterminada, esta opcin est seleccionada.
Nombre de usuario
Introduzca el nombre de usuario para acceder al servidor FTP. El valor

predeterminado es annimo.
Contrasea
Introduzca la contrasea para acceder al servidor FTP. No se necesita

contrasea si el usuario es annimo.
Definicin de destinos de logs

Utilice esta pgina para habilitar el cortafuegos y que registre cambios de configuracin,
eventos del sistema, logs de coincidencias HIP y alarmas. En cada log puede habilitar el
funcionamiento remoto para Panorama (el sistema de gestin central de Palo Alto Networks)
y generar traps SNMP, mensajes de Syslog y notificaciones por correo electrnico.
La siguiente tabla describe los destinos de logs remotos.
Tabla 34. Destinos de logs remotos

IP Destino
Descripcin
Panorama
Todas las entradas de logs pueden reenviarse a Panorama. Para especificar la

direccin del servidor de Panorama, consulte Definicin de la configuracin
de gestin.
Trap SNMP
Se pueden generar traps SNMP segn el nivel de gravedad para entradas

de los logs Sistema, Amenaza y Trfico, pero no para entradas del log
Configuracin. Para definir los nuevos destinos de traps SNMP, consulte
Configuracin de destinos de traps SNMP.
Palo Alto Networks
Tabla 34. Destinos de logs remotos (Continuacin)

Syslog
Se pueden generar mensajes de Syslog segn el nivel de gravedad para

entradas de los logs de sistema, amenazas y trfico, as como para las
entradas de log de configuracin. Para definir los destinos de syslog,
consulte Configuracin de servidores Syslog.
Correo electrnico
Se pueden enviar notificaciones de correo electrnico segn el nivel de

gravedad para entradas de los logs de sistema, amenazas y trfico, as como
para las entradas de log de configuracin. Para definir los servidores y
destinatarios de correo electrnico, consulte Configuracin de ajustes de
notificaciones por correo electrnico.
Para configurar los destinos de los logs del sistema, consulte Definicin de la
configuracin del log Sistema
Para configurar los destinos de los logs de configuracin, consulte Definicin de la

configuracin del log Configuracin
Para configurar los destinos de los logs de las coincidencias HIP, consulte Definicin de
la configuracin de log Coincidencias HIP
Para configurar los destinos de los logs de trfico, consulte Reenvo de logs
Definicin de la configuracin del log Configuracin

Dispositivo > Configuracin de log > Configuracin
La configuracin del log Configuracin especifica las entradas del log Configuracin que
se registran de manera remota con Panorama y se envan como mensajes de Syslog y/o
Tabla 35. Configuracin del log Configuracin

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para habilitar el envo de entradas del

log Configuracin al sistema de gestin centralizado de Panorama.
Traps SNMP
Para generar traps SNMP para entradas del log Configuracin, seleccione
el nombre del trap. Para especificar los nuevos destinos de traps SNMP,
consulte Configuracin de destinos de traps SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione un perfil de correo electrnico en el men
desplegable. Para crear un nuevo perfil de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.
Syslog
Para generar mensajes de Syslog para entradas del log Configuracin,

seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog.
Palo Alto Networks
Definicin de la configuracin del log Sistema

Dispositivo > Configuracin de log > Sistema
La configuracin del log Sistema especifica los niveles de gravedad de las entradas del log
Sistema que se registran de manera remota con Panorama y se envan como traps SNMP,
mensajes de Syslog y/o notificaciones por correo electrnico. El log Sistema muestra eventos
del sistema, como fallos de HA, cambios de estado de enlaces e inicios de sesin y cierres de
sesin de administradores.
Tabla 36. Configuracin del log Sistema

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para cada nivel de gravedad de

las entradas del log Sistema que se enviarn al sistema de gestin
centralizado de Panorama. Para especificar la direccin del servidor
de Panorama, consulte Definicin de la configuracin de gestin.
Los niveles de gravedad son los siguientes:
Crtico: Fallos de hardware, lo que incluye la conmutacin por error
de HA y los fallos de enlaces.
Alto: Problemas graves, incluidas las interrupciones en las conexiones
con dispositivos externos, como servidores Syslog y RADIUS.
Medio: Notificaciones de nivel medio, como actualizaciones de
paquetes de antivirus.
Bajo: Notificaciones de menor gravedad, como cambios de contrasea
de usuario.
Informativo: Inicios de sesin/cierres de sesin, cambio de nombre o
contrasea de administrador, cualquier cambio de configuracin y el
resto de eventos no cubiertos por los otros niveles de gravedad.
Traps SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin de servidores Syslog.
Definicin de la configuracin de log Coincidencias HIP

Dispositivo > Configuracin de log > Coincidencias HIP
La configuracin del log Coincidencias HIP (perfil de informacin de host) se utiliza para
proporcionar informacin sobre las polticas de seguridad que se aplican a clientes de
GlobalProtect.
Palo Alto Networks
Tabla 37. Configuracin del log Coincidencias HIP

Campo
Descripcin
Panorama
Seleccione la casilla de verificacin para habilitar el envo de entradas del

log Configuracin al sistema de gestin centralizado de Panorama.
Traps SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar los nuevos
destinos de traps SNMP, consulte Configuracin de destinos de traps
SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas

del log Configuracin, seleccione el nombre de la configuracin de
correo electrnico que especifica las direcciones de correo electrnico
adecuadas. Para especificar nuevos ajustes de correo electrnico, consulte
Syslog
Para generar mensajes de Syslog para entradas del log Configuracin,

seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog.
Definicin de la configuracin del log Alarma

Dispositivo > Configuracin de log > Alarmas
Utilice la pgina Alarmas para configurar las notificaciones que se envan cuando se incumplen
reglas de seguridad (o grupos de reglas) repetidas veces en un perodo de tiempo establecido.
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opcin Alarma est
configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas
del log de alarmas actual.
Para reconocer alarmas, seleccione sus casillas de verificacin y haga clic en Reconocer.
Esta accin pasa las alarmas a la lista Alarmas de reconocimiento. La ventana Alarmas
tambin incluye controles de pginas, orden de columnas y actualizacin.
Para aadir una alarma, edite la seccin Configuracin de alarma y utilice la siguiente tabla
para definirla:
Tabla 38. Configuracin del log Alarma

Campo
Descripcin
Habilitar alarmas
Habilite alarmas basndose en los eventos enumerados en esta pgina.

El botn Alarmas
solo es visible cuando la casilla de verificacin
Habilitar alarmas est seleccionada.
Habilitar notificaciones
de alarmas por CLI
Habilite notificaciones de alarmas por CLI cuando se produzca una

alarma.
Habilitar notificaciones
de alarma web
Abra una ventana para mostrar alarmas en las sesiones de usuario,

incluyendo el momento en que se producen y cundo se reconocen.
Habilitar alarmas
audibles
El cortafuegos seguir reproduciendo una alarma sonora cuando existan

alarmas no reconocidas en la interfaz web o la CLI.
Umbral de fallo de
cifrado/descifrado
Especifique el nmero de fallos de cifrado/descifrado tras los cuales se

genera una alarma.
Palo Alto Networks
Tabla 38. Configuracin del log Alarma (Continuacin)

Campo
Descripcin
Umbral de alarma de
base de datos de log
(% lleno)
Genere una alarma cuando una base de datos de logs alcance el

porcentaje indicado del tamao mximo.
Lmites de poltica de
seguridad
Se genera una alarma si un puerto o una direccin IP en concreto

incumple una regla de denegacin el nmero de veces especificado
en el ajuste Umbral de infracciones de seguridad dentro del perodo
(segundos) especificado en el ajuste Perodo de tiempo de infracciones
de seguridad.
Lmites de grupos de
polticas de seguridad
Se genera una alarma si el conjunto de reglas alcanza el nmero de

infracciones del lmite de reglas especificado en el campo Umbral de
infracciones durante el perodo especificado en el campo Perodo de
tiempo de infracciones. Los incumplimientos se cuentan cuando una
sesin coincide con una poltica de denegacin explcita.
Utilice Etiquetas de poltica de seguridad para especificar las etiquetas
con las que los umbrales de lmite de reglas generarn alarmas. Estas
etiquetas estn disponibles para su especificacin al definir polticas de
seguridad.
Auditora selectiva
Nota: Estos ajustes aparecen en la pgina Alarmas nicamente en el modo

Criterios comunes.
Especifique los siguientes ajustes:
Logging especfico de CC: Permite logs ampulosos necesarios para el
cumplimiento de criterios comunes (CC).
Logs de inicios de sesin correctos: Registra los inicios de sesin
correctos en el cortafuegos por parte del administrador.
Logs de inicios de sesin incorrectos: Registra los inicios de sesin
incorrectos en el cortafuegos por parte del administrador.
Administradores suprimidos: No genera logs para los cambios que
realizan los administradores enumerados en la configuracin del
cortafuegos.
Palo Alto Networks
Gestin de configuracin de logs

Dispositivo > Configuracin de log > Gestionar logs
Cuando se configura para la creacin de logs, el cortafuegos registra cambios en la
configuracin, eventos del sistema, amenazas de seguridad, flujos de trfico y alarmas
generadas por el dispositivo. Utilice la pgina Gestionar logs para borrar los logs del
dispositivo. Haga clic en el enlace que corresponde al log (trfico, amenazas, URL, datos,
configuracin, sistema, coincidencia HIP, alarma) que le gustara borrar.
Configuracin de destinos de traps SNMP

Dispositivo > Perfiles de servidor > Trap SNMP
Panorama > Perfiles de servidor > Trap SNMP
SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la
supervisin de los dispositivos de su red. Para poder alertarle sobre eventos o amenazas
del sistema de su red, los dispositivos supervisados envan traps SNMP a las estaciones de
gestin de red SNMP (denominadas "destinos de traps SNMP"), permitiendo las alertas
centralizadas para todos sus dispositivos de red. Utilice esta pgina para configurar el perfil
del servidor que habilita el cortafuegos o Panorama para comunicarse con los destinos de trap
SNMP de su red. Para habilitar GET SNMP, consulte SNMP.
Despus de crear el perfil de servidor que especifica cmo conectar a los destinos de traps
SNMP, debe especificar qu tipos de logs (y, para algunos tipos de logs, sus niveles de
gravedad) activarn el cortafuegos para que enve traps SNMP a los destinos configurados
correspondientes (consulte Definicin de la configuracin del log Sistema). Adems, para
que el software de gestin de SNMP interprete los traps, debe instalar los MIB de PAN-OS,
disponibles en la siguiente ubicacin de la categora de MIB de SNMP para empresas:
https://live.paloaltonetworks.com/community/documentation.
Tabla 39. Configuracin de destinos de traps SNMP

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres).

guiones bajos.
Compartido

sistemas virtuales.
Versin
Seleccione la versin de SNMP (V2c o V3).
Palo Alto Networks
Tabla 39. Configuracin de destinos de traps SNMP (Continuacin)

Campo
Descripcin
Configuracin de V2c
Si selecciona V2c, configure los siguientes ajustes:

Servidor: Especifique un nombre para el destino de trap SNMP
(de hasta 31 caracteres).
Gestor: Especifique la direccin IP del destino de trap.
Comunidad: Especifique la cadena de comunidad necesaria para enviar
traps al destino especificado (valor predeterminado: pblico).
Configuracin de V3
Si selecciona V3, configure los siguientes ajustes:

Servidor: Especifique el nombre del destino de trap SNMP (de hasta
31 caracteres).
Gestor: Especifique la direccin IP del destino de trap.
Usuario: Especifique el usuario de SNMP.
EngineID: Especifique el ID de motor del cortafuegos. La entrada es
una cadena con una representacin hexadecimal. El ID de motor es
cualquier nmero entre 5 y 64 bytes. Cuando se representa como una
cadena hexadecimal, tiene entre 10 y 128 caracteres (2 por cada byte)
con dos caracteres adicionales para 0x que debe utilizar como prefijo en
la cadena de entrada.
Cada cortafuegos tiene un ID de motor exclusivo, que puede obtener
utilizando un explorador de MIB para ejecutar GET para OID
1.3.6.1.6.3.10.2.1.1.0.
Contrasea de autenticacin: Especifique la contrasea de autenticacin del usuario (8 caracteres como mnimo, 256 caracteres como
mximo y sin restricciones de caracteres). (Se permiten todos los
caracteres.) nicamente se admite el algoritmo de hash seguro (SHA).
Contrasea priv.: Especifique la contrasea de cifrado del usuario
(8 caracteres como mnimo, 256 caracteres como mximo y sin restricciones de caracteres). nicamente se admite el estndar de cifrado
avanzado (AES).
No elimine un destino que se utilice en algn ajuste del log Sistema o algn perfil
de logs.
Palo Alto Networks
MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:
"RFC 1213: MIB-II - Compatibilidad con el grupo de sistema, grupo de interfaces.
"RFC 2863: IF-MIB - MIB de grupo de interfaces
"RFC 2790: HOST-RESOURCES-MIB - Compatibilidad con hrDeviceTable y

hrProcessorTable.
"RFC 3433: ENTITY-SENSOR-MIB - Compatibilidad con entPhySensorTable.
PAN-PRODUCT-MIB
PAN-COMMON-MIB
PAN-TRAPS-MIB
PAN-LC-MIB
El conjunto completo de MIB empresariales est disponible en la seccin de documentacin

tcnica del sitio web de Palo Alto Networks en https://live.paloaltonetworks.com/community/
documentation.
Configuracin de servidores Syslog

Dispositivo > Perfiles de servidor > Syslog
Panorama > Perfiles de servidor > Syslog
Para generar mensajes de Syslog para logs Sistema, Configuracin, Trfico, Amenaza o
Coincidencias HIP, debe especificar uno o ms servidores Syslog. Despus de definir los
servidores Syslog, podr utilizarlos para las entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema).
Tabla 40. Nuevo servidor Syslog

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres).

guiones bajos.
Compartido

sistemas virtuales.
Pestaa Servidores
Nombre
Haga clic en Aadir e introduzca un nombre para el servidor Syslog

Servidor
Introduzca la direccin IP del servidor Syslog.
Transporte
Elija si desea transportar los mensajes de Syslog en UDP, TCP o SSL.
Palo Alto Networks
Tabla 40. Nuevo servidor Syslog (Continuacin)

Campo
Descripcin
Puerto
Introduzca el nmero de puerto del servidor Syslog (el puerto estndar

para UDP es 514; el puerto estndar para SSL es 6514; para TCP debe
especificar un nmero de puerto).
Formato
Especifique el formato de Syslog que se debe utilizar: BSD (valor

predeterminado) o IETF.
Instalaciones
Seleccione un nivel de la lista desplegable.
Pestaa Formato de log personalizado

Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le

permitir especificar un formato de log personalizado. En el cuadro de
dilogo, haga clic en un campo para aadirlo al rea Formato de log.
Otras cadenas de texto se pueden editar directamente en el rea Formato
de log. Haga clic en ACEPTAR para guardar la configuracin.
Para obtener informacin detallada sobre los campos que se pueden
utilizar para logs personalizados, consulte Descripcin de los campos
personalizados de Syslog.
Escape
Especifique secuencias de escape. Utilice el cuadro Caracteres de escape

para enumerar todos los caracteres que se escaparn sin espacios.
No puede eliminar un servidor que se utilice en algn ajuste del log Sistema o
Configuracin o algn perfil de logs.
Palo Alto Networks
Descripcin de los campos personalizados de Syslog

Puede configurar un formato de log personalizado en un perfil de servidor Syslog
seleccionando la pestaa Formato de log personalizado en Dispositivo > Perfiles de
servidor > Syslog. Haga clic en el tipo de log deseado (Configuracin, Sistema, Amenaza,
Trfico o Coincidencias HIP) y, a continuacin, haga clic en los campos que desee ver en los
logs. Las tablas siguientes muestran el significado de cada campo para cada tipo de log.
Tabla 41. Campos de Configuracin

Campo
Significado
marcas de accin
Campo de bits que indica si el log se ha reenviado a Panorama.

Disponible en PAN-OS 4.0.0 y posterior.
administrador
Nombre de usuario del administrador que realiza la

configuracin.
detalles despus del cambio
Detalles de la configuracin despus de realizar un cambio.
detalles antes del cambio
Detalles de la configuracin antes de realizar un cambio.
hora de recepcin formateada
Hora a la que se recibi el log en el plano de gestin, mostrada en

un formato de tiempo compatible con CEF.
hora de generacin formateada

segn cef
Hora a la que se gener el log, mostrada en un formato de tiempo

compatible con CEF.
cliente
Cliente utilizado por el administrador; los valores son Web y CLI.
cmd
Comando ejecutado por el administrador; los valores son Aadir,

Duplicar, Compilar, Eliminar, Editar, Mover, Renombrar,
Establecer y Validar.
Host
Nombre de host o direccin IP de la mquina cliente.
ruta
Ruta del comando de configuracin emitido. Puede tener una

longitud de hasta 512 bytes.
hora de recepcin
Hora a la que se recibi el log en el plano de gestin.
resultado
Resultado de la accin de configuracin. Los valores son

Enviada, Correctamente, Fallo y No autorizado.
nmero secuencial
Identificador de entrada de log de 64 bits que aumenta

secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.
serie
Nmero de serie del dispositivo que gener el log.
subtipo
Subtipo del log Configuracin (no utilizado).
hora de generacin
Hora a la que se recibi el log en el plano de datos.
tipo
Especifica el tipo de log; los valores son Trfico, Amenaza,

Configuracin, Sistema y Coincidencias HIP.
vsys
Sistema virtual asociado al log Configuracin.
Palo Alto Networks
Tabla 42. Campos de Sistema

Campo
Significado
marcas de accin


segn cef


segn cef

compatible con CEF.
id de evento
Cadena que muestra el nombre del evento.
fmt
Descripcin detallada del evento. Puede tener una longitud de

hasta 512 bytes.
mdulo
Este campo nicamente es vlido cuando el valor del campo

Subtipo es General. Proporciona informacin adicional acerca del
subsistema que genera el log. Los valores son General, Gestin,
Autenticacin, HA, Actualizar y Bastidor.
nmero de gravedad
Nivel de gravedad como nmero entero: 1, Informativo; 2, Bajo;

3, Medio; 4, Alto; y 5, Crtico.
objeto
Nombre del objeto asociado al log Sistema.
opaco
Descripcin detallada del evento. Puede tener una longitud de

hasta 512 bytes.
hora de recepcin
nmero secuencial

serie
gravedad
Gravedad asociada al evento; los valores son Informativo, Bajo,

Medio, Alto y Crtico.
subtipo
Subtipo del log Sistema. Hace referencia al demonio de sistema

que genera el log; los valores son Criptogrfico, DHCP, Proxy
DNS, Denegacin de servicio, General, GlobalProtect, HA,
Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado
de URL y VPN.
hora de generacin
tipo

vsys
Sistema virtual asociado al log Sistema.
Palo Alto Networks
Tabla 43. Campos de Amenaza

Campo
Significado
Accin
Accin realizada para la sesin; los valores son Alerta, Permitir,

Denegar, Colocar, Colocar todos los paquetes, Restablecer cliente,
Restablecer servidor, Restablecer ambos y Bloquear URL.
Consulte la tabla de campos de Accin para conocer el
significado de cada valor.
marcas de accin

aplicacin
Aplicacin asociada a la sesin.
categora
Para el subtipo URL, es la categora de URL; para el subtipo

WildFire, es el veredicto del archivo y es Malo o Bueno;
para otros subtipos, el valor es Cualquiera.

segn cef


segn cef

compatible con CEF.
tipo de contenido
Tipo de contenido de los datos de respuesta HTTP. La longitud

mxima es de 32 bytes. nicamente es aplicable cuando el
subtipo es URL. Disponible en PAN-OS 4.0.0 y posterior.
direccin
Indica la direccin del ataque: cliente a servidor o servidor a

cliente.
puerto de destino
Puerto de destino utilizado por la sesin.
destino
Direccin IP de destino de la sesin original.
ubicacin de destino
Pas de destino o regin interna para direcciones privadas.

La longitud mxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.
usuario de destino
Nombre del usuario para el que iba destinada la sesin.
marcas
Campo de 32 bits que proporciona informacin detallada sobre la

sesin. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor.
De
Zona de origen de la sesin.
entrante si
Interfaz de origen de la sesin.
conjunto de logs
Perfil de reenvo de logs aplicado a la sesin.
varios
El URI real cuando el subtipo es URL; Nombre de archivo o Tipo

de archivo cuando el subtipo es Archivo; Nombre de archivo
cuando el subtipo es Virus; y Nombre de archivo cuando el
subtipo es WildFire. La longitud es de 63 caracteres en versiones
de PAN-OS anteriores a 4.0. A partir de la versin 4.0, tiene una
longitud variable con un mximo de 1.023 caracteres.
nat de puerto de destino
NAT de puerto de destino posterior.
nat de destino
Si se ejecuta un NAT de destino, es el NAT de direccin IP de

destino posterior.
nat de puerto de origen
NAT de puerto de origen posterior.
nat de origen
Si se ejecuta un NAT de origen, es el NAT de direccin IP de

origen posterior.
Palo Alto Networks
Tabla 43. Campos de Amenaza (Continuacin)

Campo
Significado
nmero de gravedad
Nivel de gravedad como nmero entero: 1, Informativo; 2, Bajo;

3, Medio; 4, Alto; y 5, Crtico.
saliente si
Interfaz de destino de la sesin.
protocolo
Protocolo IP asociado a la sesin.
hora de recepcin
recuento de repeticiones
Nmero de logs con el mismo IP de origen, IP de destino e ID

de amenaza observados en 5 segundos. Se aplica a todos los
subtipos excepto URL.
regla
Nombre de la regla con la que ha coincidido la sesin.
nmero secuencial

serie
id de sesin
Identificador numrico interno aplicado a cada sesin.
gravedad
Gravedad asociada a la amenaza; los valores son Informativo,

Bajo, Medio, Alto y Crtico.
puerto de origen
Puerto de origen utilizado por la sesin.
origen
Direccin IP de origen de la sesin original.
ubicacin de origen
Pas de origen o regin interna para direcciones privadas.

y posterior.
usuario de origen
Nombre del usuario que inici la sesin.
subtipo
Subtipo del log Amenaza; los valores son URL, Virus, Spyware,
Vulnerabilidades, Archivo, Analizar, Inundacin, Datos y
WildFire.
id de amenaza
Identificador de Palo Alto Networks para la amenaza. Es una

cadena de descripcin seguida de un identificador numrico
entre parntesis para algunos subtipos. El identificador numrico
es un nmero de 64 bits de PAN-OS 5.0 y posterior.
hora de generacin
Hora a la que se gener el log en el plano de datos.
hora de recepcin
Para
Zona de destino de la sesin.
tipo

vsys
Sistema virtual asociado a la sesin.
wildfire
Logs generados por WildFire.
Palo Alto Networks
Tabla 44. Campos de Trfico

Campo
Significado
Accin
Accin realizada para la sesin; los valores son Permitir o

Denegar. Consulte la tabla de campos de Accin.
marcas de accin

Disponible en PAN-OS 4.0.0.
aplicacin
Aplicacin asociada a la sesin.
bytes
Nmero total de bytes (transmitidos y recibidos) de la sesin.
bytes recibidos
Nmero de bytes en la direccin servidor a cliente de la sesin.

Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.
bytes enviados
Nmero de bytes en la direccin cliente a servidor de la sesin.

serie PA-4000.
categora
Categora de URL asociada a la sesin (si es aplicable).

segn cef


segn cef

compatible con CEF.
puerto de destino
Puerto de destino utilizado por la sesin.
destino
Direccin IP de destino de la sesin original.
ubicacin de destino
Pas de destino o regin interna para direcciones privadas.

y posterior.
usuario de destino
Nombre del usuario para el que iba destinada la sesin.
transcurrido
Tiempo transcurrido en la sesin.
marcas
Campo de 32 bits que proporciona informacin detallada sobre la

sesin. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor. Este campo puede descodificarse
aadiendo los valores con Y y con el valor registrado.
De
Zona de origen de la sesin.
entrante si
Interfaz de origen de la sesin.
conjunto de logs
Perfil de reenvo de logs aplicado a la sesin.
nat de puerto de destino
NAT de puerto de destino posterior.
nat de destino
Si se ejecuta un NAT de destino, es el NAT de direccin IP de

destino posterior.
nat de puerto de origen
NAT de puerto de origen posterior.
nat de origen
Si se ejecuta un NAT de origen, es el NAT de direccin IP de

origen posterior.
saliente si
Interfaz de destino de la sesin.
paquetes
Nmero total de paquetes (transmitidos y recibidos) de la sesin.
paquetes recibidos
Nmeros de paquetes de servidor a cliente de la sesin.

serie PA-4000.
Palo Alto Networks
Tabla 44. Campos de Trfico (Continuacin)

Campo
Significado
paquetes enviados
Nmeros de paquetes de cliente a servidor de la sesin.

serie PA-4000.
protocolo
Protocolo IP asociado a la sesin.
hora de recepcin
Nmero de sesiones con el mismo IP de origen, IP de destino,

Aplicacin y Subtipo observados en 5 segundos. Utilizado
nicamente para ICMP.
regla
Nombre de la regla con la que ha coincidido la sesin.
nmero secuencial

serie
Palo Alto Networks

Campo
Significado
session_end_reason
Razn por la que ha finalizado una sesin. Si la finalizacin ha

tenido varias causas, este campo solo muestra la ms importante.
Los valores de la posible razn de finalizacin de la sesin son
los siguientes en orden de prioridad (el primero es el ms
importante):
threat: el cortafuegos ha detectado una amenaza asociada
con una accin de restablecimiento, borrado o bloqueo
(direccin IP).
policy-deny: la sesin ha hecho coincidir una poltica de
seguridad con una accin de denegacin o borrado.
tcp-rst-from-client: el cliente ha enviado un restablecimiento
de TCP al servidor.
tcp-rst-from-server: el servidor ha enviado un restablecimiento
de TCP al cliente.
resources-unavailable: la sesin se ha cancelado debido a
una limitacin de recursos del sistema. Por ejemplo, la sesin
podra haber superado el nmero de paquetes que no funcionan
permitidos por flujo o por la cola de paquetes que no funcionan
globales.
tcp-fin: uno o varios hosts de la conexin han enviado un
mensaje FIN de TCP para cerrar la sesin.
tcp-reuse: se reutiliza una sesin y el cortafuegos cierra la
sesin anterior.
decoder: el decodificador detecta una nueva conexin en el
protocolo (como HTTP-Proxy) y finaliza la conexin anterior.
aged-out: la sesin ha caducado.
unknown: este valor se aplica en las siguientes situaciones:
Para logs generados en una versin de PAN-OS que no
admite el campo de razn de finalizacin de sesin
(versiones posteriores a 6.1), el valor ser unknown (desconocido) despus de una actualizacin de la versin actual
de PAN-OS o despus de que los logs se carguen en el
cortafuegos.
En Panorama, los logs recibidos de los cortafuegos para los
que la versin de PAN-OS no admite razones de finalizacin
de sesin tendrn un valor unknown.
id de sesin
Identificador numrico interno aplicado a cada sesin.
puerto de origen
Puerto de origen utilizado por la sesin.
origen
Direccin IP de origen de la sesin original.
ubicacin de origen
Pas de origen o regin interna para direcciones privadas.

y posterior.
usuario de origen
Nombre del usuario que inici la sesin.
inicio
Hora de inicio de sesin.
subtipo
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar
y Denegar. Consulte la tabla de campos de Subtipo para conocer
el significado de cada valor.
Palo Alto Networks

Campo
Significado
hora de generacin
hora de recepcin
Para
Zona de destino de la sesin.
tipo

vsys
Sistema virtual asociado a la sesin.
Tabla 45. Campos de Coincidencias HIP

Campo
Significado
marcas de accin


segn cef


segn cef

compatible con CEF.
nombre de mquina
Nombre de la mquina del usuario.
nombre de coincidencia
Nombre del perfil u objeto HIP.
tipo de coincidencia
Especifica si el campo HIP representa un objeto HIP o un

perfil HIP.
hora de recepcin
Nmero de veces que ha coincidido el perfil HIP.
nmero secuencial

serie
origen
Direccin IP del usuario de origen.
usuario de origen
Nombre del usuario de origen.
subtipo
Subtipo del log Coincidencias HIP (no utilizado).
hora de generacin
tipo

vsys
Sistema virtual asociado al log Coincidencias HIP.
Palo Alto Networks
Configuracin de ajustes de notificaciones por correo electrnico

Dispositivo > Perfiles de servidor > Correo electrnico
Panorama > Perfiles de servidor > Correo electrnico
Para generar mensajes de correo electrnico para logs, debe configurar un perfil de correo
electrnico. Despus de definir la configuracin de correo electrnico, podr habilitar las
notificaciones por correo electrnico para entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema). Para obtener informacin sobre
cmo programar la entrega de informes por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.
Tabla 46. Configuracin de notificaciones por correo electrnico

Campo
Descripcin
Nombre
Introduzca un nombre para la configuracin de correo electrnico

Compartido

sistemas virtuales.
Pestaa Servidores
Servidor
Introduzca un nombre para identificar el servidor (1-31 caracteres).

Este campo es solamente una etiqueta y no tiene que ser el nombre de
host de un servidor SMTP existente.
Mostrar nombre
Introduzca el nombre mostrado en el campo De del correo electrnico.
De
Introduzca la direccin de correo electrnico del remitente, como

alerta_seguridad@empresa.com.
Para
Introduzca la direccin de correo electrnico del destinatario.
Destinatario adicional
Tambin puede introducir la direccin de correo electrnico de otro

destinatario. Solo puede aadir un destinatario adicional. Para aadir
varios destinatarios, aada la direccin de correo electrnico de una lista
de distribucin.
Puerta de enlace
Introduzca la direccin IP o el nombre de host del servidor Simple Mail

Transport Protocol (SMTP) utilizado para enviar el correo electrnico.
Pestaa Formato de log personalizado

Tipo de log
Haga clic en el tipo de log para abrir un cuadro de dilogo que le

permitir especificar un formato de log personalizado. En el cuadro de
dilogo, haga clic en un campo para aadirlo al rea Formato de log.
Haga clic en ACEPTAR para guardar la configuracin.
Escape
Incluya los caracteres de escape y especifique el carcter o los caracteres

de escape.
No puede eliminar un ajuste de correo electrnico que se utilice en algn ajuste del
log Sistema o Configuracin o algn perfil de logs.
Palo Alto Networks

Dispositivo > Perfiles de servidor > Flujo de red
El cortafuegos puede generar y exportar registros de la versin 9 de flujo de red con
informacin de flujo de trfico IP unidireccional a un recopilador externo. El cortafuegos
admite las plantillas de flujo de red estndar y selecciona la correcta basndose en los datos
que se van a exportar.
La exportacin de flujo de red se puede habilitar en cualquier interfaz de entrada (ingress)
del cortafuegos. Se definen registros de plantillas independientes para trfico IPv4, IPv4 con
NAT e IPv6. Asimismo, tambin se pueden exportar campos especficos de PAN-OS para la
identificacin de aplicaciones y usuarios (App-ID y User-ID). Esta funcin est disponible en
todas las plataformas, excepto en los cortafuegos de la serie PA-4000 y PA-7050.
Para configurar exportaciones de datos de flujo de red, defina un perfil de servidor de flujo
de red, que especifica la frecuencia de la exportacin junto con los servidores de flujo de red
que recibirn los datos exportados. A continuacin, cuando asigne el perfil a una interfaz de
cortafuegos existente, todo el trfico que pase por dicha interfaz se exportar a los servidores
especificados. Todos los tipos de interfaces admiten la asignacin de un perfil de flujo de red.
Consulte Configuracin de la interfaz de un cortafuegos para obtener informacin sobre
cmo asignar un perfil de flujo de red a una interfaz.
Tabla 47. Configuracin de flujo de red

Campo
Descripcin
Nombre
Introduzca un nombre para la configuracin de flujo de red (de hasta 31

y guiones bajos.
Tasa de actualizacin de
plantilla
Especifique el nmero de minutos (1-3600, de forma predeterminada 30)

o paquetes (1-600, de forma predeterminada 20) despus de los cuales el
cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier
cambio. La frecuencia de actualizacin necesaria depende del recopilador
de flujo de red: Si aade varios recopiladores de flujo de red al perfil del
servidor, utilice el valor del recopilador con la velocidad de actualizacin
ms rpida.
Tiempo de espera activo
Especifique la frecuencia (en minutos) a la que el cortafuegos exporta

registros de datos para cada sesin (1-60, 5 de forma predeterminada).
Establezca la frecuencia basada en cuntas veces quiere que el recopilador
del flujo de datos actualice las estadsticas de trfico.
Exportar tipos de
campos especficos de
PAN-OS
Exporte campos especficos de PAN-OS como los de identificacin de

aplicaciones y usuario (App-ID y User-ID) en registros de flujo de red.
Servidores
Nombre
Especifique un nombre para identificar el servidor (de hasta 31 caracteres).

guiones bajos.
Servidor
Especifique el nombre de host o la direccin IP del servidor. Puede aadir

un mximo de dos servidores por perfil.
Puerto
Especifique el nmero de puerto para el acceso al servidor (valor

predeterminado: 2.055).
Palo Alto Networks
Uso de certificados
Dispositivo > Gestin de certificados > Certificados
Certificados utilizados para cifrar datos y garantizar la comunicacin en una red.
Gestin de certificados de dispositivos: Utilice la pestaa Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivos para gestionar (generar,
importar, renovar, eliminar, revocar) los certificados de dispositivos utilizados para
garantizar una comunicacin segura. Tambin puede exportar e importar la clave de
HA que se utiliza para garantizar la conexin entre los peers de HA en la red.
Gestin de entidades de certificacin de confianza predeterminadas: Utilice la pestaa

Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas para ver, habilitar y deshabilitar las entidades de certificados
(CA) en las que confa el cortafuegos.
Creacin un perfil de certificados: Utilice la pestaa Dispositivo > Gestin de

certificados > Perfil del certificado para
Cmo aadir un respondedor OCSP
Gestin de certificados de dispositivos

Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos
Panorama > Gestin de certificados > Certificados
Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como
asegurar el acceso a la interfaz web, descifrado de SSL o LSVPN.
Utilice esta pestaa para generar certificados de seguridad para los siguientes usos:
Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.
No fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado

cuando el servidor al que se estn conectando est firmado por una CA que no est en la
lista de CA de confianza del cortafuegos.
CA raz de confianza: El certificado est marcado como CA de confianza con fines de

descifrado de reenvo.
Cuando el cortafuegos descifra trfico, comprueba si el certificado ascendente ha sido
emitido por una CA de confianza. Si no es as, utiliza un certificado de CA no fiable
especial para firmar el certificado de descifrado. En este caso, el usuario ver la pgina de
error de certificado habitual al acceder al cortafuegos y deber desestimar la advertencia
de inicio de sesin.
El cortafuegos tiene una extensa lista de CA de confianza existentes. El certificado de CA
raz de confianza es para CA adicionales que son fiables para su empresa pero que no
forman parte de la lista de CA fiables preinstalada.
Palo Alto Networks
Exclusin de SSL: Este certificado excluye las conexiones si se encuentran durante el

descifrado de proxy de reenvo SSL.
Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificacin para
un certificado, el cortafuegos utilizar este certificado para todas las sesiones de gestin
basadas en web futuras tras la prxima operacin de compilacin.
Certificado de Syslog seguro: Este certificado activa el reenvo seguro de syslogs en un

servidor de syslog externo.
Para generar un certificado, haga clic en Generar y especifique la siguiente informacin.
Tabla 48. Configuracin para generar un certificado

Campo
Descripcin
Nombre del certificado
Introduzca un nombre (de hasta 31 caracteres) para identificar el

certificado. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos. Solo se requiere el nombre.
Nombre comn
Introduzca la direccin IP o FQDN que aparecer en el certificado.
Ubicacin
Seleccione un sistema virtual o seleccione Compartido para que el

certificado est disponible para todos los sistemas virtuales.
Firmado por
Un certificado se puede firmar con un certificado de CA importado al

cortafuegos o se puede utilizar un certificado autofirmado donde el
propio cortafuegos es la CA. Si est utilizando Panorama, tambin tiene
la opcin de generar un certificado autofirmado para Panorama.
Si ha importado certificados de CA o los ha emitido en el propio
dispositivo (autofirmados), el men desplegable incluye los CA
disponibles para firmar el certificado que se est creando.
Para generar una solicitud de firmado de certificado, seleccione una
autoridad externa (CSR). Se generarn el certificado y el par de claves;
ahora puede exportar la CSR.
Autoridad del
certificado
Si desea que el cortafuegos emita el certificado, seleccione la casilla de

verificacin Autoridad del certificado
Marcar este certificado como CA le permitir utilizarlo para firmar otros
certificados en el cortafuegos.
OCSP responder
Seleccione un perfil de respondedor OSCP de la lista desplegable.

El perfil del respondedor OCSP se configura en la pestaa Dispositivo >
Gestin de certificados > OCSP responder. Cuando selecciona un
respondedor OCSP, el nombre de host correspondiente aparece en el
certificado.
Nmero de bits
Seleccione la longitud de la clave del certificado.

Si el cortafuegos est en modo FIPS/CC, las claves RSA generadas deben
tener 2048 bits o ms
Resumen
Seleccione el algoritmo de resumen del certificado.

Si el cortafuegos est en modo FIPS/CC, las firmas de certificados deben
ser SHA256 o superiores.
Palo Alto Networks
Tabla 48. Configuracin para generar un certificado (Continuacin)

Campo
Descripcin
Vencimiento (das)
Especifique el nmero de das que el certificado ser vlido. El valor

predeterminado es de 365 das.
Si especifica un Perodo de validez en una configuracin del satlite
del portal de GlobalProtect, ese valor cancelar el valor introducido en
este campo.
Atributos del certificado
De forma alternativa, haga clic en Aadir para especificar atributos

del certificado adicionales que se deben utilizar para identificar la
entidad para la que est emitiendo el certificado. Puede aadir cualquiera
de los siguientes atributos: Pas, Estado, Localidad, Organizacin,
Departamento, Correo electrnico. Adems, puede especificar uno de los
siguientes campos de nombre alternativo del asunto: Nombre de host
(SubjectAltName:DNS), IP (SubjectAltName:IP), y Correo electrnico
alternativo (SubjectAltName:email).
Nota: Para aadir un pas como atributo de certificado, seleccione Pas en la
columna Tipo y, a continuacin, haga clic en la columna Valor para ver los
cdigos de pas ISO 6366.
Si ha configurado un HSM, las claves privadas se almacenan en el HSM externo en lugar de en

el propio cortafuegos.
Palo Alto Networks
Despus de generar el certificado, los detalles aparecen en la pgina.
Tabla 49. Otras acciones admitidas

Acciones
Descripcin
Eliminar
Seleccione el certificado que desea eliminar y haga clic en Eliminar.
Revocar
Seleccione el certificado que desea revocar y haga clic en Revocar.

El certificado se establecer instantneamente en estado revocado.
No es necesario realizar una compilacin.
Renovar
En caso de que un certificado caduque o est a punto de caducar,

seleccione el certificado correspondiente y haga clic en Renovar.
Establezca el periodo de validez (en das) para el certificado y haga clic
en Aceptar.
Si el cortafuegos es la CA que emiti el certificado, el cortafuegos lo
sustituir por un nuevo certificado que tenga un nmero de serie
diferente pero los mismos atributos que el certificado anterior.
Si una entidad de certificacin (CA) externa firm el certificado y el
cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos
utilizar informacin del respondedor OCSP para actualizar el estado
del certificado.
Importar
Para importar un certificado, haga clic en Importar y especifique los

siguientes detalles
Nombre para identificar el certificado.
Utilice la opcin Examinar para buscar el archivo de certificado.
Si est importando un certificado PKCS #12 y una clave privada,
este ser el nico archivo que contiene a ambos objetos. Si utiliza
PEM, este ser nicamente el certificado pblico.
Seleccione el formato de archivo para el archivo de certificado.
Seleccione la casilla La clave privada reside en el mdulo de
seguridad de hardware si est utilizando un HSM par almacenar la
clave privada para este certificado. Si desea ms informacin sobre
HSM, consulte Definicin de mdulos de seguridad de hardware.
Seleccione la casilla de verificacin Importar clave privada para
cargar la clave privada e introducir la frase de contrasea dos veces.
Si utiliza PKCS #12, el archivo de clave se seleccion anteriormente.
Si utiliza PEM, busque el archivo de clave privada cifrada (por lo
general, denominado *.key).
Seleccione el sistema virtual al que desea importar el certificado de la
lista desplegable.
Generar
Consulte generar.
Exportar
Para exportar un certificado, seleccione el certificado que desea exportar y

haga clic en Exportar. Seleccione el formato de archivo que desea que
utilice el certificado exportado (.pfx para PKCS#12 o .pem para formato
de codificacin base64).
Seleccione la casilla de verificacin Exportar clave privada e introduzca
una frase de contrasea dos veces para exportar la clave privada adems
del certificado.
Palo Alto Networks
Tabla 49. Otras acciones admitidas

Acciones
Descripcin
Importar clave de HA
Las claves de HA se deben intercambiar entre ambos peers del

cortafuegos; es decir, se debe exportar la clave del cortafuegos 1 y,
a continuacin, importarse al cortafuegos 2 y viceversa.
Exportar clave de HA
Para importar claves para alta disponibilidad (HA), haga clic en

Importar clave de HA y explore para especificar el archivo de clave
que se importar.
Para exportar claves para HA, haga clic en Exportar clave de HA y
especifique una ubicacin en la que guardar el archivo.
Defina el uso del
certificado
En la columna Nombre, seleccione el enlace para el certificado y las

casillas de verificacin para indicar cmo planea utilizar el certificado.
Para obtener una descripcin de cada uno de ellos, consulte usos.
Gestin de entidades de certificacin de confianza predeterminadas

Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas
Utilice esta pgina para ver, deshabilitar o exportar las entidades de certificacin (CA)
preincluidas en las que confa el cortafuegos. Aparece el nombre, asunto, emisor, fecha de
vencimiento y estado de validez de cada una de ellas.
Esta lista no incluye los certificados de CA generados en el cortafuegos.
Tabla 50. Configuracin de entidades de certificacin de confianza

Campo
Descripcin
Habilitar
Si ha deshabilitado una CA y desea habilitarla, haga clic en la

casilla de verificacin junto a la CA y, a continuacin, haga clic en
Habilitar.
Deshabilitar
Haga clic en la casilla de verificacin junto a la CA que desee

deshabilitar y, a continuacin, haga clic en Deshabilitar. Puede
que le interese esto si solamente desea confiar en determinadas
CA o eliminarlas todas para nicamente confiar en su CA local.
Exportar
Haga clic en la casilla de verificacin junto a la CA y, a continuacin, haga clic en Exportar para exportar el certificado de CA.
Puede realizar esta accin para importar el certificado a otro
sistema o si desea verlo fuera de lnea.
Creacin un perfil de certificados

Dispositivo > Gestin de certificados > Perfil del certificado
Panorama > Gestin de certificados > Perfil del certificado
Los perfiles de certificados definen la autenticacin de usuarios y dispositivos para portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad mvil y acceso a
la interfaz web del cortafuegos/Panorama. Los perfiles especifican qu certificados deben
utilizarse, cmo verificar el estado de revocacin de certificados y cmo restringe el acceso
dicho estado. Configure un perfil de certificado para cada aplicacin.
Palo Alto Networks
Tabla 51. Configuracin de perfiles de certificado

Tipo de pgina
Descripcin
Nombre
Introduzca un nombre para identificar el perfil (de hasta 31

nmeros, espacios, guiones y guiones bajos.
Ubicacin
Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el perfil estar disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.
Campo de nombre de usuario
Si GlobalProtect solo utiliza certificados para la autenticacin del

portal/puerta de enlace, PAN-OS utiliza el campo de certificado
que seleccione en la lista desplegable Campo de nombre de usuario
como nombre de usuario y busca coincidencias con la direccin IP
del ID de usuario (User-ID):
Asunto: PAN-OS utiliza el nombre comn.

Asunto alternativo: Seleccione si PAN-OS utiliza el correo
electrnico o nombre principal.
Ninguno: Suele destinarse al dispositivo GlobalProtect o a la

autenticacin anterior al inicio de sesin.
Dominio
Introduzca el dominio NetBIOS para que PAN-OS pueda identificar

a los usuarios mediante el ID de usuario.
Certificados de CA
Haga clic en Aadir y seleccione un certificado de CA para

asignarlo al perfil.
Opcionalmente, si el cortafuegos utiliza el protocolo de estado de
certificado en lnea (OCSP) para verificar el estado de revocacin
de certificados, configure los siguientes campos para cancelar
el comportamiento predeterminado. Para la mayora de las
implementaciones, estos campos no son aplicables.
De manera predeterminada, el cortafuegos utiliza la URL del
respondedor OCSP que estableci en el procedimiento Cmo

aadir un respondedor OCSP. Para cancelar ese ajuste, introduzca una URL de OCSP predeterminada (que comience por
http:// o https://).
De manera predeterminada, el cortafuegos utiliza el certificado
seleccionado en el campo Certificado de CA para validar las
respuestas de OCSP. Para utilizar un certificado diferente para la
validacin, seleccinelo en el campo Verificacin de certificado
CA con OCSP.
Utilizar CRL
Seleccione la casilla de verificacin para utilizar una lista de

revocacin de certificados (CRL) para verificar el estado de
revocacin de los certificados.
Utilizar OCSP
Seleccione la casilla de verificacin para utilizar OCSP y verificar el

estado de revocacin de los certificados.
Nota: Si selecciona OCSP y CRL, el cortafuegos primero intentar
utilizar el OCSP y solamente retroceder al mtodo CRL si el respondedor
OCSP no est disponible.
Tiempo de espera de
recepcin de CRL
Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos

deja de esperar una respuesta del servicio CRL.
Palo Alto Networks
Tabla 51. Configuracin de perfiles de certificado (Continuacin)

Tipo de pgina
Descripcin
Tiempo de espera de
recepcin de OCSP

deja de esperar una respuesta del respondedor OCSP.
Tiempo de espera del estado

del certificado

deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lgica de bloqueo de sesin que defina.
Bloquear una sesin si el

estado del certificado es
desconocido
Seleccione la casilla de verificacin si desea que el cortafuegos

bloquee sesiones cuando el servicio OCSP o CRL devuelva un
estado de revocacin de certificados desconocido (unknown).
De lo contrario, el cortafuegos continuar con la sesin.
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Seleccione la casilla de verificacin si desea que el cortafuegos

bloquee sesiones despus de registrar un tiempo de espera de la
solicitud de OCSP o CRL. De lo contrario, el cortafuegos continuar
con la sesin.
Cmo aadir un respondedor OCSP

Dispositivo > Gestin de certificados > OCSP responder
Utilice la pgina OCSP responder para definir un respondedor (servidor) del protocolo
de estado de certificado en lnea (OCSP) que verifique el estado de la revocacin de los
certificados.
Adems de aadir un respondedor OCSP, habilitar un OCSP requiere las siguientes tareas:
Activar la comunicacin entre el cortafuegos y el servidor del OCSP: seleccione

Dispositivo > Configuracin > Gestin, edite la seccin Configuracin de interfaz de
gestin, seleccione OCSP de HTTP y, a continuacin, haga clic en Aceptar.
Si el cortafuegos descifra el trfico SSL/TLS saliente, configrelo de forma optativa para

verificar el estado de revocacin de los certificados del servidor de destino: seleccione
Dispositivo > Configuracin > Sesiones, haga clic en Configuracin de revocacin
de certificados de descifrado, seleccione la opcin para habilitar en la seccin OCSP,
introduzca el tiempo de espera de recepcin (intervalo despus del cual el cortafuegos
deja de esperar una respuesta del OCSP) y, a continuacin, haga clic en Aceptar.
Opcionalmente, para configurar el propio cortafuegos como respondedor OCSP, aada

un perfil de gestin de interfaz a la interfaz utilizada para servicios OCSP. En primer
lugar, seleccione Red > Perfiles de red > Gestin de interfaz, haga clic en Aadir,
seleccione OCSP de HTTP y, a continuacin, haga clic en Aceptar. En segundo lugar,
seleccione Red > Interfaces, haga clic en el nombre de la interfaz que utilizar el
cortafuegos para los servicios del OCSP, seleccione Avanzado > Otra informacin,
seleccione el perfil de gestin de la interfaz que ha configurado y, a continuacin, haga clic
en Aceptar y Compilar.
Palo Alto Networks
Tabla 52. Configuracin de respondedor OCSP

Campo
Descripcin
Nombre
Introduzca un nombre para identificar al respondedor (hasta 31

caracteres). El nombre distingue entre maysculas y minsculas.
Debe ser exclusivo y utilizar nicamente letras, nmeros,
Ubicacin
Si el cortafuegos admite varios sistemas virtuales, el cuadro de

dilogo muestra el men desplegable Ubicacin. Seleccione
el sistema virtual donde el respondedor estar disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.
Nombre de host
Especifique el nombre de host (recomendado) o la direccin IP

del respondedor OCSP. A partir de este valor, PAN-OS deriva
automticamente una URL y la aade al certificado que se
est verificando. Si configura el propio cortafuegos como
respondedor OCSP, el nombre de host debe resolverse en una
direccin IP de la interfaz que utiliza el cortafuegos para servicios
de OCSP.
Cifrado de claves privadas y contraseas del cortafuegos

Dispositivo > Clave maestra y diagnstico
Panorama > Clave maestra y diagnstico
Utilice la pgina Clave maestra y diagnstico para especificar una clave maestra para cifrar
las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). La clave
maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar
el acceso a la CLI), la clave privada utilizada para autenticar el acceso a la interfaz web del
dispositivo y cualquier otra clave cargada en el dispositivo. Como la clave maestra se utiliza
para cifrar el resto de claves, asegrese de almacenarla en un lugar seguro.
Incluso aunque no se especifique una clave maestra nueva, las claves privadas siempre se
almacenan de forma cifrada en el dispositivo, de forma predeterminada. Esta opcin de clave
maestra ofrece una capa aadida de seguridad.
Si los dispositivos tienen una configuracin de alta disponibilidad (HA), asegrese de utilizar
la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los
certificados se cifran con la misma clave. Si las claves maestras son diferentes, la sincronizacin
de la configuracin de HA no funcionar correctamente.
Para aadir una clave maestra, haga clic en el botn de edicin en la seccin Clave maestra y
utilice la siguiente tabla para introducir los valores:
Tabla 53. Configuracin de clave maestra y diagnstico

Campo
Descripcin
Clave maestra actual
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del dispositivo.
Nueva clave principal
Para cambiar la clave maestra, introduzca una cadena de 16 caracteres y

confirme la nueva clave.
Confirmar clave maestra
Palo Alto Networks
Tabla 53. Configuracin de clave maestra y diagnstico (Continuacin)

Campo
Descripcin
Duracin
Especifique el nmero de das y horas tras el cual vence la clave maestra

(rango: 1-730 das).
Deber actualizar la clave maestra antes de su vencimiento. Para obtener
informacin sobre cmo actualizar claves maestras, consulte Habilitacin
de HA en el cortafuegos.
Tiempo para el
recordatorio
Especifique el nmero de das y horas antes del vencimiento, en cuyo

momento se notificar al usuario del vencimiento inminente (rango:
1-365 das).
Almacenado en HSM
Marque esta casilla si la clave maestra se cifra en un mdulo de seguridad

de hardware (HSM). No puede utilizar HSM en una interfaz dinmica
como un cliente DHCP o PPPoE.
La configuracin HSM no est sincronizada entre dispositivos de peer
en modo de alta disponibilidad. Por lo tanto, cada peer del par de HA
se puede conectar a un origen HSM diferente. Si utiliza Panorama y
desea mantener sincronizada la configuracin en ambos peers, utilice
las plantillas de Panorama para configurar el origen de HSM en los
HSM no es compatible con los cortafuegos de las series PA-200, PA-500 y
PA-2000.
Criterios comunes
Palo Alto Networks
En el modo Criterios comunes, hay disponibles botones adicionales

para ejecutar una prueba automtica de algoritmos criptogrficos y una
prueba automtica de integridad del software. Tambin se incluye un
programador para especificar los momentos en los que se ejecutarn las
dos pruebas automticas.
Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Para redundancia, el cortafuegos se puede implementar en una configuracin activa/pasiva o
activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se
reflejan entre s en la configuracin.
En un par de HA, ambos cortafuegos deben tener el mismo modelo, deben ejecutar la
misma versin de PAN-OS y deben tener el mismo conjunto de licencias.
Para cada seccin de la pgina Alta disponibilidad, haga clic en Editar en el encabezado y
especifique la informacin correspondiente descrita en la tabla siguiente.
Tabla 54. Configuracin de HA

Campo
Descripcin
Pestaa General
Configuracin

Habilitar HA: Active las prestaciones de HA.
ID de grupo: Introduzca un nmero para identificar el par activo/pasivo
(de 1 a 63). Permite que varios pares de cortafuegos activos/pasivos
residan en la misma red. El ID debe ser exclusivo cuando hay ms de un
par de alta disponibilidad residiendo en una red de capa 2.
Descripcin: Introduzca una descripcin del par activo/pasivo (opcional).
Modo: Seleccione activo-activo o activo-pasivo.
Direccin IP de HA del peer: Introduzca la direccin IP de la interfaz de
HA1 que se especifica en la seccin Enlace de control del otro cortafuegos.
Crear copia de seguridad de la direccin IP de HA del peer: Introduzca la
direccin IP del enlace de control de copia de seguridad del peer.
Habilitar sincronizacin de configuracin: Sincronice la configuracin
entre peers.
Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los
cortafuegos activo y pasivo (cortafuegos con puertos de HA especficos).
Dplex de enlace: Seleccione una opcin de dplex para el enlace de datos
entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA
especficos).
Palo Alto Networks
Tabla 54. Configuracin de HA (Continuacin)

Campo
Descripcin
Configuracin de
eleccin
Especifique o habilite los siguientes ajustes:

Prioridad de dispositivo: Introduzca un valor de prioridad para identificar
el cortafuegos activo. El cortafuegos con el valor ms bajo (alta prioridad)
se convierte en el cortafuegos activo (rango 0-255) cuando la funcin
Preferente est activada en ambos cortafuegos del par.
Copia de seguridad de heartbeat: Utiliza los puertos de gestin en los
dispositivos de HA para proporcionar una ruta de copia de seguridad para
mensajes de latidos y saludos. La direccin IP del puerto de gestin se
compartir con el peer de HA a travs del enlace de control HA1. No se
requiere ninguna configuracin adicional.
Preferente: Habilite el cortafuegos de mayor prioridad para reanudar el
funcionamiento activo tras recuperarse de un fallo. La opcin Preferencia
debe estar habilitada en ambos dispositivos para que el cortafuegos de
mayor prioridad reanude el funcionamiento activo tras recuperarse de un
fallo. Si este ajuste est desactivado, el cortafuegos de menor prioridad
permanecer activo incluso despus de que el cortafuegos de mayor
prioridad se recupere de un fallo.
Configuracin de temporizador de HA: Seleccione uno de los perfiles
preestablecidos:
Recomendada: Para configuracin de temporizador de conmutacin por
error tpica.
Agresivo: Para configuracin de temporizador de conmutacin por
error ms rpida.
Para ver el valor preestablecido para un temporizador concreto incluido

en un perfil, seleccione Avanzado y haga clic en Carga recomendada o
Carga intensiva. Los valores preestablecidos para su modelo de hardware
aparecern en la pantalla.
Avanzado: Le permite personalizar los valores para adaptarse a sus
requisitos de red para cada uno de los siguientes temporizadores:
Tiempo de espera de promocin: Introduzca el

tiempo que el dispositivo pasivo (en el modo activo/
pasivo) o el dispositivo secundario activo (en el
modo activo/activo) esperar antes de tomar el
control como dispositivo activo o principal activo
despus de perder las comunicaciones con el peer de
HA. Este tiempo de espera nicamente comenzar
despus de haber realizado una declaracin de fallo
de peer.
Intervalo de saludo: Introduzca el nmero de
milisegundos entre los paquetes de saludo enviados
para verificar que el programa de HA del otro
cortafuegos est operativo. El rango es de 8000-60000
ms con un valor predeterminado de 8000 ms para
todas las plataformas.
Intervalo de heartbeat: Especifique con qu
frecuencia los peers de HA intercambian mensajes
de latidos con la forma de un ping ICMP (rango:
1.000-60.000 ms; valor predeterminado: 1.000 ms).
Palo Alto Networks

Campo
Descripcin
N. mximo de flaps: Se cuenta un flap cuando
el cortafuegos deja el estado activo antes de que
transcurran 15 minutos desde la ltima vez que dej
el estado activo. Puede especificar el nmero mximo
de flaps permitidos antes de que se determine
suspender el cortafuegos y que el cortafuegos pasivo
tome el control (rango: 0-16; valor predeterminado:
3). El valor 0 significa que no hay mximo (se necesita
un nmero infinito de flaps antes de que el
cortafuegos pasivo tome el control).
Tiempo de espera para ser preferente: Introduzca el
tiempo que un dispositivo secundario pasivo o activo
esperar antes de tomar el control como dispositivo
activo o principal activo (rango: 1-60 min.; valor
predeterminado: 1 min.).
Tiempo de espera ascendente tras fallo de
supervisor (ms): Especifique el intervalo durante
el cual el cortafuegos permanecer activo tras un
fallo de supervisor de ruta o supervisor de enlace.
Se recomienda este ajuste para evitar una
conmutacin por error de HA debido a los flaps
ocasionales de los dispositivos vecinos (rango:
0-60.000 ms; valor predeterminado: 0 ms).
Tiempo de espera ascendente principal adicional
(min.): Este intervalo de tiempo se aplica al
mismo evento que Supervisar fallo de tiempo
de espera ascendente (rango: 0-60.000 ms; valor
predeterminado: 500 ms). El intervalo de tiempo
adicional nicamente se aplica al dispositivo activo
en el modo activo/pasivo y al dispositivo principal
activo en el modo activo/activo. Se recomienda este
temporizador para evitar una conmutacin por error
cuando ambos dispositivos experimentan el mismo
fallo de supervisor de enlace/ruta simultneamente.
Palo Alto Networks

Campo
Descripcin
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
La configuracin recomendada para la conexin del enlace de control de HA

es utilizar el enlace HA1 especfico entre los dos dispositivos y utilizar el
puerto de gestin como interfaz de enlace de control (copia de seguridad de
HA). En este caso, no necesita habilitar la opcin Copia de seguridad de
heartbeat en la pgina Configuracin de eleccin. Si est utilizando un puerto
HA1 fsico para el enlace de HA de enlace de control y un puerto de datos
para el enlace de control (copia de seguridad de HA), se recomienda habilitar
la opcin Copia de seguridad de heartbeat.
En el caso de dispositivos que no tienen un puerto de HA especfico, como el
PA-200, debe configurar el puerto de gestin para la conexin de HA del
enlace de control y una interfaz de puerto de datos configurada con el tipo
HA para la conexin de copia de seguridad de HA1 del enlace de control.
Como en este caso se est utilizando el puerto de gestin, no es necesario
habilitar la opcin Copia de seguridad de heartbeat en la pgina Configuracin de eleccin porque las copias de seguridad de latidos ya se realizarn
a travs de la conexin de interfaz de gestin.
Al utilizar un puerto de datos para el enlace de control de HA, debe tener en

cuenta que, dado que los mensajes de control tienen que comunicarse desde
el plano de datos hasta el plano de gestin, si se produce un fallo en el plano
de datos, la informacin del enlace de control de HA no podr comunicarse
entre los dispositivos y se producir una conmutacin por error. Lo mejor
es utilizar los puertos de HA especficos o, en dispositivos que no tengan
ningn puerto de HA especfico, el puerto de gestin.
Especifique los siguientes ajustes para los enlaces de control de HA principal
y de copia de seguridad:
Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y
de copia de seguridad. El ajuste de copia de seguridad es opcional.
Nota: El puerto de gestin tambin se puede utilizar como enlace de control.
Direccin IPv4/IPv6: Introduzca la direccin IPv4 o IPv6 de la interfaz
de HA1 para las interfaces de HA1 principal y de copia de seguridad.
El ajuste de copia de seguridad es opcional.
Mscara de red: Introduzca la mscara de red de la direccin IP (como
255.255.255.0) para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Puerta de enlace: Introduzca la direccin IP de la puerta de enlace
predeterminada para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Velocidad de enlace (nicamente modelos con puertos de HA especficos): Seleccione la velocidad del enlace de control entre los cortafuegos
para el puerto de HA1 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los
cortafuegos para el puerto de HA1 especfico.
Cifrado habilitado: Habilite el cifrado despus de exportar la clave de HA
desde el peer de HA e importarla a este dispositivo. La clave de HA de este
dispositivo tambin debe exportarse desde este dispositivo e importarse
al peer de HA. Configure este ajuste para la interfaz de HA1 principal.
La importacin/exportacin de claves se realiza en la pgina Certificados.
Consulte Importacin, exportacin y generacin de certificados de
seguridad en la pgina 60.
Palo Alto Networks

Campo
Descripcin
Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperar antes de declarar un fallo de
peer debido a un fallo del enlace de control (1.000-60.000 ms; valor predeterminado: 3.000 ms). Esta opcin supervisa el estado del enlace fsico de
los puertos de HA1.
Enlace de datos
(HA2)
Especifique los siguientes ajustes para el enlace de datos principal y de copia

de seguridad:
Puerto: Seleccione el puerto de HA. Configure este ajuste para las interfaces
de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad
es opcional.
Direccin IP: Especifique la direccin IPv4 o IPv6 de la interfaz de HA para
las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia
de seguridad es opcional.
Mscara de red: Especifique la mscara de red de la interfaz de HA para las
interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de
seguridad es opcional.
Puerta de enlace: Especifique la puerta de enlace predeterminada de la
interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Si las direcciones IP de
HA2 de los cortafuegos del par de HA estn en la misma subred, el campo
Puerta de enlace debera quedarse en blanco.
Habilitar sincronizacin de sesin: Habilite la sincronizacin de la informacin de la sesin con el cortafuegos pasivo y seleccione una opcin de
transporte.
Transporte: Seleccione una de las siguientes opciones de transporte:
Ethernet: Utilice esta opcin cuando los cortafuegos estn conectados
opuesto con opuesto o a travs de un conmutador (Ethertype 0x7261).
IP: Utilice esta opcin cuando se requiera el transporte de capa 3
(nmero de protocolo IP: 99).
UDP: Utilice esta opcin para aprovechar el hecho de que la suma de
comprobacin se calcula sobre todo el paquete y no solamente el
encabezado, como en la opcin IP (puerto UDP 29281).
Velocidad de enlace (nicamente modelos con puertos de HA especficos): Seleccione la velocidad del enlace de control entre los cortafuegos
activo y pasivo para el puerto de HA2 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 especfico.
Conexin persistente de HA2: Seleccione esta casilla de verificacin para
habilitar la supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido, se producir la
accin definida (log o ruta de datos divididos). La opcin est deshabilitada de manera predeterminada.
Puede configurar la opcin Conexin persistente de HA2 en ambos
dispositivos o solamente un dispositivo del par de HA. Si la opcin se
establece nicamente en un dispositivo, solamente ese dispositivo enviar
los mensajes de conexin persistente. Sin embargo, se notificar al otro
dispositivo si se produce un fallo y pasar al modo de ruta de datos
divididos si se selecciona esa accin.
Palo Alto Networks

Campo
Descripcin
Accin: Seleccione la accin que debe realizarse si fallan los mensajes de
supervisin basndose en el ajuste de umbral.
nicamente log: Seleccione esta opcin para generar

un mensaje del log Sistema de nivel crtico cuando se
produzca un fallo de HA2 basndose en el ajuste de
umbral. Si la ruta de HA2 se recupera, se generar un
log informativo.
En una configuracin activa/pasiva, debe utilizar
esta accin, ya que no es necesario dividir los datos
porque no hay ms de un dispositivo activo en un
momento concreto.
Ruta de datos divididos: Esta accin est diseada
para una configuracin de HA activa/activa. En una
configuracin activa/activa, si el administrador o un
fallo de supervisin deshabilita la sincronizacin de
sesiones, la propiedad de sesin y la configuracin de
sesin se establecern como el dispositivo local y las
nuevas sesiones se procesarn localmente durante
la sesin.
Umbral (ms): Tiempo durante el cual los mensajes
de conexin persistente han fallado antes de que se
haya activado una de las acciones anteriores (rango:
5.000-60.000 ms; valor predeterminado: 10.000 ms).
Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producir
una conmutacin por error en el enlace de copia de seguridad si hay un fallo en el
enlace fsico. Con la opcin Conexin persistente de HA2 habilitada, la conmutacin
por error tambin se producir si fallan los mensajes de conexin persistente de HA
basados en el umbral definido.
Palo Alto Networks

Campo
Descripcin
Pestaa Supervisin de enlaces y rutas

Supervisin de rutas
Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden.
Utilice la supervisin de rutas para configuraciones de Virtual Wire, capa 2
o capa 3 cuando se necesite la supervisin de otros dispositivos de red en
caso de conmutacin por error y la supervisin de enlaces no sea suficiente
por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos
al responder.
Grupo de rutas
Defina uno o ms grupos de rutas para supervisar direcciones de destino

especficas. Para agregar un grupo de rutas, haga clic en Aadir para el tipo
de interfaz (Virtual Wire, VLAN o Enrutador virtual) y especifique lo
siguiente:
Nombre: Seleccione un cable virtual, VLAN o enrutador virtual en la lista
de seleccin desplegable (la seleccin desplegable se rellena dependiendo
de si aade un cable virtual, VLAN o ruta de enrutador virtual).
Habilitado: Habilite el grupo de rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
IP de origen: En el caso de interfaces de Virtual Wire y de VLAN, introduzca la direccin IP de origen utilizada en los paquetes sonda enviados al
enrutador de siguiente salto (direccin IP de destino). El enrutador local
debe ser capaz de enrutar la direccin al cortafuegos. La direccin IP de
origen para grupos de rutas asociados a enrutadores virtuales se configurar automticamente como la direccin IP de interfaz que se indica en la
tabla de rutas como la interfaz de salida (egress) para la direccin IP de
destino especificada.
IP de destino: Introduzca una o ms direcciones de destino (separadas por
comas) que se supervisarn.
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 200-60.000 milisegundos; valor predeterminado: 200 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 10 pings).
Palo Alto Networks

Campo
Descripcin
Supervisin de
enlaces
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Defina uno o ms grupos de enlaces para supervisar enlaces Ethernet

especficos. Para aadir un grupo de enlaces, especifique los siguientes
ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre de grupo de enlaces.
Habilitado: Habilite el grupo de enlaces.
Condicin de fallo: Seleccione si se produce un fallo cuando alguno o
todos los enlaces seleccionados presentan fallos.
Interfaces: Seleccione una o ms interfaces Ethernet que se supervisarn.
Pestaa Activo Pasivo

Estado de los enlaces
en el pasivo
Seleccione una de las siguientes opciones:

Automtico: Hace que el estado de los enlaces refleje la conectividad
fsica, pero descarta todos los paquetes recibidos. Esta opcin permite
que el estado de los enlaces de la interfaz permanezca activo hasta que
se produzca una conmutacin por error, disminuyendo la cantidad de
tiempo que tarda el dispositivo pasivo en tomar el control.
Esta opcin es compatible con el modo de capa 2, capa 3 y Virtual Wire.
La opcin Automtico es conveniente si es viable para su red.
Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. Esta es
la opcin predeterminada, que garantiza que no se creen bucles en la red.
Supervisar fallo de
tiempo de espera
descendente
Especifique la cantidad de tiempo (minutos) que un cortafuegos pasar en el

estado no funcional antes de volverse pasivo. Este temporizador nicamente
se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de
enlace (rango: 1-60; valor predeterminado: 1).
Pestaa Configuracin Activa/Activa

Reenvo de paquetes
Palo Alto Networks
Seleccione la casilla de verificacin Habilitar para permitir el reenvo de

paquetes a travs del enlace de HA3. Esto es obligatorio para sesiones
enrutadas asimtricamente que requieren la inspeccin de capa 7 para
inspeccin de identificacin de aplicaciones y usuarios (App-ID y Content-ID).

Campo
Descripcin
Interfaz de HA3
Seleccione la interfaz para reenviar paquetes entre peers de HA cuando est

configurada en el modo activo/activo.
Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo
Frames) en el cortafuegos y en todos los dispositivos de red intermediarios.
Para habilitar las tramas gigantes (Jumbo Frames), seleccione Dispositivo >
Configuracin < Sesin y la opcin Habilitar trama gigante en la
seccin Configuracin de sesin.
Sincronizacin de VR
Fuerce la sincronizacin de todos los enrutadores virtuales configurados en

los dispositivos de HA.
La sincronizacin del enrutador virtual se puede utilizar cuando el enrutador
virtual no est empleando protocolos de enrutamiento dinmico. Ambos
dispositivos deben conectarse al mismo enrutador de siguiente salto a travs
de una red conmutada y deben utilizar nicamente rutas estticas.
Sincronizacin
de QoS
Sincronice la seleccin de perfil de QoS en todas las interfaces fsicas.

Utilice esta opcin cuando ambos dispositivos tengan velocidades de enlace
similares y requieran los mismos perfiles de QoS en todas las interfaces
fsicas. Este ajuste afecta a la sincronizacin de la configuracin de QoS en
la pestaa Red. La poltica de QoS se sincroniza independientemente de
este ajuste.
Tiempo de espera de
tentativa (seg.)
Cuando falla un cortafuegos en un estado activo/activo de HA, este entrar

en estado de tentativa. Este temporizador define la duracin que tendr en
ese estado. Durante el periodo de tentativa, el cortafuegos intentar crear
adyacencias de ruta y completar su tabla de ruta antes de procesar los
paquetes. Sin este temporizador, el cortafuegos de recuperacin entrara en
estado activo-secundario inmediatamente y bloqueara los paquetes, ya que
carecera de las rutas necesarias (de forma predeterminada, 60 segundos).
Seleccin de propietario de sesin
Especifique una de las siguientes opciones para seleccionar el propietario

de sesin:
Dispositivo principal: Seleccione esta opcin para que el cortafuegos
principal activo gestione la inspeccin de capa 7 para todas las sesiones.
Este ajuste se recomienda principalmente para operaciones de solucin de
problemas.
Primer paquete: Seleccione esta opcin para que el cortafuegos que reciba
el primer paquete de la sesin sea responsable de la inspeccin de la capa 7
de manera que admita identificacin de aplicaciones y usuarios (App-ID y
Content-ID). Esta es la configuracin recomendada para reducir al mnimo
el uso del enlace de reenvo de paquetes de HA3.
Configuracin de
sesin
Seleccione el mtodo para la configuracin de sesin inicial.

Mdulo de IP: Selecciona un cortafuegos basado en la paridad de la
direccin IP de origen.
Dispositivo principal: Garantiza que todas las sesiones se configuran en
el cortafuegos principal.
Hash de IP: Determina el cortafuegos de configuracin mediante un hash
de la direccin IP de origen o direccin IP de origen y destino y un valor de
inicializacin de hash si se desea una mayor aleatorizacin.
Palo Alto Networks

Campo
Descripcin
Direccin virtual
Haga clic en Aadir, seleccione la pestaa IPv4 o IPv6 y, a continuacin,

vuelva a hacer clic en Aadir para introducir opciones para una direccin
virtual de HA que utilizar el clster activo/activo de HA. Puede seleccionar
el tipo de direccin virtual para que sea Flotante o Uso compartido de carga
de ARP. Tambin puede mezclar los tipos de direcciones virtuales del
clster: por ejemplo, puede utilizar el uso compartido de carga de ARP en
la interfaz de LAN y una IP flotante en la interfaz de WAN.
Flotante: Introduzca una direccin IP que se desplazar entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. Debe configurar
dos direcciones IP flotantes en la interfaz, de modo que cada cortafuegos
posea una y, a continuacin, establezca la prioridad. Si falla alguno de los
cortafuegos, la direccin IP flotante pasar al peer de HA.
Prioridad de dispositivo 0: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. El dispositivo con el valor
ms bajo tendr la prioridad.
Prioridad de dispositivo 1: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. El dispositivo con el valor
ms bajo tendr la prioridad.
Direccin de conmutacin por error si el estado de enlace no est
operativo: Utilice la direccin de conmutacin por error cuando el
estado del enlace est desactivado en la interfaz.
Uso compartido de carga de ARP: Introduzca una direccin IP que
compartir el par de HA y proporcionar servicios de puerta de enlace para
hosts. Esta opcin nicamente debera utilizarse cuando el cortafuegos y
los host se encuentren en el mismo dominio de difusin. Seleccione
Algoritmo de seleccin de dispositivo:
Mdulo de IP: Si se selecciona esta opcin, el cortafuegos que responda
a las solicitudes de ARP se seleccionar basndose en la paridad de la
direccin IP de los solicitantes de ARP.
Hash de IP: Si se selecciona esta opcin, el cortafuegos que responda a
las solicitudes de ARP se seleccionar basndose en un hash de la
direccin IP de los solicitantes de ARP.
Comandos de operacin
Suspender
dispositivo local
Cambia a Make local
device functional
Hace que el dispositivo de HA entre en el modo de suspensin y deshabilita

temporalmente las prestaciones de HA en el cortafuegos. Si suspende el
cortafuegos activo actual, el otro peer tomar el control.
Para volver a poner un dispositivo suspendido en un estado

funcional, CLI
Para probar la conmutacin por error, puede desconectar el cable del
dispositivo activo (o activo-principal) o puede hacer clic en este enlace para
suspender el dispositivo activo.
Aspectos importantes que hay que tener en cuenta al configurar la HA
La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.
Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del par se
sincronicen.
Palo Alto Networks
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
Puede comparar la configuracin de los cortafuegos local y peer mediante la herramienta

Auditora de configuraciones de la pestaa Dispositivo, seleccionando la configuracin
local deseada en el cuadro de seleccin de la izquierda y la configuracin del peer en el
cuadro de seleccin de la derecha.
Sincronice los cortafuegos desde la interfaz web pulsando el botn Introducir

configuracin ubicado en el widget de HA en la pestaa Panel. Tenga en cuenta que
la configuracin del dispositivo desde el que introducir la configuracin sobrescribir
la configuracin del dispositivo del peer. Para sincronizar los cortafuegos desde la CLI
del dispositivo activo, utilice el comando request high-availability sync-toremote running-config.
En una configuracin activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de
SFP+ de 10 gigabits, cuando se produce una conmutacin por error y el dispositivo activo cambia a un
estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el
puerto, pero no permite la transmisin hasta que el dispositivo vuelve a activarse. Si cuenta con un
software de supervisin en el dispositivo vecino, este ver el puerto como flap debido a su desactivacin
y posterior activacin. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de 1
gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisin, por lo que el dispositivo
vecino no detecta ningn flap.
HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva
que no incluye ninguna sincronizacin de sesiones. HA Lite permite la sincronizacin de la
configuracin y la sincronizacin de algunos elementos de tiempo de ejecucin. Tambin
admite la conmutacin por error de tneles de IPSec (las sesiones deben volver a establecerse),
informacin de concesin de servidor DHCP, informacin de concesin de cliente DHCP,
informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos cuando est
configurado en el modo de capa 3.
Definicin de sistemas virtuales

Dispositivo > Sistemas virtuales
Los sistemas virtuales son instancias de cortafuegos independientes (virtuales) que se
pueden gestionar de forma separada dentro de un cortafuegos fsico. Todos los sistemas
virtuales pueden ser cortafuegos independientes con su propia poltica de seguridad,
interfaces y administradores; un sistema virtual le permite segmentar la administracin de
todas las polticas (de seguridad, NAT, QoS, etc.), as como todas las funciones de creacin de
informes y visibilidad proporcionadas por el cortafuegos. Por ejemplo, si desea personalizar
las caractersticas de seguridad para el trfico asociado al departamento financiero, puede
definir un sistema virtual financiero y, a continuacin, definir polticas de seguridad que
pertenezcan nicamente a ese departamento. Para optimizar la administracin de polticas,
puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de
red, y crear a su vez cuentas de administrador de sistema virtual que permitan el acceso a
sistemas virtuales individuales. Esto permite al administrador de sistemas virtuales del
departamento financiero gestionar las polticas de seguridad nicamente de dicho
departamento.
Palo Alto Networks
Las funciones de red que incluyen rutas dinmicas y estticas pertenecen a todo el cortafuegos
(y a todos los sistemas virtuales en l); las funciones de nivel de red y de dispositivo no las
controlan los sistemas virtuales. Para cada sistema virtual puede especificar un conjunto
de interfaces de cortafuegos fsicas y lgicas (incluidas VLAN y Virtual Wire) y zonas de
seguridad. Si necesita segmentacin de rutas para cada sistema virtual, debe crear/asignar
enrutadores virtuales adicionales y asignar interfaces, VLAN, Virtual Wire, segn corresponda. De forma predeterminada, todas las interfaces, zonas y polticas pertenecen al sistema
virtual predeterminado (vsys1).
Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas virtuales. Los cortafuegos
de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia
adecuada. Los cortafuegos PA-500 y PA-200 no admiten sistemas virtuales.
Cuando habilite varios sistemas virtuales, tenga en cuenta lo siguiente:
Un administrador de sistemas virtuales crea y administra todos los elementos necesarios

para las polticas.
Las zonas son objetos dentro de sistemas virtuales. Antes de definir una poltica o un
objeto de las polticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaa Polticas u Objetos.
Los destinos de logs remotos (SNMP, Syslog y correo electrnico), as como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.
Antes de definir los sistemas virtuales, debe habilitar la funcin para admitir varios sistemas
virtuales en el cortafuegos.
Para habilitar la funcin de varios sistemas virtuales, en la pgina Dispositivo > Configuracin > Gestin, haga clic en el enlace Editar de la seccin Configuracin general y seleccione la casilla de verificacin Capacidad de cortafuegos virtuales. Esto aadir el enlace
Sistemas virtuales al men lateral.
Palo Alto Networks
Ahora podr abrir la pestaa Sistemas virtuales, hacer clic en Aadir y especificar la
informacin siguiente.
Tabla 55. Configuracin de sistemas virtuales

Campo
Descripcin
ID
Introduzca un identificador que sea un nmero entero para el sistema

virtual. Consulte la hoja de datos de su modelo de cortafuegos para
obtener informacin sobre el nmero de sistemas virtuales admitidos.
Nombre
Introduzca un nombre (de hasta 31 caracteres) para identificar el sistema

virtual. El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.
Pestaa General
Seleccione un perfil de proxy de DNS en la lista desplegable si desea

aplicar reglas de proxy de DNS a esta interfaz. Consulte Proxy DNS.
Para incluir objetos de un tipo especial, seleccione la casilla de
verificacin de ese tipo (Interfaz, VLAN, Virtual Wire, Enrutador virtual
o Sistema virtual visible). Haga clic en Aadir y seleccione un elemento
de la lista desplegable. Puede aadir uno o ms objetos de cualquier tipo.
Para eliminar un objeto, seleccinelo y haga clic en Eliminar.
Pestaa Recurso
Introduzca los siguientes ajustes:

Lmite de sesiones: Nmero mximo de sesiones permitido para
este sistema virtual.
Reglas de seguridad: Nmero mximo de reglas de seguridad
permitido para este sistema virtual.
Reglas de NAT: Nmero mximo de reglas de NAT permitido para
Reglas de descifrado: Nmero mximo de reglas de descifrado
Reglas de QoS: Nmero mximo de reglas de QoS permitido para
Reglas de application override: Nmero mximo de reglas de
application override permitido para este sistema virtual.
Reglas de PBF: Nmero mximo de reglas de reenvo basado en
polticas (PBF) permitido para este sistema virtual.
Reglas de portal cautivo: Nmero mximo de reglas de portal cautivo
Reglas de denegacin de servicio: Nmero mximo de reglas de
denegacin de servicio permitido para este sistema virtual.
Tneles VPN de sitio a sitio: Nmero mximo de tneles de VPN de
sitio a sitio permitido para este sistema virtual.
Usuarios del modo de tnel de GlobalProtect simultneos: Nmero
mximo de usuarios de GlobalProtect remotos simultneos permitido
para este sistema virtual.
Palo Alto Networks
Configuracin de puertas de enlace compartidas

Dispositivo > Puertas de enlace compartidas
Las puertas de enlace compartidas permiten a los sistemas virtuales mltiples compartir una
nica comunicacin externa (tradicionalmente conectada a una red ascendente comn como
un proveedor de servicios de Internet). El resto de sistemas virtuales se comunican con el
mundo exterior a travs de la interfaz fsica mediante una nica direccin IP. Se utiliza un
nico enrutador virtual para enrutar el trfico de todos los sistemas virtuales a travs de la
puerta de enlace compartida.
Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mnimo, una interfaz
de capa 3 debe configurarse como puerta de enlace compartida. Las comunicaciones que se
originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace
compartida requieren una poltica similar para las comunicaciones que pasan entre dos
sistemas virtuales. Puede configurar una zona Vsys externa para definir las reglas de
seguridad en el sistema virtual.
Tabla 56. Configuracin de puertas de enlace compartidas

Campo
Descripcin
ID
Identificador de la puerta de enlace (no utilizado por el cortafuegos).
Nombre
Introduzca un nombre para la puerta de enlace compartida (de hasta 31

y guiones bajos. Solo se requiere el nombre.
Proxy DNS
(Optativo) Si hay un proxy DNS configurado, seleccione qu servidores

DNS se deben utilizar para las consultas de nombre de dominio.
Interfaces
Seleccione casillas de verificacin para las interfaces que utilizar la

puerta de enlace compartida.
Palo Alto Networks
Definicin de pginas de respuesta personalizadas

Dispositivo > Pginas de respuesta
Las pginas de respuesta personalizadas son las pginas web que se muestran cuando un
usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado
que se descargar y mostrar en lugar del archivo o la pgina web que ha solicitado.
Cada sistema virtual puede tener sus propias pginas de respuesta personalizadas.
La siguiente tabla describe los tipos de pginas de respuesta personalizadas que admiten
mensajes del cliente.
Consulte Apndice A, Pginas personalizadas para obtener ejemplos de las
pginas de respuesta predeterminadas.
Tabla 57. Tipos de pginas de respuesta personalizadas

Tipo de pgina
Descripcin
Antivirus Pgina de bloqueo
Acceso bloqueado debido a una infeccin por virus.
Aplicacin Pgina de bloqueo
Acceso bloqueado debido a que la aplicacin est bloqueada por

una poltica de seguridad.
Confort de portal cautivo

Pgina
Pgina para que los usuarios verifiquen su nombre de usuario y

contrasea para mquinas que no formen parte del dominio.
Opcin continua de bloqueo

de archivo Pgina
Pgina para que los usuarios confirmen que la descarga debe

continuar. Esta opcin nicamente est disponible si las
prestaciones de opcin continua estn habilitadas en el perfil de
seguridad. Consulte Perfiles de bloqueo de archivo.
Bloqueo de archivo Pgina

de bloqueo
Acceso bloqueado debido a que el acceso al archivo est bloqueado.
Ayuda de portal de
GlobalProtect Pgina
Pgina de ayuda personalizada para usuarios de GlobalProtect

(accesible desde el portal).
Inicio de sesin de portal de

GlobalProtect Pgina
Pgina para los usuarios que intenten acceder al portal de

GlobalProtect.
Pgina de bienvenida de
GlobalProtect
Pgina de bienvenida para los usuarios que intenten iniciar sesin

en el portal de GlobalProtect.
Pgina de notificacin de
errores de certificado SSL
Notificacin de que un certificado SSL se ha revocado.
Pgina de exclusin de
descifrado de SSL
Pgina de advertencia para el usuario que indica que esta sesin

se inspeccionar.
Pgina de bloque de URL
Acceso bloqueado por un perfil de filtrado de URL o porque la

categora de URL est bloqueada por una poltica de seguridad.
Palo Alto Networks
Tabla 57. Tipos de pginas de respuesta personalizadas (Continuacin)

Tipo de pgina
Descripcin
Pgina de continuacin y
cancelacin de filtrado
de URL
Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.
Pgina de bloqueo de
aplicacin de bsqueda
segura de filtro de URL
Acceso bloqueado por una poltica de seguridad con un perfil

de filtrado de URL que tiene habilitada la opcin Forzaje de
bsquedas seguras.
El usuario ver esta pgina si se realiza una bsqueda con Bing,
Google, Yahoo, Yandex o YouTube y la configuracin de cuenta
de su explorador o motor de bsqueda no est establecida como
estricta. La pgina de bloque pedir al usuario que establezca la
configuracin de bsqueda segura como estricta.
Puede realizar cualquiera de las siguientes funciones bajo Pginas de respuesta:
Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del
tipo de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar.
Explore para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se
ha realizado con xito. Para que la importacin tenga xito, el archivo debe estar en
formato HTML.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
Para habilitar o deshabilitar la pgina Bloqueo de aplicacin o las pginas Exclusin

de descifrado de SSL, haga clic en el enlace Habilitar del tipo de pgina. Seleccione o
cancele la seleccin de la casilla de verificacin Habilitar.
Para usar la pgina de respuesta predeterminada de una pgina personalizada cargada

anteriormente, elimine la pgina de bloqueo personalizada y realice una compilacin.
Esto establecer la pgina de bloqueo predeterminada como la nueva pgina activa.
Palo Alto Networks
Visualizacin de informacin de asistencia tcnica

Dispositivo > Asistencia tcnica
Panorama > Asistencia tcnica
La pgina de asistencia le permite acceder a las opciones relacionadas. Puede ver la informacin de contacto de Palo Alto Networks, la fecha de vencimiento y alertas de producto y
seguridad de Palo Alto Networks, segn el nmero de serie de su dispositivo (cortafuegos o
dispositivo de Panorama).
Realice cualquiera de las siguientes funciones en esta pgina:
Asistencia tcnica: Utilice esta seccin para ver la informacin de contacto de la asistencia
tcnica de Palo Alto Networks, el estado de la asistencia tcnica del dispositivo o activar
su contrato usando un cdigo de autorizacin.
Alertas de produccin/Alertas de aplicacin y amenazas: Estas alertas se recuperarn

desde los servidores de actualizacin de Palo Alto Networks cuando se acceda a esta
pgina o se actualice. Para ver los detalles de las alertas de produccin o las alertas de
aplicacin y amenazas, haga clic en el nombre de la alerta. Las alertas de produccin se
publicarn si hay una recuperacin a gran escala o un problema urgente relacionado
con una determinada publicacin. Se publicarn alertas de aplicacin y amenazas si se
descubren alertas de importancia.
Enlaces: Esta seccin proporciona un enlace a la pgina de inicio de asistencia tcnica,

donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el
inicio de sesin de asistencia tcnica.
Archivo de asistencia tcnica: Utilice el enlace Generar archivo de asistencia tcnica

para generar un archivo del sistema que pueda utilizar el grupo de asistencia tcnica para
facilitar la resolucin de los problemas que pudiera estar experimentando el dispositivo.
Despus de generar el archivo, haga clic en Descargar archivo de asistencia tcnica para
recuperarlo y, a continuacin, envelo al departamento de asistencia tcnica de Palo Alto
Networks.
Archivo de volcado de estadsticas: Utilice el enlace Generar archivo de volcado de

estadsticas para generar un conjunto de informes de XML que resuma el trfico de
red en los ltimos 7 das. Una vez generado el informe, haga clic en el enlace Descargar
archivo de volcado de estadsticas para recuperar el informe. El ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un
informe de riesgos y visibilidad de la aplicacin (Informe AVR). El AVR resalta lo que se
ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden
existir. Tradicionalmente se utiliza como parte del proceso de evaluacin. Para obtener
ms informacin sobre el informe AVR, pngase en contacto con el ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado.
Palo Alto Networks
Captulo 4
Configuracin de red
Definicin de cables virtuales (Virtual Wire)
Configuracin de la interfaz de un cortafuegos
Configuracin de un enrutador virtual
Compatibilidad de VLAN
Servidor y retransmisin DHCP
Proxy DNS
Definicin de perfiles de gestin de interfaz
Definicin de perfiles de supervisin
Definicin de perfiles de proteccin de zonas
Definicin de cables virtuales (Virtual Wire)

Red > Cables virtuales
Utilice esta pgina para definir cables virtuales (Virtual Wire) despus de especificar dos
interfaces de cable virtual en el cortafuegos.
Tabla 58. Configuracin de cable virtual (Virtual Wire)

Campo
Descripcin
Nombre de cable virtual
Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31

caracteres). Este nombre aparece en la lista de cables virtuales cuando se
configuran interfaces. El nombre hace distincin entre maysculas y
Interfaces
Seleccione dos interfaces Ethernet de la lista de configuracin de cable

virtual. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de
cable virtual y no se han asignado a otro cable virtual.
Palo Alto Networks
Configuracin de red 131
Tabla 58. Configuracin de cable virtual (Virtual Wire) (Continuacin)

Campo
Descripcin
Tags permitidos
Introduzca el nmero de etiqueta (0 a 4094) o el intervalo de nmeros de

etiqueta (tag1-tag2) del trfico permitido en el cable virtual. Un valor de
cero indica trfico sin etiquetar (opcin predeterminada). Si especifica
varias etiquetas o intervalos, deben estar separados por comas. El trfico
que se excluye del valor de la etiqueta se descarta. Tenga en cuenta que
los valores de etiqueta no se cambian en los paquetes de entrada o
de salida.
Si utiliza subinterfaces de cable virtual, la lista Tags permitidos causar
que todo el trfico con las etiquetas de la lista se clasifique en el cable
virtual principal. Las subinterfaces de cable virtual deben utilizar
etiquetas que no existen en la lista principal Tags permitidos.
Cortafuegos de
multicast
Seleccione esta opcin si desea poder aplicar reglas de seguridad al trfico

de multicast. Si este ajuste no est activado, el trfico de multicast se
reenva por el cable virtual.
Envo del estado

del enlace
Seleccione esta casilla de verificacin si desea desactivar el otro puerto en

un cable virtual cuando se detecta un estado de enlace no operativo. Si no
selecciona esta casilla de verificacin, el estado del enlace no se propaga
por el cable virtual.
Configuracin de la interfaz de un cortafuegos

Red > Interfaces
Utilice esta pgina para configurar los puertos del cortafuegos. Estos puertos permiten que
el cortafuegos se conecte con otros dispositivos de red, as como a otros puertos dentro el
cortafuegos. Para configurar la interfaz de un cortafuegos, seleccione una de las siguientes
pestaas:
Pestaa Ethernet: Las interfaces configuradas en la pestaa Ethernet incluyen tap,

HA, tarjeta de log (solo cortafuegos PA-7050), reflejo de descrifrado (solo cortafuegos
de las series PA-7050, serie PA-5000 y serie PA-3000), cable virtual, capa 2 (interfaz y
subinterfaz), Capa 3 (interfaz y subinterfaz) y interfaz Ethernet. Consulte Configuracin
de una interfaz Ethernet.
Pestaa VLAN: Consulte Configuracin de una interfaz VLAN.
Pestaa loopback: Consulte Configuracin de una interfaz de loopback.
Pestaa Tnel: Consulte Configuracin de una interfaz de tnel.
Configuracin de una interfaz Ethernet

Red > Interfaces > Ethernet
Todas las configuraciones de la interfaz Ethernet tienen una configuracin bsica y pestaas
de configuracin adicionales. Para establecer la configuracin bsica para una interfaz de
Ethernet, haga clic en el nombre de la interfaz de la pestaa Ethernet y configure los
siguientes parmetros.
132 Configuracin de red
Palo Alto Networks
Tabla 59. Ajustes de interfaz bsica

Campo
Descripcin
Nombre de interfaz
Seleccione la interfaz de la lista desplegable. Puede modificar el nombre

si lo desea. En una interfaz de cable virtual (Virtual Wire), PAN-OS
rellena automticamente el nombre de la interfaz basndose en la interfaz
Ethernet seleccionada y no se puede editar.
Tipo de interfaz
Seleccione el tipo de interfaz:
Perfil de flujo de red
Capa 2
Capa 3
Puntear
Virtual Wire
Tarjeta de log (solo cortafuegos PA-7050)
Reflejo de descifrado (solo cortafuegos de las series PA-7050, PA-5000
y PA-3000)
Agregar Ethernet
Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz

de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener ms
informacin, consulte Configuracin de ajustes de flujo de red.
Nota: Este campo no se aplica a la HA, la tarjeta de log, el reflejo de descifrado o
los tipos de la interfaz de Ethernet de agregacin. De igual forma, el cortafuegos
de la serie PA-4000 no admite esta funcin.
Comentarios
Introduzca una descripcin opcional de la interfaz.
Para configurar otras las pestaas de configuracin para una interfaz Ethernet, consulte lo
siguiente:
Configuracin de una interfaz Ethernet de capa 2
Configuracin de una subinterfaz Ethernet de capa 2
Configuracin de interfaces de cable virtual (Virtual Wire)
Configuracin de una interfaz de Tap
Configuracin de una interfaz de tarjeta de log
Configuracin de una interfaz de reflejo de descifrado
Configuracin de los grupos de interfaces de agregacin
Configuracin de una interfaz Ethernet de agregacin
Configuracin de una interfaz HA
Palo Alto Networks

La configuracin de una interfaz Ethernet de capa 2 necesita la configuracin de los siguientes
ajustes en las pestaas Configurar y Avanzado:
Tabla 60. Configuracin de interfaz Ethernet de capa 2

Campo
Descripcin
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Para permitir el intercambio entre las interfaces de la capa 2 o permitir
el enrutamiento a travs de una interfaz de VLAN, debe configurar un
objeto VLAN.
Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est

activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.
Zona de seguridad
Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo

para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.
Pestaa Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo

automtico.
Dplex de enlace
Seleccione si el modo de transmisin de la interfaz es dplex completo

(Completo), dplex medio (Medio) o automtico (Auto).
Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado),

deshabilitado (Desactivado) o determinado automticamente (Auto).

Para una interfaz Ethernet de capa 3, debe configurar los ajustes en las siguientes pestaas:
Configuracin (necesaria)
Avanzado (necesaria)
IPv4 (optativa)
IPv6 (optativa)
Pestaas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3

Adems de la configuracin de la interfaz Ethernet bsica, haga clic en el nombre de la
interfaz en la pestaa Ethernet y especifique la siguiente informacin en las pestaas
secundarias Configurar y Avanzado.
Palo Alto Networks
Tabla 61. Configuracin de interfaz de capa 3: Pestaas secundarias Configurar

y Avanzado
Campo
Descripcin
Pestaa Configuracin
Enrutador virtual
Seleccione un enrutador virtual o haga clic en Nuevo para definir un

nuevo enrutador virtual (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.
Sistema virtual

Zona de seguridad

Pestaa Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo

automtico.
Dplex de enlace

Estado de enlace

Otra informacin
Perfil de gestin: seleccione un perfil que defina los protocolos

(por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar
el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la
asignacin de perfil actual de la interfaz.
MTU: introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz
recibe un paquete que supera la MTU, el cortafuegos enva al origen
un mensaje de necesidad de fragmentacin del ICMP que indica que el
paquete es demasiado grande.
Ajustar TCP MSS: active esta casilla de verificacin si desea ajustar el
tamao de segmento mximo (MSS) en 40 bites menos que la MTU de la
interfaz. Esta configuracin est destinada a aquellas situaciones en las
que un tnel que atraviesa la red necesita un MSS de menor tamao.
Si un paquete no cabe en el MSS sin fragmentarse, este parmetro
permite ajustarlo.
Subinterfaz no etiquetada: Especifica que todas las interfaces que
pertenecen a esta interfaz de capa 3 no se etiqueten. PAN-OS selecciona
una subinterfaz sin etiquetar como la interfaz de entrada (ingress)
basada en el destino del paquete. Si el destino es la direccin IP de
una subinterfaz sin etiquetar, se asignar a la subinterfaz. Esto tambin
significa que un paquete que va en direccin inversa debe tener su
direccin de origen traducida a la direccin IP de la subinterfaz sin
etiquetar. Otra variable de esta forma de clasificacin es que todos los
paquetes de multicast y difusin se asignarn a la interfaz de base en
lugar de a cualquiera de las subinterfaces. Como OSPF utiliza multicast,
no es compatible con subinterfaces sin etiquetar.
Palo Alto Networks
Tabla 61. Configuracin de interfaz de capa 3: Pestaas secundarias Configurar

y Avanzado (Continuacin)
Campo
Descripcin
Entradas ARP/Interfaz
Para aadir una o ms entradas estticas del protocolo de resolucin de

direccin (ARP), haga clic en Aadir y, a continuacin, introduzca una
direccin IP y la direccin del hardware asociado (Media Access Control
o MAC). Para eliminar una entrada, seleccinela y haga clic en Eliminar.
Las entradas ARP estticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.
Entradas de ND
Para aadir un vecino para el descubrimiento, haga clic en Aadir y,

a continuacin, introduzca la direccin IP y MAC del vecino.
Pestaa secundaria IPv4 de la interfaz Ethernet de capa 3

Para configurar una interfaz Ethernet de capa 3 en una red IPv4, debe configurar los siguientes
ajustes en la pestaa secundaria IPv4:
Tabla 62. Configuracin de interfaz de capa 3: Pestaa secundaria IPv4

Campo/Pestaa
secundaria
Tipo
Descripcin
Seleccione un mtodo para definir la informacin de direccin IP:
Esttica: debe especificar manualmente la direccin IP.
PPPoE: el cortafuegos utilizar la interfaz para el protocolo punto a
punto sobre Ethernet (PPPoE).
Cliente DHCP: permite a la interfaz actual como cliente del protocolo
de configuracin de host dinmico (DHCP) y recibir una direccin IP
dinmicamente asignada.
Nota: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente PPPoE o DHCP.
Los otros campos que muestra la pestaa dependen de la seleccin del
tipo, como se describe ms abajo.
Esttico
IP (tabla de direccin)
Haga clic en Aadir y, a continuacin, realice uno de los siguientes pasos

para especificar una direccin IP y una mscara de red para la interfaz.
Introduzca la entrada en la notacin de enrutamiento entre dominios
sin clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
Seleccione un objeto de direccin existente de tipo mscara de red IP.
Seleccione Nuevo para crear un objeto de direccin de tipo mscara de
red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base de
informacin de reenvo (FIB) que utiliza su sistema determina el nmero
mximo de direcciones IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en
Eliminar.
Palo Alto Networks
Tabla 62. Configuracin de interfaz de capa 3: Pestaa secundaria IPv4 (Continuacin)

Campo/Pestaa
secundaria
Descripcin
PPPoE
General (pestaa
secundaria)
Habilitar: seleccione la casilla de verificacin para activar la interfaz

para terminacin PPPoE.
Nombre de usuario: Introduzca el nombre de usuario de la conexin
de punto a punto.
Contrasea/Confirmar contrasea: Introduzca y confirme la contrasea del nombre de usuario.
Mostrar informacin de tiempo de ejecucin de cliente PPPoE: de
forma opcional, haga clic en este enlace para abrir un cuadro de dilogo
que muestre los parmetros que el cortafuegos ha negociado con el
proveedor de servicios de Internet (ISP) para establecer una conexin.
La informacin especfica depende del ISP.
Avanzada (pestaa
secundaria)
Autenticacin: seleccione el protocolo de autenticacin para las

comunicaciones PPPoE: CHAP (Protocolo de autenticacin por desafo
mutuo), PAP (Protocolo de autenticacin de contrasea) o, de forma
predeterminada, Auto (el cortafuegos determina el protocolo). Si selecciona Ninguno, se elimina la asignacin del protocolo actual de la
interfaz.
Direccin esttica: realice uno de los siguientes pasos para especificar
la direccin IP que ha asignado el proveedor de servicios de Internet
(no predeterminado):
Seleccione Nuevo para crear un objeto de direccin de tipo mscara
de red IP.
Seleccione Ninguno para eliminar la asignacin de direccin actual
de la interfaz.
Crear automticamente ruta predeterminada que apunte al peer:
Seleccione la casilla de verificacin para que se cree automticamente
una ruta predefinida que apunte al peer PPPoE cuando se conecte.
Mtrica de ruta predeterminada: para la ruta entre el cortafuegos y
el proveedor de servicios de Internet, introduzca una mtrica de ruta
(nivel prioritario) que se asocie a la ruta predeterminada y que se
utilice para la seleccin de ruta (optativa, intervalo 1-65535). El nivel
de prioridad aumenta conforme disminuye el valor numrico.
Acceder a concentrador: de forma optativa, introduzca el nombre
del concentrador de acceso, en el proveedor de servicios de Internet,
al que se conecta el cortafuegos (no predeterminado).
Servicio: de forma optativa, introduzca la cadena de servicio
(no predeterminado).
Pasivo: Seleccione la casilla de verificacin para utilizar el modo
pasivo. En modo pasivo, un extremo PPPoE espera a que el concentrador de acceso enve la primera trama.
Cliente DHCP
Habilitar
Palo Alto Networks
Seleccione la casilla de verificacin para activar el cliente DHCP en la

interfaz.

Campo/Pestaa
secundaria
Descripcin
Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Seleccione la casilla de verificacin para que se cree automticamente una

ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Mtrica de ruta
predeterminada
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de forma

optativa una mtrica de ruta (nivel prioritario) que se asocie a la ruta
predeterminada y que se utilice para la seleccin de ruta (intervalo
1-65535, no predeterminada). El nivel de prioridad aumenta conforme
disminuye el valor numrico.
Mostrar informacin de
tiempo de ejecucin de
cliente DHCP
Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesin de DHCP, la asignacin de IP
dinmica, la mscara de subred, la puerta de enlace, la configuracin del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).

Para configurar una interfaz Ethernet de capa 3 en una red IPv6, debe configurar los siguientes
ajustes en la pestaa secundaria IPv6:
Tabla 63. Configuracin de interfaz de capa 3: Pestaa secundaria IPv6

Campo
Descripcin
Habilitar IPv6 en la
interfaz
Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en

esta interfaz.
ID de interfaz
Introduzca el identificador nico ampliado de 64 bits (EUI-64) en formato

hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo
en blanco, el cortafuegos utilizar el EUI-64 generado desde la direccin
MAC de la interfaz fsica. Si activa la opcin Usar ID de interfaz como
parte de host cuando se aade una direccin, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa direccin.
Palo Alto Networks

Campo
Descripcin
Direccin
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o seleccionar Nuevo para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de verificacin para utilizar el ID de interfaz como parte de host de la direccin
IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin para
habilitar el anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la interfaz.) Si desea informacin sobre el RA, consulte
Seccin de anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual
o superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida, el
cortafuegos deja de poder utilizar la direccin para establecer nuevas
conexiones, pero cualquier conexin existente es vlida hasta que
caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Seccin Resolucin de direccin

Habilitar deteccin de
direcciones duplicadas
Active la casilla de verificacin para habilitar la deteccin de direccin

duplicada (DAD) y, a continuacin, configure los otros campos de esta
seccin.
Intentos DAD
Especifique el nmero de intentos DAD en el intervalo de solicitacin de

vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).
Tiempo alcanzable
Especifique la duracin (en segundos) que un vecino permanece

alcanzable despus de una consulta y respuesta correctas (intervalo:
1-36.000 segundos, predeterminado 30).
Intervalo NS (intervalo
de solicitacin de
vecinos)
Especifique el nmero de segundos de intentos DAD antes de indicar el

fallo (intervalo 1-10 segundos, predeterminado 1).
Palo Alto Networks

Campo
Descripcin
Seccin de anuncio de enrutador

Habilitar anuncio de
enrutador
Para proporcionar la configuracin automtica de direcciones sin estado

(SLAAC) en interfaces IPv6, active la casilla de verificacin y configure
los otros campos de esta seccin. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta informacin.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estn configurados estticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuracin de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta funcin para proporcionar DNS y otros
ajustes a los clientes.
Esta opcin es un ajuste global de la interfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en Aadir en
la tabla de direcciones IP y configure la direccin (para obtener detalles,
consulte Direccin en esta tabla). Si establece las opciones de RA para
cualquier direccin IP, debe seleccionar la opcin Habilitar anuncio de
enrutador para la interfaz.
Mn. de intervalo
(segundos)
Especifique el intervalo mnimo (en segundos) entre los distintos RA

que el cortafuegos enviar (intervalo 3-1350, predeterminado 200).
El cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.
Mx. de intervalo
(segundos)
Especifique el intervalo mximo (en segundos) entre los distintos RA

Lmite de salto
Especifique el lmite de salto que se debe aplicar a los clientes en los

paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0
si no desea ningn lmite de salto.
MTU de enlace
Especifique la unidad mxima de transmisin (MTU) del enlace que

se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).
Tiempo alcanzable (ms)
Especifique el tiempo alcanzable (en milisegundos) que el cliente

utilizar para asumir que un vecino es alcanzable despus de recibir un
mensaje de confirmacin de esta condicin. Seleccione no especificado
si no desea establecer ningn valor de tiempo alcanzable (intervalo
0-3600000, predeterminado no especificado).
Tiempo de retransmisin
(ms)
Especifique el temporizador de retransmisin que determinar cunto

tiempo debe esperar el cliente (en milisegundos) antes de retransmitir
los mensajes de solicitacin de vecinos. Seleccione no especificado si
no desea ningn tiempo de retransmisin (intervalo 0-4294967295,
predeterminado no especificado).
Duracin de enrutador
(segundos)
Especifique la duracin (en segundos) que el cliente utilizar el

cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duracin, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.
Palo Alto Networks

Campo
Descripcin
Preferencia de enrutador
Si el segmento de la red tiene mltiples enrutadores de IPv6, el cliente

utiliza este campo para seleccionar un enrutador preferido. Seleccione si
el RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relacin a otros enrutadores del segmento.
Configuracin
gestionada
Seleccione la casilla de verificacin para indicar al cliente que las

direcciones estn disponibles en DHCPv6.
Otras configuraciones
Seleccione la casilla de verificacin para indicar al cliente que hay

disponible otra informacin de direccin (por ejemplo, configuracin
relacionada con DNS) mediante DHCPv6.
Comprobacin de
coherencia
Seleccione la casilla de verificacin si desea que el cortafuegos verifique

que los RA enviados desde otros enrutadores estn publicando
informacin coherente en el enlace. El cortafuegos enva logs sobre
cualquier incoherencia.
Configuracin de una subinterfaz Ethernet

Todas las configuraciones de la subinterfaz Ethernet tienen una configuracin bsica y
pestaas de configuracin adicionales. Para establecer la configuracin bsica para una
interfaz de Ethernet, haga clic en el enlace para la interfaz en la pestaa Ethernet y configure
los siguientes parmetros.
Tabla 64. Ajustes de interfaz bsica

Campo
Descripcin
Nombre de interfaz
Introduzca un nmero (1-9999) para identificar la subinterfaz.
Etiqueta
Introduzca la etiqueta VLAN (1-4094) para la subinterfaz.

Nota: El cortafuegos de la serie PA-4000 no admite esta caracterstica.
Comentarios
Introduzca una descripcin optativa de la subinterfaz.
Para configurar otras pestaas para una interfaz Ethernet, consulte lo siguiente:

En todos los puertos Ethernet configurados como interfaz de capa 2 puede definir una interfaz
de capa 2 lgica adicional (subinterfaz) para cada etiqueta VLAN que se asigne al trfico que
reciba el puerto. Para configurar las interfaces de capa 2 principales, consulte Configuracin
de una interfaz Ethernet de capa 2. Para permitir el intercambio entre subinterfaces de capa 2,
asgneles el mismo objeto VLAN.
Palo Alto Networks
Para configurar una subinterfaz Ethernet de capa 2, establezca los ajustes de la Ethernet bsica
(consulte Configuracin de una subinterfaz Ethernet) y la siguiente informacin adicional.
Tabla 65. Configuracin de subinterfaz de capa 2

Campo
Descripcin
VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona Ninguno,
se elimina la asignacin actual de VLAN de la interfaz. Para permitir el
intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a
travs de una interfaz de VLAN, debe configurar un objeto VLAN.
Zona de seguridad

Sistema virtual


Red > Interfaces >Ethernet
Para una subinterfaz Ethernet de capa 3 debe configurar los ajustes Ethernet bsicos (consulte
Configuracin de una subinterfaz Ethernet) e informacin adicional en las siguientes
pestaas:
Configuracin (necesaria)
Avanzado (necesaria)
IPv4 (optativa)
IPv6 (optativa)
Palo Alto Networks
Pestaas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3

Tabla 66. Configuracin de subinterfaz de capa 3: Pestaas secundarias Configurar
y Avanzado
Campo
Descripcin
Pestaa Configuracin
Enrutador virtual

virtual actual de la subinterfaz.
Sistema virtual

Zona de seguridad
Seleccione una zona de seguridad para la subinterfaz o haga clic en

Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la subinterfaz.
Pestaa secundaria Avanzado

Otra informacin
Perfil de gestin: seleccione un perfil que defina los protocolos (por

ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la asignacin
de perfil actual de la interfaz.
MTU: introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD) y la subinterfaz
recibe un paquete que supera la MTU, el cortafuegos enva al origen
un mensaje de necesidad de fragmentacin del ICMP que indica que el
paquete es demasiado grande.
Ajustar TCP MSS: active esta casilla de verificacin si desea ajustar el
tamao de segmento mximo (MSS) en 40 bites menos que la MTU de
la subinterfaz. Esta configuracin est destinada a aquellas situaciones
en las que un tnel que atraviesa la red necesita un MSS de menor
tamao. Si un paquete no cabe en el MSS sin fragmentarse, este
parmetro permite ajustarlo.
Entradas de ARP
Para aadir una o ms entradas estticas del protocolo de resolucin de

direccin (ARP), haga clic en Aadir y, a continuacin, introduzca una
direccin IP y la direccin del hardware asociado (Media Access Control
o MAC). Para eliminar una entrada, seleccinela y haga clic en Eliminar.
Las entradas ARP estticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.
Entradas de ND
Para aadir un vecino para el descubrimiento, haga clic en Aadir y,

a continuacin, introduzca la direccin IP y MAC del vecino.
Palo Alto Networks

Para configurar una subinterfaz Ethernet de capa 3 en una red IPv4, debe configurar los
siguientes ajustes en la pestaa secundaria IPv4:
Tabla 67. Configuracin de subinterfaz de capa 3: Pestaa secundaria IPv4

Campo
Tipo
Descripcin
Seleccione un mtodo para definir la informacin de direccin IP:
Esttica: debe especificar manualmente la direccin IP.
Cliente DHCP: permite a la subinterfaz actual como cliente del protocolo de configuracin de host dinmico (DHCP) y recibir una direccin
IP dinmicamente asignada.
Nota: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente DHCP.
Los otros campos que muestra la pestaa dependen de la seleccin del
tipo, como se describe ms abajo.
Esttico
IP (tabla de direccin)
Haga clic en Aadir y, a continuacin, realice uno de los siguientes

pasos para especificar una direccin IP y una mscara de red para la
subinterfaz.
Seleccione Nuevo para crear un objeto de direccin de tipo mscara de
red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base de
informacin de reenvo (FIB) que utiliza su sistema determina el nmero
mximo de direcciones IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en
Eliminar.
Cliente DHCP
Habilitar
Seleccione la casilla de verificacin para activar el cliente DHCP en la

subinterfaz.
Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Seleccione la casilla de verificacin para que se cree automticamente una

ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.
Mtrica de ruta
predeterminada
Para la ruta entre el cortafuegos y el servidor DHCP, introduzca una

mtrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada
y que se utilice para la seleccin de ruta (intervalo 1-65535, optativa).
El nivel de prioridad aumenta conforme disminuye el valor numrico.
Mostrar informacin de
tiempo de ejecucin de
cliente DHCP
Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesin de DHCP, la asignacin de IP
dinmica, la mscara de subred, la puerta de enlace, la configuracin del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
Palo Alto Networks
Pestaa secundaria IPv6 de la subinterfaz Ethernet de capa 3

Para configurar una subinterfaz Ethernet de capa 3 en una red IPv6, debe configurar los
siguientes ajustes en la pestaa secundaria IPv6:
Tabla 68. Configuracin de subinterfaz de capa 3: Pestaa IPv6

Campo
Descripcin
interfaz

esta subinterfaz.
ID de interfaz
Introduzca el identificador nico ampliado de 64 bits (EUI-64) en formato

hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo
en blanco, el cortafuegos utilizar el EUI-64 generado desde la direccin
MAC de la interfaz fsica. Si activa la opcin Usar ID de interfaz como
parte de host cuando se aade una direccin, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa direccin.
Palo Alto Networks
Tabla 68. Configuracin de subinterfaz de capa 3: Pestaa IPv6 (Continuacin)

Campo
Descripcin
Direccin
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o seleccionar Nuevo para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la subinterfaz.
Usar ID de interfaz como parte de host: active esta casilla de verificacin para utilizar el ID de interfaz como parte de host de la direccin
IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin para
habilitar el anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la subinterfaz.) Si desea informacin sobre el RA, consulte
Seccin de anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual o
superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida, el
cortafuegos deja de poder utilizar la direccin para establecer nuevas
conexiones, pero cualquier conexin existente es vlida hasta que
caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Seccin Resolucin de direccin

Habilitar deteccin de
direcciones duplicadas
Active la casilla de verificacin para habilitar la deteccin de direccin

duplicada (DAD) y, a continuacin, configure los otros campos de esta
seccin.
Intentos DAD
Especifique el nmero de intentos DAD en el intervalo de solicitacin de

vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).
Tiempo alcanzable
Especifique la duracin (en segundos) que un vecino permanece

1-36.000 segundos, predeterminado 30).
Intervalo NS (intervalo
de solicitacin de
vecinos)
Especifique el nmero de segundos de intentos DAD antes de indicar el

fallo (intervalo 1-10 segundos, predeterminado 1).
Palo Alto Networks

Campo
Descripcin
Seccin de anuncio de enrutador

enrutador
Para proporcionar la configuracin automtica de direcciones sin estado

(SLAAC) en la subinterfaz, active la casilla de verificacin y configure
los otros campos de esta seccin. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta informacin.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estn configurados estticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuracin de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta funcin para proporcionar DNS y otros
ajustes a los clientes.
Esta opcin es un ajuste global de la subinterfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en Aadir en
la tabla de direcciones IP y configure la direccin (para obtener detalles,
consulte Direccin en esta tabla). Si establece las opciones de RA para
cualquier direccin IP, debe seleccionar la opcin Habilitar anuncio de
enrutador para la subinterfaz.
Mn. de intervalo
(segundos)
Especifique el intervalo mnimo (en segundos) entre los distintos RA

Mx. de intervalo
(segundos)
Especifique el intervalo mximo (en segundos) entre los distintos RA

Lmite de salto
Especifique el lmite de salto que se debe aplicar a los clientes en los

paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0
si no desea ningn lmite de salto.
MTU de enlace
Especifique la unidad mxima de transmisin (MTU) del enlace que

se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).
Tiempo alcanzable (ms)
Especifique el tiempo alcanzable (en milisegundos) que el cliente

utilizar para asumir que un vecino es alcanzable despus de recibir un
mensaje de confirmacin de esta condicin. Seleccione no especificado
si no desea establecer ningn valor de tiempo alcanzable (intervalo
0-3600000, predeterminado no especificado).
Tiempo de retransmisin
(ms)
Especifique el temporizador de retransmisin que determinar cunto

tiempo debe esperar el cliente (en milisegundos) antes de retransmitir
los mensajes de solicitacin de vecinos. Seleccione no especificado si
no desea ningn tiempo de retransmisin (intervalo 0-4294967295,
predeterminado no especificado).
Duracin de enrutador
(segundos)
Especifique la duracin (en segundos) que el cliente utilizar el

cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duracin, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.
Palo Alto Networks

Campo
Descripcin
Preferencia de enrutador
Si el segmento de la red tiene mltiples enrutadores, el cliente utiliza

este campo para seleccionar un enrutador preferido. Seleccione si el
RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relacin a otros enrutadores del segmento.
Configuracin
gestionada
Seleccione la casilla de verificacin para indicar al cliente que las

direcciones estn disponibles en DHCPv6.
Otras configuraciones
Seleccione la casilla de verificacin para indicar al cliente que hay

disponible otra informacin de direccin (por ejemplo, configuracin
relacionada con DNS) mediante DHCPv6.
Comprobacin de
coherencia
Seleccione la casilla de verificacin si desea que el cortafuegos verifique

que los RA enviados desde otros enrutadores estn publicando
informacin coherente en el enlace. El cortafuegos enva logs sobre
cualquier incoherencia.
Configuracin de interfaces de cable virtual (Virtual Wire)

Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet, permitiendo que pase
todo el trfico entre los puertos, o solo el trfico con etiquetas VLAN seleccionadas (no hay
disponible ningn otro servicio de enrutamiento o conmutacin). Tambin puede crear
subinterfaces de cable virtual y clasificar el trfico en funcin de una direccin o intervalo IP,
o una subred. Un cable virtual no requiere ningn tipo de cambio en los dispositivos de red
adyacentes.
Para configurar un cable virtual (Virtual Wire) en el cortafuegos, primero debe definir las
interfaces Virtual Wire, tal y como se describe en el siguiente procedimiento y, a continuacin,
crear el cable virtual usando las interfaces que ha creado.
1.
Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
2.
Haga clic en el nombre de la interfaz y especifique la siguiente informacin.
Tabla 69. Configuracin de cable virtual (Virtual Wire)

Campo
Descripcin
Pestaa Configuracin
Virtual Wire
Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para

definir un nuevo cable virtual (consulte Definicin de cables virtuales
(Virtual Wire)).
Sistema virtual

Zona de seguridad

Palo Alto Networks
Tabla 69. Configuracin de cable virtual (Continuacin) (Virtual Wire)

Campo
Descripcin
Pestaa Avanzada
Velocidad de enlace
Especifique la velocidad de la interfaz. Si la interfaz seleccionada es una

interfaz de 10 Gbps, la nica opcin es Auto. En el resto de casos, las
opciones son: 10, 100, 1000 o Auto.
Dplex de enlace

Estado de enlace
Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado

(Desactivado) o determinado automticamente (Auto).
Configuracin de una subinterfaz de cable virtual (Virtual Wire)

Red > Interfaces
Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el trfico segn las
etiquetas VLAN o una combinacin de etiqueta VLAN y clasificador IP, asignar el trfico
etiquetado a una zona y sistema virtual diferentes y, a continuacin, aplicar polticas de
seguridad para el trfico que coincida con los criterios definidos.
Para aadir una subinterfaz de cable virtual, seleccione la interfaz de cable virtual donde
quiera aadirla y haga clic en Aadir subinterfaz y especifique la siguiente informacin.
Tabla 70. Configuracin de subinterfaces de cable virtual (Virtual Wire)

Campo
Descripcin
Nombre de interfaz
El nombre de interfaz principal aparece automticamente basndose en la

interfaz que haya seleccionado; la etiqueta no se puede editar.
Para definir la subinterfaz, introduzca un nmero (1 a 9999) junto al
nombre de la interfaz fsica para formar el nombre de la interfaz lgica.
El formato de nombre general es:
ethernetx/y.<1-9999>
Para configurar el cable virtual, consulte Configuracin de interfaces de
cable virtual (Virtual Wire).
Etiqueta
Introduzca el nmero de etiqueta (0 a 4094) o el trfico recibido en esta

interfaz.
Si define un valor de etiqueta de 0 coincidir con trfico sin etiquetar.

de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener ms informacin,
consulte Configuracin de ajustes de flujo de red.
Comentarios
Palo Alto Networks
Tabla 70. Configuracin de subinterfaces de cable virtual (Virtual Wire) (Continuacin)

Campo
Descripcin
Clasificador IP
Haga clic en Aadir para aadir una direccin IP, subred, intervalo IP o
cualquier combinacin de clasificadores IP. Esto permitir clasificar el
trfico entrante en el cortafuegos mediante este puerto fsico en esta
subinterfaz en funcin de su direccin IP de origen. El trfico de ruta de
retorno entrante en cortafuegos por el otro extremo del cable virtual
asociado se comparar con su direccin de destino.
En una subinterfaz de cable virtual (Virtual Wire), la clasificacin IP solo
se puede utilizar en combinacin con una clasificacin basada en VLAN.
Asignar interfaz a
Zona de seguridad

Sistema virtual

Virtual Wire
Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para

definir un nuevo cable virtual (consulte Definicin de cables virtuales
(Virtual Wire)).
Configuracin de una interfaz de Tap

Se puede configurar una interfaz de Tap segn sea necesario para supervisar el trfico de un
puerto. Adems de la configuracin bsica de la interfaz Ethernet, haga clic en el nombre de la
interfaz en la pestaa Ethernet y especifique la siguiente informacin en las pestaas
Configurar y Avanzado.
.
Tabla 71. Configuracin de interfaz de Tap

Campo
Descripcin
Pestaa Configuracin
Sistema virtual

Zona de seguridad

Pestaa Avanzada
Velocidad de enlace
Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo

automtico.
Dplex de enlace

Estado de enlace

Palo Alto Networks
Configuracin de una interfaz de tarjeta de log

En un cortafuegos de PA-7050, un puerto de datos debe tener un tipo de interfaz Tarjeta
de log. Esto se debe a que las funciones de trfico y logs de esta plataforma superan las del
puerto de gestin. Un puerto de datos de tarjeta de log realiza el reenvo de log para Syslog,
Correo electrnico, SNMP y WildFire. Solo un puerto del cortafuegos puede ser una interfaz
de tarjeta de log. Si activa el reenvo de logs pero no configura ninguna interfaz como la tarjeta
de log, se produce un error de compilacin.
En la pestaa Ethernet, haga clic en el nombre de la interfaz, configure la informacin de la
interfaz Ethernet bsica y, a continuacin, configure la siguiente informacin en las pestaas
Reenvo de tarjeta de log y Avanzado.
.
Tabla 72. Configuracin de la interfaz de tarjeta de log

Campo
Descripcin
Reenvo de tarjeta de log

IPv4
Si la red utiliza IPv4, introduzca la siguiente informacin de direccin

IPv4 para el puerto:
Direccin IP: Direccin IPv4 del puerto.
Mscara de red: Mscara de red para la direccin IPv4 del puerto.
Puerta de enlace predeterminada: Direccin IPv4 de la puerta de enlace
para el puerto.
IPv6
Si la red utiliza IPv6, introduzca la siguiente informacin de direccin

IPv6 para el puerto:
Direccin IP: Direccin IPv6 del puerto.
Puerta de enlace predeterminada: Direccin IPv6 de la puerta de enlace
predeterminada para el puerto.
Pestaa Avanzada
Velocidad de enlace

automtico.
Dplex de enlace

Estado de enlace

Configuracin de una interfaz de reflejo de descifrado

Para utilizar la funcin Reflejo de puerto de descifrado, debe seleccionar el tipo de la interfaz
Reflejo de descifrado. Esta funcin permite crear una copia del trfico descifrado desde un
cortafuegos y enviarla a una herramienta de recopilacin de trfico que pueda recibir capturas
de paquetes sin formato (como NetWitness o Solera) para su archivado o anlisis. Aquellas
organizaciones que necesitan la captura integral de datos con fines forenses o histricos o para
prevenir la fuga de datos (DLP) necesitan esta funcin. El reflejo del puerto de descrifrado
solo est disponible en los cortafuegos de las series PA-7050, PA-5000 y PA-3000. Para
permitir la funcin, debe adquirir e instalar la licencia gratuita.
Palo Alto Networks
En la pestaa Ethernet, haga clic en el nombre de la interfaz, configure la informacin de la

interfaz Ethernet bsica y, a continuacin, especifique la siguiente informacin en la pestaa
Avanzado.
.
Tabla 73. Configuracin de interfaz de reflejo de descifrado

Campo
Descripcin
Velocidad de enlace

automtico.
Dplex de enlace

Estado de enlace

Configuracin de los grupos de interfaces de agregacin

Red > Interfaces
Un grupo de interfaces de agregacin le permite combinar varias interfaces Ethernet
usando la agregacin de enlace IEEE 802.1AX. Puede agregar XFP de 1 Gbps o 10 Gbps y
Ethernet de SPF+. La interfaz de agregacin que cree se convertir en una interfaz lgica.
Las siguientes propiedades pertenecen a la interfaz lgica, no a las interfaces subyacentes
fsicas: asignaciones de configuracin (sistema virtual, enrutador virtual, cable virtual,
VLAN, zona de seguridad), direcciones IP, perfil de gestin, configuracin de Protocolo de
control de agregacin de enlace (LACP), entradas de Protocolo de resolucin de direcciones
(ARP) y entradas de Deteccin de vecinos (ND). Por lo tanto, una vez creado el grupo, realice
operaciones como configurar parmetros de capa 2 o capa 3 en el grupo de agregacin en
lugar de en interfaces individuales.
Las siguientes reglas se aplican a los grupos de agregacin:
En un grupo, los enlaces de 1 Gbps deben ser completamente de cobre o de fibra.
Un grupo puede tener hasta 8 interfaces.
Los grupos de agregacin admiten HA, cable virtual, interfaces de capa 2 o capa 3.
En un grupo, todas las interfaces deben ser del mismo tipo. PAN-OS valida esto
durante la operacin de compilacin.
Puede usar grupos de agregacin para el escalado de la redundancia y rendimiento

en el enlace HA3 (reenvo de paquetes) en implementaciones de HA Activo/Activo.
La compatibilidad para HA3 est limitada a los cortafuegos de las series PA-500,
PA-3000, PA-4000 y PA-5000.
Si activa LACP para un grupo de agregacin, la compatibilidad se limita a las interfaces

HA3, de capa 2 capa 3. No puede habilitar LACP para interfaces de cable virtual.
La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos
de las series PA-500, PA-3000, PA-4000, PA-5000 y PA-7050 .
Para configurar un grupo de agregacin, haga clic en Aadir grupo de agregacin y

especifique la informacin en la siguiente tabla. A continuacin, asigne interfaces al grupo
segn lo descrito en Configuracin de una interfaz Ethernet de agregacin.
Palo Alto Networks
Tabla 74. Configuracin de interfaz de grupo de agregacin

Campo
Descripcin
Nombre de interfaz
Introduzca un nombre y un sufijo numrico para identificar el grupo de

agregacin. El nombre aparece como mm.n donde mm es el nombre y n es
el sufijo (1-8).
Tipo de interfaz
Seleccione el tipo de interfaz, que controla los requisitos de configuracin

y opciones que quedan:
HA: solo debe seleccionar esta opcin si la interfaz es un enlace de HA3
entre dos cortafuegos en una implementacin activa/activa. No se
requiere ninguna configuracin adicional. De forma optativa, configure
LACP como se describe a continuacin.
Virtual Wire (Cable virtual): no se necesita configuracin adicional.
Este tipo no est disponible si activa el LACP.
Capa 2: configure la pestaa Configurar y, de forma optativa, la pestaa
LACP como se describe ms adelante. A continuacin, configure la
pestaa Avanzado segn se describe en Tabla 65.
Capa 3: configure la pestaa Configurar y, de forma optativa, la
pestaa LACP como se describe ms adelante. A continuacin,
configure otras pestaas segn se describe en Tabla 66, Tabla 67 y
Tabla 68.

Nota: Este campo no se aplica al tipo de interfaz de HA. De igual forma, el
cortafuegos de la serie PA-4000 no admite esta funcin.
Comentarios
Configurar
Asignar interfaz a
La asignacin de la interfaz depende del tipo de interfaz:

HA: este tipo no tiene opciones de la pestaa Configurar que deban
especificarse.
Virtual Wire (Cable virtual): especifique un cable virtual y una zona
de seguridad segn se describe en Tabla 70.
Capa 2: especifique una VLAN y una zona de seguridad segn se
describe en Tabla 65.
Capa 3: especifique un enrutador virtual y una zona de seguridad
segn se describe en Tabla 66.
Sistema virtual
Palo Alto Networks
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin

est activada, seleccione un vsys para la interfaz o haga clic en Nuevo
para definir un nuevo vsys.
Tabla 74. Configuracin de interfaz de grupo de agregacin (Continuacin)

Campo
Descripcin
LACP
Esta seccin solo se aplica a las interfaces HA (solo HA3), de capa 2 y capa 3.
Habilitar LACP
Seleccione esta casilla de verificacin si desea habilitar el Protocolo de

control de agregacin de grupo (LACP) para el grupo de agregacin.
LACP est deshabilitada de manera predeterminada.
Modo
Seleccione el modo de LACP del cortafuegos. Entre cualquier par de

peers LACP, se recomienda que uno sea activo y otro pasivo. LACP no
puede funcionar si los dos peers son pasivos.
Activo: el cortafuegos consulta de forma activa el estado del LACP
(disponible o sin respuesta) de dispositivos de peer.
Pasivo (predeterminado): el cortafuegos responde pasivamente a las
consultas de estado del LACP procedentes de los dispositivos peer.
Velocidad de
transmisin
Seleccione la velocidad con la que el cortafuegos intercambia consultas y

responde a los dispositivos peer.
Rpido: cada segundo
Lento: cada 30 segundos (este es el ajuste predeterminado)
Conmutacin rpida
Seleccione esta casilla de verificacin si, cuando una interfaz tenga un

fallo, quiere que el cortafuegos cambie a una interfaz operativa en 1
segundo. De lo contrario, el fallo se produce a la velocidad estndar
definida en IEEE 802.1AX (al menos tres segundos).
Prioridad del sistema
Nmero que determina si el cortafuegos o su peer sobrescribe el otro con

respecto a las prioridades del puerto (consulte la descripcin del campo
Puertos mx. que aparece a continuacin). Observe que cuanto ms bajo
es el nmero, ms alta es la prioridad. El intervalo es 1-65535 y el valor
predeterminado es 32768.
Puertos mx.
Nmero de interfaces (1-8) que puede ser activo en cualquier momento

en un grupo de agregacin del LACP. El valor no puede superar el
nmero de interfaces asignadas al grupo. Si el nmero de interfaces
asignadas supera el nmero de interfaces activas, el cortafuegos utiliza
las prioridades del puerto de las interfaces para determinar cules estn
en modo de espera. Puede establecer prioridades de puerto al configurar
interfaces individuales para el grupo.
Palo Alto Networks
Tabla 74. Configuracin de interfaz de grupo de agregacin (Continuacin)

Campo
Descripcin
Misma direccin MAC

del sistema para modo
Activo-Pasivo de HA
Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo

valor de prioridad del sistema. Sin embargo, en una implementacin
activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto,
dependiendo de si asigna o no la misma direccin MAC. Cuando los
peers del LACP (tambin en modo de HA) se virtualizan (apareciendo
para la red como un dispositivo nico), usando la misma direccin MAC
del sistema para los cortafuegos, se recomienda minimizar la latencia
durante el fallo. Cuando los peers del LACP no se virtualizan, usando
la direccin MAC nica de cada cortafuegos, se recomienda minimizar
la latencia del fallo. Si los cortafuegos no estn en modo de HA activo/
pasivo, PAN-OS ignora este campo. (Los cortafuegos de una implementacin activa/activa requieren direcciones MAC nicas, de forma que
PAN-OS las asigne automticamente.)
LACP utiliza la direccin MAC para derivar un ID de sistema a cada
peer del LACP. Si el par del cortafuegos y el par de peers tienen valores
de prioridad del sistema idnticos, el LACP utiliza los valores de ID
del sistema para determinar qu cancela al otro con respecto a las
prioridades del puerto. Si ambos cortafuegos tienen la misma direccin
MAC, ambos tendrn el mismo ID del sistema, que ser mayor o menor
que el ID del sistema de los peers del LACP. Si los cortafuegos de HA
tienen direcciones MAC nicas, es posible que uno tenga un ID del
sistema mayor que los peers del LACP y el otro un ID del sistema menor.
En este caso, cuando el fallo se produzca en los cortafuegos, la prioridad
de puerto cambia entre los peers del LACP y el cortafuegos que se activa.
Direccin MAC
Si ha activado Usar la misma direccin MAC del sistema, seleccione una

direccin MAC generada por el sistema, o introduzca la suya propia,
para ambos cortafuegos del par de HA. Debe verificar que la direccin es
nica globalmente.
Configuracin de una interfaz Ethernet de agregacin

Red > Interfaces
Para configurar una interfaz de Ethernet de agregacin, aada primero el grupo de agregacin
al que asignar la interfaz (consulte Configuracin de los grupos de interfaces de agregacin).
En segundo lugar, haga clic en el nombre de la interfaz que asignar al grupo de agregacin.
La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregacin,
aunque cambiar el tipo a Agregar Ethernet cuando la configure. Especifique la siguiente
informacin para la interfaz.
Palo Alto Networks
Tabla 75. Configuracin de interfaz de Ethernet de agregacin

Campo
Descripcin
Tipo de interfaz
Seleccione Agregar Ethernet.
Agregar grupo
Asigne la interfaz a un grupo de agregacin.
Comentarios
Pestaa Avanzada
Nota: Si activa el LACP para el grupo de agregacin, se recomienda establecer la misma velocidad de enlace y
valores duplicados para cada interfaz del grupo. Para los valores que no coinciden, la operacin de compilacin
muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad ms alta y dplex completo.
Velocidad de enlace

automtico.
Dplex de enlace

Estado de enlace

Prioridad de puerto
LACP
El cortafuegos solo utiliza este campo si ha activado el Protocolo de

control de agregacin de grupo (LACP) para el grupo de agregacin.
Un grupo de agregacin podra tener ms interfaces de las que admite
en los estados activos. (En la configuracin del grupo de agregacin, el
parmetro Puertos mx. determina el nmero de interfaces activas).
En esta caso, la prioridad de puerto asignada a cada interfaz determina si
est activa o en espera. Cuanto ms bajo es el valor numrico, ms alta es
la prioridad. El intervalo es 1-65535 y el valor predeterminado es 32768.
Palo Alto Networks
Configuracin de una interfaz HA

Red > Interfaces
Todas las interfaces HA tienen una funcin especfica: una interfaz se utiliza para la sincronizacin de la configuracin y latidos y la otra interfaz se utiliza para la sincronizacin del
estado. Si se activa la opcin de alta disponibilidad, se puede utilizar una tercera interfaz HA
para reenviar paquetes.
Algunos cortafuegos de Palo Alto Networks incluyen puertos fsicos exclusivos para
su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de
datos). En el caso de cortafuegos que no incluyen puertos exclusivos, debe especificar
los puertos de datos que se utilizarn para HA. Si desea ms informacin sobre HA,
consulte Habilitacin de HA en el cortafuegos.
Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente
informacin.
Tabla 76. Configuracin de interfaz HA

Campo
Descripcin
Nombre de interfaz
Seleccione la interfaz de la lista desplegable. Puede modificar el nombre

si lo desea.
Tipo de interfaz
Seleccione HA de la lista desplegable.
Comentarios
Pestaa Avanzada
Velocidad de enlace

automtico.
Dplex de enlace

Estado de enlace

Configuracin de una interfaz VLAN

Red > Interfaces > VLAN
Se puede configurar una interfaz VLAN para proporcionar enrutamiento en una red de capa 3
(IPv4 e IPv6). Se pueden aadir uno o varios puertos Ethernet de capa 2 (Configuracin de
una interfaz Ethernet de capa 2) a una interfaz VLAN. Todas las configuraciones de la
interfaz VLAN tienen una configuracin bsica y pestaas de configuracin adicionales.
Para configurar una interfaz VLAN, seleccione la pestaa VLAN y haga clic en Aadir.
Especifique los ajustes de configuracin bsica y, a continuacin, los ajustes de IPv4 e IPv6
segn corresponda.
Palo Alto Networks
Tabla 77. Configuracin bsica de la interfaz VLAN

Campo
Descripcin
Nombre de interfaz
Especifique un sufijo numrico a la interfaz (1-4999).

Comentarios
Aada una descripcin opcional de la interfaz.
Pestaa Configuracin
VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Enrutador virtual

Sistema virtual
Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin

est activada, seleccione un vsys para la interfaz o haga clic en Nuevo
para definir un nuevo vsys.
Zona de seguridad

Pestaa Avanzada
Otra informacin
Perfil de gestin: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuracin est destinada a aquellas situaciones en las
que un tnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parmetro permite
ajustarlo.
Entradas ARP/Interfaz
Para aadir una o ms entradas ARP estticas, haga clic en Aadir e

introduzca una direccin IP y la direccin (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la direccin
del hardware.
Entradas de ND
Haga clic en Aadir para introducir la direccin IP y MAC de los vecinos

que se aadirn al descubrimiento.
Palo Alto Networks
Pestaa IPv4 de VLAN

Si configura una VLAN para su acceso a una red IPv4, debe configurar los siguientes ajustes
en la pestaa IPv4:
Tabla 78. Configuracin de IPv4 de la interfaz VLAN

Campo
Descripcin
Pestaa IPv4
Esttico
Seleccione Esttico para asignar direcciones IP estticas. Haga clic en

Aadir e introduzca una direccin IP y una mscara de red para la
interfaz en la notacin de enrutamiento entre dominios sin clases (CIDR):
direccin_ip/mscara (por ejemplo, 192.168.2.0/24). Puede introducir
mltiples direcciones IP para la interfaz. La base de informacin de
reenvo (FIB) que utiliza su sistema determina el nmero mximo de
direcciones IP.
Cliente DHCP
Seleccione DHCP para utilizar la asignacin de direcciones DHCP para la

interfaz y especifique los siguientes ajustes:
Habilitar: seleccione la casilla de verificacin para activar el cliente
DHCP en la interfaz.
Crear automticamente ruta predeterminada que apunte al servidor:
Seleccione la casilla de verificacin para que se cree automticamente
una ruta predefinida que apunte al servidor DHCP cuando se conecte.
Mtrica de ruta predeterminada: Especifique la mtrica de ruta asociada
con la ruta predefinida que se utilizar para seleccionar la ruta (opcional,
intervalo 1-65535).
Haga clic en Mostrar informacin de tiempo de ejecucin de cliente
DHCP para abrir una ventana que muestre todos los ajustes recibidos
del servidor DHCP, incluyendo el estado de concesin de DHCP, la
asignacin de IP dinmica, la mscara de subred, la puerta de enlace,
la configuracin del servidor (DNS, NTP, dominio, WINS, NIS, POP3
y SMTP).
Entradas de ARP
Para aadir una o ms entradas ARP, introduzca una direccin IP y su

hardware asociado (MAC) y haga clic en Aadir. Para eliminar una
entrada esttica, seleccione la entrada y haga clic en Eliminar.
Pestaa IPv6 de VLAN

Si configura una VLAN para su acceso a una red IPv6, debe configurar los siguientes ajustes
en la pestaa IPv6:
Tabla 79. Configuracin de IPv6 de la interfaz VLAN

Campo
Descripcin
Pestaa IPv6
interfaz

la subinterfaz.
ID de interfaz
Introduzca el identificador nico ampliado de 64 bits en formato

hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz
se deja en blanco, el cortafuegos utilizar el EUI-64 generado desde la
direccin MAC de la interfaz fsica.
Palo Alto Networks
Tabla 79. Configuracin de IPv6 de la interfaz VLAN (Continuacin)

Campo
Descripcin
Direccin
Haga clic en Aadir e introduzca una direccin IPv6 y la longitud del

prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte de host de la direccin. Seleccione
Difusin por proximidad para incluir el enrutador mediante el nodo
ms cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a la
interfaz ser la que especifique completamente en el cuadro de texto de la
direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta direccin IP. Tambin puede configurar
que se enve la marca Autnomo y definir la opcin Enlace activo. Debe
habilitar la opcin Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar anuncio de enrutador para una direccin
IP concreta.
Resolucin de direccin
(Duplicar deteccin de
direccin)
Seleccione la casilla de verificacin para habilitar Duplicar deteccin de

direccin (DAD) y especifique la siguiente informacin.
Intentos DAD: Especifique el nmero de intentos del intervalo de
solicitacin de vecinos de DAD antes de que falle el intento de
identificar a los vecinos (intervalo 1-10).
Tiempo alcanzable: Especifique el tiempo que un vecino permanece
1-36.000 segundos).
Intervalo de solicitacin de vecinos (NS): Especifique el nmero de
segundos de intentos DAD antes de indicar el fallo (intervalo 1-10
segundos).
enrutador
Seleccione la casilla de verificacin para habilitar Anuncio de enrutador

(RA) para proporcionar la configuracin automtica de direcciones sin
estado (SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede
actuar como una puerta de enlace predeterminada para hosts IPv6 que no
estn configurados estticamente y proporcionar al host un prefijo IPv6
que se puede utilizar para la configuracin de direcciones. Se puede
utilizar un servidor DHCPv6 diferente en conjuncin con esta funcin
para proporcionar DNS y otros ajustes a los clientes.
Esta opcin es un ajuste global de la interfaz. Tambin puede definir
las opciones de anuncio de enrutador por direccin IP haciendo clic en
Aadir e introduciendo una direccin IP. Debe activar esta opcin en la
interfaz si va a especificar la opcin Enviar anuncio de enrutador por
direccin.
Especifique la siguiente informacin que utilizarn los clientes que
reciban los mensajes RA.
Min. de intervalo (seg): Especifique el intervalo mnimo por segundos
en el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
enrutador se enviarn a intervalos aleatorios entre los valores mnimo y
mximo configurados (intervalo 3-1350 segundos; opcin predefinida
200 segundos).
Mx. de intervalo (seg): Especifique el intervalo mximo por segundos
en el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
enrutador se enviarn a intervalos aleatorios entre los valores mnimo y
mximo configurados (intervalo 4-1800 segundos; opcin predefinida
600 segundos).
Palo Alto Networks
Tabla 79. Configuracin de IPv6 de la interfaz VLAN (Continuacin)

Campo
Descripcin
Habilitar anuncio
de enrutador
(Continuacin)
Lmite de salto: Especifique el lmite de salto que se aplicar a los

clientes para paquetes salientes. Introduzca 0 si no desea ningn lmite
de salto (intervalo 1-255; opcin predefinida 64).
MTU de enlace: Especifique la MTU de enlace que se aplicar a los
clientes. Seleccione sin especificar para establecer una MTU sin enlace
(intervalo: 1280-9192; opcin predeterminada: sin especificar).
Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizar
para asumir que un vecino es alcanzable despus de recibir un mensaje
de confirmacin. Seleccione sin especificar para especificar un valor
de tiempo no alcanzable (intervalo: 0-3600000 milisegundos; opcin
predeterminada: sin especificar).
Tiempo de retransmisin (ms) Especifique el temporizador de transmisin que el cliente utilizar para determinar cunto tiempo debe
esperar antes de retransmitir los mensajes de solicitacin de vecinos.
Seleccione sin especificar para no establecer ningn tiempo de retransmisin (intervalo 0-4294967295 milisegundos; opcin predeterminada:
sin especificar).
Duracin de enrutador (seg): Especifique la duracin del enrutador que
indicar al cliente cunto tiempo se utilizar el cortafuegos/enrutador
como el enrutador predeterminado (intervalo: 0-9.000 segundos; opcin
predeterminada 1.800).
Configuracin gestionada: Seleccione la casilla de verificacin para
indicar al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar
al cliente que existen otras direcciones de informacin mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobacin de coherencia: Seleccione la casilla de verificacin para
activar comprobaciones de coherencia que utilizar el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
est transmitiendo informacin coherente en el enlace. Si se detectan
incoherencias, se crear un log.
Configuracin de una interfaz de loopback

Red > Interfaces > Loopback
Puede configurar una o varias interfaces de loopback si la topologa de la red las requiere
(IPv4 y IPv6). Las configuraciones de interfaz de loopback tienen una configuracin bsica y
pestaas de configuracin adicionales. Para configurar una interfaz de loopback, seleccione
Red > Interfaces > Loopback y haga clic en Aadir. Especifique los ajustes de configuracin
bsica en primer lugar, despus los ajustes avanzados y, a continuacin, los ajustes de IPv4
e IPv6.
Palo Alto Networks
Tabla 80. Configuracin avanzada y bsica de la interfaz de loopback

Campo
Descripcin
Nombre de interfaz

Comentarios
Pestaa Configuracin
Enrutador virtual

Sistema virtual

Zona de seguridad

Pestaa Avanzada
Otra informacin

interfaz.
MTU: Introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz (de 576 a 1500, opcin
predeterminada 1500). Si las mquinas de ambos extremos del
cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD),
el valor de MTU se devolver en un mensaje con necesidad de
fragmentacin ICMP indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuracin est destinada a aquellas situaciones en
las que un tnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parmetro permite
ajustarlo.
Palo Alto Networks
Pestaa IPv4 de la interfaz de loopback

Si configura una interfaz de loopback para su acceso a una red IPv4, debe configurar los
siguientes ajustes en la pestaa IPv4:
Tabla 81. Configuracin de IPv4 de la interfaz de loopback

Campo
Descripcin
Direccin IP
Haga clic en Aadir para introducir una direccin IP y mscaras de red

para la interfaz.
Pestaa IPv6 de la interfaz de loopback

Si configura una interfaz de loopback para su acceso a una red IPv6, debe configurar los
siguientes ajustes en la pestaa IPv6:
Tabla 82. Configuracin de IPv6 de la interfaz de loopback

Campo
Descripcin
interfaz

la subinterfaz.
ID de interfaz
Especifique el identificador hexadecimal de 64 bits de la subinterfaz.
Direccin
Introduzca la direccin IPv6. Seleccione Usar ID de interfaz como parte

de host para asignar una direccin IPv6 a la interfaz que utilizar el ID de
interfaz como la parte de host de la direccin. Seleccione Difusin por
proximidad para incluir el enrutador mediante el nodo ms cercano.
Configuracin de una interfaz de tnel

Red > Interfaces > Tnel
Se pueden configurar una o varias interfaces de tnel segn exija su topologa de red (IPv4 e
IPv6). Todas las configuraciones de la interfaz de tnel tienen una configuracin bsica y
pestaas de configuracin adicionales. Para configurar una interfaz de tnel, seleccione la
pestaa Tnel y haga clic en Aadir. Especifique los ajustes de configuracin bsica y,
a continuacin, los ajustes de IPv4 e IPv6 segn corresponda.
Tabla 83. Configuracin de interfaz de tnel

Campo
Descripcin
Nombre de interfaz

Comentarios
Pestaa Configuracin
Enrutador virtual
Palo Alto Networks

Tabla 83. Configuracin de interfaz de tnel (Continuacin)

Campo
Descripcin
Sistema virtual

Zona de seguridad

Pestaa Avanzada
Otra informacin
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
El cortafuegos considera de forma automtica la sobrecarga del tnel al ejecutar
la fragmentacin de IP y tambin ajusta el tamao mximo del segmento (MSS)
segn sea necesario.
Pestaa IPv4 de la interfaz de tnel

Si configura una interfaz de tnel para su acceso a una red IPv4, debe configurar los siguientes
ajustes en la pestaa IPv4:
Tabla 84. Configuracin de IPv4 de la interfaz de tnel

Campo
Descripcin
Direccin IP
Haga clic en Aadir para introducir direcciones IP y mscaras de red para

la interfaz.
Palo Alto Networks
Pestaa IPv6 de la interfaz de tnel

Si configura una interfaz de tnel para su acceso a una red IPv6, debe configurar los siguientes
ajustes en la pestaa IPv6:
Tabla 85. Configuracin de IPv6 de la interfaz de tnel

Campo
Descripcin
interfaz

la interfaz.
Esta opcin permite enrutar el trfico IPv6 en un tnel IPv4 IPSec y ofrece
confidencialidad entre redes IPv6. El trfico IPv6 se encapsula mediante
IPv4 y, a continuacin, mediante ESP.
Para enrutar el trfico IPv6 hacia el tnel, puede utilizar una ruta esttica
hacia el tnel, o bien utilizar una regla de reenvo basado en polticas
(PBF) para dirigir el trfico y ofrecer redundancia al supervisar el otro
extremo del tnel y conmutacin por error cuando sea necesario.
ID de interfaz
Introduzca el identificador nico ampliado de 64 bits en formato

hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz
se deja en blanco, el cortafuegos utilizar el EUI-64 generado desde la
direccin MAC de la interfaz fsica.
Direccin
Haga clic en Aadir e introduzca una direccin IPv6 y la longitud del

prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte de host de la direccin. Seleccione
Difusin por proximidad para incluir el enrutador mediante el nodo ms
cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a la
interfaz ser la que especifique completamente en el cuadro de texto de
la direccin.
Configuracin de un enrutador virtual

Red > Enrutador virtual
Utilice esta pgina para definir enrutadores virtuales. La definicin de enrutadores
virtuales permite configurara reglas de reenvo de capa 3 y activar el uso de protocolos
de enrutamiento dinmicos. Todas las interfaces de capa 3, de loopback y VLAN definidas en
el cortafuegos se deben asociar con un enrutador virtual. Cada interfaz solo puede pertenecer
a un nico enrutador virtual.
La definicin de un enrutador virtual requiere la configuracin de la asignacin de los
ajustes en la pestaa General y en cualquiera de las siguientes pestaas, segn exija su
topologa de red:
Pestaa Rutas estticas: Consulte Configuracin de la pestaa Rutas estticas.
Pestaa Perfil de redistribucin: Consulte Configuracin de la pestaa Perfiles de

redistribucin.
Pestaa RIP: Consulte Configuracin de la pestaa RIP.
Pestaa OSPF: Consulte Configuracin de la pestaa OSPF.
Pestaa OSPFv3: Consulte Configuracin de la pestaa OSPFv3.
Pestaa BGP: Consulte Configuracin de la pestaa BGP.
Pestaa Multicast: Consulte Configuracin de la pestaa Multicast.
Palo Alto Networks
Configuracin de la pestaa General

Red > Enrutador virtual > General
Todas las configuraciones del enrutador virtual exigen que aada interfaces de capa 3 y cifras
de distancia administrativa segn se describe en la siguiente tabla:
Tabla 86. Configuracin de enrutador virtual - Pestaa General

Campo
Descripcin
Nombre
Especifique un nombre para identificar el enrutador virtual (de hasta 31

y guiones bajos.
Interfaces
Seleccione las interfaces que desea incluir en el enrutador virtual.

Cuando selecciona una interfaz, se incluye en el enrutador virtual y se
puede utilizar como una interfaz de salida en la pestaa de enrutamiento
del enrutador virtual.
Para especificar el tipo de interfaz, consulte Configuracin de la interfaz
de un cortafuegos.
Cuando aade una interfaz, sus rutas conectadas se aaden automticamente.
Distancias
administrativas
Especifique las siguientes distancias administrativas:

Rutas estticas (10-240, opcin predefinida 10).
OSPF Int (10-240, opcin predefinida 30).
OSPF Ext (10-240, opcin predefinida 110).
IBGP (10-240, opcin predefinida 200).
EBGP (10-240, opcin predefinida 20).
RIP (10-240, opcin predefinida 120).
Configuracin de la pestaa Rutas estticas

Red > Enrutador virtual > Rutas estticas
Opcionalmente puede introducir una o ms rutas estticas. Haga clic en la pestaa IP o IPv6
para especificar la ruta mediante direcciones IPv4 o IPv6. Aqu suele ser necesario configurar
las rutas predefinidas (0.0.0.0/0). Las rutas predefinidas se aplican a destinos que de otro
modo no se encontraran en la tabla de enrutamiento del enrutador virtual.
Tabla 87. Configuracin de enrutador virtual - Pestaa Rutas estticas

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la ruta esttica (de hasta 31

y guiones bajos.
IP Destino
Introduzca una direccin IP y una mscara de red en la notacin de

enrutamiento entre dominios sin clases (CIDR): direccin_ip/mscara
(por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6).
Interfaz
Seleccione la interfaz para reenviar paquetes al destino o configure el

siguiente salto, o ambos.
Palo Alto Networks
Tabla 87. Configuracin de enrutador virtual - Pestaa Rutas estticas (Continuacin)

Campo
Siguiente salto
Descripcin
Especifique los siguientes ajustes de salto:
Ninguno: Seleccione esta opcin si no existe el siguiente salto en la ruta.
Direccin IP: Especifique la direccin IP del siguiente enrutador de salto.
Descartar: Seleccione esta opcin si desea descartare l trfico que se
dirige a este destino.
Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como
el siguiente salto. Esta opcin permite configurar rutas internamente
entre enrutadores virtuales en un nico cortafuegos.
Distancia administrativa
Especifique la distancia administrativa de la ruta esttica (10-240; opcin

predefinida 10).
Mtrica
Especifique una medida para la ruta esttica (1 - 65535).
No instalar
Seleccione esta opcin si no desea instalar la ruta en la tabla de reenvos.

La ruta se retiene en la configuracin para su referencia futura.
Configuracin de la pestaa Perfiles de redistribucin

Red > Enrutador virtual > Perfiles de redistribucin
Los perfiles de redistribucin dirigen el cortafuegos para filtrar, establecer la prioridad y
realizar acciones basadas en el comportamiento de red deseado. La redistribucin de rutas
permite a las rutas estticas y a las rutas adquiridas por otros protocolos anunciarse mediante
protocolos de enrutamiento especficos. Los perfiles de redistribucin se deben aplicar a los
protocolos de enrutamiento para que surtan efecto. Sin las reglas de redistribucin, cada
uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su mbito.
Los perfiles de redistribucin se pueden aadir o modificar despus de configurar todos los
protocolos de enrutamiento y de establecer la topologa de red resultante. Aplique perfiles de
redistribucin a los protocolos RIP y OSPF definiendo reglas de exportacin. Aplique perfiles
de redistribucin a BGP en la pestaa Reglas de distribucin. Consulte la tabla siguiente.
Tabla 88. Configuracin de enrutador virtual - Pestaa Perfiles de redistribucin

Campo
Descripcin
Nombre
Haga clic en Aadir para mostrar la pgina Perfil de redistribucin e

introduzca el nombre del perfil.
Prioridad
Introduzca un nivel de prioridad (intervalo 1-255) para este perfil.

Los perfiles se muestran en orden (con los nmeros ms bajos primero).
Redistribuir
Seleccione si la redistribucin de la ruta se realizar segn los ajustes

de esta ventana.
Redistr.: Seleccione si la redistribucin se realizar con rutas de
candidato coincidentes. Si selecciona esta opcin, introduzca un
nuevo valor mtrico. Un valor mtrico inferior significa una ruta
ms preferible.
No hay ninguna redistribucin: Seleccione si no se realizar ningn
tipo de redistribucin.
Palo Alto Networks
Tabla 88. Configuracin de enrutador virtual - Pestaa Perfiles de redistribucin (ContiCampo
Descripcin
Pestaa Filtro general

Tipo
Seleccione las casillas de verificacin para especificar los tipos de ruta

de candidato.
Interfaz
Seleccione las interfaces para especificar las interfaces de reenvo de la

ruta de candidato.
IP Destino
Para especificar el destino de la ruta de candidato, introduzca la direccin

IP o la subred de destino (con el formato x.x.x.x o x.x.x.x/n) y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Siguiente salto
Para especificar la puerta de enlace de la ruta de candidato, introduzca la

direccin IP o la subred (con el formato x.x.x.x o x.x.x.x/n) que represente
el siguiente salto y haga clic en Aadir. Para eliminar una entrada, haga
clic en el icono
asociado con la entrada.
Pestaa Filtro OSPF

Tipo de ruta
Seleccione las casillas de verificacin para especificar los tipos de ruta de

candidato OSPF.
rea
Especifique el identificador de rea de la ruta de candidato OSPF.

Introduzca el ID de rea OSPF (con el formato x.x.x.x), y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.
Etiqueta
Especifique los valores de etiqueta OSPF. Introduzca un valor de etiqueta

numrica (1-255) y haga clic Aadir. Para eliminar una entrada, haga clic
en el icono
asociado con la entrada.
Pestaa Filtro BGP

Comunidad
Especifique una comunidad para la poltica de enrutamiento BGP.
Comunidad extendida
Especifique una comunidad extendida para la poltica de enrutamiento

BGP.
Configuracin de la pestaa RIP

Red > Enrutador virtual > RIP
La configuracin del protocolo de informacin de enrutamiento (RIP) requiere que se
establezcan los siguientes ajustes generales:
Tabla 89. Configuracin de enrutador virtual - Pestaa RIP

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo RIP.
Rechazar ruta por

defecto
Seleccione la casilla de verificacin si no desea obtener ninguna de las

rutas predefinidas mediante RIP. Es muy recomendable seleccionar esta
casilla de verificacin.
Palo Alto Networks
Adems, se deben configurar ajustes en las siguientes pestaas:
Pestaa Interfaces: Consulte Configuracin de la pestaa Interfaces.
Pestaa Temporizadores: Consulte Configuracin de la pestaa Temporizadores.
Pestaa Perfiles de autenticacin: Consulte Configuracin de la pestaa Perfiles de

autenticacin.
Pestaa Reglas de exportacin: Consulte Configuracin de la pestaa Reglas de

exportacin.
Configuracin de la pestaa Interfaces

Red > Enrutador virtual > RIP > Interfaces
En la siguiente tabla se describen los ajustes de la pestaa Interfaces.
Tabla 90.
Configuracin de RIP Pestaa Interfaces
Campo
Descripcin
Interfaces
Interfaz
Seleccione la interfaz que ejecuta el protocolo RIP.
Habilitar
Seleccione esta opcin para habilitar estos ajustes.
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica
Especifique un valor mtrico para el anuncio del enrutador. Este campo

solo es visible si se ha seleccionado la casilla de verificacin Anunciar.
Seleccione el perfil.
Modo
Seleccione Normal, Pasivo o Enviar nicamente.
Configuracin de la pestaa Temporizadores

Red > Enrutador virtual > RIP > Temporizadores
En la siguiente tabla se describen los ajustes de la pestaa Temporizadores.
Tabla 91. Configuracin de RIP Pestaa Interfaces

Campo
Descripcin
Temporizadores
Segundos del intervalo
(seg)
Defina la duracin del intervalo de tiempo en segundos. Esta duracin se

utiliza para el resto de los campos de temporizacin de RIP (1 - 60).
Intervalo de
actualizaciones
Introduzca el nmero de intervalos entre los anuncios de actualizacin de

rutas (1 - 3600).
Intervalos de
vencimiento
Introduzca el nmero de intervalos entre la ltima hora de actualizacin

de la ruta hasta su vencimiento (1- 3600).
Intervalo de eliminacin
Introduzca el nmero de intervalos entre la hora de vencimiento de la

ruta hasta su eliminacin (1- 3600).
Palo Alto Networks
Configuracin de la pestaa Perfiles de autenticacin

Red > Enrutador virtual > RIP > Perfiles de autenticacin
La tabla siguiente describe los ajustes de la pestaa Perfiles de autenticacin.
Tabla 92. Configuracin de RIP Pestaa Perfiles de autenticacin

Campo
Descripcin
Perfiles de autenticacin
Nombre de perfil
Tipo de contrasea
Introduzca un nombre para el perfil de autenticacin para autenticar

los mensajes RIP. Para autenticar mensajes RIP, primero defina los
perfiles de autenticacin y a continuacin, aplquelos a las interfaces
en la pestaa RIP.
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Sencillo, introduzca la contrasea sencilla y, a continuacin,
confirme.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opcin Preferido.
Configuracin de la pestaa Reglas de exportacin

Red > Enrutador virtual > RIP > Reglas de exportacin
La tabla siguiente describe los ajustes de la pestaa Reglas de exportacin.
Tabla 93. Configuracin de RIP Pestaa Reglas de exportacin

Campo
Descripcin
Reglas de exportacin
(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y
la accin, en funcin del comportamiento de red deseado. Consulte
Configuracin de la pestaa Perfiles de redistribucin.
Palo Alto Networks
Configuracin de la pestaa OSPF

Red > Enrutador virtual > OSPF
La configuracin del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los
siguientes ajustes generales:
Tabla 94. Configuracin del enrutador virtual - Pestaa OSPF

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo OSPF.
Rechazar ruta por

defecto

rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este

enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.
Pestaa reas: Consulte Configuracin de la pestaa reas.

autenticacin.

exportacin.
Pestaa Avanzado: Consulte Configuracin de la pestaa Avanzado.
Configuracin de la pestaa reas

Red > Enrutador virtual > OSPF > reas
La tabla siguiente describe los ajustes de la pestaa reas.
Tabla 95. Configuracin de OSPF Pestaa reas

Campo
Descripcin
reas
ID de rea
Configure el rea en el que los parmetros OSPF se pueden aplicar.

Introduzca un identificador del rea en formato x.x.x.x. Es el identificador
que cada vecino debe aceptar para formar parte de la misma rea.
Palo Alto Networks
Tabla 95. Configuracin de OSPF Pestaa reas (Continuacin)

Campo
Tipo
Descripcin
Seleccione una de las siguientes opciones.
Normal: No hay restricciones; el rea puede aceptar todos los tipos
de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que
no sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen
si desea aceptar este tipo de LSA. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del rea de cdigo auxiliar, junto con el valor
mtrico asociado (1-255). Tambin puede seleccionar el tipo de ruta que
se utilizar para anunciar el LSA predefinido. Haga clic en Aadir en la
seccin Intervalos externos e introduzca los intervalos si desea activar o
suprimir rutas externas de anuncios que se obtienen mediante NSSA a
otras reas.
Intervalo
Haga clic en Aadir para aadir direcciones de destino LSA en el rea

en subredes. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
Palo Alto Networks

Campo
Descripcin
Interfaz
Haga clic en Aadir e introduzca la siguiente informacin en cada interfaz

que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envan ni reciben, si selecciona esta opcin, la interfaz se incluir en la
base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino automticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben
definir manualmente. La definicin manual de vecino solo se permite
en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255).
Es la prioridad del enrutador para ser el enrutador designado (DR)
o de reserva (BDR) segn el protocolo OSPF. Si el valor es cero,
el enrutador no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Intervalo de saludo (segundos): Intervalo en el que el proceso de
OSPF enva paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
Recuentos fallidos: Nmero de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. En intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de temporizador de fallos.
Intervalo: 3-20. Valor predeterminado: 4.
Intervalo de retransmisin (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
Retraso de trnsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo.
Palo Alto Networks

Campo
Descripcin
Interfaz (Continuacin)
Retraso de saludo de reinicio correcto (segundos): Se aplica a una

interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos enva los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envan paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
tambin avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajar durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador
de fallos de 40 segundos. Si el retraso de saludo de reinicio correcto
se establece en 10 segundos, ese retraso de 10 segundos de los paquetes
de saludo se enmarca cmodamente dentro del temporizador de fallos
de 40 segundos, de forma que la adyacencia no agotar su tiempo
de espera durante un reinicio correcto. Intervalo: 1-10 segundos.
Valor predeterminado: 10 segundos.
Enlace virtual
Configure los ajustes del enlace virtual para mantener o mejorar la

conectividad del rea troncal. Los ajustes se deben definir para
enrutadores de borde de rea y se deben definir en el rea troncal
(0.0.0.0). Haga clic en Aadir e introduzca la siguiente informacin en
enlace virtual que se incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el vnculo virtual.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
previamente.

Red > Enrutador virtual > OSPF > Perfiles de autenticacin
Tabla 96. Configuracin de OSPF Pestaa Perfiles de autenticacin

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para el perfil de autenticacin. Para autenticar

mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.
Palo Alto Networks
Tabla 96. Configuracin de OSPF Pestaa Perfiles de autenticacin (Continuacin)

Campo
Tipo de contrasea
Descripcin
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opcin Preferido.

Red > Enrutador virtual > OSPF > Reglas de exportacin

Campo
Descripcin
Permitir redistribucin
de ruta predeterminada
Seleccione la casilla de verificacin para permitir la redistribucin de las

rutas predeterminadas mediante OSPF.
Nombre
Seleccione el nombre del perfil de redistribucin. El valor debe ser una

subred IP o un nombre de perfil de redistribucin vlido.
Nuevo tipo de ruta
Seleccione el tipo de mtrica que se aplicar.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Mtrica
Especifique la mtrica de ruta asociada con la ruta exportada que se

utilizar para seleccionar la ruta (opcional, intervalo 1-65535).
Configuracin de la pestaa Avanzado

Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado.
Tabla 98. Configuracin de OSPF Pestaa Avanzado

Campo
Descripcin
Avanzado
Compatibilidad RFC
1583
Palo Alto Networks
Selecciona la casilla de verificacin para garantizar la compatibilidad con

RFC 1583.
Tabla 98. Configuracin de OSPF Pestaa Avanzado (Continuacin)

Campo
Descripcin
Temporizadores
Retraso de clculo SPF (seg): Esta opcin es un temporizador que le

permite definir el retraso de tiempo entre la recepcin de nueva informacin de topologa y ejecutar un clculo SPF. Los valores menores
permiten una reconvergencia OSPF ms rpida. Los enrutadores que
se emparejan con el cortafuegos se deben configurar de manera similar
para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval
en RFC 2328. Los valores ms bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipologa.
Reinicio correcto
Habilitar reinicio correcto: Habilitado de forma predeterminada; un

cortafuegos que tenga esta funcin activada indicar a los enrutadores
vecinos que continen usndolo como ruta cuando tenga lugar una
transicin que lo desactive temporalmente.
Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuar reenviando a un
dispositivo adyacente durante el reinicio del dispositivo.
Habilitar comprobacin de LSA estricta: Habilitado de forma predeterminada; esta funcin hace que el cortafuegos que tenga habilitado el
modo auxiliar de OSPF salga de este modo si se produce un cambio de
topologa.
Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de
este mientras se estn restableciendo o el enrutador se est reiniciando.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos.
Mx. de hora de reinicio del mismo nivel: Periodo de gracia mximo
en segundos que el cortafuegos aceptar como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia ms
largo en su LSA de gracia, el cortafuegos no entrar en modo auxiliar.
Configuracin de la pestaa OSPFv3

Red > Enrutador virtual > OSPFv3
La configuracin del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se
establezcan los siguientes ajustes generales:
Tabla 99. Configuracin del enrutador virtual - Pestaa OSPF

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el protocolo OSPF.
Rechazar ruta por

defecto

rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.
ID del enrutador
Especifique el ID del enrutador asociado con la instancia OSPF en este

enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.
Palo Alto Networks
Pestaa reas: Consulte Configuracin de la pestaa reas.

autenticacin.

exportacin.
Configuracin de la pestaa reas

Red > Enrutador virtual > OSPFv3 > reas
La tabla siguiente describe los ajustes de la pestaa reas.
Tabla 100. Configuracin del enrutador virtual - Pestaa reas

Campo
Descripcin
Autenticacin
Seleccione el nombre del perfil de autenticacin que desea especificar

para esta rea de OSPFarea.
Tipo
Seleccione una de las siguientes opciones.

Normal: No hay restricciones; el rea puede aceptar todos los tipos de
rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que no
sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen si
desea aceptar este tipo de LSA. Especifique si desea incluir una ruta
LSA predefinida en los anuncios al rea de cdigo auxiliar, junto con
el valor mtrico asociado (1-255). Tambin puede seleccionar el tipo de
ruta que se utilizar para anunciar el LSA predefinido. Haga clic en
Aadir en la seccin Intervalos externos e introduzca los intervalos si
desea activar o suprimir rutas externas de anuncios que se obtienen
mediante NSSA a otras reas.
Intervalo
Palo Alto Networks
Haga clic en Aadir para que la subred aada direcciones IPv6 de destino
LSA en el rea. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
Tabla 100. Configuracin del enrutador virtual - Pestaa reas (Continuacin)

Campo
Descripcin
Interfaz
Haga clic en Aadir e introduzca la siguiente informacin en cada

interfaz que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envan ni reciben, si selecciona esta opcin, la interfaz se incluir en la
base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino automticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben
definir manualmente. La definicin manual de vecino solo se permite
en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255).
Es la prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) segn el protocolo OSPF. Si el valor es cero, el enrutador
no se designar como DR ni BDR.
previamente.
Intervalo de saludo (segundos): Intervalo en el que el proceso de
OSPF enva paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
Recuentos fallidos: Nmero de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. En intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de temporizador de fallos.
Intervalo: 3-20. Valor predeterminado: 4.
Intervalo de retransmisin (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
Retraso de trnsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo.
Palo Alto Networks
Tabla 100. Configuracin del enrutador virtual - Pestaa reas (Continuacin)

Campo
Descripcin
Interfaz (Continuacin)
Retraso de saludo de reinicio correcto (segundos): Se aplica a una

interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos enva los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envan paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
tambin avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajar durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador de
fallos de 40 segundos. Si el retraso de saludo de reinicio correcto se
establece en 10 segundos, ese retraso de 10 segundos de los paquetes de
saludo se enmarca cmodamente dentro del temporizador de fallos de
40 segundos, de forma que la adyacencia no agotar su tiempo de
espera durante un reinicio correcto. Intervalo: 1-10 segundos. Valor
predeterminado: 10 segundos.
Vecinos: En interfaces p2pmp, introduzca la direccin IP de todos los
vecinos accesibles mediante esta interfaz.
Enlaces virtuales
Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del rea troncal. Los ajustes se deben definir para enrutadores de
borde de rea y se deben definir en el rea troncal (0.0.0.0). Haga clic en
Aadir e introduzca la siguiente informacin en enlace virtual que se
incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el vnculo virtual.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
previamente.
Palo Alto Networks

Red > Enrutador virtual > OSPFv3 > Perfiles de autenticacin
Tabla 101. Configuracin de OSPFv3 Pestaa Perfiles de autenticacin

Campo
Descripcin
Nombre de perfil
Introduzca un nombre para el perfil de autenticacin. Para autenticar

mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.
SPI
Especifique el ndice de parmetros de seguridad (SPI) para los paquetes

transversales desde el cortafuegos remoto hasta el peer.
Protocolo
Especifique uno de los siguientes protocolos:

ESP: Protocolo de carga de seguridad encapsulada.
AH: Protocolo del encabezado de autenticacin
Algoritmo criptogrfico
Especifique una de las siguientes opciones:

Ninguno: No se utilizar ningn algoritmo criptogrfico.
SHA1: Algoritmo de hash seguro 1.
SHA256: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 256 bits.
MD5: Algoritmo de resumen de mensaje de MD5.
Clave/Confirmar clave
Introduzca y confirme una clave de autenticacin.
Cifrado

aes128: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 128 bits.
nulo: No se utiliza ningn cifrado.
No est disponible si no se ha seleccionado el protocolo AH.
Clave/Confirmar clave
Introduzca y confirme una clave de cifrado.
Palo Alto Networks

Red > Enrutador virtual > OSPF > Reglas de exportacin

Campo
Descripcin
Seleccione la casilla de verificacin para permitir la redistribucin de las

rutas predeterminadas mediante OSPF.
Nombre
Seleccione el nombre del perfil de redistribucin. El valor debe ser una

subred IP o un nombre de perfil de redistribucin vlido.
Nuevo tipo de ruta
Seleccione el tipo de mtrica que se aplicar.
Nueva etiqueta
Especifique una etiqueta para la ruta que tenga un valor de 32 bits.
Mtrica
Especifique la mtrica de ruta asociada con la ruta exportada que se

utilizar para seleccionar la ruta (opcional, intervalo 1-65535).

Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado.
Tabla 103. Configuracin de OSPF Pestaa Avanzado

Campo
Descripcin
Avanzado
Deshabilitar enrutamiento de trnsito para
el clculo de SPF
Seleccione esta casilla de verificacin si desea establecer el R-bit en los

LSA del enrutador enviados desde este dispositivo para indicar que el
enrutador no est activo. Cuando est en este estado, el dispositivo
participa en OSPFv3 pero ningn otro enrutador enva trfico de trnsito.
En este estado, el trfico local seguir reenvindose al dispositivo. Es til
cuando se realiza mantenimiento con una red de dos bases porque el
trfico se puede volver a enrutar en el dispositivo mientras este siga
siendo accesible.
Temporizadores
Retraso de clculo SPF (seg): Esta opcin es un temporizador que le

permite definir el retraso de tiempo entre la recepcin de nueva informacin de topologa y ejecutar un clculo SPF. Los valores menores
permiten una reconvergencia OSPF ms rpida. Los enrutadores que
se emparejan con el cortafuegos se deben configurar de manera similar
para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en
RFC 2328. Los valores ms bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipologa.
Palo Alto Networks
Tabla 103. Configuracin de OSPF Pestaa Avanzado (Continuacin)

Campo
Descripcin
Reinicio correcto
Habilitar reinicio correcto: Habilitado de forma predeterminada; un

cortafuegos que tenga esta funcin activada indicar a los enrutadores
vecinos que continen usndolo como ruta cuando tenga lugar una
transicin que lo desactive temporalmente.
Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuar reenviando a
un dispositivo adyacente durante el reinicio del dispositivo.
Habilitar comprobacin de LSA estricta: Habilitado de forma predeterminada; esta funcin hace que el cortafuegos que tenga habilitado el
modo auxiliar de OSPF salga de este modo si se produce un cambio
de topologa.
Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de
este mientras se estn restableciendo o el enrutador se est reiniciando.
Mx. de hora de reinicio del mismo nivel: Periodo de gracia mximo
en segundos que el cortafuegos aceptar como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia ms largo
en su LSA de gracia, el cortafuegos no entrar en modo auxiliar.
Configuracin de la pestaa BGP

Red > Enrutador virtual > BGP
La configuracin del protocolo de puerta de enlace de borde (BGP) requiere que se
establezcan los siguientes ajustes:
Tabla 104. Configuracin de enrutador virtual - Pestaa BGP

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar funciones de BGP.
ID del enrutador
Introduzca la direccin IP para asignarla al enrutador virtual.
Nmero AS
Introduzca el nmero AS al que pertenece el enrutador virtual, en funcin

del ID del enrutador (intervalo 1-4294967295).
Pestaa General: Consulte Configuracin de la pestaa General.
Pestaa Grupo del peer: Consulte Configuracin de la pestaa Grupo del peer.
Pestaa Importar: Consulte Configuracin de las pestaas Importar y Exportar.
Pestaa Exportar: Consulte Configuracin de las pestaas Importar y Exportar.
Pestaa Anuncio condicional: Consulte Configuracin de la pestaa Anuncio

condicional.
Palo Alto Networks
Pestaa Agregado: Consulte Configuracin de la pestaa Anuncio condicional.
Pestaa Reglas de redistr.: Consulte Configuracin de la pestaa Reglas de distr..
Configuracin de la pestaa General

Red > Enrutador virtual > BGP > General
La tabla siguiente describe los ajustes de la pestaa General.
Tabla 105. Configuracin de BGP Pestaa General

Campo
Descripcin
Pestaa General
Rechazar ruta por
defecto
Seleccione la casilla de verificacin para ignorar todas las rutas

predeterminadas anunciadas por peers BGP.
Instalar ruta
Seleccione la casilla de verificacin para instalar rutas BGP en la tabla

de enrutamiento global.
Agregar MED
Seleccione esta opcin para activar la agregacin de rutas incluso si las

rutas tienen valores diferentes de discriminador de salida mltiple (MED).
Preferencia local
predeterminada
Especifica un valor que se puede asignar para determinar preferencias

entre diferentes rutas.
Formato AS
Seleccione el formato de 2 (predefinido) o 4 bytes. Este ajuste es

configurable por motivos de interoperabilidad.
Comparar siempre MED
Permite comparar MED para rutas de vecinos en diferentes sistemas

autnomos.
Comparacin determinista de MED
Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).
Haga clic en Aadir para incluir un nuevo perfil de autenticacin y

configurar los siguientes ajustes:
Nombre del perfil: Introduzca un nombre para identificar el perfil.
Secreto/Confirmar secreto: Introduzca y confirme la contrasea para
comunicaciones de peer BGP.
Haga clic en el icono
Palo Alto Networks
para eliminar un perfil.

Red > Enrutador virtual > BGP > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado:
Tabla 106. Configuracin de BGP Pestaa Avanzado

Campo
Descripcin
Pestaa Avanzada
Reinicio correcto
Active la opcin de reinicio correcto.

Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede
permanecer inhabilitada (intervalo 1-3600 segundos; opcin predefinida 120 segundos).
Hora de reinicio local: Especifique el tiempo que el dispositivo local
tarda en reiniciar. Este valor se le comunica a los peers (intervalo 1-3600
segundos; opcin predefinida 120 segundos).
Mx. de hora de reinicio del peer: Especifique el tiempo mximo que
el dispositivo local acepta como perodo de gracia para reiniciar los
dispositivos peer (intervalo 1-3600 segundos; opcin predefinida
120 segundos).
ID de clster reflector
Especifique un identificador IPv4 para representar el clster reflector.
AS de miembro de
confederacin
Especifique el identificador de la confederacin AS que se presentar

como un AS nico a los peers BGP externos.
Perfiles de amortiguacin
Entre los parmetros se incluyen:

Nombre del perfil: Introduzca un nombre para identificar el perfil.
Habilitar: activa el perfil.
Corte: Especifique un umbral retirada de ruta por encima del cual, se
suprime un anuncio de ruta (intervalo 0,0-1000,0; opcin predefinida 1,25).
Reutilizar: Especifique un umbral de retirada de ruta por debajo del
cual una ruta suprimida se vuelve a utilizar (intervalo 0,0-1000,0; opcin
predeterminada 5).
Mx. de tiempo de espera: Especifique el tiempo mximo durante el
que una ruta se puede suprimir, con independencia de su inestabilidad
(intervalo 0-3600 segundos; opcin predeterminada 900 segundos).
Media vida de disminucin alcanzable: Especifique el tiempo despus
del cual la mtrica de estabilidad de una ruta se divide entre dos si la
ruta se considera alcanzable (intervalo 0-3600 segundos; opcin predefinida 300 segundos).
Media vida de disminucin no alcanzable: Especifique el tiempo
despus del cual la mtrica de estabilidad de una ruta se divide entre
dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos;
opcin predefinida 300 segundos).
para eliminar un perfil.
Palo Alto Networks
Configuracin de la pestaa Grupo del peer

Red > Enrutador virtual > BGP > Grupo del peer
La tabla siguiente describe los ajustes de la pestaa Grupo del peer.
Tabla 107. Configuracin de BGP Pestaa Grupo del peer

Campo
Descripcin
Pestaa Grupo del peer

Nombre
Introduzca un nombre para identificar el peer.
Habilitar
Seleccione para activar el peer.
Agregar ruta AS
confederada
Seleccione la casilla de verificacin para incluir una ruta a la AS de

confederacin agregada configurada.
Restablecimiento parcial
con informacin
almacenada
Seleccione la casilla de verificacin para ejecutar un restablecimiento

parcial del cortafuegos despus de actualizar los ajustes de peer.
Tipo
Especifique el tipo o grupo de peer y configure los ajustes asociados

(consulte la tabla siguiente para ver las descripciones de Importar
siguiente salto y Exportar siguiente salto).
IBGP: Especifique lo siguiente:
Exportar siguiente salto
EBGP confederado: Especifique lo siguiente;
IBGP confederado: Especifique lo siguiente:
EBGP: Especifique lo siguiente:
Importar siguiente salto
Eliminar AS privado (seleccione si desea forzar que BGP elimine
nmeros AS privados).
Importar siguiente salto
Seleccione una opcin para importar el siguiente salto:

original: Utilice la direccin del salto siguiente en el anuncio de la ruta
original.
uso-peer: Utilice la direccin IP del peer como la direccin del salto
siguiente.
Seleccione una opcin para exportar el siguiente salto:

resolver: Resuelve la direccin del siguiente salto mediante la tabla de
reenvo local.
usar mismas: Sustituya la direccin del siguiente salto con la direccin
de esta direccin IP del enrutador para garantizar que estar en la ruta
de reenvo.
Palo Alto Networks
Tabla 107. Configuracin de BGP Pestaa Grupo del peer (Continuacin)

Campo
Descripcin
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin
IP local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin: Especifique un intervalo despus del cual las rutas de un peer se supriman
segn el parmetro de tiempo de espera (intervalo 0-1200 segundos;
opcin predeterminada: 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predeterminada:
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un
peer antes de cerrar la conexin del peer. (rango: 3-3600 segundos;
valor predeterminado: 90 segundos)
Tiempo de espera de inactividad: Especifique el tiempo de espera
en estado de inactividad antes de volver a intentar la conexin
con el peer (intervalo 1-3600 segundos; opcin predeterminada:
15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Conexiones entrantes/Conexiones salientes: Especifique los nmeros
de puertos entrantes y salientes y seleccione la casilla de verificacin
Permitir para permitir el trfico desde o hacia estos puertos.
Palo Alto Networks
Configuracin de las pestaas Importar y Exportar

Red > Enrutador virtual > BGP > Importar
Red > Enrutador virtual > BGP > Exportar
La tabla siguiente describe los ajustes de la pestaa Importar y Exportar.
Tabla 108. Configuracin de BGP Pestaas Importar y Exportar

Campo
Descripcin
Pestaas Importar reglas/Exportar reglas

Importar reglas/
Exportar reglas
Haga clic en la pestaa secundaria de BGP Importar reglas o Exportar

reglas. Para agregar una nueva regla, haga clic en Aadir y configure los
siguientes ajustes:
Pestaa secundaria General:
Nombre: Especifique un nombre para identificar la regla.
Habilitar: Seleccione para activar la regla.
Utilizada por: Seleccione los grupos de peer que utilizarn esta regla.
Pestaa secundaria Coincidencia:
Expresin regular de ruta AS: Especifique una expresin regular
para el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin
regular para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una
expresin regular para el filtrado de cadenas de comunidad
extendidas.
Prefijo de direccin: Especifique direcciones o prefijos IP para el
filtrado de rutas.
MED: Especifique un valor de MED para el filtrado de rutas.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de
la ruta.
Pestaa secundaria Accin:
Accin: Especifique una accin (Permitir o Denegar) que se realizar
cuando se cumplan las condiciones especificadas.
Preferencia local: Especifique un valor de preferencia local nicamente si la accin es Permitir.
MED: Especifique un valor de MED, nicamente si la accin es
Permitir (0- 65535).
Peso: Especifique un valor de de peso, nicamente si la accin es
Permitir. (0- 65535).
Siguiente salto: Especifique un enrutador de siguiente salto,
nicamente si la accin es Permitir.
Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta,
Lmite de ruta AS: Especifique un lmite de ruta AS, nicamente si la
accin es Permitir.
Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder,
Eliminar y preceder, nicamente si la accin es Permitir.
Palo Alto Networks
Tabla 108. Configuracin de BGP Pestaas Importar y Exportar (Continuacin)

Campo
Importar reglas/
Exportar reglas
(Continuacin)
Descripcin
Comunidad: Especifique una opcin de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, nicamente
si la accin es Permitir.
Comunidad extendida: Especifique una opcin de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
Amortiguacin: Especifique un parmetro de amortiguacin, nicamente
si la accin es Permitir.Haga clic en el icono
para eliminar un grupo.
Haga clic en Duplicar para aadir un nuevo grupo con los mismos ajustes
que el grupo seleccionado. Se aade un sufijo al nombre del nuevo grupo
para distinguirlo del original.
Configuracin de la pestaa Anuncio condicional

Red > Enrutador virtual > BGP > Anuncio condicional
La tabla siguiente describe los ajustes de la pestaa Anuncio condicional.
Tabla 109. Configuracin de BGP Pestaas Anuncio condicional

Campo
Descripcin
Pestaa Anuncio
condicional
La funcin de anuncio condicional BGP permite controlar la ruta que

se anunciar en caso de que no exista ninguna ruta diferente en la tabla
de enrutamiento BGP local (LocRIB), indicando un fallo de peering o
alcance. Esta funcin es muy til si desea probar y forzar rutas de un
AS a otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea
enrutar el trfico a un nico proveedor, en lugar de a los otros, salvo que
se produzca una prdida de conectividad con el proveedor preferido. Con
la funcin de anuncio condicional, puede configurar un filtro no existente
que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta
coincidente con el filtro no existente en la tabla de enrutamiento BGP
local, solo entonces el dispositivo permitir el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en
su filtro de anuncio. Para configurar el anuncio condicional, seleccione la
pestaa Anuncio condicional y haga clic en Aadir. A continuacin se
describe cmo se configuran los valores en los campos.
Poltica
Especifique el nombre de la poltica para esta regla de anuncio

condicional.
Habilitar
Seleccione la casilla de verificacin para activar el anuncio condicional

de BGP.
Utilizado por
Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Palo Alto Networks
Tabla 109. Configuracin de BGP Pestaas Anuncio condicional (Continuacin)

Campo
Descripcin
Pestaa secundaria
Filtros no existentes
Utilice esta pestaa para especificar el prefijo de la ruta preferida.

Especifica la ruta que desea anunciar, si est disponible en la tabla de
ruta de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no
existente, el anuncio se suprimir.
Haga clic en Aadir para crear un filtro no existente.
Filtros no existentes: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto de la ruta preferida.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Pestaa secundaria
Anunciar filtros
Utilice esta pestaa para especificar el prefijo de la ruta de la tabla de

enrutamiento Local-RIB que se debera anunciar en caso de que la ruta del
filtro no existente no est disponible en la tabla de enrutamiento local.
Si un prefijo se va a anunciar y no coincide con un filtro no existente, el
anuncio se producir.
Haga clic en Aadir para crear un filtro de anuncio.
Anunciar filtros: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto para anunciar la ruta si la ruta preferida no est disponible.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.
Palo Alto Networks
Configuracin de la pestaa Agregado

Red > Enrutador virtual > BGP > Agregado
La tabla siguiente describe los ajustes de la pestaa Agregado:
Tabla 110. Configuracin de BGP Pestaa Agregado

Campo
Descripcin
Pestaa Agregado
Nombre
Introduzca un nombre para la configuracin de agregacin.
Suprimir filtros
Defina los atributos que harn que las rutas coincidentes se supriman.
Anunciar filtros
Defina los atributos para los filtros anunciados que asegurarn que
cualquier enrutador que coincida con el filtro definido se publicar en
los peers.
Agregar atributos
de ruta
Defina los atributos que se utilizarn para hacer coincidir las rutas que
se agregarn.
Configuracin de la pestaa Reglas de distr.

Red > Enrutador virtual > BGP > Reglas de distr.
En la siguiente tabla se describe la configuracin de la pestaa Reglas de redistr.:
Tabla 111. Configuracin de BGP Reglas de distr.

Campo
Descripcin
Pestaa Reglas de redistr.

Nombre
Seleccione el nombre del perfil de redistribucin.
Seleccione la casilla de verificacin para permitir que el cortafuegos

redistribuya su ruta predefinida a los peers BGP.
Reglas de redistr.
Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla
se han descrito anteriormente en las pestaas Importar reglas y
Exportar reglas.
para eliminar una regla.
Palo Alto Networks
Configuracin de la pestaa Multicast

Red > Enrutador virtual > Multicast
La configuracin de protocolos de multicast necesita que se configuren los siguientes ajustes
estndar:
Tabla 112. Configuracin de enrutador virtual - Pestaa Multicast

Campo
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el enrutamiento multicast.
Pestaa Punto de encuentro: Consulte Configuracin de la pestaa Espacio de direccin

especfico de origen.
Pestaa Interfaces: Consulte Configuracin de la pestaa Interfaces.
Pestaa Umbral SPT: Consulte Configuracin de la pestaa Umbral SPT.
Pestaa Espacio de direccin especfico de origen: Consulte Configuracin de la

pestaa Espacio de direccin especfico de origen.
Palo Alto Networks
Configuracin de la pestaa Espacio de direccin especfico de origen

Red > Enrutador virtual > Multicast > Punto de encuentro
La tabla siguiente describe los ajustes de la pestaa Punto de encuentro:
Tabla 113. Configuracin de multicast Pestaa Punto de encuentro

Campo
Descripcin
Pestaa secundaria Punto de encuentro

Tipo de RP
Seleccione el tipo de Punto de encuentro (RP) que se ejecutar en este

enrutador virtual. Se debe configurar un RP esttico de forma explcita en
otros enrutadores PIM, mientras que se elige automticamente un RP
candidato.
Ninguno: Seleccione esta opcin si no hay ningn RP ejecutndose en
este enrutador virtual.
Esttico: Especifique una direccin IP esttica para el RP y seleccione las
opciones de Interfaz de RP y Direccin de RP en las listas desplegables.
Active la casilla de verificacin Cancelar RP obtenido para el mismo
grupo si desea utilizar el RP especificado del RP elegido para este grupo.
Candidato:: Especifique la siguiente informacin para el candidato del
RP que se ejecuta en este enrutador virtual:
Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de
interfaz vlidos incluyen loopback, L3, VLAN, Ethernet agregada y
tnel.
Direccin de RP: Seleccione una direccin IP para el RP.
Prioridad: Especifique una prioridad para los mensajes de RP
candidato (opcin predefinida 192).
Intervalo de anuncio: Especifique un intervalo entre anuncios para
mensajes RP candidatos.
Lista de grupos: Si selecciona Esttico o Candidato, haga clic en Aadir
para especificar una lista de grupos en los que este RP candidato se
propone para ser el RP.
Punto de encuentro
remoto
Haga clic en Aadir y especifique la siguiente informacin:

Direccin IP: Especifique la direccin IP del RP.
Cancelar RP obtenido para el mismo grupo: Active esta casilla de
verificacin si desea utilizar el RP especificado del RP elegido para
este grupo.
Grupo: Especifique una lista de grupos en los que la direccin especificada actuar como RP.
Palo Alto Networks
Configuracin de la pestaa Interfaces

Red > Enrutador virtual > Multicast > Interfaces
En la siguiente tabla se describe la configuracin de la pestaa Interfaces:
Tabla 114. Configuracin de multicast Pestaa Interfaces

Campo
Descripcin
Pestaa secundaria Interfaces

Nombre
Introduzca un nombre para identificar un grupo de interfaces.
Descripcin
Introduzca una descripcin opcional.
Interfaz
Haga clic en Aadir para especificar una o ms interfaces de cortafuegos.
Permisos de grupos
Especifique las reglas generales para el trfico de multicast:

Cualquier fuente: Haga clic en Aadir para especificar una lista de
grupos de multicast para los que se permite el trfico PIM-SM.
Origen especfico: Haga clic en Aadir para especificar una lista de
grupos de multicast y pares de origen de multicast para los que se
permite el trfico PIM-SSM.
IGMP
Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando
se comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes
del grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Palo Alto Networks
Tabla 114. Configuracin de multicast Pestaa Interfaces (Continuacin)

Campo
Descripcin
Configuracin PIM
Especifique los siguientes ajustes de multicast independiente de

protocolo (PIM):
Habilitar: Seleccione la casilla de verificacin para permitir que esta
interfaz reciba y/o reenve mensajes PIM
Imponer intervalo: Especifique el intervalo entre mensajes de imposicin
de PIM.
Intervalo de saludo: Especifique el intervalo entre mensajes de saludo
de PIM.
Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de
unin y poda de PIM (segundos). El valor predeterminado es 60.
Prioridad de DR: Especifique la prioridad del enrutador que se ha
designado para esta interfaz
Borde de BSR: Active la casilla de verificacin para utilizar la interfaz
como borde de arranque.
Vecinos PIM: Haga clic en Aadir para especificar la lista de vecinos
que se comunicarn mediante PIM.
Configuracin de la pestaa Umbral SPT

Red > Enrutador virtual > Multicast > Umbral SPT
La tabla siguiente describe los ajustes de la pestaa Umbral SPT.
Tabla 115. Configuracin de multicast Pestaa Umbral SPT

Campo
Descripcin
Pestaa secundaria Umbral SPT

Nombre
El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en

kbps) a la que el enrutamiento multicast cambiar desde la distribucin
del rbol compartido (con origen en el punto de encuentro) a la
distribucin del rbol de origen.
Haga clic en Aadir para especificar los siguientes ajustes de SPT:
Grupo/prefijo de multicast: Especifique la direccin/prefijo IP para
el que SPT se cambiar a la distribucin del rbol de origen cuando el
rendimiento alcance los umbrales deseados (kbps).
Umbral: Especifique el rendimiento al que se cambiar desde la distribucin del rbol compartido a la distribucin del rbol de origen.
Palo Alto Networks
Configuracin de la pestaa Espacio de direccin especfico de origen

Red > Enrutador virtual > Multicast > Espacio de direccin especfico de origen
La tabla siguiente describe los ajustes de la pestaa Espacio de direccin especfico de origen.
Tabla 116. Configuracin de multicast Pestaa Espacio de direccin especfico

de origen
Campo
Descripcin
Pestaa secundaria Espacio de direccin especfico de origen

Nombre
Define los grupos de multicast a los que el cortafuegos proporcionar

servicios de multicast de origen especfico (SSM).
Haga clic en Aadir para especificar los siguientes ajustes de direcciones
de origen especfico:
Nombre: Introduzca un nombre para identificar este grupo de ajustes.
Grupo: Especifique los grupos del espacio de direccin SSM.
Incluido: Active esta casilla de verificacin para incluir los grupos
especificados en el espacio de direccin SSM.
Definicin de zonas de seguridad

Red > Zonas
Para que la interfaz de un cortafuegos pueda procesar el trfico, se debe asignar a una zona
de seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente
informacin:
Tabla 117. Configuracin de zona de seguridad

Campo
Descripcin
Nombre
Introduzca un nombre de una zona (hasta 15 caracteres). Este nombre

aparece en la lista de zonas cuando se definen polticas de seguridad y
se configuran interfaces. El nombre hace distincin entre maysculas y
espacios, puntos, guiones y guiones bajos.
Ubicacin
Este campo solo aparece si el dispositivo admite varios sistemas virtuales

(vsys) y esa funcin est activada. Seleccione el vsys que se aplicar a
esta zona.
Tipo
Seleccione un tipo de zona (Capa 2, Capa 3, Cable virtual, Tap, o sistema

virtual externo) para enumerar todas las interfaces de ese tipo que no
tengan una zona asignada. Los tipos de zona de capa 2 y capa 3 enumeran
todas las interfaces y subinterfaces Ethernet de ese tipo. El tipo de sistema
virtual externo es para comunicaciones entre los sistemas virtuales del
cortafuegos.
Cada interfaz puede pertenecer a una zona en un sistema virtual.
Perfiles de proteccin
de zonas
Palo Alto Networks
Seleccione un perfil que especifique cmo responde la puerta de enlace

de seguridad a los ataques en esta zona. Para aadir nuevos perfiles,
consulte Definicin de perfiles de proteccin de zonas.
Tabla 117. Configuracin de zona de seguridad (Continuacin)

Campo
Descripcin
Ajuste de log
Seleccione un perfil para reenviar logs de proteccin de zonas a un

sistema externo.
Si tiene un perfil de reenvo de logs denominado predeterminado, este se
seleccionar automticamente para este campo cuando defina una nueva
zona de seguridad. Puede cancelar esta configuracin predeterminada en
cualquier momento seleccionado un perfil de reenvo de logs diferente
cuando establezca una nueva zona de seguridad. Para definir o aadir
un nuevo perfil de reenvo de logs (y para denominar a un perfil
predeterminado y que este campo se rellene automticamente), haga clic
en Nuevo (consulte Reenvo de logs).
Habilitar identificacin
de usuarios
Habilite la funcin de identificacin de usuarios por zonas.
ACL de identificacin
de usuarios
Lista de permitidos
Introduzca la direccin IP o la direccin IP/mscara de un usuario o

grupo para su identificacin (por ejemplo, 10.1.1.1/24). Haga clic en
Aadir. Repita el procedimiento las veces que sea necesario. Si no se ha
configurado una lista de permitidos, se permiten todas las direcciones IP.
ACL de identificacin
de usuarios
Lista de excluidos
Introduzca la direccin IP o la direccin IP/mscara de un usuario

o grupo que no debe ser identificado explcitamente (por ejemplo,
10.1.1.1/24). Haga clic en Aadir. Repita el procedimiento las veces que
sea necesario. Si no se ha configurado una lista de excluidos, se permiten
todas las direcciones IP.
Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN.
Tabla 118. Configuracin de VLAN

Campo
Descripcin
Nombre
Introduzca un nombre de VLAN (de hasta 31 caracteres). Este nombre

aparece en la lista de redes VLAN cuando se configuran interfaces.
guiones bajos.
Interfaz de VLAN
Seleccione una interfaz VLAN para permitir enrutar el trfico fuera de la

VLAN. Para definir una interfaz VLAN, consulte Configuracin de una
interfaz VLAN.
Interfaces
Especifique interfaces del cortafuegos para VLAN.
Configuracin de MAC
esttica
Especifique la interfaz mediante la que una direccin MAC es alcanzable.

Sustituye a todas las asignaciones obtenidas de interfaz a MAC.
Palo Alto Networks
Servidor y retransmisin DHCP

Red > DHCP
Se puede configurar una interfaz en el cortafuegos como servidor DHCP o como agente de
retransmisin DHCP. Un servidor DHCP en una interfaz Ethernet de capa 2, Ethernet de
agregacin o VLAN de capa 3 puede asignar direcciones IP y proporcionar opciones de DHCP
a los clientes. Se admiten varios servidores DHCP. Las solicitudes de los clientes se pueden
reenviar a todos los servidores, con la primera respuesta del servidor devuelta al cliente.
La tabla enumera los campos de las pestaas Servidor DHCP y Retransmisin DHCP.
Tabla 119. Configuracin de DHCP

Campo
Descripcin
Pestaa servidor DHCP

Interfaz
Seleccione la interfaz del cortafuegos para que acte como servidor DHCP.
Modo
Especifique si desea que el servidor de DHCP se active o desactive o

seleccione el modo automtico, que activar el servidor DHCP, pero que
lo desactivar si otro servidor de DHCP se detecta en la red.
Hacer ping a la IP al
asignar IP nuevas
Seleccione la casilla de verificacin para que el servidor DHCP enve un

mensaje ping cuando se asigne una direccin IP a un cliente. Si el ping
recibe una respuesta, significar que ya hay un dispositivo diferente
con esa direccin, por lo que no est disponible para su asignacin.
El servidor DHCP asigna la siguiente direccin desde el grupo.
Concesin
Duracin que el servidor DHCP asigna a una direccin IP para un cliente.

Seleccione Ilimitado o seleccione Tiempo de espera e introduzca la
duracin de la concesin en das, horas y, de forma optativa, minutos.
Por ejemplo, si solo introduce horas la concesin se restringe a ese
nmero de horas.
Origen de herencia
Seleccione una interfaz de cliente DHCP de origen o una interfaz de

cliente PPPoE para propagar distintos ajustes de servidor en el servidor
de DHCP. Si especifica un origen de herencia, seleccione una o varias
opciones que desee como heredadas desde este origen. El servidor puede
heredar direcciones de servidor DNS, WINS, NIS, NTP, POP3 y SMTP, y
un sufijo DNS.
Puerta de enlace
Introduzca la direccin IP de la puerta de enlace de red que se utiliza para

acceder a cualquier dispositivo que no est en la misma LAN que este
servidor DHCP.
Subred de Ippool
Introduzca la mscara de red (formato x.x.x.x) que se aplica a las

direcciones del campo Grupos de IP.
DNS principal
Seleccione como heredada o introduzca la direccin IP del servidor del

sistema de nombre de dominio (DNS) que prefiera.
DNS secundario
Seleccione como heredada o introduzca la direccin IP del servidor DNS

alternativo.
WINS principal

servicio de nomenclatura de Internet de Windows (DNS) que prefiera.
WINS secundario
Seleccione como heredada o introduzca la direccin IP del servidor WINS

alternativo.
Palo Alto Networks
Tabla 119. Configuracin de DHCP (Continuacin)

Campo
Descripcin
NIS principal

servicio de informacin de red (NIS) que prefiera.
NIS secundario
Seleccione como heredada o introduzca la direccin IP del servidor NIS

alternativo.
NTP principal
Seleccione como heredada o introduzca la direccin IP del protocolo de

tiempo de red primario (NTP) que prefiera. Si especifica un servidor NTP
primario y uno secundario, el cortafuegos los utilizar indistintamente.
NTP secundario
Seleccione como heredada o introduzca la direccin IP del servidor NTP

secundario.
Servidor POP3

Protocolo de oficina de correo (POP3) .
Servidor SMTP
Seleccione como heredada o introduzca la direccin IP del Protocolo

simple de transferencia de correo (SMTP).
Sufijo DNS
Seleccione como heredada o introduzca un sufijo que el cliente pueda

utilizar localmente cuando se introduzca un nombre de host sin
restricciones que no pueda resolver.
Grupos de IP
Haga clic en Aadir y especifique el intervalo de direcciones IP que este

servidor puede asignar a los clientes y al que se aplica esta configuracin
de DHCP. Puede introducir una IP y una mscara de subred (por ejemplo,
192.168.1.0/24) o un intervalo de direcciones IP (por ejemplo,
192.168.1.10-192.168.1.20).
Se necesita al menos un grupo de IP; puede introducir varios grupos de
IP. Para editar una entrada existente, haga clic en Editar, realice los
cambios necesarios y, a continuacin, haga clic en Listo. Para eliminar
una entrada, haga clic en Eliminar.
Direccin reservada
Especifique una direccin IP (formato x.x.x.x) desde los grupos de IP que

no quiera que asigne dinmicamente el servidor DHCP a un cliente.
De forma opcional, introduzca la direccin MAC (formato
xx:xx:xx:xx:xx:xx) del dispositivo al que desea asignar de forma
permanente la direccin reservada. Cuando el cliente que tiene esa
direccin MACenva una solicitud al servidor, el servidor asignar la
direccin reservada al cliente.
Puede introducir varias direcciones reservadas y direcciones MAC.
Para editar una entrada existente, haga clic en Editar, realice los cambios
necesarios y, a continuacin, haga clic en Listo. Para eliminar una
entrada, haga clic en Eliminar.
Si deja esta rea en blanco, no se reservarn direcciones IP.
Pestaa Retransmisin DHCP

Interfaz
Seleccione la interfaz del cortafuegos para que acte como agente de

retransmisin DHCP.
IPv4
Active la casilla de verificacin IPv4 para utilizar direcciones IPv4 para

retransmisiones DHCP y especifique direcciones IPv4 para hasta cuatro
servidores DHCP.
IPv6
Active la casilla de verificacin IPv6 para utilizar direcciones IPv6 para

retransmisiones DHCP y especifique direcciones IPv6 para hasta cuatro
servidores DHCP. Especifique una interfaz de salida si utiliza una
direccin de multicast IPv6 para su servidor.
Palo Alto Networks
Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
Si el nombre de dominio no es encuentra en la cach proxy de DNS, el nombre de dominio se
busca segn la configuracin de las entradas e el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de
los resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.
Tabla 120. Configuracin de Proxy DNS

Campo
Descripcin
Nombre
Especifique un nombre para identificar el proxy DNS (de hasta 31

y guiones bajos.
Habilitar
Seleccione la casilla de verificacin para activar proxy DNS.
Origen de herencia
Seleccione un origen para heredar las configuraciones del servidor DNS

predefinido. Se suele utilizar en implementaciones de sucursales, en las
que a la interfaz WAN del cortafuegos se accede mediante DHCP o PPPoE.
Principal
Especifique las direcciones IP de los servidores DNS primario y

secundario. Si el servidor DNS primario no se encuentra, se utilizar el
secundario.
Secundario
Comprobar origen
de herencia
Haga clic en el enlace para ver la configuracin del servidor asignada

actualmente a las interfaces del cliente DHCP y PPoE. Pueden incluir
DNS, WINS, NTP, POP3, SMTP o sufijo DNS.
Interfaz
Active las casillas de verificacin Interfaz para especificar las interfaces

del cortafuegos que admiten las reglas de proxy DNS. Seleccione una
interfaz de la lista desplegable y haga clic en Aadir. Puede aadir
varias interfaces. Para eliminar una interfaz, seleccinela y haga clic
en Eliminar.
Palo Alto Networks
Tabla 120. Configuracin de Proxy DNS (Continuacin)

Campo
Descripcin
Reglas de proxy DNS
Identifique reglas del servidor proxy DNS. Haga clic en Aadir y

especifique la siguiente informacin:
Nombre: Se requiere un nombre para poder designar la entrada esttica
y modificar mediante CLI.
Activar el almacenamiento en cach de dominios resueltos por esta
asignacin: Active esta casilla de verificacin para activar el almacenamiento en cach de dominios resueltos por esta asignacin.
Nombre de dominio: Haga clic en Aadir e introduzca el nombre
de dominio del servidor proxy. Repita esta accin para aadir ms
nombres. Para eliminar un nombre, seleccinelo y haga clic en
Eliminar. En el caso de una regla de proxy DNS, el nmero de testigos
en una cadena comodn debe coincidir con el nmero de testigos en el
dominio solicitado. Por ejemplo, *.ingeniera.local no coincidir con
ingeniera.local. Se deben especificar ambos.
Principal/Secundario: Introduzca el nombre de host o la direccin IP de
los servidores DNS principal y secundario.
Entradas estticas
Proporcione un FQDN esttico a las asignaciones de direccin IP que

se distribuirn en respuesta a consultas DNS realizadas por los hosts.
Nombre: Introduzca un nombre para la entrada esttica.
FQDN: Introduzca el nombre de dominio completo (FQDN) que se
asignar a las direcciones IP estticas definidas en el campo Direccin.
Direccin: Haga clic en Aadir e introduzca las direcciones IP que se
asignan a este dominio.
Repita esta accin para aadir ms direcciones. Para eliminar una
direccin, seleccinela y haga clic en Eliminar.
Avanzado
Especifique la siguiente informacin:

Cach: Seleccione la casilla de verificacin para activar el almacenamiento DNS y especifique la siguiente informacin:
Tamao: Especifique el nmero de entradas que retendr la cach
(intervalo 1024-10240; opcin predefinida 1024).
Tiempo de espera: Especifique la duracin (horas) despus de la
que se eliminarn todas las entradas. Los valores de tiempo de vida
DNS se utilizan para eliminar las entradas de cach cuando se han
almacenado durante menos tiempo que el perodo configurado. Tras
el tiempo de espera, las nuevas solicitudes se deben resolver y volver
a guardar en la cach (intervalo 4 a 24, opcin predefinida 4 horas).
Consultas TCP: Seleccione la casilla de verificacin para activar las
consultas DNS utilizando DNS y especifique la siguiente informacin:
Mx. de solicitudes pendientes: Especifique el lmite superior del
nmero de solicitudes DNS sTCP pendientes simultneas que
admitir el cortafuegos (intervalo 64-256, opcin predefinida 64).
Palo Alto Networks
Tabla 120. Configuracin de Proxy DNS (Continuacin)

Campo
Descripcin
Avanzado
(Continuacin)
Reintentos de consultas de UDP: Especifique los ajustes de reintentos

de consultas UDP:
Intervalo: Especifique el tiempo en segundos despus del cual se
enviar otra solicitud si no se ha recibido respuesta (intervalo 1-30,
opcin predefinida 2 segundos).
Intentos: Especifique el nmero mximo de intentos (sin incluir el
primer intento) despus de los cuales se intentar el siguiente
servidor DNS (intervalo 1-30, opcin predefinida 5).
Definicin de perfiles de gestin de interfaz

Red > Perfiles de red > Gestin de interfaz
Utilice esta pgina para especificar los protocolos que se utilizan para gestionar el cortafuegos.
Para asignar perfiles de gestin a cada interfaz, consulte Configuracin de una interfaz
Ethernet de capa 3 y Configuracin de una subinterfaz Ethernet de capa 3.
Tabla 121. Configuracin del Perfil de gestin de interfaz

Campo
Descripcin
Nombre
Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre

aparece en la lista de perfiles de gestin de interfaz cuando se configuran
interfaces. El nombre hace distincin entre maysculas y minsculas y
y guiones bajos.
Ping
Active la casilla de verificacin de cada servicio para activarlo en las

interfaces donde se aplique el perfil.
Telnet
SSH
HTTP
OCSP de HTTP
HTTPS
SNMP
Pginas de respuesta
Servicio de ID de
usuario
Direcciones IP
permitidas
Palo Alto Networks
La casilla de verificacin Pginas de respuesta controla si los puertos

utilizados como pginas de respuesta de portal cautivo y filtrado URL
se abren con interfaces de capa 3. Los puertos 6080 y 6081 se mantienen
abiertos si se activa este ajuste.
La opcin Servicio de ID de usuario es necesaria para permitir la
comunicacin entre cortafuegos si un cortafuegos acta como un punto
de redistribucin para proporcionar informacin de asignacin de
usuarios a otros cortafuegos de PAN-OS. Consulte Pestaa Agentes de
ID de usuarios.
Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la
gestin de cortafuegos.
Definicin de perfiles de supervisin

Red > Perfiles de red > Supervisar
Un perfil de supervisor se utiliza para supervisar las reglas de reenvo basado en polticas
(PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de
supervisin se utiliza para especificar la medida que se adoptar cuando un recurso (tnel
de IPSec o dispositivo de siguiente salto) no est disponible. Los perfiles de supervisin son
opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para
garantizar el cumplimiento de las reglas PBF. Los siguientes ajustes se utilizan para configurar
un perfil de supervisin.
Tabla 122.
Configuracin de supervisin
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el perfil de supervisin (de hasta

31 caracteres). El nombre hace distincin entre maysculas y minsculas
Accin
Especifique la accin que se realizar si el tnel no est disponible. Si el

nmero de umbral de latidos se pierde, el cortafuegos realiza la accin
especificada.
Esperar recuperacin: Espera a que el tnel se recupere, no realiza
ninguna accin adicional. Los paquetes continuarn envindose de
acuerdo con la regla PBF.
Conmutacin por error: El trfico cambiar a una ruta de seguridad,
si existe una disponible. El cortafuegos utiliza la bsqueda de tabla de
enrutamiento para determinar el enrutamiento durante la sesin.
En ambos casos, el cortafuegos intentar negociar nuevas claves de IPSec
para acelerar la recuperacin.
Intervalo
Especifique el tiempo entre latidos (intervalo 2-10; opcin predefinida 3).
Umbral
Especifique el nmero de latidos que se perdern antes de que el

cortafuegos realice la accin especificada (intervalo 2-100; opcin
predefinida 5).
Definicin de perfiles de proteccin de zonas

Red > Perfiles de red > Proteccin de zona
Un perfil de proteccin de zona ofrece proteccin frente a las inundaciones ms comunes,
ataques de reconocimiento y otros ataques basados en paquetes. Est diseado para proporcionar una proteccin amplia en la zona de entrada (p. ej. la zona donde el trfico entra al
cortafuegos) y no estn diseados para proteger un host de extremo especfico o el trfico que
vaya a una zona de destino particular. Para aumentar las capacidades de proteccin de zona
en el cortafuegos, utilice la base de reglas de proteccin DoS para la coincidencia con una zona
especfica, interfaz, direccin IP o usuario.
Nota: La proteccin de zona solo se aplica cuando no hay ninguna coincidencia de sesin para el paquete.
Si el paquete coincide con una sesin existente, sortear el ajuste de proteccin de zona.
Palo Alto Networks
Para configurar un perfil Proteccin de zona, haga clic en Aadir y especifique los siguientes
ajustes:
Tabla 123. Configuracin de Perfil de proteccin de zonas

Campo
Descripcin
Nombre

aparece en la lista de perfiles de proteccin de zonas cuando se
configuran zonas. El nombre hace distincin entre maysculas y
espacios y guiones bajos.
Descripcin
Introduzca una descripcin opcional para el perfil de proteccin de zonas.
Cuando se define un perfil Proteccin de zona, debe configurar los ajustes en la pestaa
General y en cualquiera de las siguientes pestaas, segn sea necesario segn su topologa
de red:
Pestaa Proteccin contra inundaciones: Consulte Configuracin de la proteccin

contra inundaciones.
Pestaa Proteccin de reconocimiento: Consulte Configuracin de la proteccin de

reconocimiento.
Pestaa Proteccin de ataque basada en paquetes: Consulte Configuracin de la

proteccin de ataque basada en paquetes.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:
Zonas externas para permitir la comunicacin entre sistemas virtuales

Puertas de enlace compartidas para permitir que los sistemas virtuales
compartan una interfaz comn y una direccin IP para las comunicaciones
externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para permitir la fragmentacin de IP y la proteccin de ICMPv6 debe crear un perfil
de proteccin de zona distinto para la puerta de enlace compartida.
Para activar la proteccin frente a inundaciones SYN en una puerta de enlace
compartida puede aplicar un perfil de proteccin de inundacin SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo est disponible el
descarte aleatorio temprano para la proteccin frente a inundacin SYN
Palo Alto Networks
Configuracin de la proteccin contra inundaciones

Red > Perfiles de red > Proteccin de zona > Proteccin contra inundaciones
La tabla siguiente describe los ajustes de la pestaa Proteccin contra inundaciones.
Tabla 124. Configuracin de la pestaa Proteccin contra inundaciones

Campo
Descripcin
Umbrales de proteccin contra inundaciones: Inundacin SYN

Accin
Seleccione la accin que se adoptar en respuesta a un ataque de

inundacin SYN.
Descarte aleatorio temprano: Permite descartar paquetes SYN para
mitigar un ataque de inundacin:
Si el flujo supera el umbral de tasa de alerta, se genera una alarma.
Si el flujo supera el umbral de tasa de activacin, se descartan
paquetes SYN individuales de forma aleatoria para reducir el flujo.
Si el flujo supera el umbral de tasa de mxima, se descartan todos los
paquetes.
Cookies SYN: Calcula un nmero de secuencia de paquetes SYN-ACK
que no requieren almacenar las conexiones pendientes en memoria. Es
el mtodo preferido.
Alerta (paquetes/seg.)
Introduzca el nmero de paquetes SYN recibidos por la zona (en un

segundo) que genera una alarma de ataque. Las alarmas se pueden en
el panel (consulte Uso del panel) y en el log de amenazas (consulte
Realizacin de capturas de paquetes).
Activar (paquetes/seg.)
Introduzca el nmero de paquetes SYN recibidos por la zona (en un

segundo) que genera la accin especificada.
Mximo (paquetes/seg.)
Introduzca el nmero mximo de paquetes SYN que se pueden recibir

por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.
Umbrales de proteccin contra inundaciones: Inundacin ICMP

Introduzca el nmero de solicitudes de eco ICMP (pings) recibidos por

segundo que genera una alarma de ataque.
Introduzca el nmero de paquetes ICMP recibidos por la zona (en un

segundo) que causa que se descarten los siguientes paquetes ICMP.
Introduzca el nmero mximo de paquetes ICMP que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: ICMPv6

Introduzca el nmero de solicitudes de eco ICMPv6 (pings) recibidos por

segundo que genera una alarma de ataque.
Introduzca el nmero de paquetes ICMPv6 recibidos por segundo en

la zona que causa que se descarten los siguientes paquetes ICMPv6.
La medicin se detiene cuando el nmero de paquetes ICMPv6 es inferior
al umbral.
Introduzca el nmero mximo de paquetes ICMPv6 que se pueden recibir

descartar.
Palo Alto Networks
Tabla 124. Configuracin de la pestaa Proteccin contra inundaciones (Continuacin)

Campo
Descripcin
Umbrales de proteccin contra inundaciones: UDP

Introduzca el nmero de paquetes UDP recibidos por la zona (en un

segundo) que genera una alarma de ataque.
Introduzca el nmero de paquetes UDP recibidos por la zona (en un

segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta
se desactiva si el nmero de paquetes UDP es inferior al umbral.
Introduzca el nmero mximo de paquetes UDP que se pueden recibir

descartar.
Umbrales de proteccin contra inundaciones: Otras IP

Introduzca el nmero de paquetes IP recibidos por la zona (en un segundo)

que genera una alarma de ataque.
Introduzca el nmero de paquetes IP recibidos por la zona (en un

segundo) que genera el descarte aleatorio de paquetes IP. La respuesta
se desactiva si el nmero de paquetes IP es inferior al umbral. Cualquier
nmero de paquetes que supere el mximo se descartar.
Introduzca el nmero mximo de paquetes IP que se pueden recibir

por segundo. Cualquier nmero de paquetes que supere el mximo
se descartar.
Configuracin de la proteccin de reconocimiento

Red > Perfiles de red > Proteccin de zona > Proteccin de reconocimiento
La tabla siguiente describe los ajustes de la pestaa Proteccin de reconocimiento.
Tabla 125. Configuracin de la pestaa Proteccin de reconocimiento

Campo
Descripcin
Proteccin de reconocimiento: Examen de puerto TCP, Examen de puerto de UDP,

Limpieza de host
Intervalo (seg)
Introduzca el intervalo de tiempo para la deteccin de exmenes puerto y

limpieza de host (segundos).
Umbral (eventos)
Introduzca el nmero de puertos explorados en el intervalo de tiempo

especificado que activarn este tipo de proteccin (eventos).
Accin
Introduzca la accin que el sistema adoptar como respuesta a este tipo

de evento:
Permitir: Permite la exploracin de puerto de reconocimiento de
limpieza de host.
Alerta: Genera una alerta para cada exploracin o limpieza que coincida
con el umbral del intervalo de tiempo especificado.
Bloquear: Descarta todos los paquetes enviados desde el origen al
destino durante el resto del intervalo de tiempo especificado.
Bloquear IP: Descarta el resto de paquetes durante un perodo de
tiempo especificado. Seleccione si se bloquear el trfico de origen,
destino, o el de origen y destino, e introduzca la duracin (segundos).
Palo Alto Networks
Tabla 125. Configuracin de la pestaa Proteccin de reconocimiento (Continuacin)

Campo
Descripcin
IPv6 Colocar paquetes con

Encabezado de
enrutamiento tipo 0
Active la casilla de verificacin para colocar los paquetes de IPv6 que

incluirn un encabezado de enrutador de tipo 0.
Direccin compatible
de IPv4
Active la casilla de verificacin para colocar los paquetes IPv6 que

incluyan una direccin compatible con IPv4.
Direccin de origen de
multicast

incluyan una direccin de origen de multicast.
Direccin de fuente de
difusin por proximidad

incluyan una direccin de fuente de difusin por proximidad.
Configuracin de la proteccin de ataque basada en paquetes

Red > Perfiles de red > Proteccin de zona > Proteccin de ataque basada en paquetes
Las siguientes pestaas se utilizan para la configuracin de la proteccin de ataque basada
en paquetes:
Colocar TCP/IP: Consulte Configuracin de la pestaa Colocar TCP/IP.
Colocacin de ICMP: Consulte Configuracin de la pestaa Colocacin de ICMP.
Colocacin de IPv6: Consulte .
ICMPv6: Consulte Configuracin de la pestaa Colocacin de IPv6.
Configuracin de la pestaa Colocar TCP/IP

Para configurar Colocar TCP/IP, especifique los siguientes ajustes:
Tabla 126. Configuracin de la pestaa Proteccin de ataque basada en paquetes

Campo
Descripcin
Pestaa secundaria Colocar TCP/IP

Direccin IP de rplica
Active la casilla de verificacin para activar la proteccin contra

replicacin de direccin IP.
Trfico fragmentado
Descarta los paquetes IP fragmentados.
Segmento TCP
superpuesto no
coincidente
Este ajuste har que el cortafuegos informe sobre una falta de coincidencia
de superposicin y coloque el paquete cuando los datos de segmento no
coincidan en estas situaciones:
El segmento est dentro de otro segmento.
El segmento est superpuesto a parte de otro segmento.
El segmento cubre otro segmento.
Este mecanismo de proteccin utiliza nmeros de secuencia para
determinar el lugar donde residen los paquetes dentro del flujo de
datos TCP.
Eliminar marca de
tiempo de TCP
Determina si el paquete tiene una marca de tiempo de TCP en el

encabezado y, si es as, la elimina.
Palo Alto Networks
Tabla 126. Configuracin de la pestaa Proteccin de ataque basada en paquetes (ContiCampo
Descripcin
Rechazar TCP sin SYN
Determina si el paquete se rechazar, si el primer paquete de la

configuracin de sesin TCP no es un paquete SYN:
Global: Utilice el ajuste del sistema asignado mediante CLI.
S: Rechaza TCP sin SYN.
No: Acepta TCP sin SYN. Tenga en cuenta que permitir el trfico que no
es de sincronizacin de TCP puede impedir que las polticas de bloqueo
de archivos funcionen de la forma esperada en aquellos casos en los que
no se establece la conexin del cliente o servidor despus de que se
produzca el bloqueo.
Ruta asimtrica
Determine si los paquetes que contienen nmeros de secuencia fuera del

umbral o ACK de fallo de sincronizacin se descartarn o se derivarn:
Global: Utilice el ajuste del sistema asignado mediante CLI.
Colocar: Descarte los paquetes que contienen una ruta asimtrica.
Derivar: Derive los paquetes que contienen una ruta asimtrica.
Descartar opciones IP
Enrutamiento de fuente
estricto
Descarta paquetes con la opcin de IP de enrutamiento de origen estricto

activada.
Enrutamiento de origen
no estricto
Descarta paquetes con la opcin de IP de enrutamiento de origen no

estricto activada.
Marca de tiempo
Descarta paquetes con la opcin de marca de tiempo activada.
Ruta de log
Descarta paquetes con la opcin de ruta de log activada.
Seguridad
Descarta paquetes con la opcin de seguridad activada.
ID de secuencia
Descarta paquetes con la opcin de ID de secuencia activada.
Desconocido
Descarta paquetes si no se conoce la clase ni el nmero.
Forma incorrecta
Descarta paquetes si tienen combinaciones incorrectas de clase, nmero y

longitud basadas en RFC 791, 1108, 1393 y 2113.
Palo Alto Networks
Configuracin de la pestaa Colocacin de ICMP

Para configurar Colocacin de ICMP, especifique los siguientes ajustes:
Tabla 127. Configuracin de la pestaa Colocacin de ICMP

Campo
Descripcin
Pestaa secundaria Colocacin de ICMP

ID de 0 de ping de ICMP
Descarta paquetes si el paquete de ping de ICMP tiene un identificador

con el valor de 0.
Fragmento de ICMP
Descarta paquetes formados con fragmentos ICMP.
Paquete de ICMP de
gran tamao (>1024)
Descarta paquetes ICMP con un tamao mayor de 1024 bytes.
Suprimir error caducado

ICMP TTL
Detiene el envo de mensajes caducados ICMP TTL.
Suprimir fragmento de
ICMP necesario
Detiene el envo de mensajes necesarios por la fragmentacin ICMP en

respuesta a paquetes que exceden la interfaz MTU y tienen el bit no
fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que
ejecutan los hosts tras el cortafuegos.
Configuracin de la pestaa Colocacin de IPv6

Para configurar Colocacin de IPv6, especifique los siguientes ajustes:
Tabla 128. Configuracin de la pestaa Colocacin de IPv6

Campo
Descripcin
Pestaa secundaria ICMPv6

Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explcita
Requiere una bsqueda de poltica de seguridad explcita para errores de

destinos ICMPv6 no alcanzables incluso con una sesin existente.
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad

paquetes ICMPv6 demasiado grandes incluso con una sesin existente.
Tiempo superado de
ICMPv6: requiere
coincidencia explcita
de regla de seguridad

tiempo de ICMPv6 superado incluso con una sesin existente.
Problema de parmetro
de ICMPv6: requiere

problema de parmetro de ICMPv6 incluso con una sesin existente.
Redireccin de ICMPv6:
seguridad

redireccionamiento de ICMPv6 incluso con una sesin existente.
Palo Alto Networks
Configuracin de la pestaa Colocacin de IPv6

Para configurar Colocacin de IPv6, especifique los siguientes ajustes:
Tabla 129. Configuracin de la pestaa Colocacin de IPv6

Campo
Descripcin
Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explcita

destinos ICMPv6 no alcanzables incluso con una sesin existente.
Paquete de ICMPv6
demasiado grande:
seguridad

paquetes ICMPv6 demasiado grandes incluso con una sesin existente.
Tiempo superado de
ICMPv6: requiere

tiempo de ICMPv6 superado incluso con una sesin existente.
Problema de parmetro
de ICMPv6: requiere

problema de parmetro de ICMPv6 incluso con una sesin existente.
Redireccin de ICMPv6:
seguridad

redireccionamiento de ICMPv6 incluso con una sesin existente.
Palo Alto Networks
Palo Alto Networks
Captulo 5
Polticas y perfiles de seguridad

Esta seccin describe cmo configurar polticas y perfiles de seguridad:
Tipos de polticas
Directrices de definicin de polticas
Perfiles de seguridad
Otros objetos de las polticas
Tipos de polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automtica. Se admiten los siguientes tipos de
polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en
la aplicacin, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces fsicas o lgicas que envan o reciben
trfico. Consulte Definicin de polticas de seguridad.
Polticas de traduccin de direccin de red (NAT) para traducir direcciones y puertos,

segn sea necesario. Consulte Definicin de polticas de traduccin de direccin de red.
Polticas de reenvo basado en polticas para determinar la interfaz de salida (egress)

utilizada despus del procesamiento. Consulte Polticas de reenvo basado en polticas.
Polticas de descifrado para especificar el descifrado del trfico de las polticas de

seguridad. Cada una de las polticas puede especificar las categoras de las URL del
trfico que desea descifrar. El descifrado SSH se utiliza para identificar y controlar los
tneles SSH, as como el acceso SSH (Secure Shell). Consulte Polticas de descifrado.
Polticas de cancelacin para anular las definiciones de la aplicacin proporcionadas por

el cortafuegos. Consulte Definicin de polticas de application override.
Polticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el

trfico para su tratamiento, cuando pasa por una interfaz con QoS activado. Consulte
Definicin de polticas de QoS.
Palo Alto Networks
Polticas y perfiles de seguridad 211
Polticas de portal cautivo para solicitar la autenticacin de los usuarios no identificados.

Consulte Definicin de polticas de portal cautivo.
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de proteccin en respuesta que coincidan con las reglas. Consulte Definicin de
polticas DoS.
Las polticas compartidas introducidas en Panorama se muestran en color verde
en las pginas de la interfaz web del cortafuegos y no se pueden editar a nivel de
dispositivo.
Directrices de definicin de polticas

Las siguientes directrices especficas son aplicables cuando interacta con las pginas de la
pestaa Polticas:
Las reglas predeterminadas que indican al cortafuegos cmo gestionar el trfico que no
coincida con ninguna otra regla en la base de reglas se muestran en la parte inferior de la
base de reglas de seguridad. Estas reglas se predefinen en el cortafuegos para permitir
todo el trfico de intrazona y denegar todo el trfico de interzona. Como son parte de
la configuracin predefinida, debe cancelarlas con el fin de editar la configuracin de
polticas seleccionada. Si usa Panorama, tambin puede cancelar las reglas predeterminadas y, a continuacin, enviarlas a los cortafuegos de un grupo de dispositivos o
contexto compartido. Tambin puede revertir las reglas predeterminadas, lo que
restaura la configuracin predefinida o la configuracin enviada a Panorama.
Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro.

Para aadir un valor que defina un filtro, haga clic en la flecha hacia abajo del elemento
y seleccione Filtro. Observe que las reglas predeterminadas no son parte del filtro de la
base de reglas y siempre aparecen en la lista de reglas filtradas.
Para ver informacin sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice polticas de seguridad, PBF o QoS, coloque el ratn sobre el objeto en la
columna Aplicacin, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener
que desplazarse a las pestaas de objetos.
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, regla n se inserta debajo de la regla seleccionada, donde
n es el siguiente nmero entero disponible que hace que el nombre de la regla sea nico.
212 Polticas y perfiles de seguridad
Palo Alto Networks
El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el trfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si mover la regla que ha seleccionado,
para reordenar antes o despus de esta regla.
Para habilitar una regla, seleccinela y haga clic en Habilitar.
Para mostrar las reglas que no se estn utilizando actualmente, seleccione la casilla de
verificacin Resaltar reglas no utilizadas.
Regla en uso
Regla no utilizada (fondo de puntos amarillos)
Para mostrar el log de la poltica, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.
En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos
elementos directamente desde el men de la columna.
Palo Alto Networks
Si tiene un gran de polticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una poltica basada en el nombre del objeto o en la direccin IP.
La bsqueda tambin incluir los objetos incrustados para buscar una direccin en un
objeto de direccin o en un grupo de direcciones. En la siguiente captura de pantalla, la
direccin IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la poltica
aaa. Esa poltica utiliza un objeto de grupo de direccin denominado aaagroup, que
contiene la direccin IP.
Barra de filtros
Resultados de filtros
Puede mostrar u ocultar columnas concretas en la vista de cualquiera de las pginas

de Polticas.
Palo Alto Networks
Especificacin de usuarios y aplicaciones para las polticas

Polticas > Seguridad
Polticas > Descifrado
Puede restringir las polticas de seguridad que se deben aplicar a aplicaciones o usuarios
seleccionados haciendo clic en el enlace del usuario o aplicacin en la pgina de reglas del
dispositivo Seguridad o Descifrado. Para obtener ms informacin sobre cmo restringir las
reglas segn la aplicacin, consulte Definicin de aplicaciones.
Para restringir una poltica a los usuarios/grupos seleccionados, realice los siguientes pasos:
1.
En la pgina de reglas del dispositivo Seguridad o Descifrado, haga clic en la pestaa

Usuario para abrir la ventana de seleccin.
Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de
usuarios no se muestra y deber introducir la informacin del usuario manualmente.
2.
Haga clic en el men desplegable situado encima de la tabla Usuario de origen para
seleccionar el tipo de usuario:
Cualquiera: Incluye todo el trfico independientemente de los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante
GlobalProtect pero que no han iniciado sesin en su sistema. Cuando se configura la
opcin Anterior al inicio de sesin en el portal de clientes de GlobalProtect, cualquier
usuario que no est registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas polticas para
usuarios anteriores al inicio de sesin y, aunque el usuario no haya iniciado sesin
directamente, sus equipos estarn autenticados en el dominio como si hubieran
iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP
con datos de usuario asignados. Esta opcin es equivalente al grupo usuarios del
dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP
que no estn asignadas a un usuario. Por ejemplo, podra usar desconocido para
acceso de invitados a alguna parte porque tendrn una IP en su red, pero no se
autenticarn en el dominio y no tendrn ninguna IP en la informacin de asignacin
de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede
que quiera aadir a un usuario, una lista de individuos, algunos grupos o aadir
usuarios manualmente.
3.
Para aadir grupos de usuarios, seleccione la casilla de verificacin Grupos de usuarios

disponibles y haga clic en Aadir grupo de usuarios. Tambin puede escribir el texto de
uno o ms grupos y hacer clic en Aadir grupo de usuarios.
4.
Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo

Usuario y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir
usuario. Tambin puede introducir los nombres de usuarios individuales en el rea
Ms usuarios.
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripcin.
Palo Alto Networks
Definicin de polticas en Panorama

Los grupos de dispositivos en Panorama le permiten gestionar polticas de forma centralizada
en los dispositivos gestionados (o cortafuegos). Las polticas definidas en Panorama se crean
como reglas previas o reglas posteriores; las reglas previas y las reglas posteriores le permiten
implementar la poltica siguiendo un sistema de capas.
Las reglas previas o posteriores se pueden definir en un contexto compartido como polticas
compartidas para todos los dispositivos gestionados o, en un grupo de dispositivos, como
especficas para un determinado grupo de dispositivos. Debido a que las reglas previas y
posteriores se definen en Panorama y, a continuacin, se envan de Panorama a los dispositivos
gestionados, podr ver las reglas en los cortafuegos gestionados, pero solo podr editarlas
en Panorama.
Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se
evalan en primer lugar. Puede utilizar las reglas previas para aplicar la poltica de uso
aceptable para una organizacin; por ejemplo, para bloquear el acceso a categoras de
URL especficas o permitir el trfico DNS a todos los usuarios.
Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan
despus de las reglas previas y de las reglas definidas localmente en el dispositivo. Las
reglas posteriores suelen incluir reglas para impedir el acceso al trfico basado en App-ID,
ID de usuario o servicio.
Reglas predeterminadas: Reglas que indican al cortafuegos cmo gestionar el trfico

que no coincide con ninguna regla previa, regla posterior o regla local de un dispositivo.
Estas reglas son parte de la configuracin predefinida de Panorama. Debe cancelarlas
para permitir la edicin de determinados ajustes en ellas.
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los
dispositivos gestionados. En cada base de reglas, la jerarqua de las mismas se marca
visualmente para cada grupo de dispositivos (y dispositivo gestionado), lo que permite
revisarlas entre un gran nmero de reglas.
Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente,
elimine o deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un
fondo de puntos amarillos. Cada dispositivo mantiene una marca para las reglas que tienen
una coincidencia. Panorama supervisa cada dispositivo, obtiene y agrega la lista de reglas sin
coincidencia. Dado que la marca se restablece cuando se produce un restablecimiento del
plano de datos al reiniciar, la prctica recomendada es supervisar esta lista peridicamente
para determinar si la regla ha tenido una coincidencia desde la ltima comprobacin antes de
eliminarla o deshabilitarla.
Para crear polticas, consulte la seccin relevante de cada base de reglas.
Definicin de polticas de seguridad
Definicin de polticas de traduccin de direccin de red
Definicin de polticas de QoS
Polticas de reenvo basado en polticas
Polticas de descifrado
Definicin de polticas de application override
Definicin de polticas de portal cautivo
Definicin de polticas DoS
Palo Alto Networks
Definicin de polticas de seguridad

Polticas > Seguridad
Use esta pgina para definir polticas de seguridad que determinarn si se bloquear o
permitir una nueva sesin de red en funcin de los atributos de trfico, como la aplicacin,
zonas de seguridad y direcciones de origen y destino, el servicio de aplicacin (como HTTP) o
el usuario/grupo.
Las polticas de seguridad pueden ser tan generales o especficas como sea necesario.
Las reglas de poltica se comparan con el trfico entrante en secuencia y al aplicar la primera
regla que coincida con el trfico, las reglas ms especficas deben anteceder a las reglas ms
generales. Por ejemplo, una regla de una aplicacin simple debe anteceder a una regla para
todas las aplicaciones si el resto de configuraciones de trfico son las mismas.
Para el trfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de
seguridad) se predefinen para permitir todo el trfico de intrazona (en la zona) y denegar el
trfico interzona (entre zonas). Aunque estas reglas son parte de la configuracin predefinida
y son de solo lectura de forma predeterminada, puede cancelarlas y cambiar un nmero
limitado de ajustes, incluidas las etiquetas, accin (permitir o denegar) configuracin de log y
perfiles de seguridad. Si usa Panorama, tambin puede cancelar las reglas predeterminadas y,
a continuacin, enviarlas a los cortafuegos gestionados como parte de un grupo de dispositivos o contexto compartido. En este caso, puede seguir cancelando estas reglas predeterminadas en el cortafuegos, de la misma forma a cmo puede cancelar ajustes enviados desde una
plantilla. Si desea volver a la configuracin predefinida o a la configuracin enviada desde
Panorama, puede revertir las reglas predeterminadas.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad. Para obtener informacin sobre cmo definir
polticas en Panorama, consulte Definicin de polticas en Panorama.
Haga clic en Aadir para definir una nueva regla, haga clic en Duplicar para copiar una regla
existente o haga clic en el nombre de una regla para editar una existente. Las tablas siguientes
describen los campos para aadir o editar una regla de seguridad:
Pestaa General
Pestaa Origen
Pestaa Usuario
Pestaa Destino
Pestaa Aplicacin
Pestaa Categora de URL/servicio
Pestaa Acciones
Palo Alto Networks
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
seguridad. Tambin puede configurar una pestaa para que le permita ordenar o filtrar
polticas cuando estas son muy numerosas.
Tabla 130. Configuracin de polticas de seguridad (pestaa General)

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la regla (de hasta 31 caracteres).

exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos. Solo se requiere el nombre.
Tipo de regla
Especifica si la regla se aplica al trfico en una zona, entre zonas o ambas.

universal (predeterminado): aplica la regla a todo el trfico coincidente
de interzona e intrazona en las zonas de origen y destino especificadas.
Por ejemplo, si crea una regla universal con las zonas de origen A y B y
las zonas de destino A y B, esta se aplicar a todo el trfico dentro de la
zona A, a todo el trfico de la zona B, a todo el trfico que vaya de la zona
A a la B y a todo el trfico de la zona B a la A.
intrazona: aplica la regla a todo el trfico coincidente dentro de las zonas
de origen especificadas (no puede especificar una zona de destino para
las reglas de intrazona). Por ejemplo, si establece la zona de origen en A y
B, la regla se aplicar a todo el trfico dentro de la zona A y a todo el
trfico dentro de la zona B, pero no al trfico entre las zonas A y B.
interzona: aplica la regla a todo el trfico coincidente entre la zona de
origen especificada y las zonas de destino. Por ejemplo, si establece la
zona de origen en A, B, y C y la zona de destino en A y B, la regla se
aplicar al trfico que va de la zona a A a la B, de la zona B a la A, de la
zona C a la A y de la zona C a la B, pero no al trfico dentro de las zonas
A, B o C.
Descripcin
Introduzca una descripcin de la poltica (hasta 255 caracteres).
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para

especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar
o filtrar polticas. Es til cuando ha definido muchas polticas y desea
revisar las que estn etiquetadas con una palabra clave especfica. Por
ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad con
Entrante en DMZ, polticas de descifrado con las palabras descifrado y sin
descifrado, o usar el nombre de un centro de datos especfico para polticas
asociadas con esa ubicacin.
Tambin puede aadir etiquetas a las reglas predeterminadas.
Palo Alto Networks
Tabla 130. Configuracin de polticas de seguridad (pestaa General) (Continuacin)

Campo
Descripcin
Otros ajustes
Especifique cualquier combinacin de las siguientes opciones:

Programacin: Para limitar los das y horas en los que la regla est en
vigor, seleccione una programacin de la lista desplegable. Para definir
nuevas programaciones, haga clic en Nueva (consulte Programaciones).
Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en
paquetes que coincidan con la regla, seleccione IP DSCP o Precedencia de
IP e introduzca el valor de QoS en formato binario o seleccione un valor
predeterminado de la lista desplegable. Para obtener ms informacin
sobre QoS, consulte Configuracin de la calidad de servicio.
Deshabilitar inspeccin de respuesta de servidor: Para deshabilitar la
inspeccin de paquetes del servidor en el cliente, seleccione esta casilla
de verificacin. Esta opcin puede ser de utilidad en condiciones con
gran carga del servidor.
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica.
Tabla 131. Configuracin de polticas de seguridad (pestaa Origen)

Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones pblicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Direccin de origen
Haga clic en Aadir para aadir las direcciones, direcciones

de grupos o regiones de origen (la opcin predeterminada es
Cualquiera). Realice su seleccin en la lista desplegable o haga clic
en Direccin, Grupo de direcciones, o en el enlace Regiones en la
parte inferior de la lista desplegable y especifique la configuracin.
Pestaa Usuario
Utilice la pestaa Usuario para hacer que la poltica realice las acciones definidas basndose en un
usuario individual o un grupo de usuarios. Si est usando GlobalProtect con Perfil de informacin del
host (HIP) habilitado, tambin puede basar la poltica en informacin recopilada por GlobalProtect.
Por ejemplo, el nivel de acceso del usuario puede estar determinado por un perfil de informacin del
host (HIP) que informe al cortafuegos acerca de la configuracin local del usuario. La informacin
HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en
ejecucin en el host, los valores de registro y muchas ms comprobaciones si el host tiene instalado
software antivirus.
Palo Alto Networks
Tabla 132. Configuracin de polticas de seguridad (pestaa Usuario)

Campo
Descripcin
Usuario de origen
Haga clic en Aadir para seleccionar los usuarios o grupos de

usuarios de origen sometidos a la poltica. Los siguientes tipos de
usuarios de origen son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los
datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado
sesin en su sistema. Cuando se configura la opcin Anterior al
inicio de sesin en el portal de clientes de GlobalProtect, cualquier
usuario que no est registrado en su equipo en ese momento ser
identificado con el nombre de usuario Anterior al inicio de sesin.
Puede crear estas polticas para usuarios anteriores al inicio de
sesin y, aunque el usuario no haya iniciado sesin directamente,
sus equipos estarn autenticados en el dominio como si hubieran
iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es
decir, cualquier IP con datos de usuario asignados. Esta opcin es
equivalente al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es
decir, las direcciones IP que no estn asignadas a un usuario.
Por ejemplo, podra usar desconocido para acceso de invitados
a alguna parte porque tendrn una IP en su red, pero no se autenticarn en el dominio y no tendrn ninguna IP en la informacin
de asignacin de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera aadir a un usuario, una lista de
individuos, algunos grupos o aadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios
(User-ID), la lista de usuarios no se muestra y deber introducir la
informacin del usuario manualmente.
Perfiles HIP
Haga clic en Aadir para seleccionar los perfiles de informacin de

host (HIP) para identificar a los usuarios.
Palo Alto Networks
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.
Tabla 133. Configuracin de polticas de seguridad (pestaa Destino)

Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones pblicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Nota: En las reglas de intrazona, no puede definir una zona de destino
porque estos tipos de reglas solo pueden hacer coincidir trfico con un
origen y un destino dentro de la misma zona. Para especificar las zonas
que coincidan con una regla de intrazona, solo necesita establecer la zona
de origen.
Direccin de destino
Haga clic en Aadir para aadir las direcciones, direcciones de

grupos o regiones de destino (la opcin predeterminada es
Cualquiera). Realice su seleccin en la lista desplegable o haga
clic en Direccin, en el enlace en la parte inferior de la lista
desplegable y especifique la configuracin de la direccin.
Pestaa Aplicacin
Use la pestaa Aplicacin para que la accin de la poltica se produzca basndose en una
aplicacin o grupo de aplicaciones. Un administrador tambin puede usar una firma de
identificacin de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de
propiedad reservada o para detectar atributos especficos de una aplicacin existente.
Las aplicaciones personalizadas se definen en Objetos > Aplicaciones.
Tabla 134. Configuracin de polticas de seguridad (pestaa Aplicacin)

Campo
Descripcin
Aplicacin
Seleccione si desea especificar aplicaciones a la

regla de seguridad. Si una aplicacin tiene mltiples
funciones, puede seleccionar una aplicacin general o
aplicaciones individuales. Si selecciona una aplicacin
general se incluirn todas las funciones y la definicin
de la aplicacin se actualizar automticamente a
medida que se aadan futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de seguridad, podr ver los detalles
de estos objetos al pasar el ratn por encima del objeto
en la columna Aplicacin, haciendo clic en la flecha
hacia abajo y seleccionando Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener que desplazarse a
las pestaas de objetos.
Palo Alto Networks

Use la pestaa Categora de URL/servicio para hacer que la accin de la poltica se realice en
funcin de nmeros de puerto TCP o UDP especficos. Una categora de URL tambin puede
usarse como un atributo para la poltica.
Tabla 135. Configuracin de polticas de seguridad (pestaa Categora de URL/servicio)

Campo
Descripcin
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o

UDP concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan
en cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas se permiten o deniegan nicamente segn sus puertos
predeterminados por Palo Alto Networks. Esta opcin se
recomienda para polticas de permiso porque impide que las
aplicaciones se ejecuten en puertos y protocolos no habituales,
que si no es a propsito, puede ser una seal de comportamiento
y uso de aplicaciones no deseados. Tenga en cuenta que cuando
usa esta opcin, el dispositivo sigue comprobando todas las
aplicaciones en todos los puertos, pero con esta configuracin,
las aplicaciones solo tienen permiso en sus puertos/protocolos
predeterminados.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente
o seleccione Servicio o Grupo de servicios para especificar una
nueva entrada. Consulte Servicios y Grupos de servicios.
Categora de URL
Seleccione las categoras URL de la regla de seguridad.

Seleccione Cualquiera para permitir o denegar todas las sesiones,
con independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione
una categora concreta (incluyendo una categora personalizada)
de la lista desplegable. Puede aadir varias categoras. Consulte
Categoras de URL personalizadas para obtener ms informacin sobre cmo definir categoras personalizadas.
Palo Alto Networks
Pestaa Acciones
Use la pestaa Acciones para determinar la accin que se llevar a cabo con el trfico que
coincida con los atributos de poltica definidos.
Tabla 136. Configuracin de polticas de seguridad (pestaa Acciones)

Campo
Descripcin
Configuracin de accin
Haga clic en Permitir o Denegar para permitir o bloquear una

nueva sesin de red para el trfico que coincida con esta regla.
Tambin puede cambiar la configuracin de Accin en las reglas
predeterminadas.
Ajuste de perfil
Asocie perfiles o grupos de perfiles con la regla de seguridad:
Para especificar la comprobacin realizada por los perfiles de
Palo Alto Networks
seguridad predeterminados, seleccione los perfiles individuales

de Antivirus, Antispyware, Proteccin de vulnerabilidades,
Filtrado de URL, Bloqueo de archivo o Filtrado de datos.
Para especificar un grupo de perfil en lugar de perfiles individuales, seleccione Grupo en Tipo de perfil y, a continuacin,
seleccione un grupo de perfil de la lista desplegable Perfil de
grupo. Si tiene configurado un grupo de perfiles de seguridad
denominado predeterminado, la configuracin del perfil se
rellenar automticamente para usar el grupo de perfiles de
seguridad predeterminado: Tipo de perfil se establecer en
Grupo y el campo Perfil de grupo mostrar el grupo de perfiles
de seguridad predeterminado seleccionado de forma predeterminada. Vaya a Objeto > Grupos de perfiles de seguridad
para aadir un grupo de perfiles de seguridad y ponga al grupo
el nombre predeterminado, para que las nuevas polticas de
seguridad se asocien automticamente con el grupo de perfiles
seguridad predeterminado. Puede cancelar esta configuracin
predeterminada en cualquier momento modificando los campos
Ajuste de perfil como desee.
Para definir nuevos perfiles o grupos de perfiles, haga clic en
Nuevo junto al perfil o grupo adecuado (consulte Grupos de
perfiles de seguridad).
Tabla 136. Configuracin de polticas de seguridad (pestaa Acciones)

Campo
Descripcin
Ajuste de log

Para generar entradas de trfico en el log de trfico local que
cumplan esta regla, seleccione las siguientes opciones:
Log al iniciar sesin. Genera una entrada de log de trfico al
inicio de la sesin (deshabilitada de forma predeterminada).
Log al finalizar sesin. Genera una entrada de log de trfico al
final de la sesin (habilitada de forma predeterminada).
Si las entradas de inicio o fin de la sesin se registran, tambin lo
harn las entradas de colocacin y denegacin.
Perfil de reenvo de logs: Para enviar el log del trfico local y las
entradas del log de amenazas a destinos remotos, como servidores
de Panorama y Syslog, seleccione un perfil de logs de la lista
desplegable Perfil de reenvo de logs. Tenga en cuenta que la
generacin de entradas del log de amenazas est determinada
por los perfiles de seguridad. Si tiene un perfil de reenvo de logs
denominado predeterminado, este se seleccionar automticamente
para este campo cuando cree nuevas polticas de seguridad.
Puede cancelar esta configuracin predeterminada en cualquier
momento seleccionado un perfil de reenvo de logs diferente
cuando establezca una nueva poltica de seguridad. Para definir
o aadir un nuevo perfil de reenvo de logs (y para denominar a
un perfil predeterminado y que este campo se rellene automticamente), haga clic en Nuevo (consulte Reenvo de logs).
Tambin puede cambiar la configuracin del log en las reglas
predeterminadas.
Otros ajustes

Programacin: Para limitar los das y horas en los que la regla est
en vigor, seleccione una programacin de la lista desplegable.
Para definir nuevas programaciones, haga clic en Nueva (consulte
Programaciones).
Marca de QoS: Para cambiar el ajuste de Calidad de servicio
(QoS) en paquetes que coincidan con la regla, seleccione IP
DSCP o Precedencia de IP e introduzca el valor de QoS en
formato binario o seleccione un valor predeterminado de la lista
desplegable. Para obtener ms informacin sobre QoS, consulte
Configuracin de la calidad de servicio.
Deshabilitar inspeccin de respuesta de servidor: Para deshabilitar la inspeccin de paquetes del servidor en el cliente, seleccione
esta casilla de verificacin. Esta opcin puede ser de utilidad en
condiciones con gran carga del servidor.
Palo Alto Networks
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de
direccin de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirn entre pblicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones pblicas en el trfico enviado desde una zona interna (fiable) a
una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrn resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe
configurar una poltica de seguridad para permitir el trfico NAT. La poltica de seguridad
se basar en la direccin de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas
direcciones IP pblicas con diferentes nmeros de puerto de origen. Las reglas de IP
dinmica/NAT de puerto permiten traducir una direccin IP nica, un intervalo de
direcciones IP, una subred o una combinacin de todas ellas. Si una interfaz de salida
tiene una direccin IP asignada dinmicamente, puede ser de utilidad especificar la
interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin
adquirida por la interfaz para subsiguientes traducciones.
IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT que
las admitidas por el nmero de direcciones y puertos IP disponibles. El cortafuegos
puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma
simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en
PA-4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050,
PA-5060 y PA-7050 cuando las direcciones IP de destino son exclusivas.
IP dinmica: Para el trfico saliente. Las direcciones de origen privadas se traducen a la

siguiente direccin disponible en el intervalo de direcciones especificado. Las polticas de
NAT de IP dinmica permiten especificar una direccin IP nica, mltiples IP, mltiples
intervalos IP o mltiples subredes como el grupo de direcciones traducidas. Si el grupo
de direcciones de origen es mayor que el grupo de direcciones traducidas, las nuevas
direcciones IP que buscan traduccin se vern bloqueadas, mientras que el grupo de
direcciones traducidas se utiliza en su totalidad. Para evitar este problema, puede
especificar un grupo de reserva que se utilizar si el grupo primario agota sus
direcciones IP.
IP dinmica: Para el trfico entrante o saliente. Puede utilizar la IP esttica de origen o

destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una direccin IP pblica a mltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.
Palo Alto Networks
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a las
direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
Tabla 137. Tipos de NAT

Tipos de
NAT de
PAN-OS
El puerto de
destino es el
mismo
El puerto
de destino
puede
cambiar
Tipo de
asignacin
IP dinmica/
puerto
No
No
Muchas a 1
MaN
Hasta 254 direcciones

consecutivas
No
MaN
Hasta 32.000
direcciones
consecutivas
No
1a1
Ilimitado
IP dinmica
IP esttica
Tamao del grupo

de direcciones
traducidas
MaN
MIP
Opcional
1 a muchas
PAT VIP
Palo Alto Networks
Determinacin de configuracin de zona en NAT y poltica de seguridad

Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP
anteriores a NAT configuradas en la poltica. Por ejemplo, si traduce el trfico entrante a un
servidor interno (al que se accede mediante una IP pblica de servidores de Internet), es
necesario configurar la poltica NAT mediante la zona en la que reside la direccin IP pblica.
En este caso, las zonas de origen y destino seran las mismas. Como ejemplo adicional, si
traduce el trfico de host saliente a una direccin IP pblica, es necesario configurar la poltica
NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts.
La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya
modificado el paquete.
La poltica de seguridad es diferente de la poltica NAT en que las zonas posteriores a NAT
se deben utilizar para controlar el trfico. NAT puede afectar a las direcciones IP de origen o
destino y pueden llegar a modificar la interfaz saliente y la zona. Si crea polticas de seguridad
con direcciones IP especficas, es importante tener en cuenta que las direcciones IP anteriores a
NAT se utilizarn en la correspondencia de polticas. La poltica de seguridad debe permitir
de forma explcita el trfico sujeto a NAT, si el trfico atraviesa mltiples zonas.
Opciones de regla NAT

El cortafuegos admite reglas no NAT y reglas NAT bidireccionales.
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la poltica NAT. Para definir
una poltica no NAT, especifique todos los criterios coincidentes y seleccione Sin traduccin
de origen en la columna de traduccin de origen.
Reglas NAT bidireccionales

El ajuste bidireccional en reglas NAT de origen estticas crea una regla NAT de destino para
el trfico en los mismo recursos en la direccin opuesta. En este ejemplo, se utilizan dos reglas
NAT para crear una traduccin de origen del trfico saliente desde la IP 10.0.1.10 a la IP
pblica 3.3.3.1; y una traduccin de destino para el trfico destinado de la IP pblica 3.3.3.1 a
la IP privada 10.0.1.10. Este par de reglas se pueden simplificar configurando nicamente la
tercera regla NAT, utilizando la funcin bidireccional.
Ilustracin 2. Reglas NAT bidireccionales
Palo Alto Networks
Ejemplos de poltica NAT

La siguiente regla de polticas NAT traduce un intervalo de direcciones de origen privadas
(10.0.0.1 a 10.0.0.100 en la zona L3Trust) en una direccin IP pblica nica (200.10.2.100 en la
zona L3Untrust) y un nmero de puerto de origen nico (traduccin de origen dinmica).
La regla solo se aplica al trfico recibido en una interfaz Capa 3 en la zona L3Trust que se
destina a una interfaz en la zona L3Untrust. Como las direcciones privadas estn ocultas, las
sesiones de red no se pueden iniciar desde la red pblica. Si la direccin pblica no est en
una direccin de interfaz de cortafuegos (o en la misma subred), el enrutador local requiere
una ruta esttica para dirigir el trfico de retorno al cortafuegos.
La poltica de seguridad debe configurarse explcitamente para permitir el trfico coincidente
con esta regla NAT. Cree una poltica de seguridad con zonas y direcciones de origen/destino
que coincidan con la regla NAT.
Ilustracin 3. Traduccin de direccin de origen dinmica

En el siguiente ejemplo, la primera regla NAT traduce la direccin privada de un servidor de
correo interno en una direccin IP pblica esttica. La regla solo se aplica al correo saliente
enviado desde la zona L3Trust a la zona L3Untrust. Para el trfico en direccin opuesta
(correo electrnico entrante), la segunda regla traduce la direccin de destino de la direccin
pblica del servidor a su direccin privada. La regla 2 utiliza L3Untrust para las zonas de
origen y destino porque la poltica NAT se basa en la zona de direcciones anterior a NAT.
En este caso, esa direccin anterior a NAT es una direccin IP Pblica y, por lo tanto, se
encuentra en la zona L3Untrust.
Ilustracin 4. Origen esttico y Traduccin de direccin de destino

En ambos ejemplos, si la direccin pblica no est en la direccin de la interfaz del cortafuegos
(o en la misma subred), debe aadir una ruta esttica al enrutador local para enrutar el trfico
al cortafuegos.
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6
e IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4
acceder a servidores IPv6. Existen tres mecanismos principales de transicin definidos por
IETF: pila doble, tneles y transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere
comunicacin, debe utilizar la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga
de una solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin
NAT.
Palo Alto Networks
Las siguientes funciones NAT64 son compatibles:
Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4
pueda asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede
compartir con NAT44. En contraste, Stateless NAT64 asigna una direccin IPv4 a una
direccin IPv6.
Traduccin de comunicacin IPv4 iniciada. El enlace esttico de IPv4 asigna una

direccin/nmero de puerto IPv4 a una direccin IP IPv6. PAN-OS tambin admite la
reescritura, lo que le permite conservar an ms direcciones IPv4.
Permite traducir subredes /32, /40, /48, /56, /64 y /96.
Compatibilidad de varios prefijos. Puede asignar un prefijo NAT64 por regla.
No requiere que conserve un grupo de direcciones IPv4 especficamente para NAT64.

Por lo tanto, puede utilizar una direccin IP simple para NAT44 y NAT64.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.
Permite la traduccin de paquetes TCP/UDP/ICMP por RFC, as como otros protocolos

sin ALG (best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traduccin
tiene la misma limitacin que NAT44.
Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamao mximo de

segmento) para TCP.
Permite configurar el parmetro IPv6 MTU. El valor predeterminado es 1280, que es

el valor mnimo de MTU para el trfico IPv6. Este ajuste se configura en la pestaa
Dispositivo > Configuracin > Sesiones en Ajustes de sesin.
Traduce el atributo de longitud entre IPv4 e IPv6.
Admitido en interfaces y subinterfaces de capa 3, tnel e interfaces VLAN.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Comunicacin IPv6 iniciada
En este tipo de traduccin, la direccin IPv6 de destino de la regla NAT es un prefijo que
sigue al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La mscara de red de la direccin
IPv6 de destino en la regla se utilizara para extraer la direccin IPv4. La traduccin de origen
necesita tener un puerto e IP dinmicas para implementar Stateful NAT64. La direccin
IPv4 definida como origen se configura de la misma forma que una traduccin de destino
NAT44. El campo de traduccin de destino no est definido. Sin embargo, debe realizarse
una traduccin de destino ya que la direccin se extrae de la direccin IPv6 en el paquete.
Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en
cuenta que en un prefijo /96, est en los ltimos 4 octetos, pero la ubicacin de la direccin
IPv4 sera diferente si el prefijo no es /96.
Palo Alto Networks
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Fiable
No fiable
Internet IPv4
Host IPv6
Ilustracin 5. Diagrama de red de cliente NAT64 IPv6 a IPv4

La tabla siguiente describe los valores necesarios en esta poltica NAT64.
Tabla 138.
IP de origen
IP de destino
Traduccin de origen
Traduccin de destino
Cualquier
direccin
IPv6
Prefijo NAT64 IPv6

con mscara de red
compatible con
RFC6052
IP dinmica y modo de
puerto (usar direcciones
IPv4)
Ninguno
(Extrada de las direcciones
IPv6 de destino)
Comunicacin IPv4 iniciada

La direccin IPv4 se asigna a la direccin IPv6 y puede usar el modo de IP esttica en la
traduccin de origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y
se adjunta a la direccin IPv4 de origen. La direccin de destino es la direccin IP definida en
la columna de traduccin de destino. Es posible reescribir el puerto de destino. Este mtodo
permite que una nica direccin IP comparta mltiples servidores IPv6 mediante una
asignacin esttica en el puerto.
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Internet IPv4
Red IPv6
No fiable
Fiable
Host IPv4
Ilustracin 6. Diagrama de red de cliente NAT64 IPv4 Internet a IPv6
Palo Alto Networks
La tabla siguiente describe los valores necesarios en esta poltica NAT64.
Tabla 139. Valores de IPv4 iniciada

IP de origen
IP de destino
Traduccin de origen
Cualquier
direccin IPv4
Direccin IPv4
Modo de IP esttica
Direccin simple IPv6

(direccin IP del servidor real)
(Prefijo IPv6 en formato

RFC 6052)
Note: Puede especificar una

reescritura del puerto del
servidor.
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignacin de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de tnel sin punto de finalizacin porque este tipo de
interfaz actuar como un puerto de loopback y aceptar otras mscaras de subred adems
de /128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para garantizar que
el trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
Escenarios IETF para la transicin IPv4/IPv6

Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. El cortafuegos de
Palo Alto Networks admite todos los escenarios menos uno de ellos, tal y como se indica en la
siguiente tabla.
Tabla 140. Resumen de implementaciones de escenarios IETF para el uso

de PAN-OS
Escenario
Red IPv6 a
Internet IPv4
IP de
origen
Cualquier
direccin
IPv6
IP de destino
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC 6052.
Modo de IP
dinmica y
puerto.
Modo de IP
esttica.
Internet IPv4
a una red
IPv6
Cualquier
direccin
IPv4
Direccin IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
direccin
IPv6
Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.
Red IPv4
a Internet
IPv6
No admitida actualmente
Palo Alto Networks
Traduccin
de origen
Ninguno
(extrada de direcciones
IPv6 de destino)
Usar direccin
IPv4 pblica
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguno
IPv6 de destino)
Tabla 140. Resumen de implementaciones de escenarios IETF para el uso

de PAN-OS (Continuacin)
IP de
origen
Escenario
Red IPv4 a
red IPv6
Red IPv6 a
red IPv4
IP de destino
Traduccin
de origen
Cualquier
direccin
IPv4
Direccin IPv4
simple
Modo de IP
esttica.
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC 6052.
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguno
IPv6 de destino)
IP esttica: Para trfico entrante o saliente. Puede utilizar la IP esttica de origen o

destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una direccin IP pblica a mltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a las
direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
Tabla 141. Tipos de NAT

Tipos de NAT
de PAN-OS
IP dinmica/
puerto
IP dinmica
El puerto de
destino es el
mismo
El puerto
de destino puede
cambiar
Tipo de
asignacin
Tamao del grupo de

direcciones traducidas
No
No
Muchas a 1
Hasta 254 direcciones

consecutivas
MaN
S
No
MaN
Hasta 32.000 direcciones

consecutivas
Palo Alto Networks
Tabla 141. Tipos de NAT (Continuacin)

Tipos de NAT
de PAN-OS
El puerto de
destino es el
mismo
El puerto
de destino puede
cambiar
Tipo de
asignacin
Tamao del grupo de

direcciones traducidas
IP esttica
No
1a1
Ilimitado
MaN
MIP
Opcional
1 a muchas
PAT VIP
Definicin de polticas de traduccin de direccin de red

Polticas > NAT
Las reglas de traduccin NAT se basan en las zonas de origen y destino, en las direcciones
de origen y destino, y en el servicio de aplicacin (como HTTP). Al igual que las polticas de
seguridad, las reglas de poltica NAT se comparan con el trfico entrante en secuencia, y se
aplica la primera regla que coincida.
A medida que sea necesario, aada rutas estticas al enrutador local para enrutar el trfico
a todas las direcciones pblicas hacia el cortafuegos. Es posible que tambin necesite aadir
reglas estticas a la interfaz de destino en el cortafuegos para reducir el trfico en la direccin
privada.
consulte Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Las siguientes tablas describen la configuracin de polticas NAT:
Pestaa General
Pestaa Paquete original
Pestaa Paquete traducido
Palo Alto Networks
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica NAT.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.
Tabla 142. Configuracin reglas NAT (pestaa General)

Campo
Descripcin
Nombre
Cambie cambiar el nombre predeterminado de la regla y/o

introducir una descripcin de la regla.
Descripcin
Etiqueta

Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas
polticas y desea revisar las que estn etiquetadas con una palabra
clave especfica. Por ejemplo, tal vez quiera etiquetar determinadas
polticas de seguridad con Entrante en DMZ, polticas de descifrado
con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos especfico para polticas asociadas con esa
ubicacin.
Tipo de NAT
Especifique ipv4 para NAT entre direcciones IPv4 o traduccin

nat64 entre direcciones IPv6 e IPv4.
No puede combinar intervalos de direcciones IPv4 e IPv6 en una nica
regla NAT.
Pestaa Paquete original

Use la pestaa Paquete original para definir el trfico de origen y destino que se traducir,
as como el tipo de interfaz de destino y el tipo de servicio. Se pueden configurar varias zonas
de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o
direcciones IP especficas.
Tabla 143. Configuracin de reglas NAT (pestaa Paquete original)

Campo
Descripcin
Zona de origen
Zona de destino
Seleccione una o ms zonas de origen y destino para el paquete

original (no NAT). (El valor predeterminado es cualquiera.)
Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable
virtual, Virtual Wire). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad.
Por ejemplo, puede configurar los ajustes para que mltiples
direcciones NAT internas se dirijan a la misma direccin IP externa.
Interfaz de destino
Especifique el tipo de interfaz de traduccin. La interfaz de destino

se puede utilizar para traducir direcciones IP de manera diferente
en caso de que la red est conectada a dos proveedores de Internet
con grupos diferentes de direcciones IP.
Palo Alto Networks
Tabla 143. Configuracin de reglas NAT (pestaa Paquete original)

Campo
Descripcin
Servicio
Especifique los servicios para los que las direcciones de origen y

destino se traducen. Para definir nuevos grupos de servicio,
consulte Grupos de servicios.
Direccin de origen
Direccin de destino
Especifique una combinacin de direcciones de origen y destino

para las que las direcciones de origen y destino se deben traducir.
Pestaa Paquete traducido

Use la pestaa Paquete traducido para determinar el tipo de traduccin que se realizar
en el origen y la direccin o puerto a la que se traducir. Tambin se puede configurar
una traduccin de direccin de destino para un host interno que al que se necesite acceder
desde una direccin IP pblica. En este caso, defina una direccin de origen (pblica) y una
direccin de destino (privada) en la pestaa Paquete original para un host interno y habilite
Traduccin de direccin de destino en la pestaa Paquete traducido e introduzca la direccin
traducida. Cuando se acceda a la direccin pblica, se traducir a la direccin interna
(destino) del host interno.
Palo Alto Networks
Tabla 144. Configuracin de reglas NAT (pestaa Paquete traducido)

Campo
Descripcin
Traduccin de direccin
de origen
Introduzca una direccin o un intervalo de direcciones IP (direccin1direccin2) a la que se traduce la direccin de origen, y seleccione
un grupo de direcciones dinmicas o estticas. El tamao del
intervalo de direcciones est limitado por el tipo del grupo de
direcciones:
IP dinmica y puerto: La seleccin de direcciones se basa en un
hash de la direccin de IP de origen. Para una direccin de IP de
origen, el cortafuegos utilizar la misma direccin de origen
traducida para todas las sesiones. IP dinmica y NAT de puerto
origen admite aproximadamente 64.000 sesiones simultneas en
cada direccin IP en el grupo NAT. En algunas plataformas, se
permite un exceso de suscripciones, lo que permite a una nica IP
albergar ms de 64.000 sesiones simultneas.
IP dinmica/NAT de puerto de Palo Alto Networks admite
ms sesiones NAT que las admitidas por el nmero de direcciones
y puertos IP disponibles. El cortafuegos puede utilizar direcciones
IP y combinaciones de puertos hasta dos veces (de forma simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro
veces en PA-4020 y PA-5020, y ocho veces en dispositivos
PA-4050, PA-4060, PA-5050 y PA-5060 cuando las direcciones
IP de destino son exclusivas.
IP dinmica: Se utiliza la siguiente direccin disponible en el
intervalo especificado, pero el nmero de puerto no se cambia.
Se admiten hasta 32.000 direcciones IP consecutivas. Un grupo de
direcciones IP dinmicas puede contener varias subredes, por lo
que podr traducir sus direcciones de red internas a dos o ms
subredes pblicas diferentes.
Avanzado (traduccin de IP dinmica de reserva):
Utilice esta opcin para crear un grupo de reserva que
ejecutar la traduccin de IP y puerto, y que se utilizar si el
grupo primario agota sus direcciones. Puede definir las direcciones del grupo utilizando la opcin Direccin traducida o
Direccin de interfaz, para interfaces que reciben una direccin
IP dinmica. Si crea un grupo de reserva, asegrese de que las
direcciones no se solapan con las direcciones del grupo primario.
IP esttica: Se utiliza la misma direccin y el puerto permanece
inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traduccin es 10.0.0.1-10.0.0.10, la
direccin 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de
direccin es casi ilimitado.
Ninguna: La traduccin no se ejecuta.
Traduccin de direccin
de destino
Introduzca una direccin o intervalo de direcciones IP y un nmero

de puerto traducido (1 a 65535) al que la direccin y nmero de
puerto de destino se traducirn. Si el campo Puerto traducido se
deja en blanco, el puerto de destino no se modifica. La traduccin
de destino se suele utilizar para permitir un servidor interno,
como un servidor de correo electrnico al que se accede desde la
red pblica.
Palo Alto Networks
Polticas de reenvo basado en polticas

Polticas > Reenvo basado en polticas
Normalmente, cuando el trfico entra en el cortafuegos, el enrutador virtual de la interfaz de
entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de
destino basada en la direccin IP de destino. Gracias al reenvo basado en polticas (PBF),
puede especificar otra informacin para determinar la interfaz de salida, incluyendo la zona,
direccin y usuario de origen, as como la direccin, aplicacin y servicio de destino. La sesin
inicial de una direccin IP y puerto de destino concretos asociados con una aplicacin no
coincidir con una regla de aplicacin especfica y se reenviarn de acuerdo con reglas PBF
subsiguientes (que no especifican ninguna aplicacin) o la tabla de reenvo del enrutador
virtual. El resto de sesiones de esa direccin IP y puerto de destino de la misma aplicacin
coincidirn con una regla especfica de aplicacin. Para garantizar el reenvo mediante reglas
PBF, no se recomienda el uso de reglas especficas de la aplicacin.
Cuando sea necesario, las reglas PBF se pueden utilizar para forzar el trfico mediante un
sistema virtual adicional con la accin de reenvo Reenviar a Vsys. En este caso, es necesario
definir una regla PBF adicional que reenve el paquete desde el sistema virtual de destino
mediante una interfaz de salida (egress) concreta en el cortafuegos.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:
Pestaa General
Pestaa Origen
Pestaa Destino/aplicacin/servicio
Pestaa Reenvo
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica PBF.
Campo
Descripcin
Nombre

El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos. Solo se
requiere el nombre.
Descripcin
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para especificar
la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar o
filtrar polticas. Es til cuando ha definido muchas polticas y desea revisar las que
estn etiquetadas con una palabra clave especfica. Por ejemplo, tal vez quiera
etiquetar determinadas polticas de seguridad con Entrante en DMZ, polticas de
descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos especfico para polticas asociadas con esa ubicacin.
Palo Alto Networks
Pestaa Origen
de origen entrante al que se aplicar la poltica de reenvo.
Campo
Descripcin
Zona de origen
Para elegir zonas de origen (el valor predeterminado es cualquiera),

haga clic en Aadir y seleccione una de la lista desplegable. Para definir
nuevas zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Note: Solo se admiten zonas de tipo Capa 3 para reenvo basado en
polticas.
Direccin de origen
Haga clic en Aadir para aadir las direcciones, direcciones de grupos o

regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.
Usuario de origen
Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de

origen sometidos a la poltica. Los siguientes tipos de usuarios de origen
son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos
de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en
el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas
polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn
autenticados en el dominio como si hubieran iniciado sesin
completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opcin es equivalente
al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estn asignadas a un usuario. Por ejemplo,
podra usar desconocido para acceso de invitados a alguna parte
porque tendrn una IP en su red, pero no se autenticarn en el dominio
y no tendrn ninguna IP en la informacin de asignacin de usuarios en
el cortafuegos.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deber introducir la informacin del usuario
manualmente.
Palo Alto Networks
Pestaa Destino/aplicacin/servicio
Use la pestaa Destino/aplicacin/servicio para definir la configuracin de destino que se
aplicar al trfico que coincida con la regla de reenvo.
Campo
Descripcin
Direccin de destino
Haga clic en Aadir para aadir las direcciones, direcciones de grupos

o regiones de destino (la opcin predeterminada es Cualquiera). Realice
su seleccin en la lista desplegable o haga clic en Direccin, Grupo de
Aplicacin
Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir

nuevas aplicaciones, consulte Definicin de aplicaciones. Para definir
grupos de aplicaciones, consulte Definicin de grupos de aplicaciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
PFB, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podr ver fcilmente miembros de
la aplicacin directamente desde la poltica, sin tener que ir hasta las
pestaas de objetos.
Pestaa Reenvo
Use la pestaa Reenvo para definir la accin y la informacin de red que se aplicar al trfico
que coincida con la poltica de reenvo. El trfico se puede reenviar a una direccin IP de
siguiente salto, un sistema virtual o bien se puede interrumpir el trfico.
Campo
Descripcin
Direccin de destino

regiones de destino (la opcin predeterminada es Cualquiera). Realice
Aplicacin
Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir

nuevas aplicaciones, consulte Definicin de aplicaciones. Para definir
grupos de aplicaciones, consulte Definicin de grupos de aplicaciones.
PFB, podr ver los detalles de estos objetos al pasar el ratn por encima
pestaas de objetos.
Accin
Seleccione una de las siguientes opciones:

Reenviar: Especifique la direccin IP del prximo salto y la interfaz de
salida (egress) (la interfaz que toma el paquete para el siguiente salto
especificado).
Reenviar a VSYS: Seleccione el sistema virtual de reenvo en la lista
desplegable.
Descartar: descarta el paquete.
No hay ningn PBF: No altera la ruta que tomar el paquete.
Palo Alto Networks
Campo
Descripcin
Programacin
Para limitar los das y horas en los que la regla est en vigor, seleccione
una programacin de la lista desplegable. Para definir nuevas
programaciones, consulte Programaciones.
Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y
seguridad granular. Las polticas de descifrado se pueden aplicar a una capa de sockets
seguros (SSL) y a trfico Secure Shell (SSH). El descifrado SSH se puede utilizar para descifrar
el trfico SSH entrante y saliente para asegurar que los protocolos no se estn utilizando para
tneles de aplicaciones y contenido no permitido.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no.
El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de URL y Bloqueo de archivos al trfico SSL descifrado antes
de volverse a cifrar a medida que el trfico sale del dispositivo. Puede aplicar perfiles de
descifrado a sus polticas con objeto de bloquear y controlar diferentes aspectos del trfico.
Para obtener ms informacin, consulte Perfiles de descifrado. Con el descifrado activado,
la seguridad de punto a punto entre clientes y servidores se mantiene, y el cortafuegos acta
como un agente externo de confianza durante la conexin. Ningn tipo de trfico descifrado
sale del dispositivo.
Las polticas de descifrado pueden ser tan generales o especficas como sea necesario.
Las reglas de las polticas se comparan con el trfico en secuencias, por lo que las reglas
ms especficas deben preceder a las reglas ms generales. Para mover una regla a la parte
superior de las polticas y que tenga preferencia, seleccinela y haga clic en Mover hacia
arriba. Una poltica que excluya el trfico del descifrado (con la accin No hay ningn
descifrado) siempre debe tener preferencia para poder entrar en vigor.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de
un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado
firmado por una entidad de certificacin de confianza del cortafuegos. Para configurar este
certificado, cree uno en la pgina Dispositivo > Gestin de certificados > Certificados y, a
continuacin, haga clic en el nombre del certificado y active la casilla Reenviar certificado
fiable. Consulte Gestin de certificados de dispositivos.
Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para evitarlo,
PAN-OS no descifrar el trfico SSL de estas aplicaciones y los ajustes de reglas de
cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el artculo de ayuda ubicado en
https://live.paloaltonetworks.com/docs/DOC-1423.
Palo Alto Networks
Las siguientes tablas describen la configuracin de polticas de descifrado:
Pestaa General
Pestaa Origen
Pestaa Destino
URL/servicio
Pestaa Opciones
Pestaa General
descifrado. Tambin puede configurar una pestaa para que le permita ordenar o filtrar
polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre

Descripcin
Introduzca una descripcin de la regla (hasta 255 caracteres).
Etiqueta

ordenar o filtrar polticas. Es til cuando ha definido muchas polticas y
desea revisar las que estn etiquetadas con una palabra clave especfica.
Por ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad
con Entrante en DMZ, polticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos especfico para
polticas asociadas con esa ubicacin.
Pestaa Origen
de origen entrante al que se aplicar la poltica de descifrado.
Campo
Descripcin
Zona de origen
Palo Alto Networks
Campo
Descripcin
Direccin de origen

desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.
Usuario de origen
Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de

origen sometidos a la poltica. Los siguientes tipos de usuarios de origen
son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos de
usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en
el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas
polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn
autenticados en el dominio como si hubieran iniciado sesin
completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opcin es equivalente
al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estn asignadas a un usuario. Por ejemplo,
podra usar desconocido para acceso de invitados a alguna parte
porque tendrn una IP en su red, pero no se autenticarn en el dominio
y no tendrn ninguna IP en la informacin de asignacin de usuarios en
el cortafuegos.
manualmente.
Pestaa Destino
Campo
Descripcin
Zona de destino
Palo Alto Networks
Campo
Descripcin
Direccin de destino

configuradas.
URL/servicio
Use la pestaa Categora de URL para aplicar la poltica de descifrado a cualquier categora
de URL, o bien especifique una lista de categoras de URL a las que se aplicar la poltica.
Campo
Descripcin
Pestaa Categora
de URL
Seleccione las categoras URL de la regla de descifrado.

Seleccione Cualquiera para buscar en todas las sesiones, con independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Categoras de
URL personalizadas para obtener ms informacin sobre cmo definir
categoras personalizadas.
Pestaa Opciones
Use la pestaa Opciones para determinar si el trfico coincidente debera descifrarse o no.
Si se ha definido Descifrar, especifique el tipo de descifrado. Tambin puede aadir funciones
de descifrado adicionales configurando o seleccionando un perfil de descifrado.
Campo
Descripcin
Accin
Seleccione Descifrar o No descifrar para el trfico.
Tipo
Seleccione el tipo de trfico para descifrar de la lista desplegable:

Proxy SSL de reenvo: Especifique que la poltica descifrar el trfico
del cliente destinado a un servidor externo.
Proxy SSH: Especifique que la poltica descifrar el trfico SSH.
Esta opcin permite controlar los tneles SSH en polticas, especificando el ID de aplicacin (App-ID) de tnel ssh.
Inspeccin de entrada SSL: Especifique que la poltica descifrar el
trfico de inspeccin entrante SSL.
Perfil de descifrado
Palo Alto Networks
Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte

Perfiles de descifrado.
Definicin de polticas de application override

Polticas > Application override
Para cambiar la forma en la que el cortafuegos clasifica el trfico de la red en las aplicaciones,
puede especificar polticas de application override. Por ejemplo, si desea controlar una de sus
aplicaciones personalizadas, puede utilizar una poltica de application override para
identificar el trfico de esa aplicacin en funcin de la zona, direccin de origen y destino,
puerto y protocolo. Si tiene aplicaciones de red clasificadas como desconocidas, puede crear
nuevas definiciones de aplicaciones (consulte Definicin de aplicaciones).
Al igual que las polticas de seguridad, las polticas de application override pueden ser tan
generales o especficas como sea necesario. Las reglas de las polticas se comparan con el
trfico en secuencias, por lo que las reglas ms especficas deben preceder a las reglas ms
generales.
Como el motor de ID de aplicaciones (App-ID) de PAN-OS clasifica el trfico identificando
el contenido especfico de la aplicacin en el trfico de red, la definicin de aplicacin personalizada no puede utilizar un nmero de puerto para identificar una aplicacin. La definicin
de la aplicacin tambin debe incluir el trfico (restringido por zona y direccin IP de origen,
y zona y direccin IP de destino).
Para crear una aplicacin personalizada con application override:
1.
Defina la aplicacin personalizada. Consulte Definicin de aplicaciones. No es necesario

especificar firmas para la aplicacin si la aplicacin se utiliza nicamente para reglas de
application override.
2.
Defina una poltica de application override que especifique si la aplicacin personalizada

se debe activar. Una poltica suele incluir la direccin IP del servidor que ejecuta
la aplicacin personalizada y un conjunto restringido de direcciones IP o una zona
de origen.

Use las siguientes tablas para configurar una regla de application override.
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Protocolo/Aplicacin
Palo Alto Networks
Pestaa General
application override. Tambin puede configurar una pestaa para que le permita ordenar o
filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre

Descripcin
Etiqueta

Pestaa Origen
de origen entrante al que se aplicar la poltica de application override.
Campo
Descripcin
Zona de origen
Direccin de origen
Palo Alto Networks

configuradas.
Pestaa Destino
Campo
Descripcin
Zona de destino
Direccin de destino

configuradas.
Pestaa Protocolo/Aplicacin
Use la pestaa Protocolo/Aplicacin para definir el protocolo (TCP o UDP), puerto y
aplicacin que definen con mayor exactitud los atributos de la aplicacin para que coincida
con la poltica.
Campo
Descripcin
Protocolo
Seleccione el protocolo por el que la aplicacin se puede cancelar.
Puerto
Introduzca el nmero de puerto (0 a 65535) o el intervalo de nmeros

de puerto (puerto1-puerto2) de las direcciones de origen especificadas.
Si especifica varios puertos o intervalos, deben estar separados por comas.
Aplicacin
Seleccione la aplicacin de cancelacin de los flujos de trfico que

coincidan con los criterios de la regla anterior. Si cancela una aplicacin
personalizada, no se realizar una inspeccin de amenazas. La excepcin
es si cancela una aplicacin predeterminada que admite la inspeccin de
amenazas.
Para definir nuevas aplicaciones, consulte Definicin de aplicaciones.
Palo Alto Networks
Definicin de polticas de portal cautivo

Polticas > Portal cautivo
Use la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticacin de usuarios mediante un perfil de autenticacin, una secuencia de autenticacin o un
perfil de certificado. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID)
para aumentar las funciones de identificacin de usuarios ms all del dominio de Active
Directory. Los usuarios se dirigen hacia el portal y se autentican, creando una asignacin de
usuario a direccin IP.
Antes de definir polticas de portal cautivo, habilite las funciones y configure los ajustes
de portal cautivo en la pgina Identificacin de usuarios, tal y como se describe en
Configuracin del cortafuegos para la identificacin de usuarios.
Las siguientes tablas describen la configuracin de polticas de portal cautivo:
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Accin
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de portal
cautivo. Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas
cuando estas son muy numerosas.
Campo
Descripcin
Nombre

Descripcin
Etiqueta

Palo Alto Networks
Pestaa Origen
de origen entrante al que se aplicar la poltica de portal cautivo.
Campo
IP Origen
Descripcin
Seleccione una zona de origen si necesita aplicar la poltica al trfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica del portal cautivo desde las direcciones de origen especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Pestaa Destino
Campo
IP Destino
Descripcin
Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para
especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica del portal cautivo desde las direcciones de destino especficas.
mltiples interfaces o zonas.

Use la pestaa Categora de URL/servicio para hacer que la accin de la poltica se realice en
funcin de nmeros de puerto TCP o UDP especficos. Una categora de URL tambin puede
usarse como un atributo para la poltica.
Campo
Descripcin
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Los servicios seleccionados se
permiten o deniegan nicamente segn los puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios.
Palo Alto Networks
Campo
Categora de URL
Descripcin
Seleccione las categoras URL de la regla de portal cautivo.
Seleccione Cualquiera para aplicar las acciones especificadas en la
pestaa Servicio/Accin con independencia de la categora de URL.
Pestaa Accin
Use la pestaa Acciones para determinar si el usuario ver un formato web, un cuadro de
dilogo de reto de explorador o si no se producir ningn desafo de portal cautivo.
Campo
Descripcin
Configuracin de accin
Seleccione la accin que se realizar:

Formato web: Abre una pgina de portal cautivo en la que el usuario
puede introducir explcitamente las credenciales de autenticacin.
portal no cautivo: Permite el paso del trfico sin abrir una pgina de
portal cautivo para su autenticacin.
reto de explorador: Abre una solicitud de autenticacin NT LAN
Manager (NTLM) en el explorador web del usuario. El explorador web
responder utilizando las credenciales de inicio de sesin actuales del
usuario.
Definicin de polticas DoS

Polticas > Proteccin DoS
Las polticas de proteccin DoS permiten controlar el nmero de sesiones entre interfaces,
zonas, direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen y/o
destino. Por ejemplo, puede controlar el trfico desde y hacia determinadas direcciones o
grupos de direcciones o desde determinados usuarios y para servicios concretos.
Una poltica DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o
paquetes por segundo) que indican un ataque. Entonces podr seleccionar una accin
protectora en una poltica cuando se active una coincidencia.
Use esta pgina para aadir, editar o eliminar reglas de polticas DoS. Para aadir una nueva
regla de poltica, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.
Palo Alto Networks
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica DoS.
Campo
Descripcin
Nombre

Descripcin
Etiqueta

Palo Alto Networks
Pestaa Origen
de origen entrante al que se aplicar la poltica DoS.
Campo
IP Origen
Descripcin
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la poltica
DoS desde las direcciones de origen especficas. Seleccione la casilla de
configuradas. Haga clic en Aadir para especificar varias direcciones.
Especifique el parmetro Usuario de origen que se aplicar a la
poltica DoS para el trfico procedente de los usuarios especficos.
Los siguientes tipos de usuarios de origen son compatibles:
Cualquiera: Incluye todo el trfico independientemente de

los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos
conectados a la red mediante GlobalProtect pero que no
han iniciado sesin en su sistema. Cuando se configura la
opcin Anterior al inicio de sesin en el portal de clientes
de GlobalProtect, cualquier usuario que no est registrado
en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede
crear estas polticas para usuarios anteriores al inicio de
sesin y, aunque el usuario no haya iniciado sesin
directamente, sus equipos estarn autenticados en el
dominio como si hubieran iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados.
Esta opcin es equivalente al grupo usuarios del
dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos,
es decir, las direcciones IP que no estn asignadas a un
usuario. Por ejemplo, podra usar desconocido para acceso
de invitados a alguna parte porque tendrn una IP en su
red, pero no se autenticarn en el dominio y no tendrn
ninguna IP en la informacin de asignacin de usuarios en
el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta
ventana. Por ejemplo, puede que quiera aadir a un
usuario, una lista de individuos, algunos grupos o aadir
usuarios manualmente.
manualmente.
Palo Alto Networks
Pestaa Destino
Campo
IP Destino
Descripcin
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica DoS para el trfico a las direcciones de destino especficas.
varias direcciones.
Pestaa Opcin/Proteccin
Use la pestaa Opcin/Proteccin para configurar opciones adicionales de la poltica DoS,
como el tipo de servicio (http o https) o la accin que se realizar y decidir si se activar un
reenvo de log para el trfico coincidente. Tambin puede definir una programacin que
determine cundo estar activa la poltica y seleccionar un perfil DoS agregado o clasificado
que defina ms atributos para la proteccin DoS.
Campo
Descripcin
Servicio
Seleccione en la lista desplegable la poltica DoS que se aplicar

nicamente a los servicios configurados.
Accin
Seleccione la accin en la lista desplegable:

Denegar: Cancela todo el trfico.
Permitir: Permite todo el trfico.
Proteger: Aplica las protecciones proporcionadas en los umbrales que
se configuran como parte del perfil DoS aplicado a esta regla.
Programacin
Seleccione una programacin preconfigurada de la lista desplegable, que

se aplicar a la regla DoS a una fecha/hora concretas.
Reenvo de logs
Si quiere activar el reenvo de entradas de logs de amenazas a un servicio

externo, como un servidor syslog o Panorama, seleccione un perfil de
reenvo de logs de la lista desplegable o haga clic en Perfil para crear uno
nuevo. Tenga en cuenta que solo ser registrado y reenviado el trfico que
coincida con una accin de la regla.
Agregado
Seleccione un perfil de proteccin DoS de la lista desplegable para

determinar la tasa a la que desea adoptar las medidas en respuesta a las
amenazas DoS. Esta configuracin se aplica al total del trfico del origen
especificado al destino especificado.
Palo Alto Networks
Campo
Descripcin
Clasificado
Seleccione la casilla de verificacin y especificar los siguientes ajustes:

Perfil: Seleccione un perfil de la lista desplegable.
Direccin: Seleccione si la regla se aplicar al origen, destino, o a las
direcciones IP de origen y destino.
Si se especifica un perfil clasificado, las limitaciones del perfil se aplican a
una direccin IP de origen, direccin IP de destino, o pares de direcciones
IP de origen y destino. Por ejemplo, puede especificar un perfil clasificado
con un lmite de sesin de 100 y especificar un parmetro Direccin de
origen en la regla. El resultado sera un lmite de 100 sesiones en
cualquier momento para esa direccin IP de origen en particular.
Cada una de las polticas de seguridad puede incluir especificaciones de uno o ms perfiles de
seguridad, lo que proporciona an ms nivel de proteccin y control.
Tambin puede aadir excepciones de amenazas a los perfiles de antispyware y vulnerabilidades. Con objeto de facilitar an ms la gestin de amenazas, puede aadir excepciones de
amenazas directamente desde la lista Supervisar > Logs > Amenazas. Las excepciones de
amenazas se suelen configurar cuando se producen falsos positivos. En este caso, puede
definir una excepcin para una amenaza hasta que Palo Alto Networks emita una nueva
firma para el falso positivo que se ha producido.
Los siguientes tipos de perfil estn disponibles:
Perfiles de antivirus como proteccin contra gusanos y virus o bloqueo de descargas de

spyware. Consulte Perfiles de antivirus.
Perfiles de antispyware para bloquear intentos de acceso a la red protegida por parte de
spyware. Consulte Perfiles de antispyware.
Perfiles de proteccin de vulnerabilidades para detener los intentos de explotacin de

fallos del sistema y de acceso no autorizado a los sistemas. Consulte Perfiles de
proteccin de vulnerabilidades.
Perfiles de filtrado de URL para restringir el acceso a sitios web especficos y a categoras
de sitios web. Consulte Perfiles de filtrado de URL.
Perfiles de bloqueo de archivos para bloquear los tipos de archivos seleccionados.

Consulte Perfiles de bloqueo de archivo.
Perfiles de filtrado de datos que ayudan a evitar que informacin confidencial, como
nmeros de tarjetas de crdito o nmeros de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte Perfiles de filtrado de datos.
Adems de los perfiles individuales, puede crear grupos en Objetos > Grupos de perfiles de
seguridad para combinar los perfiles que se apliquen con frecuencia conjuntamente.
No puede eliminar un perfil que se utiliza en una poltica de seguridad. Antes debe
quitar el perfil de la poltica de seguridad y luego eliminarlo.
Palo Alto Networks
Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.
Predeterminado: Realiza la accin predeterminada especificada internamente en la firma

de cada amenaza.
Permitir: Permite el trfico de la aplicacin.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Bloquear: Cancela el trfico de la aplicacin.
Las siguientes acciones estn disponibles cuando se definen objetos de spyware y vulnerabilidades personalizados:
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Colocar paquetes: Evita que todos los paquetes salgan del cortafuegos.
Restablecer ambos: Restablece el cliente y el servidor.
Restablecer cliente: Restablece el cliente.
Restablecer servidor: Restablece el servidor.
Bloquear IP: Esta accin bloquea el trfico de un par de origen u origen-destino

(configurable) durante un perodo de tiempo especificado.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
En la pgina Perfiles de antivirus puede configurar opciones para que el cortafuegos busque
virus mediante anlisis del trfico definido. Defina en qu aplicaciones se buscarn virus
mediante inspecciones y la accin que se llevar a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados, genera alertas de
Simple Mail Transport Protocol (SMTP), Internet Message Access Protocol (IMAP), y Post
Office Protocol Version 3 (POP3), y toma las medidas predeterminadas para el resto de las
aplicaciones (alerta o denegacin), dependiendo del tipo de virus detectado. El perfil se
adjuntar despus a una poltica de seguridad para determinar la inspeccin del trfico que
atraviese zonas especficas.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el
trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de
zonas no fiables, como Internet, as como el trfico enviado a destinos altamente sensibles,
como granjas de servidores.
Consulte Perfiles de seguridad para ver una lista completa de los tipos de perfiles de
seguridad y las acciones que se aplicarn al trfico coincidente.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:
Pgina de perfil de antivirus
Pestaa Antivirus
Pestaa Excepciones
Palo Alto Networks
Pgina de perfil de antivirus

Use esta pgina para definir un nombre y una descripcin del perfil.
Campo
Descripcin
Nombre

aparece en la lista de perfiles de antivirus cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, puntos,
Descripcin
Introduzca una descripcin del perfil (hasta 255 caracteres).
Pestaa Antivirus
Use la pestaa Antivirus para definir el tipo de trfico que se inspeccionar, como ftp y http, y
especifique a continuacin la accin aplicable. Puede definir diferentes acciones para firmas
de antivirus estndar (columna Accin) y firmas generadas por el sistema WildFire (Accin de
WildFire). Algunos entornos pueden requerir pruebas de estabilidad ms largas para firmas
de antivirus, por lo que esta opcin permite definir distintas acciones para los dos tipos de
firmas de antivirus ofrecidos por Palo Alto Networks. Por ejemplo, las firmas de antivirus
estndar pasan pruebas de estabilidad ms largas (24 horas) en comparacin con las firmas
de WildFire, que se pueden generar y emitir en 15 minutos o menos tras la deteccin de la
amenaza. Por ello, tal vez prefiera elegir la accin de alerta en las firmas de WildFire en lugar
del bloqueo.
Use la tabla Excepcin de aplicaciones para definir las aplicaciones que no sern inspeccionadas. Por ejemplo, puede que quiera permitir http pero no inspeccionar el trfico de una
aplicacin especfica que funcione a travs de http.
Campo
Descripcin
Captura de paquetes
Seleccione la casilla de verificacin para capturar paquetes identificados.
Descodificadores y
Acciones
Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire.
Excepciones de
aplicacin y acciones
Identifique aplicaciones que se considerarn excepciones a la regla de

antivirus.
Por ejemplo, para bloquear todo el trfico HTTP excepto el de una
aplicacin especfica, puede definir un perfil de antivirus para el que la
aplicacin es una excepcin. Bloquear es la accin del descodificador
HTTP, y Permitir es la excepcin de la aplicacin.
Para buscar una aplicacin, comience escribiendo el nombre de la
aplicacin en el cuadro de texto. Se mostrar una lista con las aplicaciones
coincidentes, en la que podr realizar una seleccin. La aplicacin se
aade a la tabla y puede asignar una accin.
Para cada excepcin de la aplicacin, seleccione la accin que se adoptar
cuando se detecte la amenaza.
Palo Alto Networks
Pestaa Excepciones
Use la pestaa Excepciones para definir la lista de amenazas que ignorar el perfil de
antivirus.
Campo
Descripcin
ID de amenaza
Aada amenazas especficas que deberan ignorarse. Aparecern las

excepciones ya especificadas. Puede aadir amenazas adicionales
introduciendo el ID de amenaza y haciendo clic en Aadir. Los ID de
amenaza se presentan como parte de la informacin del log de amenaza.
Consulte Visualizacin de logs.
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una poltica de seguridad puede incluir informacin de un perfil antispyware para detectar
llamada a casa (deteccin del trfico del spyware instalado). El perfil antispyware
predeterminado detecta la proteccin de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antispyware
para el trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico
recibido de zonas no fiables, como Internet, as como el trfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts
infectados en una red. Estas firmas detectan bsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Adems, los hosts que realizan consultas DNS en dominios malware aparecern
en el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms
columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submen Columnas.
Para obtener ms informacin, consulte Uso de tablas en pginas de configuracin.
Las siguientes tablas describen la configuracin de perfil de antispyware:
Tabla 145. Configuracin de perfil de antispyware

Campo
Descripcin
Nombre

aparece en la lista de perfiles de antispyware cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas y
Descripcin
Palo Alto Networks
Tabla 145. Configuracin de perfil de antispyware (Continuacin)

Campo
Descripcin
Compartido

sistemas virtuales.
Pestaa Reglas
Nombre de regla
Especifique el nombre de la regla.
Nombre de amenaza
Introduzca Cualquiera para buscar todas las firmas o introduzca el texto

para buscar cualquier firma con el texto indicado como parte del nombre
de la firma.
Gravedad
Seleccione un nivel de gravedad (crtico, alto, medio, bajo o informativo).
Accin
Seleccione una accin (Predeterminada, Alerta, Permitir o Colocar) para

cada amenaza.
Captura de paquetes

Seleccione paquete nico para capturar un paquete cuando se detecta,
o bien seleccione la opcin captura extendida para capturar de 1 a 50
paquetes. La captura extendida ofrece mucho ms contexto de la amenaza
al analizar los logs de amenazas. Para ver la captura de paquetes,
desplcese hasta Supervisar > Logs > Amenaza, busque la entrada del
log que le interesa y haga clic en la flecha verde hacia abajo de la segunda
columna. Para definir el nmero de paquetes que deben capturarse,
desplcese hasta Dispositivo > Configuracin > ID de contenido y edite
la seccin Configuracin de deteccin de amenaza.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.
Pestaa Excepciones
Excepciones
Seleccione la casilla de verificacin Habilitar para cada amenaza a la que

desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.
Pestaa firma DNS
Palo Alto Networks

Campo
Descripcin
Accin para consultas

de DNS
Seleccione la medida que se adoptar cuando se realicen bsquedas

DNS en sitios conocidos de software malintencionado (Alertar, Permitir,
sinkhole o predeterminada (Bloquear)).
La accin sinkhole de DNS ofrece a los administradores un mtodo para
identificar hosts infectados en la red usando trfico DNS, incluso aunque
el cortafuegos est antes de un servidor de DNS local (es decir, que el
cortafuegos no puede ver el originador de una solicitud de DNS). Si tiene
instalada una licencia de prevencin de amenazas y tiene activado un
perfil antispyware, las firmas basadas en DNS se activarn en las solicitudes de DNS destinadas a dominios de software malintencionado.
En una implementacin tpica, donde el cortafuegos est antes del
servidor DNS local, el log de amenazas identificar la resolucin DNS
local como el origen del trfico en lugar del host infectado. Las consultas
DNS de software malintencionado falsificadas resuelven este problema
de visibilidad generando respuestas errneas a las consultas dirigidas
a dominios malintencionados, de modo que los clientes que intenten
conectarse a dominios malintencionados (mediante comando y control,
por ejemplo) intenten conectarse en su lugar a una direccin IP especificada por el administrador. Los hosts infectados pueden identificarse
fcilmente en los logs de trfico porque cualquier host que intente
conectarse a la IP sinkhole est infectado casi con toda seguridad con
software malintencionado.
Tras seleccionar la accin sinkhole, especifique una direccin IPv4 o
IPv6 que se usar como sinkhole (la predeterminada es la IP del loopback,
que resolver los dominios al host local). Cuando se configura una
direccin IP sinkhole, los clientes infectados pueden ser identificados
filtrando los logs de trfico o generando un informe personalizado que
compruebe las sesiones de la direccin IP especificada. Es importante
seleccionar una direccin IP mediante la cual una sesin tenga que
enrutarse a travs del cortafuegos para que este pueda ver la sesin;
por ejemplo, una IP no usada en otra zona interna.
A continuacin se detalla la secuencia de eventos que se sucedern al
habilitar la funcin sinkhole:
Captura de paquetes
1.
El software malintencionado en el ordenador de un cliente infectado

enva una consulta DNS para resolver un host malintencionado en
Internet.
2.
La consulta DNS del cliente se enva a un servidor DNS interno, que

a su vez realiza una consulta al servidor de DNS pblico al otro lado
del cortafuegos.
3.
La consulta DNS coincide con una entrada DNS en la base de datos

de firmas DNS, de modo que la accin sinkhole se llevar a cabo en
la consulta.
4.
El cliente infectado intenta entonces iniciar una sesin en el host,

pero usa la direccin IP falsificada en su lugar. La direccin IP
falsificada es la direccin definida en la pestaa Firmas DNS del
perfil Antispyware al seleccionar la accin sinkhole.
5.
Se alerta al administrador de la consulta DNS malintencionada en el

log de amenazas, quien puede entonces buscar en los logs de trfico
la direccin IP sinkhole y localizar fcilmente la direccin IP del
cliente que intenta iniciar una sesin con la direccin IP sinkhole.
Palo Alto Networks

Campo
Descripcin
Habilitar supervisin
de DNS pasivo
Se trata de una funcin opcional que permite al cortafuegos actuar como

un sensor DNS pasivo y enviar informacin de DNS escogida a Palo Alto
Networks para que sea analizada y poder mejorar as las funciones de
inteligencia y prevencin de amenazas. Los datos recopilados incluyen
consultas DNS no recursivas (es decir, con origen en la resolucin
recursiva local, no en clientes individuales) y cargas de paquetes de
respuesta. El equipo de investigacin de amenazas de Palo Alto
Networks usa esta informacin para conocer mejor cmo funciona la
propagacin de software malintencionado y las tcnicas de evasin que
se aprovechan del sistema DNS. La informacin recopilada a travs de
estos datos se usa para mejorar la precisin y la capacidad para detectar
software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB
URL filtering), las firmas de comando y control basadas en DNS y
WildFire. Se recomienda habilitar esta funcin.
Cuando el cortafuegos se configura con rutas de servicio personalizadas,

la funcin de DNS pasivo utilizar la ruta de servicio de WildFire para
enviar la informacin de DNS a Palo Alto Networks.
La opcin est deshabilitada de manera predeterminada.
ID de amenaza
Introduzca manualmente excepciones de firma DNS (intervalo 40000004999999).
Perfiles de proteccin de vulnerabilidades

Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades
Una poltica de seguridad puede incluir especificaciones de un perfil de proteccin de
vulnerabilidades que determine el nivel de proteccin contra desbordamiento de bfer,
ejecucin de cdigo ilegal y otros intentos de explotar las vulnerabilidades del sistema.
Hay dos perfiles predefinidos disponibles para la funcin de proteccin de vulnerabilidades:
El perfil predeterminado aplica la accin predeterminada a todas las vulnerabilidades

de gravedad crtica, alta y media del servidor y del cliente. No detecta los eventos de
proteccin de vulnerabilidad informativos y bajos.
El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de

gravedad crtica, alta y media y utiliza la accin predeterminada para los eventos de
proteccin de vulnerabilidad bajos e informativos.
Los perfiles personalizados se pueden utilizar para minimizar la comprobacin de vulnerabilidades para el trfico entre zonas de seguridad fiables y para maximizar la proteccin del
trfico recibido de zonas no fiables, como Internet; y el trfico enviado a destinos altamente
sensibles, como granjas de servidores. Para aplicar los perfiles de proteccin de vulnerabilidades a las polticas de seguridad, consulte Definicin de polticas de seguridad.
Los parmetros de Reglas especifican conjuntos de firmas para habilitar, as como las medidas
que se deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta. La pestaa Excepcin admite funciones de filtrado.
Palo Alto Networks
La pgina Proteccin de vulnerabilidades muestra un conjunto predeterminado de

columnas. Existen ms columnas de informacin disponibles en el selector de columnas.
Haga nclic en la flecha a la derecha de un encabezado de columna y seleccione las columnas
en el submen Columnas. Para obtener ms informacin, consulte Uso de tablas en pginas
de configuracin.
Las siguientes tablas describen la configuracin de perfil de proteccin de vulnerabilidades:
Tabla 146. Configuracin del perfil de proteccin de vulnerabilidades

Campo
Descripcin
Nombre

aparece en la lista de perfiles de proteccin de vulnerabilidades cuando
se definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, puntos, guiones y guiones bajos.
Descripcin
Compartido

sistemas virtuales.
Pestaa Reglas
Nombre de regla
Especifique un nombre para identificar la regla.
Nombre de amenaza
Especifique una cadena de texto para buscar. El cortafuegos aplica un

conjunto de firmas a la regla buscando nombres de firmas para esta
cadena de texto.
Accin
Seleccione la accin (Alertar, Permitir, Predeterminada o Bloquear) que

se realizar cuando se active la regla. La accin Predeterminada se basa
en la accin por defecto que forma parte de cada firma proporcionada
por Palo Alto Networks. Para ver la accin predeterminada de una
firma, desplcese a Objetos > Perfiles de seguridad > Proteccin de
vulnerabilidades y haga clic en Aadir o seleccione un perfil existente.
Haga clic en la pestaa Excepciones y, a continuacin, haga clic en
Mostrar todas las firmas. Aparecer una lista de todas las firmas y
ver una columna Accin.
Host
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Captura de paquetes

Seleccione paquete nico para capturar un paquete cuando se detecta,
o bien seleccione la opcin captura extendida para capturar de 1 a 50
paquetes. La captura extendida ofrece mucho ms contexto de la amenaza
al analizar los logs de amenazas. Para ver la captura de paquetes,
desplcese hasta Supervisar > Logs > Amenaza, busque la entrada del
log que le interesa y haga clic en la flecha verde hacia abajo de la segunda
columna. Para definir el nmero de paquetes que deben capturarse,
desplcese hasta Dispositivo > Configuracin > ID de contenido y edite
la seccin Configuracin de deteccin de amenaza.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.
Categora
Seleccione una categora de vulnerabilidad si desea limitar las firmas a las

que coinciden con esa categora.
Palo Alto Networks
Tabla 146. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)

Campo
Descripcin
Lista CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea

limitar las firmas a las que tambin coinciden con las CVE especificadas.
Cada CVE tiene el formato CVE-aaaa-xxxx, donde aaaa es el ao y xxxx es
un identificador nico. Puede realizar una bsqueda de cadenas en este
campo. Por ejemplo, para buscar las vulnerabilidades del ao 2011,
introduzca 2011.
ID de proveedor
Especifique el ID del proveedor si desea limitar las firmas a las

coincidentes con la de los Id de los proveedores especificados.
Por ejemplo, los ID de proveedor de Microsoft tienen el formato
MSaa-xxx, donde aa es el ao en formato de dos dgitos y xxx es el
identificador nico. Por ejemplo, para buscar Microsoft en el ao 2009,
introduzca MS09.
Gravedad
Palo Alto Networks
Seleccione el nivel de gravedad (informativo, bajo, medio, alto o crtico)

si desea limitar las firmas a las coincidentes con los niveles de gravedad
especificados.
Tabla 146. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)

Campo
Descripcin
Pestaa Excepciones
Amenazas
Seleccione la casilla de verificacin Habilitar para cada amenaza a la que

desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Seleccione una accin de la lista desplegable o seleccione una opcin de la
lista desplegable Accin en la parte superior de la lista para aplicar la
misma accin a todas las amenazas. Si la casilla de verificacin Mostrar
todo est seleccionada, aparecern todas las firmas. Si la casilla de
verificacin Mostrar todo no est seleccionada, solo se mostrarn las
firmas que son excepciones.
Seleccione la casilla de verificacin Captura de paquetes si desea capturar
paquetes identificados.
La base de datos de firma de vulnerabilidad contiene firmas que indican
un ataque de fuerza bruta; por ejemplo, el ID de amenaza 40001 se activa
en un ataque de fuerza bruta de FTP. Las firmas de fuerza bruta se
activan cuando se produce una condicin en un determinado umbral
temporal. Los umbrales estn preconfigurados para firmas de fuerza
bruta y se pueden modificar haciendo clic en el icono de lpiz
junto al
nombre de la amenaza de la pestaa Vulnerabilidad (con la opcin
Personalizada seleccionada). Puede especificar el nmero de resultados
por unidad de tiempo y si se aplicarn los umbrales de origen, destino u
origen-destino.
Los umbrales se pueden aplicar en una IP de origen, IP de destino o una
combinacin de IP de origen y destino.
La accin predeterminada se muestra entre parntesis. La columna CVE muestra
los identificadores de vulnerabilidades y exposiciones comunes (CVE). Estos
identificadores nicos y comunes son para vulnerabilidades de seguridad de
informacin pblicamente conocidas.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.
Palo Alto Networks
Perfiles de filtrado de URL

Objetos > Perfiles de seguridad > Filtrado de URL
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de una URL
que bloquee el acceso a sitios web y a categoras de sitios web especficas, que aplique Safe
Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una
licencia de filtrado URL). Tambin puede definir una lista de bloqueo de sitios web que
est siempre bloqueada (o que generen alertas) y una lista de permiso de sitios web que
est siempre permitida.
Para aplicar los perfiles de filtrado de URL a las polticas de seguridad, consulte Definicin
de polticas de seguridad. Para crear categoras de URL personalizadas con sus propias listas
de URL, consulte Categoras de URL personalizadas.
Las siguientes tablas describen la configuracin de perfil de filtrado de URL:
Tabla 147. Configuracin de perfil de filtrado de URL

Campo
Descripcin
Nombre

aparece en la lista de perfiles de filtrado de URL cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
Descripcin
Compartido

sistemas virtuales.
Categoras
(configurable solo
para BrightCloud)
Seleccione la medida que se adoptar si vence la licencia de filtrado

de URL:
Accin tras el
vencimiento de
la licencia
Bloquear: Bloquea el acceso a todos los sitios web.

Permitir: Permite el acceso a todos los sitios web.
Nota: Si usa la base de datos BrightCloud y define esta opcin para bloquear al
vencimiento de la licencia, se bloquearn todas las URL, no solo las categoras de
URL definidas para bloquearse. Si elige Permitir, se permitirn todas las URL.
Si usa PAN-DB, el filtrado de URL seguir funcionando y las categoras de URL
que se encuentran en cach actualmente se usarn para bloquear o permitir en
funcin de su configuracin.
Palo Alto Networks
Tabla 147. Configuracin de perfil de filtrado de URL (Continuacin)

Campo
Descripcin
Lista de bloqueadas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios

web que desee bloquear o cuyas alertas desee generar. Introduzca las
URL una a una.
Importante: Debe omitir la parte http y https de las URL cuando aada
los sitios web a la lista.
Las entradas de la lista de bloqueo deben ser una coincidencia
completa y no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea bloquear el dominio entero, debe incluir *.paloaltonetworks.com
y paloaltonetworks.com.
Ejemplos:
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo.
Un testigo puede ser cualquier nmero de caracteres ASCII que no
contenga un carcter separador o *. Por ejemplo, los siguientes patrones
son vlidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*
(Los testigos son: "*", "yahoo" y "com")

(Los testigos son: "www", "*" and "com")
(Los testigos son: "www", "yahoo", "com",
"search", "*")
Los siguientes patrones no son vlidos porque el carcter * no es el

nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Accin
Seleccione la medida que se adoptar cuando se acceda a un sitio web de

la lista de bloqueo.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta al
log de URL.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y el resto de parmetros de
cancelacin se especifican en el rea de cancelacin de administrador de
URL de la pgina Configuracin. Consulte la Tabla 1 en Definicin de
la configuracin de gestin.
Palo Alto Networks

Campo
Descripcin
Lista de permitidas
Introduzca las direcciones IP o los nombres de la ruta URL de los sitios

web que desee permitir o cuyas alertas desee generar. Introduzca una
direccin IP o URL en cada lnea.
Importante: Debe omitir la parte http y https de las URL cuando aada
los sitios web a la lista.
Las entradas de la lista de permitidas deben ser una coincidencia
completa y no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea permitir el dominio entero, debe incluir *.paloaltonetworks.com
y paloaltonetworks.com.
Ejemplos:
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo.
Un testigo puede ser cualquier nmero de caracteres ASCII que no
contenga un carcter separador o *. Por ejemplo, los siguientes patrones
son vlidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*
(Los testigos son: "*", "yahoo" y "com")

(Los testigos son: "www", "*" and "com")
(Los testigos son: "www", "yahoo", "com", "search",
"*")
Los siguientes patrones no son vlidos porque el carcter * no es el

nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Esta lista tiene prioridad sobre las categoras de sitios web seleccionados.
Palo Alto Networks

Campo
Descripcin
Categora/Accin
Seleccione, para cada categora, la medida que se adoptar cuando accede

a un sitio web de esa categora.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta al
log de URL.
Permitir: Permite al usuario acceder al sitio web.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y el resto de parmetros de
cancelacin se especifican en el rea de cancelacin de administrador de
URL de la pgina Configuracin. Consulte la Tabla 11 en Definicin
de la configuracin de gestin.
Nota: Las pginas Continuar y Cancelar no se mostrarn correctamente en
mquinas cliente configuradas para utilizar un servidor proxy.
Comprobar categora
de URL
Haga clic para acceder al sitio web donde podr introducir una URL o
direccin IP para ver informacin de categorizacin.
Filtrado de URL
dinmica
Seleccione para activar las bsquedas en la nube y categorizar la URL.

Esta opcin se activa si la base de datos local no puede categorizar la
URL.
Valor predeterminado:
Deshabilitado
(configurable solo para
BrightCloud)
Si la URL no se resuelve despus de que aparezca la ventana de tiempo de

espera de 5 segundos, la respuesta aparece como URL no resuelta.
Con PAN-DB, esta opcin

est habilitada de forma
predeterminada y no es
configurable.
Pgina de contenedor
de log nicamente
Seleccione la casilla de verificacin para incluir en el log nicamente las

URL que coinciden con el tipo de contenido especificado.
Habilitado
Palo Alto Networks

Campo
Descripcin
Habilitar forzaje de
bsquedas seguras
Seleccione esta casilla de verificacin para forzar el filtrado de bsquedas

seguras estricto.
Deshabilitado
Al habilitarla, esta opcin evitar que los usuarios que realicen bsquedas
en Internet usando uno de los tres principales proveedores de bsquedas
(Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de
bsqueda, a menos que tengan definida la opcin de bsqueda segura
estricta en sus exploradores para estos motores de bsqueda. Si un
usuario realiza una bsqueda usando uno de estos motores y su explorador o motor de bsqueda no tiene configurada la opcin bsqueda
segura en la opcin estricta, los resultados de bsqueda sern bloqueados
(dependiendo de la accin definida en el perfil) y se pedir al usuario que
defina la opcin estricta en la configuracin de bsqueda segura.
Para usar esta funcin,

no es necesaria una
licencia de filtrado
de URL.
Nota: Si est realizando una bsqueda en Yahoo! Japan (yahoo.co.jp) mientras

est registrado en su cuenta de Yahoo!, la opcin de bloqueo para el ajuste de
bsqueda tambin debe estar habilitada.
Para forzar la bsqueda segura, debe aadirse el perfil a la poltica de
seguridad. Y, para activar la bsqueda segura para los sitios cifrados
(HTTPS), debe aadirse el perfil a una poltica de cifrado.
La habilidad del cortafuegos para detectar la configuracin de bsquedas
seguras dentro de estos tres proveedores se actualizar usando la
actualizacin de firma Aplicaciones y amenazas. Si un proveedor cambia
el mtodo de configuracin de bsquedas seguras que usa Palo Alto
Networks para detectar estas configuraciones, se llevar a cabo una
actualizacin de firmas para garantizar que se detecta la configuracin
adecuadamente. Adems, la evaluacin para determinar si un sitio se
considera seguro o no la realizan los proveedores de bsquedas, no Palo
Alto Networks.
Para evitar que los usuarios omitan esta funcin usando otros proveedores de bsquedas, configure el perfil de filtrado de URL para que
bloquee la categora de los motores de bsqueda y que se puedan
permitir Bing, Google, Yahoo, Yandex y YouTube.
Consulte la Gua del administrador de PAN-OS para obtener ms
informacin.
Palo Alto Networks

Campo
Descripcin
Logging de la cabecera
HTTP
La activacin del logging de la cabecera HTTP proporciona visibilidad

sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor.
Cuando estn activados, uno o varios de los siguientes pares de valores
de atributos se graban en el log de filtrado de URL:
Agente-usuario (User-Agent): El navegador web que utilizaba el
usuario para acceder a la URL. Esta informacin se enva en la solicitud
de HTTP al servidor. Por ejemplo, el agente-usuario puede ser Internet
Explorer o Firefox. El valor Agente-usuario del log admite hasta 1024
caracteres.
Sitio de referencia: URL de la pgina web que enlazaba el usuario a otra
pgina web; se trata del origen que ha redirigido (referencia) al usuario
a la pgina web que se est solicitando. El valor del sitio de referencia
en el log admite hasta 256 caracteres.
X reenviado para: opcin del campo de encabezado que conserva la
direccin IP del usuario que ha solicitado la pgina web. Le permite
identificar la direccin IP del usuario. Es especialmente til si tiene un
servidor proxy en su red o ha implementado NAT de origen, algo que
enmascara la direccin IP del usuario de tal forma que todas las solicitudes parecen originarse desde la direccin IP del servidor proxy o una
direccin IP comn. El valor de x reenviado para en el log admite hasta
128 caracteres.
Palo Alto Networks
Perfiles de bloqueo de archivo

Objetos > Perfiles de seguridad > Bloqueo de archivo
Una poltica de seguridad puede incluir la especificacin de un perfil de bloqueo de archivos
que impida que los tipos de archivos seleccionados se carguen o descarguen, o que genere
una alerta cuando se detecten. Si se selecciona la accin Reenviar, los tipos de archivos
compatibles se enviarn a WildFire, donde sern analizados para buscar comportamientos
malintencionados. La Tabla 149 enumera los formatos de archivo compatibles en el momento
de esta publicacin. Sin embargo, dado que en una actualizacin de contenido se puede
aadir una nueva compatibilidad con un tipo de archivo, para ver la lista ms actualizada,
haga clic en Aadir en el campo Tipos de archivo del cuadro de dilogo Perfil de bloqueo
de archivo.
Para aplicar los perfiles de bloqueo de archivo a las polticas de seguridad, consulte
Definicin de polticas de seguridad.
Las siguientes tablas describen la configuracin de perfil de bloqueo de archivo:
Tabla 148. Configuracin de perfil de bloqueo de archivo

Campo
Descripcin
Nombre

aparece en la lista de perfiles de bloqueo de archivos cuando se definen
Descripcin
Palo Alto Networks
Tabla 148. Configuracin de perfil de bloqueo de archivo (Continuacin)

Campo
Descripcin
Compartido

sistemas virtuales.
Reglas
Defina una o ms reglas para especificar la medida que se adoptar (si se

especifica alguna) para los tipos de archivos seleccionados. Para aadir
una regla, especifique los siguientes ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre para la regla (hasta 31 caracteres).
Aplicaciones: Seleccione las aplicaciones a las que afectar la regla o
seleccione Cualquiera.
Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o
para los que desee generar alertas.
Direccin: Seleccione la direccin de la transferencia de archivos
(Cargar, Descargar o Ambos).
Accin: Seleccione la medida que se adoptar cuando se detecten
archivos de los tipos seleccionados:
Alertar: Se aade una entrada al log de amenazas.
Bloquear: El archivo se bloquea.
Continuar: Aparecer un mensaje para el usuario indicando que se
ha solicitado una descarga y le pide confirmacin para continuar.
El propsito es advertir al usuario de una posible descarga desconocida (tambin se conocen como descargas drive-by) y darle al
usuario la opcin de continuar o detener la descarga.
Cuando crea un perfil de bloqueo de archivos con la accin Continuar

o Continuar y reenviar (utilizado para el reenvo de WildFire),
nicamente puede elegir la aplicacin navegacin web. Si elige
cualquier otra aplicacin, el trfico que coincida con la poltica de
seguridad no fluir hacia el cortafuegos debido al hecho de que los
usuarios no vern una pgina que les pregunte si desean continuar.
Reenviar: El archivo se enva automticamente a WildFire.
Continuar y reenviar: Aparece una pgina de continuacin y el
archivo se enva a WildFire (combina las acciones Continuar y
Reenviar). Esta accin solo funciona con trfico basado en web.
Esto se debe al hecho de que un usuario debe hacer clic en continuar
antes de que el archivo se reenve y la opcin de pgina de respuesta
de continuacin solo est disponible con http/https.
Palo Alto Networks
Tabla 149. Formatos de archivo compatibles con bloqueo de archivos

Campo
Descripcin
apk
Archivo de paquete de aplicaciones Android
avi
Archivo de vdeo basado en el formato Microsoft AVI (RIFF)
avi-divx
Archivo de vdeo AVI codificado con el cdec DivX
avi-xvid
Archivo de vdeo AVI codificado con el cdec XviD
bat
Archivo por lotes MS DOS
bmp-upload
Archivo de imagen de mapa de bits (carga nicamente)
cab
Archivo comprimido de Microsoft Windows
cdr
Archivo de Corel Draw
class
Archivo bytecode de Java
cmd
Archivo de comandos de Microsoft
dll
Biblioteca de vnculos dinmicos de Microsoft Windows
doc
Documento de Microsoft Office
docx
Documento de Microsoft Office 2007
dpx
Archivo Digital Picture Exchange
dsn
Archivo Database Source Name
dwf
Archivo Design Web Format de Autodesk
dwg
Archivo Autodesk AutoCAD
edif
Archivo Electronic Design Interchange Format
email-link
Al enviar el tipo de archivo email-link, el cortafuegos extrae los enlaces de

HTTP/HTTPS contenidos en los mensajes de correo electrnico POP3 y
SMTP y los enva a la nube de WildFire para su anlisis (esta funcin
no est admitida en el dispositivo WF-5000 WildFire). Observe que el
cortafuegos solo extrae enlaces e informacin de sesin asociada (emisor,
receptor y asunto) de los mensajes de correo electrnico que atraviesan el
cortafuegos; no recibe, almacena, reenva ni ve el mensaje de correo
electrnico.
Despus de recibir un enlace de correo electrnico de un cortafuegos,
WildFire visita los enlaces para determinar si la pgina web correspondiente alberga alguna explotacin. Si determina que la pgina es benigna,
no se enviar ninguna entrada de log al cortafuegos. Si el enlace es malintencionado, se genera un informe de anlisis detallado de WildFire en el
log de presentaciones de WildFire y la URL se aade a PAN-DB.
encrypted-doc
Documento cifrado de Microsoft Office
encrypted-docx
Documento cifrado de Microsoft Office 2007
encrypted-office2007
Archivo cifrado de Microsoft Office 2007
encrypted-pdf
Documento cifrado de Adobe PDF
encrypted-ppt
Documento cifrado de Microsoft PowerPoint
encrypted-pptx
Documento cifrado de Microsoft PowerPoint 2007
encrypted-rar
Archivo cifrado rar
Palo Alto Networks
Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)

Campo
Descripcin
encrypted-xls
Archivo cifrado de Microsoft Office Excel
encrypted-xlsx
Archivo cifrado de Microsoft Office Excel 2007
encrypted-zip
Archivo cifrado zip
exe
Ejecutable de Microsoft Windows
flash
Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC.

El archivo SWF suministra grficos de vector, texto, vdeo y sonido en
Internet; este contenido se ve en el reproductor Adobe Flash. El archivo
SWC es un paquete comprimido de componentes SWF.
flv
Archivo de Adobe Flash Video
gds
Archivo Graphics Data System
gif-upload
Archivo de imagen GIF (carga nicamente)
gzip
Archivos comprimidos con la aplicacin gzip
hta
Archivo de aplicacin HTML
iso
Imagen de disco segn la normativa ISO-9660
iwork-keynote
Documentos de iWork Keynote de Apple
iwork-numbers
Documentos de iWork Numbers de Apple
iwork-pages
Documentos de iWork Pages de Apple
jar
Archivo Java
jpeg-upload
Archivo de imagen JPG/JPEG (carga nicamente)
lnk
Acceso directo a archivo de Microsoft Windows
lzh
Archivo comprimido con la utilidad/algoritmo lha/lhz
mdb
Archivo Microsoft Access Database
mdi
Archivo Microsoft Document Imaging
mkv
Archivo Matroska Video
mov
Archivo Apple Quicktime Movie
mp3
Archivo de audio MP3
mp4
Archivo de audio MP4
mpeg
Archivo de audio y vdeo con la compresin MPEG-1 o MPEG-2
msi
Archivo paquete de Microsoft Windows Installer
msoffice
Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx).
Si quiere que el cortafuegos bloquee/reenve archivos de MS Office, se
recomienda que seleccione el grupo msoffice para asegurarse de que se
identificarn todos los tipos de archivos de MS Office admitidos en lugar
de seleccionar individualmente cada tipo de archivo.
ocx
Archivo Microsoft ActiveX
pdf
Archivo Adobe Portable Document
PE
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys,
drv, tlb)
Palo Alto Networks
Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)

Campo
Descripcin
pgp
Clave de seguridad o firma digital cifrada con software PGP
pif
Archivo de informacin de programas de Windows con instrucciones

ejecutables
pl
Archivo de comandos Perl
png-upload
Archivo de imagen PNG (carga nicamente)
ppt
Presentacin en Microsoft Office PowerPoint
pptx
Presentacin en Microsoft Office PowerPoint 2007
psd
Documento de Adobe Photoshop
rar
Archivo comprimido creado con winrar
reg
Archivo de registro de Windows
rm
Archivo RealNetworks Real Media
rtf
Archivo de documento de formato de texto enriquecido de Windows
sh
Archivo de comandos Shell de Unix
stp
Archivo de grficos estndar para el intercambio de datos de modelo de

productos en 3D
tar
Archivo comprimido tar de Unix
tdb
Archivo Tanner Database (www.tannereda.com)
tif
Archivo Windows Tagged Image
torrent
Archivo de BitTorrent
wmf
Metaarchivo de Windows para guardar imgenes de vectores
wmv
Archivo de vdeo Windows Media
wri
Archivo de documento de Windows Write
wsf
Archivo de comandos de Windows
xls
Microsoft Office Excel
xlsx
Microsoft Office 2007 Excel
zcompressed
Archivo Z comprimido en Unix, se descomprime con la utilidad

uncompress
Cdigo postal
Archivo Winzip/pkzip
Palo Alto Networks
Perfiles de filtrado de datos

Objetos > Perfiles de seguridad > Filtrado de datos
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de datos
que ayuda a identificar informacin confidencial como nmeros de tarjetas de crdito o
de la seguridad social y que evita que dicha informacin salga del rea protegida por el
cortafuegos.
Para aplicar los perfiles de filtrado de datos a las polticas de seguridad, consulte Definicin
de polticas de seguridad.
Las siguientes tablas describen la configuracin de perfil de filtrado de datos:
Tabla 150. Configuracin de Perfiles de filtrado de datos

Campo
Descripcin
Nombre

aparece en la lista de perfiles de reenvo de logs cuando se definen
Descripcin
Compartido

sistemas virtuales.
Captura de datos
Seleccione la casilla de verificacin para recopilar automticamente los

datos bloqueados por el filtro.
Especifique una contrasea para Gestionar proteccin de datos en la pgina

Configuracin para ver sus datos capturados. Consulte Definicin de la
configuracin de gestin.
Para aadir un patrn de datos, haga clic en Aadir y especifique la siguiente informacin.
Palo Alto Networks
Tabla 151. Configuracin de patrones de datos

Campo
Descripcin
Patrn de datos
Seleccione un patrn de datos existente de la lista desplegable Patrn de

datos o configure un nuevo patrn de datos seleccionando Patrn de
datos de la lista y especificando la siguiente informacin:
Nombre: Configure un nombre para el patrn de datos.
Descripcin: Configure una descripcin para el patrn de datos.
Compartido: Seleccione esta opcin si el objeto del patrn de datos se
compartir en diferentes sistemas virtuales.
Peso: Especifique valores de unidades para los patrones especificados
que se utilizarn en el clculo de umbrales. Por ejemplo, si designa un
peso de 5 para SSN#, cada instancia de un patrn SSN superar el
umbral en 5. En otras palabras, la deteccin de diez patrones SSN dar
como resultado 10 x 5 (peso) = 50.
CC#: Especifique un peso para el campo de tarjeta de crdito
(intervalo 0-255).
SSN#: Especifique un peso para el campo del nmero de la
seguridad social, donde el campo incluye guiones, como 123-45-6789
(intervalo 0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).
Patrones personalizados: Para buscar un patrn de datos personalizado para el trfico que cumpla este perfil, cree un patrn de datos
personalizado haciendo clic en Aadir y especifique el nombre del
patrn, expresin regular (regex) que se buscar y peso (0-255, 255 es
el peso mximo). Puede aadir mltiples expresiones coincidentes al
mismo perfil del patrn de datos.
Aplicaciones
Especifique las aplicaciones que se incluirn en la regla de filtrado:

Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones
enumeradas. Esta seleccin no bloquea todas las aplicaciones posibles,
solo las enumeradas.
Haga clic en Aadir para especificar aplicaciones individuales.
Tipos de archivos
Especifique los tipos de archivos que se incluirn en la regla de filtrado:

Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos
enumerados. Esta seleccin no bloquea todos los posibles tipos de
archivo, solo los enumerados.
Haga clic en Aadir para especificar tipos de archivos individuales.
Direccin
Especifique si desea aplicar el filtro en la direccin de la carga, descarga

o ambas.
Umbral de alerta
Especifique el valor que activar la alerta. Por ejemplo si tiene un umbral

de 100 con un peso de SSN de 5, la regla necesitar detectar al menos
20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100).
Umbral de bloqueo
Especifique el valor que activar el bloqueo. Por ejemplo si tiene un

umbral de 100 con un peso de SSN de 5, la regla necesitar detectar al
menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de
peso = 100).
Palo Alto Networks
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Los perfiles de proteccin DoS estn diseados para una seleccin muy precisa y los perfiles
de proteccin de zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios
de coincidencia para detectar un ataque de DoS. Estos perfiles se adjuntan a polticas de
proteccin de DoS para permitirle controlar el trfico entre interfaces, zonas, direcciones y
pases segn sesiones agregadas o direcciones IP nicas de origen o o destino. Para aplicar
perfiles DoS a polticas DoS, consulte Definicin de polticas DoS.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:
Zonas externas para permitir la comunicacin entre sistemas virtuales

Puertas de enlace compartidas para permitir que los sistemas virtuales
compartan una interfaz comn y una direccin IP para las comunicaciones
externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para permitir la fragmentacin de IP y la proteccin de ICMPv6, debe crear un
perfil de proteccin de zona distinto para la puerta de enlace compartida.
Para activar la proteccin frente a inundaciones SYN en una puerta de enlace
compartida, puede aplicar un perfil de proteccin de inundacin SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo est disponible el
descarte aleatorio temprano para la proteccin frente a inundacin SYN
Palo Alto Networks
Las siguientes tablas describen la configuracin de perfil de DoS:
Tabla 152. Configuracin de perfiles DoS

Campo
Descripcin
Nombre

Compartido

sistemas virtuales.
Descripcin
Tipo
Especifique uno de los tipos de perfil siguientes:

Agregar: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplan los criterios de la regla en la que se aplica
el perfil. Por ejemplo, una regla de agregacin con un umbral de
inundacin SYN de 10000 paquetes por segundo (pps) cuenta todos
los paquetes que cumplen esa regla DoS concreta.
Clasificado: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplen el criterio de clasificacin (IP de origen, IP de
destino, o IP de origen y destino).
Pestaa Proteccin contra inundaciones

Pestaa secundaria
Inundacin SYN
Seleccione la casilla de verificacin para activar la proteccin de

inundacin SYN y especificar los siguientes ajustes:
Pestaa secundaria
Inundacin de UDP
Accin: (Inundacin SYN nicamente) Seleccione entre las siguientes

opciones:
Pestaa secundaria
Inundacin de ICMP
Descarte aleatorio temprano: Descarta paquetes de forma aleatoria

antes de alcanzar el lmite DoS.
Otras pestaas
secundarias
Cookies SYN: Utilice esta opcin para generar confirmaciones, de

forma que no sea necesario cancelar conexiones en presencia de un
ataque de inundacin SYN.
Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS
(intervalo 0-2000000 pps, por defecto, 10000 pps).
Activar tasa: Seleccione la tasa (pps) a la que se activar la respuesta
DoS (intervalo 0-2000000 pps, por defecto, 10000 pps).
Tasa mxima: Especifique la tasa a la que los paquetes se descartarn o
se bloquearn.
Duracin del bloqueo: Especifique la duracin (en segundos) durante
la que los paquetes infractores se denegarn. Los paquetes que lleguen
durante la duracin del bloqueo no afectarn al recuento para activar
las alertas.
Nota: Si define lmites de umbral de paquetes por segundo (pps) de

perfiles de proteccin de zonas, el umbral se basa en los paquetes por
segundo que no coinciden con ninguna sesin establecida previamente.
Palo Alto Networks
Tabla 152. Configuracin de perfiles DoS (Continuacin)

Campo
Descripcin
Pestaa Proteccin de recursos

Sesiones
Seleccione la casilla de verificacin para habilitar la proteccin de los

recursos.
Mx. de lmites
simultneos
Especifique el nmero mximo de sesiones simultneas. Si el tipo de

perfil DoS es de agregacin, este lmite se aplica a todo el trfico entrante
que cumple la regla DoS en la que se aplica el perfil DoS. Si el tipo de
perfil DoS es de clasificacin, este lmite se aplica a todo el trfico
clasificado (IP de origen, IP de destino, o IP de origen y destino) que
cumple la regla DoS en la que se aplica el perfil DoS.

Los objetos de las polticas son los elementos que le permiten construir, programar y buscar
polticas. Los siguientes tipos de elementos son compatibles:
Direcciones y grupos de direcciones para determinar el mbito de la poltica. Consulte

Definicin de grupos de direcciones.
Aplicaciones y grupos de aplicaciones que permiten especificar cmo se tratan las

aplicaciones de software en las polticas. Consulte Aplicaciones y grupos de
aplicaciones.
Filtros de aplicacin que permiten simplificar bsquedas. Consulte Filtros de

aplicacin.
Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios.
Etiquetas para ordenar y filtrar objetos. Consulte Trabajo con etiquetas.
Patrones de datos para definir categoras de informacin confidencial para polticas de

filtrado de datos. Consulte Patrones de datos.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte Categoras de URL personalizadas.
Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las

amenazas. Consulte Grupos de perfiles de seguridad.
Reenvo de log para especificar configuraciones de log. Consulte Reenvo de logs.
Programaciones para especificar cundo estn las polticas activas. Consulte

Programaciones.
Palo Alto Networks
Definicin de objetos de direcciones

Objetos > Direcciones
Un objeto de direccin puede incluir una direccin IPv4 o IPv6 (direccin IP simple, intervalo,
subred) o FQDN. Le permite reutilizar el mismo objeto como direccin de origen o destino
en todas las bases de reglas de polticas sin tener que aadirlas cada vez de forma manual.
Se configura usando la interfaz web o la CLI y se requiere una operacin de compilacin para
hacer que el objeto forme parte de la configuracin.
Para definir un objeto de direccin, haga clic en Aadir y cumplimente los siguientes campos.
Tabla 153. Configuracin de nuevas direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe las direcciones que se definirn

(de hasta 63 caracteres). Este nombre aparece en la lista de direcciones
cuando se definen polticas de seguridad. El nombre hace distincin entre
Compartido
Si el dispositivo est habilitado para operar en el modo de varios sistemas

virtuales, seleccione esta casilla de verificacin para compartir el objeto de
direccin con todos los sistemas virtuales del dispositivo.
En Panorama, seleccione la casilla de verificacin de Compartido para
compartir el objeto con todos los grupos del dispositivo. Si no est
seleccionada, el objeto pertenecer al grupo del dispositivo que se
muestre en la lista desplegable Grupo de dispositivos.
Descripcin
Introduzca una descripcin del objeto (hasta 255 caracteres).
Tipo
Especifique una direccin o intervalo de direcciones IPv4 o IPv6 o FQDN.

Mscara de red IP:
Introduzca la direccin IPv4 o IPv6 o la el intervalo de la direccin IP con
la siguiente notacin:
direccin_ip/mscara o direccin_ip
donde la mscara es el nmero de dgitos binarios significativos utilizados
para la porcin de red de la direccin.
Ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas
las direcciones desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e
introduzca un intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22
Palo Alto Networks
Tabla 153. Configuracin de nuevas direcciones (Continuacin)

Campo
Descripcin
Tipo (continuacin)
FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin.
Por tanto, las entradas se actualizan cuando el cortafuegos realiza una
comprobacin cada 30 minutos; todos los cambios en la direccin IP de
las entradas se recogen en el ciclo de actualizacin.
FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy
DNS, si se configura un proxy. Para obtener informacin acerca del proxy
DNS, consulte Proxy DNS.
Etiquetas
Seleccione o introduzca etiquetas que desee aplicar a este objeto de

direccin.
Puede definir una etiqueta aqu o usar la pestaa Objetos > Etiquetas para
crear etiquetas nuevas. Si desea ms informacin sobre etiquetas, consulte
Trabajo con etiquetas.
Definicin de grupos de direcciones

Objetos > Grupos de direcciones
Para simplificar la creacin de polticas de seguridad, las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones. Un grupo de
direcciones puede ser esttico o dinmico.
Grupos de direcciones dinmicas: Un grupo de direcciones dinmicas cumplimenta sus

miembros dinmicamente usando bsquedas de etiquetas y filtros basados en etiquetas.
Los grupos de direcciones dinmicas son muy tiles si tiene una infraestructura virtual
amplia con cambios frecuentes en la ubicacin de la mquina virtual o la direccin IP.
Por ejemplo, si tiene una configuracin de conmutacin por error o incluye nuevas
mquinas virtuales con frecuencia y le gustara aplicar una poltica al trfico que va
o que procede de la nueva mquina sin modificar la configuracin o las reglas del
cortafuegos.
A diferencia de los grupos de direcciones estticas, en los que se especifica una direccin
de red en un host, los miembros de un grupo de direcciones dinmicas se cumplimentan
definiendo un criterio de coincidencia. El criterio de coincidencia usa operadores lgicos
y u o; cada host que quiera aadir al grupo de direcciones dinmicas debe incluir la
etiqueta o atributo definido en el criterio de coincidencia. Las etiquetas se pueden definir
directamente en el cortafuegos o en Panorama, as como definirse dinmicamente usando
la API XML y registrarse en el cortafuegos. Cuando se registra una direccin IP y la
etiqueta correspondiente (una o ms), cada grupo dinmico evala las etiquetas y
actualiza la lista de miembros de su grupo.
Para registrar una nueva direccin IP y etiquetas o cambios en las direcciones IP o
etiquetas actuales, debe usar secuencias de comandos que activen la API XML en el
cortafuegos. Si dispone de un entorno virtual con VMware, en lugar de usar secuencias
de comandos para activar la API XML, puede usar la funcin Orgenes de informacin
de VM (pestaa Dispositivo > Orgenes de informacin de VM) para configurar el
Palo Alto Networks
cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar

informacin (direccin de red y etiquetas correspondientes) de nuevos servidores/
invitados implementados en estas mquinas virtuales.
Para usar un grupo de direcciones dinmicas en la poltica, debe realizar las siguientes
tareas.
Defina un grupo de direcciones dinmicas y haga referencia al mismo en la regla
de poltica.
Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que
puedan formarse los grupos de direcciones dinmicas. Esto se puede hacer usando
secuencias de comandos externas que usen la API XML en el cortafuegos o un
entorno basado en VMware configurando en la pestaa Dispositivo > Orgenes
de informacin de VM en el cortafuegos.
Los grupos de direcciones dinmicas tambin pueden incluir objetos de direcciones definidas
estticamente. Si crea un objeto de direccin y aplica las mismas etiquetas que ha asignado al grupo
de direcciones dinmicas, este incluir todos los objetos estticos y dinmicos que coincidan con las
etiquetas. Por lo tanto, puede usar etiquetas para agrupar objetos tanto dinmicos como estticos en
el mismo grupo de direcciones.
Grupos de direcciones estticas: Un grupo de direcciones estticas puede incluir

objetos de direccin que sean estticas, grupos de direcciones dinmicas o puede ser
una combinacin de objetos de direccin y grupos de direcciones dinmicas.
Para crear un grupo de direcciones, haga clic en Aadir y cumplimente los siguientes
campos.
Palo Alto Networks
Tabla 154. Grupo de direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe el grupo de direcciones (de hasta

63 caracteres). Este nombre aparece en la lista de direcciones cuando
se definen polticas de seguridad. El nombre hace distincin entre
Compartido
Si el dispositivo est habilitado para operar en el modo de varios sistemas

virtuales, seleccione esta casilla de verificacin para compartir el objeto de
direccin con todos los sistemas virtuales del dispositivo.
En Panorama, seleccione la casilla de verificacin de Compartido para
compartir el objeto con todos los grupos del dispositivo. Si no est
seleccionada, el objeto pertenecer al grupo del dispositivo que se
muestre en la lista desplegable Grupo de dispositivos.
Descripcin
Tipo
Introduzca una descripcin del objeto (hasta 255 caracteres).

Seleccione Esttico o Dinmico.
Para usar un grupo de direcciones dinmicas, use el criterio de
coincidencia para incluir los miembros en el grupo. Defina el criterio
Coincidencia usando los operadores Y u O.
Nota: Para ver la lista de atributos del criterio de coincidencia, debe haber
configurado el cortafuegos para acceder y recuperar los atributos desde el origen/
host. Cada mquina virtual en el origen de informacin configurado se registra
en el cortafuegos, que puede realizar un sondeo de la mquina para recuperar
cambios en direcciones IP o en la configuracin sin modificaciones en el
cortafuegos.
Para un grupo de direcciones estticas, haga clic en Aadir y seleccione
una o ms direcciones. Haga clic en Aadir para aadir un objeto o un
grupo de direcciones al grupo de direcciones. El grupo puede contener
objetos de direcciones y grupos de direcciones tanto estticas como
dinmicas.
Etiquetas
Seleccione o introduzca etiquetas que desee aplicar a este grupo de

direcciones. Si desea ms informacin sobre etiquetas, consulte Trabajo
con etiquetas.
Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras
regiones. La regin est disponible como una opcin si especifica el origen y el destino de las
polticas de seguridad, polticas de descifrado y polticas DoS. Puede elegir entre una lista
estndar de pases o usar los ajustes de regin que se describen en esta regin, para definir las
regiones personalizadas que se incluirn como opciones para reglas de poltica de seguridad.
Palo Alto Networks
Las siguientes tablas describen la configuracin regional:
Tabla 155. Configuracin de nuevas direcciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe la regin (de hasta 31 caracteres).

Este nombre aparece en la lista de direcciones cuando se definen polticas
y guiones bajos.
Ubicacin geogrfica
Para especificar la latitud y la longitud, seleccione la casilla de verificacin y los valores (formato xxx.xxxxxx). Esta informacin se utiliza
en los mapas de trfico y amenazas de Appscope. Consulte Uso de
Appscope .
Direcciones
Especifique una direccin IP, un intervalo de direcciones IP o una subred

para identificar la regin, utilizando cualquiera de los siguientes formatos:
x.x.x.x
x.x.x.x-a.a.a.a
x.x.x.x/n
Palo Alto Networks
Aplicaciones y grupos de aplicaciones

Objetos > Aplicaciones
La pgina Aplicaciones muestra los diferentes atributos de cada definicin de aplicacin,
como el riesgo de seguridad relativo de la aplicacin (1 a 5). El valor del riesgo se basa en
criterios como si la aplicacin puede compartir archivos, si es proclive a un uso incorrecto
o a intentos de evasin de cortafuegos. Los valores mayores indican un mayor riesgo.
El rea superior de navegacin de la aplicacin muestra los atributos que puede utilizar para
filtrar la vista. El nmero a la izquierda de cada entrada representa el nmero total de
aplicaciones con ese atributo.
El cortafuegos busca los patrones definidos de forma personalizada en el trfico de la red y
toma las medidas especificadas para la aplicacin. PAN-OS proporciona la capacidad de
desarrollar firmas para los contextos dentro de los siguientes protocolos:
Se agregan peridicamente nuevos descodificadores y contextos en publicaciones
semanales de contenido.
Segn la actualizacin de contenido 424, se admiten los siguientes descodificadores: HTTP,
HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH,
GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin
conocido como CIFS). Adems, segn la versin 4.0 de PAN-OS, esta capacidad de App-ID
personalizada se ha ampliado para incluir tambin TCP desconocido y UDP desconocido.
Puede realizar cualquiera de las siguientes funciones en esta pgina:
Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base
para el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en
Networking y la lista solo mostrar las aplicaciones de red.
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categora, a continuacin los filtros de
subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de aplicar una categora,
subcategora y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa
se restringe automticamente a las tecnologas que cumplen los requisitos de la categora
y subcategoras seleccionadas, aunque no se haya aplicado explcitamente un filtro de
tecnologa.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualiza automticamente, tal y como se muestra en la siguiente ilustracin. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicacin.
Palo Alto Networks
Para buscar una aplicacin concreta, introduzca el nombre o descripcin de la aplicacin

en el campo Bsqueda y pulse Intro. Se mostrar la aplicacin y las columnas de filtrado
se actualizarn con las estadsticas de las aplicaciones que coinciden con la bsqueda.
Una bsqueda incluye cadenas parciales. Cuando defina polticas de seguridad, puede
escribir reglas que se aplicarn a todas las aplicaciones que coincidan con un filtro
guardado. Estas reglas se actualizan dinmicamente cuando se aade una nueva
aplicacin mediante una actualizacin de contenido que coincida con el filtro.
Para ver detalles adicionales sobre la aplicacin o personalizar el riesgo y los valores de
tiempo de espera, como se describe en la siguiente tabla, haga clic en el nombre de la
aplicacin. Un lpiz amarillo sobre el icono que aparece a la izquierda del nombre de
la aplicacin significa que la aplicacin se ha personalizado. Observe que los ajustes
disponibles varan de una aplicacin a otra.
Palo Alto Networks
Las siguientes tablas describen la configuracin de la aplicacin:
Tabla 156. Detalles de la aplicacin

Elemento
descripcin
Nombre
Nombre de la aplicacin.
Descripcin
Descripcin de la aplicacin (hasta 255 caracteres).
Informacin adicional
Enlaces a sitios web (Wikipedia, Google o Yahoo!) que contienen

ms informacin sobre la aplicacin.
Puertos estndar
Puertos que utiliza la aplicacin para comunicarse con la red.
Depende de aplicaciones
Lista de otras aplicaciones necesarias para el funcionamiento de

esta aplicacin.
Evasiva
Indica si la aplicacin intenta evitar los cortafuegos.
Uso de ancho de banda

excesivo
Indica si la aplicacin utiliza un ancho de banda excesivo que puede

comprometer el rendimiento de la red.
Utilizada por software

malintencionado
Indica si hay software malintencionado que utiliza la aplicacin.
Capaz de transferir archivos
Indica si la aplicacin puede transferir archivos o no.
Tiene vulnerabilidades
conocidas
Indica si la aplicacin tiene vulnerabilidades conocidas

actualmente.
Tuneliza otras aplicaciones
Indica si la aplicacin puede utilizar otras aplicaciones en los

mensajes que enva.
Proclive al uso indebido
Indica si la aplicacin tiende a inducir un uso indebido.
Ampliamente utilizado
Indica si los efectos de la aplicacin son amplios.
Categora
Categora de aplicacin.
Subcategora
Subcategora de aplicacin.
Tecnologa
Tecnologa de la aplicacin.
Riesgo asignado de la aplicacin.
Riesgo
Tiempo de espera de sesin
Para personalizar este ajuste, haga clic en el enlace Personalizar e

introduzca un valor (1-5), y haga clic en ACEPTAR.
Perodo de tiempo (en segundos) necesario para agotar el tiempo de
espera por inactividad (1-604800 segundos). Este tiempo de espera
es para protocolos diferentes a TCP o UDP. En el caso de TCP y
UDP, consulte las siguientes filas de esta tabla.
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo de espera para finalizar un flujo de aplicacin TCP
(1-604800 segundos).
Tiempo de espera de TCP

(segundos)

Un valor de 0 no indica la ausencia de tiempo de espera, indica
que se usar el temporizador de sesin global, que es 3600 segundos
para TCP.
Palo Alto Networks
Tabla 156. Detalles de la aplicacin (Continuacin)

Elemento
Tiempo de espera de UDP
(segundos):
descripcin
Tiempo de espera para finalizar un flujo de aplicacin UDP
(1-604800 segundos).
Tiempo mximo que una sesin permanece en la tabla de la sesin
entre la recepcin del primer FIN y la recepcin del segundo FIN o
RST. Cuando el temporizador caduca, la sesin se cierra.
TCP semicerrado (segundos)
Valor predeterminado: Si este temporizador no est configurado en

el nivel de aplicacin, se utiliza el ajuste global. El rango es 1-604800
segundos
Si este valor se configura en el nivel de aplicacin, cancela el ajuste
global TCP semicerrado.
Tiempo mximo que una sesin permanece en la tabla de la sesin
despus de la recepcin del segundo FIN o RST. Cuando el temporizador caduca, la sesin se cierra.

(segundos)
Valor predeterminado: Si este temporizador no est configurado

en el nivel de aplicacin, se utiliza el ajuste global. El rango es
1-600 segundos
Si este valor se configura en el nivel de aplicacin, cancela el ajuste
global Tiempo de espera TCP.
Si el cortafuegos no puede identificar una aplicacin utilizando el ID de la aplicacin, el trfico

se clasifica como desconocido: TCP desconocido o UDP desconocido. Este comportamiento se
aplica a todas las aplicaciones desconocidas, excepto aquellas que emulan HTTP completamente. Para obtener ms informacin, consulte Trabajo con informes de Botnet.
Puede crear nuevas definiciones para aplicaciones desconocidas y a continuacin, definir
polticas de seguridad para las nuevas definiciones de la aplicacin. Adems, las aplicaciones
que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones
para simplificar la creacin de polticas de seguridad.
Palo Alto Networks
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir una nueva aplicacin a la evaluacin del
cortafuegos cuando aplique polticas.
Tabla 157. Configuracin de nuevas aplicaciones

Campo
Descripcin
Pestaa Configuracin
Nombre
Introduzca el nombre de la aplicacin (de hasta 31 caracteres). Este

nombre aparece en la lista de aplicaciones cuando se definen polticas de
guiones y guiones bajos. El primer carcter debe ser una letra.
Compartido

casilla de verificacin para permitir compartir la aplicacin entre todos
los sistemas virtuales.
Descripcin
Introduzca una descripcin de la aplicacin como referencia general

(hasta 255 caracteres).
Categora
Seleccione la categora de la aplicacin, como correo electrnico o base de

datos. Para ver una descripcin de cada categora, consulte Categoras y
subcategoras de aplicacin. Esta categora se utiliza para generar el
grfico Diez categoras de aplicacin principales y est disponible para su
filtrado (consulte Centro de comando de aplicacin).
Subcategora
Seleccione la subcategora de la aplicacin, como correo electrnico o base

de datos. Para ver una descripcin de cada subcategora, consulte
Categoras y subcategoras de aplicacin. Esta subcategora se utiliza
para generar el grfico Diez categoras de aplicacin principales y est
disponible para su filtrado (consulte Centro de comando de aplicacin).
Tecnologa
Seleccione la tecnologa de la aplicacin. Para ver una descripcin de cada

tecnologa, consulte Tecnologas de la aplicacin.
Aplicacin primaria
Especifique una aplicacin principal para esta aplicacin. Este ajuste se

aplica cuando en una sesin coinciden las aplicaciones principal y
personalizadas; sin embargo, se registra la aplicacin personalizada
porque es ms especfica.
Riesgo
Seleccione el nivel de riesgo asociado con esta aplicacin (1= el ms bajo a

5= el ms alto).
Caractersticas
Seleccione las caractersticas de la aplicacin que pueden poner en riesgo

la aplicacin. Para ver una descripcin de cada caracterstica, consulte
Caractersticas de la aplicacin.
Pestaa Avanzada
Palo Alto Networks
Tabla 157. Configuracin de nuevas aplicaciones (Continuacin)

Campo
Descripcin
Puerto
Si el protocolo que utiliza la aplicacin es TCP y/o UDP, seleccione

Puerto e introduzca una o ms combinaciones del protocolo y nmero
de puerto (una entrada por lnea). El formato general es:
<protocolo>/<puerto>
donde <puerto> es un nmero de puerto nico; o dinmica para una
asignacin dinmica de puertos.
Ejemplos: TCP/dinmica o UDP/32.
Este ajuste se aplica si utiliza app-default en la columna Service de una
regla de seguridad.
Protocolo IP
Especifique un protocolo IP diferente a TCP o UDP, seleccionando

Protocolo IP e introduciendo el nmero del protocolo (1 a 255).
Tipo de ICMP
Especifique un tipo de protocolo de mensajes de control de Internet

versin 4 (ICMP), seleccionando Tipo de ICMP e introduciendo el
nmero (intervalo 0-255).
Tipo de ICMP6
Especifique un tipo de protocolo de mensajes de control de Internet

versin 6 (ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el
nmero (intervalo 0-255).
Ninguno
Especifique firmas independientes de protocolo, seleccionando Ninguno.
Tiempo de espera
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin (intervalo 0-604800 segundos). Un valor de cero
indica que se utilizar el tiempo de espera predeterminado de la
aplicacin. Este valor se utiliza para protocolos diferentes de TCP y UDP
en todos los casos y para tiempos de espera TCP y UDP cuando no se
especifican los tiempos de espera TCP y UDP.
Tiempo de espera de
TCP
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin TCP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizar el tiempo de espera predeterminado de
la aplicacin.
Tiempo de espera de
UDP
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin UDP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizar el tiempo de espera predeterminado de
la aplicacin.
TCP semicerrado
Introduzca el tiempo mximo que una sesin permanece en la tabla de la

sesin entre la recepcin del primer FIN y la recepcin del segundo FIN o
RST. Cuando el temporizador caduca, la sesin se cierra.
Valor predeterminado: Si este temporizador no est configurado en el
nivel de aplicacin, se utiliza el ajuste global. El rango es 1-604800
segundos.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
TCP semicerrado.
Introduzca el tiempo mximo que una sesin permanece en la tabla de

la sesin despus de la recepcin del segundo FIN o RST. Cuando el
temporizador caduca, la sesin se cierra.
Valor predeterminado: Si este temporizador no est configurado en el
nivel de aplicacin, se utiliza el ajuste global. El rango es 1-600 segundos
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
Tiempo de espera TCP.
Palo Alto Networks
Tabla 157. Configuracin de nuevas aplicaciones (Continuacin)

Campo
Descripcin
Analizando
Seleccione las casillas de verificacin de los tipos de anlisis que desee

permitir, en funcin de los perfiles de seguridad (tipos de archivos,
patrones de datos y virus).
Pestaa Firma
Firmas
Haga clic en Aadir para agregar una firma nueva y especificar la

siguiente informacin:
Nombre de firma: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga clic en Aadir condicin.
Seleccione un operador entre Coincidencia de patrones e Igual que.
Si selecciona el operador de coincidencia de patrones, especifique las
siguientes opciones:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 162 para
ver reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Si selecciona el operador de coincidencia igual que, especifique las
siguientes opciones:
Contexto: Seleccione entre solicitudes desconocidas y respuestas de
TCP o UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos cuatro
en la carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Para mover una condicin en un grupo, seleccione la condicin y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
No es necesario especificar firmas para la aplicacin si la aplicacin se utiliza

nicamente para reglas de application override.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el
sistema virtual de destino en la lista desplegable Destino.
Para exportar la aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.
Palo Alto Networks
Definicin de grupos de aplicaciones

Objetos > Grupos de aplicaciones
Para simplificar la creacin de polticas de seguridad, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. (Para definir
una nueva aplicacin, consulte Definicin de aplicaciones.)
Tabla 158. Nuevo grupo de aplicaciones

Campo
Descripcin
Nombre
Introduzca un nombre que describe el grupo de aplicaciones (de hasta

31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se
definen polticas de seguridad. El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
Aplicaciones
Haga clic en Aadir y seleccione las aplicaciones, filtros de aplicaciones

y/o grupos de aplicaciones diferentes que se incluirn en este grupo.
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e
introduzca el nombre del filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas
de verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros de categora, a
continuacin los filtros de subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de elegir una categora, subcategora
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa se restringe
automticamente a las tecnologas que cumplen los requisitos de la categora y subcategoras
seleccionadas, aunque no se haya aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Palo Alto Networks
Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno
o ms servicios para limitar el nmero de puertos que las aplicaciones pueden utilizar.
El servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones
de servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de
servicios para simplificar la creacin de polticas de seguridad (consulte Grupos de
servicios).
Palo Alto Networks
La siguiente tabla describe la configuracin del servicio:
Tabla 159. Configuracin de servicios

Campo
Descripcin
Nombre
Introduzca el nombre del servicio (de hasta 63 caracteres). Este nombre

aparece en la lista de servicios cuando se definen polticas de seguridad.
guiones bajos.
Descripcin
Introduzca una descripcin del servicio (hasta 255 caracteres).
Compartido

sistemas virtuales.
Protocolo
Seleccione el protocolo que utiliza el servicio (TCP o UDP).
Puerto de destino
Introduzca el nmero de puerto de destino (0 a 65535) o el intervalo de

nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de destino es obligatorio.
Puerto de origen
Introduzca el nmero de puerto de origen (0 a 65535) o el intervalo de

nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de origen es opcional.
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
Servicios.
La siguiente tabla describe la configuracin del grupo de servicios:
Tabla 160. Configuracin de grupos de servicios

Campo
Descripcin
Nombre
Introduzca el nombre del grupo de servicios (de hasta 63 caracteres).

Este nombre aparece en la lista de servicios cuando se definen polticas de
y guiones bajos.
Servicio
Haga clic en Aadir para agregar servicios al grupo. Realice su seleccin

en la lista desplegable o haga clic en Servicio, en el enlace en la parte
inferior de la lista desplegable y especifique la configuracin. Consulte
Servicios para obtener una descripcin de la configuracin.
Palo Alto Networks
Trabajo con etiquetas

Objetos > Etiquetas
Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Las etiquetas
pueden aplicarse a objetos de direccin, grupos de direcciones (estticas y dinmicas), zonas,
servicios, grupos de servicios y reglas de polticas. Al etiquetarla, la palabra clave sirve para
ordenar o filtrar objetos; para distinguir objetos visualmente, tambin puede aplicar un color a
una etiqueta. Al aplicar un color a una etiqueta, la pestaa Poltica muestra el objeto con el
color de fondo.
Use esta etiqueta para crear, asignar un color, eliminar, renombrar y duplicar etiquetas.
Cada objeto puede tener hasta 64 etiquetas; cuando un objeto tiene varias etiquetas, muestra
el color de la primera etiqueta de la lista de etiquetas aplicada.
La pestaa Objetos > Etiquetas solo muestra las etiquetas definidas localmente en el cortafuegos (o en
Panorama). Si ha configurado grupos de direcciones dinmicas, esta pestaa no muestra las etiquetas
que se recuperan dinmicamente desde los orgenes de informacin de VM del cortafuegos.
Para aadir una nueva pestaa, haga clic en Aadir y, a continuacin, cumplimente los
siguientes campos:
Tabla 161. Configuracin de etiqueta

Campo
Descripcin
Nombre
Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres).

El nombre no distingue entre maysculas y minsculas.
Compartido
Seleccione la opcin Compartido si quiere compartir la etiqueta con todos

los sistemas virtuales en un cortafuegos con capacidad para mltiples
sistemas virtuales. Si no la selecciona, la etiqueta pertenecer al Sistema
virtual seleccionado actualmente en la lista desplegable.
En Panorama, una etiqueta puede pertenecer al grupo de dispositivos
seleccionado o puede ser un objeto compartido con todos los grupos de
dispositivos.
Color
Seleccione un color de la paleta de colores de la lista desplegable. El valor

predeterminado es Ninguno.
Comentarios
Aada una etiqueta o descripcin para recordar la funcin de la etiqueta.
Palo Alto Networks
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo configurar patrones de datos, consulte Listas de bloqueos
dinmicos.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos
generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes,
pero no menos.
La bsqueda de cadenas distingue entre maysculas y minsculas, como la mayora

de motores de expresiones regulares. La bsqueda de confidencial es diferente de la
bsqueda de Confidencial o CONFIDENCIAL.
La sintaxis de expresin regular en PAN-OS es similar a la de los motores de expresiones

regulares tradicionales, pero cada motor es nico. La tabla siguiente describe la sintaxis
compatible con PAN-OS.
Tabla 162. Reglas de patrones

Sintaxis
Descripcin
Busca cualquier carcter nico.
Busca el carcter o la expresin anterior 0 o 1 veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)?
Busca el carcter o la expresin anterior 0 o ms veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)*
Busca el carcter o la expresin anterior 1 o ms veces. La expresin general DEBE estar

entre parntesis.
Ejemplo: (abc)+
Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.
Se utiliza para crear expresiones de intervalo.

Ejemplo: [c-z] busca cualquier carcter entre c y z, ambos inclusive.
[]
Busca cualquier carcter.

Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.
Busca cualquier carcter excepto.

Ejemplo: [^abz] busca cualquier carcter excepto a, b, o z.
{}
Nmero mnimo/mximo de bytes.

Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite -.
Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).
&amp
& es un carcter especial, por lo que para buscar & en una cadena debe utilizar
&amp.
Palo Alto Networks
Ejemplos de patrones de datos

A continuacin se incluyen algunos ejemplos de patrones personalizados vlidos:
.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
No busca confidencial (todas en minscula)
.*((Privado &amp Confidencial)|(Privado y Confidencial))

Busca Privado & Confidencial o Privado y Confidencial
Es ms preciso que buscar Confidencial
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra
borrador, lo que puede indicar que el comunicado de prensa no est preparado an
para ser emitido.
.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad
Categoras de URL personalizadas

Objetos > Categoras URL personalizadas
La funcin de categoras URL personalizadas permite crear sus propias listas de URL que
puede seleccionar en cualquier perfil de filtrado de URL. Cada una de las categoras se puede
controlar de forma independiente y tendr una accin asociada en cada perfil de filtrado URL
(permitir, bloquear, continuar, cancelar, alertar o ninguno). La accin ninguno solo se aplica a
las categoras de URL personalizadas. El objetivo de seleccionar la opcin ninguno es garantizar que si existen varios perfiles de URL, la categora personalizada no influir en otros
perfiles. Por ejemplo, si tiene dos perfiles URL y la categora URL personalizada se establece
para bloquear en uno de los perfiles, el otro perfil debera tener la accin establecida en
ninguno si no quiere que se aplique.
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL.
Para ello, cree un archivo de texto con las URL que se incluirn, con una URL por lnea.
Cada URL puede tener el formato www.ejemplo.com y puede contener * como comodn,
como en *.ejemplo.com. Para obtener informacin adicional sobre comodines, consulte la
descripcin de lista de bloqueadas en Tabla 147 en la pgina 263.
Las entradas URL aadidas a las categoras personalizadas no distinguen
entre maysculas y minsculas. De igual forma, para eliminar una categora
personalizada despus de que se haya aadido a un perfil de URL y de que se haya
establecido una accin, la accin debe estar establecida en Ninguno para poder
eliminar la categora personalizada.
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles
de filtrado de URL.
Palo Alto Networks
La siguiente tabla describe la configuracin de URL personalizada:
Tabla 163. Categoras de URL personalizadas

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la categora de URL personalizada

(de hasta 31 caracteres). Este nombre aparece en la lista de categoras
cuando se definen polticas de seguridad. El nombre hace distincin entre
Descripcin
Introduzca una descripcin de la categora URL (hasta 255 caracteres).
Compartido

sistemas virtuales.
Sitios
En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Listas de bloqueos dinmicos

Objetos > Listas de bloqueos dinmicos
Utilice la pgina Listas de bloqueos dinmicos para crear un objeto de direccin basado
en una lista importada de direcciones IP. El origen de la lista debe ser un archivo de texto y
se debe encontrar en un servidor web. Puede definir la opcin Repetir para que actualice
automticamente la lista de dispositivos cada hora, da, semana o mes. Una vez haya creado
un objeto de lista de bloqueo dinmico, puede utilizar el objeto de la direccin en los campos
de origen y destino en las polticas de seguridad. Cada lista importada puede contener hasta
5.000 direcciones IP (IPv4 o IPv6), que pueden incluir intervalos o subredes de IP.
La lista debe contener una direccin IP, intervalo o subred por lnea, por ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas las direcciones
desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un
intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22
Palo Alto Networks
La siguiente tabla describe la configuracin de lista de bloqueadas dinmicas:
Tabla 164 Listas de bloque dinmico

Campo
Descripcin
Nombre
Introduzca un nombre para identificar la lista de bloqueos

dinmicos (de hasta 32 caracteres). Este nombre aparecer
cuando seleccione el origen o el destino de una poltica.
Descripcin
Introduzca una descripcin de la lista de bloqueos dinmicos

(hasta 255 caracteres).
IP Origen
Introduzca una ruta URL HTTP o HTTPS que contenga el

archivo de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.
Repetir
Especifique la frecuencia en la que la lista se debe importar.

Puede elegir cada hora, da, semana o mes. En el intervalo
especificado, la lista se importar a la configuracin. No es
necesario realizar una compilacin completa para que este tipo
de actualizacin tenga lugar.
Probar URL de origen
Comprueba que la URL de origen o la ruta del servidor est

disponible.
Firmas personalizadas de spyware y vulnerabilidades

Esta seccin describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de
vulnerabilidades.
Objetos > Firmas personalizadas > Patrones de datos
Objetos > Firmas personalizadas > Spyware
Objetos > Firmas personalizadas > Vulnerabilidad
Definicin de patrones de datos

Objetos > Firmas personalizadas > Patrones de datos
Utilice la pgina Patrones de datos para definir las categoras de informacin confidencial que
desea someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo definir perfiles de filtrado de datos, consulte Perfiles de filtrado de
datos.
Palo Alto Networks
La siguiente tabla describe la configuracin de patrones de datos:
Tabla 165. Configuracin de patrones de datos

Campo
Descripcin
Nombre
Introduzca el nombre de patrn de datos (de hasta 31 caracteres).

guiones bajos.
Descripcin
Introduzca una descripcin del patrn de datos (hasta 255 caracteres).
Compartido

sistemas virtuales.
Peso
Introduzca el peso de los tipos de patrones especificados de forma

predeterminada. El peso es un nmero entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
funcin de este peso.
CC#: Especifique un peso para el campo de tarjeta de crdito (intervalo
0-255).
SSN#: Especifique un peso para el campo del nmero de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).
Patrones personalizados
Los patrones predefinidos incluyen el nmero de la tarjeta de crdito y el

de la seguridad social (con y sin guiones).
Haga clic en Aadir para agregar un patrn nuevo. Especifique un
nombre para el patrn, introduzca la expresin regular que define el
patrn e introduzca un valor de peso para asignarlo al patrn. Aada
los patrones que sean necesarios.
Definicin de firmas de spyware y vulnerabilidad

Objetos > Firmas personalizadas > Spyware y vulnerabilidades
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas
del cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones
de spyware y vulnerabilidades resultantes estn disponibles para su uso en cualquier perfil de
vulnerabilidad personalizado. El cortafuegos busca los patrones definidos de forma personalizada en el trfico de la red y toma las medidas especificadas para la explotacin de la vulnerabilidad. PAN-OS proporciona la capacidad de desarrollar firmas para los contextos dentro
de los siguientes protocolos:
Se agregan peridicamente nuevos descodificadores y contextos en publicaciones
semanales de contenido.
Segn la actualizacin de contenido 424, se admiten los siguientes descodificadores: HTTP,
HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH,
GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin
conocido como CIFS).
Palo Alto Networks
Tambin puede incluir un atributo temporal cuando defina firmas personalizadas especificando un umbral por intervalo para activar posibles acciones en respuesta a un ataque.
Las acciones solo se activan una vez alcanzado el umbral.
Utilice la pgina Firmas personalizadas para definir firmas de perfiles de vulnerabilidades.
Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware

Campo
Descripcin
Pestaa Configuracin
ID de amenaza
Introduzca un identificador numrico para la configuracin. En el caso

de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.
Nombre
Especifique el nombre de la amenaza.
Compartido

sistemas virtuales.
Comentarios
Introduzca un comentario opcional.
Gravedad
Asigne un nivel que indique la gravedad de la amenaza.
Accin predeterminada
Asigne la accin predefinida que se activar si se cumplen las condiciones

de la amenaza:
Alertar: Genera una alerta.
Colocar paquetes: No permite el paso de paquetes.
Restablecer ambos: Restablece el cliente y el servidor.
Restablecer cliente: Restablece el cliente.
Restablecer servidor: Restablece el servidor.
Bloquear IP: Bloquea el trfico durante un perodo de tiempo especificado. Seleccione si se bloquear nicamente el trfico de origen o el de
origen y destino, e introduzca la duracin (segundos).
Direccin
Indique si la amenaza se evaluar desde el cliente al servidor, desde el

servidor al cliente, o ambos.
Sistema afectado
Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos o a

ambos. Se aplica a las firmas de vulnerabilidades, pero no a las firmas de
spyware.
CVE
Especifique las vulnerabilidades y exposiciones comunes (CVE) como

una referencia externa de informacin y anlisis adicional.
Proveedor
Especifique el identificador del proveedor de la vulnerabilidad como una

referencia externa de informacin y anlisis adicional.
Bugtraq
Especifique la bugtraq (similar a CVE) como una referencia externa de

informacin y anlisis adicional.
Referencia
Aada vnculos a la informacin o al anlisis. La informacin se muestra

cuando un usuario hace clic en la amenaza desde ACC, logs o el perfil de
vulnerabilidad.
Palo Alto Networks
Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuacin)

Campo
Descripcin
Pestaa Firmas
Firma estndar
Seleccione el botn de opcin Estndar y haga clic en Aadir para aadir

una firma nueva. Especifique la siguiente informacin:
Estndar: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Especifique las condiciones para definir las firmas:
Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga clic en Aadir condicin. Realice su seleccin en
la lista desplegable Mtodo y Contexto. Especifique una expresin
regular en el campo Patrn. Aada los patrones que sean necesarios.
a otro.
Firma de combinacin
Seleccione el botn de opcin Combinacin. En el rea por encima de las

pestaas secundarias, especifique la siguiente informacin:
En la pestaa secundaria Firmas de combinacin, especifique las
condiciones que definirn las firmas:
Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga clic en Aadir condicin. Realice su seleccin en
la lista desplegable Mtodo y Contexto. Especifique una expresin
regular en el campo Patrn. Aada los patrones que sean necesarios.
a otro.
En la pestaa secundaria Atributo de fecha y hora, especifique la
Nmero de resultados: Especifique el umbral que activar una accin
basada en una poltica como un nmero de resultados (1-1000) en un
nmero especificado de segundos (1-3600)
Criterios de agregacin: Especifique si los resultados los supervisar la
direccin IP de origen, la direccin IP de destino o una combinacin de
las direcciones IP de origen y destino.
Palo Alto Networks
Grupos de perfiles de seguridad

Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que
se pueden tratar como una unidad y aadirse posteriormente a las polticas de seguridad.
Por ejemplo, puede crear un grupo de perfil de seguridad amenazas que incluya perfiles de
antivirus, antispyware y vulnerabilidades y crear una poltica de seguridad que incluya el
perfil amenazas.
Los perfiles de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y bloqueo
de archivos que se suelen asignar juntos pueden combinarse en grupos de perfiles para
simplificar la creacin de las polticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte Definicin de polticas de seguridad.
La siguiente tabla describe la configuracin de perfil de seguridad:
Tabla 167. Configuracin de grupos de perfiles de seguridad

Campo
Descripcin
Nombre
Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre

aparece en la lista de perfiles cuando se definen polticas de seguridad.
guiones bajos.
Compartido

sistemas virtuales.
Perfiles
Seleccione un perfil de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluir en este
grupo. Los perfiles de filtrado de datos tambin se pueden especificar en
grupos de perfiles de seguridad. Consulte Perfiles de filtrado de datos.
Palo Alto Networks
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si
las entradas de log de trfico y amenazas se registran de forma remota con Panorama, y/o
se envan como traps SNMP, mensajes de Syslog o notificaciones por correo electrnico.
De forma predefinida, solo se realizan logs locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de
amenazas registran las amenazas o problemas con el trfico de la red, como la deteccin de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y proteccin de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a polticas de seguridad, consulte
Definicin de polticas de seguridad.
En un cortafuegos PA-7050, se debe configurar un tipo de interfaz especial
(Tarjeta de log) antes de que el cortafuegos reenve los siguientes tipos de logs:
Syslog, correo electrnico y SNMP. Esto tambin se aplica al reenvo a WildFire.
Una vez configurado el puerto, se usar este puerto automticamente para el
reenvo de logs y de WildFire y no har falta ninguna configuracin especial para
ello. Solo tiene que configurar el puerto de datos en uno de los NPC PA-7050
como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede
establecer contacto con sus servidores de logs. Para reenvo de WildFire, la red
necesitar comunicarse con la nube WildFire o dispositivo WildFire.
Si desea ms informacin sobre cmo configurar esta interfaz, consulte
Configuracin de una interfaz de tarjeta de log .
La siguiente tabla describe la configuracin de reenvo de logs:
Tabla 168.
Configuracin de perfiles de reenvo de logs
Campo
Descripcin
Nombre

Compartido

sistemas virtuales.
Configuracin de trfico
Panorama
Palo Alto Networks
Seleccione la casilla de verificacin para habilitar el envo de entradas

del log de trfico al sistema de gestin centralizado de Panorama.
Para definir la direccin del servidor de Panorama, consulte Definicin
de la configuracin de gestin.
Tabla 168.
Configuracin de perfiles de reenvo de logs (Continuacin)
Campo
Descripcin
Traps SNMP
Correo electrnico
Syslog
Seleccione los ajustes de SNMP, Syslog y/o correo electrnico que

especifican destinos adicionales a los que se envan las entradas de trfico.
Para definir nuevos destinos, consulte:
Descripcin de los campos personalizados de Syslog
Configuracin del log de amenazas

Panorama
Haga clic en la casilla de verificacin de cada nivel de seguridad de las

entradas del log de amenazas que se enviarn a Panorama. Los niveles de
gravedad son los siguientes:
Crtico: Ataques muy graves detectados por el motor de seguridad de
amenazas.
Alto: Ataques graves detectados por el motor de seguridad de amenazas.
Medio: Ataques leves detectados por el motor de seguridad de
amenazas, incluyendo el bloqueo de URL.
Bajo: Ataques de advertencias detectados por el motor de seguridad
de amenazas.
Informativo: El resto de eventos no incluidos en los niveles de
seguridad anteriores, incluyendo bsquedas de objeto de ataques
informativos.
Traps SNMP
Correo electrnico
Syslog
En cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o

correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log de amenazas.
Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvo, inspeccin entrante SSL y trfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una poltica de descifrado.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms informacin, consulte Gestin de entidades de certificacin de confianza predeterminadas.
La siguiente tabla describe la configuracin de perfil de descifrado:
Tabla 169. Configuracin de perfiles de descifrado

Campo
Descripcin
Pestaa Proxy SSL de reenvo

Comprobaciones
de certificado de
servidor
Seleccione las opciones para controlar los certificados del servidor.
Bloquear sesiones
con certificados
caducados
Finalice la conexin SSL si el certificado del servidor est caducado. De esta

forma se evita que un usuario acepte un certificado caducado y contine con
una sesin SSL.
Palo Alto Networks
Tabla 169. Configuracin de perfiles de descifrado (Continuacin)

Campo
Descripcin
Bloquear sesiones
con emisores no
fiables
Finalice la sesin SSL si el emisor del certificado del servidor no es fiable.
Restringir
extensiones de
certificado
Limita las extensiones de certificados utilizados en el certificado de

servidor dinmico al uso de claves y claves extendidas.
Detalles: Muestra los detalles de los valores utilizados para el uso de claves y
claves extendidas.
Comprobaciones
de modo no
admitidas
Seleccione las opciones para controlar aplicaciones SSL no compatibles.
Bloquear sesiones
con versin no
compatible
Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible

con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.
Bloquear sesiones
con conjuntos de
cifras no
compatibles
Finalice la sesin si el conjunto de cifrado especificado en el protocolo de

enlace SSL si no es compatible con PAN-OS.
Bloquear sesiones
con autenticacin
de cliente
Finalice las sesiones con autenticacin de cliente para el trfico de proxy de

reenvo SSL.
Comprobaciones
de error
Seleccione la accin que se adoptar si los recursos del sistema no estn

disponibles para procesar el descifrado.
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Bloquear sesiones
si HSM no est
disponible
Finalizar sesiones si no hay un mdulo de seguridad de hardware (HSM)

disponible para firmar certificados.
Note: En el caso de modos no compatibles y de fallos, la informacin de la

sesin se guarda en cach durante 12 horas, por lo que las futuras sesiones
entre los mismos pares de hosts y servidor no se descifran. En su lugar, utilice
las casillas de verificacin para bloquear esas sesiones.
Pestaa Inspeccin de entrada SSL
Comprobaciones
de modo no
admitidas
Proporciona opciones de seleccin de control de sesiones si se detectan

modos no compatibles en el trfico SSL.
Bloquear sesiones
con versiones no
compatibles

con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.
Bloquear sesiones
con conjuntos de
cifras no
compatibles
Finalice la sesin si el conjunto de cifrado utilizado no es compatible con

PAN-OS.
Comprobaciones
de error
Seleccione la accin que se adoptar si los recursos del sistema no estn

disponibles.
Palo Alto Networks
Tabla 169. Configuracin de perfiles de descifrado (Continuacin)

Campo
Descripcin
Bloquear sesiones
si no hay recursos
disponibles
Bloquear sesiones
si HSM no est
disponible
Finalizar sesiones si no hay un mdulo de seguridad de hardware (HSM)

disponible para descifrar la clave de sesin.
Pestaa SSH
Comprobaciones
de modo no
admitidas
Proporciona opciones de seleccin de control de sesiones si se detectan

modos no compatibles en el trfico SSH. La versin SSH compatible es
la versin 2.
Bloquear sesiones
con versiones no
compatibles

con PAN-OS.
Bloquear sesiones
con algoritmos no
compatibles
Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no

es compatible con PAN-OS.
Comprobaciones
de error
Seleccione las medidas que se adoptarn si se producen errores de aplicacin

SSH y si no hay recursos del sistema disponibles.
Bloquear sesiones
con errores SSH
Finalice las sesiones si se producen errores SSH.
Bloquear sesiones
si no hay recursos
disponibles
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas
y horas. Para limitar una poltica de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las polticas correctas. Para cada programacin puede especificar una
fecha y un intervalo horario fijo, o bien una programacin diaria o semanal recurrente.
Para aplicar las programaciones a las polticas de seguridad, consulte Definicin de polticas
de seguridad.
Cuando se activa una poltica de seguridad en una programacin definida, solo se
vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.
Palo Alto Networks
La siguiente tabla describe la configuracin de la programacin:
Tabla 170. Ajustes de programacin

Campo
Descripcin
Nombre
Introduzca un nombre de la programacin (de hasta 31 caracteres). Este

nombre aparece en la lista de programaciones cuando se definen polticas
y guiones bajos.
Compartido

sistemas virtuales.
Periodicidad
Seleccione la periodicidad (Diaria, Semanal o Sin repeticin).
Diario
Haga clic en Aadir y especifique una hora de inicio y de finalizacin en

formato de 24 horas (HH:MM).
Semanal
Haga clic en Aadir, seleccione un da de la semana y especifique una

hora de inicio y de finalizacin en formato de 24 horas (HH:MM).
Sin repeticin
Haga clic en Aadir y especifique una fecha y hora de inicio y de

finalizacin.
Palo Alto Networks
Palo Alto Networks
Captulo 6
Informes y logs
Esta seccin describe cmo visualizar los informes y logs proporcionados con el cortafuegos:
Uso del panel
Centro de comando de aplicacin
Uso de Appscope
Visualizacin de logs
Trabajo con informes de Botnet
Gestin de informes de resumen en PDF
Gestin de informes de actividad del usuario/grupo
Gestin de grupos de informes
Programacin de informes para entrega de correos electrnicos
Visualizacin de informes
Generacin de informes personalizados
Realizacin de capturas de paquetes
Palo Alto Networks
Informes y logs 309
Uso del panel
La mayora de los informes de esta seccin admiten la seleccin opcional de un

sistema virtual en la lista desplegable de la parte superior de la pgina.
Uso del panel

Panel
Los widgets de la pgina Panel muestran informacin general del dispositivo, como la versin
de software, el estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 entradas
en los logs Sistema, Configuracin y Amenaza. Aparecen las entradas de los logs de los
ltimos 60 minutos. Todos los widgets disponibles aparecen de forma predeterminada,
pero cada usuario puede eliminar y agregar widgets individuales segn sea necesario.
para actualizar el panel o un widget individual. Para cambiar el
intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el men desplegable
Widget, seleccione una categora y luego el nombre del widget. Para eliminar un widget, haga
clic en
en la barra de ttulos.
Tabla 171. Grficos del panel

Grfico
Descripcin
Aplicaciones principales
Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque

indica el nmero relativo de sesiones (pase el ratn sobre el bloque para
ver el nmero) y el color indica el riesgo de seguridad, desde verde (ms
bajo) a rojo (ms alto). Haga clic en una aplicacin para ver su perfil de
aplicacin.
Aplicaciones principales
de alto riesgo
Similar a Aplicaciones principales, excepto las que muestran las

aplicaciones de mayor riesgo con la mayora de las sesiones.
Informacin general
Muestra el nombre del dispositivo, el modelo, la versin del software de

PAN-OS, la aplicacin, las amenazas, las versiones de definicin del filtro
de URL, la fecha y hora actuales y el perodo de tiempo transcurrido
desde el ltimo reinicio.
Estado de la interfaz
Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un

estado desconocido (gris).
Registros de amenazas
Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas

entradas en el log Amenazas. El ID de amenaza es una descripcin
malintencionada de una URL que incumple el perfil de filtro de URL.
Solo aparecen las entradas de los logs de los ltimos 60 minutos.
Logs de configuracin
Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y

la fecha y hora de las 10 ltimas entradas en el log Configuracin. Solo
aparecen las entradas de los ltimos 60 minutos.
Logs de filtrado de datos
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el

log Filtrado de datos.
Registros de filtrado
de URL
Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el

log Filtrado de URL.
310 Informes y logs
Palo Alto Networks
Tabla 171. Grficos del panel (Continuacin)

Grfico
Descripcin
Registros del sistema
Muestra la descripcin y la fecha y hora de las ltimos 10 entradas

en el log Sistema. Tenga en cuenta que una entrada Configuracin
instalada indica que se han llevado a cabo cambios en la configuracin
correctamente. Solo aparecen las entradas de los ltimos 60 minutos.
Recursos del sistema
Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero

de sesiones que muestra el nmero de sesiones establecidas a travs del
cortafuegos.
Administradores
registrados
Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora

de inicio de sesin para cada administrador actualmente registrado.
Factor de riesgo de ACC
Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado

la semana pasada. Los valores mayores indican un mayor riesgo.
Alta disponibilidad
Si la alta disponibilidad (HA) est activada, indica el estado de la Alta

disponibilidad (HA) del dispositivo local y del peer: Verde (activa),
amarillo (pasiva) o negro (otro). Para obtener ms informacin sobre la
HA, consulte Habilitacin de HA en el cortafuegos.
Bloqueos
Muestra bloqueos de configuracin realizados por los administradores.

ACC
Se muestran 5 grficos en la pgina Centro de comando de aplicacin (ACC):
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Coincidencias HIP
La pgina Centro de comando de aplicacin (ACC) describe visualmente las tendencias e

incluye una vista del historial de trfico de la red. Muestra el nivel de riesgo general para su
trfico de red, los niveles de riesgo y el nmero de amenazas detectadas para las aplicaciones
ms activas y con mayor riesgo en su red, as como el nmero de amenazas detectadas desde
las categoras de aplicacin ms activas y desde todas las aplicaciones con cualquier nivel
de riesgo. Se puede visualizar el ACC para la hora, el da o la semana anterior o cualquier
perodo de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=ms bajo a 5=ms alto) indican el riesgo de seguridad relativo de
la aplicacin dependiendo de criterios como si la aplicacin puede compartir archivos,
es proclive al uso indebido o intenta esquivar los cortafuegos.
Palo Alto Networks
Informes y logs 311
Para ver el Centro de comando de aplicacin:

1.
En la pestaa ACC, cambie uno o varios de los ajustes siguientes en la parte superior de
la pgina:
a. Seleccione un sistema virtual, si los sistemas virtuales estn definidos.

b. Seleccione un perodo de tiempo en la lista desplegable Tiempo. El valor predeterminado es ltima hora.
c. Seleccione un mtodo de orden en la lista desplegableOrdenar por. Puede ordenar los

grficos en orden descendente por nmero de sesiones, bytes o amenazas. El valor
predeterminado es por nmero de sesiones.
d. Para el mtodo de orden seleccionado, seleccione el mayor nmero de aplicaciones y

categoras de aplicacin que aparecen en cada grfico en la lista desplegable Principal.
e. (Solo para Panorama) Seleccione el Origen de datos que se usa para generar la
visualizacin grfica de las tendencias de trfico.
de envo para aplicar los ajustes seleccionados.
El Origen de datos predeterminado para instalaciones nuevas es Panorama; Panorama usa los
logs enviados por los dispositivos gestionados. Para recuperar y visualizar una vista agregada
de los datos desde los dispositivos gestionados tendr que cambiar el origen de Panorama a
Datos de dispositivo remoto.
En una actualizacin, el origen de datos predeterminado es Datos de dispositivo remoto.
Ilustracin 7. Pgina del Centro de comando de aplicacin
312 Informes y logs
Palo Alto Networks
2.
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces
de logs en la esquina inferior derecha de la pgina, como se muestra a continuacin.
El contexto de los logs coincide con la informacin que aparece en la pgina.
3.
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Despus de
agregar los filtros deseados, haga clic en el icono Aplicar filtro
.
4.
Selecciona una vista desde la lista desplegable del rea de su inters, como se describe en
la siguiente tabla.
5.
Utilice las listas desplegables para Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.
Palo Alto Networks
Informes y logs 313
Tabla 172. Grficos del Centro de comando de aplicacin

Grfico
Descripcin
Aplicacin
Muestra informacin organizada segn la seleccin del men.

La informacin incluye el nmero de sesiones, los bytes transmitidos
y recibidos, el nmero de amenazas, la categora de aplicacin, las
subcategoras de aplicacin, la tecnologa de aplicacin y el nivel de
riesgo, si es necesario.
Aplicaciones
Aplicaciones de alto riesgo
Categoras
Subcategoras
Tecnologa
Riesgo
Filtrado de URL

La informacin incluye la URL, la categora de URL, el nmero de
repeticiones (nmero de intentos de acceso, si es necesario)
Categoras de URL
URL
Categoras de URL bloqueadas
URL bloqueadas
Prevencin de amenazas

La informacin incluye el ID de la amenaza, el recuento (nmero de
incidencias), el nmero de sesiones y el subtipo (como vulnerabilidad),
si es necesario.
Amenazas
Tipos
Spyware
Llamada a casa de spyware
Descargas de spyware
Vulnerabilidades
Virus
Filtrado de datos
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
Objetos HIP
Perfiles HIP
6.
Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrir una pgina
de detalles para mostrar informacin acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.
314 Informes y logs
Palo Alto Networks
Ilustracin 8. Pgina Examinar Centro de comando de aplicacin
Palo Alto Networks
Informes y logs 315
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope proporcionan visibilidad grfica en los siguientes aspectos de la red:
Cambios en el uso de la aplicacin y la actividad del usuario
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope, puede ver rpidamente si se produce algn comportamiento
inusual o inesperado y que la deteccin de cualquier comportamiento problemtico sea ms
sencilla; cada informe proporciona una ventana dinmica y personalizable por el usuario en
la red. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar.
En Panorama puede seleccionar tambin el origen de datos de la informacin que se muestra.
El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de
datos local de Panorama que almacena los logs enviados por los dispositivos remotos, en una
actualizacin el origen de datos predeterminado son los datos de dispositivo remoto. Para
recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos
gestionados tendr que cambiar el origen de Panorama a Datos de dispositivo remoto.
Al pasar el ratn por encima y hacer clic en las lneas o barras de los grficos, se pasa al
ACC y se proporciona informacin detallada sobre la aplicacin especfica, la categora de
la aplicacin, el usuario o el origen.
Tabla 173. Grficos del Centro de comando de aplicacin

Grfico
Descripcin
Resumen
Informe de resumen
Supervisor de cambios
Informe del supervisor de cambios
Supervisor de amenazas
Informe del supervisor de amenazas
Mapa de amenazas
Informe del mapa de amenazas
Supervisor de red
Informe del supervisor de red
Mapa de trfico
Informe del mapa de trfico
316 Informes y logs
Palo Alto Networks
Uso de Appscope
Informe de resumen
El informe Resumen (Ilustracin 9) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios
y orgenes.
Para exportar los grficos en el informe de resumen como un PDF, haga clic en
Cada grfico se guarda como una pgina en el PDF creado.
Ilustracin 9. Informe de resumen de Appscope
Palo Alto Networks
Informes y logs 317
Uso de Appscope
Informe del supervisor de cambios

El informe Supervisor de cambios (Ilustracin 10) muestra cambios realizados en un perodo
de tiempo especfico. Por ejemplo, Ilustracin 10 muestra las principales aplicaciones adquiridas en la ltima hora en comparacin con el ltimo perodo de 24 horas. Las principales
aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes.
Ilustracin 10. Informe del supervisor de cambios de Appscope

Este informe contiene los siguientes botones y las siguientes opciones.
318 Informes y logs
Palo Alto Networks
Uso de Appscope
Tabla 174. Opciones del informe del supervisor de cambios

Elemento
descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si ordenar entradas por porcentajes o

incremento bruto.
Exporta el grfico como imagen .png o PDF.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
Informe del supervisor de amenazas

El informe del supervisor de amenazas (Ilustracin 11) muestra un recuento de las principales
amenazas durante el perodo de tiempo seleccionado. Por ejemplo, Ilustracin 11 muestra los
10 principales tipos de amenaza en las ltimas 6 horas.
Palo Alto Networks
Informes y logs 319
Uso de Appscope
Ilustracin 11. Informe del supervisor de amenazas de Appscope
320 Informes y logs
Palo Alto Networks
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.
Tabla 175. Botones del Informe del supervisor de amenazas

Botn
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.
Informe del mapa de amenazas

El informe del mapa de amenazas (Ilustracin 12) muestra una vista geogrfica de amenazas,
incluyendo la gravedad.
Ilustracin 12. Informe del mapa de amenazas de Appscope
Palo Alto Networks
Informes y logs 321
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Tabla 176. Botones del Informe del mapa de amenazas

Botn
Descripcin
Barra superior
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Aplica un filtro para mostrar nicamente el tipo de elemento

seleccionado.
Acerque y aleje el mapa.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Informe del supervisor de red

El informe Supervisor de red (Ilustracin 13) muestra el ancho de banda dedicado a
diferentes funciones de red durante el perodo de tiempo especificado. Cada funcin de
red est indicada con colores como se indica en la leyenda debajo del grfico. Por ejemplo,
la Ilustracin 13 muestra el ancho de banda de aplicacin en los 7 ltimos das basndose en
la informacin de sesin.
322 Informes y logs
Palo Alto Networks
Uso de Appscope
Ilustracin 13. Informe del supervisor de red de Appscope

El informe contiene los siguientes botones y opciones.
Tabla 177. Botones del Informe del supervisor de red

Botn
Descripcin
Barra superior
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Determina si la informacin se presenta en un grfico de

columna apilado o un grfico de rea apilado.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
Palo Alto Networks
Informes y logs 323
Uso de Appscope
Informe del mapa de trfico

El informe Mapa de trfico (Ilustracin 14) muestra una vista geogrfica de los flujos de trfico
segn las sesiones o los flujos.
Ilustracin 14. Informe del mapa de trfico de Appscope

Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico.
Este informe contiene los siguientes botones y las siguientes opciones.
324 Informes y logs
Palo Alto Networks
Tabla 178. Botones del Informe del mapa de amenazas

Botn
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.
Muestra las amenazas salientes.
Determina si mostrar informacin de sesin o

byte.
Acerque y aleje el mapa.
Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.
Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de trfico, amenazas, filtrado de URL, filtrado de datos y Perfil de informacin de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
especficas, puede aplicar filtros a la mayora de los campos de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos
de administracin basado en funcin. Cuando muestra logs, solo se incluye la
informacin de cuyo permiso dispone. Para obtener informacin acerca de los
permisos de administrador, consulte Definicin de funciones de administrador.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Utilice la rea de filtro de la siguiente forma:
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host
en la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y
la bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).
Palo Alto Networks
Informes y logs 325
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para agregar
el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha
definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en la
lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier
filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificacin si desea continuar utilizando
la misma opcin. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a
CSV
. De manera predeterminada, la exportacin de la lista de logs al formato CSV
genera un informe CSV con hasta 2.000 lneas de logs. Para cambiar el lmite de lnea
de los informes CSV generados, utilice el campo Mx. de filas en exportacin CSV
(seleccione Dispositivo > Configuracin > Gestin > Configuracin de log e informes >
Exportacin e informes de logs o consulte Definicin de la configuracin de gestin).
Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista

desplegable (1 min, 30 segundos, 10 segundos o Manual). Para cambiar el nmero de entradas
de logs por pgina, seleccione el nmero de filas en la lista desplegable Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina
en la parte inferior de la pgina para navegar por la lista de logs. Seleccione la casilla de
verificacin Resolver nombre de host para iniciar la resolucin de direcciones IP externas
en nombres de dominio.
Seleccione el icono Exportar a CSV
326 Informes y logs
para exportar un log a formato CSV.
Palo Alto Networks
Para mostrar detalles adicionales, haga clic en el icono de catalejo
de una entrada.
Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.
Palo Alto Networks
Informes y logs 327
Revise la siguiente informacin en cada log.
Tabla 179. Descripciones del log

Grfico
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas
incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y
puertos, el nombre de la aplicacin, el nombre de la regla de seguridad aplicada
al flujo, la accin de la regla (permitir, denegar o borrar), la interfaz de entrada y
salida, el nmero de bytes y la razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.
Amenaza
Muestra una entrada para cada alarma de seguridad generada por el

cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o
URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicacin
y la accin de alarma (permitir o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el
mismo origen y destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica el tipo de amenaza, como virus
o spyware. La columna Nombre es la descripcin de la amenaza o URL y
la columna Categora es la categora de la amenaza (como Registrador de
pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a
una entrada para acceder a los paquetes capturados, como se indica en la
siguiente ilustracin. Para activar las capturas de paquetes locales, consulte
las subdivisiones en Perfiles de seguridad.
Filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web.
Puede activar la creacin de logs de las opciones de encabezados HTTP para la
URL. Consulte Perfiles de filtrado de URL para obtener ms informacin sobre
cmo definir perfiles de filtrado de URL.
Envos a WildFire
Muestra logs de archivos que se han cargado y actualizado por el servidor

WildFire, los datos de logs se reenvan al dispositivo despus del anlisis junto
con los resultados del anlisis.
328 Informes y logs
Palo Alto Networks
Tabla 179. Descripciones del log (Continuacin)

Grfico
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos para obtener ms informacin sobre cmo definir
perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono . Introduzca la contrasea y haga clic
en ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas
para obtener instrucciones acerca de cmo cambiar o eliminar la contrasea de
proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Este log tambin muestra informacin de perfiles de bloqueo de archivos.
Por ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que
estaban bloqueados. Si reenva archivos a WildFire, podr ver los resultados de
dicha accin. En este caso, si reenva archivos PE a WildFire, por ejemplo, el log
mostrar que el archivo fue reenviado y tambin el estado para saber si se carg
correctamente en WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.
Coincidencias
HIP
Muestra informacin acerca de las polticas de seguridad aplicadas a clientes de

GlobalProtect. Para obtener ms informacin, consulte Configuracin del portal
de GlobalProtect.
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Definicin de la configuracin del log Alarma.
Visualizacin de la informacin del sistema

Supervisar > Explorador de sesin
Abra la pgina Explorador de sesin para explorar y filtrar sesiones actualmente en ejecucin
en el cortafuegos. Para obtener informacin acerca de las opciones de filtrado en esta pgina,
consulte Visualizacin de logs.

La funcin informes de botnet le permite utilizar mecanismos basados en el comportamiento
para identificar potenciales hosts infectados por botnet en la red. Mediante el uso de logs de
filtrado de datos, URL, amenazas y red, el cortafuegos evala las amenazas segn criterios
que incluyen visitas a sitios de malware y sitios de DNS dinmicos, visitas a dominios
registrados recientemente (en los 30 ltimos das), uso de aplicaciones desconocidas y la
existencia de trfico de Internet Relay Chat (IRC).
Palo Alto Networks
Informes y logs 329
Despus de establecer una correlacin e identificacin de los hosts que coinciden con un
comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un
margen de confianza del 1 al 5 para indicar la probabilidad de infeccin del botnet (1 indica la
probabilidad de infeccin ms baja y 5 la probabilidad ms alta). Como los mecanismos de
deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas
con una lista de hosts ordenada basndose en un nivel de confianza.
Configuracin del informe de Botnet

Supervisar > Botnet
Utilice estos ajustes para especificar tipos de trfico sospechoso (trfico que puede indicar
actividad de botnet). Para configurar los ajustes, haga clic en el botn Configuracin en el
lado derecho de la pgina Botnet.
Tabla 180. Ajustes de configuracin de Botnet

Campo
Descripcin
Trfico HTTP
Seleccione la casilla de verificacin Habilitar para los eventos que desea

incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios
que se estn comunicando con URL con software malintencionado
conocidas basndose en las categoras de filtrado de URL de software
malintencionado y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que
pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan
dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en
dominios que se han registrado en los ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos
ejecutables descargados desde URL desconocidas.
Aplicaciones
desconocidas
Seleccione las casillas de verificacin para marcar TCP desconocidos o

aplicaciones de UDP desconocidas como sospechosas y especifique las
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas
a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga
Bytes mximos: Tamao mximo de carga.
IRC
330 Informes y logs
Seleccione la casilla de verificacin para incluir servidores IRC como

sospechosos.
Palo Alto Networks
Gestin de informes de Botnet

Supervisar > Botnet > Configuracin de informes
Puede especificar consultas de informes y luego generar y ver informes de anlisis de botnet.
Los informes estn basados en los ajustes de configuracin de botnet (consulteConfiguracin
del informe de Botnet). Puede incluir o excluir direcciones IP de origen o destino, usuarios,
zonas, interfaces, regiones o pases.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar
informes a peticin haciendo clic en Ejecutar ahora en la ventana donde define las consultas
de informe. El informe generado aparece en la pgina Botnet.
Para gestionar informes de botnet, haga clic en el botn Ajuste de informe en el lado derecho
de la pgina Botnet.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.
Tabla 181. Configuracin de informe de Botnet

Campo
Descripcin
Perodo de ejecucin
del informe
Seleccione el intervalo de tiempo para el informe (ltimas 24 horas o

ltimo da del calendario).
# Filas
Especifique el nmero de filas en el informe.
Programado
Seleccione la casilla de verificacin para ejecutar el informe diariamente.

Si no se selecciona la casilla de verificacin, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la
ventana Informe de Botnet.
Generador de consultas
Cree la consulta de informe especificando lo siguiente y luego haga clic en

Aadir para agregar la expresin configurada a la consulta. Repita las
veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o
destino.
Operador: Especifique el operador para relacionar el atributo con
un valor.
Valor: Especifique el valor para coincidir.
Negar
Palo Alto Networks
Seleccione la casilla de verificacin para aplicar la negacin a la consulta

especificada, lo que significa que el informe contendr toda la informacin
que no sea resultado de la consulta definida.
Informes y logs 331

Supervisar > Informes en PDF > Gestionar resumen de PDF
Los informes de resumen en PDF contienen informacin recopilada de informes existentes,
basndose en los 5 principales de cada categora (en vez de los 50 principales). Tambin
pueden contener grficos de tendencias que no estn disponibles en otros informes.
Ilustracin 15. Informe de resumen en PDF
332 Informes y logs
Palo Alto Networks
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Ilustracin 16. Gestin de informes en PDF

Utilice una o ms de estas opciones para disear el informe:
Para eliminar un elemento del informe, haga clic en el icono

en la esquina superior
derecha del cuadro de icono del elemento o elimine la casilla de verificacin del elemento
en el cuadro de lista desplegable correcto junto a la parte superior de la pgina.
Seleccione elementos adicionales seleccionndolos de los cuadros de la lista desplegable

junto a la parte superior de la pgina.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo
de informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Palo Alto Networks
Informes y logs 333

Supervisar > Informes en PDF > Informe de actividad del usuario
Utilice esta pgina para crear informes que resumen la actividad de usuarios individuales o
grupos de usuarios. Haga clic en Nuevo y especifique la siguiente informacin.
Tabla 182. Configuracin del informe de actividad del usuario/grupo

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).

El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.
Tipo
Para informe de actividad de usuario: Seleccione Usuario e introduzca el

nombre de usuarioo direccin IP (IPv4 o IPv6) del usuario que ser el
asunto del informe.
En Panorama, debe haber configurado un dispositivo principal para cada
grupo de dispositivo para recuperar la informacin del grupo de usuarios
y generar el informe.
Para informe de actividad de grupo: Seleccione grupo e introduzca el
nombre del grupo.
En Panorama no puede crear informes de actividad del grupo porque
Panorama no tiene la informacin para asignar usuarios a los grupos.
Perodo de tiempo
Seleccione el perodo de tiempo para el informe en la lista desplegable.
Incluir navegacin
detallada
Seleccione esta opcin si quiere incluir logs de URL detallados en el

informe.
La informacin de navegacin detallada puede incluir un gran volumen de

logs (miles de logs) para el usuario o grupo de usuarios seleccionado y
puede hacer que el informe sea muy extenso.
El informe de actividad de grupo no incluye Resumen de navegacin por categora de URL;
el resto de informacin es comn para el informe de actividad de usuarios y el informe de
actividad de grupo.
Para ejecutar el informe a peticin, haga clic en Ejecutar ahora; para cambiar el nmero
mximo de filas que mostrar el informe, consulte Configuracin de log e informes.
Para guardar el informe, haga clic en Aceptar. Puede programar el entrega del informe por
correo electrnico; consulte Programacin de informes para entrega de correos electrnicos.
334 Informes y logs
Palo Alto Networks

Supervisar > Informes en PDF > Grupos de informes
Los grupos de informes le permiten crear conjuntos de informes que un sistema puede
recopilar y enviar como un informe agregado en PDF nico con una pgina de ttulo
opcional y todos los informes constituyentes incluidos.
Tabla 183.
Configuracin de grupo de informes
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el grupo de informe (de hasta 31

guiones bajos.
Pgina de ttulo
Seleccione la casilla de verificacin para incluir una pgina de ttulo en

el informe.
Ttulo
Introduzca el nombre que aparecer como el ttulo del informe.
Seleccin del informe
Seleccione informes de la columna izquierda y haga clic en Aadir para

mover cada informe al grupo de informes en la derecha. Puede seleccionar
tipos de informe Predefinidos, Personalizados, De resumen en PDF y Vista
de log.
El informe Vista de log es un tipo de informe que se crea automticamente
cada vez que crea un informe personalizado y utiliza el mismo nombre
que el informe personalizado. Este informe mostrar los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de informes,
agregue su informe personalizado a la lista Informes personalizados y
luego agregue el informe de vista de log seleccionando el nombre del
informe coincidente de la lista Vista de log. Cuando reciba el informe, ver
sus datos del informe personalizado seguidos por los datos de log que se
han utilizado para crear el informe personalizado.
Para utilizar el grupo de informes, consulte Programacin de informes para entrega de

correos electrnicos.
Palo Alto Networks
Informes y logs 335
Programacin de informes para entrega de correos electrnicos
Programacin de informes para entrega de correos

electrnicos
Supervisar > Informes en PDF > Programador de correo electrnico
Utilice el programador de correo electrnico para programar informes para la entrega de
correo electrnico. Antes de agregar un programa, debe definir grupos de informe y un perfil
de correo electrnico. Consulte Gestin de grupos de informes y Configuracin de ajustes
de notificaciones por correo electrnico.
Los informes programados comienzan a ejecutarse a las 2:00 AM y el reenvo de correo
electrnico se produce despus de que finalice la ejecucin de todos los informes programados.
Tabla 184. Configuracin del programador de correo electrnico

Campo
Descripcin
Nombre
Permite introducir un nombre para identificar el programa (de hasta 31

guiones bajos.
Grupo de informes
Seleccione el grupo de informes (consulte Gestin de grupos de informes).
Periodicidad
Seleccione la frecuencia con la que generar y enviar el informe.
Perfil de correo
electrnico
Seleccione el perfil que define los ajustes de correo electrnico. Consulte

Configuracin de ajustes de notificaciones por correo electrnico para
obtener ms informacin sobre cmo definir perfiles de correo electrnico.
Cancelar correos
electrnicos del
destinatario
Introduzca una direccin de correo electrnico opcional para utilizar en

lugar del destinatario especificado en el perfil de correo electrnico.
Visualizacin de informes
Supervisar > Informes
El cortafuegos proporciona varios informes 50 principal de las estadsticas de trfico del da
anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de
informe en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar
a CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar el archivo.
336 Informes y logs
Palo Alto Networks

Supervisar > Gestionar informes personalizados
Puede crear informes personalizados basados opcionalmente en plantillas de informe
existentes. Los informes se pueden ejecutar a peticin o programar para su ejecucin cada
noche. Para ver informes definidos previamente, seleccione Informes en el men lateral.
Haga clic en Aadir para crear un nuevo informe personalizado. Para basar un informe en
una plantilla existente, haga clic en Cargar plantilla y seleccione la plantilla.
Especifique los siguientes ajustes para definir el informe.
Tabla 185. Configuracin de informes personalizados

Campo
Nombre
Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
guiones bajos.
Base de datos
Seleccione la base de datos para utilizar como el origen de datos para

el informe.
Perodo de tiempo
Seleccione un perodo de tiempo fijo o seleccione Personalizado y

especifique un intervalo de fecha y hora.
Ordenar por
cantidad de informacin para incluir en el informe. Las opciones
Seleccione opciones de orden para organizar el informe, incluyendo la

disponibles dependen de la eleccin de la base de datos.
Seleccione opciones de orden para organizar el informe, incluyendo la
Agrupar por
cantidad de informacin para incluir en el informe. Las opciones

disponibles dependen de la eleccin de la base de datos.
Programado
Seleccione la casilla de verificacin para ejecutar el informe cada noche.

Los informes luego estarn disponibles seleccionando Informes en el
men lateral.
Columnas
Seleccione columnas para incluir en el informe desde la lista Disponible

Columna y utilice las el icono para moverlas a la lista Seleccionadas
Columnas. Utilice las flechas hacia arriba y hacia abajo para volver a
ordenar las columnas seleccionadas y utilice el icono menos para
eliminar las columnas seleccionadas anteriormente.
Palo Alto Networks
Informes y logs 337
Tabla 185. Configuracin de informes personalizados (Continuacin)

Campo
Descripcin
Para crear una consulta de informe, especifique lo siguiente y haga clic
en Aadir. Repita las veces que sean necesarias para crear la consulta
completa.
Generador de consultas
Conector: Seleccione el conector (y/o) para preceder la expresin que

est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta
como una negativa. En el ejemplo anterior, la opcin negar causa una
coincidencia en entradas que no se han producido en las ltimas 24
horas ni de la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles
dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo
(como =). Las opciones disponibles dependen de la eleccin de la base
de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de
trfico) muestra una consulta que coincide si se ha recibido la entrada de
log de trfico en las ltimas 24 horas de la zona no fiable.

Supervisar > Captura de paquetes
PAN-OS admite capturas de paquetes para la resolucin de problemas o la deteccin de
aplicaciones desconocidas. Puede definir filtros de modo que solo se capturen los paquetes
que coinciden con los filtros. Las capturas de paquetes se almacenan de forma local en el
dispositivo y estn disponibles para su descarga en su equipo local.
Captura de paquetes est destinado exclusivamente a la resolucin de problemas.
Esta funcin puede hacer que el rendimiento del sistema disminuya y solo debe
usarse en caso necesario. Cuando la captura se haya completado, recuerde
deshabilitar la caracterstica.
Para especificar opciones de captura y filtrado, especifique la informacin en la siguiente tabla.
338 Informes y logs
Palo Alto Networks
Para borrar todos los ajustes de captura y filtrado, haga clic en Borrar toda la configuracin.
Para seleccionar archivos de captura para descargar, haga clic en el nombre del archivo en la
lista de archivos de captura en el lado derecho de la pgina.
Tabla 186. Configuracin de captura de paquetes

Campo
Descripcin
Configurar filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo
filtro y especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP,
incluir todo el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6
en el filtro.
Filtrado
Haga clic para alternar las selecciones de activar o desactivar filtrado.
Anterior a la
coincidencia
Haga clic para alternar la opcin activar o desactivar anterior a la

coincidencia.
La opcin anterior a la coincidencia se agrega para fines de resolucin de
problemas avanzada. Cuando un paquete introduce el puerto de entrada
(ingress), avanza a travs de varios pasos de procesamiento antes de
analizar coincidencias en contra de filtros preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de
filtrado. Eso puede ocurrir, por ejemplo, si falla una bsqueda de ruta.
Establezca la configuracin anterior a la coincidencia como Activada para
emular una coincidencia positiva de cada paquete entrando en el sistema.
Eso permite al cortafuegos capturar incluso los paquetes que no alcanzan
el proceso de filtrado. Si un paquete puede alcanzar la etapa de filtrado,
se procesar de acuerdo con la configuracin del filtro y se descartar si
no consigue cumplir los criterios de filtrado.
Palo Alto Networks
Informes y logs 339
Tabla 186. Configuracin de captura de paquetes (Continuacin)

Campo
Descripcin
Configuracin de captura
Captura de paquetes
Haga clic para alternar activar o desactivar capturas de paquetes.
Fase de captura de
paquetes
Etapa: Indique el punto en el que capturar el paquete:

Desplegar: Cuando el procesamiento de paquetes encuentra un error
y el paquete no se puede desplegar.
Cortafuegos: Cuando el paquete tiene una coincidencia de sesin o
se crea un primer paquete con una sesin correctamente
Recibir: Cuando se recibe el paquete en el procesador de plano de
datos.
Transmitir: Cuando se transmite el paquete en el procesador de
plano de datos.
Archivo: Especifica el nombre del archivo de captura. El nombre del
archivo debe comenzar por una letra y puede incluir letras, dgitos,
puntos, guiones bajos o guiones.
Recuento de paquetes: Especifica el nmero de paquetes despus del
que se detiene la captura.
Recuento de bytes: Especifica el nmero de bytes despus del que se
detiene la captura.
Archivos capturados
Archivos capturados
Haga clic en Eliminar para quitar un archivo de captura de paquetes

desde la lista donde se muestran los archivos capturados.
Configuracin
Borrar toda la
configuracin
340 Informes y logs
Haga clic en Borrar toda la configuracin para borrar completamente la

configuracin de captura de paquetes.
Palo Alto Networks
Captulo 7
Configuracin del cortafuegos para la

identificacin de usuarios
Configuracin del cortafuegos para la identificacin de usuarios
Pestaa Asignacin de usuario
Pestaa Agentes de ID de usuarios
Pestaa Agentes de servicios de terminal
Pestaa Asignacin de grupos
Pestaa Configuracin de portal cautivo
Configuracin del cortafuegos para la identificacin de usuarios

Dispositivo > Identificacin de usuarios
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin
de Palo Alto Networks que le permite crear polticas y realizar informes basndose en usuarios
y grupos en lugar de direcciones IP individuales. Si est configurando un cortafuegos con
varios sistemas virtuales, debe crear una configuracin de identificacin de usuarios distinta
para cada sistema virtual; la informacin de asignacin de usuarios no se comparte entre los
distintos sistemas virtuales. Seleccione el sistema virtual que quiere configurar para identificacin de usuarios en el men desplegable Ubicacin de la parte superior de la pgina Identificacin de usuarios.
Despus de seleccionar un sistema virtual (si corresponde), utilice los ajustes de esta pgina
para establecer la configuracin de la identificacin de usuario.
Palo Alto Networks
Configuracin del cortafuegos para la identificacin de usuarios 341

Utilice la pestaa Asignacin de usuario para configurar un cortafuegos que recupere los
datos de asignacin de direccin IP a nombre de usuario directamente de los servidores de
dominio. Esta funcin no requiere la instalacin de un agente de ID de usuarios en los
servidores de dominio. El cortafuegos tambin puede configurarse para redistribuir la
informacin de asignacin del usuario a otros cortafuegos.
Tabla 187. Configuracin de asignacin de usuarios

Campo
Descripcin
Configuracin de agente de ID de usuario de Palo Alto Networks

Esta seccin de la pantalla muestra los ajustes que utilizar el cortafuegos
para realizar la asignacin de direccin IP a usuario. Para configurar o
editar los ajustes, haga clic en el icono Editar , que abre el cuadro de
dilogo de configuracin, el cual contiene las siguientes pestaas
secundarias:
Autenticacin WMI
Supervisin de servidor
Sondeo de cliente
Cach
NTLM
Redistribucin
Filtrados de Syslog
Pestaa secundaria
Autenticacin WMI
Utilice esta pestaa secundaria para establecer las credenciales de

dominio de la cuenta que utilizar el cortafuegos para acceder a recursos
de Windows. Esto es necesario para supervisar servidores Exchange y
controladores de dominio, as como para el sondeo de WMI.
Nombre de usuario: Especifique la cuenta con permisos para realizar
consultas de WMI en equipos cliente y supervisin de servidor.
Introduzca el nombre de usuario mediante la sintaxis de dominio/
nombre de usuario.
Contrasea/Confirmar contrasea: Especifique la contrasea de la cuenta.
342 Configuracin del cortafuegos para la identificacin de usuarios
Palo Alto Networks
Tabla 187. Configuracin de asignacin de usuarios (Continuacin)

Campo
Descripcin
Pestaa secundaria
Supervisin de servidor
Habilitar log de seguridad: Seleccione la casilla de verificacin para

habilitar la supervisin de logs de seguridad en servidores Windows.
Se consultarn los logs de seguridad para ubicar la informacin de
asignacin de direccin IP a nombre de usuario en los servidores
especificados en la lista Supervisin de servidor.
Frecuencia del supervisor de log del servidor (seg.): Especifique con qu
frecuencia consultar el cortafuegos los servidores de Windows para
obtener informacin de asignacin de direccin IP a nombre de usuario
(valor predeterminado: 1 segundo, intervalo: 1-3600 segundos).
Habilitar sesin: Seleccione la casilla de verificacin para habilitar la
supervisin de sesiones del usuario en los servidores especificados en la
lista Supervisin de servidor. Cada vez que un usuario se conecta a un
servidor, se crea una sesin y esta informacin se puede utilizar tambin
para identificar la direccin IP del usuario.
Frecuencia de lectura de sesin o del servidor (seg.): Especifique con qu
frecuencia consultar el cortafuegos las sesiones del usuario del servidor
de Windows para obtener informacin de asignacin de direccin IP a
nombre de usuario (valor predeterminado: 10 segundos, intervalo: 1-3600
segundos).
Intervalo de consulta de eDirectory Novell (seg.): Especifique con qu
frecuencia consultar el cortafuegos los servidores de eDirectory Novell
para obtener informacin de asignacin de direccin IP a nombre de
usuario (valor predeterminado: 30 segundos, intervalo: 1-3600 segundos).
Pestaa Prueba
de cliente
Habilitar pruebas: Seleccione esta casilla de verificacin para habilitar el

sondeo WMI/NetBIOS para cada PC cliente identificado por el proceso
de asignacin del usuario. El sondeo ayudar a garantizar que el mismo
usuario est an registrado en el PC cliente con el fin de proporcionar
informacin precisa de usuario a IP.
Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC
cliente (valor predeterminado 20 minutos, intervalo 1-1440 minutos).
En implementaciones de gran tamao, es importante establecer el
intervalo de sondeo correctamente para proporcionar tiempo para
sondear cada cliente identificado. Por ejemplo, si dispone de 6.000
usuarios y un intervalo de 10 minutos, puede necesitar 10 consultas
WMI por segundo de cada cliente.
Note: Para que el sondeo de WMI funcione de forma eficaz, se debe

configurar el perfil Asignacin de usuario con una cuenta de
administrador de dominio, y cada PC cliente sondeado debe tener una
excepcin de administracin remota configurada en el cortafuegos de
Windows. Para que el sondeo de NetBIOS funcione de forma efectiva,
cada PC cliente sondeado debe proporcionar un puerto 139 en el
cortafuegos de Windows y debe tener los servicios de uso compartido
de archivos e impresoras activados.
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Cach
Habilitar identificacin de usuario: Seleccione esta casilla de verificacin

para activar un valor de tiempo de espera para entradas de asignacin de
direccin IP a nombre de usuario. Cuando se alcanza el valor de tiempo
de espera, se borrar la asignacin de direccin IP a usuario y se recopilar una nueva asignacin. Eso garantizar que el cortafuegos tiene la
informacin ms actual sobre los desplazamientos de los usuarios y
permitir obtener nuevas direcciones IP.
Tiempo de espera de identificacin de usuario (min.): Establezca el
valor del tiempo de espera para las entradas de asignacin de direccin
IP a nombre de usuario (valor predeterminado: 45 minutos, intervalo:
1-1440).
Pestaa secundaria
NTLM
Habilitar procesamiento de autenticacin de NTLMSeleccione esta

casilla de verificacin para habilitar el proceso de autenticacin de NT
LAN Manager (NTLM). Cuando se configura el Portal cautivo con un
formulario web para capturar informacin de asignacin de usuario,
se autentica al cliente de forma transparente a travs de un desafo de
NTLM. Con esta opcin habilitada, el cortafuegos recopilar esta
informacin desde el dominio NTLM.
Si el recopilador de ID de usuario de PAN-OS y el agente de ID de
usuarios estn instalados en controladores de dominio, las respuestas
de NTLM irn directamente al controlador de dominio. Cuando el
cortafuegos est configurado para compartir su informacin de ID de
usuario con otros cortafuegos, puede entregar consultas de NTLM
procedentes de otros cortafuegos de PAN-OS, realizando la funcin del
agente de ID de usuarios.
Dominio de NTLM: Introduzca el nombre de dominio de NTLM.
Nombre de usuario del administrador: Introduzca la cuenta del
administrador que tiene acceso al dominio de NTLM.
Contrasea/Confirmar contrasea: Introduzca la contrasea del
administrador que tiene acceso al dominio de NTLM.
Nota: Solo puede habilitar el proceso de autenticacin de NTLM en un sistema
virtual (seleccione el sistema virtual en el men desplegable Ubicacin en la
parte superior de la pgina).
Pestaa secundaria
Redistribucin
Nombre del recopilador: Especifique el nombre del recopilador si

desea que este cortafuegos acte como punto de redistribucin para la
asignacin de usuarios para cada cortafuegos en su red.
El nombre del recopilador y la clave compartida previamente se utilizan
cuando se configuran los agentes del ID de usuario en los cortafuegos que
arrastrarn la informacin de asignacin del usuario.
Para permitir a un cortafuegos actuar como un punto de redistribucin,
necesita tambin activar
Servidor de ID de usuario en Red > Perfiles de red > Gestin de interfaz.
Clave preconvertida/Confirmar clave precompartida: Introduzca la
clave precompartida utilizada por otros cortafuegos para establecer una
conexin segura para transferencias de asignacin de usuarios.
Palo Alto Networks

Campo
Descripcin
Pestaa secundaria
Filtrados de Syslog
Utilice esta pestaa secundaria para especificar cmo debe analizar

el cortafuegos los mensajes de Syslog para extraer informacin de
asignacin (direccin IP y nombre de usuario) a partir de los mensajes
de Syslog que recibe. Para aadir un filtro de Syslog, haga clic en Aadir
y, a continuacin, cumplimente los siguientes campos. Puede crear filtros
distintos de diferentes emisores de Syslogs. Debe especificar qu filtro
se debe utilizar cuando agregue al emisor a la lista de servidores supervisados. Adems, antes de que los mensajes de Syslog sean aceptados en
una interfaz, el servicio de escucha de Syslog debe estar habilitado en el
perfil de gestin asociado con la interfaz.
Perfil de anlisis de Syslog: Introduzca un nombre para el perfil de
anlisis (hasta 63 caracteres alfanumricos). Palo Alto Networks
proporciona varios filtros de Syslog predefinidos, que se distribuyen
como actualizaciones de contenido de aplicacin y, por lo tanto, se
actualizan dinmicamente como filtros nuevos. Los filtros predefinidos
son generales para el cortafuegos, mientras que los filtros manuales solo
se aplican a un sistema virtual.
Descripcin: Introduzca una descripcin para el perfil (hasta 255 caracteres alfanumricos).
Tipo: Especifique el tipo de anlisis que se debe utilizar para filtrar la
informacin de asignacin de usuario. Se admiten dos tipos: Identificador Regex y Identificador de campo. Para crear los filtros, debe
conocer el formato de los mensajes de autenticacin en los Syslogs.
Las siguientes descripciones de campo muestran ejemplos de cmo
crear filtros para mensajes de Syslog que tengan el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication
success User:domain\johndoe_4 Source:192.168.0.212
Identificador Regex: Con este tipo de anlisis puede especificar expresiones regulares para describir patrones de bsqueda e identificar y
extraer informacin de asignacin de usuario de los mensajes de Syslog.
Si selecciona esta opcin, debe especificar el regex que se debe utilizar
para hacer coincidir los eventos de autenticacin del mensaje de Syslog
y los campos de direccin IP y usuario en los mensajes de coincidencia.
Regex de eventos: Utilice este campo para especificar el regex e identificar los eventos de autenticacin correctos dentro de los mensajes de
Syslog. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog
de ejemplo anterior, el siguiente regex indica que el cortafuegos debe
coincidir con la primera {1} instancia de la cadena authentication
success. La barra invertida antes del espacio es un carcter regex de
"escape" estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}"
Palo Alto Networks

Campo
Pestaa secundaria
Filtrados de Syslog
(Continuacin)
Descripcin
Regex de nombre de usuario: Introduzca el regex para identificar el
principio del nombre de usuario en los mensajes de autenticaciones
realizadas con xito. Por ejemplo, el regex User:([a-zA-Z0-9\\\._]+)
coincidira con la cadena User:johndoe_4 en el mensaje de ejemplo y
se extraera acme\johndoe1 como ID de usuario (User-ID). Utilice
este campo para especificar el regex e identificar el campo del nombre
de usuario en los mensajes de autenticaciones realizadas con xito.
Regex de direccin: Utilice este campo para especificar el campo de
direccin IP en los mensajes de autenticaciones realizadas con xito.
Por ejemplo, la siguiente expresin regular Source:([0-9]{1,3}\.
[0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3}) coincidira con la cadena
Source:192.168.0.212 en el mensaje de ejemplo y se extraera y
aadira 192.168.0.212 como la direccin IP en la asignacin de
direccin IP a nombre de usuario de identificacin de usuario
(User-ID) que se crea.
Identificador de campo: Con este tipo de anlisis se especifica una
cadena para que coincida con el evento de autenticacin y cadenas de
prefijo y sufijo para identificar la informacin de asignacin de usuario
en los Syslogs de la siguiente forma:
Cadena de eventos: Especifique la cadena que debe identificar el tipo
de log de evento desde el que extraer la informacin de asignacin de
usuario. Por ejemplo, usando el formato de syslog de ejemplo que
aparece anteriormente, debe introducir la cadena authentication
success para la coincidencia en los eventos de autenticacin
correctos del log.
Prefijo de nombre de usuario: Introduzca la cadena de coincidencia
para identificar el principio del campo del nombre de usuario en el
mensaje de Syslog de autenticacin. Por ejemplo, usando el formato
de Syslog del ejemplo anterior, debe introducir la cadena User: para
identificar el principio del nombre de usuario.
Delimitador de nombre de usuario: Introduzca el delimitador
utilizado para marcar el final del campo de nombre de usuario en
un mensaje de log de autenticacin. Por ejemplo, en el formato del
mensaje de log de ejemplo, al nombre de usuario le sigue un espacio,
por lo que debe introducir \s para indicar que el campo de nombre
de usuario est delimitado por un espacio.
Prefijo de direccin: Especifique una cadena para que coincida
Especifique la cadena que debe extraerse de la direccin IP del
mensaje de log. Por ejemplo, usando el formato de Syslog de ejemplo
que aparece anteriormente, debe introducir la cadena Source: para
identificar el campo de log del que extraer la direccin.
Delimitador de direccin: Introduzca la cadena coincidente utilizada
para marcar el final del campo de direccin IP en el mensaje de
autenticacin realizada con xito. Por ejemplo, en el formato del
mensaje de log de ejemplo, a la direccin le sigue un salto de lnea,
por lo que debe introducir \n para indicar que el campo de direccin
est delimitado por una nueva lnea.
Palo Alto Networks

Campo
Descripcin
Supervisin de
servidor
Utilice esta seccin de la pantalla para definir los servidores de Microsoft

Exchange, controladores de dominio, servidores Novell eDirectory o
emisores de Syslog con el fin de supervisar eventos de inicio de sesin.
Por ejemplo, en un entorno AD, el agente supervisar los logs de seguridad
en busca de renovaciones o concesiones de tickets de Kerberos, acceso
al servidor Exchange (si est configurado) y conexiones de servicio de
impresin y archivo (en el caso de servidores supervisados). Puede
definir entradas para hasta 50 emisores de Syslog por sistema virtual y
hasta un total de 100 servidores supervisados, incluidos emisores de
Syslog, Microsoft Active Directory, Microsoft Exchange o Novell
eDirectory.
Nota: Recuerde que para

que los eventos AD se
registren en el log de
seguridad, el dominio AD
debe configurarse para
registrar eventos de inicio
de sesin de cuenta
correctos.
Puede aadir otros tipos de dispositivos para el descubrimiento de

informacin de asignacin de usuario (como controladores inalmbricos,
dispositivos 802.1 o servicios Network Access Control, NAC) que el
cortafuegos no puede supervisar directamente configurndolos como
emisores de Syslog. Esto es til en entornos donde ya hay configurado
otro dispositivos para autenticar usuarios finales. Para que esto funcione,
tambin debe configurar el cortafuegos para escuchar Syslog y definir
cmo filtrar los mensajes de Syslog entrantes para extraer la informacin
de asignacin de usuario. Consulte Definicin de perfiles de gestin de
interfaz para obtener ms informacin sobre cmo habilitar el servicio
de Syslog en la interfaz.
Para descubrir automticamente los controladores de dominio de
Microsoft Active Directory mediante DNS, haga clic en Descubrir.
El cortafuegos descubrir controladores de dominio basados en el nombre
de dominio introducido en el campo Dispositivo > Configuracin >
Gestin > Configuracin general Dominio. A continuacin, puede
habilitar los servidores que desea utilizar para obtener informacin de
asignacin de usuarios.
Nota: La funcin Descubrir funciona solo para controladores de dominio;
no puede utilizarla para descubrir automticamente servidores de Exchange o
eDirectory.
Para definir nuevos servidores de supervisin manualmente o emisores
de Syslog a los que escuchar, haga clic en Aadir y, a continuacin,
cumplimente los siguientes campos:
Nombre: Introduzca un nombre para el servidor.
Descripcin: Introduzca una descripcin del servidor que se debe
supervisar.
Habilitado: Seleccione la casilla de verificacin para habilitar la supervisin de log de este servidor.
Tipo: Seleccione el tipo de servidor que se debe supervisar (Microsoft
Active Directory, Microsoft Exchange, Novell eDirectory o emisor de
Syslog). Segn el tipo de servidor seleccionado, aparece uno o varios de
los siguientes campos:
Direccin de red: Introduzca la direccin IP o el nombre de dominio
completo (FQDN) del servidor de Exchange o Active Directory que
se debe supervisar.
Perfil de servidor: Seleccione el perfil de servidor LDAP que se debe
usar para conectar al servidor Novell eDirectory.
Tipo de conexin: Especifica si el agente del cortafuegos escuchar
los mensajes de Syslog en UDP (puerto 514) o SSL (puerto 6514).
Palo Alto Networks

Campo
Supervisin
de servidor
(Continuacin)
Descripcin
Filtro: Seleccione el filtro de Syslog que se debe usar para extraer
nombres de usuario y direcciones IP a partir de los mensajes de
Syslog recibidos desde este servidor.
Nombre de dominio predeterminado: (optativo) Especifique un
nombre de dominio que preceda al nombre de usuario si no hay
ningn nombre de dominio presente en la entrada de log.
Para terminar de aadir el servidor, haga clic en ACEPTAR. El cortafuegos tratar de conectar al servidor. Cuando se conecte correctamente,
el estado aparecer como Conectado. Si el cortafuegos no puede conectarse, el estado mostrar un error, como conexin rehusada o la conexin
ha agotado el tiempo de espera.
Incluir/excluir redes
Utilice esta seccin de la pestaa para definir subredes especficas que
deban incluirse o excluirse de la asignacin direccin de IP a nombre de
usuario. Por ejemplo, si excluye 10.1.1.0/24, el identificador de usuario
(User-ID) no intentar encontrar nombres de usuarios para direcciones IP
en el intervalo excluido. Esto, a su vez incluir o excluir intervalos para
asignaciones enviadas a otros cortafuegos de PAN-OS.
Cuando defina un intervalo de red de inclusin o exclusin, se realizar
una exclusin total implcita. Por ejemplo, si incluye 10.1.1.0/24, se
excluir el resto de redes. Si excluye 10.1.1.0/24, se excluirn todas las
redes, por lo que, cuando utilice la exclusin, tambin deber contar con
una red de inclusin. De lo contrario, todas las redes se excluyen de la
asignacin de usuario.
Para aadir una red incluida/excluida, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.
Nombre: Introduzca un nombre para identificar el perfil que incluir o
excluir una red para fines de descubrimiento de identificacin de
usuario (User-ID).
Habilitada: Seleccione esta opcin para habilitar el perfil incluir/excluir.
Descubrimiento: Seleccione la opcin para incluir o excluirel intervalo
de red definido.
Direccin de red: Introduzca el intervalo de red que le gustara incluir o
excluir del descubrimiento de asignacin de direccin IP a usuario.
Por ejemplo, 10.1.1.0/24.
Secuencia de red de inclusin exclusin personalizada: Le permite
especificar una orden en la que el cortafuegos debe evaluar qu redes
deben incluirse o excluirse de la asignacin de usuario. Si no especifica
una secuencia personalizada, el cortafuegos evaluar la lista en el orden
en el que se hayan aadido las entradas.

Utilice la pestaa Agentes de ID de usuarios para configurar el cortafuegos y que interacte
con los agentes de identificacin de usuarios (agentes de User-ID) instalados en los servidores
del directorio de la red o con los cortafuegos configurados para identificacin de usuarios que
no tengan agentes en el intercambio de informacin de asignacin de direccin IP a usuario.
El agente de identificacin de usuario (User-ID) recopila informacin de asignacin de
direccin IP a nombre de usuario en los recursos de red y la proporciona al cortafuegos para
su uso en logs y polticas de seguridad.
Palo Alto Networks
La asignacin de identificacin de usuario necesita que el cortafuegos obtenga la

direccin IP origen del usuario antes de que la direccin IP se traduzca con NAT.
Si varios servidores tienen la misma direccin origen, debido a NAT o por el uso de
un dispositivo proxy, no ser posible una identificacin de usuario precisa.
En entornos donde otros dispositivos de red ya estn autenticando usuarios, puede
configurar el servicio de autenticacin para que reenve logs de eventos al agente de
identificacin de usuario que utiliza Syslog. El agente podra entonces extraer los
eventos de autenticacin desde los Syslogs y aadirlos a las asignaciones de
direccin IP a nombre de usuario de identificacin de usuario.
Para aadir un nuevo agente de identificacin de usuario a la lista de agentes con los que
se comunica este cortafuegos, haga clic en Aadir y, a continuacin, complete los siguientes
campos.
Tabla 188. Configuracin del agente de ID de usuario (User-ID)

Campo
Descripcin
Nombre
Introduzca un nombre para identificar al agente de identificacin de

usuario (User-ID) (hasta 31 caracteres). El nombre hace distincin entre
Host
Introduzca la direccin IP del host de Windows en el que est instalado el

agente de identificacin de usuarios (User-ID).
Puerto
Introduzca el nmero de puerto en el que est configurado el servicio

del agente de identificacin de usuarios (User-ID) para escuchar las
solicitudes del cortafuegos. El nmero predeterminado del puerto del
servicio del agente de identificacin de usuarios (User-ID) de Windows es
5007. Sin embargo, puede utilizar cualquier puerto disponible siempre
que el cortafuegos y el servicio del agente de identificacin de usuarios
utilicen el mismo valor. Adems, puede utilizar distintos nmeros de
puerto en diferentes agentes.
Nota: Algunas versiones anteriores del agente de identificacin de usuarios
utilizan 2010 como el puerto predeterminado.
Nombre del recopilador
Si este cortafuegos est recibiendo informacin de asignacin de usuario

de otro cortafuegos configurado para redistribucin, especifique el
nombre del recopilador configurado en el cortafuegos que recopilar los
datos de asignacin del usuario (se muestra en la pestaa Dispositivo >
Identificacin de usuarios > Asignacin de usuario).
Clave precompartida del

recopilador/Confirmar
clave precompartida del
recopilador
Introduzca la clave precompartida que se utilizar para autorizar la

conectividad de SSL entre el agente de ID de usuarios y el cortafuegos
que acta como un punto de distribucin para la asignacin de usuarios.
Utilizar como Proxy

LDAP
Seleccione la casilla de verificacin para utilizar este agente de

identificacin de usuarios (User-ID) como proxy de LDAP para las
consultas al servidor LDAP (en lugar de que el cortafuegos se conecte
directamente al servicio de directorio). Esta opcin es til en entornos
donde se deseable el almacenamiento en cach o no es posible el acceso
directo del cortafuegos al servidor del directorio.
Palo Alto Networks
Tabla 188. Configuracin del agente de ID de usuario (User-ID) (Continuacin)

Campo
Descripcin
Utilizar para
autenticacin NTLM
Seleccione la casilla de verificacin para utilizar el agente de ID de

usuarios configurado para comprobar la autenticacin de cliente de
NTLM desde el portal cautivo con el dominio de Active Directory.
Habilitado
Seleccione la casilla de verificacin para permitir que el cortafuegos se

comunique con este agente de identificacin de usuarios.
Para terminar de aadir la entrada del agente de identificacin de
usuarios (User-ID), haga clic en ACEPTAR. El nuevo agente de
identificacin de usuarios aparece en la lista de agentes. Compruebe
que el icono de la columna Conectado es verde, lo que indica que el
cortafuegos puede comunicarse correctamente con el agente. Haga clic
en Actualizar conectados para intentar volver a conectar con los agentes
configurados. Si desea que el cortafuegos se comunique con agentes en
orden concreto (por ejemplo, basndose en su proximidad a ellos o en
si son una copia de seguridad o principal), haga clic en Secuencia de
agente personalizada y, a continuacin, ordene los agentes en el orden
que desee.

Utilice la pestaa Agentes de servicios de terminal para configurar el cortafuegos y que
interacte con los agentes de servicios de terminal (agentes TS) instalados en el red. El agente
TS identifica los usuarios individuales que admite el mismo servidor de terminal y que, por lo
tanto, tienen la misma direccin IP. El agente TS de un servidor terminal identifica a usuarios
individuales asignando intervalos de un puerto especfico a cada uno de los usuarios. Cuando
se asigna un intervalo de puerto a un usuario particular, el Agente de servicios de terminal
notifica el intervalo de puerto asignado a cada cortafuegos por lo que esa poltica se puede
aplicar basndose en usuarios y grupos de usuarios.
Para aadir un agente TS a la configuracin de cortafuegos, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.
Tabla 189. Configuracin de agentes de servicios de terminal

Campo
Descripcin
Nombre
Introduzca un nombre para identificar el agente TS (de hasta 31 caracteres). El nombre hace distincin entre maysculas y minsculas y debe
guiones bajos.
Host
Introduzca la direccin IP del servidor del terminal en el que est

instalado el agente TS.
Puerto
Introduzca el nmero de puerto en el que est configurado el servicio del

agente TS para comunicarse con el cortafuegos. El puerto predeterminado
es 5009.
Palo Alto Networks
Tabla 189. Configuracin de agentes de servicios de terminal (Continuacin)

Campo
Descripcin
Direcciones IP
alternativas
Si el servidor de terminal donde est instalado el agente TS tiene varias

direcciones IP que pueden aparecer como la direccin IP de origen para el
trfico saliente, haga clic en Aadir y, a continuacin, introduzca hasta
ocho direcciones IP adicionales.
Habilitado
Seleccione la casilla de verificacin para permitir que el cortafuegos se

comunique con este agente de identificacin de usuarios.
Para terminar de aadir la entrada del agente TS, haga clic en ACEPTAR.
El nuevo agente TS aparece en la lista de agentes. Compruebe que el
icono de la columna Conectado es verde, lo que indica que el cortafuegos
puede comunicarse correctamente con el agente. Haga clic en Actualizar
conectados para intentar volver a conectar con los agentes configurados.

Para definir las polticas de seguridad basndose en usuarios o grupos, el cortafuegos
debe recuperar la lista de grupos y la correspondiente lista de miembros de su servidor de
directorio. Para habilitar esta funcin, debe crear un perfil de servidor LDAP que indique al
cortafuegos cmo conectarse al servidor de directorios LDAP y autenticarse. El cortafuegos
admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active Directory
(AD), Novell eDirectory y Sun ONE Directory Server.
Despus de crear el perfil de servidor, utilice la pestaa Asignacin de grupos para definir
cmo buscar en el directorio la informacin de grupos y usuarios.
Para aadir configuracin de asignacin de grupos, haga clic en Aadir y, a continuacin,
introduzca un nombre nico para identificar la configuracin. El nombre distingue entre
maysculas y minsculas y puede tener hasta 31 caracteres, incluidas letras, nmeros,
espacios, guiones y guiones bajos. A continuacin, debe completar los campos de las
siguientes pestaas secundarias:
Pestaa secundaria Perfil de servidor
Pestaa secundaria Lista de inclusin de grupos
Pestaa secundaria Perfil de servidor

Utilice la pestaa secundaria Perfil de servidor para seleccionar un perfil de servidor LDAP
que se utilizar para la asignacin de grupos y especifique cmo buscar en el directorio
objetos especficos que contengan informacin de grupo y usuario.
Tabla 190. Configuracin del perfil de servidor de asignacin de grupos

Campo
Descripcin
Perfil de servidor
Seleccione el perfil de servidor LDAP que se debe utilizar para la

asignacin de grupos en este cortafuegos. Para obtener instrucciones
sobre cmo crear un perfil de servidor LDAP, consulte la gua de inicio de
PAN-OS.
Intervalo de
actualizacin
Especifique el intervalo (segundos) tras el cual el cortafuegos iniciar una

conexin con el servidor de directorios LDAP para obtener actualizaciones
realizadas en grupos que se utilizan en polticas de cortafuegos (intervalo
de 60 a 86.400 segundos).
Palo Alto Networks
Tabla 190. Configuracin del perfil de servidor de asignacin de grupos (Continuacin)

Campo
Descripcin
Objetos de grupo
Filtro de bsqueda: Especifique una consulta LDAP que se puede

utilizar para controlar qu grupos se recuperan y siguen.
Clase de objeto: Especifique la definicin de un grupo. Por ejemplo,
el valor predeterminado es objectClass=group, lo que significa que el
sistema recupera todos los objetos en el directorio que coinciden con el
filtro de grupo y cuentan con objectClass=group.
Nombre de grupo: Introduzca el atributo que especifica el nombre del
grupo. Por ejemplo, en Active Directory, este atributo es CN (Nombre
comn).
Miembro del grupo: Especifique el atributo que contiene los miembros
de este grupo. Por ejemplo, en Active Directory, este atributo es
miembro.
Objetos de usuario
Filtro de bsqueda: Especifique una consulta LDAP que se puede

utilizar para controlar qu usuarios se recuperan y siguen.
Clase de objeto: Especifique la definicin de un objeto de usuario.
Por ejemplo, en Active Directory, el objectClass es usuario.
Nombre de usuario: Especifique el atributo para el nombre de usuario.
Por ejemplo, en Active Directory, el atributo de nombre de usuario
predeterminado es samAccountName.
Dominios de correo
Cuando el cortafuegos recibe un log de WildFire por un correo

electrnico malintencionado, la informacin del receptor del correo
electrnico se hace coincidir con la informacin de usuario recogida por
el ID de usuario (User-ID) El log contendr un enlace para el usuario y,
cuando se haga clic en l, aparecer el ACC y el usuario lo filtrar. Si el
correo electrnico se enva a una lista de distribucin, los usuarios que
contiene la lista filtran el ACC.
El encabezado de correo electrnico y la informacin del ID de usuario
(User-ID) le ayudarn a realizar un seguimiento rpido y a evitar las
amenazas que lleguen por correo electrnico, facilitando la identificacin
de usuarios que han recibido el correo electrnico.
Atributos de correo electrnico: Este campo se rellena automticamente segn el tipo de servidor de LDAP (Sun/RFC, Active Directory
y Novell).
Lista de dominios: Introduzca la lista de dominios de correo electrnico
de su organizacin usando una lista separada por comas de hasta 256
caracteres.
Habilitado
Para habilitar este perfil de usuario para la asignacin de grupos,

asegrese de que esta casilla de verificacin est seleccionada.
Pestaa secundaria Lista de inclusin de grupos

Utilice la pestaa secundaria Lista de inclusin de grupos para limitar el nmero de grupos
que aparecen cuando se crea una poltica de seguridad. Busque en el rbol de LDAP los
grupos cuyo uso desea en la poltica. En el caso de cada grupo que desee incluir, seleccinelo
en la lista Grupos disponibles y haga clic en el icono de adicin
para moverlo a la lista
Grupos incluidos. Haga clic en el icono
para eliminar grupos de la lista. Repita este paso
con cada grupo cuyo uso desea en las polticas y, a continuacin, haga clic en ACEPTAR para
guardar la lista de grupos incluidos.
Palo Alto Networks

Utilice la pestaa Configuracin de portal cautivo para configurar la autenticacin de
portal cautivo en el cortafuegos. Si el cortafuegos recibe una solicitud de una zona que tiene
habilitado identificacin de usuarios (User-ID) y la direccin IP de origen no tiene datos de
usuario asociados con la misma todava, comprobar su poltica de portal cautivo en busca
de una coincidencia para determinar si se realizar la autenticacin. Esto es de utilidad en
entornos donde tenga clientes que no hayan iniciado sesin en sus servidores de dominio,
como clientes Linux. Este mtodo de asignacin de usuarios nicamente se activa para el
trfico web (HTTP o HTTPS) que coincida con una poltica/regla de seguridad, pero que no
se haya asignado utilizando un mtodo diferente. Para el trfico que no se basa en web o el
trfico que no coincide con una poltica de portal cautivo, el cortafuegos utiliza sus polticas
de seguridad basadas en IP, en lugar de utilizar las basadas en usuarios.
Para establecer o editar la configuracin de portal cautivo, haga clic en el icono Editar
a continuacin, complete los siguientes campos:
Tabla 191.
y,
Configuracin de portal cautivo
Campo
Descripcin
Habilitado
Seleccione esta casilla de verificacin para habilitar el portal cautivo para

la identificacin de usuario.
Temporizador de
inactividad (minutos)
Esta es la configuracin TTL (Tiempo de vida de usuario) para una

sesin de portal cautivo. Este temporizador se restaura cada vez que
hay actividad de un usuario del portal cautivo. Si el tiempo que un
usuario permanece inactivo supera el del temporizador de inactividad,
la asignacin del usuario del portal cautivo se eliminar y el usuario
tendr que volver a iniciar sesin. (1-1440 minutos, valor predeterminado:
15 minutos).
Caducidad (min)
Duracin mxima del TTL, mxima cantidad de tiempo que una sesin
del portal cautivo puede permanecer asignada. Una vez transcurrido el
tiempo de vencimiento, la asignacin se eliminar y los usuario tendrn
que volver a autenticarse incluso aunque la sesin siga activa. Este
temporizador se utiliza para garantizar las asignaciones obsoletas y el
valor establecido aqu anula el tiempo de espera de inactividad. Por lo
tanto, se recomienda que establezca el vencimiento en un valor superior
al del temporizador de inactividad (intervalo 1 - 1440 minutos; valor
predeterminado: 60 minutos).
Redirigir host
(Solo modo Redirigir) Especifique el nombre de host de intranet que

resuelve a la direccin IP de la interfaz de capa3 a la que est redirigiendo
solicitudes.
Certificado de servidor
(nicamente en el modo Redirigir) Seleccione el certificado de servidor

que debera utilizar el cortafuegos para redirigir solicitudes a travs de
SSL. Para redirigir usuarios de forma transparente sin mostrar errores
de certificado, instale un certificado que coincida con la direccin IP
de la interfaz a la que est redirigiendo solicitudes. Puede generar un
certificado autofirmado o importar un certificado firmado por una CA
externa.
Nota: Si selecciona Ninguno, el cortafuegos utilizar el certificado local
predeterminado para la conexiones SSL.
Palo Alto Networks
Tabla 191.
(Continuacin)Configuracin de portal cautivo
Campo
Descripcin
Seleccione el perfil de autenticacin que se debe utilizar para autenticar

usuarios que se redirigen a un formulario web para su autenticacin.
Tenga en cuenta que incluso aunque planee utilizar NTLM para la
autenticacin, debe configurar un perfil de autenticacin o un perfil de
certificado para autenticar usuarios por si la autenticacin de NTLM falla
o no se puede utilizar porque el cliente o el explorador no la admite.
Modo
Seleccione uno de los siguientes modos para definir la forma en que se

capturan las solicitudes web para la autenticacin:
Transparente: El cortafuegos intercepta el trfico del explorador
mediante la regla de portal cautivo y representa la URL de destino
original, emitiendo un HTTP 401 para invocar la autenticacin. Sin
embargo, como el cortafuegos no tiene el certificado real para la URL
de destino, el explorador mostrar un error de certificado a los usuarios
que intenten acceder a un sitio seguro. Por lo tanto, nicamente debera
utilizar este modo cuando sea absolutamente necesario, como en
implementaciones de capa 2 o cable virtual (Virtual Wire).
Redirigir: El cortafuegos intercepta sesiones de HTTP o HTTPS
desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos
utilizando una redireccin HTTP 302 para realizar la autenticacin.
Este es el modo preferido porque proporciona una mejor experiencia
de usuario final (sin errores de certificado). Sin embargo, requiere una
configuracin de capa 3 adicional. Otra ventaja del modo Redirigir es
que permite el uso de cookies de sesin, que permiten que el usuario
siga explorando sitios autenticados sin tener que volver a asignar cada
vez que venza el tiempo. Esto es de especial utilidad para los usuarios
que se desplazan de una direccin IP a otra (por ejemplo, de la LAN
corporativa a la red inalmbrica) porque no tendrn que volver a
autenticar al cambiar de direccin IP siempre que la sesin permanezca
abierta. Adems, si tiene la intencin de utilizar la autenticacin de
NTLM, deber utilizar el modo Redirigir porque el explorador
nicamente proporcionar credenciales a sitios fiables.
Para utilizar el portal cautivo en modo de redireccionamiento, debe

habilitar pginas de respuesta en el perfil de gestin de la interfaz
asignado a la interfaz Capa 3 a la que est redirigiendo el portal cautivo.
Consulte Definicin de perfiles de gestin de interfaz y Configuracin
de una interfaz Ethernet de capa 3.
Cookie de sesin
Habilitar: Seleccione la casilla de verificacin para habilitar las cookies

de sesin. Esta opcin solo es vlida si selecciona Redirigir como Modo.
Tiempo de espera: Si las cookies de sesin estn habilitadas, este temporizador especifica el nmero de minutos que la cookie de una sesin
es vlida. (intervalo: 60 - 10080 minutos; valor predeterminado: 1440
minutos).
Movilidad: Seleccione la casilla de verificacin para mantener la cookie
si la direccin IP cambia mientras la sesin est activa (por ejemplo, si el
cliente cambia de una red con cable a una red inalmbrica). El usuario
solo tendr que volver a autenticarse si la cookie agota el tiempo de
espera o el usuario cierra el explorador.
Palo Alto Networks
Tabla 191.
(Continuacin)Configuracin de portal cautivo
Campo
Descripcin
Autenticacin del
certificado
Perfil del certificado: Seleccione el perfil del certificado que se debe

utilizar para autenticar a los usuarios del portal cautivo. Cuando utiliza
este tipo de autenticacin, el portal cautivo pedir al explorador que
presente un certificado de cliente vlido para autenticar al usuario. Para
utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado
para emitir esos certificados en el cortafuegos. Este es el nico mtodo de
autenticacin que habilita una autenticacin transparente para clientes de
Mac OS y Linux.
Autenticacin de NTLM
Cuando el portal cautivo se configura para la autenticacin NTLM, el

cortafuegos utiliza un mecanismo de respuesta por desafo cifrado para
obtener las credenciales de usuario del explorador. Si se configura correctamente, el explorador proporcionar las credenciales al cortafuegos de
manera transparente sin preguntar al usuario, pero mostrar un mensaje
de solicitud de credenciales si es necesario. Si el explorador no puede
realizar la autenticacin NTLM o esta falla, el cortafuegos retroceder a
una autenticacin con formato web o certificado de cliente, dependiendo
de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar
clientes que no sean de Windows. Para configurar NTLM para su uso con
agentes de identificacin de usuarios (User-ID) basados en Windows,
especifique lo siguiente:
Intentos: Especifique el nmero de intentos antes de que falle la autenticacin de NTLM (intervalo: 1-60; valor predeterminado: 1).
Tiempo de espera: Especifique el nmero de segundos antes de que se
agote el tiempo de espera de la autenticacin de NTLM (intervalo: 1-60;
valor predeterminado: 2 segundos).
Tiempo de revisin: Especifique el tiempo despus del que el cortafuegos vuelva a intentar ponerse en contacto con el primer agente en
la lista de los agentes de ID de usuarios cuando el agente deje de estar
disponible (intervalo: 60-3600 segundos; valor predeterminado: 300
segundos).
Estas opciones solo se aplican a los agentes de identificacin de usuarios

(User-ID) instalados en los servidores de dominio. Al utilizar el agente
de identificacin de usuarios incluido en el dispositivo, el cortafuegos
debe poder resolver correctamente el nombre de DNS de su controlador
de dominio para que el cortafuegos se una al dominio. A continuacin,
puede habilitar la autenticacin de NTLM en la pestaa Asignacin de
usuario y proporcionar las credenciales para que el cortafuegos se una al
dominio. Para obtener instrucciones detalladas, consulte la gua de inicio
de PAN-OS.
Palo Alto Networks
Palo Alto Networks
Captulo 8
Configuracin de tneles de IPSec

Esta seccin describe la tecnologa de red privada virtual (VPN) bsica y proporciona
informacin detallada sobre la configuracin de VPN de seguridad de IP (IPSec) en
cortafuegos de Palo Alto Networks.
Consulte los siguientes temas:
Definicin de puertas de enlace de IKE
Definicin de perfiles criptogrficos de IKE
Definicin de perfiles criptogrficos de IPSec
Definicin de puertas de enlace de IKE

Red > Perfiles de red > Puertas de enlace de IKE
Utilice esta pgina para definir puertas de enlace que incluyan la informacin de
configuracin necesaria para realizar la negociacin del protocolo IKE con puertas de
enlace del peer.
Para configurar una puerta de enlace de IKE, usa las dos pestaas siguientes:
Pestaa General de puerta de enlace de IKE
Pestaa Opciones de fase 1 avanzadas de puertas de enlace de IKE
Palo Alto Networks
Configuracin de tneles de IPSec 357
Pestaa General de puerta de enlace de IKE

Tabla 192. Configuracin general de la puerta de enlace
Campo
Descripcin
Nombre
Introduzca un nombre para identificar la puerta de enlace (de hasta 31

y guiones bajos.
Interfaz
Especifique la interfaz del cortafuegos saliente.
Direccin IP local
Seleccione la direccin IP de la interfaz local que es el extremo del tnel.
Tipo de peer
Direccin IP esttica u opcin dinmica del peer del extremo ms alejado

del tnel.
Direccin IP del peer
Si se selecciona la opcin Esttico para el tipo de peer, especifique la

direccin IP del peer del extremo ms alejado del tnel.
Anterior a la clave
compartida
Introduzca una clave de seguridad que se utilizar para la autenticacin a

travs del tnel. Se aplica a los tipos de peer estticos y dinmicos.
Confirmar clave
precompartida
Pestaa Opciones de fase 1 avanzadas de puertas de enlace de IKE

Tabla 193. Configuracin general de la puerta de enlace
Campo
Descripcin
Identificacin local
Seleccione entre los siguientes tipos e introduzca el valor: Direccin IP,

FQDN (nombre de host), FQDN de usuario (direccin de correo electrnico) y KEYID (cadena de ID de formato binario en hexadecimal). Si no se
especifica ningn valor, la direccin IP local se utilizar como el valor de
identificacin local.
Identificacin del peer
Seleccione entre los siguientes tipos e introduzca el valor: Direccin IP,

FQDN (nombre de host), FQDN de usuario (direccin de correo electrnico) y KEYID (cadena de ID de formato binario en hexadecimal). Si no se
especifica ningn valor, la direccin IP del peer se utilizar como el valor
de identificacin del peer.
Modo de intercambio
Seleccione Automtico, Agresivo o Principal.
Perfil criptogrfico
de IKE
Seleccione un perfil existente o mantenga el perfil predeterminado.
Habilitar modo pasivo
Seleccione esta opcin para que el cortafuegos nicamente responda a las

conexiones de IKE y nunca las inicie.
358 Configuracin de tneles de IPSec
Palo Alto Networks
Tabla 193. Configuracin general de la puerta de enlace (Continuacin)

Campo
Descripcin
Habilitar NAT
Transversal
Seleccione esta opcin para utilizar la encapsulacin UDP en los

protocolos IKE y UDP, permitindoles pasar a travs de dispositivos
de NAT intermedios.
La NAT transversal se utiliza cuando se han establecido direcciones de
NAT entre los puntos de finalizacin de VPN de IPSec.
Deteccin de fallo
del peer
Seleccione la casilla de verificacin para habilitar e introducir un intervalo

(2-100 segundos) y un retraso antes de volver a intentarlo (2-100 segundos).
La deteccin de fallo del peer identifica peers de IKE inactivos o no
disponibles a travs de un ping ICMP y puede ayudar a restablecer
recursos que se pierden cuando un peer no est disponible.
Cuando se establece que un dispositivo utilice el modo de intercambio Automtico,

puede aceptar solicitudes de negociacin tanto del modo principal como del modo
agresivo; sin embargo, siempre que sea posible, inicia la negociacin y permite
intercambios en el modo principal.
Debe configurar el dispositivo del peer con el modo de intercambio coincidente para
permitir que acepte solicitudes de negociacin iniciadas desde el primer dispositivo.

Red > Tneles de IPSec
Utilice la pgina Tneles de IPSec para configurar los parmetros necesarios para establecer
tneles de VPN de IPSec entre cortafuegos.
Para configurar un tnel IPSec, use las dos pestaas siguientes:
Pestaa General del tnel IPSec
Pestaa Identificador proxy de Tnel de IPSec
Consulte lo siguiente cuando vea el estado del tnel IPSec:
Visualizacin del estado del tnel de IPSec en el cortafuegos
Palo Alto Networks
Pestaa General del tnel IPSec

Tabla 194. Configuracin de pestaa General del tnel IPSec
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el tnel (de hasta 63 caracteres).

guiones bajos.
El lmite de 63 caracteres de este campo incluye el nombre del tnel
adems del ID de proxy, que est separado por dos puntos.
Interfaz de tnel
Seleccione una interfaz de tnel existente o haga clic en Nueva interfaz

de tnel para crear una nueva interfaz de tnel. Para obtener informacin
acerca de la creacin de una interfaz de tnel, consulte Configuracin de
una interfaz de tnel.
Tipo
Seleccione si se utilizar una clave de seguridad generada automticamente o introducida manualmente. Se recomienda seleccionar Clave
automtica.
Clave automtica
Si selecciona Clave automtica, especifique lo siguiente:

Puerta de enlace de IKE: Consulte Definicin de puertas de enlace de
IKE para obtener descripciones de los ajustes de puertas de enlace
de IKE.
Perfil criptogrfico de IPSec: Seleccione un perfil existente o mantenga
el perfil predeterminado. Para definir un nuevo perfil, haga clic en
Nuevo y siga las instrucciones de Definicin de perfiles criptogrficos
de IPSec.
Avanzado
Habilitar proteccin de reproduccin: Seleccione esta opcin para
proteger la reproduccin ante ataques.
Copiar encabezado de TOS: Copie el encabezado de TOS (Tipo de
servicio) desde el encabezado IP interno en el encabezado IP externo
de los paquetes encapsulados con el fin de conservar la informacin
original de TOS.
Monitor de tnel: Seleccione esta opcin para alertar al administrador
de dispositivo de los fallos del tnel y proporcionar una conmutacin
por error automtica a otra interfaz. Tenga en cuenta que deber
asignar una direccin IP a la interfaz de tnel para su supervisin.
IP de destino: Especifique una direccin IP en el otro lado del tnel
que el supervisor de tnel utilizar para determinar si el tnel
funciona correctamente.
Perfil: Seleccione un perfil existente que determine las acciones que
se realizarn si falla el tnel. Si la accin especificada en el perfil del
supervisor es Esperar recuperacin, el cortafuegos seguir utilizando
la interfaz de tnel en decisiones de enrutamiento como si el tnel
siguiera activo. Si se utiliza la accin de conmutacin por error, el
cortafuegos deshabilitar la interfaz de tnel, deshabilitando de este
modo todas las rutas de la tabla de enrutamiento que utilicen la
interfaz. Para obtener ms informacin, consulte Definicin de
perfiles de supervisin.
Palo Alto Networks
Tabla 194. Configuracin de pestaa General del tnel IPSec (Continuacin)

Campo
Clave manual
Descripcin
Si selecciona Clave manual, especifique lo siguiente:
SPI local: Especifique el ndice de parmetros de seguridad (SPI) local
para los paquetes transversales desde el cortafuegos local hasta el peer.
SPI es un ndice hexadecimal que se aade al encabezado para ayudar a
los tneles de IPSec a diferenciar entre flujos de trfico de IPSec.
Interfaz: Seleccione la interfaz que es el extremo del tnel.
Direccin local: Seleccione la direccin IP de la interfaz local que es el
extremo del tnel.
SPI remoto: Especifique el ndice de parmetros de seguridad (SPI)
remoto para los paquetes transversales desde el cortafuegos remoto
hasta el peer.
Protocolo: Seleccione el protocolo para el trfico a travs del tnel (ESP
o AH).
Autenticacin: Seleccione el tipo de autenticacin para el acceso al tnel
(SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna).
Clave/Confirmar clave: Introduzca y confirme una clave de autenticacin.
Cifrado: Seleccione una opcin de cifrado para el trfico de tnel (3des,
aes128, aes192, aes256, aes128ccm16 o Null [sin cifrado]).
Clave/Confirmar clave: Introduzca y confirme una clave de cifrado.
Satlite de GlobalProtect
Si selecciona Satlite de GlobalProtect, especifique lo siguiente:

Nombre: Introduzca un nombre para identificar el tnel (de hasta 31
caracteres). El nombre hace distincin entre maysculas y minsculas
Interfaz de tnel: Seleccione una interfaz de tnel existente o haga clic
en Nueva interfaz de tnel.
Direccin IP del portal: Introduzca la direccin IP del portal de GlobalProtect.
Interfaz: Seleccione la interfaz en la lista desplegable que sea la interfaz
de salida (egress) para llegar al portal de GlobalProtect.
Direccin IP local: Introduzca la direccin IP de la interfaz de salida
(egress) que se conecta con el portal de GlobalProtect.
Opciones avanzadas
Publicar todas las rutas estticas y conectadas hacia la puerta de
enlace: Seleccione esta opcin para publicar todas las rutas desde el
dispositivo satlite hacia la puerta de enlace de GlobalProtect en la que
este satlite est conectado.
Subred: Haga clic en Aadir para aadir subredes locales manualmente
para la ubicacin del satlite. Si otros satlites estn utilizando la misma
informacin de subred, debe aplicar la NAT a todo el trfico hacia la IP
de interfaz de tnel. Asimismo, el satlite no debe compartir rutas en
este caso, as que todo el enrutamiento se realizar a travs de la IP
de tnel.
Entidad de certificacin externa: Seleccione esta opcin si va a utilizar
una CA externa para gestionar certificados. Una vez haya generado
sus certificados, deber importarlos al dispositivo y seleccionar el
Certificado local y el Perfil del certificado que se utilizarn.
Palo Alto Networks
Pestaa Identificador proxy de Tnel de IPSec

Tabla 195.
Configuracin de la pestaa General de Tnel IPSec
Campo
Descripcin
Identificador proxy
Haga clic en Aadir e introduzca un nombre para identificar el proxy.
Local
Introduzca una subred o direccin IP con el formato direccin_ip/mscara
(por ejemplo, 10.1.2.1/24).

Remoto
Si el peer lo requiere, introduzca una subred o direccin IP con el formato

direccin_ip/mscara (por ejemplo, 10.1.1.1/24).
Protocolo
Especifique los nmeros de protocolo y puerto para los puertos locales y

remotos:
Nmero: Especifique el nmero de protocolo (utilizado para la interoperabilidad con dispositivos de terceros).
Cualquiera: Permita el trfico de TCP y/o UDP.
TCP: Especifique los nmeros de puertos TCP locales y remotos.
UDP: Especifique los nmeros de puertos UDP locales y remotos.
Cada ID de proxy configurado se tendr en cuenta a la hora de calcular la

capacidad de tnel de VPN de IPSec del cortafuegos.
Visualizacin del estado del tnel de IPSec en el cortafuegos

Red > Tneles de IPSec
Para ver el estado de los tneles de VPN de IPSec definidos actualmente, abra la pgina
Tneles de IPSec. En la pgina se indica la siguiente informacin de estado:
Estado del tnel (primera columna de estado): El color verde indica un tnel de SA de
IPSec. El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE
vlidas. El color rojo indica que la SA de IKE de fase 1 no est disponibles o ha vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO). El color rojo indica que la interfaz de tnel est desactivada porque
el supervisor de tnel est habilitado y el estado es DESACTIVADO.
Palo Alto Networks
Definicin de perfiles criptogrficos de IKE

Red > Perfiles de red > Criptogrfico de IKE
Utilice la pgina Perfiles criptogrficos de IKE para especificar protocolos y algoritmos para
la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la negociacin
de SA de IPSec (IKEv1
de fase 1).
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione el elemento y,
a continuacin, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden
determina la primera opcin cuando se negocian los ajustes con un peer remoto. En primer
lugar se intenta el ajuste de la parte superior de la lista, continuando hacia abajo en la lista
hasta que un intento tiene xito.
Tabla 196. Configuracin de perfiles criptogrficos de IKE

Campo
Descripcin
Grupo DH
Especifique la prioridad de grupos Diffie-Hellman (DH). Haga clic

en Aadir y seleccione grupos. Para mayor seguridad, seleccione un
elemento y, a continuacin, haga clic en el icono Mover hacia arriba o
Mover hacia abajo para mover los grupos con identificadores numricos
ms altos a la parte superior de la lista. Por ejemplo, mueva el grupo14
encima del grupo2.
Autenticacin
Especifique la prioridad de los algoritmos de hash. Haga clic en Aadir y

seleccione los algoritmos (MD5, SHA1, SHA256, SHA384 o SHA512). Para
mayor seguridad, utilice las flechas para mover SHA1 a la parte superior
de la lista.
Cifrado
Seleccione las casillas de verificacin para las opciones de autenticacin

de carga de seguridad encapsulada (ESP) deseada. Haga clic en Aadir
y seleccione los algoritmos (aes256, aes192, aes128 o 3des). Para mayor
seguridad, seleccione un elemento y, a continuacin, haga clic en el icono
Mover hacia arriba o Mover hacia abajo para cambiar el orden por el
siguiente: aes256, aes192, aes128, 3des.
Duracin
Seleccione unidades e introduzca la cantidad de tiempo que la clave

negociada permanecer efectiva.
Palo Alto Networks
Definicin de perfiles criptogrficos de IPSec

Red > Perfiles de red > Criptogrfico de IPSec
Utilice la pgina Perfiles criptogrficos de IPSec para especificar protocolos y algoritmos
para la identificacin, la autenticacin y el cifrado en tneles de VPN basndose en la
negociacin de SA de IPSec (IKEv1 de fase 2).
Tabla 197. Configuracin de perfiles criptogrficos de IPSec

Campo
Descripcin
Nombre

guiones bajos.
Protocolo de IPSec
Seleccione una opcin de la lista desplegable.

ESP:
Haga clic en Aadir bajo Cifrado y seleccione los algoritmos de cifrado
de ESP deseados. Para mayor seguridad, utilice las flechas para cambiar
el orden de lo siguiente: 3des, aes128, aes192, aes256 o aes128ccm16.
Haga clic en Aadir bajo Autenticacin y seleccione los algoritmos de
autenticacin de ESP deseados (MD5, SHA1, SHA256, SHA384, SHA512
o Ninguna).
AH:
Haga clic en Aadir bajo Autenticacin y seleccione los algoritmos
de autenticacin de AH deseados (MD5, SHA1, SHA256, SHA384 o
SHA512).
Grupo DH
Seleccione el grupo DH. Para mayor seguridad, seleccione el grupo con el

identificador ms alto.
Duracin
Seleccione unidades e introduzca la cantidad de tiempo que la clave

negociada permanecer efectiva. El valor predeterminado es de 1 hora.
Duracin
Seleccione unidades opcionales e introduzca la cantidad de datos que la

clave puede utilizar para el cifrado.
Para cambiar el orden en el que se enumera un algoritmo o grupo, seleccione un elemento y, a

continuacin, haga clic en el icono Mover hacia arriba o Mover hacia abajo. El orden de la lista
determina el orden en el que se aplican los algoritmos y puede afectar al rendimiento del tnel.
Palo Alto Networks
Captulo 9
Configuracin de GlobalProtect
Configuracin del portal de GlobalProtect
Red > GlobalProtect > Portales
Utilice esta pgina para configurar y gestionar la configuracin de un portal de GlobalProtect.
El portal proporciona las funciones de gestin para la infraestructura de GlobalProtect.
Todos los sistemas clientes que participan en la red de GlobalProtect recibe informacin de
configuracin desde el portal, incluida informacin sobre las puertas de enlace disponibles,
as como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace.
Adems, el portal controla el comportamiento y la distribucin del software del agente de
GlobalProtect para los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin
GlobalProtect se distribuye a travs de la Apple App Store para los dispositivos iOS o
mediante Google Play para dispositivos Android.)
Para aadir una configuracin de portal, haga clic en Aadir para abrir el cuadro de dilogo
Portal de GlobalProtect. Para obtener informacin detallada sobre los campos de todas las
pestaas del cuadro de dilogo, consulte las siguientes secciones:
Pestaa Configuracin de portal
Pestaa Configuracin clientes
Pestaa Configuracin Satlite
Para obtener instrucciones detalladas sobre cmo configurar el portal, consulte la seccin para
configurar un portal de GlobalProtect en la gua del administrador de GlobalProtect.
Pestaa Configuracin de portal

Utilice la pestaa Configuracin de portal para definir la configuracin de red de forma
que permita a los agentes conectarse al portal y especificar cmo autenticar el portal a los
clientes finales.
Adems, puede utilizar esta pestaa para especificar, de forma optativa, el inicio de sesin
personalizado de portal de GlobalProtect y las pginas de ayuda. Para obtener informacin
sobre cmo crear e importar estas pginas personalizadas, consulte la seccin sobre personalizacin de las pginas de inicio de sesin de portal, bienvenida y ayuda de portal en la gua del
administrador de GlobalProtect.
Palo Alto Networks
Configuracin de GlobalProtect 365
Tabla 198. Configuracin del portal de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para el portal (de hasta 31 caracteres). El nombre

Ubicacin
Seleccione el sistema virtual, si la opcin varios sistemas virtuales est

activada.
Configuracin de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizar como entrada

(ingress) para clientes/cortafuegos remotos.
Direccin IP
Especifique la direccin IP en la que se ejecutar el servicio web del portal

de GlobalProtect.
Seleccione el certificado de servidor de SSL que se debe utilizar para

el portal de GlobalProtect. El campo de nombre comn (CN) y, si es
aplicable, de nombre alternativo del asunto (SAN) del certificado deben
coincidir exactamente con la direccin IP o con el nombre de dominio
completo (FQDN) de la interfaz seleccionada.
En las configuraciones de VPN de GlobalProtect, es recomendable
utilizar un certificado de una CA de terceros de confianza o un certificado
generado por su CA de empresa interna. Si an no ha generado/importado
el certificado del servidor, puede generarlo ahora (si ya ha creado un
certificado de CA de raz para autofirmado) o puede importar un
certificado desde una CA externa.
Autenticacin
Seleccione un perfil de autenticacin para autenticar a los clientes/

satlites que acceden al portal. Si est configurando LSVPN, no podr
guardar la configuracin a menos que seleccione un perfil de autenticacin.
Incluso si planea autenticar los satlites usando nmeros de serie, el
portal necesita un perfil de autenticacin al que retroceder si no puede
situar o validar el nmero de serie.
Consulte Configuracin de perfiles de autenticacin.
Mensaje de
autenticacin
Introduzca un mensaje que ayude a los usuarios finales a saber qu

credenciales deben utilizar para iniciar sesin en el portal o utilizar el
mensaje predeterminado. El mensaje puede tener hasta 50 caracteres de
longitud.
Certificado de cliente
(Optativo) Si planea utilizar una autenticacin de SSL mutua, seleccione

el certificado que el cliente presentar a las puertas de enlace. Este
certificado de cliente se distribuir a todos los agentes que se hayan
autenticado correctamente al portal, a no ser que la configuracin
correspondiente del cliente contenga un certificado de cliente diferente.
Si utiliza una CA interna para distribuir certificados a los clientes, deje
este campo en blanco.
(Optativo) Seleccione el perfil del certificado que se debe utilizar para

autenticar a los usuarios en el portal. Utilice esta opcin solo si los
extremos ya tienen un certificado de cliente previamente implementado
usando una infraestructura de clave pblica interna (PKI).
366 Configuracin de GlobalProtect
Palo Alto Networks
Tabla 198. Configuracin del portal de GlobalProtect (Continuacin)

Campo
Descripcin
Apariencia
Deshabilitar pgina de
inicio de sesin
Seleccione esta opcin para deshabilitar el acceso a la pgina de inicio de

sesin de portal de GlobalProtect desde un navegador web.
Pgina de inicio de
sesin personalizada
Seleccione una pgina de inicio de sesin personalizada opcional para el

acceso de usuario al portal.
Pgina de ayuda
personalizada
Seleccione una pgina de ayuda personalizada optativa para asistir al

usuario con GlobalProtect.

Utilice la pestaa Configuracin clientes para definir los ajustes de configuracin del cliente
de GlobalProtect que el portal implementar para el agente/aplicacin al conectar y
autenticar correctamente.
Esta pestaa tambin le permite implementar automticamente cualquier certificado de
CA raz de confianza y certificados intermedios que necesitar el cliente final para establecer
conexiones HTTPS con las puertas de enlace de GlobalProtect y/o el gestor de seguridad
mvil de GlobalProtect, si estos componentes utilizan certificados de servidor en los que no
confan los clientes finales. Cualquier certificado que aada aqu ser aplicado a los clientes
con configuracin cliente. Para aadir un certificado de CA raz de confianza, haga clic en
Aadir y, a continuacin, seleccione un certificado de la lista o haga clic en Importar para
buscar e importar el certificado en el cortafuegos.
Si tiene clases de usuarios distintas que necesitan distintas configuraciones, puede crear
una configuracin cliente distinta para cada uno. El portal utilizar entonces el nombre de
usuario/nombre de grupo o el sistema operativo del cliente para determinar qu configuracin
cliente implementar. Como con la evaluacin de reglas de seguridad, el portal busca una
coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia,
proporciona la configuracin correspondiente al agente/aplicacin. Por lo tanto, si tiene
varias configuraciones cliente, es importante ordenarlas, para que las ms especficas
(configuraciones para usuarios o sistemas operativos concretos) estn por encima de
configuraciones ms genricas. Utilice los botones Mover hacia arriba y Mover hacia abajo
para ordenar las configuraciones. Haga clic en Aadir para abrir el cuadro de dilogo
Configuraciones y cree una nueva configuracin cliente. Para obtener informacin detallada
sobre cmo configurar el portal y crear configuraciones cliente, consulte la seccin para
configurar el portal del GlobalProtect en la gua del administrador de GlobalProtect.
El cuadro de dilogo Configuracin contiene cinco pestaas, que se describen en la siguiente
tabla:
Pestaa General
Pestaa Usuario/grupo de usuarios
Pestaa Puertas de enlace
Pestaa Agente
Pestaa Recopilacin de datos
Palo Alto Networks
Tabla 199. Ajustes de Configuracin clientes del portal de GlobalProtect

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar la configuracin de este cliente.
Utilizar registro nico
Seleccione la casilla de verificacin para que GlobalProtect utiliza las

credenciales de inicio de sesin de Windows de los usuarios para conectar
y autenticar de manera transparente a las puertas de enlace y al portal de
GlobalProtect. A los usuarios no se les pedir que introduzcan nombre de
usuario ni contrasea en la pestaa Configuracin del agente.
Intervalo de
actualizacin de
configuracin (horas)
Especifique el intervalo en horas para actualizar la configuracin del

agente GlobalProtect (de forma predeterminada, 24 horas; rango de 1-168
horas).
Modificador de
autenticacin
Ninguno: El portal siempre autentica al agente usando el perfil de

autenticacin especificado y/o el perfil de certificado y enva las
credenciales de autenticacin a la puerta de enlace. Es el ajuste
predeterminado.
Autenticacin de cookies para actualizacin de configuracin: Permite
la autenticacin basada en cookies del agente al portal para actualizar
una configuracin de cliente en cach.
Caducidad de cookies (das): Esta opcin solo aparece si selecciona la
opcin Autenticacin de cookies para actualizacin de configuracin
en el campo Modificador de autenticacin. Utilcela para especificar el
nmero de das que el agente puede utilizar la cookie para autenticarse
en el portal con el fin de actualizar la configuracin; un valor de 0
(predeterminado) indica que la cookie nunca caduca.
Contrasea diferente para puerta de enlace: indica que el portal y la
puerta de enlace utilizan credenciales de autenticacin diferentes y pide
al usuario la contrasea de la puerta de enlace despus de que la autenticacin de portal se realice correctamente. De forma predeterminada,
el portal enviar la misma contrasea que ha utilizado el agente para
autenticarse en el portal o en la puerta de enlace.
Solo puerta de enlace manual: Esta opcin solo aparece si selecciona
Contrasea diferente para puerta de enlace en el campo Modificador
de autenticacin. Seleccione esta casilla de verificacin si desea utilizar
mecanismos de autenticacin diferentes en distintas puertas de enlace
configuradas como manuales. Por ejemplo, puede elegir las credenciales de Active Directory para una conexin siempre activada a un
conjunto de puertas de enlace, y utilizar un mecanismo de autenticacin
ms estricto, como una autenticacin OTP de dos factores, en otro
conjunto de puertas de enlace que protejan recursos ms seguros.
Palo Alto Networks
Tabla 199. Ajustes de Configuracin clientes del portal de GlobalProtect (Continuacin)

Campo
Descripcin
Mtodo de conexin
A peticin: Seleccione esta opcin para permitir a los usuarios establecer

una conexin cuando lo deseen. Con esta opcin, el usuario debe iniciar
la conexin de forma explcita. Esta funcin se utiliza principalmente
para conexiones con acceso remoto.
Inicio de sesin de usuario: Con esta opcin configurada, el agente de
GlobalProtect establecer una conexin cuando los usuarios inicien
sesin en sus equipos. Si selecciona Utilizar registro nico, el nombre
de usuario y la contrasea utilizados para iniciar sesin en Windows se
capturan por el agente de GlobalProtect y se utilizan para autenticar.
Anterior al inicio de sesin: Permite al agente autenticar y establecer el
tnel de VPN en la puerta de enlace de GlobalProtect utilizado un certificado de mquina instalado previamente antes de que el usuario inicie
sesin en la mquina. Cuando se utiliza el mtodo de conexin anterior
al inicio de sesin, puede crear configuraciones cliente de GlobalProtect
y polticas de seguridad que especifiquen el mtodo anterior al inicio de
sesin como usuario de origen y permitan el acceso solo a los servicios
bsicos como DHCP, DNS, Active Directory y servicios de actualizacin
del sistema operativo y antivirus, para aumentar an ms la velocidad
del proceso de inicio de sesin para los usuarios. Para utilizar esta
funcin, debe usar su propia infraestructura de clave pblica (PKI) para
emitir y distribuir certificados a sus sistemas de usuario final. Entonces,
debe importar el certificado de CA raz utilizado para emitir los certificados de mquina al cortafuegos (tanto el portal como la puerta de
enlace) y, a continuacin, crear un perfil de certificado correspondiente.
Si planea quiere utilizar una autenticacin de SSL mutua, seleccione

el certificado que el cliente presentar a las puertas de enlace. Este
certificado cliente se distribuir a todos los agentes que coincidan
con esta configuracin cliente. Si tambin hay un certificado cliente
especificado en la pestaa Configuracin de portal, se utilizar este
en su lugar. Si est implementando certificados nicos a sus extremos
usando una PKI interna, deje este campo en blanco.
Gestor de seguridad
mvil
Si est utilizando el gestor de seguridad mvil de GlobalProtect para la

gestin del dispositivo mvil, introduzca la direccin IP o FQDN de la
interfaz de registro/inscripcin del dispositivo en el dispositivo GP-100.
Puerto de inscripcin
Nmero de puerto que debe utilizar el dispositivo mvil al conectar al

gestor de seguridad mvil de GlobalProtect para la inscripcin. De forma
predeterminada, el gestor de seguridad mvil escucha en el puerto 443.
Se recomienda respetar este valor para no se les solicite un certificado
cliente durante el proceso de inscripcin a los usuarios de dispositivos
mviles. (Valor predeterminado: 443; valores posibles: 443, 7443, 8443)
Palo Alto Networks

Campo
Descripcin
Deteccin de host
interno
Con esta opcin, GlobalProtect realiza una bsqueda de DNS inversa

del nombre de host especificado en la direccin IP especificada. Si no se
encuentra ninguna coincidencia, GlobalProtect supone que el extremo se
encuentra fuera de la red de la empresa y establece un tnel con cualquier
puerta de enlace externa configurada en la pestaa Puertas de enlace.
Si encuentra alguna coincidencia, el agente determina que el extremo
est dentro de la red y se conecta a una puerta de enlace interna (si est
configurada); en este caso, no crea ninguna conexin de VPN a puertas de
enlace externas.
Seleccione la casilla de verificacin para activar la deteccin de host
interno utilizando la bsqueda de DNS. Especifique lo siguiente:
Direccin IP: Introduzca una direccin IP interna para la deteccin de
host interno.
Nombre de host: Introduzca el nombre de host que lleva a la direccin
IP anterior en la red interna.
Pestaa Usuario/grupo de usuarios

Especifica el usuario o grupo de usuarios o el sistema operativo cliente al
que aplicar la configuracin cliente:
Usuario/grupo de usuarios: Haga clic en Aadir para seleccionar en la
lista el usuario o grupo de usuarios al que se aplicar esta configuracin
(para que aparezca la lista de usuarios y grupos debe estar configurada
la asignacin de grupos). Tambin puede crear configuraciones que se
implementarn en los agentes en modo anterior al inicio de sesin
(es decir, antes de que el usuario haya iniciado sesin en el sistema) o
configuraciones que se aplicarn a cualquier usuario.
SO: Para implementar configuraciones basadas en el sistema operativo
especfico que se ejecuta en el sistema final, haga clic en Aadir en la
seccin de SO de la ventana y, a continuacin, seleccione los sistemas
operativos que correspondan (Android, iOS, Mac o Windows). O deje
el valor de esta seccin establecido en Cualquiera para que las configuraciones se implementen basndose solo en el usuario/grupo.
Pestaa Puertas de enlace

Tiempo de corte
Especifique la cantidad de tiempo (en segundos) que el agente esperar a

que respondan las puertas de enlace antes de determinar la mejor puerta
de enlace a la que conectarse. El agente solo intentar conectarse a las
puertas de enlace que hayan respondido en el tiempo de corte especificado.
El valor predeterminado es 5. El valor 0 indica que no hay tiempo de
corte; el agente esperar hasta que el TCP agote su tiempo de espera.
(Rango 0 a 10)
Puertas de enlace
internas
Especifique las puertas de enlace internas que el agente autenticar y para

las que proporcionar informes HIP.
Palo Alto Networks

Campo
Descripcin
Puertas de enlace
externas
Especifique la lista de cortafuegos con los que el agente debera intentar

establecer un tnel cuando estos falten en la red corporativa. Haga clic en
Aadir y, a continuacin, introduzca la siguiente informacin para todas
las puertas de enlace externas:
Nombre: Etiqueta de hasta 31 caracteres para identificar la puerta de
enlace. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
Direccin: Direccin IP o FQDN de la interfaz del cortafuegos donde se
configura la puerta de enlace. El valor debe coincidir con el campo CN
(y SAN, si se especifica) en el certificado del servidor de la puerta de
enlace (por ejemplo, si ha utilizado un FQDN para generar el certificado,
tambin debe introducirlo aqu).
Prioridad: Seleccione un valor (Ms alta, Alta, Media, Baja, Ms baja o
Manual nicamente) para ayudar al agente a determinar la puerta de
enlace a la que conectarse. El agente se pondr en contacto con todas las
puertas de enlace (excepto las que tengan una prioridad Solo manual) y
establecer un tnel con el cortafuegos que proporcione la respuesta
ms rpida y el valor de prioridad ms alto.
Manual: Seleccione esta casilla de verificacin si desea permitir que los
usuarios se conecten manualmente (o cambien a) la puerta de enlace.
El agente de GlobalProtect tendr la opcin de conectarse a cualquier
puerta de enlace externa configurada con la seleccin Manual.
Al conectarse a la nueva puerta de enlace, se desconectar el tnel
existente y se establecer un nuevo tnel. A diferencia de la puerta
de jenlace principal, las puertas de enlace manuales pueden tambin
tener un mecanismo de autenticacin diferente. Si se reinicia el sistema
cliente o si se realiza un redescubrimiento, el agente de GlobalProtect
se conectar a la puerta de enlace principal. Esta funcin es muy til si
cuenta con un grupo de usuarios que necesitan conectarse de forma
temporal a una puerta de enlace especfica para acceder a un segmento
seguro de su red.
Pestaa Agente
La configuracin de esta pestaa especifica la forma en la que interactan

los usuarios finales con los agentes de GlobalProtect instalados en sus
sistemas. Puede definir configuraciones de agente diferentes para las
distintas configuraciones cliente de GlobalProtect que cree.
Cdigo de acceso/
Confirmar cdigo
de acceso
Introduzca el cdigo de acceso que los usuarios finales debern introducir

para cancelar el agente. Este campo solo es necesario si el campo Cancelacin del agente por el usuario tiene establecido el uso de cdigo de
acceso.
Palo Alto Networks

Campo
Descripcin
Cancelacin del agente

por el usuario
Seleccione una opcin de cancelacin:

deshabilitado: Impide que los usuarios finales deshabiliten el agente de
GlobalProtect.
con comentario: Se pide al usuario final que introduzca un comentario
cuando desactive el agente de GlobalProtect.
con cdigo de acceso: La opcin permite al usuario introducir un
cdigo de acceso para cancelar el agente de GlobalProtect. Si selecciona
esta opcin, tambin debe introducir un valor en el campo Cdigo de
acceso y en Confirmar cdigo de acceso. Los usuarios tendrn que
introducir este valor para cancelar al agente.
con vale: Esta opcin activa un mecanismo de respuesta por desafo
para autorizar la desactivacin del agente de GlobalProtect por parte
del cliente. Con esta opcin seleccionada, se solicita un desafo al
usuario al desactivar GlobalProtect. El desafo es transmitido al
administrador fuera del cortafuegos y el administrador puede validar
el desafo mediante la interfaz de administracin del cortafuegos.
El cortafuegos genera una respuesta que se presenta al usuario que
podr luego desactivar GlobalProtect introduciendo dicha respuesta
cuando el agente de GlobalProtect se la solicite. Cuando utilice esta
opcin, tambin debe introducir la clave para descifrar el vale en los
campos Clave de cancelacin del agente por el usuario en el nivel
superior de la pestaa Configuracin clientes.
Mx. nmero de
cancelaciones del
agente por el usuario
Especifique el nmero mximo de veces que un usuario puede desactivar

GlobalProtect antes de que sea obligatoria una conexin correcta con un
cortafuegos. El valor 0 (predeterminado) indica que las cancelaciones de
agente son ilimitadas.
Tiempo de espera a la
cancelacin del agente
por el usuario
Especifique el tiempo mximo (en minutos) que GlobalProtect estar

deshabilitado al cancelar; despus de que transcurra el tiempo especificado,
el agente volver a conectarse. El valor 0 (predeterminado) indica que la
duracin de la cancelacin es ilimitada.
Actualizacin de agente
Seleccione una de las siguientes opciones para especificar cmo

se producirn las descargas/actualizaciones del software del agente
de GlobalProtect:
deshabilitado: Impide que los usuarios actualicen el agente.
manual: Permite a los usuarios comprobar e iniciar actualizaciones
manualmente seleccionando la opcin de comprobacin de versin
del agente.
mensaje: pide actualizar a los usuarios finales cuando se active una
nueva versin del agente en el cortafuegos. Es el ajuste predeterminado.
transparente: actualiza automticamente el software del agente cuando
hay una versin disponible en el portal.
Pgina de bienvenida
Seleccione la pgina de bienvenida que debe mostrarse a los usuarios

finales cuando la conexin a GlobalProtect sea correcta. Puede seleccionar
la pgina predeterminada de fbrica o importar una pgina personalizada.
De forma predeterminada, este campo se establece en Ninguno.
VPN externo
Haga clic en Aadir para aadir una lista de clientes VPN de acceso
remoto que podran estar presentes en los extremos. Si est configurado,
GlobalProtect ignorar esos clientes VPN, as como su configuracin de
ruta, para asegurarse de que ni les afecta ni entra en conflicto con ellos.
Palo Alto Networks

Campo
Descripcin
Habilitar vista avanzada
Cancele la seleccin de la casilla de verificacin para restringir la interfaz

del usuario por parte del cliente en la vista mnima bsica. De forma
predeterminada, la configuracin de vista avanzada est activada.
Mostrar icono
GlobalProtect
Quite esta marca de verificacin para ocultar el icono de GlobalProtect

en el sistema cliente. Cuando est oculto, los usuarios no pueden realizar
otras tareas, como cambiar las contraseas, redescubrir la red, reenviar
informacin de host, ver informacin de solucin de problemas o realizar
una conexin a demanda. Sin embargo, los mensajes de notificacin HIP,
los mensajes de inicio de sesin y los cuadros de dilogo de certificados
seguirn mostrndose como necesarios para interactuar con el usuario
final.
Permitir al usuario
cambiar la direccin
del portal
Quite la marca de esta casilla de verificacin para deshabilitar el campo

Portal en la pestaa Configuracin del agente de GlobalProtect. Como el
usuario no podr entonces especificar un portal al que conectarse, debe
proporcionar la direccin predeterminada del portal en el registro
de Windows: (HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\PanSetup con portal clave) o la pclist de Mac
(/Library/Preferences/com.
paloaltonetworks.GlobalProtect.pansetup.plist con portal clave).
Permitir que el usuario

guarde la contrasea
Quite la marca de verificacin de esta casilla para impedir que los

usuarios guarden sus contraseas en el agente (es decir, forzarlos a
proporcionar la contrasea, ya sea de forma transparente mediante el
cliente o introduciendo una manualmente, cada vez que se conecten).
Activar opcin para

volver a detectar la red
Quite la marca de verificacin de esta casilla para impedir que los

usuarios redescubran la red de forma manual.
Activar opcin para

volver a enviar perfil de
host
Quite la marca de verificacin de esta casilla de para impedir que los

usuarios activen manualmente el reenvo del ltimo HIP.
Permitir que el usuario

contine si el certificado
de servidor del portal no
es vlido
Quite la marca de verificacin de esta casilla para impedir al agente

establecer una conexin con el portal si el certificado de portal no
es vlido.
Pestaa Recopilacin
de datos
Utilice esta pestaa secundaria para definir qu datos recopilar el agente

del cliente en el informe HIP:
Mx. de tiempo de
espera
Especifique la duracin de la bsqueda de datos HIP por parte del

agente antes de enviar la informacin disponible (rango 10-60 segundos;
de forma predeterminada, 20 segundos).
Excluir categoras
Utilice esta pestaa secundaria para definir cualquier categora de

informacin de host para la que no desee recopilar los datos HIP.
Seleccione una categora que desee excluir de la recopilacin de HIP.
Despus de seleccionar una categora, de forma optativa, puede filtrar
la exclusin haciendo clic en Aadir y, a continuacin, seleccionando
un proveedor concreto. Haga clic en Aadir en la seccin Producto
del cuadro de dilogo y, a continuacin, seleccione los productos del
proveedor. Haga clic en ACEPTAR para guardar la configuracin.
Palo Alto Networks

Campo
Descripcin
Comprobaciones
personalizadas
Utilice esta pestaa secundaria para definir cualquier informacin de

host personalizada que desee que recopile el agente. Por ejemplo, si tiene
aplicaciones necesarias que no estn incluidas en la lista de productos o
de proveedores para crear objetos HIP, cree una comprobacin personalizada que le permita determinar si se ha instalado esa aplicacin (tiene
un registro o clave plist que corresponde) o se est ejecutando (tiene un
proceso en ejecucin que corresponde):
Windows: Haga clic en Aadir para aadir una comprobacin de una
clave de registro determinada o un valor de clave.
Mac: Haga clic en Aadir para aadir una comprobacin de una clave
plist determinada o un valor de clave.
Lista de procesos: Haga clic en Aadir para especificar la lista de
procesos para comprobar en los sistemas de usuario final para ver si
estn en ejecucin. Por ejemplo, para determinar si una aplicacin de
software se est ejecutando, agregue el nombre del archivo ejecutable a
la lista de procesos. Puede aadir una lista de procesos a la pestaa
Windows o Mac.

Un dispositivo satlite es un cortafuegos de Palo Alto Networks (tradicionalmente en una
sucursal) que acta como agente de GlobalProtect para habilitarlo y establecer la conectividad
de VPN en un cortafuegos de GlobalProtect. De la misma forma que un agente de GlobalProtect,
el satlite recibe su configuracin inicial del portal, incluidos certificados e informacin sobre
la ruta de configuracin de VPN. Esto que permite su conexin a todas las puertas de enlace
configuradas, lo que hace posible el establecimiento de la conectividad de VPN.
Antes de configurar los ajustes de satlite de GlobalProtect en el cortafuegos de la sucursal,
primero debe configurar una interfaz con conectividad de WAN y establecer una poltica y
una zona de seguridad para que la LAN de la sucursal pueda comunicarse con Internet.
Entonces podr configurar los ajustes del satlite de GlobalProtect en el portal, segn se
describe en la siguiente tabla:
Tabla 200. Ajustes de configuracin del satlite del portal de GlobalProtect

Campo
Descripcin
Pestaa secundaria
General
Haga clic en Aadir para mostrar las pestaas secundarias y

especifique la siguiente configuracin en la pestaa secundaria
Satlite de GlobalProtect > General:
Nombre: Introduzca un nombre para identificar el perfil del
dispositivo satlite de GlobalProtect.
Actualizar intervalo de configuracin (horas): Especifique la
frecuencia con la que los dispositivos satlite deben comprobar el
portal para actualizaciones de la configuracin (valor predeterminado
24 horas, intervalo entre 1 y 48 horas).
Pestaa secundaria
Dispositivos
Haga clic en Aadir para agregar manualmente un dispositivo satlite

utilizando el nmero de serie del dispositivo. Si utiliza esta opcin,
cuando se conecta el dispositivo satlite por primera vez para recibir el
certificado de autenticacin y la configuracin inicial, no se requiere un
mensaje de inicio de sesin. Despus de autenticar el dispositivo satlite,
se agrega Nombre (nombre de host) al portal de forma automtica.
Palo Alto Networks
Tabla 200. Ajustes de configuracin del satlite del portal de GlobalProtect (Continuacin)
Campo
Descripcin
Pestaa secundaria
Inscripcin del usuario/
Grupo de usuario
El portal utiliza los ajustes Usuario de inscripcin/Grupo de usuarios

y/o los nmeros de serie de Dispositivos para hacer coincidir un satlite
con una configuracin.
Especifique los criterios de coincidencia para la configuracin de satlite
de la manera siguiente:
Para restringir esta configuracin a dispositivos satlite con nmeros
de serie especficos, seleccione la pestaa Dispositivos, haga clic en
Aadir e introduzca un nmero de serie (no necesita introducir el
nombre de host de satlite; se aadir automticamente cuando el
satlite se conecte). Repita este paso para cada satlite que quiera que
reciba esta configuracin.
Seleccione la pestaa Usuario de inscripcin/Grupo de usuarios,
haga clic en Aadir y, a continuacin, seleccione el usuario o grupo que
quiera que reciba esta configuracin. Los satlites que no coinciden en
el nmero de serie debern autenticarse como un usuario especificado
aqu (bien como un usuario individual, bien como un miembro de
grupo).
Nota: Nota: Para restringir la configuracin a grupos especficos, debe activar la
asignacin de grupos.
Pestaa secundaria
Puertas de enlace
Haga clic en Aadir para introducir la direccin IP o nombre de host de

los satlites de las puertas de enlace con los que esta configuracin puede
establecer tneles de IPSec. Introduzca el FQDN o la direccin IP de la
interfaz donde est configurada la puerta de enlace en el campo Puertas
de enlace.
(Opcional) Si est aadiendo dos o ms puertas de enlace a la configuracin, la Prioridad del enrutador ayuda al satlite a seleccionar la puerta
de enlace preferida. Introduzca un valor de entre 1 y 25; cuanto menor sea
el nmero, mayor ser la prioridad (es decir, la puerta de enlace a la que
se conectar el satlite si todas las puertas de enlace estn disponibles).
El satlite multiplicar la prioridad de enrutamiento por 10 para determinar la medida de enrutamiento.
Nota: Las rutas publicadas por la puerta de enlace se instalan en el satlite
como rutas estticas. La medida para la ruta esttica es 10 veces la prioridad
de enrutamiento. Si tiene ms de una puerta de enlace, asegrese tambin de
establecer la prioridad de enrutamiento para garantizar que las rutas anunciadas
por puertas de enlace de reserva tienen medidas ms altas en comparacin con
las mismas rutas anunciadas por puertas de enlace principales. Por ejemplo,
si establece la prioridad de enrutamiento para la puerta de enlace principal y la
puerta de enlace de reserva como 1 y 10 respectivamente, el satlite utilizar 10
como medida para la puerta de enlace principal y 100 como medida para la puerta
de enlace de reserva.
El satlite tambin compartir su informacin de red y enrutamiento con
las puertas de enlace si est seleccionada la opcin Publicar todas las
rutas estticas y conectadas a puerta de enlace (configurada en el satlite en
la pestaa avanzada Red > Tneles de IPSec > Satlite de GlobalProtect >
Avanzado). Consulte Satlite de GlobalProtectpara obtener ms
informacin.
Palo Alto Networks
Tabla 200. Ajustes de configuracin del satlite del portal de GlobalProtect (Continuacin)
Campo
Descripcin
CA raz de confianza
Haga clic en Aadir y, a continuacin, seleccione el certificado de CA

utilizado para emitir los certificados de servidor de la puerta de enlace.
Se recomienda usar el mismo emisor para todas las puertas de enlace.
Nota: Si el certificado de CA raz utilizado para emitir sus certificados de
servidor de la puerta de enlace no est en el portal, haga clic en Importar para
importarlo ahora.
Emisor del certificado
Seleccione el certificado de CA raz que el portal utilizar para emitir

certificados para satlites tras autenticarlos correctamente.
Perodo de validez (das)
Especifique la duracin del certificado del dispositivo satlite de

GlobalProtect emitido (valor predeterminado 7 das, intervalo de 7 a
365 das).
Perodo de renovacin
del certificado (das)
Especifique el perodo de renovacin del certificado del dispositivo

satlite de GlobalProtect (valor predeterminado 3 das, intervalo de 3 a
30 das). Eso determinar la frecuencia de renovacin de los certificados.
OCSP responder
Seleccione el respondedor OCSP que deben usar los satlites para

verificar el estado de revocacin de los certificados presentados por el
portal y las puertas de enlace.
Configuracin de las puertas de enlace de GlobalProtect

Red > GlobalProtect > Puertas de enlace
Utilice esta pgina para configurar una puerta de enlace de GlobalProtect. La puerta de
enlace se puede utilizar para proporcionar conexiones de VPN para agentes/aplicaciones
de GlobalProtect o dispositivos satlite de GlobalProtect.
Para aadir una configuracin de puerta de enlace, haga clic en Aadir para abrir el cuadro
de dilogo Portal de GlobalProtect. Para obtener informacin detallada sobre los campos de
todas las pestaas del cuadro de dilogo, consulte las siguientes secciones:
Pestaa General
Para obtener instrucciones detalladas sobre cmo configurar una puerta de enlace, consulte la
seccin para configurar una puerta de enlace de GlobalProtect en la gua del administrador de
GlobalProtect.
Pestaa General
Utilice la pestaa General para definir la interfaz de la puerta de enlace a la que se conectarn
los agentes/aplicaciones y especificar cmo autenticar la puerta de enlace a los clientes finales.
Palo Alto Networks
Tabla 201. Configuracin general de la puerta de enlace de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para la puerta de enlace (de hasta 31 caracteres).

guiones bajos.
Ubicacin
Seleccione el sistema virtual al que pertenece esta puerta de enlace, si la

opcin de varios sistemas virtuales est activada.
Configuracin de red
Interfaz
Seleccione la interfaz del cortafuegos que se utilizar como entrada

(ingress) para agentes/satlites remotos.
Direccin IP
Seleccione la direccin IP para el acceso a la puerta de enlace.
Seleccione el certificado de servidor para la puerta de enlace.
Autenticacin
Seleccione un perfil o una secuencia de autenticacin para autenticar el

acceso a la puerta de enlace. Consulte Configuracin de perfiles de
autenticacin.
Mensaje de
autenticacin
Introduzca un mensaje que ayude a los usuarios finales a saber qu

credenciales deben utilizar para iniciar sesin en esta puerta de enlace
o utilice el mensaje predeterminado. El mensaje puede tener hasta
50 caracteres de longitud.
Seleccione el perfil de certificado para la autenticacin de cliente.

Utilice la pestaa Configuracin clientes para configurar los ajustes de tnel y permitir a los
agentes/aplicaciones establecer tneles de VPN con la puerta de enlace. Adems, utilice esta
pestaa para definir los mensajes de notificacin HIP que se deben mostrar a los usuarios
finales al encontrar coincidencias (o no encontrarlas) con un perfil HIP adjunto a una poltica
de seguridad.
Esta pestaa contiene tres pestaas secundarias, que se describen en la siguiente tabla:
Pestaa secundaria Ajustes de tnel
Pestaa secundaria Configuracin de red
Pestaa secundaria Notificacin HIP
Palo Alto Networks
Tabla 202. Ajustes de configuracin de cliente de puerta de enlace de GlobalProtect

Campo
Descripcin
Pestaa secundaria
Ajustes de tnel
Utilice esta pestaa secundaria para configurar los parmetros del tnel y
permitir su utilizacin.
Los parmetros del tnel son necesarios si configura una puerta de enlace
externa. Las puertas de enlace internas se configuran de forma optativa.
Modo de tnel
Seleccione la casilla de verificacin para activar el modo tnel y

especifique los siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel para acceder a la
puerta de enlace.
Mx. de usuarios: Especifique el nmero mximo de usuarios
que pueden acceder a la puerta de enlace simultneamente para
autenticacin, actualizaciones HIP y actualizaciones de agente de
GlobalProtect. Si se alcanza el nmero mximo de usuarios, se negar
el acceso a los usuarios siguientes con un mensaje de error indicando
que se ha alcanzado el nmero mximo de usuarios. De forma
predeterminada, no se establece ningn lmite (rango =1-1024 usuarios).
Habilitar IPSec: Seleccione la casilla de verificacin para activar el
modo IPSec para el trfico de cliente, convirtiendo IPSec en el mtodo
principal y SSL-VPN en el mtodo alternativo.
Habilitar compatibilidad con X-Auth: Seleccione la casilla de verificacin para activar la compatibilidad con Extended Authentication
(X-Auth) en la puerta de enlace de GlobalProtect cuando se activa IPSec.
Con la compatibilidad de X-Auth, los clientes externos de VPN de IPSec
compatibles con X-Auth (como el cliente VPN de IPSec en dispositivos
Apple iOS y Android y el cliente VPNC en Linux) pueden establecer un
tnel VPN con la puerta de enlace de GlobalProtect. La opcin X-Auth
proporciona acceso remoto desde el cliente VPN a una puerta de enlace
de GlobalProtect especfica. Como el acceso de X-Auth proporciona
funciones de GlobalProtect limitadas, considere el uso de la aplicacin
de GlobalProtect para un acceso simplificado a todo el conjunto de
funciones de seguridad que proporciona GlobalProtect en dispositivos
iOS y Android.
Seleccionar la casilla de verificacin de compatibilidad con X-Auth
activa las opciones Nombre de grupo y Contrasea de grupo:
Si se especifica el nombre de grupo y la contrasea de grupo, la
primera fase de autenticacin requiere ambas informaciones para
utilizar esta credencial para autenticar. La segunda fase requiere una
contrasea y un nombre de usuario vlidos, que se comprobarn
mediante el perfil de autenticacin configurado en la seccin
Autenticacin.
Si no se definen un nombre de grupo y una contrasea de grupo,
la primera fase de autenticacin se basa en un certificado vlido
presentado por el cliente de VPN externo. Este certificado se valida
despus a travs del perfil de certificado configurado en la seccin de
autenticacin.
De forma predeterminada, no es necesario que el usuario vuelva a
autenticarse cuando caduque la clave utilizada para establecer el
tnel de IPSec. Para volver a solicitar la autenticacin, quite la marca
de la casilla de verificacin Saltar autenticacin de clave de registro
de IKE.
Palo Alto Networks
Tabla 202. Ajustes de configuracin de cliente de puerta de enlace de GlobalProtect (ConCampo
Descripcin
Configuracin de tiempo
de espera
Especifique los siguientes ajustes de tiempo de espera:

Duracin de inicio de sesin: Especifique el nmero de das, horas o
minutos permitido para una sesin de inicio de sesin de puerta de
enlace nica.
Cierre de sesin por inactividad: Especifique el nmero de das, horas
y minutos tras el que se cierra una sesin inactiva automticamente.
Desconectar cuando est inactivo: Especifique el nmero de minutos
a partir del cual se cierra la sesin en GlobalProtect si la aplicacin
GlobalProtect no ha enviado trfico a travs del tnel VPN.
Pestaa secundaria
Configuracin de red
Las opciones de Configuracin de red solo estn disponibles si ha

habilitado el modo de tnel y definido una interfaz de tnel en la
pestaa Ajustes de tnel.
La configuracin de red definida aqu se asignar al adaptador de red
virtual en el sistema cliente cuando un agente establezca un tnel con la
puerta de enlace.
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuracin del agente de GlobalProtect. Con esta configuracin, se heredan
todas las configuraciones de red del cliente, como servidores DNS y
servidores WINS, de la configuracin de la interfaz seleccionada en el
Origen de herencia.
Comprobar estado de
origen de herencia
Haga clic en el enlace para ver la configuracin del servidor asignada

actualmente a las interfaces del cliente.
DNS principal
Introduzca las direcciones IP de los servidores principal y secundario que

proporcionan DNS a los clientes.
DNS secundario
WINS principal
WINS secundario

proporcionan Windows Internet Naming Service (WINS) a los clientes.
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separndolos
con comas.
Heredar sufijos DNS
Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Grupo de IP
Haga clic en Aadir para especificar la configuracin del grupo de IP.

Utilice esta seccin para crear una gama de direcciones IP para asignar a
los usuarios remotos. Cuando se establece el tnel, se crea una interfaz en
el equipo del usuario remoto con una direccin de esta gama.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el usuario. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los clientes una direccin IP que no entra
en conflicto con otras interfaces en el cliente.
Los servidores/enrutadores en las redes debe dirigir el trfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un usuario remoto.
Palo Alto Networks
Tabla 202. Ajustes de configuracin de cliente de puerta de enlace de GlobalProtect (ConCampo
Descripcin
Acceder a ruta
Haga clic en Aadir para especificar las opciones de ruta de acceso.

Utilice esta seccin para agregar rutas que se introducirn en el equipo
del usuario remoto y por lo tanto determinarn lo que enviar el equipo
del usuario a travs de la conexin de VPN.
Por ejemplo, puede establecer tneles divididos para permitir a los
usuarios remotos acceder a Internet sin pasar por el tnel de VPN.
Si no se agrega ninguna ruta, cada solicitud se dirigir a travs del tnel
(sin divisin de tnel). En este caso, cada solicitud de Internet pasa a
travs del cortafuegos y luego a la red. ste mtodo puede evitar la
posibilidad de acceso al equipo del usuario por parte de terceros y por
lo tanto la obtencin de acceso a la red interna (utilizando el equipo de
usuario como puente).
Pestaa secundaria
Notificacin HIP
Utilice esta pestaa secundaria para definir los mensajes de notificacin

que vern los usuarios finales cuando se aplique una regla de seguridad
con un perfil de informacin de host (HIP).
Este paso solo se aplica si ha creado perfiles de informacin de host y los
ha aadido a sus polticas de seguridad.
Notificacin HIP
Haga clic en Aadir para especificar las opciones de notificacin.

Seleccione Habilitar para activar Coincidir mensaje o Mensaje no
coincidente.
Seleccione una opcin de notificacin en la seccin Mostrar notificacin
como y seleccione el botn de opcin para Icono en la barra de tareas o
Mensaje emergente y, a continuacin, especifique un mensaje con el que
debe coincidir o no coincidir. Utilice esta configuracin para notificar al
usuario final el estado de la mquina, por ejemplo, para proporcionar
un mensaje de advertencia que indica que el sistema host no tiene la
aplicacin necesaria instalada. Para el mensaje de coincidencia, tambin
puede habilitar la opcin que permite incluir la lista de aplicaciones
con coincidencia en el mensaje e indicar qu aplicaciones activan la
coincidencia HIP.
Nota: Los mensajes de notificacin HIP pueden tener el formato HTML
enriquecido, que puede incluir enlaces a recursos y sitios web externos. Utilice el
icono de enlace
en la barra de herramientas de configuracin de texto para
agregar enlaces.

Un dispositivo satlite es un cortafuegos de Palo Alto Networks (tradicionalmente en
una sucursal) que acta como agente de GlobalProtect para habilitarlo y establecer la
conectividad de VPN en un cortafuegos de GlobalProtect. Utilice la pestaa Configuracin
Satlite para definir la configuracin del tnel de la puerta de enlace y de la red y permitir
que los dispositivos satlite establezcan conexiones VPN con l. Tambin puede utilizar esta
pestaa para controlar las rutas publicadas por los satlites.
Esta pestaa contiene tres pestaas secundarias, que se describen en la siguiente tabla:
Pestaa secundaria Filtro de ruta
Palo Alto Networks
Tabla 203. Ajustes de configuracin de satlite de puerta de enlace de GlobalProtect

Campo
Descripcin

Configuracin de tnel
Seleccione la casilla de verificacin Configuracin de tnel y seleccione

la interfaz de tnel existente o haga clic en Nueva interfaz de tnel.
Consulte Configuracin de una interfaz de tnelpara obtener ms
informacin.
Reproducir deteccin de ataques:Proteger frente a reproduccin de
ataques.
Copiar TOS: Copie el encabezado de ToS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes
resumidos con el fin de preservar la informacin original de ToS.
Actualizar intervalo de configuracin (horas): Especifique la frecuencia
con la que los dispositivos satlite deben comprobar el portal para
actualizaciones de la configuracin (valor predeterminado 2 horas,
intervalo entre 1 y 48 horas).
Supervisin de tnel
Seleccione la casilla de verificacin Supervisin de tnel para habilitar

los dispositivos satlites para que supervisen su conexin de tnel de
puerta de enlace, lo que permite realizar una conmutacin por error a una
puerta de enlace de reserva si falla la conexin.
IP de destino: Especifique una direccin IP que utilizar el supervisor
de tnel para determinar si hay conectividad a la puerta de enlace (por
ejemplo, una direccin IP en la red protegida por la puerta de enlace).
De forma alternativa, si ha configurado una direccin IP para la interfaz
de tnel, puede dejar este campo en blanco y, en su lugar, el monitor
de tnel utilizar la interfaz de tnel para determinar si la conexin
est activa.
Perfil de monitor de tnel: El fallo en la conmutacin por error a
otra puerta de enlace es el nico tipo de perfil de supervisin de tnel
permitido con LSVPN.
Perfiles criptogrficos
Seleccione un Perfil criptogrfico de IPSec o cree un nuevo perfil.

Eso determinar los protocolos y algoritmos para la identificacin,
la autenticacin y el cifrado de los tneles de VPN. Dado que ambos
extremos del tnel de una LSVPN son cortafuegos fiables de su
organizacin, por lo general puede utilizar el perfil predeterminado,
que utiliza cifrado ESP-DH group2-AES 128 con SHA-1. Consulte
Definicin de perfiles criptogrficos de IPSecpara obtener ms detalles.

Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuracin del satlite de GlobalProtect. Con esta configuracin, se heredan
todas las configuraciones de red, como servidores DNS, de la configuracin de la interfaz seleccionada en el Origen de herencia.
DNS principal

proporcionan DNS a los satlites.
DNS secundario
Sufijo DNS
Palo Alto Networks
Haga clic en Aadir para introducir un sufijo que el satlite puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separndolos
con comas.
Tabla 203. Ajustes de configuracin de satlite de puerta de enlace de GlobalProtect

Campo
Descripcin
Heredar sufijo DNS
Seleccione esta casilla de verificacin para enviar el sufijo de DNS a los

dispositivos de satlite para uso local cuando se introduce un nombre de
host sin restricciones que no puede resolver.
Grupo de IP
Haga clic en Aadir para especificar la configuracin del grupo de IP.

Utilice esta seccin para crear un rango de direcciones IP que se pueden
asignar a la interfaz del tnel en los dispositivos satlite al establecer el
tnel VPN.
Nota: El grupo de IP debe ser lo suficientemente grande para abarcar todas las
conexiones actuales. La asignacin de direccin IP es dinmica y no se mantiene
cuando se desconecta el satlite. La configuracin de varias gamas de diferentes
subredes permitir al sistema ofrecer a los satlites una direccin IP que no entra
en conflicto con otras interfaces en el dispositivo.
Los servidores/enrutadores en las redes debe dirigir el trfico para este
grupo de IP en el cortafuegos.
Por ejemplo, para la red 192.168.0.0/16, se puede asignar la direccin
192.168.0.10 a un satlite.
Si est utilizando el enrutamiento dinmico, asegrese de que el grupo de
direcciones IP que designe a los satlites no se solape con las direcciones
IP que asign manualmente a las interfaces de tnel de sus puertas de
enlace y satlites.
Acceder a ruta
haga clic en Aadir y, a continuacin, introduzca las rutas de la siguiente

forma:
Si desea enrutar todo el trfico desde los satlites a travs del tnel, deje
este campo en blanco.
Para enrutar nicamente parte del trfico a travs de la puerta de enlace
(lo que se denomina tneles divididos), especifique las subredes de
destino que debern tunelizarse. En este caso, el satlite enrutar el
trfico no destinado a una ruta de acceso especificada mediante su
propia tabla de rutas. Por ejemplo, puede decidir tunelizar nicamente
el trfico destinado a su red corporativa y utilizar el satlite local para
permitir el acceso a Internet de forma segura.
Si desea habilitar el enrutamiento entre satlites, introduzca la ruta de
resumen para la red protegida por cada satlite.
Pestaa secundaria
Filtro de ruta
Seleccione la casilla de verificacin Aceptar rutas publicadas para aceptar

rutas publicadas por el satlite en la tabla de ruta de la puerta de enlace.
Si no selecciona esta opcin, la puerta de enlace no aceptar ninguna ruta
publicada por los satlites.
Si desea ser ms restrictivo al aceptar rutas publicadas por los satlites,
haga clic en Aadir en la seccin de subredes permitidas y defina las
subredes cuyas rutas debe aceptar la puerta de enlace; las subredes
publicadas por los satlites que no sean parte de la lista no pasarn el
filtro. Por ejemplo, si todos los satlites estn configurados con la subred
192.168.x.0/24 en la LAN, puede permitir la ruta 192.168.0.0/16 en la
puerta de enlace. De esta forma, la puerta de enlace solo aceptar las rutas
del satlite que estn en la subred 192.168.0.0/16.
Palo Alto Networks
Configuracin del acceso de la puerta de enlace a un gestor de

seguridad mvil
Red > GlobalProtect > MDM
Si utiliza un gestor de seguridad mvil para gestionar dispositivos mviles de usuario final
y adems aplica las polticas habilitadas para HIP, debe configurar la puerta de enlace para
comunicarse con el gestor de seguridad mvil si desea recuperar los informes HIP para los
dispositivos gestionados. Utilice esta pgina para habilitar la puerta de enlace y tener acceso
al gestor de seguridad mvil.
Para aadir informacin para un gestor de seguridad mvil, haga clic en Aadir. En la
siguiente tabla se proporciona informacin sobre qu introducir en los campos del cuadro
de dilogo MDM de GlobalProtect. Para obtener ms informacin sobre cmo configurar el
servicio del gestor de seguridad mvil de GlobalProtect, consulte la seccin sobre cmo
configurar el gestor del dispositivo mvil de GlobalProtect en la gua del administrador de
GlobalProtect. Para obtener instrucciones detalladas sobre cmo configurar la puerta de enlace
para recuperar los informes HIP en el gestor de seguridad mvil de GlobalProtect, consulte
la seccin sobre cmo habilitar el acceso de puerta de enlace al gestor de seguridad mvil de
GlobalProtect.
Tabla 204. Configuracin de MDM de GlobalProtect

Campo
Descripcin
Nombre
Introduzca un nombre para gestor de seguridad mvil (hasta 31 caracteres). El nombre hace distincin entre maysculas y minsculas y debe
guiones bajos.
Ubicacin
Seleccione el sistema virtual, si la opcin varios sistemas virtuales est

activada.
Configuracin de conexin
Servidor
Introduzca la direccin IP o FQDN de la interfaz en el gestor de seguridad

mvil donde la puerta de enlace se conectar para recuperar informes
HIP. Asegrese de contar con una ruta de servicio a esta interfaz.
Puerto de conexin
Puerto en el que el gestor de seguridad mvil escuchar las solicitudes

de informes HIP. El puerto predeterminado es 5008, puerto en el que
escucha el gestor de seguridad mvil de GlobalProtect. Si utiliza un
gestor de seguridad mvil de terceros, introduzca el nmero de puerto
en el que escucha las solicitudes de informe HIP ese servidor.
Seleccione el certificado de cliente que debe presentar la puerta de enlace

al gestor de seguridad mvil al establecer una conexin HTTPS. Solo es
necesario si el gestor de seguridad mvil se configura para utilizar
autenticacin mutua.
CA raz de confianza
Haga clic en Aadir y seleccione el certificado CA raz que se utiliz

al emitir el certificado para la interfaz donde la puerta de enlace se
conectar para recuperar los informes HIP (podra ser un certificado
de servidor distinto al emitido para la interfaz de comprobacin del
dispositivo en el gestor de seguridad mvil). Debe importar el certificado
de CA raz y aadirlo a esta lista.
Palo Alto Networks
Creacin de objetos HIP

Objetos > GlobalProtect > Objetos HIP
Utilice esta pgina para definir los objetos del perfil de informacin de host (HIP). Los objetos
HIP proporcionan los criterios de coincidencia que filtran la informacin de host que est
interesado en utilizar para aplicar la poltica a partir de los datos sin formato de los que ha
informado el agente o aplicacin. Por ejemplo, aunque los datos de host sin formato pueden
incluir informacin sobre varios paquetes antivirus instalados en el cliente, puede que solo
est interesado en una aplicacin concreta que necesite en su organizacin. En este caso,
creara un objeto HIP que coincidiera la aplicacin especfica que est interesado en aplicar.
La mejor forma de determinar qu objetos HIP necesita es determinar cmo utilizar la
informacin de host que recopila para aplicar la poltica. Tenga en cuenta que los objetos HIP
son solo los ladrillos que le permiten crear los perfiles HIP que se utilizan en sus polticas de
seguridad. Por lo tanto, puede que desee mantener la sencillez de sus objetos, de forma que
solo coincidan con un elemento, como la presencia de un tipo concreto de software necesario,
la pertenencia a un dominio especfico o la presencia de un SO cliente determinado.
Hacindolo, tendr la flexibilidad de crear una poltica aumentada HIP muy granular.
Para crear un objeto HIP, haga clic en Aadir para abrir el cuadro de dilogo Objeto HIP.
Para obtener una descripcin sobre qu introducir en un campo determinado, consulte las
siguientes tablas.
Pestaa General
Pestaa Dispositivo mvil
Pestaa Administracin de parches
Pestaa Cortafuegos
Pestaa Antivirus
Pestaa Antispyware
Pestaa Copia de seguridad de disco
Pestaa Cifrado de disco
Pestaa Prevencin de prdida de datos
Pestaa Comprobaciones personalizadas
Para obtener informacin ms detallada sobre cmo crear polticas de seguridad aumentadas
HIP, consulte la seccin sobre cmo configurar la aplicacin de polticas basadas en HIP en la
gua del administrador de GlobalProtect.
Palo Alto Networks
Pestaa General
Utilice la pestaa General para especificar un nombre para el nuevo objeto HIP y configurar
el objeto para que coincida con la informacin de host general, como el dominio, el sistema
operativo o el tipo de conectividad de red que tiene.
Tabla 205. Configuracin general de objeto HIP

Campo
Descripcin
Nombre
Introduzca un nombre para el objeto de HIP (de hasta 31 caracteres).

guiones bajos.
Compartido
Seleccione la casilla de verificacin para permitir que el objeto est

disponible para todos los sistemas virtuales.
Descripcin
Informacin de host
Seleccione la casilla de verificacin para habilitar el filtrado en los campos

de informacin de host.
Dominio
Para coincidir con el nombre de un dominio, seleccione un operador en la

lista desplegable e introduzca una cadena para la coincidencia.
SO
Para buscar coincidencias con el SO de un host, seleccione Contiene en el

primer men desplegable, seleccione un proveedor en el segundo men
desplegable y, a continuacin, seleccione una versin de SO concreta en el
tercer men desplegable o seleccione Todo para que la coincidencia sea
con cualquier versin de SO del proveedor seleccionado.
Versiones de cliente
Para buscar la coincidencia con un nmero de versin concreto, seleccione un operador en el men desplegable y, a continuacin, introduzca
la cadena que debe coincidir (o no coincidir) en el cuadro de texto.
Nombre de host
Para buscar la coincidencia con un nombre de host especfico o parte

de l, seleccione un operador en el men desplegable y, a continuacin,
introduzca la cadena que debe coincidir (o no coincidir, segn el operador
seleccionado) en el cuadro de texto.
Red
Utilice este campo para habilitar el filtrado en la configuracin de red de

un dispositivo mvil especfico. Estos criterios de coincidencia se aplican
nicamente a dispositivos mviles.
Seleccione un operador en el men desplegable y, a continuacin, seleccione el tipo de conexin de red que se debe filtrar en el segundo men
desplegable: Wifi, Mvil, Ethernet (solo disponible para los filtros No
est) o Desconocido. Despus de seleccionar un tipo de red, introduzca
cadenas adicionales con las que buscar coincidencias, si estn disponibles,
como el operador mvil o SSID de Wifi.
Palo Alto Networks
Pestaa Dispositivo mvil

Utilice la pestaa Dispositivo mvil para habilitar la coincidencia de HIP con datos
recopilados de dispositivos mviles que ejecutan la aplicacin GlobalProtect.
Tabla 206. Configuracin del dispositivo mvil del objeto HIP

Campo
Descripcin
Dispositivo mvil
Seleccione la casilla de verificacin para permitir el filtrado de los datos

de host recopilados de dispositivos mviles que ejecutan la aplicacin
GlobalProtect. Al seleccionar esta casilla de verificacin, se habilitan las
pestaas secundarias Dispositivo, Configuracin yAplicaciones para su
edicin.
Pestaa secundaria
Dispositivo
Nmero de serie: Para buscar una coincidencia total o parcial del

nmero de serie de un dispositivo, seleccione un operador en el men
desplegable e introduzca la cadena cuya coincidencia se debe buscar.
Modelo: Para buscar la coincidencia con un modelo de dispositivo
determinado, seleccione un operador en la lista desplegable e introduzca una cadena.
Etiqueta: Para buscar la coincidencia con un valor de etiqueta definido
en el gestor de seguridad mvil de GlobalProtect, seleccione un operador
en el primer men desplegable y, a continuacin, seleccione una etiqueta
en el segundo men desplegable.
Nmero de telfono: Para buscar una coincidencia total o parcial del
nmero de telfono de un dispositivo, seleccione un operador en el
men desplegable e introduzca la cadena cuya coincidencia se debe
buscar.
IMEI: Para buscar una coincidencia total o parcial del IMEI (Identidad
Internacional de Equipo Mvil) de un dispositivo, seleccione un operador
en el men desplegable e introduzca la cadena cuya coincidencia se
debe buscar.
Palo Alto Networks
Tabla 206. Configuracin del dispositivo mvil del objeto HIP (Continuacin)
Campo
Descripcin
Pestaa secundaria
Configuracin
Cdigo de acceso: Filtro basado en la existencia de un cdigo de acceso

en el dispositivo. Para hacer coincidir dispositivos que tengan un cdigo
de acceso establecido, seleccione s. Para hacer coincidir dispositivos
que no tengan un cdigo de acceso establecido, seleccione no.
Dispositivo gestionado: Filtro basado en el hecho de que al dispositivo
lo gestione un MDM. Para hacer coincidir dispositivos gestionados,
seleccione s. Para hacer coincidir dispositivos no gestionados, seleccione no.
Modificado/Bloqueado: Filtro basado en la modificacin o bloqueo del
dispositivo. Para hacer coincidir dispositivos que se hayan modificado o
bloqueado, seleccione s. Para hacer coincidir dispositivos que no se
hayan modificado o bloqueado, seleccione no.
Cifrado de disco: Filtro basado en el cifrado del dispositivo. Para hacer
coincidir dispositivos que tengan habilitado el cifrado del disco, seleccione s. Para hacer coincidir dispositivos que no tengan habilitado el
cifrado del disco, seleccione no.
Tiempo desde el ltimo registro: Filtro en el momento en que MDM
comprob el dispositivo por ltima vez. Seleccione un operador en el
men desplegable y, a continuacin, especifique el nmero de das para
la ventana de comprobacin. Por ejemplo, podra definir el objeto que se
debe hacer coincidir con los dispositivos que no se hayan comprobado
en los ltimos 5 das.
Pestaa secundaria
Aplicaciones
Aplicaciones: (solo dispositivos Android) Seleccione esta casilla de

verificacin para permitir el filtrado basado en las aplicaciones instaladas en el dispositivo y en la presencia de alguna aplicacin instalada
infectada por software malintencionado en el dispositivo.
Pestaa secundaria Criterios
Contiene software malintencionado: Para hacer coincidir dispositivos que tengan aplicaciones instaladas infectadas por software
malintencionado, seleccione S; para hacer coincidir dispositivos
que no tengan aplicaciones instaladas infectadas por software malintencionado, seleccione No. Si no desea utilizar Contiene software
malintencionado como criterio de coincidencia, seleccione Ninguno.
Pestaa secundaria Incluir
Paquete: Para hacer coincidir dispositivos que tengan instaladas
determinadas aplicaciones, haga clic en Aadir y, a continuacin,
introduzca el nombre de aplicacin nico (en formato DNS inverso;
por ejemplo, com.netflix.mediaclient) en el campo Paquete e
introduzca la aplicacin correspondiente Hash, que la aplicacin
GlobalProtect calcula y enva con el informe HIP del dispositivo.
Palo Alto Networks
Pestaa Administracin de parches

Utilice la pestaa Administracin de parches para habilitar la coincidencia HIP en el estado
de administracin de parches de los clientes de GlobalProtect.
Tabla 207. Configuracin de administracin de parches del objeto HIP

Campo
Descripcin
Administracin de
parches
Seleccione la casilla de verificacin para habilitar la coincidencia con

el estado de administracin de parches del host. Al seleccionar esta
casilla de verificacin, se habilitan las pestaas secundarias Criterios y
Proveedor para su edicin.
Pestaa secundaria
Criterios
Especifique los siguientes ajustes en esta pestaa secundaria:

Est habilitado: Busca coincidencias si el software de administracin
de parches est habilitado en el host. Si la casilla de verificacin Est
instalado no est marcada, este campo se establece automticamente
como ninguno y no se puede editar.
Est instalado: Busca coincidencias si el software de administracin de
parches est instalado en el host.
Gravedad: Busca coincidencias si al host le faltan parches del nivel de
gravedad especificado.
Comprobar: Busca coincidencias si faltan parches.
Parches: Busca coincidencias si el host cuenta con determinados
parches. Haga clic en Aadir e introduzca los nombres de archivo
para los nombres de parches especficos que se deben buscar.
Pestaa secundaria
Proveedor
Utilice esta pestaa secundaria para definir proveedores de software de

administracin de parches o productos concretos que se deben buscar
en el host para determinar una coincidencia. Haga clic en Aadir y, a
continuacin, seleccione un proveedor en el men desplegable. Tambin
tiene la posibilidad de hacer clic en Aadir para seleccionar un producto
especfico. Haga clic en ACEPTAR para guardar la configuracin.
Palo Alto Networks
Pestaa Cortafuegos
Utilice la pestaa Cortafuegos para habilitar la coincidencia HIP basada en el estado del
software del cortafuegos de los clientes de GlobalProtect.
Tabla 208. Configuracin del cortafuegos del objeto HIP

Campo
Descripcin
Cortafuegos
Seleccione la casilla de verificacin Cortafuegos para habilitar la coincidencia en el estado del software del cortafuegos del host.
Est habilitado: Busca coincidencias si el software del cortafuegos est
habilitado en el host. Si la casilla de verificacin Est instalado no est
marcada, este campo se establece automticamente como ninguno y no
se puede editar.
Est instalado: Busca coincidencias si el software del cortafuegos est
instalado en el host.
Proveedor y Producto: Defina proveedores o productos concretos del
software del cortafuegos que se deben buscar en el host para determinar
una coincidencia. Haga clic en Aadir y, a continuacin, seleccione un
proveedor de la lista desplegable. Tambin tiene la posibilidad de hacer
clic en Aadir para seleccionar un producto especfico. Haga clic en
ACEPTAR para guardar la configuracin.
Excluir proveedor: Seleccione la casilla de verificacin para hacer
coincidir hosts que no tengan software de un determinado proveedor.
Palo Alto Networks
Pestaa Antivirus
Utilice la pestaa Antivirus para habilitar la coincidencia HIP basada en la cobertura del
antivirus en los clientes de GlobalProtect.
Tabla 209. Configuracin del antivirus del objeto HIP

Campo
Descripcin
Antivirus
Seleccione la casilla de verificacin para habilitar la coincidencia en la

cobertura del antivirus en el host.
Proteccin en tiempo real: Busca coincidencia si la proteccin antivirus
en tiempo real est habilitada en el host. Si la casilla de verificacin Est
instalado no est marcada, este campo se establece automticamente
como ninguno y no se puede editar.
Est instalado: Busca coincidencias si el software antivirus est instalado
en el host.
Versin de definicin de virus: Especifica la bsqueda de coincidencias
basndose en la actualizacin de las definiciones de virus dentro de un
nmero especificado de das o versiones.
Versin del producto: Utilice esta opcin para buscar coincidencias de
una versin concreta del software antivirus. Para especificar la bsqueda
de una versin, seleccione un operador en el men desplegable y, a
continuacin, introduzca una cadena que represente la versin del
producto.
ltima hora de anlisis: Especifica si la bsqueda de coincidencias
debe basarse en el momento en el que se ejecut el ltimo anlisis del
antivirus. Seleccione un operador en el men desplegable y, a continuacin, especifique el nmero de das u horas con los que buscar
coincidencias.
Proveedor y Producto: Defina proveedores o productos concretos
del software antivirus que se deben buscar en el host para determinar
proveedor de la lista desplegable. Tambin tiene la posibilidad de hacer
clic en Aadir para seleccionar un producto especfico. Haga clic en
ACEPTAR para guardar la configuracin.
Palo Alto Networks
Pestaa Antispyware
Utilice la pestaa Antispyware para habilitar la coincidencia HIP basada en la cobertura del
antispyware en los clientes de GlobalProtect.
Tabla 210. Configuracin del antispyware del objeto HIP

Campo
Descripcin
Antispyware
Seleccione la casilla de verificacin para habilitar la coincidencia con la

cobertura del antispyware en el host y, a continuacin, defina criterios de
coincidencia adicionales para la bsqueda de la siguiente forma:
Proteccin en tiempo real: Busca coincidencia si la proteccin antispyware en tiempo real est habilitada en el host. Si la casilla de verificacin Est instalado no est marcada, este campo se establece
automticamente como ninguno y no se puede editar.
Est instalado: Busca coincidencias si el software antispyware est
instalado en el host.
Versin de definicin de virus: Especifica la bsqueda de coincidencias basndose en la actualizacin de las definiciones de virus
dentro de un nmero especificado de das o versiones.
Versin del producto: Utilice esta opcin para buscar coincidencias
de una versin concreta del software antispyware. Para especificar la
bsqueda de una versin, seleccione un operador en el men desplegable
y, a continuacin, introduzca una cadena que represente la versin del
producto.
debe basarse en el momento en el que se ejecut el ltimo anlisis
del antispyware. Seleccione un operador en el men desplegable y,
a continuacin, especifique el nmero de das u horas con los que
buscar coincidencias.
Proveedor y Producto: Define proveedores o productos de software
antispyware concretos que se deben buscar en el host para determinar
proveedor en el men desplegable. Tambin tiene la posibilidad de
hacer clic en Aadir para seleccionar un producto especfico. Haga clic
en ACEPTAR para guardar la configuracin.
Palo Alto Networks
Pestaa Copia de seguridad de disco

Utilice la pestaa Copia de seguridad de disco para habilitar la coincidencia HIP basada en el
estado de la copia de seguridad del disco de los clientes de GlobalProtect.
Tabla 211. Configuracin de la copia de seguridad del disco del objeto HIP
Campo
Descripcin
Copia de seguridad
de disco
Seleccione la casilla de verificacin para habilitar la coincidencia con el

estado de la copia de seguridad del disco en el host y, a continuacin,
defina criterios de coincidencia adicionales para la bsqueda de la
siguiente forma:
Est instalado: Busca coincidencias si el software de copia de seguridad
del disco est instalado en el host.
debe basarse en el momento en el que se ejecut la ltima copia de
seguridad del disco. Seleccione un operador en el men desplegable
y, a continuacin, especifique el nmero de das u horas con los que
buscar coincidencias.
de copia de seguridad de disco concretos que se deben buscar en el
host para determinar una coincidencia. Haga clic en Aadir y, a continuacin, seleccione un proveedor en el men desplegable. Tambin
tiene la posibilidad de hacer clic en Aadir para seleccionar un producto
especfico. Haga clic en ACEPTAR para guardar la configuracin.
Palo Alto Networks
Pestaa Cifrado de disco

Utilice la pestaa Cifrado de disco para habilitar la coincidencia HIP basada en el estado del
cifrado de disco de los clientes de GlobalProtect.
Tabla 212. Configuracin del cifrado del disco del objeto HIP
Campo
Descripcin
Cifrado de disco
Seleccione la casilla de verificacin para habilitar la coincidencia con el

estado de cifrado del disco del host:
Criterios
Especifique los siguientes ajustes en esta pestaa secundaria:

Est instalado: Busca coincidencias si el software de cifrado del disco
est instalado en el host.
Ubicaciones cifradas: Haga clic en Aadir para especificar la unidad
o la ruta que se debe comprobar para el cifrado del disco cuando se
determine una coincidencia:
Ubicaciones cifradas: Introduzca las ubicaciones concretas que se
deben comprobar para el cifrado del host.
Estado: Especifique cmo hacer coincidir el estado de la ubicacin
cifrada seleccionando un operador en el men desplegable y, a
continuacin, seleccionando un posible estado (completo, ninguno,
parcial, no disponible).
Proveedor
Palo Alto Networks
Utilice esta pestaa secundaria para definir proveedores o productos de

software de cifrado del disco concretos que se deban buscar en el host
para determinar una coincidencia. Haga clic en Aadir y, a continuacin,
seleccione un proveedor en el men desplegable. Tambin tiene la posibilidad de hacer clic en Aadir para seleccionar un producto especfico.
Haga clic en ACEPTAR para guardar los ajustes y vuelva a la pestaa
Cifrado de disco.
Pestaa Prevencin de prdida de datos

Utilice la pestaa Prevencin de prdida de datos para habilitar la coincidencia HIP basada
en si los clientes de GlobalProtect estn ejecutando o no software de prevencin de prdida
de datos.
Tabla 213. Configuracin de prevencin de prdida de datos del objeto HIP

Campo
Descripcin
Prevencin de prdida
de datos
Seleccione la casilla de verificacin para habilitar la coincidencia con la

prevencin de prdida de datos (DLP) en el host (solo hosts de Windows)
y defina, a continuacin, criterios de coincidencia adicionales para la
bsqueda de la siguiente forma:
Est habilitado: Busca coincidencias si el software DPL est habilitado
en el host. Si la casilla de verificacin Est instalado no est marcada,
este campo se establece automticamente como ninguno y no se puede
editar.
Est instalado: Busca coincidencias si el software DPL est instalado en
el host.
DPL concretos que se deben buscar en el host para determinar una
coincidencia. Haga clic en Aadir y, a continuacin, seleccione un
proveedor en el men desplegable. Tambin tiene la posibilidad de
hacer clic en Aadir para seleccionar un producto especfico. Haga clic
en ACEPTAR para guardar la configuracin.
Pestaa Comprobaciones personalizadas

Utilice la pestaa Comprobaciones personalizadas para habilitar las coincidencias HIP en
cualquier comprobacin personalizada que haya definido en el portal de GlobalProtect. Para
obtener informacin sobre cmo aadir comprobaciones personalizadas a la coleccin HIP,
consulte Configuracin del portal de GlobalProtect.
Tabla 214. Configuracin de comprobaciones personalizadas del objeto HIP

Campo
Descripcin
Comprobaciones
personalizadas
Seleccione la casilla de verificacin para habilitar la coincidencia con

cualquier comprobacin personalizada que haya definido en el portal de
GlobalProtect.
Lista de procesos
Para comprobar el sistema de host para un proceso especfico, haga clic en

Aadir y, a continuacin, introduzca el nombre del proceso. De forma
predeterminada, el agente busca los procesos en ejecucin; si quiere
comprobar que un proceso concreto est presente en el sistema, quite la
marca de la casilla de verificacin En ejecucin.
Palo Alto Networks
Tabla 214. Configuracin de comprobaciones personalizadas del objeto HIP (ContinuaCampo
Descripcin
Clave de registro
Para buscar en los hosts de Windows una clave de registro determinada,

haga clic en Aadir e introduzca la clave de registro con la que buscar la
coincidencia. Para buscar coincidencias solamente en hosts que no tengan
la clave de registro especificada, seleccione la casilla de verificacin
La clave no existe o coincide con datos de valor especificados.
Para buscar coincidencias con valores concretos, haga clic en Aadir y,
a continuacin, introduzca el valor de registro y los datos de valor.
Para buscar coincidencias en hosts que explcitamente no tengan el valor
o datos de valor especificados, seleccione la casilla de verificacin Negar.
Plist
Para buscar en los hosts de Mac una lista de propiedades especfica

(plist), haga clic en Aadir e introduzca el nombre Plist. Para buscar
coincidencias solamente en hosts que no tengan la plist especificada,
seleccione la casilla de verificacin Plist no existe.
Para buscar coincidencias con un par clave-valor concreto dentro de la
plist, haga clic en Aadir y, a continuacin, introduzca la clave y el valor
correspondiente que se debe hacer coincidir. Para buscar coincidencias
en hosts que explcitamente no tengan el valor o la clave especificados,
seleccione la casilla de verificacin Negar.
Configuracin de perfiles de HIP

Objetos > GlobalProtect > Perfiles HIP
Utilice esta pgina para crear los perfiles HIP que utilizar para configurar las polticas
de seguridad habilitadas para HIP. Una coleccin de objetos HIP que deben evaluarse en
conjunto, para supervisin o para la aplicacin de polticas de seguridad. Cuando crea sus
perfiles HIP, puede combinar objetos HIP que haya creado previamente (as como otros
perfiles HIP) usando lgica booleana como la que se usa cuando un flujo de trfico se evala
con respecto al perfil HIP resultante con el que tendr, o no, coincidencia. Si coincide, la regla
de poltica correspondiente se aplicar; si no coincide, el flujo se evaluar con respecto a la
siguiente regla, como con cualquier otro criterio de coincidencia de poltica.
Para crear un perfil HIP, haga clic en Aadir. En la siguiente tabla se proporciona informacin
sobre qu introducir en los campos del cuadro de dilogo Perfil HIP. Para obtener informacin
ms detallada sobre cmo configurar GlobalProtect y el flujo de trabajo para crear polticas
de seguridad aumentadas HIP, consulte la seccin sobre cmo configurar la aplicacin de
polticas basadas en HIP en la gua del administrador de GlobalProtect.
Tabla 215. Configuracin de perfil de HIP

Campo
Descripcin
Nombre
Introduzca un nombre para el perfil (de hasta 31 caracteres). El nombre

Descripcin
Palo Alto Networks
Tabla 215. Configuracin de perfil de HIP (Continuacin)

Campo
Descripcin
Compartido
Seleccione la casilla de verificacin para permitir que el perfil est

disponible para todos los sistemas virtuales.
Coincidencia
Haga clic en Aadir criterios de coincidencia para abrir el generador de

objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como criterio
de bsqueda y, a continuacin, haga clic en Aadir
para moverlo
sobre el cuadro de texto Coincidencia en el cuadro de dilogo Perfil HIP.
Tenga en cuenta que, si desea que el perfil HIP evale el objeto como una
coincidencia solo cuando el criterio del objeto no sea verdadero para un
flujo, seleccione la casilla de verificacin NO antes de aadir el objeto.
Contine aadiendo criterios de coincidencia como corresponda para el
perfil que est creando, seleccionando el botn de opcin del operador
booleano apropiado (Y u O) cada vez que aada un elemento (y, de
nuevo, use la casilla de verificacin NO cuando corresponda).
Si est creando una expresin booleana compleja, debe aadir manualmente el parntesis en los lugares adecuados del cuadro de texto Coincidencia para asegurarse de que el perfil HIP se evala usando la lgica
que desea. Por ejemplo, la siguiente expresin indica que el perfil HIP
buscar coincidencias con el trfico desde un host que tenga cifrado
de disco FileVault (en sistemas de SO Mac) o TrueCrypt (en sistemas
Windows), que pertenezca al dominio requerido y que tambin tenga
instalado un cliente antivirus de Symantec:
((MacOS y FileVault) o (Windows y TrueCrypt))
y Dominio y SymantecAV
Cuando haya terminado de aadir objetos/perfiles al nuevo perfil HIP,
haga clic en ACEPTAR.
Configuracin y activacin del agente de GlobalProtect

Dispositivo > Cliente de GlobalProtect
Utilice esta pgina para descargar el software del agente de GlobalProtect al cortafuegos
que alberga el portal y activarlo, de forma que los clientes que se conecten al portal puedan
descargarlo. Usted define cmo y cundo se producen las descargas de software (si las
actualizaciones se realizan automticamente cuando el conecta el agente, si se les pide a
los usuarios finales que actualicen o si se permite actualizar a un conjunto determinado de
usuarios) en las configuraciones clientes que defina en el portal. Vea la descripcin del campo
Actualizacin de agente en la seccin que describe el portal Pestaa Configuracin clientes
para obtener ms detalles. Para obtener informacin sobre las distintas opciones que existen
para distribuir el software del agente de GlobalProtect y para ver instrucciones detalladas
sobre cmo implementarlo, consulte la seccin sobre cmo implementar el software del cliente
de GlobalProtect en la gua del administrador de GlobalProtect.
Para la instalacin y descarga inicial del agente de GlobalProtect, el usuario del
sistema cliente debe iniciar sesin con derechos de administrador. Para las
actualizaciones siguientes, no se requieren los derechos de administrador.
Palo Alto Networks
En la siguiente tabla se proporciona ayuda para utilizar esta pantalla. Para obtener ms
informacin sobre cmo implementar el software del agente, consulte la gua del administrador
de GlobalProtect.
Tabla 216. Configuracin del cliente de GlobalProtect

Campo
Descripcin
Versin
Nmero de versin del software del agente de GlobalProtect disponible

en el servidor de actualizaciones de Palo Alto Networks. Para comprobar
si hay disponible alguna nueva versin de software del agente en Palo
Alto Networks, haga clic en Comprobar ahora. El cortafuegos utilizar su
ruta de servicios para conectar al servidor de actualizaciones y buscar
nuevas versiones. Si hay actualizaciones disponibles, las muestra al
Tamao
Tamao del paquete de software del agente.
Fecha de versin
Descargado

versin correspondiente del paquete de software en el cortafuegos.
Activado actualmente
Una marca de verificacin en esta columna indica que se ha activado la

versin correspondiente del software del agente en el cortafuegos y que
los agentes que se conecten pueden descargarla. Solo se puede activar
una versin del software.
Accin
Indica la accin actual que puede realizar para el paquete de software del
agente de la siguiente forma:
el servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Actualizar software para buscar y descargar las nuevas versiones de
software del agente en su ordenador local. A continuacin, haga clic
en el botn Cargar en la pantalla Cliente de GlobalProtect para cargar
manualmente el software del agente en el cortafuegos.
Activar: Se ha descargado la versin de software del agente correspondiente, pero los agentes no la pueden descargar todava. Haga clic en el
enlace para activar el software y habilitar la actualizacin del agente.
Para activar una actualizacin de software que haya cargado manualmente en el cortafuegos mediante el botn Cargar, debe hacer clic en el
botn Activar desde archivo y seleccionar la versin que desea activar
en el men desplegable (puede que necesite actualizar la pantalla para
que aparezca como Activado actualmente).
Reactivar: Se ha activado el software de agente correspondiente y est
listo para que lo descarguen los clientes. Como solo puede estar activa
una versin del software del agente de GlobalProtect en el cortafuegos,
si los usuarios finales necesitan acceder a una versin distinta a la
actual, tendr que activar la otra versin para que se convierta en la
versin activada actualmente.
Notas de versin
Proporciona un enlace a las notas de la versin de GlobalProtect de la

versin del agente correspondiente.
Elimine la imagen de software del agente descargada anteriormente del
cortafuegos.
Palo Alto Networks
Configuracin del agente de GlobalProtect

El agente de GlobalProtect(PanGP Agent) es una aplicacin instalada en el sistema cliente
(normalmente un ordenador porttil) para permitir conexiones de GlobalProtect con portales
y puertas de enlace y compatible con el servicio de GlobalProtect (PanGP Service).
Asegrese de seleccionar la opcin de instalacin correcta para sus sistema
operativo de host (32 bits o 64 bits). Si se realiza la instalacin en un host de
64 bits, utilice un combo explorador/Java para la instalacin inicial.
Para instalar el agente, abra el archivo de instalador y siga las instrucciones que aparecen
en pantalla.
Para configurar el agente:
1.
Seleccione Inicio > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
La interfaz de cliente se abre para mostrar la pestaa Configuracin.
2.
Especifique el nombre de usuario y la contrasea a utilizar para la autenticacin de

GlobalProtect y seleccione opcionalmente la casilla de verificacin Recordarme.
3.
Introduzca la direccin IP del cortafuegos que acta como el portal de GlobalProtect.
4.
Haga clic en Aplicar.
Uso del agente de GlobalProtect

Las pestaas en el agente de GlobalProtect contiene informacin til acerca del estado y
configuracin y proporciona informacin para ayudar a solucionar problemas de conexin.
Pestaa Estado: Muestra el estado actual de la conexin e indica cualquier advertencia

o error.
Pestaa Detalles: Muestra informacin acerca de la conexin actual, incluyendo direcciones IP y protocolo y presenta estadsticas de paquete y bytes acerca de la conexin
de red.
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Pestaa Solucin de problemas: Muestra informacin para ayudar a solucionar

problemas.
Configuraciones de red: Muestra la configuracin actual del sistema cliente.
Tabla de enrutamiento: Muestra informacin acerca del enrutamiento actual de la
conexin de GlobalProtect.
Sockets: Muestra informacin de socket de las conexiones actualmente activas.
Logs: le permite mostrar logs del agente y el servicio de GlobalProtect (PanGP Agent),
(PanGP Service). Seleccione el tipo de log y el nivel de depuracin. Haga clic en Iniciar
para comenzar los logs y Detener para finalizar los logs.
Palo Alto Networks
Captulo 10
Configuracin de la calidad de servicio

Esta seccin describe cmo configurar la calidad de servicio (QoS) en el cortafuegos:
Configuracin de QoS para interfaces de cortafuegos
Definicin de perfiles de QoS
Visualizacin de estadsticas de QoS
Configuracin de QoS para interfaces de cortafuegos

Red > QoS
Utilice la pgina QoS para configurar los lmites del ancho de banda para las interfaces del
cortafuegos.
Tabla 217. Configuracin de QoS

Campo
Descripcin
Interfaz fsica
Nombre de interfaz
Seleccione la interfaz del cortafuegos.
Mximo de salida
(Mbps)
Introduzca el lmite en el trfico del cortafuegos en esta interfaz.
Activar la funcin QoS

en esta interfaz
Seleccione la casilla de verificacin para activar funciones de QoS.
Perfil predeterminado:
Seleccione los perfiles predeterminados de QoS para el trfico en claro

y de tnel. Debe especificar un perfil predeterminado para cada uno.
Para el trfico en claro, el perfil predeterminado se aplica a todo el trfico
en claro como un conjunto. Para el trfico de tnel, el perfil predeterminado se aplica de forma individual a cada tnel que no cuenta con una
asignacin de perfil especfico en la seccin de configuracin detallada.
Para obtener instrucciones sobre cmo definir perfiles de QoS, consulte
Definicin de perfiles de QoS.
Trfico en claro
Interfaz de tnel
Palo Alto Networks
Nota: Aunque no es un campo obligatorio, se recomienda definir siempre el

valor Mximo de salida para una interfaz de QoS.
Configuracin de la calidad de servicio 399
Tabla 217. Configuracin de QoS (Continuacin)

Campo
Descripcin
Trfico en claro y
de tnel
Especifique la siguiente configuracin en las pestaas Trfico en claro y

Trfico de tnel.
Salida garantizada
(Mbps)
Introduzca el ancho de banda garantizado para el trfico en claro desde

esta interfaz.
Mximo de salida
(Mbps)
Introduzca el lmite en el trfico del cortafuegos en esta interfaz.
Aadir
Haga clic en Aadir en la pestaa Trfico en claro para definir granularidad adicional para el tratamiento del trfico en claro. Haga clic en las
entradas individuales para configurar los siguientes ajustes:
Nombre: Introduzca un nombre para identificar estos ajustes.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la subred y la
interfaz especificadas. Para obtener instrucciones sobre cmo definir
perfiles de QoS, consulte Definicin de perfiles de QoS .
Interfaz de origen: Seleccione la interfaz del cortafuegos.
Subred de origen: Seleccione una subred para restringir los ajustes al
trfico procedente de ese origen o mantenga el valor predeterminado
cualquiera para aplicar los ajustes a cualquier trfico de la interfaz
especificada.
Haga clic en Aadir en la pestaa Trfico de tnel para cancelar la
asignacin de perfil predeterminada para tneles especficos y
configurar los siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel en el cortafuegos.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la interfaz
de tnel especificadas.
Por ejemplo, asuma una configuracin con dos sitios, uno de los cuales
cuenta con una conexin de 45 Mbps y el otro con una conexin T1 con el
cortafuegos. Puede aplicar una configuracin de QoS restrictiva al sitio T1
por lo que la conexin no se sobrecarga a la vez que se proporciona una
configuracin ms flexible para el sitio con la conexin de 45 Mbps.
Para eliminar una entrada de trfico en claro o de tnel, seleccione la
casilla de verificacin de la entrada y haga clic en Eliminar.
Si se dejan en blanco las secciones de trfico en claro o de tnel, los
valores especificados en la seccin Perfil predeterminado de la pestaa
Interfaz fsica.
400 Configuracin de la calidad de servicio
Palo Alto Networks

Red > Perfiles de red > Perfiles de QoS
Para cada interfaz, puede definir perfiles de QoS que determinan cmo se tratan las clases de
trfico de QoS. Puede establecer lmites generales en el ancho de banda independientemente
de la clase y tambin establecer lmites para clases individuales. Tambin puede asignar
prioridades a diferentes clases. Las prioridades determinan cmo se trata el trfico en
presencia de conflictos.
Haga clic en Aadir y rellene los campos descritos para definir un perfil QoS.
Consulte Configuracin de QoS para interfaces de cortafuegos para obtener
informacin acerca de la configuracin de interfaces de cortafuegos para QoS y
consulte Definicin de polticas de QoS para configurar las polticas que
activarn las restricciones de QoS.
Tabla 218. Configuraciones de perfil de QoS

Campo
Descripcin
Nombre de perfil

guiones bajos.
Mximo de salida
Introduzca el ancho de banda mximo permitido para este perfil (Mbps).

El valor Mximo de salida para un perfil de QoS debe ser menor o igual
que el valor Mximo de salida definido para la interfaz fsica para la que
QoS est activado. Consulte Configuracin de QoS para interfaces de
cortafuegos .
Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el valor
Mximo de salida para un perfil de QoS.
Salida garantizada
Palo Alto Networks
Introduzca el ancho de banda garantizado para este perfil (Mbps).
Tabla 218. Configuraciones de perfil de QoS (Continuacin)

Campo
Descripcin
Clases
Haga clic en Aadir para especificar cmo se tratarn las clases de QoS
individuales. Puede seleccionar una o ms clases para configurar:
Clase: Si no configura una clase, puede incluirla en una poltica de QoS.
En este caso, el trfico est sujeto a los lmites generales de QoS. El trfico
que no coincide con una poltica de QoS se asignar a clase 4.
Prioridad: Haga clic y seleccione una prioridad para asignarla a una
clase:
tiempo real
alta
media
baja
Mximo de salida: Haga clic e introduzca el lmite de ancho de banda
(Mbps) para esta clase.
El valor Mximo de salida para una clase de QoS debe ser menor o
igual que el valor Mximo de salida definido para el perfil de QoS.
Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el
valor Mximo de salida para un perfil de QoS.
Salida garantizada: Haga clic e introduzca el ancho de banda garantizado (Mbps) para esta clase.
Cuando se producen conflictos, se descarta el trfico con la menor
prioridad asignada. La prioridad en tiempo real utiliza su propia cola
separada.
Palo Alto Networks

Polticas > QoS
Las polticas de QoS determinan la forma en la que se clasifica el trfico para su tratamiento,
cuando pasa por una interfaz con QoS activado. Para cada regla, especifique una de las ocho
clases. Tambin puede asignar un programa para especificar qu regla est activa. El trfico
sin clasificar se asigna automticamente a clase 4.
Haga clic en Aadir para abrir el cuadro de dilogo Regla de poltica de QoS. El cuadro
Regla de poltica de QoS contiene seis pestaas secundarias, que se describen en la Tabla 219:
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Aplicacin
Pestaa Pestaa Categora de URL
Pestaa Otra configuracin

Consulte Configuracin de QoS para interfaces de cortafuegos para obtener
informacin acerca de la configuracin de interfaces del cortafuegos para QoS y
consulte Definicin de perfiles de QoS para obtener informacin acerca de la
configuracin de clases de servicio.
Use la pgina de polticas de QoS para realizar varias acciones, por ejemplo:
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de
la lista desplegable Sistema virtual y haga clic en Ir.
Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro.
Para ver nicamente las reglas para zonas especficas, seleccione una zona de las listas
desplegables Zona de origen y/o Zona de destino y haga clic en Filtrar por zona.
Las polticas compartidas introducidas desde Panorama aparecen en verde y no se
pueden modificar a nivel del dispositivo.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina y configure la regla. Se aadir
una nueva regla a la parte inferior de la lista.
Seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco
de la misma, y seleccione Duplicar en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color amarillo). La regla copiada se inserta debajo de la regla
seleccionada.
Palo Alto Networks
Tabla 219. Configuracin de regla QoS

Campo
Descripcin
Pestaa General
Nombre

guiones bajos.
Descripcin
Etiqueta

Pestaa Origen
Zona de origen
Seleccione una o ms zonas de origen (el valor predeterminado es

cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de
cable virtual, Virtual Wire).
Direccin de origen
Especifique una combinacin de direcciones IPv4 o IPv6 de origen para

las que se puede sobrescribir la aplicacin identificada. Para seleccionar
direcciones especficas, elija seleccionar en la lista desplegable y realice
cualquiera de las siguientes acciones:
Seleccione la casilla de verificacin junto a las direcciones apropiadas
y/o grupos de direcciones
en la columna Disponible y haga
clic en Aadir para agregar sus selecciones a la columna Seleccionadas.
Introduzca los primeros caracteres de un nombre en el campo
Bsqueda para mostrar todas las direcciones y todos los grupos de
direcciones que comienzan con esos caracteres. La seleccin de un
elemento en la lista marcar la casilla de verificacin en la columna
Disponible. Repita este proceso tantas veces como sean necesarias y
luego haga clic en Aadir.
Introduzca una o ms direcciones IP (una por lnea), con o sin mscara
de red. El formato general es:
<direccin_ip>/<mscara>
Para eliminar direcciones, seleccione las casillas de verificacin
apropiadas en la columna Seleccionadas y haga clic en Eliminar o
seleccione cualquiera para borrar todas las direcciones y los grupos
de direcciones.
Para aadir nuevas direcciones que se puedan utilizar en esta u otras
polticas, haga clic en Nueva direccin. Para definir nuevos grupos de
direcciones, consulte Definicin de grupos de direcciones .
Usuario de origen
Especifique los grupos y usuarios de origen a los que se aplicar la

poltica de QoS.
Negar
Si la informacin especificada en esta pestaa NO coincide, seleccione la

casilla de verificacin para obtener la aplicacin de la poltica.
Palo Alto Networks
Tabla 219. Configuracin de regla QoS (Continuacin)

Campo
Descripcin
Pestaa Destino
Zona de destino
Seleccione una o ms zonas de destino (el valor predeterminado es

cualquiera). Las zonas deben ser del mismo tipo (capa 2, capa 3 o de
cable virtual, Virtual Wire).
Direccin de destino
Especifique una combinacin de direcciones IPv4 o IPv6 de origen para

las que se puede sobrescribir la aplicacin identificada. Para seleccionar
direcciones especficas, elija seleccionar en la lista desplegable y realice
cualquiera de las siguientes acciones:
Seleccione la casilla de verificacin junto a las direcciones apropiadas
y/o grupos de direcciones
en la columna Disponible y haga
clic en Aadir para agregar sus selecciones a la columna Seleccionadas.
Introduzca los primeros caracteres de un nombre en el campo
Bsqueda para mostrar todas las direcciones y todos los grupos de
direcciones que comienzan con esos caracteres. La seleccin de un
elemento en la lista marcar la casilla de verificacin en la columna
Disponible. Repita este proceso tantas veces como sean necesarias y
luego haga clic en Aadir.
Introduzca una o ms direcciones IP (una por lnea), con o sin mscara
de red. El formato general es:
<direccin_ip>/<mscara>
Para eliminar direcciones, seleccione las casillas de verificacin
apropiadas en la columna Seleccionadas y haga clic en Eliminar o
seleccione cualquiera para borrar todas las direcciones y los grupos
de direcciones.
Para agregar nuevas direcciones que se puedan utilizar en esta u
otras polticas, haga clic en Nueva direccin (consulte Definicin de
aplicaciones ). Para definir nuevos grupos de direcciones, consulte
Definicin de grupos de direcciones .
Negar
Si la informacin especificada en esta pestaa NO coincide, seleccione la

casilla de verificacin para obtener la aplicacin de la poltica.
Pestaa Aplicacin
Aplicacin
Seleccione aplicaciones especficas para la regla de QoS. Para definir

nuevas aplicaciones, consulte Definicin de aplicaciones . Para definir
grupos de aplicaciones, consulte Definicin de grupos de aplicaciones .
Si una aplicacin tiene mltiples funciones, puede seleccionar una
aplicacin general o aplicaciones individuales. Si selecciona una
aplicacin general se incluirn todas las funciones y la definicin de
la aplicacin se actualizar automticamente a medida que se aadan
futuras funciones.
QoS, podr ver los detalles de estos objetos al pasar el ratn por encima
pestaas de objetos.
Palo Alto Networks
Tabla 219. Configuracin de regla QoS (Continuacin)

Campo
Descripcin
Pestaa
Pestaa Categora de URL
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios .
Categora de URL
Seleccione las categoras URL de la regla de QoS.

Seleccione cualquiera para garantizar que una sesin puede coincidir
con esta regla de QoS independientemente de la categora de URL.
Pestaa Otra configuracin

Clase
Seleccione la clase de QoS para asignar a la regla y haga clic en ACEPTAR.

Las caractersticas de clase se definen en el perfil de QoS. Consulte
Definicin de perfiles de QoS para obtener informacin acerca de la
configuracin de ajustes para clases de QoS.
Programacin
Seleccione el icono de calendario para establecer un programa de la

poltica de QoS para aplicar.
Palo Alto Networks

Red > QoS
La tabla en la pgina Polticas de QoS indica cuando QoS est activada e incluye un enlace
para mostrar estadsticas de QoS. Aparece un ejemplo en la siguiente ilustracin.
Ilustracin 17. Estadsticas de QoS
El panel izquierdo muestra la tabla de rbol de QoS y el panel derecho muestra datos en las
siguientes pestaas:
Ancho de banda de QoS: Muestra los grficos de ancho de banda en tiempo real para el
nodo y las clases seleccionados. La informacin se actualiza cada dos segundos.
NOTA: Las limitaciones de salida (egress) garantizada y mximo de salida de QoS
configuradas para las clases QoS pueden mostrarse con un valor ligeramente distinto en
la pantalla estadsticas de QoS. Este es el comportamiento esperado y se debe a que el
motor de hardware resume los lmites de ancho de banda y recuentos. Esto no supone
problema alguno para el funcionamiento, puesto que los grficos de uso de ancho de
banda muestran los valores y cantidades en tiempo real.
Explorador de sesin: Enumera las sesiones activas del nodo y/o clase seleccionados.
Vista de aplicacin: Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Palo Alto Networks
Palo Alto Networks
Captulo 11
Gestin centralizada del dispositivo

mediante Panorama
Panorama, que est disponible como plataforma de hardware especfica y como dispositivo
virtual de VMware, es el sistema de gestin centralizado para la familia de cortafuegos de
prxima generacin de Palo Alto Networks. Comparte el mismo aspecto basado en Internet
que la interfaz de los cortafuegos individuales, y le permite pasar sin problemas a gestionar
los cortafuegos de manera centralizada y reducir los esfuerzos administrativos para gestionar
varios cortafuegos.
Esta seccin sirve como referencia de campo para saber cmo utilizar la interfaz web de
Panorama para gestionar los cortafuegos de su red. Si desea informacin sobre cmo
configurar Panorama y los conceptos y flujos de trabajo de Panorama, consulte la gua del
administrador de Panorama.
Pestaa Panorama
Cambio de contexto de dispositivo
Configuracin de particiones de almacenamiento
Configuracin de alta disponibilidad (HA)
Cmo aadir dispositivos
Copia de seguridad de las configuraciones del cortafuegos
Definicin de grupos de dispositivos
Definicin de funciones de administrador de Panorama
Creacin de cuentas administrativas de Panorama
Especificacin de dominios de acceso de Panorama para administradores
Logs e informes
Gestin de recopiladores de logs
Definicin de grupos de recopiladores de logs
Generacin de informes de actividad de usuario
Palo Alto Networks
Gestin centralizada del dispositivo mediante Panorama 409
Visualizacin de la informacin de implementacin del cortafuegos
Programacin de actualizaciones dinmicas
Programacin de exportaciones de configuracin
Actualizacin del software de Panorama
Habilitacin del reenvo de logs
Registro del cortafuegos de la serie VM como servicio en el administrador NSX
410 Gestin centralizada del dispositivo mediante Panorama
Palo Alto Networks
Pestaa Panorama
Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al servidor Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Tabla 220. Resumen de pginas de Panorama

Pgina
Descripcin
Configuracin
Permite especificar el nombre de host de Panorama, la configuracin de red

de la interfaz gestionada y las direcciones de los servidores de red (DNS y
NTP). Consulte Definicin de la configuracin de gestin.
Plantillas
Permite crear plantillas que pueden usarse para gestionar las opciones de
configuracin en funcin de las pestaas Dispositivo y Red. Las plantillas le
permiten reducir la carga de trabajo administrativo que supone implementar
varios cortafuegos con una configuracin similar. Consulte Plantillas.
Auditora de
configuraciones
Permite visualizar y comparar archivos de configuracin. Consulte Definicin

de la configuracin de operaciones y Cambio de contexto de dispositivo.
Dispositivos
gestionados
Permite aadir cortafuegos para que los gestione Panorama, forzar la

configuracin compartida en los cortafuegos gestionados y ejecutar controles
completos de configuracin en cortafuegos o en grupos de dispositivos.
Consulte Cmo aadir dispositivos.
Grupos de
dispositivos
Le permite agrupar cortafuegos basndose en la funcin, segmentacin

de la red o ubicacin geogrfica. Un grupo de dispositivos puede incluir
cortafuegos fsicos, virtuales y/o sistemas virtuales. Tradicionalmente, los
cortafuegos de un grupo de dispositivos necesitan configuraciones de poltica
parecidas.
Cuando use las pestaas Polticas y Objetos de Panorama, los grupos de
dispositivos le permitirn implementar un mtodo de capa para gestionar
polticas en una red de cortafuegos gestionados. Consulte Definicin de
grupos de dispositivos.
Palo Alto Networks
Tabla 220. Resumen de pginas de Panorama (Continuacin)

Pgina
Descripcin
Recopiladores
gestionados
Permite configurar y gestionar los dispositivos recopiladores de logs

(el dispositivo M-100 se configura para funcionar en modo de recopilador
de log o como un recopilador de log especializado). Como un recopilador
de logs especializado se configura y gestiona usando Panorama, tambin
se denomina recopilador gestionado.
Un recopilador gestionado puede estar administrado por un dispositivo
M-100 en modo Panorama o por un dispositivo virtual de Panorama.
Los cortafuegos de la versin 5.0 y posteriores gestionados por Panorama
pueden enviar logs a esos recopiladores gestionados.
Tambin puede utilizar esta pestaa para actualizar el software de sus
recopiladores de logs. Primero debe descargar el software de Panorama ms
actualizado e instalar la versin en sus recopiladores haciendo clic en Instalar
en la pgina Recopiladores gestionados.
Nota: M-100 se puede configurar como un administrador de Panorama, un
recopilador de logs, o ambos. El comando operativo para cambiar el modo de M-100
es request system logger-mode [panorama | logger]. Para ver el
modo actual, ejecute show system info | match logger_mode.
Si M-100 est en modo de recopilador de logs, nicamente CLI est disponible
para gestin.
Consulte Gestin de recopiladores de logs.
Grupos de
recopiladores
Permite agrupar de forma lgica uno o varios recopiladores de logs para

poder aplicar los mismos ajustes de configuracin a todos los recopiladores
de logs de un grupo de recopiladores, para despus asignar cortafuegos a los
recopiladores de logs. Los logs se distribuyen uniformemente entre todos los
discos de un recopilador de logs y entre todos los miembros del grupo de
recopiladores.
Cada instancia de Panorama puede tener hasta 16 grupos de recopiladores
y cada grupo de recopiladores puede tener hasta 16 recopiladores de logs.
Para obtener instrucciones sobre cmo configurar un grupo de recopiladores
de logs, consulte Cmo aadir un recopilador de logs.
Funciones de
administrador
Permite especificar los privilegios y responsabilidades que se asignan a los

usuarios que requieren acceso a Panorama. Consulte Definicin de funciones
de administrador.
Perfiles de la
contrasea
Permite definir perfiles de contrasea que posteriormente se pueden aplicar a

los administradores de Panorama. Puede configurar las siguientes opciones
de perfil:
Perodo necesario para el cambio de contrasea (das)
Perodo de advertencia de vencimiento (das)
Recuento de inicio de sesin de administrador posterior al vencimiento
Perodo de gracia posterior al vencimiento (das)
Administradores
Permite definir las cuentas de los usuarios que necesitan acceder a Panorama.
Consulte Creacin de cuentas administrativas.
Nota: Si hay alguna cuenta de usuario bloqueada aparecer un icono de candado en
la columna derecha de la pgina Administradores. El administrador puede hacer clic
en el icono para desbloquear la cuenta.
Alta disponibilidad
Permite configurar un par de dispositivos de Panorama para que sean

compatibles con alta disponibilidad (HA). Consulte Configuracin de alta
disponibilidad (HA).
Palo Alto Networks

Pgina
Descripcin
Gestin de
certificados
Permite configurar y gestionar certificados, perfiles de certificados y claves.

Consulte Gestin de certificados de dispositivos.
Configuracin
de log
Permite definir destinos de traps (trap sinks) de SNMP (Simple Network

Management Protocol), servidores Syslog y direcciones de correo electrnico
para distribuir mensajes de log.
Perfiles de servidor
Permite especificar perfiles de servidores que proporcionan servicios a

Panorama.
Consulte las siguientes secciones:
Configuracin de ajustes de notificaciones por correo electrnico
Configuracin de destinos de traps SNMP
Configuracin de ajustes de servidor RADIUS
Configuracin de ajustes de servidor LDAP
Configuracin de ajustes de Kerberos (autenticacin nativa de Active
Directory).
Perfil de
autenticacin
Permite especificar un perfil de acceso de autenticacin a Panorama. Consulte

Secuencia de
autenticacin
Permite especificar la cadena de dominios de autenticacin que se debe usar

para permitir el acceso a Panorama. Consulte Configuracin de una
secuencia de autenticacin.
Dominio de acceso
Cuando se utiliza con la autenticacin RADIUS, los dominios de acceso le

permiten usar atributos especficos de proveedor (VSA) para limitar el
acceso administrativo a los grupos de dispositivos, plantillas y contextos
de dispositivos que pueden gestionar los administradores. Consulte
Especificacin de dominios de acceso de Panorama para administradores.
Exportacin de
configuracin
programada
Permite recopilar configuraciones en ejecucin de cortafuegos gestionados y

enviarlos diariamente a un servidor FTP (File Transfer Protocol) o mediante
SCP (Secure Copy) para garantizar la transferencia de los datos entre el
servidor de Panorama y un host remoto. Consulte Programacin de
exportaciones de configuracin.
Software
Permite visualizar las versiones de software de Panorama disponibles y

descargar e instalar una versin de software de su eleccin. Consulte
Actualizacin del software de Panorama.
Actualizaciones
dinmicas
Permite visualizar las definiciones de la aplicacin y la informacin sobre

amenazas de seguridad como firmas antivirus ms actualizadas (se requiere
licencia de prevencin de amenazas), as como actualizar Panorama con
nuevas definiciones. Consulte Actualizacin de definiciones de aplicaciones
y amenazas.
Asistencia tcnica
Permite acceder a alertas sobre el producto y seguridad de Palo Alto

Networks. Consulte Visualizacin de informacin de asistencia tcnica.
Palo Alto Networks

Pgina
Descripcin
Implementacin de
dispositivo
Permite visualizar informacin actual de la licencia sobre los cortafuegos

gestionados e instalar software, clientes y contenido dinmico en los
cortafuegos y recopiladores gestionados. Consulte Visualizacin de la
informacin de implementacin del cortafuegos.
Para automatizar el proceso de descarga e instalacin de actualizaciones
dinmicas, consulte Programacin de actualizaciones dinmicas.
Clave maestra y
diagnstico
Permite especificar una clave maestra para cifrar claves privadas en el

cortafuegos. Las claves privadas se almacenan con un formato cifrado de
manera predeterminada aunque no se especifique una nueva clave maestra.
Consulte Cifrado de claves privadas y contraseas del cortafuegos.
Cambio de contexto de dispositivo

Un administrador puede cambiar el contexto para iniciar la interfaz web de un cortafuegos
gestionado desde la interfaz web de Panorama. Esto le permite usar Panorama para acceder
directamente a los ajustes especficos de cortafuegos en un cortafuegos individual (como una
poltica especfica de cortafuegos, configuracin de red y de dispositivos) y gestionarlos.
Utilice la lista desplegable Contexto sobre el men lateral para elegir un cortafuegos
individual o la vista completa de Panorama. El men contextual muestra los cortafuegos a
los que tiene acceso administrativo (consulte Funciones, perfiles y cuentas de administrador
de Panorama en la pgina 386). Use los filtros para restringir sus criterios de bsqueda;
cuando seleccione un cortafuegos, la interfaz web se actualizar para mostrar todas las
pestaas y opciones de dispositivo para el cortafuegos seleccionado.
Ilustracin 18. Seleccin del contexto

Solo puede cambiar el contexto a los cortafuegos conectados. Los cortafuegos
desconectados no se muestran en la lista desplegable.
Configuracin de particiones de almacenamiento

De manera predeterminada, Panorama mantiene un almacenamiento interno para archivos
de log y datos estadsticos. La instalacin de Panorama predeterminada se establece con una
nica particin de disco para todos los datos; en la particin, se asignan 10 GB de espacio para
el almacenamiento de logs.
Si la mquina virtual Panorama se instala en una particin mayor, no permitir ms de 10 GB
de espacio para los logs. Para entornos en los que es necesario mayor espacio de almacenamiento, puede crear un disco virtual personalizado de hasta 2 TB para ESX o ESXi o bien
configurar un almacn de datos NFS externo.
Panorama > Configuracin > Configuracin de particin de almacenamiento
Palo Alto Networks
Para configurar un almacn de datos de NFS externo:

Haga clic en el enlace Configuracin de particin de almacenamiento en la pgina
Configuracin de Panorama y especifique los siguientes ajustes.
Tabla 221.
Ajustes de particin de almacenamiento
Campo
Descripcin
Interno
Mantiene el espacio de almacenamiento para archivos de log y datos

estadsticos del dispositivo de Panorama.
NFS V3
Especifica un punto de montaje de servidor NFS externo. Configure los

siguientes ajustes:
Servidor: Especifique el nombre de dominio completo (FQDN) o la
direccin IP del servidor NFS.
Directorio de log: Especifique el nombre de ruta completo del directorio
en el que se almacenarn los logs.
Protocolo: Especifique el protocolo para la comunicacin con el servidor
NFS (UDP o TCP).
Puerto: Especifique el puerto para la comunicacin con el servidor NFS.
Tamao de lectura: Especifique el tamao mximo (bytes) para las
operaciones de lectura de NFS (rango: 256-32.768).
Tamao de escritura: Especifique el tamao mximo (bytes) para las
operaciones de escritura de NFS (rango: 256-32.768).
Copiar al configurar: Seleccione la casilla de verificacin para montar la
particin NFS y copiar los logs existentes en el directorio de destino del
servidor cuando se reinicie el dispositivo de Panorama.
Particin de logs de prueba: Haga clic para realizar una prueba que
monte la particin NFS y muestre un mensaje de accin correcta o fallo.
Debe reiniciar el servidor de Panorama despus de configurar los ajustes de

particin de almacenamiento.
Configuracin de alta disponibilidad (HA)

Panorama > Alta disponibilidad
La alta disponibilidad (HA) permite la redundancia en caso de fallo. Para garantizar la HA,
puede implementar un par de dispositivos de Panorama basados en hardware o un par de
dispositivos virtuales de Panorama en una configuracin de peer de HA que proporcionen
conexiones sincronizadas con los cortafuegos gestionados. Entre los peers de la configuracin
de HA, un dispositivo se debe designar como principal y otro como secundario; el principal
asumir el estado activo y el secundario el estado pasivo, hasta que falle el valor supervisado.
Los peers mantienen un latido o un ping ICMP peridico para verificar el estado operativo.
Si el servidor de Panorama activo deja de estar disponible, el servidor pasivo toma el control
temporalmente. Si Preferencia est habilitado, lo cual es el ajuste predeterminado, cuando el
servidor Panorama activo vuelva a estar activo, el servidor pasivo dejar el control y volver
al estado pasivo.
Palo Alto Networks
Para configurar un par de HA de dispositivos virtuales de Panorama, debe tener

dos licencias de Panorama con nmeros de serie exclusivos para cada instancia
virtual.
Para habilitar HA en Panorama, configure los siguientes ajustes.
Tabla 222. Configuracin de HA de Panorama

Campo
Descripcin
Configuracin
Habilitar HA
Seleccione la casilla de verificacin para habilitar la HA.
Direccin IP de HA
del peer
Introduzca la direccin IP de la interfaz de gestin del peer.
Habilitar cifrado
Habilite el cifrado despus de exportar la clave de HA desde el peer de HA

e importarla a este dispositivo. La clave de HA de este dispositivo tambin
debe exportarse desde este dispositivo e importarse al peer de HA. Cuando
est habilitada, la interfaz de gestin cifra la comunicacin entre los peers
de HA.
La importacin/exportacin de claves se realiza en la pgina Certificados.
ConsulteGestin de certificados de dispositivos.
Nota: La conectividad de HA utiliza el puerto TCP 28 con el cifrado habilitado y
28769 cuando el cifrado no est habilitado.
Tiempo de espera
para supervisin
(ms)
Introduzca la cantidad de tiempo (ms) que el sistema esperar antes de

reaccionar ante un fallo de un enlace de control (1.000-60.000 ms; valor
predeterminado: 3.000 ms).
Palo Alto Networks
Tabla 222. Configuracin de HA de Panorama (Continuacin)

Campo
Descripcin
Configuracin de eleccin
Prioridad
Asigne un dispositivo como Primario y otro como Secundario de cada par.
(Solo necesario en
Panorama virtual)
Esta configuracin principal o secundaria determina qu peer est designado

como el destinatario principal de los logs enviados por los cortafuegos
gestionados. Puede configurar Panorama para que utilice las mismas instalaciones de almacenamiento de logs externo para los dispositivos principal y
secundario asignados (opcin NFS o sistema de archivos de red) o configurar
los logs de manera interna. Si utiliza la opcin NFS, nicamente el destinatario principal recibir los logs enviados desde los cortafuegos gestionados.
Sin embargo, si se habilitan los logs locales, los logs se enviarn de manera
predeterminada al destinatario principal y secundario.
Preferente
Seleccione la casilla de verificacin para habilitar el dispositivo de Panorama

principal para reanudar el funcionamiento activo tras recuperarse de un
fallo. Si este ajuste est desactivado, el dispositivo secundario permanecer
activo incluso despus de que el dispositivo de mayor prioridad se recupere
de un fallo.
Tiempo de espera
para ser preferente
(min.)
Introduzca el tiempo que esperar un dispositivo pasivo antes de tomar el

control como dispositivo activo (rango: 1-60 min.; valor predeterminado: 1).
Tiempo de espera de
promocin (ms)
Introduzca el tiempo que esperar el dispositivo secundario antes de tomar

el control (rango: 0-60.000 ms; valor predeterminado: 2.000).
Intervalo de saludo
(ms)
Introduzca el nmero de milisegundos entre los paquetes de saludo enviados

para verificar que el otro dispositivo est operativo (rango: 8.000-60.000 ms;
valor predeterminado: 8.000).
Intervalo de
heartbeat (ms)
Especifique la frecuencia con la que Panorama enva pings ICMP al peer de

HA (rango: 1.000-60.000 ms; valor predeterminado: 1.000).
Tiempo de espera
ascendente tras fallo
de supervisor (ms)
Especifique el intervalo que Panorama esperar tras un fallo de supervisor de

ruta antes de intentar volver a introducir el estado pasivo (valor predeterminado: 0 ms). Durante este perodo, el dispositivo no est disponible para
tomar el control como dispositivo activo en el caso de fallo.
Tiempo de espera
ascendente principal
adicional (ms)
Especifique el intervalo durante el cual el dispositivo preferente permanece

en el estado pasivo antes de tomar el control como dispositivo activo (valor
predeterminado: 7.000 ms).
Palo Alto Networks
Tabla 222. Configuracin de HA de Panorama (Continuacin)

Campo
Descripcin
Supervisin de rutas
Habilitado
Seleccione la casilla de verificacin para habilitar la supervisin de rutas.

La supervisin de rutas permite que Panorama supervise direcciones IP de
destino especificadas enviando mensajes de ping ICMP para asegurarse de
que responden.
Condicin de fallo
Seleccione si se produce una conmutacin por error cuando alguno o todos

los grupos de rutas supervisados presentan fallos al responder.
Grupos de rutas
Defina uno o ms grupos de rutas para supervisar direcciones de destino

especficas. Para aadir un grupo de rutas, especifique los siguientes ajustes
y haga clic en Aadir:
Nombre: Especifique un nombre para el grupo de rutas.
Habilitado: Seleccione la casilla de verificacin para habilitar el grupo
de rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
Intervalo de ping: Especifique un perodo de tiempo entre los mensajes de
eco de ICMP para verificar que la ruta est activa (rango: 1.000-60.000 ms;
valor predeterminado: 5.000).
IP de destino: Introduzca una o ms direcciones de destino que se supervisarn (si hay varias direcciones, deben estar separadas por comas).
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 1.000-60.000 milisegundos; valor predeterminado: 5.000 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 3 pings).
Para eliminar un grupo de rutas, seleccione el grupo y haga clic en Eliminar.
Cmo aadir dispositivos

Panorama > Dispositivos gestionados
Un cortafuegos de Palo Alto Networks que gestiona Panorama se denomina cortafuegos
gestionado. La pgina Dispositivos gestionados le permite realizar tareas como aadir
cortafuegos para una administracin centralizada, realizar actualizaciones de software y
gestionar copias de seguridad de configuracin. Tambin muestra informacin sobre el
estado de todos los dispositivos gestionados.
Para habilitar los cortafuegos para que se conecten al servidor de Panorama y gestionarlos
de forma centralizada, debe completar los siguientes dos pasos:
Aada el nmero de serie del cortafuegos en el de servidor Panorama.
Aada la direccin IP del servidor de Panorama en el cortafuegos.
Palo Alto Networks
Panorama puede gestionar cortafuegos PAN-OS con la misma versin principal o en

versiones anteriores compatibles, pero no en cortafuegos con una versin posterior.
Por ejemplo, Panorama 5.0 puede gestionar cortafuegos PAN-OS de la versin 5.0 o
anterior, pero no puede gestionar cortafuegos PAN-OS de la versin 5.1.
La pgina Dispositivos gestionados le permite realizar las siguientes tareas:
Cmo aadir dispositivos: Para aadir un cortafuegos, haga clic en Aadir e introduzca
el nmero de serie de uno o varios cortafuegos. Introduzca solo una entrada por fila.
Instalacin: Para realizar una actualizacin de software o contenido, haga clic en Instalar
y cumplimente la siguiente informacin: .
Tabla 223. Actualizacin de software/contenido en un dispositivo gestionado

Campo
Descripcin
Tipo
Seleccione el tipo de actualizacin que desea instalar.
Archivo
Seleccione un archivo en la lista de archivos actualizados o

descargados.
Debe haber descargado una imagen mediante las pestaas

secundarias Panorama > Implementacin de dispositivo
o haber utilizado la opcin Instalar desde archivo para
cargar un archivo en Panorama.
Dispositivos
Utilice los filtros para seleccionar los cortafuegos en los que desea
instalar la imagen.
Cargar nicamente en el
dispositivo (no instalar)
Seleccione esta opcin si desea cargar la imagen en el

cortafuegos, pero no desea reiniciar ahora el cortafuegos.
No se instalar la ltima imagen de software hasta que no se
reinicie.
Reiniciar dispositivo tras

instalar
Seleccione esta opcin si desea cargar e instalar la ltima imagen

de software. Se activar el reinicio.
HA del peer de grupo: En aquellos cortafuegos implementados en una configuracin de HA,

seleccione los peers de HA y seleccione la casilla de verificacin HA del peer de grupo para
agrupar los cortafuegos en modo de HA.
Esta opcin permite identificar fcilmente cortafuegos en modo de HA. Cuando implementa
polticas compartidas, puede implementar el par agrupado, en lugar de cada cortafuegos
individualmente. Adems, cuando aade un nuevo cortafuegos en Dispositivos gestionados,
si estn en modo de HA, ambos cortafuegos se visualizarn juntos, de forma que pueda
aadir ambos cortafuegos.
Cuando visualiza una par de HA, si la configuracin no es coincidente, aparecer un
indicador de advertencia. Tambin ver un indicador si los cortafuegos de HA estn en
grupos de dispositivos diferentes. Cuando visualiza un par de HA, si la configuracin no
es coincidente, aparecer un indicador de advertencia. Tambin ver un indicador si los
cortafuegos de HA estn en grupos de dispositivos diferentes. En aquellos peers de HA con
una configuracin activa-pasiva, tiene la opcin de aadir ambos cortafuegos o sistemas
virtuales de los peers (si est en modo de sistema multivirtual) al mismo grupo de dispositivos.
Esto le permite aplicar la configuracin a ambos cortafuegos de peer de HA simultneamente.
Palo Alto Networks
Esta opcin tambin es independiente de cada seccin, por lo que si la activa o la desactiva en
un rea, no la activar/desactivar en todas las reas. La opcin HA del peer de grupo est
presente en las siguientes reas de Panorama:
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
Eliminar: Seleccione la casilla de verificacin de uno o varios cortafuegos y haga clic en
Eliminar para quitar el cortafuegos de la lista de cortafuegos gestionados por Panorama.
Etiqueta: Seleccione la casilla de verificacin de uno o varios cortafuegos y haga clic en
Etiqueta para aadir etiquetas. Introduzca una cadena de texto de hasta 31 caracteres.
No utilice espacios en blanco.
Las etiquetas le facilitan buscar un cortafuegos en una lista de gran tamao; le ayudan a filtrar
dinmicamente y ajustar la lista de cortafuegos que se muestra. Por ejemplo, si aade una
etiqueta denominada sucursal, podr filtrar todos los cortafuegos de sucursal de su red.
La pgina Dispositivos gestionados muestra todos los cortafuegos gestionados con la
informacin en la tabla siguiente.
Tabla 224. Estado los dispositivos gestionados

Campo
Descripcin
Nombre del dispositivo
Muestra el nombre de host o nmero de serie del cortafuegos que ha

aadido.
Sistema virtual
Muestra los sistemas virtuales disponibles en un cortafuegos

habilitado para varios sistemas virtuales.
Etiquetas
Muestra las etiquetas definidas para cada sistema virtual/cortafuegos.
Nmero de serie
Muestra el nmero de serie del cortafuegos.
Direccin IP
Muestra la direccin IP del sistema virtual o cortafuegos.
Plantilla
Muestra la plantilla a la que pertenece el cortafuegos.
Estado
Conectado: muestra si Panorama est conectado o desconectado del

cortafuegos.
Poltica compartida: muestra si la configuracin (Polticas u Objetos)
est sincronizada o no con Panorama.
Plantilla: muestra si la configuracin (Red y Dispositivo) est
sincronizada con Panorama.
ltimo estado de compilacin: muestra si la ltima compilacin del
cortafuegos tuvo xito o no.
Software, aplicaciones, amenazas, antivirus, filtrado de URL, cliente
de GlobalProtect y WildFire: muestra la versin del software/contenido
instalado actualmente en el cortafuegos gestionado.
Copias de seguridad
En cada compilacin se enva automticamente a Panorama una

copia de seguridad de la configuracin del cortafuegos gestionado.
El enlace Gestionar... le permite ver las copias de seguridad de
configuracin disponibles. Para cargar una versin de la lista de
archivos de configuraciones guardadas, haga clic en Cargar.
Palo Alto Networks
Copia de seguridad de las configuraciones del cortafuegos

Panorama > Dispositivos gestionados
Panorama guarda automticamente todos los cambios de configuracin que se compilan en
los cortafuegos gestionados. Puede configurar el nmero de versiones que se guardarn en el
dispositivo de Panorama utilizando los ajustes de Gestin en Configuracin de log e informes
de la pestaa Panorama > Configuracin. El valor predeterminado es de 100. Para obtener
instrucciones sobre cmo configurar el nmero de versiones, consulte Definicin de la
configuracin de gestin.
Para gestionar las copias de seguridad de Panorama, seleccione Panorama > Dispositivos
gestionados y haga clic en Gestionar en la columna Copias de seguridad de un dispositivo.
Se abrir una ventana mostrando las configuraciones guardada y compilada del dispositivo.
Haga clic en un enlace Cargar para restaurar la copia de seguridad a la configuracin
candidata y realice los cambios que desee. Haga clic en Compilar para restaurar la configuracin cargada en el dispositivo. Para eliminar una configuracin guardada, haga clic en
el icono
.
Definicin de grupos de dispositivos

Panorama > Grupos de dispositivos
Los grupos de dispositivos de Panorama permiten agrupar cortafuegos y definir polticas y
objetos que se pueden compartir entre todos los grupos de dispositivos o entre los cortafuegos
de un grupo concreto. Dado que los grupos de dispositivos se han diseado para ayudar a
ampliar y gestionar polticas y objetos compartidos, antes de crear grupos de dispositivos
deber planificar cmo agrupar los cortafuegos. Por ejemplo, debe crear grupos de dispositivos en funcin de funcionalidades similares, requisitos de seguridad o ubicacin geogrfica.
Los grupos de dispositivos pueden estar formados por cortafuegos o sistemas virtuales que
desea gestionar como grupo, como los cortafuegos que gestionan un grupo de sucursales o
departamentos individuales de una empresa. Cada grupo se considera una nica unidad al
aplicar polticas en Panorama.
Un cortafuegos solo puede pertenecer a un grupo de dispositivos. Como los sistemas virtuales
se consideran entidades independientes en Panorama, puede asignar sistemas virtuales en un
cortafuegos a diferentes grupos de dispositivos.
La pgina Grupos de dispositivos le permite aadir, eliminar y ver los grupos de dispositivos
configurados en Panorama.
Para aadir un grupo de dispositivos, haga clic en Aadir y proporcione la informacin que
aparece en la siguiente tabla.
Tabla 225. Configuracin de grupos de dispositivos

Campo
Descripcin
Nombre de grupo de
dispositivos
Introduzca un nombre para identificar el grupo (de hasta 31

Descripcin
Introduzca una descripcin para el grupo.
Palo Alto Networks
Tabla 225. Configuracin de grupos de dispositivos (Continuacin)

Campo
Descripcin
Dispositivos
Seleccione la casilla de verificacin para cada cortafuegos que desee

aadir al grupo de dispositivos. Haga clic en Aceptar para guardar
los cambios en el grupo de dispositivos.
Use los filtros para restringir la lista de cortafuegos que aparece.
El filtro muestra de forma predeterminada la lista completa de
cortafuegos gestionados agrupados por Plantillas, Plataformas
y Etiquetas; tambin muestra el valor numrico del nmero total
de cortafuegos gestionados y, cuando selecciona la casilla de
verificacin de sus criterios de filtrado, muestra el nmero de
cortafuegos que cumplen sus criterios seleccionados como fraccin
del nmero total de cortafuegos gestionados.
Dispositivo principal
Seleccione un dispositivo que se utilizar como principal.

El dispositivo principal es el cortafuegos desde el que Panorama
recopila informacin de identificacin de usuarios (User-ID) para
su uso en las polticas. La informacin de grupo y usuario asignada
recopilada es especfica de cada grupo de dispositivos y solo puede
provenir de un dispositivo (el principal) del grupo.
HA del peer de grupo
Seleccione la casilla de verificacin para agrupar los cortafuegos con

el modo de alta disponibilidad (HA) juntos.
Esta opcin permite identificar fcilmente cortafuegos en modo
de HA. Cuando implementa polticas compartidas, puede
implementar el par agrupado, en lugar de cada cortafuegos
individualmente. Adems, cuando aade un nuevo cortafuegos
en Dispositivos gestionados, si estn en modo de HA, ambos
cortafuegos se visualizarn juntos, de forma que pueda aadir
ambos cortafuegos.
Cuando visualiza un par de HA, si la configuracin no es
coincidente, aparecer un indicador de advertencia. Tambin
ver un indicador si los cortafuegos de HA estn en grupos de
dispositivos diferentes. En aquellos peers de HA con una
configuracin activa-pasiva, tiene la opcin de aadir ambos
cortafuegos o sistemas virtuales de los peers (si est en modo de
sistema multivirtual) al mismo grupo de dispositivos. Esto le
permite aplicar la configuracin a ambos cortafuegos de peer de
HA simultneamente.
Despus de crear un grupo de dispositivos, debe compilar los cambios en Panorama y en el

grupo de dispositivos; cuando los compila, los cambios de configuracin se aplican a los
cortafuegos gestionados asignados al grupo de dispositivos. Para obtener informacin acerca
de la compilacin de cambios en Panorama, consulte Compilacin de los cambios en
Panorama.
Eliminar: Seleccione la casilla de verificacin de uno o varios grupos de dispositivos y haga
clic en Eliminar para eliminar el grupo de dispositivos.
Objetos y polticas compartidos

Los grupos de dispositivos son una forma de implementar un mtodo de capa para gestionar
polticas en la red de cortafuegos gestionados. Un objeto o regla compartido se puede utilizar
en cualquier grupo de dispositivos o en todos ellos. El grupo de dispositivos solo puede
utilizar un objeto especfico propio.
Palo Alto Networks
Solo los administradores de Panorama pueden crear objetos y polticas compartidos.
Para crear una poltica compartida, en la pestaa Polticas, seleccione Compartido en la

lista desplegable de grupos de dispositivos.
Para crear una poltica especfica de un grupo de dispositivos, en la pestaa Polticas,

seleccione el grupo de dispositivos adecuado en la lista desplegable de grupos de
dispositivos.
Para crear un objeto compartido, en la pestaa Objetos, haga clic en Aadir y seleccione
la casilla de verificacin Compartido cuando defina el objeto.
Para crear objetos especficos de un grupo de dispositivos, en la pestaa Objetos,

seleccione el grupo de dispositivos adecuado en la lista desplegable de grupos de
dispositivos.
Nota: Si tiene objetos con el mismo nombre y uno de ellos es compartido y el otro es especfico de un grupo de
dispositivos, el objeto especfico del grupo de dispositivos se utilizar para ese grupo de dispositivos.
Aplicacin de polticas a un dispositivo especfico de un grupo de dispositivos

Puede dirigir una regla de polticas a cortafuegos individuales en el grupo de dispositivos
para el que se define la regla. Para dirigir a un cortafuegos despus de crear una poltica,
haga clic en una entrada de la columna Destino y seleccione los cortafuegos en la ventana
emergente. Para aplicar la regla a todos los cortafuegos en un grupo de dispositivos EXCEPTO
al cortafuegos de destino, seleccione la casilla de verificacin Instalar en todos los dispositivos menos los especificados.
Ilustracin 19. Direccin de reglas de polticas a dispositivos individuales en Panorama
Palo Alto Networks
Definicin de funciones de administrador de Panorama

Panorama > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cmo aadir cuentas de administrador, consulte Creacin
de cuentas administrativas de Panorama.
Los administradores de Panorama sin acceso a la pgina Panorama > Administradores
pueden hacer clic en su nombre de usuario, situado a la izquierda del enlace de cierre de
sesin en la parte inferior de la interfaz web, para cambiar su contrasea.
La funcin de administrador se puede asignar mediante atributos especficos del
proveedor (VSA) RADIUS mediante el siguiente atributo: PaloAlto-PanoramaAdmin-Role = <NombreFuncinAdmin>,.
Tabla 226. Configuracin de funciones de administrador de Panorama

Campo
Descripcin
Nombre
Introduzca un nombre para identificar esta funcin de administrador

Descripcin
Introduzca una descripcin opcional de la funcin.
Permiso
Seleccione el mbito de la responsabilidad administrativa (Panorama o

Grupo de dispositivos y Plantilla).
Interfaz de usuario web

acceso permitido
para la interfaz web:
Acceso de lectura/escritura a la pgina indicada.
Acceso de solo lectura a la pgina indicada.
Sin acceso a la pgina indicada.
Palo Alto Networks
Tabla 226. Configuracin de funciones de administrador de Panorama (Continuacin)

Campo
API XML
Descripcin
Seleccione el tipo de acceso de XML API
Informe: Accede a los informes del cortafuegos.
Log: Accede a los logs del cortafuegos.
Configuracin: Concede permisos para recuperar o modificar la
configuracin del cortafuegos.
Solicitudes de operacin: Concede permisos para ejecutar comando
de operacin.
Compilar: Concede permisos para compilar la configuracin.
Agente de ID de usuarios: Accede al identificador del usuario
(User-ID) del agente.
Exportar: Concede permisos para exportar archivos del cortafuegos,
incluyendo la configuracin, pginas de bloque o respuesta, certificados, claves, etc.
Importar: Concede permisos para importar archivos al cortafuegos,
incluyendo software, contenido, licencia, configuracin, certificados,
pginas de bloque, logs personalizados, etc.
Lnea de comandos
Seleccione el tipo de funcin para el acceso a la CLI:

Ninguno: El acceso a la CLI del cortafuegos no est permitido.
Superusuario: El acceso al cortafuegos actual es completo.
Superlector: El acceso al cortafuegos actual es de solo lectura.
Administrador de Panorama: El acceso a un cortafuegos seleccionado
es completo, excepto al definir nuevas cuentas o sistemas virtuales.
Creacin de cuentas administrativas de Panorama

Panorama > Administradores
Las cuentas de administrador controlan el acceso a Panorama. Los administradores pueden
tener acceso completo o de solo lectura a Panorama y a todos los cortafuegos gestionados,
o pueden contar con acceso de administrador de Panorama, lo que permite acceder a la
configuracin de Panorama (excepto a las cuentas y funciones de administrador), pero no a
los cortafuegos gestionados. La cuenta admin predefinida tiene acceso completo a Panorama
y a los cortafuegos gestionados.
Panorama es compatible con las siguientes opciones de autenticacin:
Autenticacin con contrasea: El administrador introduce un nombre de usuario y una

contrasea para iniciar sesin. No se necesitan certificados. Puede utilizar este mtodo
junto con los perfiles de autenticacin o para la autenticacin de base de datos local.
Autenticacin con certificado de cliente (web): Esta autenticacin no necesita nombre de

usuario o contrasea; el certificado ser suficiente para autenticar el acceso a Panorama.
Autenticacin con clave pblica (SSH): El administrador genera un par de claves pblica
y privada en la mquina que requiere acceso a Panorama y, a continuacin, carga la clave
pblica en Panorama para permitir un acceso seguro sin exigir que el administrador
introduzca un nombre de usuario y una contrasea.
Palo Alto Networks
Tabla 227. Configuracin de cuentas de administrador

Campo
Descripcin
Nombre
Introduzca un nombre de inicio de sesin para el administrador (de

Seleccione un perfil de autenticacin para la autenticacin del

administrador. Este ajuste se puede utilizar para RADIUS, LDAP,
Kerberos o la autenticacin de base de datos local.
Si desea informacin ms detallada, consulte Configuracin de
perfiles de autenticacin.
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Seleccione la casilla de verificacin para utilizar la autenticacin con

certificado de cliente para el acceso web. Si selecciona esta casilla de
verificacin, no se necesitarn un nombre de usuario y una
contrasea; el certificado ser suficiente para autenticar el acceso a
Panorama.
Contrasea/Confirmar
contrasea
Introduzca y confirme una contrasea que haga distincin entre

maysculas y minsculas para el administrador (de hasta 15
caracteres). Se recomienda cambiar peridicamente las contraseas
administrativas utilizando una mezcla de minsculas, maysculas
y nmeros para garantizar la seguridad. Tambin puede aplicar
Complejidad de contrasea mnima desde la pestaa Panorama >
Configuracin > Gestin.
Es posible que algunos administradores de Panorama no tengan
acceso a la pgina Panorama > Administradores. En este caso, el
administrador puede hacer clic en su nombre de usuario en la parte
izquierda del enlace de cierre de sesin, en la parte inferior de la
interfaz web, para cambiar su contrasea local.
Utilizar autenticacin de clave

pblica (SSH)
Seleccione la casilla de verificacin para utilizar la autenticacin con

clave pblica SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pblica. La clave cargada se muestra
en el rea de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits) y
RSA (768-4096 bits).
Nota: Si falla la autenticacin con clave pblica, se mostrar un mensaje
de nombre de usuario y contrasea para el administrador.
Palo Alto Networks
Tabla 227. Configuracin de cuentas de administrador (Continuacin)

Campo
Descripcin
Funcin
Asigne una funcin a este administrador. La funcin determina lo

que el administrador puede ver y modificar.
Dinmico: Podr seleccionar cualquiera de las siguientes funciones configuradas previamente en la lista desplegable.
Superusuario: Acceso completo a Panorama y a todos los
grupos de dispositivos, plantillas y cortafuegos gestionados.
Superusuario (solo lectura): Acceso de solo lectura a
Panorama y a todos los grupos de dispositivos, plantillas y
Administrador de Panorama: Acceso completo a Panorama
(excepto a las cuentas y funciones de administrador) y todos los
grupos de dispositivos y plantillas. Sin acceso a los cortafuegos
gestionados.
Basado en funcin: Acceso basado en la funcin personalizada
(consulte Definicin de funciones de administrador de Panorama) que ha seleccionado en la lista desplegable. Si selecciona
un perfil asignado a la funcin de administrador Grupo de dispositivos y Plantilla, aparecer la pestaa Control de acceso. En esta
pestaa puede definir el acceso a los grupos de dispositivos, plantillas y contextos de dispositivos. Las definiciones de estos
campos coinciden con las descritas en Especificacin de dominios de acceso de Panorama para administradores.
Perfil de la contrasea
Seleccione el perfil de contrasea, si es aplicable. Para crear un

nuevo perfil de contrasea, consulte Definicin de perfiles de
contrasea.
Si hay alguna cuenta de usuario bloqueada, aparecer un icono de candado en la

columna Usuario bloqueado de la pgina Administradores. El superusuario
y el administrador de Panorama pueden hacer clic en el icono para desbloquear
la cuenta.
Palo Alto Networks
Compilacin de los cambios en Panorama
Especificacin de dominios de acceso de Panorama para

administradores
Panorama > Dominio de acceso
Utilice la pgina Dominio de acceso para especificar dominios de administradores basados
en funciones que tienen acceso a grupos de dispositivos y plantillas. Aadir un grupo de
dispositivos a un dominio de acceso permite gestionar polticas y objetos para ese grupo de
dispositivos. Aadir un cortafuegos individual a un dominio de acceso permite cambiar al
contexto del dispositivo de ese cortafuegos.
El dominio de acceso est vinculado a atributos especficos del proveedor (VSA) RADIUS
y nicamente se admite si se utiliza un servidor RADIUS para la autenticacin del administrador. Si no se utiliza RADIUS, los ajustes de dominio de acceso de esta pgina se ignorarn.
Si desea informacin sobre el uso de VSA, consulte el tema concreto en el portal de asistencia
tcnica.
El dominio de acceso se puede asignar mediante RADIUS VSA utilizando
el siguiente atributo: PaloAlto-Panorama-Admin-Access-Domain =
<NombreDominioAcceso>,.
Tabla 228.
Configuracin de dominio de acceso
Campo
Descripcin
Nombre
Introduzca un nombre para el dominio de acceso (de hasta 31

Haga clic en Aadir para especificar grupos de dispositivos

predefinidos que se incluirn en el dominio de acceso.
Contexto de dispositivo
Seleccione el cortafuegos en el que el administrador puede hacer

un cambio de contexto para permitir modificaciones de la
configuracin local.
Plantillas
Haga clic en Aadir para especificar plantillas predefinidas que se

incluirn en el dominio de acceso.

Para compilar los cambios de configuracin en Panorama, haga clic en el icono Compilar para
abrir el cuadro de dilogo de compilacin. Este cuadro de dilogo permite compilar reas
concretas del entorno de Panorama, consulte la Ilustracin 20.
Ilustracin 20. Cuadro de dilogo Compilar de Panorama

Palo Alto Networks
Las siguientes opciones estn disponibles en el cuadro de dilogo de compilacin.

Cuando se compilan cambios, antes de hacerlo en los cortafuegos gestionados o
recopiladores de logs gestionados debe hacerlo primero en Panorama.
Compilar tipo: Seleccione el tipo de compilacin:
Panorama: Compila la configuracin candidata actual de Panorama.

Plantilla: Compila los cambios de plantilla de los cortafuegos seleccionados de
Panorama. Cuando compila plantillas, puede seleccionar un subconjunto de
dispositivos si lo desea.
Grupo de dispositivos: Compila cambios de configuracin de los cortafuegos

de Panorama a los sistemas virtuales/cortafuegos seleccionados.
Grupos de recopiladores: Compila nicamente los cambios a los grupos

recopiladores de logs de Panorama. Se compilarn los cambios realizados en la
pgina Panorama > Grupos de recopiladores y se aplicarn dichos cambios
al dispositivo recopilador de logs.

Incluir plantillas de dispositivo y red: Esta opcin est disponible si compila un
Grupo de dispositivos de Panorama y es una operacin combinada que incluye los
cambios en el dispositivo y en la plantilla de red. La plantilla que se aplicar al
cortafuegos es la plantilla a la que ste pertenece, segn se define en Panorama >
Plantillas. Tambin puede seleccionar Compilar tipo Plantilla para compilar plantillas
en cortafuegos.
Forzar valores de plantilla: Si realiza una compilacin de plantilla, puede seleccionar
esta opcin para eliminar objetos en los cortafuegos o sistemas virtuales seleccionados
que se hayan omitido por la configuracin local. Si realiza una compilacin de grupo
de dispositivos, tambin deber activar la casilla de verificacin Incluir plantillas
de dispositivo y red, ya que la cancelacin solo puede realizarse en opciones de
configuracin de plantilla. De esta forma, los objetos cancelados heredarn los ajustes
de la plantilla. Consulte Cancelacin de ajustes de plantilla.
Combinar con configuracin de candidato: Seleccione esta opcin para que el
cortafuegos incluya su configuracin candidata local cuando Panorama solicite
una compilacin. Si esta opcin no est activada, la configuracin candidata local
del cortafuegos no se incluye.
Es importante dejar esta opcin sin seleccionar si tiene administradores locales
que realizan cambios en un cortafuegos y no desea incluir estos cambios en la
configuracin de Panorama.
Vista previa de cambios: Haga clic en este botn para devolver una ventana de
auditora de configuraciones que muestra los cambios propuestos en la configuracin
del candidato en comparacin con la configuracin actualmente en ejecucin. Puede
elegir el nmero de lneas de contexto que se mostrarn o mostrar todas las lneas
en funcin de los elementos que se aaden, modifican o eliminan. Esta opcin est
disponible cuando usa un tipo de compilacin Grupo de dispositivos, Plantilla
o Panorama.
Tambin puede ver el estado de compilacin de los cortafuegos en Panorama >
Dispositivos gestionados y visualizando la columna ltimo estado de compilacin.
La funcin Dispositivo > Auditora de configuraciones realiza la misma funcin,
consulte Comparacin de archivos de configuracin.
Palo Alto Networks
Plantillas
Una vez completada la compilacin, ver un mensaje Compilaciones completadas. Si hay

mensajes de advertencia, ver Compilacin completada con advertencias. Para ver las
advertencias, vaya a Panorama > Dispositivos gestionados y haga clic en el texto de la
columna ltimo estado de compilacin para ver los detalles.
Plantillas
Panorama > Plantillas
Esta opcin le permite implementar una configuracin de base comn en varios cortafuegos
que requieren configuraciones similares. Las plantillas pueden usarse para gestionar las
opciones de configuracin en funcin de las pestaas Dispositivo y Red. Si gestiona configuraciones de cortafuegos con Panorama, puede utilizar una combinacin de ajustes de configuracin de Grupo de dispositivos (para gestionar polticas y objetos compartidos) y Plantillas
(para aplicar ajustes de dispositivo y red), aunque estas funciones se gestionan de forma
independiente debido a las diferencias de los elementos que se pueden configurar.
Para configurar las plantillas de Panorama, haga clic en Aadir para crear una plantilla y,
a continuacin, adale los cortafuegos. Despus de crear la primera plantilla, aparecer
el men desplegable Plantilla en las pestaas Dispositivo y Red. Seleccione la plantilla
deseada en el men Plantilla y configure los ajustes del dispositivo y la red para la plantilla
seleccionada.
Tabla 229. Configuracin de plantilla (Panorama)

Campo
Descripcin
Nombre
Introduzca un nombre de plantilla (de hasta 31 caracteres). Utilice nicamente

letras, nmeros, espacios, puntos, guiones y guiones bajos. El nombre hace
distincin entre maysculas y minsculas y debe ser exclusivo.
Este nombre aparecer en la pestaa Dispositivo y Red en el men
desplegable Plantilla. Si selecciona una plantilla de una de estas pestaas,
los ajustes que modifique solo se aplicarn a la plantilla seleccionada.
Descripcin
Introduzca una descripcin para la plantilla.
Sistemas virtuales
Seleccione la casilla de verificacin si la plantilla se utilizar en cortafuegos

con mltiples sistemas virtuales. Cuando defina ajustes de plantilla para
cortafuegos con mltiples sistemas virtuales, deber configurar los ajustes
para cada sistema virtual del cortafuegos.
Note: Cuando
use una plantilla
para crear sistemas
virtuales en un
cortafuegos, los
ajustes se aplicarn
al VSYS existente
con el mismo
nombre (si lo hay)
o se crear un
nuevo VSYS con el
nombre que defina.
Note: No es posible imponer una plantilla configurada para cortafuegos con

mltiples sistemas virtuales (VSYS mltiple) en cortafuegos con un nico
sistema virtual. Cuando actualice su servidor Panorama a la versin 5.0 o
posteriores, se crearn plantillas predeterminadas para las configuraciones
relacionadas con las pestaas Red y Dispositivo. Si, por ejemplo, ha definido
un perfil de servidor para el cortafuegos gestionado, se generar automticamente una plantilla para el perfil de servidor. Esta plantilla generada automticamente se activa para mltiples sistemas virtuales. Para evitar un fallo de
compilacin, asegrese de anular la seleccin de la casilla Sistemas virtuales
antes de aplicar la plantilla a un cortafuegos que no admita VSYS mltiple o
que tenga desactivada la funcin de VSYS mltiple.
Palo Alto Networks
Plantillas
Tabla 229. Configuracin de plantilla (Panorama)

Campo
Descripcin
Modo de operacin
Especifique el modo de operacin para los cortafuegos a los que se aplicar

la plantilla. El valor predeterminado es normal; cmbielo a cc o fips, si es
necesario. La compilacin de la plantilla fallar si el modo de operacin
especificado en la plantilla no coincide con lo que est habilitado en los
cortafuegos incluidos en la plantilla: normal, fips o cc.
Debe configurar el modo de operacin localmente en cada cortafuegos.

Los modos de operacin como VSYS mltiple, FIPS o CC no se pueden
habilitar mediante plantillas.
Modo de deshabilitacin de VPN
Si selecciona esta casilla de verificacin se ocultarn todas las opciones

relacionadas con VPN en las pestaas Dispositivo y Red. La posibilidad de
instalar licencias del portal o de la puerta de enlace de GlobalProtect tambin
est desactivada en este modo.
Note: Esta opcin est diseada para pases que no permiten conectividad VPN.
Los modelos de hardware de Palo Alto Networks que tienen el indicador -NV
en el nombre del modelo estn diseados para no permitir configuraciones
VPN. Esta opcin debe utilizarse si crea plantillas para estos modelos.
Dispositivos
Seleccione la casilla de verificacin para cada cortafuegos que desee aadir

a la plantilla. Haga clic en Aceptar para guardar los cambios en la plantilla.
Use los filtros para restringir la lista de cortafuegos que aparece. De forma
predeterminada, el filtro muestra la lista completa de cortafuegos gestionados
agrupados por Grupos de dispositivos, Plataformas y Etiquetas; tambin
muestra el valor numrico del nmero total de cortafuegos gestionados y,
cuando selecciona la casilla de verificacin de sus criterios de filtrado, muestra
el nmero de cortafuegos que cumplen sus criterios seleccionados como
fraccin del nmero total de cortafuegos gestionados.
Note: Si aade un nuevo cortafuegos al grupo de dispositivos, no se aade
automticamente a una plantilla. Para aadir un cortafuegos a la plantilla
deber seleccionarlo y compilar el cambio en Panorama y en la plantilla.
HA del peer
de grupo
Seleccione la casilla de verificacin para agrupar los cortafuegos con el modo

de alta disponibilidad (HA) juntos.
Esta opcin permite identificar fcilmente cortafuegos en modo de HA.
Cuando implementa polticas compartidas, puede implementar el par
agrupado, en lugar de cada cortafuegos individualmente. Adems, cuando
aade un nuevo cortafuegos en Dispositivos gestionados, si estn en modo de
HA, ambos cortafuegos se visualizarn juntos, de forma que pueda aadir
ambos cortafuegos.
Cuando visualiza un par de HA, si la configuracin no es coincidente, aparecer
un indicador de advertencia. Tambin ver un indicador si los cortafuegos de
HA estn en grupos de dispositivos diferentes.
Esta opcin tambin es independiente de cada seccin, por lo que si la activa o
la desactiva en un rea, no la activar/desactivar en todas las reas. La opcin
HA del peer de grupo est presente en las siguientes reas de Panorama:
Palo Alto Networks
Dispositivos gestionados
Plantillas
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
Plantillas
Despus de configurar la plantilla, debe compilar los cambios en Panorama y en Plantillas;

cuando los compila, los cambios de configuracin se aplican a los cortafuegos gestionados
asignados a la plantilla. Para obtener informacin acerca de la compilacin de cambios en
Panorama, consulte Compilacin de los cambios en Panorama.
Cancelacin de ajustes de plantilla

Si aplica una plantilla para controlar los ajustes de dispositivo y red en un cortafuegos, es
posible que desee cancelar algunos de esos ajustes y tenerlos controlados por la configuracin
del cortafuegos local. Por ejemplo, puede implementar una configuracin bsica a un grupo
de cortafuegos global, pero configurar ajustes especficos de zonas horarias directamente en
los cortafuegos en funcin de su ubicacin, mediante una cancelacin.
Para cancelar la configuracin de dispositivo y red aplicada por una plantilla, solo tiene
que cambiar el contexto del cortafuegos o acceder al cortafuegos directamente, desplazarse
hasta la configuracin que desee y hacer clic en el botn Cancelar. El ajuste se copiar en la
configuracin local del cortafuegos y ya no lo controlar la plantilla. Tambin puede revertir
el cambio haciendo clic en el botn Restablecer y el ajuste se heredar de la plantilla. Si realiza
una compilacin desde Panorama a un cortafuegos gestionado que contiene cancelaciones,
puede seleccionar la casilla de verificacin Forzar valores de plantilla para que las plantillas
de Panorama sustituyan a los objetos cancelados.
Si cancela los ajustes de Dispositivo > Configuracin y dispositivo > Alta disponibilidad,
la cancelacin se aplica nicamente a los valores individuales y a los parmetros de los rboles
de configuracin y no se aplican a la configuracin completa del rbol. Se incluyen elementos
como servidores DNS, IP de gestin o configuracin de servidor NTP. En el caso de elementos
como interfaces y perfiles de servidor de RADIUS, las cancelaciones se aplican al rbol
completo, no a valores internos.
Para identificar ajustes que tienen plantillas aplicadas, ver los siguientes indicadores, tal y
como se muestra en la Ilustracin 21:
Ilustracin 21. Indicadores de plantilla
El icono verde indica que se ha aplicado una plantilla y que no hay cancelaciones. El icono
verde y naranja indica que se ha aplicado una plantilla y que se han cancelado algunos
ajustes.
Palo Alto Networks
Plantillas
Eliminacin de plantillas
Para eliminar una plantilla, seleccinela y haga clic en Eliminar.
La eliminacin de una plantilla o cortafuegos de una plantilla no eliminar los valores que
se han aplicado al cortafuegos gestionado. Cuando elimina un cortafuegos de una plantilla,
dejan de aplicarse actualizaciones al cortafuegos gestionado.
Para deshabilitar una plantilla en un cortafuegos local: En el cortafuegos gestionado,
desplcese hasta la pestaa Dispositivo > Configuracin > Gestin , edite la pgina
Ajustes de Panorama y haga clic en el botn Deshabilitar plantilla de dispositivo y red.
Logs e informes
Panorama realiza dos funciones: configuracin (de cortafuegos y del propio Panorama) y
recopilacin de logs.
Para facilitar la adaptacin a implementaciones de mayores dimensiones, puede utilizar el
dispositivo M-100 para separar las funciones de gestin y recopilacin de logs de Panorama.
El dispositivo M-100 proporciona una completa solucin de recopilacin de logs para los
cortafuegos de Palo Alto Networks. Esto ayuda a reducir el proceso de recopilacin de logs
con trfico intenso de su servidor de gestin de Panorama y, una vez implementado, podr
configurar cada cortafuegos para enviar logs a un M-100 configurado como recopilador de
logs. Si desea ms informacin sobre la implementacin de una arquitectura de recopilacin
de logs distribuida y la configuracin y gestin de recopiladores de logs mediante el servidor
Panorama, consulte la gua del administrador de Panorama.
Los logs e informes de Panorama (ACC, Appscope, Informes en PDF y Visor de logs)
proporcionan informacin sobre la actividad del usuario en la red gestionada. Para ver una
actividad de usuario/red en Panorama no tendr que configurar el reenvo explcito de logs.
El reenvo de logs es necesario para el almacenamiento de logs a largo plazo y para generar
informes de los logs guardados localmente en Panorama. Si el reenvo de logs est habilitado,
los logs se almacenan en el bfer del cortafuegos de forma predeterminada y se envan a
Panorama con un intervalo predefinido.
La pestaa ACC de Panorama muestra de forma predeterminada informacin almacenada
de forma local en Panorama. Sin embargo, puede cambiar el origen de datos de modo que
Panorama acceda a la informacin desde los cortafuegos conectados; todas las tablas enviarn
informacin dinmicamente y mostrarn una vista agregada del trfico de la red.
Puede generar y programar informes personalizados en Panorama. En el caso de los informes
personalizados y predefinidos programados, se aaden estadsticas de informes cada 15
minutos, que se envan a Panorama cada hora.
Gestin de recopiladores de logs

Panorama > Recopiladores gestionados
Utilice la pgina Recopiladores gestionados para configurar, gestionar y actualizar
dispositivos recopiladores de logs.
Para aadir un recopilador de logs, consulte Cmo aadir un recopilador de logs
Para instalar una actualizacin de software, consulte Instalacin de una actualizacin de

software en un recopilador
Cmo aadir un recopilador de logs

Para aadir un recopilador de logs, haga clic en Aadir y complete los siguientes campos.
Palo Alto Networks
Plantillas
Tabla 230. Pgina Recopiladores gestionados

Campo
Descripcin
Pestaa General
N serie recopiladores
Introduzca el nmero de serie del dispositivo recopilador de logs.
Nombre del recopilador
Introduzca un nombre para identificar al recopilador de logs (de

Este nombre aparece como el nombre de host del recopilador de logs.
Recopilacin de logs del

dispositivo
Seleccione la interfaz que debe utilizarse para la recopilacin de logs

del cortafuegos. De forma predeterminada, la interfaz de gestin
(MGT) realiza esta funcin. Para seleccionar Eth1 o Eth2, primero
debe activar y configurar estas interfaces (Panorama > Configuracin,
Ajustes de la interfaz Eth1/Eth2).
Comunicacin del grupo

del recolector
Seleccione la interfaz que debe utilizarse para la comunicacin entre

recopiladores de logs. De forma predeterminada, la interfaz de
gestin (MGT) realiza esta funcin. Para seleccionar Eth1 o Eth2,
primero debe activar y configurar estas interfaces (Panorama >
Configuracin, Ajustes de la interfaz Eth1/Eth2).
Certificado de Syslog seguro
Seleccione un certificado para el reenvo seguro de syslogs en un

servidor de syslog externo.
IP del servidor de Panorama
Especifique la direccin IP del servidor de Panorama que se utiliza

para gestionar este recopilador.
IP del servidor 2 de
Panorama
Especifique la direccin IP del dispositivo secundario si el servidor de

gestin de Panorama est en modo de HA.
Dominio
Introduzca el nombre de dominio del recopilador de logs.
Servidor DNS principal
Introduzca la direccin IP del servidor DNS primario. El servidor se

utiliza para consultas DNS del recopilador de logs, por ejemplo, para
buscar el servidor de Panorama.
Servidor de DNS secundario
Introduzca la direccin IP o el servidor DNS secundario que deber

utilizarse si el servidor principal no est disponible (opcional).
Servidor NTP principal
Introduzca la direccin IP o el nombre de host del servidor NTP

principal, si lo hubiera. Si no utiliza servidores NTP, puede establecer
la hora del recopilador de logs manualmente.
Servidor NTP secundario
Introduzca la direccin IP o el nombre de host de los servidores NTP

secundarios que debern utilizarse si el servidor principal no est
disponible (opcional).
Zona horaria
Seleccione la zona horaria del recopilador de logs.
Latitud
Introduzca la latitud (-90,0 a 90,0) del recopilador de logs que se

utiliza en las asignaciones de trfico y amenazas de Appscope.
Longitud
Introduzca la longitud (-90,0 a 180,0) del recopilador de logs que se

utiliza en las asignaciones de trfico y amenazas de Appscope.
Pestaa Autenticacin
Usuarios
Este campo siempre mostrar admin y se utiliza para el nombre de

inicio de sesin en CLI local del recopilador de logs.
Palo Alto Networks
Plantillas

Campo
Descripcin
Modo
Seleccione Contrasea para introducir y confirmar manualmente una

contrasea que se utilizar para la autenticacin o bien seleccione
Hash de la contrasea para introducir un valor de hash.
Para crear un hash de contrasea desde la CLI del servidor de gestin
de Panorama, ejecute el siguiente comando:
request password-hash password password123
Devolver un valor de hash para la contrasea password123
(Por ejemplo, $1$urlishri$aLP2by.u2A1IQ/Njh5TFy9).
Copie el valor del hash de la CLI y cpielo en el campo Hash
degla contrasea. Cuando guarde los cambios, el nuevo hash se
configurar en el recopilador de logs y la nueva contrasea de
inicio de sesin del administrador local ser password123.
Intentos fallidos
Introduzca el nmero de intentos de inicio de sesin fallidos (1-10)

que se permiten para la interfaz web y la CLI antes de bloquear la
cuenta. El valor predeterminado 0 significa que no hay ningn lmite.
Tiempo de bloqueo (min.)
Especifique el nmero de minutos que se bloquea a un usuario

(0-60 minutos) si se alcanza el nmero de intentos fallidos. El valor
predeterminado 0 significa que no hay ningn lmite en el nmero
de intentos.
Pestaa Gestin
Esta pestaa solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. De forma
predeterminada, el dispositivo M-100 utiliza el puerto de gestin (MGT) para configuracin,
recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo, si configura Eth1 o
Eth2 para la recopilacin de logs o comunicacin de grupos del recopilador, se recomienda definir
una subred distinta para la interfaz MGT que sea ms privada que las subredes Eth1 o Eth2. Defina la
subred del campo Mscara de red (para IPv4) o Direccin IPv6 (defina un prefijo).
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara
de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo M-100 a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos que
compile una configuracin completa.
Velocidad y dplex
Seleccione la velocidad de interfaz en Mbps (10, 100 o 1000) y el modo

de transmisin de interfaz dplex completo (Completo), dplex
medio (Medio) o automtico (Auto).
Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 (de forma predeterminada, 192.168.1.1) al puerto de gestin del recopilador de logs.
Mscara de red
Si ha asignado una direccin IPv4 al puerto de gestin, introduzca

una mscara de red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada

Direccin IPv6
Si su red utiliza IPv6, asigne una direccin IPv6 al puerto de gestin

del recopilador de logs. Para indicar la mscara de red, introduzca
una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64).

predeterminada

Palo Alto Networks
Plantillas

Campo
Descripcin
MTU

Servicios de interfaz de
gestin
Seleccione los servicios que quiere que se activen en la interfaz

gestionada del dispositivo recopilador de logs:
SSH
Ping
SNMP (Protocolo de gestin de red simple)
Haga clic en Aadir para introducir la lista de direcciones IP desde

las que se permite la gestin para esta interfaz.
Pestaa Eth1
Esta pestaa solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth1 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth1).
Eth1
Seleccione la casilla de verificacin para habilitar esta interfaz.
Velocidad y dplex

Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 a Eth1.
Mscara de red
Si ha asignado una direccin IPv4 a Eth1, introduzca una mscara de

red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada
Si ha asignado una direccin IPv4 a Eth1, asigne una direccin IPv4 al

enrutador predeterminado (debe estar en la misma subred que Eth1).
Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth1. Para indicar
la mscara de red, introduzca una longitud de prefijo para IPv6
(por ejemplo 2001:400:f00::1/64).

predeterminada

MTU

Ping
Seleccione la casilla de verificacin si desea activar el ping en la

interfaz Eth1.

Pestaa Eth2
Esta pestaa solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth2 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth2).
Eth2
Seleccione la casilla de verificacin para habilitar esta interfaz.
Palo Alto Networks
Plantillas

Campo
Descripcin
Velocidad y dplex

Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 a Eth2.
Mscara de red
Si ha asignado una direccin IPv4 a Eth2, introduzca una mscara de

red (por ejemplo, 255.255.255.0).
Puerta de enlace
predeterminada

Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth2. Para indicar
la mscara de red, introduzca una longitud de prefijo para IPv6
(por ejemplo 2001:400:f00::1/64).

predeterminada

MTU

Ping
Seleccione la casilla de verificacin si desea activar el ping en la

interfaz Eth2.

Pestaa Discos
Haga clic en Aadir para definir el par de discos de RAID 1 que utilizar el recopilador para
almacenar los logs. Posteriormente puede aadir los pares de discos adicionales que necesite para
ampliar la capacidad de almacenamiento.
Por defecto, M-100 est equipado con el primer par de RAID 1 activado e instalado en las bahas A1/
A2. Para aumentar la capacidad de almacenamiento, puede aadir hasta tres pares de RAID 1 ms en
las bahas B1/B2, C1/C2 y D1/D2. En el software, el par RAID 1 de las bahas A1/A2 se denomina
Par de discos <A|B|C|D>.
Despus de aadir recopiladores de logs, puede hacer clic en el enlace Estadsticas para que se
abra la ventana Estadsticas del recopilador en cada recopilador, que muestra la informacin
del disco, cifras de rendimiento de la CPU y velocidad media de logs (logs/segundo). Para
entender mejor el intervalo de logs que est revisando, tambin puede ver informacin en el
log ms antiguo que ha recibido el recopilador.
Palo Alto Networks
Plantillas
Instalacin de una actualizacin de software en un recopilador

Para instalar una imagen de software en el recopilador (un dispositivo M-100 en el modo de
recopilador de logs), haga clic en Instalar y cumplimente los siguientes detalles: .
Tabla 231. Actualizacin de software en un recopilador de logs

Campo
Descripcin
Archivo
Seleccione un archivo en la lista de archivos actualizados o

descargados.
Debe haber descargado una imagen mediante la pestaa
Panorama > Implementacin de dispositivo > Software o
haber utilizado la opcin Instalar desde archivo para cargar
un archivo en Panorama.
Dispositivos vlidos
Utilice los filtros para seleccionar los recopiladores en los que

desea instalar la imagen.
Cargar nicamente en el
dispositivo (no instalar)
Seleccione esta opcin si desea cargar la imagen en el recopilador,

pero no desea reiniciarlo ahora.
No se instalar la ltima imagen de software hasta que no se
reinicie.
Reiniciar dispositivo
tras instalar
Seleccione esta opcin si desea cargar e instalar la ltima imagen

de software. Se activar el reinicio.
Definicin de grupos de recopiladores de logs

Panorama > Grupos de recopiladores
Los grupos de recopiladores se utilizan para asignar cortafuegos gestionados de Panorama
a recopiladores de logs, que a su vez se utilizarn para evitarle al servidor de gestin de
Panorama el trabajo de recopilacin de logs que normalmente gestionara. Despus de
establecer los recopiladores de logs y configurar los cortafuegos, PAN-OS enva los logs
definidos para cada cortafuegos a los recopiladores de logs. En ese momento, Panorama
consulta a los recopiladores de logs para obtener una visualizacin o investigacin agregada.
Para configurar grupos de recopiladores de logs, haga clic en Aadir y especifique la siguiente
informacin:.
Tabla 232. Configuracin de Grupos de recopiladores

Campo
Descripcin
Pestaa General
Nombre
Introduzca un nombre para identificar este grupo de recopiladores.

Este nombre se utilizar para agrupar los recopiladores de logs
segn su configuracin y para actualizaciones de software (hasta 31
caracteres). El nombre hace distincin entre maysculas y minsculas
Palo Alto Networks
Plantillas
Tabla 232. Configuracin de Grupos de recopiladores (Continuacin)

Campo
Descripcin
Almacenamiento de log
Indica la cuota actual de almacenamiento de logs de un recopilador

de logs o un grupo de ellos. Si hace clic en el texto de capacidad, se
abrir la ventana Configuracin de almacenamiento de logs. Desde
aqu puede distribuir el almacenamiento en diferentes funciones de
logs, como Trfico, Amenaza, Configuracin, Sistema y Alarma.
Tambin puede hacer clic en Restablecer valores predeterminados
para utilizar los ajustes de asignacin de logs predefinidos.
Mn. de perodo de
retencin (das)
Especifique el perodo de retencin en das que debe mantenerse en

todos los recopiladores de logs del grupo antes de generar una alerta.
Se generar una infraccin de alerta en forma de log de sistema si
la fecha actual menos el registro ms antiguo es inferior al periodo
mnimo definido de retencin (intervalo de 1 a 2000 das).
Palo Alto Networks
Plantillas

Campo
Descripcin
Pestaa Supervisin
SNMP
La opcin SNMP le permite recopilar informacin sobre los recopiladores de logs, incluida: estado de conexin, estadsticas sobre unidades
de disco, versin de software, valores medios de CPU, media logs/
segundo y duracin de almacenamiento por tipo de base de datos
(p. ej. minutos, horas, das y semanas). La informacin de SNMP se
basa en grupo por recopilador.
Especifique los ajustes SNMP:
Ubicacin: Especifique la ubicacin del dispositivo recopilador
de logs.
Contacto: Especifique un contacto de correo electrnico para este
recopilador.
Acceder a ajuste: Especifique la versin de SNMP que se utilizar
para comunicarse con el servidor de gestin de Panorama (V2c o V3).
Si selecciona V3, debe especificar los siguientes ajustes:
Vistas: Haga clic en Aadir y configure los siguientes ajustes:
Ver: Especifique un nombre para una vista.
OID: Especifique el identificador de objeto (OID).
Opcin: (incluir o excluir) Seleccione si el OID debe

incluirse en la vista o excluirse de ella.
Mscara: Especifique un valor de mscara para un filtro

del OID en formato hexadecimal (por ejemplo, 0xf0).
Usuarios: Haga clic en Aadir y configure los siguientes ajustes:
Usuarios: Especifique un nombre de usuario que se
utilizar como autenticacin entre el recopilador de

logs y el servidor de gestin SNMP.
Ver: Especifique el grupo de vistas del usuario.
Authpwd: Especifique la contrasea de autenticacin

del usuario (8 caracteres como mnimo). nicamente se
admite el algoritmo de hash seguro (SHA).
Privpwd: Especifique la contrasea de cifrado del usuario

(8 caracteres como mnimo). nicamente se admite el
estndar de cifrado avanzado (AES).
Comunidad SNMP: Especifique la cadena de comunidad SNMP

que utilizar su entorno de gestin SNMP. SNMPv2c nicamente
(la opcin predefinida es pblica).
Pestaa Reenvo de logs
del recopilador
Miembros de grupo de
recopiladores
Haga clic en Aadir y, en la lista desplegable, seleccione el recopilador de logs que formar parte de este grupo. La lista desplegable
mostrar todos los recopiladores disponibles en la pgina Panorama >
Recopiladores gestionados.
Palo Alto Networks
Plantillas

Campo
Descripcin
Dispositivos
Haga clic en Aadir y, a continuacin, haga clic en la lista desplegable

Dispositivos y seleccione el cortafuegos gestionado que formar
parte de este grupo recopilador.
Haga clic en Aadir en la ventana Recopiladores y seleccione el
recopilador que desea asignar a este cortafuegos para el reenvo
de logs.
Haga clic en ACEPTAR para guardar los cambios.
Si observa la ventana Dispositivos, la columna Dispositivos muestra
todos los cortafuegos y la columna Recopiladores el recopilador(s)
asignado al cortafuegos.
El primer recopilador que especifique ser el recopilador de logs
principal del cortafuegos. Si el recopilador principal falla, el cortafuegos enviar los logs al recopilador secundario. Si el secundario
falla, se utilizar el recopilador terciario, y as sucesivamente.
Note: Cuando aade el nmero de serie del cortafuegos al grupo
de recopiladores, el cortafuegos comenzar a enviar todos los logs al
grupo de recopiladores. Para que el cortafuegos deje de enviar logs al
administrador de Panorama, elimine el cortafuegos del grupo de
recopiladores. Tambin ser necesario cuando migre cortafuegos a
una instalacin diferente del administrador de Panorama.
Pestaa Reenvo de logs del recopilador

Sistema
Configurar
Coincidencias HIP
Trfico
Amenaza
WildFire
En todos los cortafuegos que envan logs a este grupo de recopiladores, seleccione los logs y eventos que desea agregar segn
gravedad y envelos a los traps SNMP configurados, servidores
correo electrnico y Syslog.
Si no ha configurado an los perfiles de usuario para los destinos,
consulte Panorama > Perfiles de servidor > Trap SNMP, Panorama >
Perfiles de servidor > Correo electrnico y Panorama > Perfiles de
servidor > Syslog
Generacin de informes de actividad de usuario

Supervisar > Informes en PDF > Informe de actividad del usuario
El informe de actividad de usuario de Panorama resume la actividad del usuario en todos los
cortafuegos gestionados. Se basa en los datos del cortafuegos que se han enviado a Panorama.
Consulte Gestin de informes de actividad del usuario/grupo para obtener informacin
general sobre cmo crear informes de actividad de usuario.
Palo Alto Networks
Plantillas
Visualizacin de la informacin de implementacin

del cortafuegos
Panorama > Implementacin de dispositivo
La pestaa Implementacin del dispositivo le permite ver informacin sobre la implementacin actual de los cortafuegos gestionados. Tambin le permite gestionar las versiones de
software y programar actualizaciones en los cortafuegos y recopiladores de logs gestionados.
Tabla 233. Pestaas de Implementacin de dispositivo de Panorama

Campo
Descripcin
Implementacin de
dispositivo > Software
Muestra las versiones del software de cortafuegos disponibles para la

instalacin de los cortafuegos y los recopiladores de logs gestionados.
Implementacin de
dispositivo > Cliente
VPN SSL
Muestra las versiones del software del cliente VPN SSL disponibles para
la instalacin de los cortafuegos gestionados.
Implementacin de
dispositivo > Cliente
de GlobalProtect
Muestra las versiones del software cliente de GlobalProtect disponibles

para la instalacin de los cortafuegos gestionados.
Muestra las definiciones de aplicaciones y amenazas disponibles para su
uso en cortafuegos y los recopiladores de logs gestionados.
Implementacin
de dispositivo >
Actualizaciones
dinmicas
Palo Alto Networks publica peridicamente actualizaciones con

definiciones de aplicaciones nuevas o revisadas, informacin sobre
nuevas amenazas de seguridad, como firmas de antivirus, categoras de
filtrado de URL, actualizaciones de datos de GlobalProtect y firmas de
WildFire. Pare recibir las actualizaciones, se necesitan las suscripciones
correspondientes.
Para automatizar el proceso de descarga e instalacin de actualizaciones
dinmicas, consulte Programacin de actualizaciones dinmicas.
Implementacin de
dispositivo > Licencias
Muestra el estado de cada cortafuegos gestionado y el de su licencia

actual. Cada entrada indica si la licencia est activa (icono
) o inactiva
(icono
), junto con la fecha de vencimiento de las licencias activas.
Realice cualquiera de las siguientes funciones en esta pgina:
Haga clic en Actualizar para actualizar la lista.
Haga clic en Activar para activar una licencia. Seleccione los cortafuegos gestionados para su activacin e introduzca el cdigo de autenticacin que Palo Alto Networks proporcion para ellos.
Realice cualquiera de las siguientes funciones en las pestaas Software, SSL VPN,
GlobalProtect o Actualizaciones dinmicas.
Haga clic en Comprobar ahora para ver la informacin ms reciente sobre las versiones
de Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios en la versin.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Palo Alto Networks
Plantillas
Durante la instalacin, se le preguntar si desea reiniciar cuando finalice la instalacin.

Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
cortafuegos. Si selecciona dicha opcin, el cortafuegos se reiniciar.
Haga clic en Cargar para instalar o activar una versin que ha almacenado anteriormente
en su equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde
archivo. Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en
ACEPTAR para instalar la imagen.
Haga clic en el icono Eliminar
para eliminar una versin obsoleta.

Panorama > Implementacin de dispositivo > Actualizaciones dinmicas
Haga clic en el enlace Programaciones para programar actualizaciones automticas para los
cortafuegos y recopiladores de logs gestionados. Especifique la frecuencia y la hora de las
actualizaciones y si desea descargar e instalar la actualizacin o solo descargar las
actualizaciones.
Para crear una programacin, haga clic en Aadir y especifique la siguiente informacin.
Tabla 234.
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el trabajo programado (de

Deshabilitado
Seleccione la casilla de verificacin para desactivar el trabajo

programado.
Tipo
Seleccione el tipo de actualizacin dinmica que desea programar

(aplicacin y amenaza, antivirus, WildFire, base de datos de URL).
Accin
nicamente descargar: La actualizacin programada se ha descargado en los recopiladores de logs/cortafuegos seleccionados.

Despus, cuando lo desee, puede instalar la actualizacin descargada haciendo clic en el enlace Instalar en la columna Accin de la
pgina Actualizaciones dinmicas.
Descargar e instalar: La actualizacin programada se descarga e
instala; comienza el reinicio en cada recopilador de logs/cortafuegos para completar la instalacin.
Periodicidad
Seleccione el intervalo en el que Panorama comprueba el servidor

de actualizaciones. Las opciones de periodicidad varan segn el
tipo de actualizacin.
Fecha y hora
Para realizar una actualizacin diaria, seleccione la hora en el reloj

de 24 horas.
Para realizar una actualizacin semanal, seleccione el da de la
semana y la hora del reloj de 24 horas.
Dispositivos vlidos
Palo Alto Networks
Utilice los filtros para seleccionar los recopiladores de logs/

cortafuegos en los que desea programar las actualizaciones
dinmicas.
Plantillas
Programacin de exportaciones de configuracin

Panorama > Exportacin de configuracin programada
Panorama guarda una copia de seguridad de las configuraciones que se ejecutan de todos
los cortafuegos gestionados, adems de sus propias configuraciones. Utilice la pgina
Exportacin de configuracin programada para recopilar las configuraciones ejecutadas
de todos los cortafuegos gestionados, organcelas en un archivo gzip y programe el paquete
para su envo diario a un servidor FTP o SCP (Secure Copy) para transferir los datos de forma
segura a un host remoto. Los archivos tienen formato XML y los nombres de archivo se basan
en los nmeros de serie de los cortafuegos.
Utilice esta pgina para configurar una programacin para la recopilacin y exportacin de
las configuraciones de los cortafuegos gestionados.
Tabla 235.
Programacin de configuracin de exportacin de lotes
Campo
Descripcin
Nombre
Introduzca un nombre para identificar el trabajo de configuracin

de exportacin de lote (de hasta 31 caracteres). El nombre hace
distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, guiones y guiones bajos.
Descripcin
Habilitar
Seleccione la casilla de verificacin para activar el trabajo de

exportacin.
Tipo de log
Seleccione el tipo de log que desea exportar (trfico, amenaza, URL,

datos, coincidencia HIP).
Hora de inicio de exportacin

programada (a diario)
Especifique la hora del da a la que se iniciar la exportacin (reloj

de 24 horas, formato HH:MM).
Protocolo
Seleccione el protocolo que debe utilizarse para exportar logs desde

el cortafuegos a un host remoto. Puede utilizar SCP para exportar
logs de manera segura o puede utilizar FTP, que no es un protocolo
seguro.
Nombre de host
Introduzca la direccin IP o el nombre de host del servidor FTP.
Puerto
Introduzca el nmero de puerto en el servidor de destino.
Ruta
Especifique la ruta a la carpeta o directorio del servidor FTP o SCP

en el que se guardar la informacin exportada.
Si el paquete de configuracin se almacena en una carpeta llamada
exported_config de mximo nivel en Panorama:
La sintaxis para la ruta del servidor SCP es:
/Panorama/exported_config
La sintaxis para la ruta del servidor FTP es:
//Panorama/exported_config
Habilitar modo pasivo de FTP
Seleccione la casilla de verificacin para utilizar el modo pasivo

de FTP.
Nombre de usuario
Especifique el nombre de usuario en el sistema de destino.
Palo Alto Networks
Plantillas
Tabla 235.
Programacin de configuracin de exportacin de lotes (Continuacin)
Campo
Descripcin
Contrasea
Especifique la contrasea de usuario en el sistema de destino.
Confirmar contrasea
Conexin de servidor SCP
de prueba
Haga clic en este botn para probar la comunicacin entre el

cortafuegos y el host/servidor SCP.
Para activar la transferencia segura de los datos, debe verificar
y aceptar la clave de host del servidor SCP. La conexin no se
establece hasta que acepte la clave de host.
Actualizacin del software de Panorama

Panorama > Software
Para actualizar a una nueva versin del software de Panorama, puede ver las versiones ms
recientes del software de Panorama disponibles en Palo Alto Networks, leer las notas de
versin de cada versin y, a continuacin, seleccionar la versin que desee descargar e
instalar (se requiere una licencia de asistencia tcnica).
Si est actualizando la mquina virtual Panorama, consulte las notas de versin para conocer
las recomendaciones sobre los requisitos mnimos del sistema y obtener instrucciones sobre
cmo modificar la configuracin de la mquina virtual despus de una actualizacin a la
versin 5.1 de Panorama-OS de 64 bits.
Para actualizar el software de Panorama, haga clic en Actualizar para ver las versiones ms
recientes del software disponibles en Palo Alto Networks. Asegrese de hacer clic en el enlace
Notas de versin junto a la versin y revise el documento para conocer una descripcin de los
cambios de una versin, soluciones y problemas conocidos para conocer los problemas de
compatibilidad y cualquier cambio en el comportamiento predeterminado.
Panorama ejecuta peridicamente una comprobacin de integridad del sistema
de archivos (FSCK) para evitar daos en el sistema de archivos de Panorama.
Esta comprobacin se realiza cada 8 reinicios o tras un reinicio 90 das despus de
realizar la ltima comprobacin de integridad del sistema. Si Panorama ejecuta
una comprobacin FSCK, ver una advertencia en la interfaz web y pantallas de
inicio de sesin de SSH indicando que se est ejecutando una comprobacin FSCK
y no podr iniciar sesin hasta que se complete. El tiempo necesario para completar
el proceso depende del tamao del sistema de almacenamiento; dependiendo
del tamao, puede tardar varias horas en poder iniciar sesin en Panorama.
Para ver el progreso, configure el acceso de consola a Panorama.
1.
Para instalar una nueva versin:
a. Haga clic en Descargar junto a la versin que se instalar. Cuando la descarga haya
finalizado, se mostrar una marca de verificacin en la columna Descargado.
b. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
sistema Panorama.
2.
Para eliminar una versin obsoleta, haga clic en
Palo Alto Networks
junto a la versin.
Plantillas
El servidor Panorama guarda hasta 5 versiones de software. Las versiones ms

antiguas se eliminan para dejar espacio libre para la descarga de nuevas versiones.
Este proceso de eliminacin ocurre de forma automtica y no se puede controlar
manualmente.
Habilitacin del reenvo de logs

Panorama > Configuracin de log
Utilice esta pgina para habilitar el reenvo de logs desde Panorama. Panorama puede agregar
logs y reenviarlos a los destinos configurados en forma de traps SNMP, mensajes de Syslog y
notificaciones de correo electrnico.
Si no ha configurado perfiles de servidor para definir dnde enviar los logs (destino para el
trap SNMP, acceso al servidor de Syslog o de correo electrnico), consulte Configuracin de
destinos de traps SNMP; Configuracin de servidores Syslog; Configuracin de ajustes de
Palo Alto Networks
Plantillas
La siguiente tabla describe los logs y las opciones de reenvo de logs.
Tabla 236.
Configuracin de log
Campo
Descripcin
Sistema
La gravedad indica la urgencia y el impacto del evento del sistema:
En el dispositivo virtual de
Panorama, utilizar para
reenviar logs del sistema
agregados desde cortafuegos
gestionados y recopiladores
gestionados, as como logs de
Panorama locales.
Crtico: Notifica un fallo e indica la necesidad de atencin inmediata.

Por ejemplo, fallos de hardware, lo que incluye la conmutacin por
error de HA y los fallos de enlaces.
En el dispositivo M-100 en
modo Panorama, utilice los
logs de la instancia local de
Panorama y los logs de los
recopiladores gestionados
para realizar reenvos.
Para reenviar logs del sistema
desde los cortafuegos gestionados, utilice la pestaa
secundaria Reenvo de logs
de dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Configurar
En el dispositivo virtual de
Panorama, utilizar para
reenviar logs de configuracin
agregados desde cortafuegos
gestionados y recopiladores
gestionados, as como logs de
Panorama locales.
Alto: Indica un fallo o situacin inminente que puede afectar a la

eficacia operativa o seguridad del cortafuegos; por ejemplo, la
interrupcin de conexiones con cortafuegos externos, como
servidores LDAP y RADIUS.
Medio: Indica una situacin que puede derivar en un problema ms
grave, como no completar las actualizaciones de paquetes antivirus.
Bajo: Indica una situacin que podra convertirse en un problema o
que es probable que derive en un problema, como los cambios de
contrasea de un usuario.
Informativo: No requiere atencin; proporciona informacin til
durante el funcionamiento normal del sistema. Cualquier cambio en
la configuracin y otros eventos no cubiertos por otros niveles de
gravedad.
Haga clic en el enlace para conocer la gravedad y seleccione las
casillas de verificacin de cada opcin que le gustara habilitar.
Eliminar todo le permite restablecer las opciones con la configuracin
predeterminada.
Seleccione las casillas de verificacin de cada opcin que le gustara
habilitar.
Trap SNMP, Correo electrnico y Syslog.
modo Panorama, utilice los
logs de la instancia local de
Panorama y los logs de los
recopiladores gestionados
para realizar reenvos.
Para reenviar logs de
configuracin desde los
cortafuegos gestionados,
utilice la pestaa secundaria
Reenvo de logs de
dispositivo en la pestaa
recopiladores.
Palo Alto Networks
Plantillas
Tabla 236.
Configuracin de log (Continuacin)
Campo
Descripcin
Coincidencias HIP
El log Coincidencias HIP enumera las solicitudes de coincidencia de

perfil de informacin de host (HIP) para GlobalProtect. Seleccione
las casillas de verificacin de cada opcin que le gustara habilitar:
Trap SNMP, Correo electrnico y Syslog.
(Solo en el dispositivo virtual

Panorama.)
modo Panorama, para
reenviar logs de coincidencias
HIP desde los cortafuegos
gestionados, utilice la pestaa
recopiladores.
Trfico
Panorama.)
Seleccione las casillas de verificacin de cada opcin que le gustara

habilitar: Trap SNMP, Correo electrnico y Syslog.
En el dispositivo M-100
en modo Panorama, para
recopiladores.
Palo Alto Networks
Plantillas
Tabla 236.
Configuracin de log (Continuacin)
Campo
Descripcin
Amenaza
Haga clic en el enlace para conocer la gravedad y seleccione las

casillas de verificacin de aquellas opciones en las que le gustara
habilitar las notificaciones.

Panorama.)
modo Panorama, para
recopiladores.
Descripcin de gravedad
Crtico: Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software ampliamente implementado,
que comprometen profundamente los servidores y dejan el cdigo
de explotacin al alcance de los atacantes. El atacante no suele
necesitar ningn tipo de credenciales de autenticacin o conocimientos acerca de las vctimas y el objetivo no necesita ser
manipulado para que realice ninguna funcin especial.
Alto: Amenazas que tienen la habilidad de convertirse en crticas
pero que tienen factores atenuantes; por ejemplo, pueden ser
difciles de explotar, no conceder privilegios elevados o no tener
un gran grupo de vctimas.
Medio: Amenazas menores en las que se minimiza el impacto,
como ataques DoS que no comprometen al objetivo o explotaciones
que requieren que el atacante est en la misma LAN que la vctima,
afectan solo a configuraciones no estndar o aplicaciones oscuras
u ofrecen acceso muy limitado. Adems, las entradas de log de
WildFire con un veredicto de malware se registran como amenazas
de nivel medio.
Bajo: Amenazas con nivel de advertencia que tienen muy poco
impacto en la infraestructura de la organizacin. Suelen requerir
acceso local o fsico al sistema y con frecuencia suelen ocasionar
problemas en la privacidad de las vctimas, problemas de DoS y
fugas de informacin. Las coincidencias de perfiles de filtrado de
datos se registran como bajas.
Informativo: Eventos sospechosos que no suponen una amenaza
inmediata, pero que se registran para indicar que podra haber
problemas ms serios. Algunos ejemplos de logs informativos:
Entradas de logs de filtrado de URL, entradas de logs de WildFire
con un veredicto benigno o logs de filtrado de datos.
WildFire
Panorama.)
En el dispositivo M-100
en modo Panorama, para
recopiladores.
Palo Alto Networks
Los archivos escaneados por WildFire reciben un veredicto positivo

o negativo. Haga clic en el enlace para obtener un veredicto;
seleccione las casillas de verificacin correspondientes si le gustara
que se le notificase cada vez que se emita un veredicto:
Bueno: indica que el archivo es seguro.
Malo: indica que el archivo contiene cdigo malintencionado.
Plantillas
Registro del cortafuegos de la serie VM como servicio en el

administrador NSX
Panorama > Administrador de servicios VMware
Para automatizar el abastecimiento del cortafuegos de la serie VM, utilice la configuracin de
esta seccin, que le permite habilitar la comunicacin entre el administrador NSX y Panorama.
Cuando Panorama registre el cortafuegos de la serie VM como servicio en el administrador
NSX, el administrador NSX pasar a tener la configuracin necesaria para abastecer a los
nuevos cortafuegos de la serie VM en todos los hosts ESX(i) del clster.
Si utiliza grupos de direcciones dinmicas, esta funcin le permite asegurar la red virtual con
una carga administrativa mnima. Conforme se abastecen las nuevas mquinas virtuales o se
modifican las mquinas existentes, los cambios en la red virtual se aplican automticamente
en forma de actualizaciones en Panorama y, a continuacin, se propagan desde Panorama a
los cortafuegos gestionados. Todas las reglas de polticas que hacen referencia a estos objetos
(mediante grupos de direcciones dinmicas) se actualizan para reflejar los cambios en el
entorno virtual, algo que garantiza que todas las polticas de seguridad se aplican uniformemente a todos los recursos de la red.
Tabla 237.
Configuracin del administrador de servicios VMware
Campo
Descripcin
Nombre de administrador
de servicios
Introduzca un nombre para identificar el cortafuegos de la serie VM

como servicio. Este nombre se muestra en el administrador NSX y
se utiliza para implementar el cortafuegos de la serie VM segn
demanda.
Admite hasta 63 caracteres; utilice solo letras, nmeros, guiones y
guiones bajos.
Descripcin
(optativo) Introduzca una etiqueta para describir el objetivo o

funcin de este servicio.
URL de administrador NSX
Especifique la URL que puede utilizar Panorama para establecer

una conexin con el administrador NSX.
Inicio de sesin de
administrador NSX
Introduzca las credenciales de autenticacin (nombre de usuario

y contrasea) configuradas en el administrador NSX. Panorama
utiliza estas credenciales para autenticarse y establecer la
comunicacin con el administrador NSX.
Contrasea de administrador
NSX
Confirmar contrasea de
administrador NSX
URL de OVF de serie VM
Introduzca la URL (direccin IP o nombre de host y ruta) donde el

administrador NSX puede acceder al archivo (.ovf) para abastecer a
los nuevos cortafuegos de la serie VM.
Cdigo de autorizacin
Al adquirir el cortafuegos de la serie VM, recibi un correo

electrnico de ejecucin de pedido. Introduzca el cdigo de
autorizacin proporcionado en el correo electrnico de ejecucin
de pedido.
Plantilla
(optativo) Seleccione la plantilla a la que se asignarn estos cortafuegos de la serie VM. Las plantillas se utilizan para configurar los
ajustes que necesitan los cortafuegos gestionados para funcionar
en la red; le permiten definir una configuracin de base comn
utilizando las pestaas Red yDispositivo de Panorama.
Palo Alto Networks
Plantillas
Tabla 237.
Configuracin del administrador de servicios VMware (Continuacin)
Campo
Descripcin
Grupo de dispositivos
Seleccione el grupo de dispositivos al que se asignarn estos

cortafuegos de la serie VM. Los grupos de dispositivos permiten
la gestin centralizada de polticas y objetos mediante las pestaas
Polticas y Objetos de Panorama.
Notificar grupos de
dispositivos
Seleccione los grupos de dispositivos a los que se debe notificar si

se producen adiciones o modificaciones en las mquinas virtuales
implementadas en la red. Cuando se configura, Panorama
cumplimenta y actualiza los cambios en las direcciones IP
registradas en los cortafuegos de los grupos de dispositivos
especificados.
Este proceso de notificacin crea visibilidad de contexto y mantiene
la seguridad de la aplicacin en la red. Si, por ejemplo, tiene un
grupo de cortafuegos de permetro basados en hardware que
necesitan ser notificados cuando se implementa una nueva
aplicacin o servidor web, este proceso inicia una actualizacin
automtica de los grupos de direcciones dinmicas para el grupo
de dispositivos especificado. Y todas las reglas de polticas que
hacen referencia al objeto de direccin dinmica ahora incluyen
automticamente cualquier aplicacin o servidores web recientemente modificados o implementados y se puede habilitar con
seguridad basndose en sus criterios.
Estado
Muestra el estado de conexin entre Panorama y el administrador

NSX. Cuando la conexin es correcta, el estado se muestra como:
Registrado: Panorama y el administrador NSX estn
sincronizados y el cortafuegos de la serie VM est registrado
como servicio en el administrador NSX.
Los mensajes de estados de error son:
No conectado: No se ha podido alcanzar/establecer una conexin
de red con el administrador NSX.
No autorizado: Las credenciales de acceso (nombre de usuario
y/o contrasea) son incorrectas.
No registrado: El servicio, administrador del servicio o perfil del
servicio no est disponible o se ha eliminado en el administrador
NSX.
Sin sincronizacin: Los ajustes de configuracin definidos en
panorama son distintos a lo que se ha definido en el administrador NSX.
Sin servicio/Sin perfil de servicio: Indica una configuracin
incompleta en el administrador NSX.
ltima actualizacin
dinmica
Palo Alto Networks
Muestra la fecha y la hora en las que Panorama recuper la informacin de grupo de direccin dinmica del administrador NSX.
Plantillas
Actualizacin de informacin del administrador de servicios VMware

Las siguientes acciones se pueden realizar en Panorama:
Sincronizar objetos dinmicos: inicia una actualizacin de la informacin de objeto

dinmico desde el administrador NSX. La sincronizacin de objetos dinmicos le permite
mantener el contexto en los cambios del entorno virtualizado y activar aplicaciones de
forma segura, ya que actualiza de forma automtica las referencias al objeto en la poltica.
En Panorama, solo puede ver las direcciones IP que estn registradas dinmicamente desde el
administrador NSX. Panorama no muestra las direcciones IP dinmicas registradas directamente
en los cortafuegos. Si est usando la funcin de monitorizacin de mquinas virtuales o usando la
API XML para registrar las direcciones IP dinmicamente en los cortafuegos, debe registrarse en cada
cortafuegos para ver la lista completa de direcciones dinmicas que se envan desde Panorama y que se
registran localmente en el cortafuegos.
Eliminar Administrador de servicios VMware: elimina la configuracin de acceso al

gestor NSX y de establecimiento de la comunicacin entre Panorama y el gestor NSX.
Palo Alto Networks
Apndice A
PGINAS PERSONALIZADAS
Las pginas de respuesta personalizadas le permiten avisar a los usuarios finales acerca de
incumplimientos de polticas o condiciones de acceso especiales. Cada pgina puede incluir
referencias al la direccin IP del usuario, la URL a la que se intenta acceder y la categora de
URL. Estos parmetros se pueden utilizar tambin en enlaces con sistemas de solucin de
etiquetado.
Para abrir las ltimas pginas de respuesta/bloqueo, vaya a Dispositivo > Pginas de
respuesta, haga clic en una pgina de respuesta, Predefinidos y seleccione Exportar.
As se guardar un archivo de texto de la pgina predeterminada. Si importa una pgina
de respuesta/bloqueo personalizada, esa pgina pasar a ser la pgina predeterminada.
Este apndice proporciona el cdigo HTML para las siguientes pginas de respuesta
personalizadas predeterminadas:
Pgina de bloqueo de antivirus y antispyware
Pgina de bloqueo de aplicacin
Pgina de bloqueo de bloqueo de archivo
Pgina de exclusin de descifrado de SSL
Pgina de confort del portal cautivo
Pgina de inicio de sesin de VPN SSL
Pgina de notificacin de certificado SSL revocado
Pgina de bloqueo de coincidencia de categora y filtro de URL
Pgina de continuacin y cancelacin de filtrado de URL
Pgina de bloqueo de aplicacin de bsqueda segura de filtro de URL

Para obtener informacin acerca de la importacin y exportacin de pginas
de respuesta personalizadas, consulte Definicin de pginas de respuesta
personalizadas.
Palo Alto Networks
453
Pgina de bloqueo de antivirus y antispyware

<html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>Descarga de virus bloqueada</title>
<style>
<!-/* Definiciones de tipo de letra */
@font-face
{font-family:"Microsoft Sans Serif";
panose-1:2 11 6 4 2 2 2 2 2 4;}
/* Definiciones de estilo */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
h4
{margin-top:12.0pt;
margin-right:0in;
margin-bottom:3.0pt;
margin-left:0in;
page-break-after:avoid;
font-size:14.0pt;
p.SanSerifName, li.SanSerifName, div.SanSerifName
{margin:0in;
text-autospace:none;
font-size:10.0pt;
font-family:"Microsoft Sans Serif";
font-weight:bold;}
p.BoldNormal, li.BoldNormal, div.BoldNormal
{margin:0in;
font-size:12.0pt;
font-family:"Times New Roman";
font-weight:bold;}
span.Heading10
{color:black
font-weight:bold;}
p.SubHeading1, li.SubHeading1, div.SubHeading1
{margin-top:12.0pt;
margin-right:0in;
margin-left:0in;
font-size:12.0pt;
font-weight:bold;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
{page:Section1;}
-->
</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Esto es una prueba.</p>
</div>
</body>
</html>
454
Palo Alto Networks
Pgina de bloqueo de aplicacin

<html>
<head>
<title>Aplicacin bloqueada</title>
<style>
#content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;}
h1{font-size:20px;font-weight:bold;color:#196390;}
b{font-weight:bold;color:#196390;}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>Aplicacin bloqueada</h1>
<p>Se ha bloqueado el acceso a la aplicacin que est intentando utilizar
de acuerdo con las polticas de la empresa. Pngase en contacto con su
administrador del sistema si cree que existe un error.</p>
<p><b>Usuario:</b> <user/> </p>
<p><b>Aplicacin:</b> <appname/> </p>
</div>
</body>
</html>
Pgina de bloqueo de bloqueo de archivo

<html>
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 11 (filtered)">
<title>File Download Blocked</title>
<style>
<!-/* Definiciones de tipo de letra */
@font-face
{font-family:"Microsoft Sans Serif";
panose-1:2 11 6 4 2 2 2 2 2 4;}
/* Definiciones de estilo */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
font-size:12.0pt;
h4
{margin-top:12.0pt;
margin-right:0in;
margin-left:0in;
font-size:14.0pt;
p.SanSerifName, li.SanSerifName, div.SanSerifName
{margin:0in;
text-autospace:none;
font-size:10.0pt;
font-family:"Microsoft Sans Serif";
font-weight:bold;}
p.BoldNormal, li.BoldNormal, div.BoldNormal
{margin:0in;
font-size:12.0pt;
font-weight:bold;}
span.Heading10
Palo Alto Networks
455
{color:black
font-weight:bold;}
p.SubHeading1, li.SubHeading1, div.SubHeading1
{margin-top:12.0pt;
margin-right:0in;
margin-left:0in;
font-size:12.0pt;
font-weight:bold;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
{page:Section1;}
-->
</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Esto es una prueba.</p>
</div>
</body>
</html>
Pgina de exclusin de descifrado de SSL

<h1>Inspeccin de SSL</h1>
<p>De acuerdo con las polticas de la empresa, se descifrar la conexin
cifrada de SSL que ha iniciado temporalmente, por lo que se puede
inspeccionar para virus, spyware y otro software malintencionado.</p>
<p>Una vez inspeccionada la conexin, se volver a cifrar y enviar a su
destino. No se almacenarn datos ni estarn disponibles para otros fines.</p>
<p><b>IP:</b> <url/> </p>
<p><b>Categora:</b> <category/> </p>
Pgina de confort del portal cautivo

<h1 ALIGN=CENTER>Portal cautivo</h1>
<h2 ALIGN=LEFT>De acuerdo con la poltica de seguridad de la empresa, debe
autenticar antes de acceder a la red.</h2>
<pan_form/>
Pgina de inicio de sesin de VPN SSL

<HTML>
<HEAD>
<TITLE>Palo Alto Networks - VPN SSL</TITLE>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<link rel="stylesheet" type="text/css" href="/styles/
falcon_content.css?v=@@version">
<style>
td {
font-family: Verdana, Arial, Helvetica, sans-serif;
456
Palo Alto Networks
font-weight: bold;
color: black; /*#FFFFFF; */
}
.msg {
background-color: #ffff99;
border-width: 2px;
border-color: #ff0000;
border-style: solid;
padding-left: 20px;
padding-right: 20px;
max-height: 150px;
height: expression( this.scrollHeight > 150 ? "150px" : "auto" ); /*
establece altura mxima para IE */
overflow: auto;
}
.alert {font-weight: bold;color: red;}
</style>
</HEAD>
<BODY bgcolor="#F2F6FA">
<table style="background-color: white; width:100%; height:45px; borderbottom: 2px solid #888888;">
<tr style="background-image:url(/images/logo_pan_158.gif);
background-repeat: no-repeat">
<td align="left"> </td>
</tr>
</table>
<div align="center">
<h1>Palo Alto Networks - Portal de VPN SSL</h1>
</div>
<div id="formdiv">
<pan_form/>
</div>
</BODY>
</HTML>
Palo Alto Networks
457
Pgina de notificacin de certificado SSL revocado

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<html>
<head>
<title>Error de certificado</title>
<style>
</style>
</head>
<div id="content">
<h1>Error de certificado</h1>
<p>Existe un problema con el certificado SSL del servidor con el que intenta
ponerse en contacto.</p>
<p><b>Nombre de certificado:</b> <certname/> </p>
<p><b>IP:</b> <url/> </p>
<p><b>Emisor:</b> <issuer/> </p>
<p><b>Estado:</b> <status/> </p>
<p><b>Motivo:</b> <reason/> </p>
</div>
</body>
</html>
Pgina de bloqueo de coincidencia de categora y filtro de URL

<html>
<head>
<title>Pgina web bloqueada</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<style>
</style>
</head>
458
Palo Alto Networks
<div id="content">
<h1>Pgina web bloqueada</h1>
<p>Se ha bloqueado el acceso a la pgina web que est intentando visitar de
acuerdo con las polticas de la empresa. Pngase en contacto con su
<p><b>URL:</b> <url/> </p>
</div>
</body>
</html>
Pgina de continuacin y cancelacin de filtrado de URL

<html>
<head>
<title>Pgina web bloqueada</title>
<style>
form td, form input {
font-size: 11px;
font-weight: bold;
}
#formtable {
height: 100%;
width: 100%;
}
#formtd {
vertical-align: middle;
}
#formdiv {
margin-left: auto;
margin-right: auto;
}
</style>
<script type="text/javascript">
function pwdCheck() {
if(document.getElementById("pwd")) {
document.getElementById("continueText").innerHTML = "Si necesita
acceder a esta pgina, solicite al administrador introducir la contrasea de
cancelacin aqu:";
}
}
</script>
</head>
<div id="content">
<h1>Pgina web bloqueada</h1>
<p>Se ha bloqueado el acceso a la pgina web que est intentando visitar de
acuerdo con las polticas de la empresa. Pngase en contacto con su
<p><b>URL:</b> <url/> </p>
<hr>
<p id="continueText">Si cree que esta pgina se ha bloqueado de forma
incorrecta, puede hacer clic en Continuar para ir a la pgina. Sin embargo,
esta accin se registrar.</p>
<div id="formdiv">
<pan_form/>
</div>
Palo Alto Networks
459
<a href="#" onclick="history.back();return false;">Volver a la pgina

anterior</a>
</div>
</body>
</html>
Pgina de bloqueo de aplicacin de bsqueda segura de filtro

de URL
<html>
<head>
<script type="text/javascript">
if (top != window) {
top.location.replace(window.location.href);
}
</script>
<title>Bsqueda bloqueada</title>
<style>
</style>
</head>
<div id="content">
<h1>Bsqueda bloqueada</h1>
<p>Se han bloqueado los resultados de bsqueda porque su configuracin de
bsqueda no coincide con la poltica de la empresa. Para continuar, actualice
su configuracin de bsqueda para que SafeSearch se establezca como estricta
y vuelva a realizar la bsqueda.</p>
<p>Para obtener ms informacin, consulte: <a href="<ssurl/>"><ssurl/></a></
p>
<p><b>Pngase en contacto con el administrador del sistema si cree que este
mensaje aparece por error.</b></p>
</div>
</body>
</html>
460
Palo Alto Networks
Apndice B
CATEGORAS, SUBCATEGORAS, TECNOLOGAS
Y CARACTERSTICAS DE LA APLICACIN
El apndice enumera categoras relacionadas con la aplicacin definidas por Palo Alto
Networks:
Categoras y subcategoras de aplicacin
Tecnologas de la aplicacin
Caractersticas de la aplicacin
La base de datos de Applipedia se puede encontrar tambin en el cortafuegos en Objetos >

Aplicaciones, en lnea en http://apps.paloaltonetworks.com/applipedia/ y una aplicacin
disponible en el Apple App Store.

Se admiten las siguientes categoras y subcategoras de aplicacin:
sistema empresarial
servicio de autenticacin
base de datos
erp-crm
empresa general
gestin
programas de oficina
actualizacin de software
copia de seguridad de almacenamiento
colaboracin
correo electrnico
mensajera instantnea
conferencia por internet
empresas sociales
Palo Alto Networks
461
utilidad de internet
redes sociales
vdeo voip
web-posting
internet general
uso compartido de archivos
utilidad de internet
Medios
transmisin de audio
juegos
fotos y vdeos
redes
tnel cifrado
infraestructura
protocolo IP
Proxy
acceso remoto
Enrutamiento
462
desconocido
Palo Alto Networks
Se admiten las siguientes tecnologas de la aplicacin.
Tabla 238. Tecnologas de la aplicacin

Elemento
descripcin
basado en explorador
Una aplicacin que se basa en un explorador web para funcionar.
servidor cliente
Una aplicacin que utiliza un modelo de servidor cliente donde uno

o ms clientes se comunican con un servidor en la red.
protocolo de red
Una aplicacin que se utiliza generalmente para la comunicacin

entre sistemas y que facilita la operacin de red. Eso incluye la
mayora de los protocolos de IP.
punto a punto
Una aplicacin que se comunica directamente con otros clientes

para transferir informacin en vez de basarse en un servidor central
para facilitar la comunicacin.
Se admiten las siguientes caractersticas de la aplicacin.
Tabla 239. Caractersticas de la aplicacin

Elemento
descripcin
Evasiva
Utiliza un puerto o protocolo para cualquier cosa menos su

propsito inicial con la intencin de atravesar un cortafuegos.
Ancho de banda excesivo
Consume al menos 1 Mbps con regularidad en uso normal.
Proclive al uso indebido
Habitualmente utilizada para fines nefarios o fcilmente establecida

para llegar ms all de las intenciones del usuario.
Archivos de transaccin
Tiene la capacidad de transferir un archivo de un sistema a otro a

travs de una red.
Tuneliza otras aplicaciones
Puede incluir otras aplicaciones en su protocolo.
Utilizada por software

malintencionado
El software malintencionado es conocido por utilizar la aplicacin

con fines de propagacin, ataque o robo de datos o se distribuye con
software malintencionado.
Vulnerabilidades
Ha informado pblicamente de vulnerabilidades.
Ampliamente utilizado
Probablemente cuente con ms de 1.000.000 de usuarios.
Continuar buscando otras

aplicaciones
Indica al cortafuegos continuar buscando para ver si otras firmas

de la aplicacin coinciden. Si esta opcin no est seleccionada, se
informa de la primera firma coincidente y el cortafuegos detiene la
bsqueda de aplicaciones coincidentes adicionales.
Palo Alto Networks
463
464
Palo Alto Networks
Apndice C
COMPATIBILIDAD CON LOS ESTNDARES
FEDERALES DE PROCESAMIENTO DE LA
INFORMACIN/CRITERIOS COMUNES
Puede configurar el cortafuegos para que admita el nivel de garanta de evaluacin de criterios
comunes 4+ (CCEAL4+) y los estndares federales de procesamiento de la informacin 140-2
(FIPS 140-2), ambos certificados de seguridad que garantizan un conjunto estndar de garantas
y funciones de seguridad. Estos certificados suelen solicitarlos las agencias civiles del
gobierno de EE. UU. y contratistas gubernamentales.
Para obtener ms detalles sobre estas certificaciones, consulte los siguientes documentos:
FIPShttp://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/
140sp1877.pdf
CCEAL4+http://www.niap-ccevs.org/st/vid10392/
PAN-OS 6.0 no cuenta an con la certificacin CC/FIPS.
Activacin del modo CC/FIPS

Utilice el siguiente procedimiento para activar el modo CC/FIPS en una versin de software
que admita CC/FIPS. Tenga en cuenta que, cuando activa CC/FIPS, el dispositivo restablecer
la configuracin predeterminada de fbrica; se eliminar toda la configuracin.
1.
Inicie el cortafuegos en modo de mantenimiento de la siguiente forma:
a. Establezca una conexin serie con el cortafuegos.

b. Vuelva a iniciar el dispositivo y pulse la tecla m del teclado cuando vea el siguiente
mensaje: Pulse m para el reinicio de la particin maint.
c. Pulse cualquier tecla del teclado cuando se le solicite detener el reinicio automtico y,
a continuacin, seleccione PANOS (maint) como la particin de reinicio.
Para obtener informacin ms detallada acerca del modo de mantenimiento, consulte
la Gua de referencia de la interfaz de lnea de comandos de PAN-OS.
2.
Seleccione Set CCEAL4 Mode en el men para establecer el modo CCEAL4.
3.
Seleccione Enable CCEAL4 Mode en el men para activar el modo CCEAL4.
Palo Alto Networks
465
4.
Cuando se le solicite, seleccione Reboot para reiniciar.

Despus de que se realice el cambio al modo CC/FIPS correctamente, aparece el siguiente
estado: CCEAL4 mode enabled successfully. (El modo CCEAL4 se ha
activado correctamente.) Adems, CC aparecer siempre en la barra de estado
de la parte inferior de la interfaz web. Adems, el puerto de la consola solo estar ahora
disponible como puerto de salida de estado. Adems, las credenciales predeterminadas
de inicio de sesin del administrador cambiarn a admin/paloalto.
Funciones de seguridad de CC/FIPS

Cuando CC/FIPS est habilitado, se aplica lo siguiente:
466
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Las cuentas se bloquean despus del nmero de intentos fallidos configurado en la

pgina Dispositivo > Configuracin > Administracin. Si el cortafuegos no est en
modo CC/FIPS, se puede configurar de forma que no se bloquee nunca; incluso en modo
CC/FIPS y aunque se requiera un tiempo de bloqueo.
El cortafuegos determina automticamente el nivel adecuado de prueba automtica y

aplica el nivel de potencia apropiado en algoritmos de cifrado y conjuntos de cifrado.
Los algoritmos aprobados sin CC/FIPS no se descifran y se ignoran durante el descifrado.
Al configurar IPSec, un subconjunto de los conjuntos de cifrado disponibles

habitualmente est disponible.
Los certificados generados automticamente e importados deben contener claves pblicas

de 2048 bits o ms.
El puerto de serie est desactivado.
Las conexiones de gestin de Telnet, TFTP y HTTP no estn disponibles.
No se admite el modo Surf.
Se requiere un cifrado de alta disponibilidad.
La autenticacin de PAP est desactivada.
Palo Alto Networks
Apndice D
LICENCIAS DE CDIGO ABIERTO
El software incluido en este producto contiene software con derechos de autor cuya licencia se
ofrece de acuerdo con la Licencia pblica general (GPL). Una copia de dicha licencia se incluye
en este documento. Podemos enviarle el cdigo fuente correspondiente completo por un
perodo de tres aos tras nuestro ltimo envo de este producto enviando un giro postal o
cheque de 5 $ a:
Gua del administrador
Open Source Request
4401 Great America Parkway
Santa Clara, Ca. 95054
Puede que algunos componentes de este producto estn cubiertos por una o ms de las
licencias de cdigo abierto enumeradas en este apndice:
Licencia artstica
BSD
Licencia pblica general de GNU
Licencia pblica general reducida de GNU
MIT/X11
OpenSSH
PSF
PHP
Zlib
Palo Alto Networks
467
Licencia artstica
Licencia artstica
Este documento es una versin libre de Artistic License, distribuido como parte del kit
Perl v4.0 de Larry Wall, que est disponible desde la mayora de los principales sitios web
de archivos.
El objetivo de este documento es indicar las condiciones segn las cuales estos Paquetes
(consulte la definicin a continuacin), es decir, Crack, el descifrador de contraseas de
Unix, y CrackLib, la biblioteca de comprobacin de contraseas de Unix, cuyos derechos
de autor pertenecen a Alec David Edward Muffett, podrn copiarse, de manera que el
Propietario de los derechos de autor mantenga cierto control artstico sobre el desarrollo
de los Paquetes, al tiempo que se conceda a los usuarios del Paquete el derecho a utilizar y
distribuir el Paquete del modo que sea habitual, as como el derecho a realizar modificaciones
razonables.
Definiciones:
Un Paquete hace referencia al conjunto de los archivos distribuidos por el Propietario de los
derechos de autor y los elementos derivados de dicho conjunto de archivos creados mediante
una modificacin del texto o los segmentos de los mismos.
Una Versin estndar hace referencia a un Paquete si no se ha modificado o si se ha
modificado de acuerdo con los deseos del Propietario de los derechos de autor.
El Propietario de los derechos de autor es aquel que se indique en los derechos de autor
del Paquete.
Usted es un usuario que est considerando la idea de copiar o distribuir este Paquete.
Una Tasa de copia razonable es lo que pueda justificar basndose en los costes de los
soportes, los gastos de duplicacin, el tiempo empleado por las personas implicadas, etc.
(No ser necesario que lo justifique al Propietario de los derechos de autor, nicamente a
la comunidad informtica en general en calidad de mercado que deber afrontar la tasa.)
Disponible de manera gratuita significa que no se carga ninguna tasa por el artculo en
s mismo, aunque puede que existan tasas relacionadas con la manipulacin del artculo.
Tambin significa que los destinatarios del artculo podrn redistribuirlo de acuerdo con las
mismas condiciones en las que lo recibieron.
1. Podr realizar y entregar copias literales del formato de cdigo fuente de la Versin estndar
de este Paquete sin restricciones, siempre que duplique todos los avisos de derechos de autor
originales, as como los descargos de responsabilidad asociados.
2. Podr aplicar soluciones de problemas, soluciones de portabilidad y otras modificaciones
derivadas del Dominio pblico o del Propietario de los derechos de autor. Un Paquete
modificado de ese modo se seguir considerando la Versin estndar.
3. Podr modificar su copia de este Paquete de cualquier otro modo, siempre que incluya
un aviso destacado en cada archivo modificado indicando cmo, cundo y POR QU ha
modificado ese archivo y siempre que realice como mnimo UNA de las acciones siguientes:
a) Coloque sus modificaciones en el Dominio pblico o haga que estn Disponibles de manera
gratuita de cualquier otro modo, como por ejemplo, publicando dichas modificaciones en
Usenet o un medio equivalente, o colocando las modificaciones en un sitio web de archivos
principal, como uunet.uu.net, o permitiendo que el Propietario de los derechos de autor
incluya sus modificaciones en la Versin estndar del Paquete.
b) Utilice el Paquete modificado nicamente dentro de su corporacin u organizacin.
c) Cambie el nombre de los archivos ejecutables no estndar, de manera que los nombres no
entren en conflicto con los archivos ejecutables estndar, que tambin deben proporcionarse.
Asimismo, proporcione documentacin independiente para cada archivo ejecutable no
estndar que indique claramente en qu se diferencia de la Versin estndar.
468
Palo Alto Networks
BSD
d) Llegue a otros acuerdos de distribucin con el Propietario de los derechos de autor.

4. Puede distribuir los programas de este Paquete en formato de cdigo objeto o formato
ejecutable, siempre que realice como mnimo UNA de las acciones siguientes:
a) Distribuya una Versin estndar de los archivos ejecutables y de biblioteca, junto con
instrucciones (en las pginas del manual o equivalente) sobre dnde se puede obtener la
Versin estndar.
b) Acompae la distribucin con el cdigo fuente legible por mquina del Paquete con sus
modificaciones.
c) Acompae todos los archivos ejecutables no estndar con sus correspondientes archivos
ejecutables de la Versin estndar, denominando los archivos ejecutables no estndar
mediante nombres no estndar e indicando claramente las diferencias en las pginas del
manual (o equivalente), junto con instrucciones sobre dnde se puede obtener la Versin
estndar.
d) Llegue a otros acuerdos de distribucin con el Propietario de los derechos de autor.
5. Podr cobrar una Tasa de copia razonable por cualquier distribucin de este Paquete.
Podr cobrar la tasa que decida por la asistencia tcnica de este Paquete. NO PODR
COBRAR NINGUNA TASA POR EL PAQUETE EN S MISMO. Sin embargo, podr distribuir
este Paquete junto con otros programas (posiblemente comerciales) como parte de una distribucin de software (posiblemente comercial) de mayor tamao, siempre que NO ANUNCIE
este Paquete como un producto suyo.
6. El nombre del Propietario de los derechos de autor no podr utilizarse para aprobar o
promocionar productos derivados de este software sin un previo consentimiento por escrito
especfico.
7. ESTE PAQUETE SE PROPORCIONA TAL CUAL SIN GARANTAS EXPLCITAS O
IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS IMPLCITAS DE
COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO.
BSD
Los siguientes propietarios de los derechos de autor proporcionan software de acuerdo con la
licencia BSD:
Julian Steward
Thai Open Source Software Center Ltd
The Regents of the University of California
Nick Mathewson
Niels Provos
Dug Song
Todd C. Miller
University of Cambridge
Sony Computer Science Laboratories Inc.
La redistribucin y el uso en formato de cdigo fuente y binario, con o sin modificaciones,

estn permitidos siempre que se cumplan las siguientes condiciones:
Palo Alto Networks
469
1. Las redistribuciones del cdigo fuente deben mantener el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad.
2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de
autor anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre de los autores no podr utilizarse para aprobar o promocionar productos
derivados de este software sin un previo consentimiento por escrito especfico.
ESTE SOFTWARE SE PROPORCIONA TAL CUAL SIN GARANTAS EXPLCITAS
O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS IMPLCITAS DE
COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO.

Versin 2, junio de 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc.
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 (EE.UU.)
Todo el mundo tiene derecho a copiar y distribuir copias literales de este documento de
licencia, pero no se permiten modificaciones.
Prembulo:
Las licencias de la mayora del software estn diseadas para restringir su libertad para
compartirlo y modificarlo. A diferencia de ellas, la Licencia pblica general de GNU est
diseada para garantizar la libertad de los usuarios para compartir y modificar el software
libre, asegurndose de que el software sea libre para todos los usuarios. Esta Licencia pblica
general se aplica a la mayora del software de Free Software Foundation y a cualquier otro
programa cuyos autores confirmen que la utiliza. (Parte del software de Free Software
Foundation est cubierta por la Licencia pblica general reducida de GNU.) Tambin puede
aplicarla a sus programas.
Cuando hablamos de software libre, nos referimos a la libertad de uso, no al precio.
Nuestras Licencias pblicas generales estn diseadas para garantizar que cuenta con la
libertad necesaria para distribuir copias de software libre (y cobrar por este servicio si lo
desea), que recibe el cdigo fuente o puede obtenerlo si lo desea, que puede cambiar el
software o utilizar partes del mismo en nuevos programas libres y que sabe cmo realizar
estas acciones.
Para proteger sus derechos, debemos aplicar restricciones que impidan que nadie pueda
negarle dichos derechos o pedirle que renuncie a los mismos. Estas restricciones se traducen
en determinadas responsabilidades para usted si distribuye copias del software o si lo modifica.
Por ejemplo, si distribuye copias de un programa, ya sea gratuitamente o cobrando una
tasa, deber otorgar a los destinatarios todos los derechos que usted tiene. Tambin deber
asegurarse de que reciben o pueden obtener el cdigo fuente. Adems, deber mostrarles
estas condiciones para que conozcan sus derechos.
Protegemos sus derechos a travs de dos pasos: (1) aplicamos derechos de autor al software
y (2) le ofrecemos esta licencia, que le otorga un permiso legal para copiar, distribuir y/o
modificar el software.
Asimismo, para proteger a cada autor y a nosotros mismos, queremos asegurarnos de que
todo el mundo comprende que no existe ninguna garanta para este software libre. Si otra
persona modifica el software y lo distribuye, queremos que sus destinatarios sepan que lo que
tienen no es el original, de manera que los problemas introducidos por otros no afecten a la
reputacin de los autores originales.
470
Palo Alto Networks
Por ltimo, todo programa libre est amenazado constantemente por las patentes de software.
Deseamos evitar el peligro de que los redistribuidores de un programa libre obtengan de
manera individual licencias de patente, apropindose de este modo del programa. Para
evitarlo, hemos dejado claro que cualquier patente deber otorgarse para el uso libre de
todo el mundo; de lo contrario, dicha licencia no podr realizarse.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Esta Licencia se aplica a cualquier programa o cualquier obra que contenga un aviso
introducido por el propietario de los derechos de autor que indique que podr distribuirse
de acuerdo con las condiciones de esta Licencia pblica general. El Programa, que aparece a
continuacin, hace referencia a cualquier programa u obra. Una obra basada en el Programa
hace referencia al Programa o a cualquier obra derivada bajo la ley de derechos de autor: es
decir, cualquier obra que contenga el Programa o parte de l, ya sea literal o con modificaciones o traducida a otro idioma. (En lo sucesivo, la traduccin se incluye sin limitaciones
en el trmino modificacin.) En este documento, al hablar de usted, se estar haciendo
referencia a cada titular de la Licencia.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por
esta Licencia, quedando as fuera de su mbito. La accin de ejecutar el Programa no est
restringida y los resultados del Programa nicamente estn cubiertos si su contenido
constituye una obra basada en el Programa (independientemente de si se ha creado
ejecutando el Programa). Su veracidad depender de lo que haga el Programa.
1. Podr copiar y distribuir copias literales del cdigo fuente del Programa cuando lo reciba,
a travs de cualquier medio, siempre que: publique de manera destacada y adecuada en cada
copia un aviso de derechos de autor y un descargo de responsabilidad de garanta adecuados;
mantenga intactos todos los avisos que hagan referencia a esta Licencia y a la ausencia de
cualquier tipo de garanta; y proporcione a todos los destinatarios del Programa una copia
de esta Licencia junto con el Programa.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias del Programa o cualquier parte del mismo, creando de este
modo una obra basada en el Programa, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
a) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
b) Deber encargarse de que para cualquier obra que distribuya o publique que, en su
totalidad o en parte, contenga o se haya derivado del Programa o cualquier parte del mismo
se ofrezca una licencia completa sin cargos para terceros de acuerdo con las condiciones de
esta Licencia.
c) Si el programa modificado lee comandos de manera interactiva al ejecutarse de manera
normal, deber encargarse de que, cuando empiece a ejecutarse para dicho uso interactivo del
modo habitual, imprima o muestre un anuncio que incluya un aviso de derechos de autor
adecuado y un aviso de que no existe ninguna garanta (o, de lo contrario, que indique que
proporciona una garanta) y de que los usuarios podrn redistribuir el programa de acuerdo
con estas condiciones, indicando al usuario cmo ver una copia de esta Licencia. (Excepcin:
si el propio Programa es interactivo pero por lo general no imprime dicho anuncio, su obra
basada en el Programa no deber imprimir un anuncio.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan del Programa y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
Palo Alto Networks
471
no se aplicarn a dichas secciones cuando las distribuya como obras independientes.

Sin embargo, cuando distribuya las mismas secciones como parte de un todo que sea
una obra basada en el Programa, la distribucin de la obra completa deber realizarse
de acuerdo con las condiciones de esta Licencia, cuyos permisos para otros titulares de
la Licencia abarcan la totalidad de la obra, incluyendo todas y cada una de las partes
independientemente de su autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos
sobre obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar
la distribucin de obras basadas en el Programa que se hayan derivado del mismo o que
sean colectivas.
Adems, la mera adicin de otra obra no basada en el Programa junto con el Programa (o una
obra basada en el Programa) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Podr copiar y distribuir el Programa (o una obra basada en el Programa, de acuerdo con la
Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con las condiciones de
las Secciones 1 y 2 anteriores, siempre que tambin realice una de las acciones siguientes:
a) Deber adjuntarle el cdigo fuente legible por mquina correspondiente completo, que
deber distribuirse de acuerdo con las condiciones de las Secciones 1 y 2 anteriores en un
medio utilizado habitualmente para el intercambio de software;
b) Deber adjuntarle una oferta por escrito, vlida como mnimo durante tres aos, segn
la cual proporcionar a cualquier tercero, por un coste que no sea superior al coste que le
suponga realizar fsicamente la distribucin del cdigo fuente, una copia legible por mquina
completa del cdigo fuente correspondiente, la cual deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software; o
c) Deber adjuntarle la informacin que recibi relativa a la oferta para distribuir el cdigo
fuente correspondiente. (Esta alternativa nicamente est permitida para una distribucin no
comercial y solamente si ha recibido el Programa en formato de cdigo objeto o formato
ejecutable con dicha oferta, de acuerdo con la Subseccin b anterior.)
El cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una obra ejecutable, el cdigo fuente completo
significa todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos
de definicin de interfaz asociados y las secuencias de comandos utilizadas para controlar
la compilacin y la instalacin del archivo ejecutable. Sin embargo, como excepcin especial,
el cdigo fuente distribuido no necesita incluir nada que se distribuya de manera habitual
(en formato de cdigo fuente o binario) con los componentes principales (compilador, kernel,
etc.) del sistema operativo en el que se ejecute el archivo ejecutable, a menos que el propio
componente acompae al archivo ejecutable.
Si la distribucin de archivos ejecutables o cdigo objeto se realiza permitiendo el acceso
para su copia desde una ubicacin designada, la oferta de un acceso equivalente para copiar
el cdigo fuente desde la misma ubicacin constituir una distribucin del cdigo fuente,
aunque no se obligue a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
4. No podr copiar, modificar, sublicenciar ni distribuir el Programa de manera distinta a
la indicada de manera explcita en esta Licencia. Cualquier intento de copiar, modificar,
sublicenciar o distribuir el Programa de otro modo ser nulo y cancelar automticamente
sus derechos de acuerdo con esta Licencia. Sin embargo, las licencias de las partes a las que
haya proporcionado copias o derechos de acuerdo con esta Licencia no vencern, siempre
que dichas partes cumplan todas las condiciones indicadas.
5. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir el Programa o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto,
472
Palo Alto Networks
al modificar o distribuir el Programa (o cualquier obra basada en el Programa), indica su

aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar el Programa o las obras basadas en el Programa.
6. Cada vez que redistribuya el Programa (o cualquier obra basada en el Programa), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir o modificar el Programa de acuerdo con estas condiciones. No podr imponer
ms restricciones en el ejercicio por parte de los destinatarios de los derechos concedidos
en la presente. No es responsable de garantizar el cumplimiento de esta Licencia por parte
de terceros.
7. Si, como consecuencia de una sentencia judicial o una alegacin de incumplimiento de
patente o por cualquier otro motivo (no limitado a problemas con patentes), se le imponen
condiciones (mediante una sentencia judicial, un acuerdo o de otro modo) que contradigan
las condiciones de esta Licencia, no se le eximir de las condiciones de esta Licencia. Si no
puede distribuir el Programa de manera que satisfaga simultneamente sus obligaciones de
acuerdo con esta Licencia y cualquier otra obligacin pertinente, como consecuencia no podr
distribuir el Programa de ningn modo. Por ejemplo, si una licencia de patente no permite
la redistribucin sin pago de derechos de autor del Programa por todos aquellos que reciban
copias directa o indirectamente a travs de usted, la nica forma en la que podr satisfacer
tanto esta condicin como esta Licencia sera renunciar por completo a la distribucin del
Programa.
Si cualquier parte de esta seccin se considera no vlida o no aplicable en circunstancias
especficas, deber aplicarse el sentido general de la seccin. En cualquier otra circunstancia,
deber aplicarse la seccin en su totalidad.
El objetivo de esta seccin no es inducirle a infringir patentes u otras exigencias de derechos
de propiedad o impugnar la validez de dichas exigencias; el nico objetivo de esta seccin
es proteger la integridad del sistema de distribucin de software libre, que se implementa
mediante prcticas de licencia pblica. Muchas personas han realizado contribuciones
generosas a la amplia variedad de software distribuido mediante dicho sistema confiando
en la aplicacin sistemtica de dicho sistema; depende del autor/donante decidir si est
dispuesto a distribuir software mediante cualquier otro sistema y un titular de la Licencia
no puede imponer su criterio.
El objetivo de esta seccin es dejar absolutamente claro lo que se cree que es una consecuencia
del resto de esta Licencia.
8. Si la distribucin y/o el uso del Programa est restringido en determinados pases debido a
patentes o interfaces con derechos de autor, el propietario de los derechos de autor original
que proporcione el Programa de acuerdo con esta Licencia podr aadir una limitacin de
distribucin geogrfica explcita que excluya dichos pases, de modo que la distribucin est
permitida nicamente en o entre pases que no estn excluidos por este motivo. En este caso,
esta Licencia incorpora la limitacin como si estuviera escrita en el cuerpo de esta Licencia.
9. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general cuando resulte oportuno. Dichas versiones nuevas sern equivalentes en
esencia a la versin actual, pero podrn diferir en detalles para responder a nuevos problemas
o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si el Programa especifica
un nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si el Programa no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas
por Free Software Foundation.
Palo Alto Networks
473
10. Si desea incorporar partes del Programa en otros programas libres cuyas condiciones
de distribucin sean diferentes, pngase en contacto con el autor para solicitarle permiso.
En el caso de software cuyos derechos de autor sean de Free Software Foundation, pngase
en contacto con Free Software Foundation; a veces hacemos excepciones en estos casos.
Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los elementos
derivados de nuestro software libre y promover el uso compartido y la reutilizacin del
software en general.
AUSENCIA DE GARANTA
11. DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA SER
DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
12. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR
O CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA
DEL MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA
CON USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O
LA IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON
OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
474
Palo Alto Networks

Versin 2.1, febrero de 1999
Copyright (C) 1991, 1999 Free Software Foundation, Inc.
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 (EE.UU.)
Todo el mundo tiene derecho a copiar y distribuir copias literales de este documento de
licencia, pero no se permiten modificaciones.
[Esta es la primera versin publicada de la Licencia pblica general reducida. Tambin
representa la continuacin de la Licencia pblica para bibliotecas de GNU, versin 2,
de ah que el nmero de versin sea 2.1.]
Prembulo:
Las licencias de la mayora del software estn diseadas para restringir su libertad para
compartirlo y modificarlo. A diferencia de ellas, las Licencias pblicas generales de GNU
estn diseadas para garantizar la libertad de los usuarios para compartir y modificar el
software libre, asegurndose de que el software sea libre para todos los usuarios.
Esta licencia, la Licencia pblica general reducida, se aplica a determinados paquetes de
software designados especficamente (por lo general bibliotecas) de Free Software Foundation
y otros autores que decidan utilizarla. Usted tambin puede utilizarla, pero le sugerimos que
primero considere detenidamente si esta Licencia o la Licencia pblica general comn es la
mejor estrategia que debe seguirse en cualquier caso concreto, basndose en las explicaciones
siguientes.
Cuando hablamos de software libre, nos referimos a la libertad de uso, no al precio.
Nuestras Licencias pblicas generales estn diseadas para garantizar que cuenta con la
libertad necesaria para distribuir copias de software libre (y cobrar por este servicio si lo
desea), que recibe el cdigo fuente o puede obtenerlo si lo desea, que puede cambiar el
software y utilizar partes del mismo en nuevos programas libres y que sabe cmo realizar
estas acciones.
Para proteger sus derechos, debemos aplicar restricciones que impidan que los distribuidores
puedan negarle dichos derechos o pedirle que renuncie a los mismos. Estas restricciones se
traducen en determinadas responsabilidades para usted si distribuye copias de la biblioteca o
si la modifica.
Por ejemplo, si distribuye copias de la biblioteca, ya sea gratuitamente o cobrando una tasa,
deber otorgar a los destinatarios todos los derechos que nosotros le proporcionamos a usted.
Tambin deber asegurarse de que reciben o pueden obtener el cdigo fuente. Si vincula otro
cdigo a la biblioteca, deber proporcionar archivos objeto completos a los destinatarios, de
modo que puedan volver a vincularlos a la biblioteca despus de realizar modificaciones en
la biblioteca y volver a compilarla. Adems, deber mostrarles estas condiciones para que
conozcan sus derechos.
Protegemos sus derechos a travs de dos pasos: (1) aplicamos derechos de autor a la biblioteca
y (2) le ofrecemos esta licencia, que le otorga un permiso legal para copiar, distribuir y/o
modificar la biblioteca.
Para proteger a cada distribuidor, queremos dejar bien claro que la biblioteca libre no tiene
ningn tipo de garanta. Asimismo, si otra persona modifica la biblioteca y la distribuye,
los destinatarios deben saber que lo que tienen no es la versin original, de manera que los
problemas que puedan introducir otros no afecten a la reputacin del autor original.
Palo Alto Networks
475
Por ltimo, las patentes de software suponen una amenaza constante a la existencia de
cualquier programa libre. Queremos asegurarnos de que una empresa no pueda restringir de
manera eficaz a los usuarios de un programa libre obteniendo una licencia restrictiva de un
titular de patente. Por lo tanto, insistimos que cualquier licencia de patente obtenida para una
versin de la biblioteca debe permitir la libertad de uso total especificada en esta Licencia.
La mayora del software de GNU, incluidas algunas bibliotecas, est cubierta por la Licencia
pblica general de GNU comn. Esta licencia, la Licencia pblica general reducida de GNU,
se aplica a determinadas bibliotecas designadas y es bastante diferente de la Licencia pblica
general comn. Utilizamos esta licencia para determinadas bibliotecas con el fin de permitir la
vinculacin de dichas bibliotecas a programas que no sean libres.
Cuando un programa est vinculado a una biblioteca, ya sea estadsticamente o mediante una
biblioteca compartida, la combinacin de ambos es en trminos legales una obra combinada,
es decir, una obra derivada de la biblioteca original. Por lo tanto, la Licencia pblica general
comn permite dicha vinculacin nicamente si la totalidad de la combinacin se ajusta a
sus criterios de libertad de uso. La Licencia pblica general reducida permite criterios ms
relajados para la vinculacin de otro cdigo a la biblioteca.
Esta Licencia se denomina Licencia pblica general reducida porque reduce la proteccin
de la libertad del usuario en comparacin con la Licencia pblica general comn. Tambin
reduce la ventaja de otros desarrolladores de software libre sobre programas que no sean
libres de la competencia. Estas desventajas son el motivo por el que utilizamos la Licencia
pblica general comn para muchas bibliotecas. Sin embargo, la Licencia pblica general
reducida ofrece ventajas en determinadas circunstancias especiales.
Por ejemplo, en ocasiones poco frecuentes, puede que exista la necesidad especial de fomentar
el uso ms extendido posible de una determinada biblioteca, de modo que se convierta en un
estndar de facto. Para lograrlo, se debe permitir que los programas que no sean libres utilicen
la biblioteca. Un caso ms frecuente es que una biblioteca libre haga el mismo trabajo que
bibliotecas que no sean libres ampliamente utilizadas. En este caso, al limitar la biblioteca libre
nicamente a software libre las ventajas son mnimas, de modo que utilizamos la Licencia
pblica general reducida.
En otros casos, el permiso para utilizar una biblioteca especfica en programas que no sean
libres permite que un mayor nmero de personas utilice un gran cuerpo de software libre.
Por ejemplo, el permiso para utilizar la biblioteca GNU C en programas que no sean libres
permite que muchas ms personas utilicen todo el sistema operativo GNU, as como su
variante, el sistema operativo GNU/Linux.
Aunque la Licencia pblica general reducida reduce la proteccin de la libertad de los
usuarios, garantiza que el usuario de un programa vinculado a la biblioteca tenga la libertad
y los medios para ejecutar ese programa utilizando una versin modificada de la biblioteca.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
Preste especial atencin a la diferencia entre una obra basada en la biblioteca y una obra
que utiliza la biblioteca. La primera incluye cdigo derivado de la biblioteca, mientras que la
segunda debe combinarse con la biblioteca para funcionar.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Este Contrato de licencia se aplica a cualquier biblioteca de software u otro programa
que incluya un aviso introducido por el propietario de los derechos de autor u otra parte
autorizada que indique que puede distribuirse de acuerdo con las condiciones de esta Licencia
pblica general reducida (tambin denominada esta Licencia). En este documento, al hablar
de usted, se estar haciendo referencia a cada titular de la Licencia.
Una biblioteca significa un conjunto de funciones y/o datos de software preparados de
modo que se puedan vincular de manera conveniente a programas (que utilizan algunos de
esos datos y funciones) para generar archivos ejecutables.
476
Palo Alto Networks
La Biblioteca, que aparece a continuacin, hace referencia a cualquier biblioteca de software

u obra que se haya distribuido de acuerdo con estas condiciones. Una "obra basada en la
Biblioteca" hace referencia a la Biblioteca o a cualquier obra derivada bajo la ley de derechos
de autor: es decir, una obra que contenga la Biblioteca o parte de ella, ya sea literal o con
modificaciones o traducida directamente a otro idioma. (En lo sucesivo, la traduccin se
incluye sin limitaciones en el trmino modificacin.)
El Cdigo fuente de una obra significa el formato preferido de la obra para realizar
modificaciones en la misma. En el caso de una biblioteca, el cdigo fuente completo significa
todo el cdigo fuente de todos los mdulos que contiene, adems de los archivos de definicin
de interfaz asociados y las secuencias de comandos utilizadas para controlar la compilacin y
la instalacin de la biblioteca.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por esta
Licencia, quedando as fuera de su mbito. La accin de ejecutar un programa utilizando la
Biblioteca no est restringida y los resultados de dicho programa nicamente estn cubiertos
si su contenido constituye una obra basada en la Biblioteca (independientemente del uso de la
Biblioteca en una herramienta para su creacin). Su veracidad depender de lo que hagan la
Biblioteca y el programa que utiliza la Biblioteca.
1. Podr copiar y distribuir copias literales del cdigo fuente completo de la Biblioteca
cuando lo reciba, a travs de cualquier medio, siempre que: publique de manera destacada
y adecuada en cada copia un aviso de derechos de autor y un descargo de responsabilidad de
garanta adecuados; mantenga intactos todos los avisos que hagan referencia a esta Licencia
y a la ausencia de cualquier tipo de garanta; y distribuya una copia de esta Licencia junto con
la Biblioteca.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias de la Biblioteca o cualquier parte de la misma, creando de este
modo una obra basada en la Biblioteca, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
* a) La obra modificada deber ser ella misma una biblioteca de software.
* b) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
* c) Deber encargarse de que se ofrezca una licencia de la totalidad de la obra sin cargos
para terceros de acuerdo con las condiciones de esta Licencia.
* d) Si unas instalaciones de la Biblioteca modificada hacen referencia a una funcin o una
tabla de datos que deber proporcionar un programa que utilice las instalaciones, que no
sea como argumento transmitido cuando se solicitan las instalaciones, deber encargarse de
buena fe de garantizar que, en el caso de que una aplicacin no proporcione dicha funcin o
tabla, las instalaciones sigan funcionando y lleven a cabo la parte de sus objetivos que sigan
teniendo sentido.
(Por ejemplo, una funcin de una biblioteca para calcular races cuadradas tiene un
objetivo que est bien definido en su totalidad, independientemente de la aplicacin. Por lo
tanto, la Subseccin 2d exige que cualquier funcin o tabla proporcionada por la aplicacin
que esta funcin utilice debe ser optativa: si la aplicacin no la suministra, la funcin de races
cuadradas debe seguir calculando races cuadradas.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan de la Biblioteca y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
no se aplicarn a dichas secciones cuando las distribuya como obras independientes. Sin
embargo, cuando distribuya las mismas secciones como parte de un todo que sea una obra
basada en la Biblioteca, la distribucin de la obra completa deber realizarse de acuerdo con
Palo Alto Networks
477
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan
la totalidad de la obra, incluyendo todas y cada una de las partes independientemente de
su autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos
sobre obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar
la distribucin de obras basadas en la Biblioteca que se hayan derivado de la misma o que
sean colectivas.
Adems, la mera adicin de otra obra no basada en la Biblioteca junto con la Biblioteca (o una
obra basada en la Biblioteca) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Puede decidir aplicar las condiciones de la Licencia pblica general de GNU comn en
lugar de las de esta Licencia a una copia especfica de la Biblioteca. Para ello, deber modificar
todos los avisos que hacen referencia a esta Licencia para que hagan referencia a la Licencia
pblica general de GNU comn, versin 2, en lugar de a esta Licencia. (Si existe una versin
ms reciente que la versin 2 de la Licencia pblica general de GNU comn, podr especificar
esa versin si lo desea.) No realice ninguna otra modificacin en estos avisos.
Una vez realizada esta modificacin en una copia especfica, ser irreversible para dicha
copia, de modo que la Licencia pblica general de GNU comn se aplicar a todas las copias
posteriores y las obras derivadas de dicha copia.
Esta opcin resulta de utilidad cuando desea copiar parte del cdigo de la Biblioteca en un
programa que no es una biblioteca.
4. Podr copiar y distribuir la Biblioteca (o una parte o una obra derivada de la misma, de
acuerdo con la Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con
las condiciones de las Secciones 1 y 2 anteriores, siempre que le adjunte el cdigo fuente
legible por mquina correspondiente completo, que deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software.
Si la distribucin de cdigo objeto se realiza permitiendo el acceso para su copia desde una
ubicacin designada, la oferta de un acceso equivalente para copiar el cdigo fuente desde la
misma ubicacin satisfar el requisito de distribucin del cdigo fuente, aunque no se obligue
a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
5. Un programa que no contenga obras derivadas de ninguna parte de la Biblioteca pero que
est diseado para funcionar con la Biblioteca tras su compilacin o vinculacin a la misma se
denomina una obra que utiliza la Biblioteca. Dicha obra, por s sola, no es una obra derivada
de la Biblioteca y, por lo tanto, queda fuera del mbito de esta Licencia.
Sin embargo, la vinculacin de una obra que utiliza la Biblioteca a la Biblioteca crea un
archivo ejecutable que es una obra derivada de la Biblioteca (porque contiene partes de la
Biblioteca), en lugar de una obra que utiliza la Biblioteca. Por lo tanto, el archivo ejecutable
est cubierto por esta Licencia. La Seccin 6 indica las condiciones para la distribucin de
dichos archivos ejecutables.
Cuando una obra que utiliza la Biblioteca utiliza material de un archivo de encabezado
que forma parte de la Biblioteca, el cdigo objeto de la obra puede ser una obra derivada de
la Biblioteca aunque el cdigo fuente no lo sea. Su veracidad es especialmente significativa si
la obra puede vincularse sin la Biblioteca o si la obra es en s misma una biblioteca. El umbral
de veracidad no est definido de manera precisa segn la ley.
Si un archivo objeto de este tipo utiliza nicamente parmetros numricos, diseos de
estructuras de datos y descriptores de acceso y macros pequeas y funciones en lnea
pequeas (de diez lneas o menos de longitud), el uso del archivo objeto no estar restringido,
independientemente de si es legalmente una obra derivada. (Los archivos ejecutables que
incluyan este cdigo objeto y partes de la Biblioteca seguirn rigindose por la Seccin 6.)
478
Palo Alto Networks
De lo contrario, si la obra se deriva de la Biblioteca, puede distribuir el cdigo de objeto para la

obra bajo los trminos de la Seccin 6. Cualquier ejecutable que contenga esa obra tambin se
incluir en la Seccin 6, ya se enlace o no directamente con la propia Biblioteca.
6. Como excepcin a las Secciones anteriores, tambin puede combinar o vincular una
obra que utiliza la Biblioteca a la Biblioteca para producir una obra que contenga partes
de la Biblioteca y distribuir dicha obra de acuerdo con las condiciones que elija, siempre que
las condiciones permitan la modificacin de la obra para su uso por parte del cliente y la
ingeniera inversa para la depuracin de dichas modificaciones.
Deber incluir un aviso destacado en cada copia de la obra que indique que se utiliza la
Biblioteca en ella y que la Biblioteca y su uso estn cubiertos por esta Licencia. Deber
proporcionar una copia de esta Licencia. Si durante su ejecucin la obra muestra avisos de
derechos de autor, deber incluir el aviso de derechos de autor de la Biblioteca entre ellos,
as como una referencia que enve al usuario a la copia de esta Licencia. Adems, deber
realizar una de las acciones siguientes:
* a) Deber adjuntar a la obra el cdigo fuente legible por mquina correspondiente
completo de la Biblioteca incluyendo las modificaciones que se hayan utilizado en la obra
(que deber distribuirse de acuerdo con las Secciones 1 y 2 anteriores) y, si la obra es un
archivo ejecutable vinculado a la Biblioteca, la obra que utiliza la Biblioteca legible por
mquina completa, como cdigo objeto y/o cdigo fuente, de modo que el usuario pueda
modificar la Biblioteca y, a continuacin, volver a vincularla para producir un archivo
ejecutable modificado que contenga la Biblioteca modificada. (Se da por hecho que el usuario
que cambie el contenido de los archivos de definicin de la Biblioteca no tiene necesariamente
que ser capaz de volver a compilar la aplicacin para utilizar las definiciones modificadas.)
* b) Utilice un mecanismo de biblioteca compartida adecuado para realizar la vinculacin a
la Biblioteca. Un mecanismo adecuado es uno que: (1) en el tiempo de ejecucin, utilice una
copia de la biblioteca que ya est presente en el sistema informtico del usuario, en lugar de
copiar funciones de biblioteca en el archivo ejecutable; y (2) funcione correctamente con
una versin modificada de la biblioteca, si el usuario instala una, siempre que la versin
modificada sea compatible con la interfaz de la versin con la que se haya creado la obra.
* c) Deber adjuntar a la obra una oferta por escrito, vlida como mnimo durante tres aos,
segn la cual proporcionar al mismo usuario los materiales especificados en la Subseccin
6a anterior, por un coste que no sea superior al coste que le suponga realizar esta distribucin.
* d) Si la distribucin de la obra se realiza permitiendo el acceso para su copia desde una
ubicacin designada, ofrezca un acceso equivalente para copiar los materiales especificados
anteriormente desde la misma ubicacin.
* e) Verifique que el usuario ya ha recibido una copia de estos materiales o que ya enviado
una copia a este usuario.
En el caso de un archivo ejecutable, el formato obligatorio de la obra que utiliza la Biblioteca
debe incluir los datos y las utilidades necesarios para reproducir el archivo ejecutable a partir
de la misma. Sin embargo, como excepcin especial, los materiales que deben distribuirse no
necesitan incluir nada que se distribuya de manera habitual (en formato de cdigo fuente o
binario) con los componentes principales (compilador, kernel, etc.) del sistema operativo en el
que se ejecute el archivo ejecutable, a menos que el propio componente acompae al archivo
ejecutable.
Puede suceder que este requisito contradiga las restricciones de licencia de otras bibliotecas
patentadas que normalmente no acompaan al sistema operativo. Dicha contradiccin
significa que no podr utilizarlas junto con la Biblioteca en un archivo ejecutable que distribuya.
Palo Alto Networks
479
7. Puede introducir instalaciones de biblioteca que sean una obra basada en la Biblioteca unas
junto a otras en una nica biblioteca junto con otras instalaciones de biblioteca no cubiertas
por esta Licencia y distribuir dicha biblioteca combinada, siempre que se permita de cualquier
otro modo la distribucin separada de la obra basada en la Biblioteca y las otras instalaciones
de biblioteca y siempre que realice las dos acciones siguientes:
* a) Deber adjuntar a la biblioteca combinada una copia de la misma obra basada en la
Biblioteca, sin combinarla con ninguna de las otras instalaciones de biblioteca. Esto deber
distribuirse de acuerdo con las condiciones de las Secciones anteriores.
* b) Deber incluir un aviso destacado en la biblioteca combinada que indique que parte de
la misma es una obra basada en la Biblioteca y que explique dnde encontrar el formato sin
combinar adjunto de la misma obra.
8. No podr copiar, modificar, sublicenciar, vincular ni distribuir la Biblioteca de manera
distinta a la indicada de manera explcita en esta Licencia. Cualquier intento de copiar,
modificar, sublicenciar, vincular o distribuir la Biblioteca de otro modo ser nulo y cancelar
automticamente sus derechos de acuerdo con esta Licencia. Sin embargo, las licencias de
las partes a las que haya proporcionado copias o derechos de acuerdo con esta Licencia no
vencern, siempre que dichas partes cumplan todas las condiciones indicadas.
9. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir la Biblioteca o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto,
al modificar o distribuir la Biblioteca (o cualquier obra basada en la Biblioteca), indica su
aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar la Biblioteca o las obras basadas en la Biblioteca.
10. Cada vez que redistribuya la Biblioteca (o cualquier obra basada en la Biblioteca), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir, vincular o modificar la Biblioteca de acuerdo con estas condiciones. No podr
imponer ms restricciones en el ejercicio por parte de los destinatarios de los derechos
concedidos en la presente. No es responsable de garantizar el cumplimiento de esta Licencia
por parte de terceros.
11. Si, como consecuencia de una sentencia judicial o una alegacin de incumplimiento de
patente o por cualquier otro motivo (no limitado a problemas con patentes), se le imponen
condiciones (mediante una sentencia judicial, un acuerdo o de otro modo) que contradigan
las condiciones de esta Licencia, no se le eximir de las condiciones de esta Licencia. Si no
puede distribuir la Biblioteca de manera que satisfaga simultneamente sus obligaciones de
acuerdo con esta Licencia y cualquier otra obligacin pertinente, como consecuencia no podr
distribuir la Biblioteca de ningn modo. Por ejemplo, si una licencia de patente no permite la
redistribucin sin pago de derechos de autor de la Biblioteca por todos aquellos que reciban
copias directa o indirectamente a travs de usted, la nica forma en la que podr satisfacer
tanto esta condicin como esta Licencia sera renunciar por completo a la distribucin de
la Biblioteca.
Si cualquier parte de esta seccin se considera no vlida o no aplicable en circunstancias
especficas, deber aplicarse el sentido general de la seccin. En cualquier otra circunstancia,
deber aplicarse la seccin en su totalidad.
El objetivo de esta seccin no es inducirle a infringir patentes u otras exigencias de derechos
de propiedad o impugnar la validez de dichas exigencias; el nico objetivo de esta seccin
es proteger la integridad del sistema de distribucin de software libre, que se implementa
mediante prcticas de licencia pblica. Muchas personas han realizado contribuciones
generosas a la amplia variedad de software distribuido mediante dicho sistema confiando
en la aplicacin sistemtica de dicho sistema; depende del autor/donante decidir si est
dispuesto a distribuir software mediante cualquier otro sistema y un titular de la Licencia
no puede imponer su criterio.
480
Palo Alto Networks
El objetivo de esta seccin es dejar absolutamente claro lo que se cree que es una consecuencia
del resto de esta Licencia.
12. Si la distribucin y/o el uso de la Biblioteca est restringido en determinados pases
debido a patentes o interfaces con derechos de autor, el propietario de los derechos de
autor original que proporcione la Biblioteca de acuerdo con esta Licencia podr aadir una
limitacin de distribucin geogrfica explcita que excluya dichos pases, de modo que la
distribucin est permitida nicamente en o entre pases que no estn excluidos por este
motivo. En este caso, esta Licencia incorpora la limitacin como si estuviera escrita en el
cuerpo de esta Licencia.
13. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general reducida cuando resulte oportuno. Dichas versiones nuevas sern equivalentes en esencia a la versin actual, pero podrn diferir en detalles para responder a nuevos
problemas o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si la Biblioteca especifica
un nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si la Biblioteca no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas
por Free Software Foundation.
14. Si desea incorporar partes de la Biblioteca en otros programas libres cuyas condiciones
de distribucin sean incompatibles con estas, pngase en contacto con el autor para solicitarle
permiso. En el caso de software cuyos derechos de autor sean de Free Software Foundation,
pngase en contacto con Free Software Foundation; a veces hacemos excepciones en estos
casos. Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los
elementos derivados de nuestro software libre y promover el uso compartido y la reutilizacin del software en general.
AUSENCIA DE GARANTA
15. DADO QUE LA LICENCIA DE LA BIBLIOTECA SE PROPORCIONA DE MANERA
GRATUITA, LA BIBLIOTECA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
U OTRAS PARTES PROPORCIONAN LA BIBLIOTECA TAL CUAL SIN GARANTAS DE
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON
LA CALIDAD Y EL RENDIMIENTO DE LA BIBLIOTECA. SI LA BIBLIOTECA RESULTARA
SER DEFECTUOSA, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
16. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR
O CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA LA BIBLIOTECA
LA IMPOSIBILIDAD DE UTILIZAR LA BIBLIOTECA (ENTRE LOS QUE SE INCLUYEN LA
POR USTED O TERCEROS O LA INCAPACIDAD DE LA BIBLIOTECA DE FUNCIONAR
CON OTRO SOFTWARE), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U
OTRA PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Palo Alto Networks
481
MIT/X11
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Todos los derechos reservados.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard. Todos los
derechos reservados.
Copyright (C) 1998 Bjorn Reese y Daniel Stenberg.
Copyright (C) 2000 Gary Pennington y Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>
Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>
Por la presente se concede permiso, de manera gratuita, a cualquier persona que obtenga
una copia de este software y los archivos de documentacin asociados (el Software) para
comercializar el Software sin restricciones, lo cual incluye, entre otros, el derecho a utilizar,
copiar, modificar, combinar, publicar, distribuir, sublicenciar y/o vender copias del Software,
as como para permitir a las personas a las que se proporcione el Software que realicen dichas
acciones, siempre que se cumplan las siguientes condiciones:
El aviso de derechos de autor anterior y este aviso de permiso debern incluirse en todas las
copias o partes considerables del Software.
EL SOFTWARE SE PROPORCIONA TAL CUAL, SIN GARANTAS DE NINGN TIPO,
YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
DE COMERCIABILIDAD, ADECUACIN A UN FIN ESPECFICO Y CUMPLIMIENTO.
LOS AUTORES O LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR NO SERN
RESPONSABLES EN NINGN CASO DE NINGUNA RECLAMACIN, DAOS Y PERJUICIOS O CUALQUIER OTRA OBLIGACIN, YA SEA EN UNA ACCIN CONTRACTUAL,
DE INCUMPLIMIENTO CONTRACTUAL O DE OTRO TIPO, DERIVADOS O RELACIONADOS CON EL SOFTWARE O EL USO U OTRAS ACCIONES REALIZADAS CON EL
SOFTWARE.
OpenSSH
Este archivo forma parte del software OpenSSH.
Las licencias que se aplican a los componentes de este software son las siguientes. En primer
lugar, haremos un resumen e indicaremos todos los componentes que se incluyen en una
licencia BSD o una licencia que sea ms libre que esta.
OpenSSH no contiene cdigo GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finlandia
Todos los derechos reservados.
En lo que a m respecta, el cdigo que he escrito para este software puede utilizarse libremente
con cualquier fin. Cualquier versin derivada de este software debe marcarse claramente
como tal. Si la obra derivada es incompatible con la descripcin del protocolo en el archivo
RFC, deber tener un nombre que no sea ssh o Secure Shell.
[Tatu contina]
482
Palo Alto Networks
OpenSSH
Sin embargo, con ello no doy a entender que se otorgarn licencias a patentes o derechos de
autor que sean propiedad de terceros. Asimismo, el software incluye partes que no estn bajo
mi control directo. Por lo que yo s, todo el cdigo fuente incluido se utiliza de acuerdo con
los contratos de licencia relevantes y puede utilizarse libremente con cualquier fin (siendo la
licencia de GNU la ms restrictiva); consulte a continuacin para obtener informacin detallada.
[Sin embargo, ninguna de esas condiciones es relevante en este momento. Todos estos
componentes de software con licencia restringida de los que habla se han eliminado de
OpenSSH:
-RSA ya no se incluye y se encuentra en la biblioteca OpenSSL.
-IDEA ya no se incluye y su uso se ha descartado.
-DES ahora es externo y se encuentra en la biblioteca OpenSSL.
-GMP ya no se utiliza y, en su lugar, solicitamos cdigo BN de OpenSSL.
-Zlib ahora es externo y se encuentra en una biblioteca.
-La secuencia de comandos make-ssh-known-hosts ya no se incluye.
-TSS se ha eliminado.
-MD5 ahora es externo y se encuentra en la biblioteca OpenSSL.
-La compatibilidad con RC4 se ha sustituido por la compatibilidad con ARC4 de OpenSSL.
-Blowfish ahora es externo y se encuentra en la biblioteca OpenSSL.
[La licencia contina]
Tenga en cuenta que toda la informacin y los algoritmos criptogrficos utilizados en este
software estn disponibles de manera pblica en Internet y en cualquier librera principal,
librera cientfica y oficina de patentes de todo el mundo. Podr encontrar ms informacin
en http://www.cs.hut.fi/english.html (en ingls).
El estado legal de este programa es una combinacin de todos estos permisos y restricciones.
Utilcelo nicamente bajo su propia responsabilidad. Usted ser el responsable de cualquier
consecuencia legal; no afirmo de ningn modo que la posesin o el uso de este elemento sea
legal o no en su pas y no asumo ningn tipo de responsabilidad en su nombre.
AUSENCIA DE GARANTA
DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON
LA CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA
SER DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN
NECESARIAS.
EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA
LA IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
Palo Alto Networks
483
OpenSSH
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON

OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
2) El detector de ataques de compensacin CRC de 32 bits de deattack.c ha sido proporcionado
por CORE SDI S.A. de acuerdo con una licencia de tipo BSD.
Detector de ataques criptogrfico para cdigo fuente de ssh.
Copyright (c) 1998 CORE SDI S.A., Buenos Aires (Argentina).
Todos los derechos reservados. La redistribucin y el uso en formato de cdigo fuente y
binario, con o sin modificaciones, estn permitidos siempre que se mantenga este aviso de
derechos de autor.
ESTE SOFTWARE SE PROPORCIONA TAL CUAL Y SE RENUNCIA A CUALQUIER
GARANTA EXPLCITA O IMPLCITA. CORE SDI S.A. NO SER RESPONSABLE EN
NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS,
ESPECIALES, EJEMPLARES O RESULTANTES DERIVADOS DEL USO O EL USO
INDEBIDO DE ESTE SOFTWARE.
Ariel Futoransky <futo@core-sdi.com> <http://www.core-sdi.com>
3) ssh-keyscan ha sido proporcionado por David Mazieres de acuerdo con una licencia de
tipo BSD.
Copyright 1995, 1996 de David Mazieres <dm@lcs.mit.edu>.
La modificacin y la redistribucin en formato de cdigo fuente y binario estn permitidas
siempre que se acredite debidamente al autor y el proyecto OpenBSD manteniendo intacto
este aviso de derechos de autor.
4) La implementacin de Rijndael de Vincent Rijmen, Antoon Bosselaers y Paulo Barreto es
de dominio pblico y se distribuye con la siguiente licencia:
@version 3.0 (diciembre de 2000)
Cdigo ANSI C optimizado para el cifrado Rijndael (ahora AES)
@author Vincent Rijmen <vincent.rijmen@esat.kuleuven.ac.be>
@author Antoon Bosselaers <antoon.bosselaers@esat.kuleuven.ac.be>
@author Paulo Barreto <paulo.barreto@terra.com.br>
Por la presente este cdigo es de dominio pblico.
LOS AUTORES PROPORCIONAN ESTE SOFTWARE TAL CUAL Y RENUNCIAN A
CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE INCLUYEN
ESPECFICO. LOS AUTORES O COLABORADORES NO SERN RESPONSABLES EN
NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS,
ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE INCLUYEN EL
SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE USO, DATOS
O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL), SEA CUAL
SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR
CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO CONTRACTUAL
(INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE CUALQUIER
MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LES HAYA AVISADO DE LA
POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
5) Un componente del cdigo fuente de ssh se rige por una licencia BSD de tres clusulas de la
Universidad de California, ya que hemos extrado estas partes de cdigo de Berkeley original.
Copyright (c) 1983, 1990, 1992, 1993, 1995.
The Regents of the University of California. Todos los derechos reservados.
484
Palo Alto Networks
OpenSSH

2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre de la Universidad y el de sus colaboradores no podrn utilizarse para aprobar
o promocionar productos derivados de este software sin un previo consentimiento por
escrito especfico.
THE REGENTS OF THE UNIVERSITY OF CALIFORNIA Y LOS COLABORADORES
PROPORCIONAN ESTE SOFTWARE TAL CUAL Y RENUNCIAN A CUALQUIER
GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO. THE
REGENTS OF THE UNIVERSITY OF CALIFORNIA Y LOS COLABORADORES NO SERN
RESPONSABLES EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS,
INDIRECTOS, IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE
LOS QUE SE INCLUYEN EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA
PRDIDA DE USO, DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD
COMERCIAL), SEA CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO CONTRACTUAL (INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES),
DERIVADOS DE CUALQUIER MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LES
HAYA AVISADO DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
6) Los componentes restantes del software se proporcionan de acuerdo con una licencia BSD de
2 condiciones estndar de la cual las siguientes personas son los propietarios de los derechos:
-Markus Friedl
-Theo de Raadt
-Niels Provos
-Dug Song
-Aaron Campbell
-Damien Miller
-Kevin Steves
-Daniel Kouril
-Wesley Griffin
-Per Allansson
-Nils Nordman
-Simon Wilkinson
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la documentacin y/u otros materiales proporcionados con la distribucin.
EL AUTOR PROPORCIONA ESTE SOFTWARE TAL CUAL Y RENUNCIA A CUALQUIER
GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO. EL
Palo Alto Networks
485
PSF
AUTOR NO SER RESPONSABLE EN NINGN CASO DE LOS DAOS Y PERJUICIOS

DIRECTOS, INDIRECTOS, IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES
(ENTRE LOS QUE SE INCLUYEN EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE USO, DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA
ACTIVIDAD COMERCIAL), SEA CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA
DE RESPONSABILIDAD, YA SEA POR CONTRATO, RESPONSABILIDAD ESTRICTA
O INCUMPLIMIENTO CONTRACTUAL (INCLUIDA LA NEGLIGENCIA U OTRAS
ACCIONES), DERIVADOS DE CUALQUIER MODO DEL USO DE ESTE SOFTWARE,
AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD DE DICHOS DAOS Y
PERJUICIOS.
PSF
1. Este CONTRATO DE LICENCIA se suscribe entre Python Software Foundation (PSF) y
el individuo o la organizacin (Titular de la licencia) que acceda y utilice de cualquier otro
modo el software Python 2.3 en formato de cdigo fuente o binario y su documentacin
asociada.
2. De acuerdo con las condiciones de este Contrato de licencia, PSF concede por la presente
al Titular de la licencia una licencia mundial, sin pago de derechos de autor y no exclusiva
para reproducir, analizar, comprobar, ejecutar y/o mostrar pblicamente, preparar obras
derivadas, distribuir y utilizar de cualquier otro modo Python 2.3 en solitario o en cualquier
versin derivada, siempre que se mantengan el Contrato de licencia de PSF y el aviso de
derechos de autor de PSF (Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Todos los derechos reservados.) en Python 2.3 en solitario o en cualquier versin derivada
preparada por el Titular de la licencia.
3. En el caso de que el Titular de la licencia prepare una obra derivada basada o que incorpore
Python 2.3 o cualquier parte del mismo y desee que la obra derivada est disponible para
otros como se indica en la presente, el Titular de la licencia acepta por la presente incluir en
dicha obra un breve resumen de los cambios realizados en Python 2.3.
4. PSF pone Python 2.3 a disposicin del Titular de la licencia TAL CUAL. PSF NO OFRECE
GARANTAS DE NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS. COMO EJEMPLO
Y SIN QUE SEA UNA LIMITACIN, PSF NO OFRECE Y RENUNCIA A CUALQUIER
GARANTA DE COMERCIABILIDAD O ADECUACIN A UN FIN ESPECFICO O QUE
AFIRME QUE EL USO DE PYTHON 2.3 NO INFRINGIR DERECHOS DE TERCEROS.
5. PSF NO SER RESPONSABLE PARA CON EL TITULAR DE LA LICENCIA O
CUALQUIER OTRO USUARIO DE PYTHON 2.3 POR DAOS Y PERJUICIOS IMPREVISTOS, ESPECIALES O RESULTANTES O POR PRDIDAS COMO RESULTADO DE
MODIFICAR, DISTRIBUIR O UTILIZAR DE OTRO MODO PYTHON 2.3 O CUALQUIER
OBRA DERIVADA DEL MISMO, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD
DE LOS MISMOS.
6. Este Contrato de licencia se resolver automticamente si se produce un incumplimiento
grave de sus condiciones.
7. Ningn elemento de este Contrato de licencia se considerar que crea ningn tipo de
relacin de agencia, asociacin o empresa conjunta entre PSF y el Titular de la licencia.
Este Contrato de licencia no concede permiso para utilizar marcas comerciales de PSF o
su nombre comercial con el significado de marca comercial para aprobar o promocionar
productos o servicios del Titular de la licencia o de terceros.
8. Al copiar, instalar o utilizar de otro modo Python 2.3, el Titular de la licencia acepta estar
vinculado a las condiciones de este Contrato de licencia.
486
Palo Alto Networks
PHP
PHP
Licencia PHP, versin 3.01.
Copyright (c) 1999 - 2009 The PHP Group. Todos los derechos reservados.
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre PHP no podr utilizarse para aprobar o promocionar productos derivados
de este software sin un previo consentimiento por escrito. Para obtener un consentimiento
por escrito, pngase en contacto con group@php.net.
4. Los productos derivados de este software no podrn denominarse PHP ni podrn incluir
PHP en su nombre sin un previo consentimiento por escrito de group@php.net. Podr
indicar que su software funciona junto con PHP denominndolo X para PHP, en lugar de
denominarlo X de PHP o X_php.
5. The PHP Group podr publicar versiones revisadas y/o nuevas de la licencia cuando
resulte oportuno. Se proporcionar un nmero de versin distintivo a cada versin. Una vez
que se haya publicado el cdigo cubierto de acuerdo con una versin especfica de la licencia,
podr seguir utilizndolo de acuerdo con las condiciones de esa versin. Tambin puede
decidir utilizar dicho cdigo cubierto de acuerdo con las condiciones de cualquier versin
posterior de la licencia publicada por The PHP Group. nicamente The PHP Group tiene
derecho a modificar las condiciones aplicables al cdigo cubierto creado de acuerdo con
esta licencia.
6. Las redistribuciones de cualquier tipo debern mantener la siguiente declaracin: "Este
producto incluye software PHP, disponible de manera gratuita en <http://www.php.net/
software/>".
EL EQUIPO DE DESARROLLO DE PHP PROPORCIONA ESTE SOFTWARE TAL CUAL Y
RENUNCIA A CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE
INCLUYEN LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A
UN FIN ESPECFICO. EL EQUIPO DE DESARROLLO DE PHP NO SER RESPONSABLE
EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE INCLUYEN
EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE USO,
DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL), SEA
CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA
POR CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO CONTRACTUAL
(INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE CUALQUIER
MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Este software se compone de contribuciones voluntarias realizadas por numerosos individuos
en nombre de The PHP Group.
Puede ponerse en contacto con The PHP Group enviando un correo electrnico a
group@php.net.
Para obtener ms informacin sobre The PHP Group y el proyecto PHP, consulte
<http://www.php.net>.
PHP incluye el motor Zend, disponible de manera gratuita en <http://www.zend.com>.
Palo Alto Networks
487
Zlib
Zlib
Copyright (C) 1995-2005 Jean-Loup Gailly y Mark Adler.
Este software se proporciona tal cual, sin ninguna garanta explcita o implcita. Los autores
no sern responsables en ningn caso de los daos y perjuicios derivados del uso de este
software.
Se concede permiso a cualquier persona para utilizar este software con cualquier fin, incluidas
aplicaciones comerciales, y para modificarlo y redistribuirlo libremente, respetando las
siguientes restricciones:
1. El origen de este software no debe falsearse; usted no puede afirmar que cre el software
original. Si utiliza este software en un producto, puede incluir un reconocimiento en la
documentacin del producto, pero no es necesario.
2. Las versiones cuyo cdigo fuente est modificado deben indicarse claramente como tales y
no deben presentarse falsamente como si fueran el software original.
3. Este aviso no puede eliminarse ni modificarse en ninguna distribucin de cdigo fuente.
Jean-Loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu
488
Palo Alto Networks
Apndice E
ACCESO DE LOS CORTAFUEGOS A RECURSOS
WEB EXTERNOS
Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red
de entrega de contenidos) para entregar actualizaciones de contenidos a los dispositivos de
Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en la CDN para
realizar varias funciones de ID de aplicaciones y de ID de contenidos. Las siguientes secciones
indican a qu recursos web accede el cortafuegos segn la funcin o la aplicacin para la que
se necesitan:
Base de datos de aplicaciones
Base de datos de amenazas/antivirus
Base de datos de filtrado de URL de PAN-DB
Base de datos de filtrado de URL de Brightcloud
WildFire
Palo Alto Networks
489

El cortafuegos accede al siguiente recurso web cuando se realizan actualizaciones de bases de
datos de aplicaciones:
updates.paloaltonetworks.com:443
Base de datos de amenazas/antivirus

El cortafuegos accede a los siguientes recursos web cuando se realizan actualizaciones de
bases de datos de amenazas/antivirus:
updates.paloaltonetworks.com:443
downloads.paloaltonetworks.com:443
Como prctica recomendada, establezca la configuracin del servidor de actualizaciones para que acceda
a updates.paloaltonetworks.com. De esta forma, el dispositivo de Palo Alto Networks podr recibir
actualizaciones de contenidos desde el servidor que est ms cerca en la infraestructura de CDN.
Si se necesita un servidor esttico, establezca el servidor de actualizaciones para que acceda al
nombre de nombre de host staticupdates.paloaltonetworks.com o a la direccin IP 199.167.52.15.
Base de datos de filtrado de URL de PAN-DB

El cortafuegos accede al siguiente recurso web cuando se realizan actualizaciones y
bsquedas de bases de datos de filtrado de PAN-DB URL (PAN-DB URL Filtering):
*urlcloud.paloaltonetworks.com
Base de datos de filtrado de URL de Brightcloud

El cortafuegos accede a los siguientes recursos web cuando se realizan actualizaciones y
bsquedas de bases de datos de filtrado de URL de Brightcloud:
database.brightcloud.com:443/80
service.brightcloud.com:80
WildFire
El cortafuegos accede a los siguientes recursos web cuando se realizan actualizaciones
de WildFire:
beta.wildfire.paloaltonetworks.com:443/80
beta-s1.wildfire.paloaltonetworks.com:443/80
Solo es posible acceder a los sitios Beta por un cortafuegos que est ejecutando una versin Beta.
490
Palo Alto Networks
WildFire
mail.wildfire.paloaltonetworks.com:25
wildfire.paloaltonetworks.com:443/80
wildfire.paloaltonetworks.com:443
ca-s1.wildfire.paloaltonetworks.com:443
va-s1.wildfire.paloaltonetworks.com:443
eu-s1.wildfire.paloaltonetworks.com:443
sg-s1.wildfire.paloaltonetworks.com:443
jp-s1.wildfire.paloaltonetworks.com:443
portal3.wildfire.paloaltonetworks.com:443/80
wildfire.paloaltonetworks.jp:443/80
wf1.wildfire.paloaltonetowrks.jp:443
wf2.wildfire.paloaltonetworks.jp:443
portal.wildfire.paloaltonetworks.jp:443/80
Palo Alto Networks
491
WildFire
492
Palo Alto Networks
ndice
A
actualizacin
definiciones de aplicaciones y amenazas 68
programaciones 443
software Panorama 445
software PAN-OS 66, 77, 428
actualizaciones dinmicas
acerca de 68
programacin 443
administrador
bloqueo de pgina 76, 412, 427
cuentas, acerca de 70
funciones, acerca de 70
funciones, definicin 71
opciones de autenticacin 70
perfiles, acerca de 70
agente
configuracin de GlobalProtect 398
identificacin de usuario (User-ID) 348
uso de GlobalProtect 398
Agente de ID de usuario (User-ID)
configuracin de cortafuegos 341
Agente de identificacin de usuarios (User-ID)
configuracin de portal cautivo 353
alarmas
configuracin de log 89
icono de alarma 89
no reconocidas 89
reconocidas 89
umbrales 204
visualizacin 89
visualizacin del icono 89
almacenamiento de candidata 38, 46
alta disponibilidad
acerca de 114
activa/activa 114
activa/pasiva 114
configuracin 114
configuracin en Panorama 415
Panorama 415
reglas de funcionamiento y conmutacin por
error 114
alta disponibilidad activa/activa 114
alta disponibilidad activa/pasiva 114
493 ndice
alta disponibilidad pasiva/activa 114

amenazas
actualizacin de definiciones 68, 442
lista de ACC 314
antispyware
acerca de perfiles de 256
definicin de perfiles 256
antivirus
Anuncio de enrutador 160
API XML 13
aplicacin de grupos, definicin 291
aplicacin de polticas de excepcin 302
aplicaciones
actualizacin de definiciones de amenazas 68,
442
bsqueda 285
caractersticas 288, 463
categoras 288, 461
definicin 288
definicin de filtros 291
definicin de grupos 291
detalles 285
excepciones 255
filtros 284
identificacin desconocidas 338
pgina de ACC 314
pgina de respuesta 455
subcategora 288
subcategoras 461
tecnologas 463
aplicaciones con application override
personalizacin 244
auditora de configuraciones 59
autenticacin
base de datos local 70
LDAP 70
opciones para el administrador 70
RADIUS 70
remota 24, 59
secuencia 84
autenticacin remota 24, 59
Ayuda 18
Palo Alto Networks
B
base de conocimientos 130
base de datos de usuario, VPN SSL 80
BGP
enrutadores virtuales 171, 174, 175, 176, 180,
181
bloqueo de archivo
configuracin 269
bloqueo de archivos
perfiles, definicin 302
bloqueo de cuenta de usuario 76, 427
bloqueo en la pgina del administrador 76, 412,
427
bloqueo, perfiles de archivo 269
botnets
acerca de 329
informes 329
Bsquedas seguras 267
C
cable virtual (virtual wire)
definicin 131
campos obligatorios 20
Captura de paquetes 328
captura de paquetes
acceso 328
captura de archivos 338
configuracin de ajustes de captura 338
configuracin de perfiles 255, 262
realizacin de capturas 338
caractersticas y ventajas 12
centro de comando de aplicacin (ACC), uso 311
certificados
exportacin 108
importar 108
cifrado de claves privadas y contraseas 112
clave maestra y pgina de diagnstico 112
clave privada, cifrado 112
clientes
descarga y activacin de GlobalProtect 396
infectados de botnet 329
clientes infectados de botnet 329
comodn
categoras URL personalizadas 296
patrones para listas de permitidas y
bloqueadas 264
comparacin de configuraciones 59
compilacin
cambios 19
opciones 19
Panorama 428
configuracin activa, actualizacin 38, 46
configuracin candidata
acerca de 38, 46
almacenamiento y restablecimiento 38, 46
configuracin de dplex 134, 149, 150, 151, 152,
157
494 ndice
Configuracin de ID de contenidos 50
configuracin de notificacin de correo electrnico
definicin 103, 104
en perfiles de logs 304
Configuracin de red 24, 59
configuracin del sistema 128
configuraciones, auditora 59
conmutacin por error 202
contrasea
cifrado 112
complejidad de contrasea mnima 36
nueva 16
perfiles 72
proteccin de datos 51
copia de seguridad de las configuraciones del
cortafuegos 421
correo electrnico
programacin de entrega de informes 335
cortafuegos
Agente de ID de usuario (User-ID) 341
caractersticas y ventajas 12
introduccin 11
latitud y longitud 25
navegacin en la interfaz de usuario 20
uso de la interfaz web 17
cuentas
perfiles de autenticacin 77
requisitos de nombre de usuario y
contrasea 74
D
definicin de las plantillas de configuracin 445
denegacin de servicio (Dos), perfiles 249
Descarte aleatorio temprano 204
descodificadores y acciones 255
destinos de logs
correo electrnico 103, 104
syslog 93
traps SNMP 91
destinos de traps SNMP
definicin 91
DHCP
configuracin 197, 399
opciones de cortafuegos 197
retransmisin 197
servidores 197
direcciones
definicin de grupos 280
definicin de grupos de direcciones 280
direcciones IPv6 279
dispositivo principal 422
dispositivos
cmo aadir 418, 419
principal 422
DNS
servidores 197
dominios de acceso
Palo Alto Networks
cortafuegos 71, 77
Panorama 428
DoS
perfiles 249
perfiles de proteccin 249
duplicar deteccin de direccin (DAD) 139, 146,
160
E
edicin de ajustes en una pgina 19
Ejemplos de poltica
NAT 228
enlaces de pgina de log 313
enrutadores virtuales
siguiente salto 167
entradas ARP
en interfaces de capa 3 principales 143
en interfaces VLAN 136
entradas de ARP
en subinterfaces de capa 3 159
estado de enlace
configuracin 134, 149, 150, 151, 152, 157
visualizacin 310
estado de los enlaces en el pasivo 121
etiquetas
en cables virtuales (Virtual Wire) 132
en subinterfaces de capa 2 149
excepciones de aplicacin 255
Explorador de sesin 329
exploradores compatibles 21
exploradores, compatibles 21
exportaciones
certificados 105
lote de configuracin 444
programacin de logs 85
exportaciones de logs 85
exportaciones de lote de configuracin 444
expresiones regulares, patrones de datos 295
F
filtrado de datos
coincidencias HIP en pgina de ACC 314
configuracin de patrn 275
configuracin de perfil 274, 277
lista 314
logs de visualizacin 329
pgina de ACC 314
patrones de datos 298
perfiles 274
perfiles y patrones 275
filtrado de URL
bsquedas seguras 267
categorizacin dinmica 266
configuracin de cancelacin 51
configuracin de perfil 263
Palo Alto Networks
lista 314
log de visualizacin 328
pgina de respuesta de continuacin y
cancelacin 128
pginas de ACC 314
pginas de respuesta 129
filtros
aplicacin 284, 291
subcategora 284
FIPS 465
firmas
personalizadas 299
spyware 299
vulnerabilidad 299
firmas personalizadas
acerca de 299
spyware 299
vulnerabilidad 299
Flujo de red
acerca de 104
configuracin 104
funciones
acerca de 70
administrador que define 71
G
gestin de configuracin 38, 46
gestin de configuraciones 38, 46
GlobalProtect
configuracin de agentes 398
configuracin de puertas de enlace 376
descarga y activacin de clientes 396
pgina de respuesta 128
uso del agente 398
grupo Diffie-Hellman (DH) 363
grupos
definicin de servicios 293
dispositivo 421
grupos de direcciones, definicin 280
grupos de dispositivos
cmo aadir 421
grupos de enlaces, HA 121
grupos de perfil de seguridad, definicin 302
grupos de perfiles, definicin 302
grupos de rutas, HA 418
grupos de servicios
definicin 293, 294
grupos de servicios, definicin 293
H
hora
configuracin 24, 59
zona 25
I
identificacin del peer 358
identificacin local 358
ndice 495
IKE
configuracin de perfiles criptogrficos 363
definicin de perfiles criptogrficos 363
modo de intercambio 358
proteccin ante fallo del peer 359
implementacin, visualizacin de la
informacin 442
informacin confidencial, proteccin 51
informacin de asistencia tcnica 130
informacin de asistencia tcnica,
visualizacin 130
informes
50 principales 336
actividad del usuario 334, 441
creacin de grupos personalizados 335
personalizados 337
programacin de entrega de correo
electrnico 335
resumen en PDF 332
visualizacin 336
informes de Appscope
informe de resumen 317
informe del mapa de amenazas 321, 324
visualizacin 316
informes de de Appscope
informe del supervisor de cambios 318
informe del supervisor de red 322
informes de grupos personalizados 335
informes de resumen en PDF
creacin 333, 335
diseo 333
visualizacin 332, 333
Informes personalizados 337
informes y logs
identificacin de aplicaciones
desconocidas 338
uso del centro de comando de aplicacin 311
uso del panel 310
visualizacin de informes 336, 337
visualizacin de informes de Appscope 316
visualizacin de resmenes en PDF 332
interfaces
visualizacin de estado 310
interfaces de loopback
definicin 161
interfaces de loopback sin numerar 161
interfaces de tnel 360
interfaces L3
puertas de enlace compartidas 127
interfaz de gestin
CLI 13
configuracin 24, 59
opciones 13
Panorama 13
web 13
interfaz web
campos obligatorios 20
compilacin de cambios 19
exploradores compatibles 21
496 ndice
navegacin 20
uso 17
uso de tablas 20
intervalo de saludo, HA 417
Inundacin de ICMP 204
Inundacin de UDP 205
Inundacin SYN 204
inundaciones, configuracin de proteccin de
zonas 203, 204, 205, 206, 208, 209, 401
IPSec
configuracin de perfiles criptogrficos 364
configuracin de tneles 359
definicin de perfiles criptogrficos 364
IPv6 201
K
Kerberos
configuracin de ajustes de servidor 83
funciones de administrador 70
L
latitud y longitud 25
LDAP
autenticacin 70
configuracin de ajustes de servidor 82
licencias
cdigo abierto 467
instalacin 60
licencias de cdigo abierto 467
lista de amenazas 314
lista de aplicaciones 314
lista de bloqueadas
patrones de comodines 264
perfil de filtrado de URL 264
lista de permitidas
patrones de comodines 264
perfil de filtrado de URL 265
Listas de bloque dinmico 297
log amenaza 304
log de amenazas
definicin de logs remotos 302
visualizacin 328
log de configuracin
definicin de logs remotos 86, 89, 91
visualizacin 329
log de sistema
visualizacin 329
log de trfico 303
definicin de logs remotos 302
visualizacin 328
logs 328
ajustes de configuracin 87
alarmas 89
almacenamiento en un servidor FTP 85
borrado 91
coincidencias HIP 329
configuracin de coincidencias HIP 88
definicin de logs remotos
Palo Alto Networks
para la configuracin 86, 89, 91

para logs de amenazas y trfico 302
enlaces desde pginas de ACC 313
gestin 91
programacin de exportaciones 85
resolucin de nombre de host 326
visualizacin 325
visualizacin del filtro de URL 328
M
MD5 175
MIB 45, 93
modificacin de ajustes en una pgina 19
Modo de intercambio 358
monitor de tnel
perfiles 202
multicast de origen especfico (SSM) 195
N
NAT
definicin de polticas 233
NAT64 228
polticas 225
navegacin 20
navegacin de la interfaz de usuario 20
NFS 414
almacenamiento de logs externo 414
alta disponibilidad de Panorama 417
particiones de almacenamiento 414
no fragmentar (DF) 208
nombre de dominio 25
nombre de host, definicin 24, 59
NSSA (not so stub area) 172, 177
NT LAN Manager (NTLM) 249
O
objetos
descripcin general 278
obtencin de ayuda 18
opciones de descarte, perfiles DOS 206
P
pgina de bloqueo de archivo 455
pginas de bloque HTML 453
pginas de respuesta
antivirus 128, 454
Ayuda de portal de GlobalProtect 128
bloque de aplicacin 128, 455
bloqueo de aplicacin 128, 455
continuacin y cancelacin de filtrado de
URL 128, 129
definicin 128
exclusin de descifrado de SSL 128
Inicio de sesin de portal de GlobalProtect 128
notificacin de certificado SSL revocado 458
opcin continua de bloqueo de archivo 128
Palo Alto Networks
pgina de notificacin de errores de certificado

SSL 128
portal cautivo 128, 456
tipos 110, 128
pginas de respuesta antivirus 454
panel
cortafuegos 310
Panorama
actualizacin de software 445
alta disponibilidad 415
bloqueo de cuenta de usuario 76, 412, 427
cmo aadir dispositivos 418, 419
compilacin 428
configuracin de direccin de IP 26
creacin de cuentas administrativas 425
dominios de acceso 428
funciones de administrador 424
habilitacin de acceso 26
pestaa 411
plantillas 430
plantillas, configurar 430
particiones de almacenamiento 414
Panorama 414
patrones de datos
aadir nuevos 295
definicin 298
perfiles de filtrado de datos 275
reglas 295
Perfil de informacin de host (HIP)
configuracin 395
configuracin de logs de coincidencias HIP 88
configuracin de objetos 384
log de coincidencias 329
perfil de informacin del host (HIP)
coincidencias en pgina de ACC 314
perfiles
antispyware 256
antivirus 254
antivirus, descodificadores y acciones 255
antivirus, excepciones de aplicacin 255
bloqueo de archivo 269, 302
configuracin de perfiles criptogrficos de
IKE 363
configuracin de perfiles criptogrficos de
IPSec 364
criptogrfico de IKE 363
criptogrfico de IPSec 364
definicin de reenvo de logs 303
filtrado de datos 274
filtrado de URL 263
gestin de interfaz 201
grupos de seguridad 253, 302
logs 302
proteccin de vulnerabilidades 259, 263
proteccin de zona 61, 202, 401
QoS 401
sobre supervisin 202
supervisor del tnel 202
ndice 497
Perfiles criptogrficos 363, 364

perfiles de autenticacin
acerca de 77
configuracin 77
configuracin de Kerberos 83
configuracin de LDAP 82
configuracin de RADIUS 81
perfiles de gestin de interfaz 201
perfiles de proteccin de vulnerabilidades 259, 263
perfiles de seguridad
acerca de 253
definicin 302
perfiles de supervisin 202
poltica compartida
dispositivo principal 422
poltica de descifrado 304
polticas
acerca de 211
acerca de NAT 225
especificacin de usuarios y aplicaciones 214
otros objetos de las polticas 278
patrones de datos 298
QoS 403
sistemas virtuales 125
tipos 211
polticas de application override
acerca de 244
polticas de descifrado
definicin 240
polticas de portal cautivo
definicin 247
polticas de reenvo basado en polticas
acerca de 237
polticas de seguridad
acerca de 217
definicin 217
polticas NAT
definicin 233
Portal cautivo 77
portal cautivo
configuracin del cortafuegos para 353
definicin de polticas 247
pgina de confort 128, 456
prioridad de dispositivo, HA 417
programaciones
definicin 302, 306
proteccin ante fallo del peer 359
proteccin de datos
cambio de contrasea 51
cmo aadir 51
protocolos de enrutamiento
BGP 171, 174, 175, 176, 180, 181
proxy DNS
configuracin 199
puerta de enlace
configuracin de GlobalProtect 376
puertas de enlace compartidas
configuracin 127
498 ndice
interfaces L3 127
puertas de enlace de IKE
configuracin 358
definicin 357
puertos HA1 y HA2 114
punto de encuentro 192
Q
QoS
clases 402, 403
configuracin de prioridad 402
configuracin de salida (egress) 402
Marca de 219, 224
perfiles 401
polticas 403
trfico de tnel 400
trfico en claro 400
R
RADIUS
autenticacin 70
definicin de la configuracin de servidor 81
reconocimiento de alarmas 89
reenvo basado en polticas (PBF)
acerca de 237
definicin 237
perfiles de supervisin 202
reenvo de logs
configuracin de perfil 303
regiones
acerca de 282
polticas 282
reglas
aplicacin de poltica de excepcin 302
poltica de seguridad 217
reinicio del dispositivo 24, 40, 59
reloj, ajuste 24, 59
requisitos de nombre de usuario y contrasea 74
resolucin de nombre de host 326
restablecimiento de candidata 38, 46
S
secuencias de autenticacin
acerca de 84
configuracin 84
seguridad
acciones de perfiles de 253
acerca de perfiles de 253
acerca de polticas de 217
definicin de grupos de perfiles 253, 302
grupos de perfiles 302
servicio BrightCloud 266
servicios, definicin 292
servidor FTP, almacenamiento de logs en 85
Palo Alto Networks
servidores
definicin de Kerberos 83
definicin de LDAP 82
definicin de RADIUS 81
definicin de syslog 93
servidores NIS 198
servidores NTP 198
servidores syslog
campos de syslog personalizados 95
definicin 93
Servidores WINS 197
siguiente salto 167
sistemas virtuales
acerca de 125
definicin 124, 125, 127
definicin de varios 125
habilitacin 25
habilitacin de varios 25
polticas 125
varios 125
zonas de seguridad 125
SNMP
cadena de comunidad 46
configuracin de MIB 45
MIB 93
software
actualizacin 66, 77, 428, 445
actualizacin de Panorama 445
versin 310
software PAN-OS
actualizacin 66, 77, 428
versin 310
solicitud de asistencia tcnica 130
SPT (Shortest Path Tree) 194
SSL
definicin de polticas de descifrado 240
polticas de descifrado 302
referencias de notas tcnicas 240
subcategora
aplicacin 288
filtrado 284
supervisor de tnel
conmutacin por error 202
esperar recuperacin 202
configuracin 359
divisin para VPN SSL 380
tneles VPN
configuracin 359
U
umbrales de respuesta 204, 205
umbrales, alarma 204
utilizacin de CPU 311
utilizacin de la memoria 311
utilizacin del disco 311
V
varios sistemas virtuales 25, 125
velocidad de enlace y dplex 134, 149, 150, 151,
152, 157
velocidad, enlace 134, 149, 150, 151, 152, 157
versin, software 310
visualizacin
explorador de sesin 329
informacin de sesin 329
logs 325
VPN
SSL, acerca de 399
VPN SSL
acerca de 399
base de datos de usuarios local 80
pgina de confort 128
tneles divididos 380
Z
zonas
en polticas NAT 234
perfiles de proteccin 61, 202, 401
zonas de seguridad
definicin 195
en polticas NAT 234
T
tablas, uso en la interfaz web 20
tiempo de espera 417
Tiempo de espera de URL dinmica 50
tiempo de espera pasivo, HA 417
Tipos de
NAT 226, 232
trfico de tnel y QoS 400
trfico en claro y QoS 400
transferencia de estado representacional (REST) 13
Transport Layer Security (TLS) 82
tneles
Palo Alto Networks
ndice 499

PAN OS WebInterfaceRef 61 Spanish

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

PAN OS WebInterfaceRef 61 Spanish

Diunggah oleh

Hak Cipta:

Format Tersedia

Palo Alto Networks

Gua de referencia de interfaz web

Acerca de esta gua

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.

noviembre 26, 2014 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Preparacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Palo Alto Networks

Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Definicin de cables virtuales (Virtual Wire) . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Configuracin de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . .

Palo Alto Networks

Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Definicin de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 299

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

Configuracin del cortafuegos para la identificacin de usuarios . . . . . . . . . . . 341

Definicin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

Definicin de perfiles criptogrficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Configuracin de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 399

Definicin de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

Palo Alto Networks

Definicin de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

Pgina de bloqueo de antivirus y antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . 454

Categoras y subcategoras de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . 461

Palo Alto Networks

Activacin del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Base de datos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

Descripcin general del cortafuegos

Descripcin general del cortafuegos

Palo Alto Networks

Cumplimiento de polticas basadas en aplicaciones: El control de acceso segn

Identificacin de usuarios (ID de usuarios): La identificacin de usuarios (User-ID)

Prevencin de amenazas: Los servicios de prevencin de amenazas que protegen la red

Visibilidad del trfico: Los extensos informes, registros y mecanismos de notificacin

Versatilidad de red y velocidad: El cortafuegos puede aadirse o sustituir a su

GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores porttiles,

Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece una

Palo Alto Networks

Elaboracin de anlisis e informes sobre software malintencionado: WildFire

Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada

Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS

CLI: La configuracin y la supervisin basadas en texto se realizan a travs de Telnet,

Syslog: Permite la generacin de mensajes para uno o ms servidores Syslog remotos

API XML: Proporciona una interfaz basada en la transferencia de estado representacional

Palo Alto Networks

Palo Alto Networks

Preparacin del cortafuegos

Configuracin del cortafuegos

Uso de la interfaz web del cortafuegos

Obtencin de ayuda para la configuracin del cortafuegos

Preparacin del cortafuegos

Monte el cortafuegos en un rack y encindalo como se indica en la Gua de referencia

Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las ltimas

Obtenga una direccin IP de su administrador de redes para configurar el puerto de

Configuracin del cortafuegos

Conecte su equipo al puerto de gestin (MGT) en el cortafuegos utilizando un cable

Encienda su equipo. Asigne una direccin IP esttica a su equipo en la red 192.168.1.0

Inicie un explorador web compatible e introduzca https://192.168.1.1.

Palo Alto Networks